Berichten

Foutieve digitale verzending labdata bij dokters met zelfde naam

/door

lab-onderzoek

Een keten is zo sterk als de zwakste schakel. Dat is de bekende conclusie die ook weer toepasselijk was bij de digitale doorgifte van laboratoriumuitslagen richting zorgaanbieders. Enkele dagen terug trok een Twitter-bericht van een huisarts uit het zuiden des lands mijn aandacht. Die meldde dat hij bij herhaling laboratoriumuitslagen uit een groot ziekenhuis kreeg betreffende patiënten die niet bij hem in de praktijk ingeschreven zijn en die hij niet zelf aanvroeg. In het 55 km van zijn praktijk afliggende ziekenhuis werkt wel zijn broer als specialist. Zo af en toe heeft hij er een patiënt onder behandeling of opgenomen. Onveranderlijk ging het om foutief verzonden laboratoriumuitslagen van patiënten van zijn broer die specialist in dat ziekenhuis is. Het gaat hier om medische gegevens die onterecht naar een verkeerde ontvanger gezonden worden, ook al is die ontvanger iemand die onder het medisch beroepsgeheim valt. Het gaat evenals een fax die naar een verkeerde ontvanger gestuurd kan worden om een datalek. Nu vraag je je af hoe zoiets in een sterk geautomatiseerde en geformaliseerde wereld die rond labuitslagen bestaat mogelijk is. Het blijkt zoals eigenlijk altijd te gaan om een menselijke fout.

Lees meer

Beginnersfouten bij verlies patiëntgegevens door Patiëntenfederatie Nederland

/door

desperaatGisteren, op 21-december 2017 maakte de Patiëntenfederatie Nederland(PN) bekend dat bij een recente verhuizing van het kantoor in Utrecht een mobiele harde schijf met daarop bedrijfs- en patiëntengegevens vermist geraakt is. De patiëntgegevens betreffen data van vijf en twintig duizend leden van het patiëntenpanel van PN. Het gaat daarbij om persoonsgegevens van mensen die deel hebben genomen aan een panelgroep zoals emailadres, leeftijd, man of vrouw en opleiding. En informatie over de persoonlijke situatie zoals wat voor aandoening men heeft. Ook de persoonsgegevens van mensen die in juni of juli 2017 bij de Patientenfederatie een niet-reanimeren penning hebben aangevraagd stonden op deze externe schijf. Het gaat dus om zeer privacygevoelige gegevens. Uit de tekst die PN verspreidt heeft via haar website blijkt dat men een aantal beginnersfouten heeft gemaakt die de vermissing toch wel in een bijzonder daglicht stellen. Naast het feit dat deze data überhaupt op een mobiele harde schijf verdaagd zijn lijkt er ook sprake van te zijn dat deze niet beveiligd was door middel van versleuteling of wachtwoord. Bovendien lijkt het waarschijnlijk te gaan om een  bestand(mogelijk Excel) dat blijkbaar ook niet beveiligd was door een wachtwoord.

Lees meer

Datalek Amersfoort blijft lakmoestest voor Autoriteit Persoonsgegevens

/door

lakmoestest

Het is nu tien maanden terug(28 januari 2016) dat de gemeente Amersfoort een enorm datalek had doordat een medewerker van de afdeling sociale wijkteams zorggegevens van 1900 burgers in een onbeveiligde Excel-sheet per onbeveiligde email naar een verkeerde geadresseerde stuurde. De melding van het datalek aan de Autoriteit Persoonsgegevens(AP) deed de gemeente bovendien niet zelf. De foutief geadresseerde meldde het datalek aan de AP waarna de AP aan de gemeente Amersfoort vroeg hoe het zat. Een bestuurlijk rel was geboren die tot eind september voortsudderde.  Nog steeds deed de AP geen uitspraak over het al dan niet opleggen van sancties aan de Gemeente Amersfoort. Op zich is daar wel alle reden voor, zeker in het  licht van de zeer forse uitbreiding van de sanctiemogelijkheden die de AP op 1 januari 2016 kreeg. Er blijken flink wat datalekken te bestaan. Het dagblad Trouw meldde op 24 november  dat de AP sinds 1 januari bericht kreeg over 4700 datalekken, waarvan er 304 uit de ziekenhuizen kwamen. Dat komt neer op één per dag. De casus Amersfoort is zo interessant omdat het een bijzondere situatie betreft die een soort lakmoestest is voor wat betreft het gezag van de AP in het veld.

Lees meer

Datalek door diefstal laptop coassistent. Wie is waar aansprakelijk voor?

/door

stealing-294489_640

Weer is er een datalek van zorgdata. Nu door diefstal van een laptop met daarop patiëntgegevens in een Excel-bestand. Dat bericht het Isala-ziekenhuis in Zwolle vandaag in een persverklaring. Het gaat om patiënten van de afdeling plastische chirurgie. In het Excel-bestand staan van 504 mensen de patiëntnamen, patiëntnummers, geboortedata en enkele relevante medische gegevens over het carpaal tunnel syndroom. De laptop blijkt het eigendom te zijn van een coassistent te zijn. Niet een directe werknemer van het ziekenhuis, maar iemand in opleiding tot basisarts in de laatste fase van de studie.  In dit specifieke geval is de vraag wie waar verantwoordelijk en aansprakelijk is. Weer speelt het probleem, zoals eerder met een gestolen mobiele harde schijf in het Anthonie van Leeuwenhoek-ziekenhuis(AvL) te Amsterdam  in maart dit jaar, dat de gegevens niet op de laptop hoorden te staan en dat het betreffende bestand niet beveiligd en versleuteld was. Het is in Excel een koud kunstje om een bestand met een wachtwoord te vergrendelen, zodat inzage niet zomaar mogelijk is. Los van die beveiliging zou een Excel-bestand met zorgdata op een mobiele gegevensdrager cryptografisch versleuteld dienen te zijn. Versleutelingsprogramma’s zijn tegenwoordig zelfs als freeware al te downloaden en maken na diefstal inzage zeer moeilijk dan wel onmogelijk.

Lees meer

Klungelige doofpot-poging bij datalek in Amersfoort

/door

doofpot

Op 15 juni is het onderzoekrapport dat Verdonck Klooster & Associates(VKA) maakte over het datalek in de gemeente Amersfoort gepubliceerd. Het gaat daarbij om het versturen van een Excel-bestand met (jeugd)zorg-gegevens van rond de 1900 burgers per email naar een foutief emailadres. Het rapport laat tussen de regels door zien dat vanaf 28 januari, toen het bestand verstuurd werd, langdurig door diverse diensten binnen de gemeente gedacht is dat het probleem ondershands op te lossen was. Het duurde tot 7 april voor de gemeente het datalek meldde aan de Autoriteit Persoonsgegevens(AP). Dat gebeurde pas nadat de AP zelf de gemeente belde met de mededeling dat de foutieve ontvanger van de email de AP op de hoogte had gesteld van het datalek. Drie diensten van de gemeente de afdeling Sociale Wijkteams(SW), IT-Dienstverlening en Advies(IDTA) en Juridische Dienstverlening en advies(JDA) wisten in de tussentijd van het probleem, evenals de gemeentesecretaris. De verantwoordelijk wethouder Imming was al die tijd niet op de hoogte van het probleem.

Lees meer