NOS NieuwsAangepast

Met nieuwe wet hebben ook tandartsen die patiëntgegevens lekken een probleem

  • Joost Schellevis en Roselien Herderschee

  • Joost Schellevis en Roselien Herderschee

Namen, bsn-nummers, en zelfs globale medische informatie. Vijf tandartspraktijken maakten die gegevens per ongeluk toegankelijk voor iedereen die wist waar hij ongeveer moest zoeken. Van wachtwoorden of andere beveiligingsmaatregelen waren de gegevens niet voorzien. Ook het aanpassen van de data was mogelijk.

"Ik kwam deze gegevens tegen toen ik bezig was met het voorbereiden van een gastles", zegt tweedejaars student technische informatica Tim Koers, de ontdekker van het datalek. "Na drie tot vier minuten zoeken kwam ik dit tegen." Koers stuitte erop via Zorgsom, een systeem waarmee patiënten een indicatie kunnen krijgen van hoeveel ze terugkrijgen van hun zorgverzekering.

In de video hieronder legt Koers uit hoe hij per toeval de gegevens van duizenden patiënten ontdekte:

'Ik ontdekte allerlei gegevens van patiënten'

Met de nieuwe privacywet, die op 25 mei ingaat, kan dit soort datalekken worden bestraft, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. "Nu kunnen we alleen boetes opleggen als sprake is van opzet of schuld. Maar straks geldt: als het fout is, is het fout." Juist in een sector die zoveel met gevoelige informatie werkt, is dat volgens hem belangrijk.

Koploper

De zorg is koploper bij het lekken van data. Van de tienduizend datalekken die vorig jaar zijn gemeld, kwam bijna een derde uit de zorg. Vooral ziekenhuizen en apotheken lekten veel data, in de meeste gevallen door informatie per ongeluk naar de verkeerde persoon te sturen.

"We zien te vaak dat er slordig met zorgdata wordt omgegaan en dat de beveiliging niet goed op orde is", zegt Wolfsen. Daar staat tegenover dat de zorg volgens hem datalekken relatief snel en goed meldt.

Sinds 2016 moeten datalekken verplicht worden gemeld bij de Autoriteit Persoonsgegevens. Maar sancties waren er tot dusver niet. In ruim twee jaar is geen enkele boete opgelegd, onder meer omdat de lat daarvoor nu erg hoog ligt.

Dat gaat veranderen, zegt Wolfsen. "Tegen dit soort datalekken kunnen we straks sneller en makkelijker optreden".

Schrikken

Tandarts Aad Hermann schrikt als hij hoort dat er persoonlijke gegevens van zijn cliënten onbeveiligd op het web gestaan hebben. "Mensen staan te goeder trouw bij ons ingeschreven. Het is natuurlijk niet de bedoeling dat hun gegevens op straat komen te liggen. Ook al zijn de gegevens waar ik mee werk minder gevoelig dan gegevens uit bijvoorbeeld de jeugdpsychiatrie, het gaat toch om persoonlijke informatie."

Patiëntdata in Zorgsom (geanonimiseerd)

Volgens Koers, die het lek ontdekte, zijn de data van 7600 mensen toegankelijk geweest. De kans is zeker aanwezig dat er gegevens zijn misbruikt, omdat ze zo eenvoudig te vinden waren en niet van een wachtwoord waren voorzien.

De tandartspraktijken moeten het lek melden bij de Autoriteit Persoonsgegevens, zegt tandartsenberoepsorganisatie KNMT ."Dit is een goed voorbeeld van wat er mis kan gaan als hier niet genoeg aandacht aan wordt gegeven", aldus een woordvoerder van die organisatie.

Vertrouwen

Maar dat is dan ook best lastig, zegt tandarts Hermann. "Ik werk met persoonlijke gegevens", zegt hij. "En ik vind het natuurlijk heel belangrijk dat die goed beschermd worden, maar zo'n datalek gaat bijna boven mijn pet." Hij dacht dat hij wel veilig zat. "Dat blijkt toch niet helemaal zo te zijn." Hij heeft het datalek gemeld.

Kun je van mensen die zijn opgeleid om zorg te verlenen, wel verwachten dat ze de ins en outs van hun ICT-systemen kennen? Wolfsen vindt van wel. "Bij goede zorgverlening hoort ook dat je goed omgaat met de data van je patiënten", zegt Wolfsen.

Patiënten delen intieme gegevens. "Intiemer kán bijna niet. Daar is het beroepsgeheim ook voor. Je verwacht van een zorgverlener dat hij dat heel netjes en zorgvuldig behandelt", zegt Wolfsen. Die zorgverlener is volgens hem daarom verantwoordelijk voor de beveiliging. "Ook als hij dat gedeelte uitbesteedt aan een ander."

Het soort gegevens dat in Zorgsom staat (met voorbeeldata, niet van een echte patiënt)

Amateuristisch netwerkbeheer

Directeur Edgar van der Geest van Zorgsom zegt dat de fout ligt bij 'amateuristisch netwerkbeheer bij de praktijken'. Hoewel zijn bedrijf de software maakt, zijn de tandartspraktijken verantwoordelijk voor de beveiliging van het systeem.

"Soms wordt de ict bij zo'n praktijk verzorgd door een neefje of broertje van een tandarts", zegt Van der Geest. "Het is de verantwoordelijkheid van de praktijk zelf." Toch gaat zijn bedrijf maatregelen nemen. "We gaan vanaf nu actief controleren of er systemen openstaan bij tandartsen."

Van der Geest stipt aan dat het systeem niet is gekoppeld aan het elektronisch patiëntendossier. "Het is bedoeld om mensen een indicatie te geven van de vergoeding van hun zorgverzekering", zegt hij. "Er staan dus mogelijke behandelingen in. Niet elke behandeling die er in staat, is ook per se uitgevoerd."

In de praktijk van Hermann gaat het intussen steeds vaker over de nieuwe privacywet. "Ik maak me toch wel een beetje zorgen over die nieuwe wet en mogelijke boetes, omdat ik dacht dat ik het goed geregeld had en er natuurlijk absoluut geen sprake is van opzet."

Meneer Jansen

Hij hoopt dat de wet zijn dagelijkse praktijk niet al te zeer gaat beïnvloeden. "De toezichthouder heeft gezegd redelijk te blijven, dus daar hoop ik dan maar op", zegt Hermann. "Want als ik de wet heel letterlijk interpreteer, mag ik geloof ik ook niet meer bij de balie de wortelkanaalbehandeling van meneer Jansen benoemen. Dat zou natuurlijk wel een beetje gaan wringen in de dagelijkse praktijk."

Deel artikel:

Advertentie via Ster.nl