Je kon er op wachten: groot datalek zorggegevens gemeente Amersfoort

firefighters-808901_640

Terwijl in de huisartsenwereld inmiddels wijd en zijd inmiddels bekend is dat persoons-/zorggegevens van patiënten niet per gewone e-mail verstuurd moeten worden, blijkt men bij gemeenten er een andere moraal op na te houden. Bij de gemeente Amersfoort verstuurde een ambtenaar meerdere weken geleden gegevens van 1900 burgers, afkomstig van de sociale wijkteams per mail naar een verkeerde persoon. De gegevens betreffen naam, adres, burgerservicenummers, maar gaan ook om de omschrijving van geleverde (jeugd)zorg. Op diverse websites zoals van SKIPR, RTVUtrecht en het Algemeen Dagblad wordt er melding van gemaakt. Nog kwalijker is dat men het voor de eigen wethouder en burgemeester geheim hield. Ook meldde men het niet aan de Autoriteit Persoonsgegevens. Op niet melden staat sinds 1 januari 2016 een boete van ruim achthonderdduizend euro. Uit de berichten blijkt dat de verantwoordelijke wethouder pas enkele dagen geleden is ingelicht. Het is te hopen dat die inmiddels aangifte heeft gedaan van dit datalek bij de Autoriteit Persoonsgegevens.

Zorgen

Al langere tijd hebben zorgkoepels als de KNMG en, LHV, maar ook organisaties die zich bezig houden met de privacy van burgers grote zorgen geuit over de uitvoering van de (jeugd)zorg door de gemeenten. Zowel intern als naar extern schort het aan het bewaren en bewaken van het medisch beroepsgeheim. Veel deelnemers aan sociale wijkteams die niet onder het medisch beroepsgeheim vallen hebben inzage in zeer gevoelige persoonlijke, medische gegevens. Daarenboven vragen de wijkteams bij behandelende artsen veel meer gegevens op dan relevant voor de te geven en door de gemeenten te vergoeden zorg.

Twee grote fouten

Naast de foute adressering zijn naar het zich laat aanzien  de gegevens met gewone e-mail verzonden. Er is dan geen sprake van beveiligde (zorg)mail zoals die in de huisartsen- en ziekenhuiswereld gebruikt wordt. Daarnaast heeft geen cryptografische versleuteling van het bestand plaats gevonden waardoor de gegevens direct in te zien zijn.

Lessen

Er vallen zeer veel lessen te leren uit deze casus, niet alleen door gemeenten, maar ook door regering en parlement. Bij het overhevelen van taken naar de gemeenten, met name ten aanzien van de jeugdzorg is beslist onvoldoende gekeken naar de geheimhoudingsaspecten rond zorggegevens. De (medische) privacy is niet afdoende geborgd door wetsartikelen. Het parlement heeft onvoldoende oog gehad voor deze aspecten. Men heeft het de gemeenten zelf maar laten uitzoeken. Dit zijn daar nu de kwalijke gevolgen van.

Het hele proces van de omgang met privacy gevoelige informatie van burgers door gemeenten zal op de schop moeten.

Zo niet: dan kan men wachten op het volgende incident.

W.J. Jongejan