Brabants ziekenhuis merkte jarenlang datalekken niet op

De beveiliging van medische dossiers van het Bravis Ziekenhuis in Roosendaal faalde jarenlang terwijl het dit niet in de gaten had. Een secretaresse van het ziekenhuis heeft gedurende ten minste vier jaar onrechtmatig in medisch dossiers van bekenden gekeken. De medewerkster had zonder behandelrelatie vrijwel onbeperkt toegang tot de medische dossiers.

Dat blijkt uit onderzoek van NRC dat mede gebaseerd is op interne correspondentie en gespreksopnames. De secretaresse bevestigt de inzage maar weigert verder commentaar. Ze bekeek tussen juni 2014 en juli 2018 in totaal 347 keer de medische dossiers van de ex-vrouw van haar partner. Zij richtte een uitgeverij op die in eigen beheer een boek uitgaf van haar partner. Deze ‘wraakroman’ beschreef de vechtscheiding van haar man met zijn ex-vrouw waarin medische details over de voormalige partner zijn verwerkt. Het boek is inmiddels verboden.

Het slachtoffer heeft het ziekenhuis inmiddels aansprakelijk gesteld vanwege nalatigheid. Het is de eerste keer dat een patiënt een ziekenhuis aanklaagt om een datalek.

Na incassobureaus melden Nederlandse ziekenhuizen de meeste datalekken in Nederland. Organisaties zijn verplicht datalekken te melden bij de Autoriteit Persoonsgegevens. In 2019 ontving de toezichthouder in totaal 27.000 meldingen. Daarvan waren 1.890 afkomstig van ziekenhuizen: die meldden gemiddeld 36 maal per week een datalek.

De toezichthoudende Autoriteit Persoonsgegevens (AP) gaat niet in op individuele zaken. Twee jaar geleden legde de AP een boete van 460.000 euro op aan het HagaZiekenhuis nadat 85 medewerkers het medisch dossier van realityster Barbie hadden bekeken.

Het is onbekend in hoeverre de secretaresse vóór juni 2014 in dossiers gluurde. Toen kreeg het Bravis een nieuw elektronisch patiëntendossier en werd alle informatie uit de oude systemen is gewist. Dit is ruim twee jaar voor het slachtoffer verzwegen.

Het Bravis (ruim 170.000 patiënten en 2.150 medewerkers) weigert „omwille van de privacy van betrokkenen” op de zaak in te gaan, en wil niks kwijt over zijn beveiligingsbeleid. Het ziekenhuis ontsloeg de secretaresse, meldde „het voorval” bij de toezichthouder en heeft na onderzoek de „informatiebeveiliging verder aangescherpt”. Wat het ziekenhuis precies heeft gemeld en verbeterd, en waardoor een secretaresse zonder behandelrelatie jarenlang vrijwel ongelimiteerd dossiers van patiënten in kon, wil het ziekenhuis niet zeggen.

‘Alarmbellen moeten afgaan’

Bart Jacobs, computerbeveiligingsexpert en hoogleraar aan de Radboud Universiteit in Nijmegen ziet het datalek bij het Bravis als kwalijk. „Op basis van de informatie die u voorlegt blijkt dat de administratief medewerker vrijwel onbeperkt toegang heeft tot alle medische dossiers. Dat is fout.”

De wetenschapper rekent het het ziekenhuis zwaar aan dat het de noodstopprocedures niet controleerde. „Alle alarmbellen behoren af te gaan als een medewerker zonder behandelrelatie zo systematisch in de dossiers zit. De vormen van noodtoegang zijn potentieel gevaarlijk. Het is essentieel dat zulke logs nadien gecontroleerd worden, 100 procent. Het is nalatig als je dat niet doet. ”

Gerrit-Jan Zwenne, hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden stelt: „Op basis van uw informatie lijkt dit een redelijk serieus datalek, aangezien het over zo’n lange periode plaatsvond, niet door het ziekenhuis zelf werd ontdekt en omdat het om medische gegevens gaat. Het feit dat er vóór juni 2014 geen logging was, duidt erop dat de beveiliging niet toereikend was.”

Advocaat Paul Tjiam eist namens het slachtoffer dat de rechter „over deze grove nalatigheid oordeelt, aangezien het ziekenhuis verstoppertje speelt. De medische dossiers van alle patiënten van het Bravis Ziekenhuis zijn jarenlang volstrekt onbeschermd geweest en mogelijk nog steeds. Wat met cliënte is gebeurd, kan iedere patiënt van het Bravis Ziekenhuis gebeuren.”

Lees meer op nrc.nl