image

Harde schijf met gegevens 781 kankerpatiënten gestolen

donderdag 3 maart 2016, 14:09 door Redactie, 11 reacties

Afgelopen december is een onbeveiligde externe harde schijf gestolen met de gegevens van 781 kankerpatiënten van het Antoni van Leeuwenhoek Ziekenhuis, zo heeft het ziekenhuis bekendgemaakt. De harde schijf werd samen met andere spullen uit de kofferbak van een onderzoeker gestolen.

Het ziekenhuis stelt dat het geen enkele aanleiding heeft om te denken dat de diefstal gericht was op de onderzoeksgegevens. Tot op heden is de gestolen schijf niet teruggevonden. De kans dat dit alsnog gebeurt is "uitermate klein", aldus de verklaring. De diefstal is pas recent aan het Antoni van Leeuwenhoek gemeld.

Beleid

Volgens het ziekenhuis is er beleid dat medewerkers verbiedt om patiëntengegevens op onbeveiligde informatiedragers mee te nemen. "Dat dit toch is gebeurd, betreuren we ten zeerste", laat het Antoni van Leeuwenhoek weten. Het gaat om gegevens van 781 patiënten die deelnemen of -namen aan wetenschappelijk onderzoek. Van hen zijn 199 patiënten in leven. Zij zijn vandaag allemaal persoonlijk geïnformeerd.

De externe harde schijf bevatte kopieën van bestanden van het Antoni van Leeuwenhoek. Het gaat om gecodeerde informatie die te maken had met deelname van patiënten aan wetenschappelijk onderzoek. Daarnaast staat er ook een aantal bestanden op van rapportages waarin de voortgang van de experimentele behandeling van patiënten wordt beschreven. In deze laatste bestanden staan persoonlijke gegevens zoals naam, geboortedatum, het type tumor en de voortgang van de experimentele behandeling.

Maatregelen

Naast het informeren van de patiënten is er ook een informatienummer geopend dat patiënten met vragen kunnen bellen en worden er informatiebijeenkomsten georganiseerd. De vermissing van de externe harde schijf is gemeld bij de politie, de Autoriteit Persoonsgegevens en de Inspectie voor de Volksgezondheid (IGZ). Daarnaast is het bestaande beveiligingsbeleid opnieuw onder de aandacht van medewerkers gebracht, evenals de noodzaak van het direct melden van beveiligingsincidenten. Wat betreft de onderzoeker die de regels overtrad is die volgens het ziekenhuis ter verantwoording geroepen en zijn er passende maatregelen genomen.

Reacties (11)
03-03-2016, 14:30 door Anoniem
wat heb je aan een veiligheidsbeleid als medewerkers zich hieraan niet storen?
03-03-2016, 15:08 door buttonius
Door Anoniem: wat heb je aan een veiligheidsbeleid als medewerkers zich hieraan niet storen?
Een veiligheidsbeleid is altijd een compromis tussen veiligheid en gebruikersgemak. In zo'n situatie kunnen fouten gemaakt worden (en dat is hier gebeurd).
03-03-2016, 16:26 door Anoniem
Door buttonius:
Door Anoniem: wat heb je aan een veiligheidsbeleid als medewerkers zich hieraan niet storen?
Een veiligheidsbeleid is altijd een compromis tussen veiligheid en gebruikersgemak. In zo'n situatie kunnen fouten gemaakt worden (en dat is hier gebeurd).
De medewerker moet hebben geweten dat afvoer van een HD verkeerd was. Dat zijn niet zomaar fouten..
03-03-2016, 16:56 door Anoniem
Het bestaande informatiebeveiligingsbeleid is opnieuw onder de aandacht van medewerkers gebracht, evenals de noodzaak van het direct melden van informatiebeveiligingsincidenten.
En dat is het enige wat het ziekehuis kennelijk afdoende acht om herhaling te voorkomen?
Meer maatregelen om herhaling te voorkomen geeft men tussen de berg aan 'we hebben nu even oog voor de slachtoffers van het datalek' namelijk niet aan.

Hebben ze daar geen privacy officer die van wanten weet of is er een directie die liever geloofd in het sprookje dat het hebben van een beleid de wettelijke verplichting van afdoende technische en organisatorische maatregelen dekt?

Kennelijk is de WBP met zelfs een meldplicht nog niet doordringend genoeg om als managers/eigenaar te beseffen wanneer je de privacy van anderen na een groot lek eigenlijk nog steeds niet serieus neemt.
03-03-2016, 16:58 door Anoniem
Ik denk dat je beter kan faciliteren dan beleid afdwingen...
03-03-2016, 17:08 door Anoniem
Waarom je netwerk en datadragers beschermen als je tegenwoordig ook gewoon een datalek/cyberverzekering kan afnemen? Of je nu 100 patiëntendossiers uitlekt, of een hele provincie aan dossiers. De verzekering dekt de financiële schade en regelt al het nodige papierwerk.

Een zorg minder voor een vast bedrag per maand. Wel zo makkelijk!
03-03-2016, 19:12 door superglitched
Door Anoniem: Waarom je netwerk en datadragers beschermen als je tegenwoordig ook gewoon een datalek/cyberverzekering kan afnemen? Of je nu 100 patiëntendossiers uitlekt, of een hele provincie aan dossiers. De verzekering dekt de financiële schade en regelt al het nodige papierwerk.

Een zorg minder voor een vast bedrag per maand. Wel zo makkelijk!
Geen bescherming valt al snel onder nalatigheid. Een verzekering zou wel erg slechte voorwaarden moeten hebben om dan verplicht uit te moeten keren.
03-03-2016, 22:48 door Anoniem
Door Anoniem: wat heb je aan een veiligheidsbeleid als medewerkers zich hieraan niet storen?
Uh, een afschuifsysteem?


We beseffen dat er patiënten zijn die dit nieuws via de media zullen vernemen. Dat betreuren we ten zeerste en ook hiervoor bieden we onze excuses aan.
+
"passende maatregelen"
Denk daar eens over na... Een ziekenhuis hé mensen.
Ik hoop dat "passende maatregelen" betekent dat die lutser zelf bij alle betrokkenen (aan huis, begraafplaats, whatever) langs gaat met een bloemetje om uit te leggen wat voor lutser het nu eigenlijk is.
Maar dat denk ik niet, want dan had dat de eerste zin in het artikel geweest...

Gelukkig hebben de slachtoffers bericht gehad. Gelukkig maar...
04-03-2016, 10:24 door Anoniem
Het zou natuurlijk ook kunnen dat de medewerker in kwestie een leuk bedrag heeft gekregen van een farmaceut voor al die onderzoeksdata en de schijf als gestolen heeft opgegeven om dit te verbergen. Zo'n onderzoek zelf uitvoeren is vast een kostbare aangelegenheid.
04-03-2016, 18:48 door [Account Verwijderd]
[Verwijderd]
04-03-2016, 22:43 door Anoniem
Door Anoniem: Het zou natuurlijk ook kunnen dat de medewerker in kwestie een leuk bedrag heeft gekregen van een farmaceut voor al die onderzoeksdata en de schijf als gestolen heeft opgegeven om dit te verbergen. Zo'n onderzoek zelf uitvoeren is vast een kostbare aangelegenheid.
Zou het dan niet simpeler zijn om gewoon de data te kopiëren?
Door Buran: Strafrechtelijke vervolging is het enige wat helpt. Zorg er onderhand maar eens voor dat er wat veroordelingen plaatsvinden wegens "nalatigheid" of zo en je zult een bewustwording kweken bij iedereen die iets met vertrouwelijke data van doen heeft.
Het contract van de medewerker wordt niet verlengd. Dat lijkt misschien mild, maar het is heel goed mogelijk dat dat voor deze persoon al zo'n schok is dat die de rest van zijn of haar leven die fout niet nog een keer maakt.

Het effect van zware sancties kan trouwens zijn dat mensen bang worden om gemaakte fouten toe te geven. Hoe langer een fout onbekend blijft hoe groter de schade vaak is. Mogelijk was daar hier al sprake van, het werd erg laat gemeld door de medewerker. Een van de beste manier om de schade van fouten te minimaliseren en tegelijk het bewustzijn te vergroten is een sfeer kweken waarin er openlijk over fouten kan worden gepraat en ook werkelijk wordt gepraat. Wat is er misgegaan, hoe had dat voorkomen kunnen worden, hoe lastig is het om dat ook echt te voorkomen, wat kan er gedaan worden om dat makkelijker te maken. De meeste mensen hebben een geweten dat goed genoeg functioneert om zich daar wat van aan te trekken. Vervolging of zware sancties zijn daar geen vervanging voor, mensen die niet weten hoe je het goed doet en die dat niet durven toe te geven door de heftige reacties daarop maken juist fouten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.