Huisartsapp Babylon in Verenigd Koninkrijk lekte videoconsulten

huisartsappAfgelopen week meldde een gebruiker van de geruchtmakende en omstreden app Babylon een fors datalek. Hij had een videoconsult met de GP At Hand huisartspraktijken die deze app in Londen gebruiken en kon de videoconsulten van ongeveer vijftig anderen zo maar inkijken. Over de app Babylon en GP At Hand(A, B, C, D, E, F)  schreef ik op deze website meerdere keren.  De app fungeert als, overigens niet vlekkeloos, triage-instrument, als videoplatform om een huisarts te consulteren en om medicijnen voorgeschreven te krijgen. Rory Glover maakte op 9 juni 2020 bekend dat hij, ingelogd voor een videogesprek met een hulpverlener van GP At Hand videoconsulten van een aanzienlijk aantal anderen kon inzien. Hij meldde dat aan Babylon Health, de maker van de app en aan de controlerende instanties. Op Twitter maakt hij ook duidelijk met hij andere videoconsulten had kunnen inzien.

Onder de pet houden

Rory Glover liet trouwens op 11 juni op Twitter weten dat één van de vice-presidents van Babylon Health bij de melding aan hem gevraagd had om er met niemand over te praten/in te lichten. Het proberen op die wijze de zaken onder de pet te willen houden is zowat het domste wat je kunt doen bij een datalek, zeker als er sprake is van medische data. Uit de berichtgeving in de media is duidelijk dat Babylon Health uiteindelijk zelf ook de bevoegde instanties heeft ingelicht, waaronder de Information Commissioner’s Office. Inmiddels hadden de media, waaronder de BBC het item al opgepikt.

Software-fout

Twee uur nadat het datalek aan Babylon Health was gemeld, had men het probleem gelokaliseerd en verholpen. Babylon Health geeft zelf aan dat het niet gaat om een hack, maar om een softwarefout waardoor een patiënt bij opnamen van videoconsulten van anderen kon komen. Uiteindelijk meldt men dat naast Rory Glover nog twee andere patiënten de data van tientallen anderen hebben kunnen inzien. Alle betrokkenen, dus ook de mensen waarvan de videogesprekken in te zien waren zijn ingelicht. Ze hebben excuses van het bedrijf gekregen.

Ernstig

Bij het inschatten van de ernst van een data-incident moet men zich altijd afvragen wat de aard en de omvang van het gebeuren is, In dit geval gaat het om videoverslagen van consulten van een patiënt met zijn arts. Dat soort gesprekken vallen onder het medisch beroepsgeheim. Zodra derden daar kennis van kunnen nemen is het vertrouwen tussen patiënt en arts ernstig geschonden. Het was in eerste instantie ook niet duidelijk of de data van de melder, Rory Glover zelf, ook niet in te zien waren door anderen. Pas na aandringen via Twitter kreeg Glover daar na twee dagen een reactie op. De data waren niet in te zien geweest door derden. In de reacties van Babylon Health valt op dat men veel moeite doet om het voorval als beperkt en klein voor te stellen. Aan alles is te merken dat men de gebeurtenissen probeert te downplayen.

Niet betrouwbaar

Eerder was al duidelijk dat de app niet altijd bij de triage tot juiste conclusie komt. Een NHS-arts, oncoloog David Watkins, had al vanaf 2017 meerdere malen, melding gemaakt van onjuiste diagnoses die uit het triage-deel van de app rolden. Toen hij dit begin dit jaar op een congres nog eens een keer duidelijk over het voetlicht bracht, ging Babylon Health volledig los. Op een infame wijze keerde het bedrijf zich op Twitter en in een persverklaring tegen deze arts.

Het trieste is dat Watkins deze problemen al in 2018 meldde aan de Care Quality Commission, onder leiding van professor Steve Field  meldde, maar dat die commissie er vervolgens niets mee deed.

Gevaar

Het maken van apps voor videoverbindingen tussen patiënt en huisarts, waarbij de gesprekken opgenomen en bewaard worden houdt altijd een risico van een datalek in. Het is maar helemaal de vraag of dit nu de wijze is waarop grootschalig digitaal tussen patiënt en arts overlegd moet worden. Nog gevaarlijker is het als de app het werk is van een commerciële organisatie die niet altijd open is in haar berichtgeving en zich niet gedraagt zoals men van een dergelijke dienst zou mogen verwachten. Rory Glover liet zich overigens per direct uitschrijven bij de GP At Hand praktijk.

Het gebeurde in het Verenigd Koninkrijk. Laat het een waarschuwing zijn voor Nederland.

W.J. Jongejan, 15 juni 2020

Image by Steve Buissinne from Pixabay