Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties

De Autoriteit Persoonsgegevens heeft drie Nederlandse ziekenhuizen op de vingers getikt vanwege het handelen in strijd met de Wet bescherming persoonsgegevens. De ziekenhuizen hadden geen, of geen goede bewerkersovereenkomsten afgesloten over het digitaliseren van patiŽntdossiers.

De Autoriteit Persoonsgegevens onderzocht de handelwijze van de ziekenhuizen nadat begin dit jaar aan het licht kwam dat ze het Belgische scanbedrijf iGuana in de arm hadden genomen voor het digitaliseren van patiëntdossiers. Ziekenhuizen mogen de verwerking van medische gegevens die nodig is voor het scannen wel uitbesteden, maar daar moeten ze wel een bewerkersovereenkomst voor afsluiten. Deze is wettelijk verplicht bij het uitbesteden van verwerking van persoonsgegevens aan een derde partij.

Bij een van de ziekenhuizen ontbrak zo'n overeenkomst volledig en bij de twee andere voldeed deze niet aan de wettelijke eisen, constateerde de Autoriteit Persoonsgegevens. De overeenkomst moet de verwerking onder andere specificeren en verplichtingen over en weer vastleggen. Daarnaast zijn toezicht en een geheimhoudingsplicht onderdeel van de eisen. De privacyautoriteit heeft de ziekenhuizen kort de tijd gegeven om alsnog voor afdoende overeenkomsten te zorgen, zonder in detail te treden over de lengte van de termijn.

Het bedrijf iGuana bleek begin dit jaar een datalek te hebben waardoor de persoonsgegevens van 200.000 patiënten via internet te benaderen waren. De meeste data betrof Belgische personen, maar ook van duizenden Nederlanders waren de gegevens inzichtelijk.

Moderatie-faq Wijzig weergave

Reacties (40)

Dit zijn toch typisch van die zaken die je als ziekenhuis regelt zonder dat de AP daar om vraagt? Het is toch iets dat je wilt?
Probleem is dat menig afdeling autonoom kan handelen op dit gebied. Net zoals een minister tegen alle waarschuwingen in Gmail wil blijven gebruiken voor officiŽle communicatie zitten er ook op ziekenhuisafdelingen mensen in het management die totaal geen probleem zien in het laten inscannen van patiŽntgegevens door derden. Die zijn van mening dat wanneer je een klus geeft aan een bedrijf dat bedrijf professioneel genoeg is om geen info te lekken of te misbruiken. Ze hebben gewoon geen weet van het feit dat er een bewerkingsovereenkomst gesloten moet worden. Is triest, maar we de praktijk.
Grappig, gezien enkele maanden geleden een web blog gelekte rŲntgen foto's online plaatste. Ook daar had een ingehuurd derde bedrijf drastisch gefaald in het vernietigen van medische gegevens.

Het ergste van dit allemaal is dat de ziekenhuizen niet worden genoemd. Ik wist wel waar ik, nooit meer naar toe zou gaan als dit aan het licht komt. Net zoals ziekenhuizen die worden gehackt of simpelweg basis server configuraties niet toepassen waardoor alle patiŽntendossier toegankelijk zijn via internet. Er zullen velen zijn die dit ook zouden opstellen in vergelijkingswebsites. Dit is legt pure incapabiliteit bloot, het is werkelijk te achterlijk voor woorden als je als ziekenhuis het gevaar niet ziet van het uit te spenderen van deze verwerking van gegevens door derden die dit puur om economische redenen doen en dus om alles bezuinigen. Als het al fout gaat met het simpelweg vernietigen van medisch bewijs kan je vrijwel garanderen dat er gaten in het digitalisering proces zit. De AP dient dus duidelijk de instanties te noemen naar mijn mening, de markt zal wel met ze afrekenen.

Tevens, zover ik wist, moeten ze toestemming van de burger vragen om deze gegevens te digitaliseren?
Ben ik met je eens. Er staat echter geen reden aangegeven en als je een beetje op afstand kijkt. pakweg 352 ziekenhuizen in Nederland. 1 heeft geen overeenkomst en 2 met wat haken en ogen. Valt mij dan dus alleszins mee.
Uit de bron:
De Autoriteit Persoonsgegevens deed daarop navraag bij enkele ziekenhuizen om vast te stellen of deze ziekenhuizen een bewerkersovereenkomst met het scanbedrijf hadden afgesloten die aan de wettelijke eisen voldoet.
Het is niet zo dat alle ziekenhuis bevraagd zijn, maar slechts enkele. Hoeveel is enkele? Minder dan tientallen lijkt me, dus in dat geval kan dit probleem toch behoorlijk grootschalig zijn.
True, had dat stukje even gemist. Al denk ik dat zowel bij iGuana als bij ziekenhuizen er inmiddels toch wel het een en ander nog eens nagekeken wordt n.a.v. de publiciteit.
Als patiŽnt wil je toch weten om welke ziekenhuizen dit gaat? Dat zou pas echt op de vingers tikken zijn.
Dit ben ik met je eens. Ik denk alleen dat er nog wel meer mee speelt. De instanties krijgen eerst de tijd om de problemen op te lossen. Misschien dat afhankelijk daarvan wordt besloten of de namen op een later moment alsnog naar buiten worden gebracht.
Maar de consequentie van het niet openbaren is, dat vandaag en komende tijd nog steeds patiŽnten zich inschrijven bij deze ziekenhuizen en daardoor risico's lopen.
Of, anders gezegd, Autoriteit Persoonsgegevens weegt de belangen van de betreffende ziekenhuizen zwaarder dan de belangen van patiŽnten. Ik vind dat geen goede ontwikkeling, zeker niet omdat de Autoriteit Persoonsgegevens niet toelicht waarom het koos voor uitstel.
Goed punt! Ik ben zeker met je eens dat een toelichting op de keuze voor uitstel(/afstel?) goed zou zijn. Ik kan niet inschatten welke belangen ze hoger stellen, ik heb namelijk geen inzicht in de keuze die ze hebben gemaakt. Misschien is het wel in het belang van de huidige patiŽnten van de instellingen dat het (nog) niet openbaar wordt gemaakt.

Voor nieuwe patiŽnten zie ik inderdaad alleen maar nadelen in dit geval. Ik zelf zou ook graag weten welke ziekenhuizen dit zijn, zodat ik bewust de keuze kan maken om er wel/niet heen te gaan.
Inderdaad, deze anonieme berisping is echt een lachertje. Het enige waar dit soort bestuurders naar luisteren is geld, veel geld, en hun ego. Dus niet een berisping met een belofte om het in het vervolg beter te doen. Maar gewoon direct kei hard straffen, en openbaar maken waar de fout gemaakt is en de bestuurders hiervoor persoonlijk aansprakelijk stellen, moet je zien hoe snel dit soort zaken gefixt zijn.
Is dit iets wat te achterhalen is via de Wet Openbaarheid Bestuur, of hoe heet dat ding?
Fijn dat deze instantie hier direct op inhaakt met onderzoek en ook snel met resultaten naar buiten treed. Hierdoor worden andere bedrijven in nederland misschien ook wakker.

Ik dacht vorig jaar dat het geheel meer een wassen neus is, maar dit soort berichten geven me toch het gevoel dat er een vooruitgang wordt geboekt in Nederland op het gebied van privacy.
Heb ook het gevoel dat zo'n organisatie er tot een paar jaar geleden gewoon voor de vorm zat, maar sinds privacy veel meer een issue is geworden (door o.a. Snowden) er veel meer gemotiveerde en vakkundige mensen in de Autoriteit Persoonsgegevens hebben plaatsgenomen. Het leeft meer en dus moet die organisatie kwalitatief beter werk afleveren.
Privacy een issue in Nederland? Het gros van de mensen zegt nog steeds "als je niks te verbergen hebt, dan heb je niks te vrezen". De gevoeligheid daarvoor ligt hier (helaas) haast op nul.
Punt is dat juist dat je dat als bedrijf niet zomaar kunt roepen. Je hebt je nou eenmaal aan de regels te houden. Het gaat namelijk niet om de privacy van je zelf eigen bedrijf, maar van je klanten / patiŽnten. De awareness onder bedrijven is volgens mij wel flink toegenomen, in elk geval wel in ons bedrijf.
Natuurlijk. Maar we zijn eigenlijk nog veel te laks met dit soort praktijken. Als je betrapt wordt, zou je meteen en onvoorwaardelijk een fikse boete moeten krijgen en voor een bepaalde tijd onder verscherpt toezicht worden geplaatst. Als je dan in herhaling valt, zou je bedrijf opgedoekt moeten worden dan wel overgenomen door de overheid. Het probleem is, dat er een veel te laag prijskaartje hangt aan het schenden van privacy ten opzichte van de opbrengsten dan wel kostenbesparingen die mogelijk zijn door overtredingen.
Het probleem is, dat de bevolking het juist wel zo laks ziet als ik eerder heb beschreven en we daardoor op termijn alle privacy gaan kwijtraken.

[Reactie gewijzigd door Darkstriker op 17 mei 2016 14:49]

En daarom is het dus goed dat deze instantie daar nu verandering in brengt. Door deze misstanden aan de kaak te stelen en in het nieuws te brengen veranderd dit ook een hoop in het dagelijks leven. Ik merk nu al dat bijvoorbeeld het lek met de belgische/nederlandse ziekenhuizen ook meer leeft onder de "normale" bevolking. Juist omdat dergelijke dingen nu naar buiten worden gebracht waar dat voorheen niet zo was.
Dat is jaren zo geweest maar de laatste jaren is er juist een ommekeer gaande, juist door de onthullingen van Snowden. Het is niet dat de Nederlander nu massaal zijn privacy beschermt, maar het is een punt geworden dat weer begint te leven.
De Autoriteit Persoonsgegevens was vroeger altijd het College persoonsgegevens alleen sinds dit jaar is de naam veranderd en zijn ze ook bevoegd om boetes uit te delen. Misschien komt dit ook hierdoor dat er nu gewoon zwaarder toezicht is.
Het selecteren van een bedrijf om je dossiers te archiveren is iets dat vaak maanden in beslag neemt. In die tijd is er dus niemand bij zowel de ziekenhuizen als bij het scanbedrijf geweest die het idee had om een bewerkersovereenkomst aan te gaan? Het gaat hier niet om zomaar wat gegevens, het zijn patiŽntdossiers.

Wel mooi dat de Autoriteit Persoonsgegevens er bovenop zit. Ik hoop dat die ziekenhuizen alsnog met terugwerkende kracht iets op papier kunnen krijgen.
Het lijkt me niet dt een belgisch bedrijf weet moet hebben van verplichtingen in NL. En bij een ziekenhuis zitten dan weer niet altijd de beste juristen wanneer de overeenkomst beoordeeld word.
Uit de tekst blijkt niet dat het dit keer een Belgisch bedrijf betreft.

Los daarvan: Als ik zaken wil doen in het buitenland en ik wil succesvol zijn, kan ik maar beter weet hebben van de aldaar geldende regels. Blijft overigens dat dit de verantwoordelijkheid is van het ziekenhuis om dit goed te regelen.
Digitaliseren en aansluiten op internet trekt criminelen aan die vanuit een zolderkamer in China persoonsgegevens stelen. Het vraagstuk "hoe beheer ik persoonsgegevens" is daarmee groter geworden. Lijkt me.
Joh, ze moeten eens kijken bij tandartsparktijken hoe daar met gegevens wordt mgegaan. Ik heb gewerkt daar in de IT, maar dat is echt schrikbarend. Complete databases van praktijken worden gekopieerd op schijven van lapops en pc's (zonder encryptie),onveilige verbindingen http verbindingen, verkeerd ingestelde firewall, poort 3389 forwarden via NAT zonder VPN en ga zo maar door.
Is het dan niet deels jou taak als ITer om daar iets aan te doen? :+

Ik ken de constructie natuurlijk verder niet, of je in een team werkt, het er als scholier naast doet etc.. Maar een (het grootste) deel ligt toch echt bij de IT.
Het lastige is dat in bijna de hele eerstelijn er nergens aparte IT-ers zijn aangenomen. De meeste praktijken zijn ZZP-ers of kleine maatschappen, waarbij een van de maten de 'IT' doet.

Wat inhoudt dat hij computers en laptops koopt, de software voor de administratie er op installeert en dat was het dan wel. Vaak hebben ze niet eens een virusscanner erop staan, of anders is de licentie al afgelopen en is hij niet meer up-to-date.

Contact over patienten gaat vaak via e-mail (bij huisartsen meestal via zorgmail, wat een beveilgde versie is, maar bij de meeste anderen volledig onbeveiligd). Zo kan ik nog wel even doorgaan...
je kan het ook anders zien: Als tandarts is er geen manier om veilig met alle bestanden om te gaan zonder tienduizenden euro's verlies per jaar te hebben..

De IT "specialist" van mijn ouders (tandarts) begon de laatste keer al over het aanschaffen van een generator om de stroom dips op te vangen... dit om te voorkomen dat HDD's het vroegtijdig zouden begeven.

Tandartsen en artsen worden aan alle kanten in de maling genomen, eerst moest er een website worden gemaakt voor de vrije tarieven (kostenplaatje 10.000 euro), half jaar later er weer uit.

Laat er eerst maar eens een bedrijf opstaan die kant en klare pakketten levert, voor een fatsoenlijke prijs en met fatsoenlijke resultaten. Want die is er momenteel echt niet, alleen oplichters en mensen die klagen dat het niet veilig genoeg is (wat ik eerlijk gezegd ook niet kan ontkennen)
Wat een slechte definitie van "op de vingers getikt" ?

Een karige 'foei' is het, meer niet.
Een HIPPA achtige boete van $10.000 per getroffene persoon, of iets er tussenin, zou beter zijn

[Reactie gewijzigd door AceAceAce op 17 mei 2016 13:42]

Een bewerkersovereenkomst is geen garantie dat er niets mis gaat. Het is een afspraak tussen de eigenaar van de data (het ziekenhuis) en de bewerker (in dit geval had dat iGuana moeten zijn). Is er als nog een lek? Dan moet iGuana het ziekenhuis betalen, ze hadden immers de beveiliging niet goed op orde terwijl dat wel was afgesproken. Maar de personen waar de data van op straat ligt, die hebben daar niets aan, uitgelekt is uitgelekt.
Dat klopt, maar dat is binnen het ziekenhuis ook. Daar kunnen ook medewerkers zijn die zich niet aan de regels houden waardoor gegevens van patiŽnten op straat komen te liggen. En uit ervaring kan ik zeggen dat ziekenhuis niet per se beter omgaat met privacygevoelig materiaal dan ander personeel.
Ik ben met je eens dat het meer een waarschuwing is (alhoewel dat wel in mijn beleving van "op de vingers tikken" past).

Ik ben niet met je eens dat een boete per definitie beter is. Ik denk dat een waarschuwing plus een deadline waarbinnen er verbetering moet zijn in eerste instantie voldoende is. Wanneer men meteen boetes op gaat leggen bestaat het risico dat ziekenhuizen meer hun best gaan doen om dit soort incidenten te verzwijgen.

Ik denk dat het belangrijk is om een open cultuur na te streven waarin ziekenhuizen niet bang zijn om incidenten/fouten te melden, maar waarin juist wordt gewerkt aan het veilig houden van het gehele Nederlandse zorgsysteem. Ziekenhuizen kunnen denk ik veel van elkaar leren (en zeker van elkaars fouten), een open cultuur draagt hier aan bij. Mocht het nodig zijn dan kan men in een later stadium altijd nog een boete opleggen.

[Reactie gewijzigd door Gunior op 17 mei 2016 14:11]

Waarom werken de ziekenhuizen wat betreft ICT niet gewoon samen?
Ze werken samen op een 'leentje buur' basis. Verder zijn ziekenhuizen gewoon losse bedrijven die dus zelf een IT beheerder in dienst heeft of de boel outsourcet. Ik denk dat je dit pas voor elkaar krijgt als je alle ziekenhuizen onder de pet van de regering plaatst, maar ik gok dat dat nooit gaat gebeuren.
Is wat voor te zeggen.
Er moet serieus, hard aan verbeteringen worden gewerkt en niet een media-circus van worden gemaakt!
Ik ben blij dat ik geen EPD heb. En ik ben ook blijk dat ik weiger een foto te laten maken 'voor mijn veiligheid' zodat 'de arts zeker weet dat het dossier overeenkomt met de patiŽnt die hij voor zich ziet', wat me letterlijk verteld werd door zo'n balie medewerkster, die me ook 'verzekerde' dat alles veilig was, maar toen ik doorvroeg hoe de beveiliging er uit zag eigenlijk niets wist en geen inzage had in zulke zaken.

M.a.w. ze lulde uit haar nek. Dat werkt misschien op een oude vrouw van 70 maar niet op mij.

Laatst vroeg iemand me aan welke problemen ik dan al ontsnapt was i.v.m. mijn scepsis en terughoudendheid wat betreft ICT. Wel, hier is weer een voorbeeld van hoe ik mogelijk de dans ontspring. Op een dag is het geen overdreven voorzichtigheid gebleken. En die dag komt er steeds vaker voor mensen die niet overal in meegaan. Dit zijn aanverwante zaken bij dit artikel, maar ik denk dat op een dag er een artikel komt waarin staat dat patiŽnten dossiers op straat liggen inc de foto's die horen bij elk dossier. Net zoals bij deze 200k dossiers er foto's bij zaten van de borsten van vrouwen die door gevangenen bekeken konden worden.

Ik vind het hoe dan ook achterlijk...want...als een arts niet langer een gezicht herkennen kan van een patiŽnt of mondeling een check kan doen, zonder een foto er bij te hebben, wat betekent dat dan voor de medische zorg, waar je fabrieksmatig behandeld wordt?

Op deze manier is technologie weer de oplossing voor laksheid. En dat komt doordat camera's boven een balie hangen makkelijk is, ze zijn goedkoop en klein, de camera via de computer aan een netwerk hangt zodat foto en dossier gekoppeld kunnen worden. Technologie dus, als vervanger voor de menselijke maat. De arts hoeft u niet te kennen of zich te herinneren, de foto doet dat wel.

En dus, omdat artsen laks zijn en ongeÔnteresseerd en zich verlaten op technologie, ontstaan er fouten, wanneer men een been afzet omdat de ICT afdeling of een bug in software de verkeerde foto koppelde aan een dossier. Het wordt niet veiliger, maar ingewikkelder. Want de arts vertrouwt op de abstractie van een ICT afdeling en niet langer op zijn eigen hersens.

Op die manier heeft technologie invloed op de samenleving.
Dit is precies waarom ik dit ook niet wil bij mijn ziekenhuis.
Punt is dat ze de dossiers, zonder mijn toestemming al gedigitaliseerd hebben. Omdat ik al patient ben bij dat ziekenhuis kan ik de balie met de welbekende camera's tegenwoordig, nog ontlopen. Maar als die dag komt dat ik een foto moet laten maken, weiger ik die. Kijken wat er gebeurt. Zorg moet je altijd kunnen krijgen en nergens staat dat je dat verplicht moet laten maken.
Om de jou genoemde reden ben ik net zo wantrouwig tegen die digitaliseertrend die er op dit moment gaande is. Het is een oplossing van een niet bestaand probleem.
Fouten in de medische wereld zijn perfect zonder ICT trucjes mogelijk, namelijk met protocollen en checklists. En die kunnen perfect zonder ICT.
Het is nu al schrijnend dat als de ICT of stroom uitvalt dat ziekenhuizen niet kunnen opereren. En daarmee het failliet van het noodstroomsysteem is aangetoond in ziekenhuizen, want medische gegevens kunnen niet meer ingezien worden zonder een computer die niet is aangesloten op dit noodstroomsysteem.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True