De vinder van de USB-stick heeft deze thuis geopend en daarna besloten hem naar het Flevoziekenhuis terug te geven. Op de USB-stick stonden oude gegevens van 4325 personen. Het datalek betrof patiënten die tussen 2014 en 2017 in behandeling waren bij de gipskamer.
Berperkt informatie op USB-stick
De informatie bevatte geen adresgegevens of BSN-nummers en slechts een beperkte hoeveelheid medische gegevens. De gegevens die er wel op stonden waren de naam, geboortedatum, het patiëntnummer en een korte, inhoudelijke, beschrijving van de aard van de botbreuken en de wijze van behandeling. Het Flevoziekenhuis heeft alle betreffende patiënten middels een brief geïnformeerd over het datalek en excuses gemaakt voor het feit dat dit heeft kunnen gebeuren.
De medewerker had de patiëntgegevens op de USB-stick gezet om in een later stadium de effectiviteit van de behandeling te kunnen analyseren. Anita Arts, voorzitter van de Raad van Bestuur zegt over het voorval: “Dit had écht niet mogen gebeuren. Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Beide was hier niet het geval. En áls opslaan van patiëntgegevens al gepermitteerd is, dan moet het veilig gebeuren. We nemen dit zeer serieus. In het Flevoziekenhuis gelden regels omtrent het beschermen van de privacy. Patiënten moeten er op kunnen rekenen dat hun informatie veilig is bij ons. We doen er alles aan om herhaling te voorkomen.”
Datalek gemeld bij AP
Het incident is, conform de regels omtrent datalekken, gemeld bij de Autoriteit Persoonsgegevens (AP). Samen met een extern bureau is een onderzoek ingesteld. Ook zijn de bestaande regels en protocollen voor het bewaren en gebruik van patiëntgegevens verder aangescherpt. Zo is het gebruik van USB-sticks, ook als die beveiligd zijn, voor het opslaan van herleidbare persoonsgegevens per direct verboden. Er zijn, zo zegt het ziekenhuis, voldoende eilige alternatieven zoals beveiligde email, een beveiligde messenger-service voor zorgverleners en een beveiligde thuiswerkomgeving.
Binnen enkele maanden wordt het technisch onmogelijk om vanaf een computer in het Flevoziekenhuis gegevens over te zetten op een USB-stick. Tot slot heeft het Flevoziekenhuis een oproep gedaan aan alle medewerkers om alle onbeveiligde USB-sticks, voor zover die nog in het ziekenhuis aanwezig zijn, in te leveren.
Datalekken komen natuurlijk overal voor, maar ze zijn bepaald geen uitzondering in de zorg. In tegendeel, de zorgsector is al geruime tijd koploper. In de eerste helft van 2019 ontving de Autoriteit Persoonsgegevens 11.906 meldingen van datalekken, ongeveer 2.000 meldingen per maand. Daarvan was 31 procent afkomstig uit de zorgsector.
