Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gegevens patiënten Haga Ziekenhuis werden gebruikt als boodschappenlijstje

Opnieuw zijn gegevens van patiënten van het Haagse Haga Ziekenhuis op straat komen liggen. Een medewerker gebruikte A4'tjes met medische gegevens als boodschappenlijst, en liet die in een winkelwagentje in een supermarkt liggen.

Het zou om gedetailleerde lijsten gaan waarop naast namen en geboortedatums ook medische aandoeningen en medicatiegebruik van patiënten te zien zouden zijn. Een woordvoerder van het ziekenhuis bevestigt het lek aan Omroep West. Het ziekenhuis zegt 'zeer geschokt' te zijn. De gegevens waren afkomstig van de verpleegafdeling 10A van de Leyweg-locatie van het ziekenhuis. De directrice komt naar het ziekenhuis toe om patiënten persoonlijk excuses aan te bieden. Ook heeft het ziekenhuis melding gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een datalek. De vinder van de documenten zou die inmiddels aan de politie hebben gegeven.

Het is saillant dat het uitgerekend gaat om gegevens van Haga-patiënten. Het ziekenhuis had eerder dit jaar de dubieuze eer om de eerste instantie in Nederland te zijn die een AVG-boete kreeg. Het ziekenhuis kreeg die opgelegd nadat werknemers het medisch dossier van realityster Samantha de Jong bekeken. De Autoriteit Persoonsgegevens startte een onderzoek en concludeerde dat het ziekenhuis niet structureel de toegangslogs bekeek, en dat tweetrapsauthenticatie op de toegang tot dossiers ontbrak. Het ziekenhuis kreeg een boete van 460.000 euro opgelegd, al zegt het daar wel tegen in beroep te gaan.

Door Tijs Hofmans

Redacteur privacy & security

07-09-2019 • 15:03

245 Linkedin Google+

Reacties (245)

Wijzig sortering
Je wil dit soort dingen helemaal niet zelf door een versnipperaar moeten halen. Dat kost teveel tijd en dus doen ze het niet. Zorg is productiewerk en versnipperaars langzaam. Ja, 1 vel gaat wel. 10 wordt lastig, bij 20 blijf je bezig...
Ik kan me indenken dat je misschien bij een versnipperaar wil blijven totdat alles verwerkt is, maar kopieerapparaten hebben al jaren een automatische documentfeeder. Dat kun je ook op een versnipperaar zetten.
Minimaal DIN P-3 en een beetje capaciteit. Reken eerder vanaf 1000 euro per stuk.
1000 EUR per stuk is nog steeds goedkoper dan de schade door het uitlekken van patiëntgegevens.
Hoe kom je daarbij? Mag het wel via interne post? En als ik een nota uitprint om mee te nemen naar een gesprek met een patiënt of andere afdeling, mag dat dan ook niet?
Dit verhaal gaat er bij mij gewoon niet in. Alsof, eenmaal ontsnapt aan de aandacht van de persoon die het door de versnipperaar had moeten trekken, er niet alsnog diverse momenten moeten zijn geweest waarop elk mens met een gemiddeld IQ had moeten bedenken dat het toch wel vreemd is dat er allerlei persoonlijke gegevens op dat kladpapier stonden.

Dit is een beetje als er tussen de middag achter komen dat 's morgens je je broek vergeten bent aan te doen. Het zou theoretisch nog kunnen dat je je broek even vergeet als je jezelf aankleedt bij het opstaan, maar daarna zijn er nog tig momenten voordat het lunchtijd is, waarop dit je op zou moeten vallen.
...en? Wat gaat er dan niet in? Dat er een valide reden was dat het papier bestond? Of je vind dat het wel een probleem is dat men patiëntengegevens afdrukt?

Wat de rest van je post beschrijft precies wat ik in de laatste zin ook zeg: Er is een groot probleem met het afvoeren van die stukken papier... Je gebruikt een stuk meer woorden, maar vertelt hetzelfde :)

Het is overigens goed mogelijk dat diegene die het als kladpapier heeft gebruikt niet eens door heeft gehad wat er precies op stond maar gewoon een vel papier uit de oud-papier-doos getrokken en is gaan schrijven op de achterkant. Als iets eenmaal in de oud-papier-doos zit zie ik er maar héél zelden nog mensen doorheen wroeten om te kijken of het wel in de goede doos zit. Ik zie de medewerker die het daar uit heeft gehaald dus maar beperkt als het probleem. Idealiter had die medewerker gecontroleerd wat er op stond voordat het werd hergebruikt; maar dat zijn de puntjes op de i. Het grote probleem is natuurlijk dat dit stuk papier simpelweg nooit in de algemene oud-papier-doos had mogen zitten, dat had de beveiligde 'archiefvernietigingsverzamelkliko' in gemoeten.
Dat het een keer in de verkeerde doos terecht komt, dat is slordig maar kan nog gebeuren.

Dat iemand een stuk papier uit die bak pakt, puur omdat het sneller is dan een kladblok zoeken… niet heel raar of zo.

Maar mij maak je niet wijs dat je dan niet ziet wat er al op het papier staat.

Zelfs als je het op dat eerste moment niet ziet, in je grote haast, zit je nog tien keer met dat papier te hannesen. In je boodschappentas, er weer uit, kijken op je lijstje, zoeken, weer kijken etc.

Het zegt ook al iets over je mentale staat of motivatie als je niet door hebt dat je je boodschappenlijstje in je kar laat liggen of te lui bent om het na gebruik in de afvalbak te gooien.
Tenzij je zeer millieu bewust bent natuurlijk,(meer millieu bewust dan data bewust...).

Het helpt natuurlijk helemaal niet hoe men omgaat met FB, WA etc. daar wordt ook het "misbruik" van data gebagatelliseerd of zelfs goed gepraat....
Het kan een item worden in de inhuur contracten, dat er een adequaat beveiligings beleid met toezicht en rapportage aan inhuurder wordt geleverd?... (inclusief audits etc.).
Er is ook nog zoiets als aansprakelijkheid ;)

Je reputatie wordt er ook niet beter van en dat is misschien nog wel het grootste risico, vanuit het ziekenhuis bekeken. Jaarlijks worden er keuzes gemaakt door zorgverzekeraars wie/wat mag gaan doen volgend jaar.

Als klanten massaal naar een concurrerend ziekenhuis overstappen vanwege dit soort grappen, wordt je daar als ziekenhuis niet beter van (pun).
Klanten die massaal overstappen? je hebt in de meeste regio's bar weinig keus... dit lijkt me een statement van iemand die in de Randstad woont.... overigens is het niet de klant maar de zorgverzekeraar die bepaalt waar iemand geholpen wordt.
Het artikel gaat over een Haags ziekenhuis, dus ja, randstad. Hoort ook bij Nederland ;)

Ik woon zelf juist in de top tien dunstbevolke gemeenten van NL. We hebben hier één ziekenhuis – en we doen zelf ook moeite dat hier te houden. Toch ken ik ook mensen die daar niet tevreden over zijn en in dezelfde tijd (minder dan een half uur) naar een van de ziekenhuizen in de dichtstbijzijnde stad rijden als hun dochter een been breekt.

Overigens bepaalt de zorgverzekeraar toch echt niet naar welke fysiotherapeut of tandarts ik ga. Ligt misschien ook aan je zorgpolis-voorkeur en ja, heel specialistische zaken worden wel geconcentreerd in een handjevol ziekenhuizen, maar lang niet alles.
Je kan moeilijk ALLE medewerkers van een ziekenhuis een tablet geven. De zorg is al duur genoeg. Om nog maar te zwijgen over hoe al die tablets dan moeten aansluiten op hetzelfde systeem als alle werkcomputers, die daarbovenop ook nog eens totaal niet zijn gebouwd op touchscreens.

[Reactie gewijzigd door B00st3r op 12 september 2019 14:16]

Euh nee...
Ik heb een tijdje testwerk gedaan aan/voor een EPD...
De bedoeling is dat er zoveel mogelijk paperless gewerkt wordt aan de bedden. Papier is nl tijdverspilling, niet adequaat, foutgevoelig, privacygevoelig, etc, etc...

Als de verpleging (of apotheek/arts, whoever aan het bed staat) bij een bed staat, is het de bedoeling dat die altijd en overal de actuele informatie over die patient weet en niet informatie die misschien wel, misschien niet al is bijgewerkt.
Je zegt 'alle medewerkers van een ziekenhuis'...nee...de technische dienst b.v heeft geen tablet met patientgegevens nodig :) maar iedereen die direct met patienten te maken heeft dus wel...
Dat is nou precies de kern van het EPD en ook de kracht daarvan.

Een EPD aan de achterkant is een lappendeken van applicaties, net als de ziekenhuisapplicaties van voor de invoering van het EPD.
Er zijn echter een paar hele belangrijke verschillen:
1: ze zitten onder een schil die 'modern gebruik' mogelijk maakt
2: ze werken onderling samen via allerlei api's en verbindingen zodat alles inzichtelijk is voor degene die voor dat specifieke deel geautoriseerd is (en dat kan op vele nivo's)...
Een prima onderzoek, maar een data lek of iets in die richting is niet afhankelijk van het personeel, wat als iedereen daar binnen wel bewust is van het feit dat er data lekken iets in die richting kunnen ontstaan is er nog steeds niet iemand die het lek kan dichten.

Ik pleit meer voor een minister van ICT/informatica die dit allemaal moet controleren en een een of ander overheid team onder die deze lekken kan gaan controleren die rapporten maakt.

[Reactie gewijzigd door solozakdoekje op 9 september 2019 08:25]

Dit soort verregaande gebrek aan verantwoordelijkheid is volgens mij het enige echte probleem.
Klopt. Waarschijnlijk is er gewoon niet zoveel aandacht aan besteed. Met het Barbie incident hebben ze wel echt de schijn tegen. Dit komt er nog eens bij. Als mensen weten dat dit je je baan kost, passen ze echt wel beter op. Dus het ziekenhuis heeft niet genoeg preventief gedaan voor mensen met een verkeerde mentaliteit.
Al durf ik wel te wedden dat de persoon die verantwoordelijk is voor dit vergeten boodschappenlijstje nu een flink probleem heeft. Ontslag lijkt mij (al is het maar om te laten zien dat ze er iets aan doen) toch wel voor de hand te liggen.

Maar ja, put en kalf enzo.

Zoiets preventief aanpakken is lastig, af en toe heb je een incident als dit nodig om mensen goed duidelijk te maken dat dit soort dingen echt not-done is en je er in flinke problemen door kan raken. En er hopelijk wat minder laks over na gedacht wordt, er wellicht een wat gerichtere boodschappenlijst maken, zonder allerlei persoonlijke/medische gegevens erop, en dan alsnog goed opletten dat je zoiets niet laat slingeren.

Fouten maken is menselijk, maar dit gaat wel een paar stappen verder dan alleen vergeten papiertje.
Zeer zeker dat barbie incident.

Ik heb er niet veel verstand van, maar als ik google op de artseneed, kom ik stukjes tegen als "Ik stel het belang van de patiënt voorop en eerbiedig zijn opvattingen." en "Ik zal geheim houden wat mij is toevertrouwd." enzo, een aantal punten zijn echt specifiek om de patient te beschermen, en dat doen ze toch echt hartstikke verkeerd.
Van put en kalf naar preventie. Hopelijk helpt het dat ieder bedrijf nu een privacy officer moet aanstellen.
Ik heb als patiënt ziekenhuizen meegemaakt waar alle aantekeningen gewoon direct digitaal gaan. Wanneer dat niet kan wordt een aantekening op een papiertje gemaakt met alleen de naam van de patiënt en de aantekening. Verder gaat er niets meer op papier. Alles wat op papier binnenkomt gaat direct onder de scanner en het papier wordt teruggegeven of gaat de shredder in. Dat is tegenwoordig de nette manier van werken.
Als je in het ziekenhuis of verpleeghuis ligt gaat er voor de verpleging nog wel eens wat op papier, maar ook dat sterft uit. Papier heeft ook het grote nadeel dat de updates heel lokaal zijn. Bij andere specialisten, verplegers enz. komen de aantekeningen niet aan, Digitaal wel.

De oude dossiers staan nog op papier, Daar blijven alle papieren in de map en de mappen gaan aan het eind van de dag weer naar het archief.
Dat was voor de eerste keer een lering voor de overtreders.. met een officiële waarschuwing in hun dossier.

Die hebben de regels ook meteen aangescherpt... inzien zonder behandelnoodzaak is meteen ontslag op staande voet. Wat dat betreft is de publiciteit een zegen dat heel Nederland het nu weet wat je NIET moet doen.
"Zou het niet zo horen te zijn dat als gevoelige informatie wordt geprint, dat dat niet zomaar in elke prullenbak gedumpt hoort te worden na het lezen er van?"

In de ideale wereld wel, maar de wereld is niet ideaal.
Ideaal of niet, je beleid zou wel hierop gericht moeten zijn. Dat er hier en daar wat drawbacks of cheaters tussen zitten is weer een ander verhaal. Maar die moet je er uiteindelijk ook gewoon uitknikkeren als ze de noodzaak niet willen inzien.

Als ik een cirkel wil tekenen, ook al kan ik dat misschien niet perfect, dan neem ik nog steeds geen ei als voorbeeld omdat ik mijn doel dan nooit zal bereiken. Zo is het met meer dingen in het leven. Ga je alles 100% perfect krijgen? Nee natuurlijk niet. Maar je moet je doelen wel zo stellen dat ze jezelf niet gaan beperken als je eenmaal de goede kant op gaat.
Wat voor cursus wil je een monteur geven die het klimaatsysteem komt inregelen?
Nu werk ik zelf als monteur, welliswaar een andere tak, petrochemie, maar zijn zaken als vertrouwelijke informatie een standaard onderdeel van elke klant specifieke cursus. En ja, zo ongeveer voor elke klant dienen wij een aparte curcus te volgen voor wij daar aan het werk mogen.

In een ziekenhuis kan ik me wel enkele aandachtspunten bedenken die een cursus rechtvaardigen dus waarom niet?
Behalve dat het verplegend personeel in de regel de kleding niet mee naar huis neemt, ze kleden zich om en dumpen de gebruikte kleding in de retourmachine. Als je dan zo'n papiertje uit je witte broek haalt en bewust in je gewone broek stopt is het geen ongelukje meer.
Jawel, door check and balances in te bouwen.
Het stuk is vaag, er staan quotes om de tekst en deze gevallen worden voorgelegd aan de ap die er een boete voor kan geven.

Het is niet strafbaar in de zin dat de desbetreffende medewerker hiervoor gedagvaard zal worden.
Er zijn genoeg onderzoeken en bewijzen dat de aanwas van nieuw personeel voor bijvoorbeeld zorg en onderwijs te klein is.

Er vertrekken er meer (pensioen Of andere redenen) dan dat er kiezen voor werk in deze sectoren.
Hier wel ja. Maar dat is omdat het om een patiëntendossier (althans onderdeel daarvan) gaat. Bij de meeste bedrijven gaat het om bedrijfsgevoelige informatie, niet om patientengegevens.
Gelukkig kunnen alle (bijvoorbeeld) 63 jarigen prima met een tablet overweg, en je hebt ook groot gelijk dat iemand die niet met een tablet overweg kan een incapabel verpleger is..

Zucht..
Het gaat alleen om de notitie-app voor snelle aantekeningen. Die kan een 5-jarige nog zonder hulp gebruiken... Lees wel even goed hè, want ik had het alleen over het gebruiken van die app, NIET over de hele tablet (dan had ik ook niks over dat capabele geschreven als het me om de hele tablet ging).

[Reactie gewijzigd door TheVivaldi op 7 september 2019 18:11]

En wat doen we met die notities? gewoon deleten zodat ze nog steeds terug te halen zijn? Een stel tablets uitdelen waar iedereen maar op in mag voeren wat hij/zij wil is vragen om problemen.
Want verwijderen op een tablet is niet te automatiseren? (bijv. na 3 uur alles weg)

[Reactie gewijzigd door TheVivaldi op 7 september 2019 18:25]

Hierboven kreeg ik anders de indruk dat men wél op een later moment notities (nu nog papieren) overneemt in de computer, dus ik snap er helemaal niks meer van...
En jij gelooft dat een 5 jarige zonder hulp kan schrijven op een tablet?
Dat lijkt mij behoorlijk optimistisch.

Hetzelfde geldt voor de persoon van 63. Die zijn niet allemaal even handig met een tablet.
Gebruik van papieren 'beddenbriefjes' is in ieder Nederlands ziekenhuis nog gemeengoed, en zal je er ook niet met een tablet uitkrijgen.
Je hebt met je linkerhand je telefoon aan je oor terwijl je op de gang loopt naar het volgende consult, met je rechterhand heb je je tablet vast, typen dan maar met je neus?
En zelfs als je hem ergens neer kan leggen is het typen gewoon te langzaam, veel en veel te langzaam.
Een tablet kan, vooral voor de verpleging, veel overnemen, maar dan nog niet alles en je houdt je briefje.
Als je een tablet als notitieblok gaat gebruiken is dat wel een heel dure notitie. Een tablet moet namelijk ook beheerd worden wat de nodige kosten met zich meebrengt. Als je wilt automatiseren, dan moet je het ook goed doen, zodat ook er direct van geproviteerd kan worden… o.a. niet tweemaal iets te hoeven noteren, eenmaal klad en eenmaal in het dossier.

Wat dat betreft is het al vreemd te noemen dat wij heden ten dagen het nogaltijd niet voor elkaar krijgen één uniform systeem neer te zettem. Overigens technisch is dat prima mogelijk, het is politiek die het onogelijk maakt, "iedereen wil zijn eigen...".
Een tablet van 99 euro kan je niet gebruiken in een ziekenhuis. Met een huis-tuin-en-keuken tablet loop je veel te veel risico op infecties.
Deze overdrachtspapieren worden dagelijks gebruikt.

Ik heb bijv elke ochtend overdracht met mijn verpleging over wat er de afgelopen dienst (avond/nacht) is gebeurd en of er noemenswaardigheden zijn. Hier wordt vervolgens beleid op bepaald; dit noteer ik oa op datzelfde papier, neem het mee als geheugensteuntje. Aan het eind van de ochtend gaat het vervolgens in de speciale papierbak voor medisch info.
Neuh, niet ieder ziekenhuis is helaas even ver met het digitaliseren van hun EPD. Het Langeland Ziekenhuis ging dit jaar pas over om maar even een voorbeeld te noemen.
Ziekenhuizen zijn helaas niet uniform in de werkmaterialen. Ik heb ook hier nog genoeg afdelingen gezien met papier.
En hierin leg ik persoonlijk de blaam bij enerzijds het management binnen de ziekenhuizen, maar anderzijds ook de IT afdelingen binnen de ziekenhuizen.
En in dit geval natuurlijk 100% de medewerker... als ik een contract of gevoelig document onder m'n neus krijg, dan neem ik die niet mee als boodschappenlijstje naar de Appie... Dat het beleid van de werkplaats beter kan, sure. Als je moedwillig een lijstje maakt op gevoelig papierwerk, (lijkt me niet de bedoeling, dit haal je door een shredder) dit meeneemt (mag ook niet) en vervolgens op de grond dondert, dan ben je gewoon een idioot en ga je niet zorgvuldig om met gevoelig materiaal.
Omdat de ICT-systemen nog niet dusdanig zijn dat het fatsoenlijk werkt zonder een papieren briefje.
Vergeet niet dat patiënten soms verplaatst moeten worden of in isolatie liggen.
Als een arts gebeld wordt voor een spoedgeval op de afdeling is het veel handiger om al rennend door de gang op een papiertje te kijken, in plaats van op zoek te moeten gaan naar een computer.
Dit soort dingen wordt dagelijks geprint als werkbriefje. Wat je vanuit de security en techniek uit alle macht wil voorkomen, maar de praktijk (zeker in de zorg) is weerbarstig. Ik zie naast bewustwording ook twee leerpunten voor ICT: 1. voorzie printjes standaard van de naam van degene die print; 2. maak de registratie in het EPD en de te gebruiken devices nog makkelijker, zodat papiertjes echt niet meer nodig zijn.

Hoe ongelòoflijk stom dit ook is, het is echt te gemakkelijk om alleen de verantwoordelijkheid bij een eindgebruiker te leggen
Dat kan je vinden, ik vind het belachelijk dat dat nodig zou moeten zijn. Het is toch van de zotte om op dese manier met gegevens die jou zijn toevertrouwd om te gaan?
Dat doet niets af aan mijn uitspraak. Waarom zou je een probleem op 1 plaats (de moeilijkste) willen oplossen als het ook op 2 plaatsen kan en dan misschien beter opgelost kan worden.
Ik snap je punt. In heel specifieke gevallen (als je de naam al kent maar de precieze behandeling niet en wel kunt afleiden uit de overige gegevens) ontstaat hiermee wel een extra privacyschending.
Er zijn genoeg scenario's denkbaar waarbij je zo iemand alleen waarschuwt. Er is een gebrek aan goed zorgpersoneel dus als zo iemand overigens goed functioneert ga je die niet ontslaan. Op staande voet gaat dan nog eens extra publiek geld kosten i.v.m. de rechtszaak.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Moederborden

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True