Medische gegevens van ruim 200.000 Nederlanders en Belgen waren online beschikbaar door een fout van Iguana. Het Belgische scanbedrijf gebruikte tot vorige week een onbeschermde internetlink voor de uitwisseling van medische informatie tussen Iguana en de ziekenhuizen. Verder blijkt uit een aflevering van ‘Meldpunt!’ dat veel scanbedrijven het scanwerk laat uitvoeren in sociale werkplaatsen en gevangenissen.
Door een fout van scanbedrijf Iguana waren medische gegevens van 200.000 mensen beschikbaar. Ook zijn er medische dossiers verwerkt door gedetineerden. Slachtoffers van het lek zijn patiënten van Canisius-Wilhelmina Ziekenhuis (CWZ) te Nijmegen en het St. Anna Ziekenhuis te Geldrop.De gegevens kwamen online te staan doordat Iguana gebruik maakte van een onbeschermde internetlink voor de uitwisseling van informatie tussen het bedrijf en de ziekenhuizen. De meeste bestanden komen van Belgische ziekenhuizen.
Nederlandse ziekenhuizen laten hun ziekenhuisarchief inscannen om zo ruimte en kosten te besparen en patiëntgegevens toegankelijk te maken voor artsen. Ziekenhuizen laten hun gegevens vaak digitaliseren door bedrijven die het scanwerk voor de laagste prijs aanbiedt. Het programma ‘Meldpunt!’ ontdekte dat de bedrijven die dit voor de laatste prijs aanbieden het scanwerk, en de arbeidsintensieve voorbereidingen daarvoor, laten uitvoeren in sociale werkplaatsen en gevangenissen. Een van deze gevangenissen is de Centrale Gevangenis van Leuven (België). Dit blijkt de uitzending van ‘Meldpunt!’ van 26 januari om 19.25 op NPO 2. Meldpunt is een televisieprogramma dat klachten en meldingen van misstanden van kijkers verzamelt.
Meldpunt!
In de uitzending van dinsdagavond toont het programma dat Belgische gedetineerden patiëntendossiers van het Zwolse ziekenhuis Isala bewerken, ter voorbereiding van digitalisering. In de Wet Bescherming Persoonsgegevens en de Wet op de Geneeskundige Behandelingsovereenkomst staat dat het verboden is om onbevoegden inzage te geven in dossiers met vertrouwelijke medische informatie. Deze werkzaamheden mogen alleen worden uitgevoerd door bedrijven met medewerkers die vooraf gescreend zijn en een geheimshoudingsverklaring hebben getekend.
Als dat dit jaar nog heeft gespeeld, ben ik benieuwd hoe dit in gaat uitpakken met de nieuwe wetgeving “meldplicht datalekken”. (https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken)
Dit is een typisch kiezen voor de laagste prijs vanuit de luie directiezetel. Maar een laagste prijs voor wat? Een onbeveiligde webserver was voor Iguana sneller en dus goedkoper te regelen. Het gevolg is een groot datalek.
Gevangenen met door de belastingbetaler betaalde kost- en inwoning inzetten voor het scannen, is natuurlijk goedkoper dan gewone werknemers inhuren. Het gevolg is dat gigantische stapels medische dossiers in te zien zijn geweest door onbevoegden. Het gehele proces van digitalisering van patiëntendossiers mag alleen verricht worden door gecertificeerde bedrijven met medewerkers die vooraf gescreend zijn en gevangenen zouden nooit door een normale screening komen. Dat de gevangenen een geheimhoudingsverklaring hebben getekend, is niet meer dan een poging om zich in te dekken. Iguana is er dan ook mee gestopt. http://iguana-idm.com/iguana/iguana-nv-brief-aan-ziekenhuizen/
Goedkoop is in veel gevallen duurkoop! Waarom niet kiezen voor een scanpartner in Nederland die geregistreerd staat bij de Autoriteit Persoonsgegevens, NEN-en-ISO gecertificeerd is en alleen werkt met eigen medewerkers die nauwkeurig zijn gescreend? Scanbedrijven zoals Doccare, Servicepoint en Karmac. Ik vind het schandalig dat vertrouwelijke medische- en/of persoonsgegevens worden verwerkt door “criminelen”, ze zitten niet voor niets in de gevangenis….
Ik haal bij dit soort berichtgeving, excuses beste mede professional, al sinds 1996 mijn schouders op. Toen al hebben wij gewaarschuwd wat we zouden gaan zien bij het digitaliseren van medische gegevens op de schaal zoals de politiek en commercie het voor ogen had.
Ik wil hier graag even naar voren brengen dat de politiek niet de kennis, kunde en inzicht bezit, dat bewijst zij stelselmatig jaar na jaar, om een eenvoudig en eenduidig en sluitend convenant te bedenken waar een ieder, die zich bezig houd met gevoelige data zoals deze, aan dient te voldoen.
Niet minimaal, maar gewoon aan dient te voldoen. Aan de andere kant, de medecriticaster stelt het hier zeker terecht, wanneer men met pinda’s wenst te betalen, krijgt men daar aapjes voor. En die aapjes beheersen weliswaar hun ’trucje’ maar hebben verder geen enkel idee van de meest basale IT keten.
Dan is berichtgeving als deze volkomen voorspelbaar. Ook nu zeg ik, commercie en politiek in en met IT/ICT, gewoon een garantie voor debacles. Op naar de volgende. Misschien dat u mijn beste lezeres, lezer, mede IT professional, er zelf zo snel mogelijk zorg voor draagt dat uw medische data NOOIT in een EPD achtige constructie zal worden vervat?