Weer datalek met patiëntgegevens op mobiele gegevensdrager

firefighters-808901_640

Het is weer raak en je kon er ook gewoon weer op wachten. Een mobiele gegevensdrager, in dit geval een USB-stick, met daarop medische gegevens, raakte zoek bij verzending per post. Naar verluidt zijn de gegevens op de USB-stick niet versleuteld geweest. Op de website van het Algemeen Dagblad staat vanmorgen een artikel hierover. De gegevens betreffen de afhandeling van een schadeclaim die de GGD IJsselland aan de broek kreeg na een onterechte aangifte van verwaarlozing bij het Advies Meldpunt Kindermishandeling in 2013. De USB-stick was verstuurd naar SMI-Expertises, een onafhankelijk bureau voor de claimafhandeling van medische- en professionele beroepsfouten. Hij bevatte gedetailleerde informatie over de gezinssituatie, de onterechte beschuldiging bij het meldpunt kindermishandeling, onderzoeksrapporten en documenten van bureau jeugdzorg. Al met al dus zeer gevoelige informatie.

Grove fouten

Zoals eerder door mij betoogd bij het verlies van een mobiele harde schijf met behandelgegevens van het Anthonie van Leeuwenhoekziekenhuis zijn hier weer elementaire fouten gemaakt met gegevens die onder het medisch beroepsgeheim vallen. In de eerste plaats is het op een USB-stick zetten van deze data en vervolgens deze per post versturen de grootste fout. Daarnaast is het onvergeeflijk dat de data niet versleuteld op het medium stonden. Voor het versturen van deze informatie zijn beveiligde elektronische kanalen voorhanden, maar ook het simpel door een eigen personeelslid koerier doen bezorgen van het dossier bij SMI-Expertises was een veilige manier geweest. Het is verbazingwekkend hoe vaak in de zorg de elementaire regels op dit vlak geschonden worden.

Verantwoordelijkheid

De directeur van GGD IJsselland zegt de gang van zaken ten zeerste te betreuren en alles in het werk te stellen om de gevolgen zo veel mogelijk te beperken. Het zijn bezwerende woorden bij een kwaad dat al geschied is. Weg is weg. De directie is ten volle verantwoordelijk voor wat een personeelslid in deze kwestie gedaan heeft. Blijkbaar zijn er binnen de organisatie geen voorschriften hoe met mobiele gegevensdragers wordt omgegaan. Het is ook niet aannemelijk dat het beoordelen en verzamelen van de informatie voor verzending door een subaltern personeelslid is gedaan. Gegevens die bestemd zijn voor de afhandeling van een schadeclaim worden meestal hoog in de organisatie afgehandeld. Evenmin kan ik me voorstellen dat de betrokken, hogere, medewerker een ander opdracht heeft gegeven de USB-stick in een envelop te stoppen en te doen verzenden. Het is zorgelijk dat dit bij een organisatie als de GGD kan gebeuren.

Zorg-breed

Dankzij de meldplicht van datalekken is het vanaf 1 januari 2016 niet meer mogelijk dit soort incidenten onder het tapijt te vegen. Naar mijn inschatting wordt er zorg-breed zeer nonchalant met vastgelegde medische informatie omgegaan. Het risicobewustzijn is ronduit zorgwekkend. Het varieert van het op een werkstation plakken van toegangscode met wachtwoord of het in de kaartlezer laten staan van een toegangspas bij hertverlaten van de werkplek tot het uitermate slordig omgaan met medische informatie op al dan niet mobiele gegevensdragers. Zorgverleners willen primair zorg verlenen en vinden databeveiliging vaak alleen maar lastig.

Het zal vermoedelijk niet lang duren voor er weer een datalek in de zorg aan het licht komt.

W.J. Jongejan