3 maart 2020 Flevoziekenhuis informeert patiënten over datalek

Het Flevoziekenhuis heeft patiënten geïnformeerd over een datalek dat heeft plaatsgevonden. 
Een zorgverlener van het Flevoziekenhuis heeft ongeoorloofd patiëntgegevens op een USB-stick gezet. Deze USB-stick is verloren op een parkeerterrein nabij het Flevoziekenhuis. De USB-stick is door een gebruiker van het parkeerterrein op 9 oktober gevonden. De vinder heeft thuis de USB-stick even geopend en besloten deze terug te brengen naar het Flevoziekenhuis.

De USB-stick bevatte oude gegevens van 4325 patiënten die in de periode 2014 tot en met 2017 in behandeling waren bij de gipskamer. Het gaat om de volgende gegevens: naam, geboortedatum, patiëntnummer en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling. Het bestand bevatte geen adresgegevens en Burgerservicenummers (BSN), en geen overige medische gegevens. De gegevens waren volgens de betrokkene op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren. Het Flevoziekenhuis heeft alle patiënten die het betreft met een brief op het huisadres geïnformeerd.

“Dit had écht niet mogen gebeuren”, zegt Anita Arts, voorzitter van de raad van bestuur. “Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Beide was hier niet het geval. En áls opslaan van patiëntgegevens al gepermitteerd is, dan moet het veilig gebeuren. We nemen dit zeer serieus. In het Flevoziekenhuis gelden regels omtrent het beschermen van de privacy. Patiënten moeten er op kunnen rekenen dat hun informatie veilig is bij ons. We doen er alles aan om herhaling te voorkomen”.

Het incident is na de ontdekking gemeld bij de Autoriteit Persoonsgegevens. Er is met behulp van een extern bureau een onderzoek ingesteld. Het Flevoziekenhuis heeft de betrokken patiënten geïnformeerd over het datalek en hen onze oprechte excuses aangeboden. 

De bestaande regels en protocollen rond het bewaren en het gebruik van patiëntengegevens zijn verder aangescherpt. Het is voortaan verboden om USB-sticks (ook beveiligde) te gebruiken voor het opslaan van herleidbare persoonsgegevens. Het gebruik van onbeveiligde USB-sticks is sowieso niet meer toegestaan. Het Flevoziekenhuis heeft alle medewerkers opgeroepen om onbeveiligde USB-sticks die nog aanwezig waren in het ziekenhuis, in te leveren. Vanaf de zomer wordt het technisch onmogelijk om vanaf een computer in het Flevoziekenhuis gegevens over te zetten op een USB-stick. Het Flevoziekenhuis beschikt over voldoende veilige alternatieven zoals beveiligde email, een beveiligde messenger-service voor zorgverleners en een beveiligde thuiswerkomgeving. Alle medewerkers zijn actief gewezen op het aangescherpte beleid.