Patiëntdata van het Antoni van Leeuwenhoek Ziekenhuis is op straat beland na de diefstal van een externe harde schijf met onderzoeksgegevens. Het gaat om de gegevens van 781 patiënten die op een externe harde schijf van een onderzoeker staan. Dat opslagapparaat is gestolen uit de kofferbak van diens auto. Het datalek is gemeld bij de Autoriteit Persoonsgegevens en de Inspectie voor de Volksgezondheid (IGZ).
De diefstal vond in december 2015 plaats en is recent gemeld aan het ziekenhuis. De externe harde schijf bevatte kopieën van bestanden van 781 patiënten. Van die groep zijn nog 199 mensen in leven. Het Amsterdamse ziekenhuis heeft geprobeerd om hen persoonlijk in te lichten.
Het ziekenhuis meldt dat het gaat om gecodeerde informatie van deelnemers aan wetenschappelijk onderzoek. Daarnaast staat er ook een aantal bestanden op van rapportages waarin de voortgang van de experimentele behandeling van patiënten wordt beschreven. In die laatste bestanden staan persoonlijke gegevens zoals naam, geboortedatum, het type tumor en de voortgang van de experimentele behandeling.
Het ziekenhuis benadrukt dat de onderzoeker in strijd handelde met de regels en nooit de gegevens naar de externe harde schijf had mogen kopiëren. In een persbericht over het datalek meldt het: ‘Ons instituut kent een informatiebeveiligingsbeleid, hierin staat dat medewerkers geen patiëntengegevens op onbeveiligde informatiedragers mogen meenemen. Dat dit toch is gebeurd, betreuren we ten zeerste.’ Het ziekenhuis biedt in het bericht meerdere keren excuses aan voor het incident.
Maatregelen
Naar aanleiding van het incident is een aantal acties ondernomen. Betrokken patiënten zijn persoonlijk geïnformeerd door hun behandelend arts. Er is een informatienummer geopend voor patiënten met vragen. ‘We beseffen dat er patiënten zijn die dit nieuws via de media zullen vernemen. Dat betreuren we ten zeerste en hiervoor bieden we onze excuses aan’, meldt het ziekenhuis.
De vermissing van de externe harde schijf is ook gemeld bij de politie, de Autoriteit Persoonsgegevens en de Inspectie voor de Volksgezondheid (IGZ). Verder meldt het ziekenhuis dat er een diepgaande analyse heeft plaatsgevonden van de bestanden die op de ontvreemde schijf staan.
Het ziekenhuis heeft het bestaande informatiebeveiligingsbeleid opnieuw onder de aandacht van medewerkers gebracht en personeel gewezen op de noodzaak van het direct melden van informatiebeveiligingsincidenten. ‘De betrokken medewerker is ter verantwoording geroepen en er zijn passende maatregelen genomen’, staat in het bericht.
Geen gerichte diefstal
‘Wij hebben geen enkele aanleiding om te denken dat de diefstal gericht was op de onderzoeksgegevens. Tot op heden is de gestolen schijf niet teruggevonden. De kans dat dit alsnog gebeurt lijkt uitermate klein’, aldus het ziekenhuis in een toelichting.
Ook meldt het dat de diefstal van de harde schijf geen invloed heeft op de behandeling die patiënten in het Antoni van Leeuwenhoek ondergaan of hebben ondergaan. ‘De kwaliteit van de behandeling is dus op geen enkele manier beïnvloed. Ook lopend wetenschappelijk onderzoek kan zonder consequenties doorgaan’, aldus het ziekenhuis in een toelichting.
Beleid informatiebeveiliging
Het Antoni van Leeuwenhoek benadrukt dat het een duidelijk informatiebeveiligingsbeleid en privacybeleid heeft. ‘Zo is het verboden om vertrouwelijke informatie op computer- of andere systemen te plaatsen die niet zijn beveiligd. Hieronder valt ook een externe harde schijf. Alleen daartoe bevoegde medewerkers hebben toegang tot patiëntgegevens.’
Enkele eenvoudige constateringen, dit in het licht van eerdere en meervoudige publicaties over dit soort zaken op het snijvlak IT en gezondheid(zorg).
Het is uitstekend dat dit kenbaar word gemaakt, niet vanuit de zin blame/shame maar om een les te leren die klaarblijkelijk nog steeds niet blijkt geleerd. Beste bestuurders van het Anthony van Leeuwenhoek, de casus dient bijzonder eenvoudig te zijn.
1. Er kan NOOIT data worden gekopieerd!
Als dit, getuige deze publicatie, toch blijkt te kunnen, technisch, dan is dit een falen van u als bestuur en uw IT dienstenleverancier gelijk. Data is tegenwoordig eenvoudig on line te ontsluiten en derhalve is een externe harde schijf overbodig.
2. Als de mogelijkheid er technisch niet is, hoeven er ook geen maatregelen te worden genomen
Heel eenvoudig, als men gewoon niet kan kopiëren omdat de mogelijkheid daar niet toe bestaat, kan dit niet, sterker, het zou niet mogen kunnen.
3. Informatie op onbeveiligde dragers
Zie twee voorgaande punten. Het risico dat men gegevensdragers kwijt kan raken, is gewoon zeer aanwezig. De historie heeft dit al vele malen vaker uitgewezen.
Ik vind het jammer NIET te lezen dat het ziekenhuis inmiddels alle mogelijkheden data te kunnen kopiëren door wie dan ook binnen het ziekenhuis, onmogelijk heeft gemaakt. Zonder zondebok aan te wijzen, er is niet te zeggen of data op deze wijze, voor welk doeleind dan ook, reeds eerder niet in handen van derden kan zijn gekomen. Aansluitend is er ook geen kopieer logbeleid?
Goed dat hiermee naar buiten is gekomen en hopelijk een sterk argument meteen alle kopieer mogelijkheden landelijk in ziekenhuizen en zorginstellingen de nek om te draaien.
Enkele eenvoudige constateringen, dit in het licht van eerdere en meervoudige publicaties over dit soort zaken op het snijvlak IT en gezondheid(zorg).
Het is uitstekend dat dit kenbaar word gemaakt, niet vanuit de zin blame/shame maar om een les te leren die klaarblijkelijk nog steeds niet blijkt geleerd. Beste bestuurders van het Anthony van Leeuwenhoek, de casus dient bijzonder eenvoudig te zijn.
1. Er kan NOOIT data worden gekopieerd!
Als dit, getuige deze publicatie, toch blijkt te kunnen, technisch, dan is dit een falen van u als bestuur en uw IT dienstenleverancier gelijk. Data is tegenwoordig eenvoudig on line te ontsluiten en derhalve is een externe harde schijf overbodig.
2. Als de mogelijkheid er technisch niet is, hoeven er ook geen maatregelen te worden genomen
Heel eenvoudig, als men gewoon niet kan kopiëren omdat de mogelijkheid daar niet toe bestaat, kan dit niet, sterker, het zou niet mogen kunnen.
3. Informatie op onbeveiligde dragers
Zie twee voorgaande punten. Het risico dat men gegevensdragers kwijt kan raken, is gewoon zeer aanwezig. De historie heeft dit al vele malen vaker uitgewezen.
Ik vind het jammer NIET te lezen dat het ziekenhuis inmiddels alle mogelijkheden data te kunnen kopiëren door wie dan ook binnen het ziekenhuis, onmogelijk heeft gemaakt. Zonder zondebok aan te wijzen, er is niet te zeggen of data op deze wijze, voor welk doeleind dan ook, reeds eerder niet in handen van derden kan zijn gekomen. Aansluitend is er ook geen kopieer logbeleid?
Goed dat hiermee naar buiten is gekomen en hopelijk een sterk argument meteen alle kopieer mogelijkheden landelijk in ziekenhuizen en zorginstellingen de nek om te draaien.
Er lijken me voldoende mogelijkheden aanwezig om bedrijfskritische data veilig te transporteren en off site / off line op te slaan. Vele klanten die zich bewust zijn van de gevaren van het niet gecertificeerd vervoeren en liever bedrijfsdata of persoonsgegevens niet in de cloud willen opslaan, kiezen dan voor tapes die op een veilige locatie buiten de organisatie worden opgeslagen.
Externe schijven of USB-sticks zijn toch al lang niet meer nodig. Via HSTS en Internet kun je versleutelde bestanden gevaarloos van A naar B transporteren, dat zou iemand de ICT-leiding van Antoni van Leeuwenhoek Ziekenhuis een keer moeten uitleggen.
USB-sticks en externe schijven zijn goed voor data die al openbaar zijn, patienten-gegevens op zoiets kopieren en dan buiten de organisatie brengen mag wat mij betreft met ontslag op staande voet bestraft worden.
Externe schijven/tapes zijn soms nodig als het wat meer data is. USB 3.1 is qua doorvoersnelheid niet te vergelijken met het ’trage’ internet.
Wat ik niet uit het artikel kan halen, is waarom de gegevens niet geanonimiseerd waren. Los van de discussie over nut en noodzaak om de gegevens op een externe drager te zetten, staat er nu alleen dat een deel van de gegevens gecodeerd (=geanonimiseerd??) was, maar een ander deel bevatte persoonsgegevens. Ik vraag me af waarom dat zo was, ik begrijp heel goed dat je de voortgang van behandelingen wilt vastleggen. Maar waarom daarbij direct de persoonsgegevens getoond moeten worden (en niet alleen bijvoorbeeld een primaire sleutel), begrijp ik niet. Zeker in de context van dit artikel waar het blijkbaar om gegevens voor onderzoeksdoeleinden ging. Daarbij zou ik verwachten dat je als onderzoeker vooral geïnteresseerd bent in het patiëntprofiel (man/vrouw, leeftijd, etc) en niet zozeer in zijn naam of adres. Door de data van te voren slim te anonimiseren had je naar mijn mening het profiel kunnen behouden, zonder dat de gegevens herleidbaar waren naar een unieke patiënt. Dan hadden de gegevens nog steeds op straat gelegen als je de harde schijf laat slingeren, maar dan waren de gegevens in ieder geval niet meer herleidbaar geweest! De impact voor de betrokken patiënten was daarmee veel kleiner geweest.
@Jan
Je schreef: …mag wat mij betreft met ontslag op staande voet bestraft worden.
Ik ga meer voor de directe uitvoering: mag wat mij betreft naar Syrië als arts verscheept worden (komen de (rubber)bootjes ook terug naar het land van herkomst) en met ontslag op staande voet zonder geld uit de EU…