AVL: bij hack in december waarschijnlijk geen patiëntgegevens gestolen

Het Antoni Van Leeuwenhoek (AVL) is afgelopen december slachtoffer geworden van een computerhack. Dat laat het ziekenhuis weten. Het e-mailaccount van een arts is gehackt na het openen van een phishing mail. Een buitenstaander heeft vervolgens op illegale wijze toegang gekregen tot de e-mails van de arts.

Het Antoni van Leeuwenhoek stelt dat er geen enkele aanleiding is om te denken dat de hacker uit was op patiëntgegevens. De hacker leek uitsluitend geïnteresseerd in het gebruiken van het account voor het versturen van spam. Na constatering van de hack is er direct actie ondernomen. De computer van de arts is vergrendeld. Van de hack zelf is aangifte gedaan bij de politie en een (verplichte) melding gemaakt bij de Autoriteit Persoonsgegevens.

Onderzoek naar gevolgen hack

Het AVL heeft naar eigen zeggen uitgebreid onderzoek verricht naar de gevolgen van de hack. Hieruit blijkt dat enkele e-mails zijn geopend door de hacker. Er zijn geen e-mails gedownload. Sommige e-mails bevatten patiëntgegevens zoals naam en patiëntennummer. In een enkel geval de diagnose en het behandelplan. De mailbox bevatte geen medische dossiers. Hoewel de kans heel klein is dat de hacker patiëntgegevens heeft ingezien, kan het AVL dit niet uitsluiten. Daarom zijn alle patiënten wiens gegevens in de e-mails stonden, per brief geïnformeerd. De brief is op 3 januari verstuurd en in principe op 4 januari bezorgd. Patiënten van het Antoni van Leeuwenhoek die geen brief hebben ontvangen, kunnen er vanuit gaan dat hun gegevens niet in de mailbox voorkwamen. De Raad van Bestuur van het Antoni van Leeuwenhoek stelt het incident ten zeerste te betreuren, ook al heeft deze computerhack geen invloed op de behandeling die patiënten in het ziekenhuis ondergaan of hebben ondergaan. De kwaliteit van de behandeling is dus op geen enkele manier beïnvloed. Ook lopend wetenschappelijk onderzoek kan zonder consequenties doorgaan.

30% datalekken in Zorg & Welzijn

Het aantal meldingen van datalekken is sinds de invoering van de Meldplicht datalekken gestaag gestegen: van ruim duizend in het eerste kwartaal van 2016 tot 2600 in het derde kwartaal van 2017, het laatste volledige kwartaal waarover de gegevens bekend zijn. De sector gezondheid en welzijn heeft opnieuw de meeste meldingen gedaan, bijna 30 procent van het totaal. De Autoriteit persoonsgegevens (AP) stelt dat het toezicht niet gericht is op het uitdelen van boetes, maar op het doel dat organisaties beter om gaan met persoonsgegevens. Op 28 mei 2018 wordt de Algemene verordening gegevensbescherming van toepassing waardoor boetes hoger kunnen uitvallen. Sinds 1 juli 2017 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg van kracht. Deze regelingen brengen met zich mee dat zorginstellingen en zorgverleners goed moeten nadenken over de organisatie en technische beveiliging van hun (elektronische) patiëntendossiers. Eventuele aanpassingen daarin kunnen echter niet los worden gezien van de (overige) typisch gezondheidsrechtelijke regelgeving.