Gehackt Gmail-account van arts treft 7000 patiënten

Patiënten medische informatie per gewone email toesturen als arts is niet zo verstandig. Afgelopen week, op 22 augustus 2019 maakte een bericht op het internet dat weer eens duidelijk. Het gaat over een voorval in Canada,  om precies te zijn in de stad Calgary, gelegen in de provincie Alberta. De arts, werkzaam in het Richmond Road Diagnostic Centre, verstuurde gedurende enige tijd medische informatie met Gmail, onbeveiligd naar patiënten. Zijn Gmail-account bleek recent al enige tijd terug gehackt te zijn.  In de email stonden persoonsgegevens zoals de namen, geboortedata, adressen, het unieke zorg-identificatienummer, en medische informatie zoals diagnosen en behandelingsgegevens. De arts deed dat terwijl het ziekenhuis informatiesysteem de mogelijkheid had emails versleuteld en op een beveiligde manier te verzenden. Het aantal mensen waarom het gaat bedraagt 7000.

Actie

Het ziekenhuis in Calgary stelt dat volgens de protocollen van de Alberta Health Services(AHS) dokters  en medische staf verplicht zijn om beveiligde AHS-email te gebruiken als zij tot een persoon herleidbare medische informatie versturen. Bovendien dient men versleuteling van de tekst te gebruiken als de ontvanger geen AHS-account heeft. In het ziekenhuis te Calgary is men nu druk doende contact te leggen met alle 7000 patiënten waarvan medische data mogelijk gecompromitteerd zijn.

Facilitatie?

Het ziekenhuis spreekt overigens over niet opzettelijke handelingen door de betreffende arts. Deze betreurt het gebeurde ook volgens de berichtgeving. Eén en ander suggereert dat er blijkbaar vanuit de ziekenhuisomgeving voor de arts de mogelijkheid bestond om te kiezen op welke wijze mail met zorginformatie verzonden kon worden. En dat de arts daar de verkeerde keuze in maakte.

Gelijkenis

Canada vertoont in veel opzichten gelijkenis met Nederland. Ook in dit geval. Het betreffende ziekenhuis heeft de mogelijkheid met haar ziekenhuis-informatie-systeem op een beveiligde wijze emails uit te wisselen met patiënten. In Nederland maakt het merendeel van de huisartsen gelukkig gebruik van Zorgmail. Dit is een dienst die een breed scala aan oplossingen heeft voor elektronische uitwisseling van, veelal, vertrouwelijke persoonsgegevens in de zorg. Onzorgvuldigheden met email komen ook hier voor.

KNMG

De Koninklijke Nederlandse Maatschappij ter bevordering van de Geneeskunst(KNMG) heeft in 2018 de richtlijn Veilig omgaan met medische gegevens nog aangescherpt. Nadrukkelijk adviseert men medische informatie met gebruik van email uitsluitend versleuteld te versturen met toezending van de sleutel via een ander elektronisch medium. De KNMG acht emailservices als Gmail en Hotmail/Outlook in beginsel ongeschikt voor het versturen van medische informatie.

Recente Nederlandse gebeurtenissen

In april 2019 ging in Utrecht Jeugdzorg in de fout. Die veranderde van naam en website. De organisatie stuurde de dossiers van patiënten onbeveiligd en geautomatiseerd naar emailadressen van verschillende werknemers, waaronder adressen die nog aan de oude website waren gekoppeld. Door de domeinnaam te registreren kon je al deze informatie opvangen.  .

Elkerliek

Ook in april 2019 speelde een datalek in het Elkerliek Ziekenhuis in Helmond.  Daar wisten onbevoegden toegang te krijgen tot de emailaccounts van medewerkers. In de emails op deze accounts stonden persoonsgegevens van patiënten. In een artikel in het online magazine SmartHealth van 18 april 2019 zeggen beveiligingsexperts dat deze twee recente voorvallen slechts het topje van de ijsberg zijn in Nederland. Veel van dit soort gebeurtenissen blijven volgens hen onder de radar.

Glad ijs

Het één en ander maakt klip en klaar duidelijk dat een arts die zorginformatie onversleuteld via een gewoon emailaccount verstuurt volkomen fout bezig is en verwijtbaar onzorgvuldig handelt en zich op zeer glad ijs begeeft..

W.J. Jongejan, 27 augustus 2019

Afbeelding van Gerd Altmann via Pixabay