Bewoner vindt 8500 ggz-patiëntendossiers op cd's in voormalig bedrijfspand

In Schiedam is in de kelder van een voormalig bedrijfspand een doos met 8500 patiëntendossiers op cd's gevonden. Ze behoren toe aan Riagg Rijnmond, de ggz-instelling die in 2014 failliet ging. Het gaat niet alleen om dossiers, maar ook bsn-nummers.

Het bedrijfspand wordt nu verhuurd voor bewoning en de cd's werden gevonden door een van de bewoners, zo schrijft NRC. Naast de bovengenoemde gegevens bevatten de dossiers ook kopieën van de identiteitsbewijzen van de patiënten. Een deel van de dossiers behoort toe aan patiënten die destijds minderjarig waren. De schijven dateren van 2007 tot 2011.

Stichting Riagg Rijnmond is volgens de krant in de jaren voor het faillissement meermaals gewaarschuwd dat de huishouding wat betreft die dossiers niet op orde was. De boekhouder van de stichting adviseerde bijvoorbeeld de toegang tot dossiers te beperken en waarschuwde dat ex-werknemers nog actieve accounts hadden. Ook de cliëntenraad vroeg Riagg Rijnmond nog om aandacht te besteden aan de beveiliging van de patiëntendossiers.

Over de verantwoordelijkheid voor de zaak, wordt enigszins getwist. Meerdere partijen, zoals GGZ Delfland, dat een deel van de patiënten van Riagg Rijnmond overnam, wijst naar de curator van destijds. Dat doen twee hoogleraars gezondheidsrecht ook. De curator stelt dat hij nooit op de hoogte gesteld is door Riagg Rijnmond over dossiers op cd's en dacht dat alles in fysieke dossiers, op fiches en in het EPD stond. Daarnaast stelt hij dat Parnassia, dat de werkzaamheden van Riagg Rijnmond na het faillissement overnam, nog twee maanden in het pand heeft gezeten voordat het vertrok, en in die tijd de verantwoordelijkheid al had overgenomen voor de gegevens daar.

Parnassia zegt tegenover de krant dat het het datalek 'namens de curator zal melden bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd'. De data is ook door NRC overhandigd aan Parnassia.

Door Mark Hendrikman

Redacteur

23-05-2021 • 10:26

145

Reacties (145)

Sorteer op:

Weergave:

De curator stelt dat hij nooit op de hoogte gesteld is door Riagg Rijnmond over dossiers op cd's en dacht dat alles in fysieke dossiers, op fiches en in het EPD stond. Daarnaast stelt hij dat Parnassia, dat de werkzaamheden van Riagg Rijnmond na het faillissement overnam, nog twee maanden in het pand heeft gezeten voordat het vertrok, en in die tijd de verantwoordelijkheid al had overgenomen voor de gegevens daar.
Als het fysiek/offline is wil ook niet zeggen dat het allemaal netjes verwerkt word. Tijdens verbouwen een bouw&sloop container besteld. Maak je de deur open, blijkt niet helemaal leeg te zijn. Hier stond ook de hele handel in (naam, contact info, bsn, rek nummer) + gegevens van kinderen / eerste aanspreekpunt. Zover ik zag elk blad was een uniek contact. Containerverhuur bedrijf en die het weg hebben gegooid hebben alle 2 gefaald, want voor gevoelige documenten heb je speciale containers / bedrijven voor en doe je niet in een bouw&sloop afval container.
Is dit toevallig pas recenter echt een ding geworden voor veel bedrijven door de AVG?

Het kan overigens ook gewoon goed: Bij een zorgcentrum bij mij in de buurt staat al jaren een speciale vergrendelde container (gaat alleen spul in, niet uit) voor vernietiging van gegevensdragers en die komen ze ook maandelijks legen.
Het feit dat het nieuwswaarde heeft, geeft al aan dat het bijzonder is.

Nieuws geeft een vertekend beeld van de wereld.
De vinder is direct naar de krant gestapt, niet naar AP, niet naar Parnassia niet naar de curator.
Rechtstreeks naar de krant, naam en toenaam, foto erbij alles.
Er is volgens mij niks dat persoonlijker is dan een GGZ dossier. Het feit dat dit uberhaupt kan gebeuren is wat mij betreft per definitie iets dat direct via de media aangekaart moet worden.

We geven miljarden uit aan veilige electronische patientendossiers, maar de meest persoonlijke informatie over mensen slingert gewoon over straat en wordt verwerkt op PCs die in het *beste* geval beheerd worden via remote desktop door wat minimum loon tsjappies.

In het buitenland is het al voorgekomen dat individuele patienten afgeperst werden door buitenlandse criminele organisaties omdat psychiatrische patientendossiers van een praktijk gestolen waren. Zit er dik in dat dat hier ook gaat gebeuren.

Dat is echt belachelijk. Als patient moet je er van uit kunnen gaan dat wat je deelt met je behandelaar prive blijft. Dit geruzie over wie er wel/niet verantwoordelijk is is echt schrijnend. Dit is van een heel andere orde dan het lekken van email adressen of bankrekeningnummers. Fuck de AP, denk dat kamervragen meer gepast zijn hier. En brede media aandacht.
Electronische patientendossier willen we niet want mE pRivACy.
En "minimumloontjappies" (je hebt het hier dus over je medetweakers, maar ok) willen we wel want dE zoRgKoStEn!

En je voorkeur om direct naar de pers stappen ipv de daartoe bestemde instanties kan ik helemaal geen kaas maken.
Electronische patientendossier willen we niet want mE pRivACy.
Inderdaad want met elektronische patiëntendossiers kun je helemaal niet zien wie ze heeft en wat er mee gebeurd.
En je voorkeur om direct naar de pers stappen ipv de daartoe bestemde instanties kan ik helemaal geen kaas maken.
Daartoe bestemde instanties? je bedoelt de autoriteitpersoonsgegevens? Daar kunnen bedrijven zelf een melding maken.
Als jij documenten zoals deze vind moet je dat dus melden bij het bedrijf zelf, die het vervolgens onder het tapijt veegt en dan hoor je er nooit meer wat van..

Dus is naar de pers stappen de meest logische stap, dat jij dat niet kan volgen, daar kan ik nou geen chocola van maken (want dat is het juiste spreekwoord, niet kaas)..

[Reactie gewijzigd door xenn99 op 26 juli 2024 21:06]

Op zich heb je een punt maar of je het in dit verband nu over kaas, chocolade of desnoods een raceauto hebt maakt niet zoveel uit.
Ik ben niet gek, ik ben een vliegtuig, dus zelfs ik snap dat... _/-\o_
De meest logische stap lijkt mij de politie.
Ik denk niet dat de politie in dezen iets voor je kan betekenen, die zullen je waarschijnlijk aanraden het lek te melden bij het betreffende bedrijf. Er is immers (in de meeste gevallen) geen sprake van een misdaad.
Ben niet echt akkoord dat je met een Electronisch Patiënten Dossier (EPD vanaf nu voort gemak) niet kan zien wie ze heeft / wat ermee gebeurd.

Zoals altijd is dit een kwestie van implementatie. Geef de eigenaar (de patiënt dus) op zijn eigen portaal overzicht van wie toegang heeft, laat patiënten nieuwe toegangen OK'n (m.a.w. de therapeutische band tussen patiënt en zorgverlener of instantie) bevestigen.

Zet automatische vervaldagen op die toegangen, verbied het uitprinten van dossiers (technische obstakels) ...

We zijn 2021, technisch gezien kunnen we heel veel doen om een EPD veilig te laten verlopen, of toch een stuk veiliger dan een of ander medisch dossier in een archiefkast. Zeker qua inzichtelijk maken van data-toegangen is de digitale weg de beste en gemakkelijkste manier om dit te verwezenlijken.

Het is zoals altijd een kwestie van wat en hoe je het implementeert. Ik ben een Belg, wij hebben ons GMD (Globaal Medisch Dossier), maar ook onze VaccinNet en nog een paar andere zaken. Ik heb daar ook spijtig genoeg geen zicht op wie wat doet of invult, maar dit moet toch echt gemakkelijk kunnen zolang de wil er is om dit als dusdanig in te regelen.

Laat dat laatste nu net zijn waar het volgens mij fout loopt. Overheden (die bij ons de inrichtende instantie zijn van het GMD, VaccinNet... EPD dus; oprecht geen idee waar het ownership ligt in bv NL) zijn primair niet ingericht qua mindset om dit te doen.

Die willen de professionals (Zorgverleners / instanties) terecht faciliteren maar de vraag van wie 'owner' is van de data en dus eigenlijk het laatste woord dient te hebben over zijn of haar gegevens, die oefening word in BE voor zover ik kan zien nooit gemaakt.
Jammer dat de vinder niet snapt dat je voorzichtig moet zijn met het lezen en naar buiten brengen van informatie die niet van jou is.
Van mij mag de vinder bestraft worden omdat het naar een krant is gebracht. De enige juiste weg was naar de politie brengen als de rechtmatige eigenaar onduidelijk is.
Dit is wel heel erg nujij.

Hoe kom je erbij dat dit strafbaar is?

Zou toch wat zijn als het lezen van informatie die je in jouw huis vind strafbaar is. Betwijfel of dat zelfs met staatsgeheimen zo zou zijn.. (als je die in de kelder van je huis aan zou treffen). Naar de krant brengen van staatsgeheimen is dan wel weer strafbaar :+ Het is maar de vraag of het zo ver zou komen mocht zoiets gebeuren echter.

[Reactie gewijzigd door Glashelder op 26 juli 2024 21:06]

De krant (NRC in dit geval) geeft in hun artikel keurig aan hoeveel informatie ze hebben gelezen en gebruikt om het artikel te kunnen schrijven, en ook wat ze vervolgens met de cd's hebben gedaan.
Naar de krant stappen was een uitstekende keuze: een journalist mag nu eenmaal meer (binnen de AVG-wetgeving) omwille van de nieuwsgaring.
Het feit dat het nieuwswaarde heeft, geeft al aan dat het bijzonder is.

Nieuws geeft een vertekend beeld van de wereld.
NU heeft het nieuwswaarde, 5 tot 10 jaar geleden werden die CD's ongemerkt in de container gegooid.
Maar nu er GGD op staat, IS het waardevol om te vermelden.
Zouden het CD's geweest zijn van een afvalverwerker, of een tuiniersbedrijf, had er geen haan naar gekraaid.
Omdat een GGZ datalek nu ook eenmaal veel belangrijker is dan die van een tuiniersbedrijf.

Los van dat een GGZ extreem veel zeer gevoelige data heeft van mensen, is het ook nog eens zo dat er nog steeds een flink stigma bestaat rondom het gebruik maken van de GGZ. Niemand boeit het echter dat je een bedrijf voor je tuin hebt laten langskomen.
Wat is recent? Foto is ergens van rond april 2018 geen idee als AVG al booming was.
Pas sinds 25 mei 2018 wordt de GDPR (AVG in NL) gehandhaafd. Maar volgens mij mocht dit soort dingen al niet onder Wbp.
Ja en nee, het is al veel langer een ding, echter was de beboeting maximaal €400k (en daarvoor nog veel lager), daarnaast werd er in de praktijk amper naar gekeken. Dus voor veel instellingen was dat een wassenneus waar amper wat mee werd gedaan. Toen het werd opgehoogd naar €400k (een jaar of tien geleden?) werd het opeens wel interessant voor veel kleinere ondernemingen want een mogelijke boete van €400k was vaak een significante kostenpost. Maar ook toen was het in de media geen groot 'ding' en werd het ook alleen maar bekend bij die kleine bedrijfjes als er iemand werkte die dit wist en dit daadwerkelijk kenbaar maakte bij dergelijke beslissers (en die er ook daadwerkelijk wat mee deed).

In die periode wel veel van die lekke webapplicaties weten op te ruimen aan de hand van die regelgeving waar het klanten/vrijwilligersbestand in stond die ooit door een stelletje wel bedoelde hobbyisten werden gebouwd. Beslissers zijn dan opeens wel heel erg bereid te luisteren als daar een mogelijke boete van €400k tegenover staat als je dat goed weet te brengen en een alternatief weet te bieden wat niet enorm veel kost (en je kan laten zien hoe lek de huidige bende is).
Bovendien, dit bedrijf was toch al failliet. Dus een boete heeft 0,0 effect.
Dat hoeft niet per se.

Als het blijkt dat er sprake is van grove nalatigheid, dan kunnen de eigenaren en/of het bestuur aangeklaagd worden.
Of zoals in dit geval, de curator. Want formeel ligt bij hem de verantwoordelijkheid om persoonsgegevens te vernietigen. En dat het, zoals in het NRC artikel stond, hem niet verteld was dat ze daar lagen, is niet relevant.
Dat kan dan nog een interessant zaak worden, want uiteraard "herkent de curator zich niet in deze interpratie van de verantwoordelijkheid." Mocht dat ooit een rechtzaak worden, dan zou ook nog de voormalige GGZ-instelling (of diens rechtsopvolgers) verantwoordelijk kunnen worden gesteld voor het wanbeheer inzake de dossiers vlak voor het faillissement.
Parnassia dus lijkt mij. Die heeft het achtergelaten in de kelder.
Is dit toevallig pas recenter echt een ding geworden voor veel bedrijven door de AVG?
Ja en Nee. Dit soort dossiers vallen onder het medisch beroepsgeheim, dus als arts kan dit je BIG-registratie (en dus je beroepskeuze!) kosten. Wel zijn instellingen tegenwoordig wat fanatieker omdat de boete omhoog is gegaan.
Echter zal een arts of een andere BIG geregistreerde hier niet verantwoordelijk voor zijn. Dit is een ICT kwestie. Tevens heeft bij verre verre meerderheid van het personeel in een GGZ, geen BIG registratie. Dit is uitsluitend voor medisch personeel. Meeste personeel is begeleiding, ondersteunend, psycholoog/therapeut enz.

Ik werk al 14 jaar in deze sector, en nog nooit maar ook nooit heb ik een CD gebruikt voor iets, beter gezegd zolang ik dit werk doe, heb ik nog nooit met lokale bestanden gewerkt.
Wel hadden we bijvoorbeeld 'noodgegevens' van clienten op locatie in bijvoorbeeld kluizen, voor in het geval het systeem plat lag. Een probleem waar nog steeds geen oplossing is voor trouwens.

Inmiddels werk ik in jeugdzorg, en waar ik wel de zorg draag voor ruim 10 minderjarigen, heb ik bij een computerstoring totaal geen gegevens, geen BSN, geen geboortedatum enz enz.

De AVG is goed, want er werd wel heel makkelijk gedaan over informatie, maar een noodmap is toch echt wel handig.

[Reactie gewijzigd door Benjamin- op 26 juli 2024 21:06]

Ik ken wel GGZ-instellingen waar een noodmap met cliënt-info in de kluis ligt. Het actueel houden van de info (vooral medicijnen, en eventuele gerechtelijke uitspraken) blijft een uitdaging.
Bij mijn vorige baan maakte we een map met de clienten die ze op kantoor mochten bewaren. Uiteraard waren we transparant over dat dit absoluut hun keuze is en zij bepalen wat er in komt, maar benoemde we er wel bij wat een voordeel voor ons zou zijn als bepaalde informatie hier in kwam te zitten.

Maar het is en blijft lastig. Neem bijvoorbeeld post. De enige oplossing is eigenlijk voor iedereen een eigen postadres, want ja als alles op 1 adres komt, dan moet de begeleiding de post verspreiden. Ze willen uiteraard niet dat je op hun kamer komt. Dus op mijn werk doen we het in hun map (waar in de basis geen persoonlijke gegevens in staan), waardoor we op dat moment eigenlijk toch in overtreding zijn, want ja prive gegevens...

En laten we dan nog maar niet over algemene communicatie hebben. We mogen niet aangeven of iemand bij ons woont, want ja prive gegevens, maar we mogen wel informatie met bepaalde instanties delen. Echter hoe ga je controleren of dat diegene die belt, ook werkelijk van die instantie is?

Zomaar informatie delen doe ik absoluut niet tenzij ik weet wie ik spreek en dat zij toestemming hebben tot die informatie. Maar hoe vaak we wel niet een belletje krijgen van bijvoorbeeld huisartsenpraktijken, of therapeuten omdat iemand zijn of haar telefoon niet opneemt, tja op dat moment zeggen dat je zal vragen of die persoon terugbelt, of ze de telefoon geven, is al foute boel.

Zolang het goed gaat, gaat het goed, maar je weet natuurlijk, dat wanneer het een keer fout gaat ondanks dat je echt niets bijzonders hebt gedaan, dat je wel hangt. Zolang onze communicatie mogelijkheden nog niet toelaten om makkelijk te controleren met wie je spreekt, dan gaat dit allemaal maar moeilijk werken. Ik ben dan ook benieuwd wanneer dit gaat veranderen, waarbij je kan verifiëren wie je bent voor het bellen, en dat dit een vereiste wordt om inhoudelijke gesprekken aan te gaan.
Ook daarmee moet je maar afwachten of het echt vernietigd wordt natuurlijk. Het is lekker makkelijk voor het bedrijf, want ze hebben een contract met de afvalverwerker en als die zich daar niet aan houdt is dat niet hun probleem. Afschuiven van de verantwoordelijkheid... Fijn voor het bedrijf dat het afgedekt is, niet voor de klanten als hun informatie lekt.

Om dezelfde reden van het outsourcen, het is vooral populair omdat managers dan de verantwoordelijkheid kunnen afschuiven als er wat mis gaat.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 21:06]

Ik heb een tijdje in een verpleeghuis gewerkt daar werden oude medicatielijsten (die moeten immers x periode bewaard worden) gewoon in een kartonnen doos in een van de bergingen in de centrale hal gedaan. De deur was, omdat dat makkelijk was, altijd open.. de schoonmaak spullen stonden er namelijk ook..
En de grap is: schoonmakers kunnen meestal de gevoelige ruimtes in. Het stofzuigen in de serverruimte of PZ-archief valt meestal niet onder vakkundig uitgedokterde two pairs of eyes en soortgelijke controles.
Rond firewallwijzingen worden meestal 36 digitale handtekeningen verzamelt, maar de kabels in de technische ruimtes zijn door een ieder te manipuleren.

Zeker dit soort instanties (psychologen, maatschappelijk medewerkers, ) lopen een puntje achter op dit soort praktisch/technisch inzicht.
En administratief personeel dat weet waar en hoe dit opgeruimd moet worden, wordt wegbezuinigd. Moeten de psychologen e.d. zelf de administratie gaan doen en niemand die er nog overzicht over heeft. En maar klagen over de administratieve druk.
Och, in het lokale verzorgingstehuis waar mijn vrouw werkt word er via Whatsapp geconverseerd over de medische aandoeningen en toestand van bewoners. Ik heb sinds mijn vrouw in de zorg werkt echt geen illusies meer dat het verzorgende personeel ook maar iets van kunde of benul op het gebied van databeveiliging heeft.
Ken je die grap van die server die steeds om 18 uur uit viel en waar geen ICT'er iets van snapte?

Nou, er ging vervolgens een ICT'er een keer overwerken (voor iets anders) en die zag tot zijn verbazing dat een schoonmaker een stekker uit een stopcontact trok omdat hij moest stofzuigen.
Medicatielijsten is nog steeds vaak een drama.

Wij moeten binnen jeugdzorg nu aftekenen, maar we hebben geen digitaal aftekensysteem. Fysieke lijsten vragen om persoonlijke informatie, wat weer niet mag. Tja...
Er staat in het artikel duidelijk dat goede omgang met persoonsgegevens destijds ook al belangrijk was. Niet alleen vanuit de wet maar ook doordat de organisatie toen al ter verantwoording daarvoor werd geroepen. Waaruit maak je bij dit nieuws dan op dat het pas recent een ding zou zijn geworden?
Nee, al jaar en dag. Maar dan heb je het wel over bedrijven die ook heel bewust zijn dat zij met gevoelige gegevens werken en daar ook naar handelen. Notarissen, Advocatenbureaus, boekhouders. Ze bewaren alles maar maken ook veel kopietjes. En die kopietjes vinden allemaal hun weg in zo'n bak voor vernietiging. Als het goed is hebben gemeenten dit ook al jaar en dag.
Sinds "de computer" zijn er eigenlijk al heel snel ook bedrijven opgesprongen om pro datavernieting te doen van apparatuur. harde schijven bijvoorbeeld, breken, versnipperen, verbranden.
Dit soort bedrijven bestaan al zolang ik het me kan heugen maar helaas zijn er maar al te veel bedrijven die zich niet bewust zijn of bewust willen maken over wat voor een informatie ze allemaal wel niet op handen hebben en hoe daar nadat het zijn nut heeft verloren zich daar verantwoord zich van handen kan maken.
Ook dit is een reden waarom de GDPR zo belangrijk is en waarom organisaties eigenlijk zo *min mogelijk* persoonsgegevens moeten verzamelen.

Alles wat je niet hebt verzameld, kun je ook niet laten slingeren!

Want dit is natuurlijk schandalig, maar het *gebeurt*.
Ook dit is een reden waarom de GDPR zo belangrijk is en waarom organisaties eigenlijk zo *min mogelijk* persoonsgegevens moeten verzamelen.
Volgens de wet (WGBO) ben je als behandelend arts wettelijk verplicht een dossier aan te houden, inclusief BSN. Dus de datamininalisatie van de AVG staat hier echt buiten spel
Maar dit zijn nu juist gegevens die je wel wilt verzamelen en bewaren. Als een client later weer problemen heeft dan wil je toch de geschiedenis van die persoon weten. Wat hier fout is gegaan is dat de dossiers in het gebouw zijn blijven staan, niet het feit dat de informatie is opgeslagen.
Deze gegevens waren toch gewoon nodig? En omdat het om CD's gaat kan je ook wel voorstellen dat het nodig was om het op die manier te vervoeren.
Ja, nu wel, maar ik bedoel dat voor andere organisaties.

Als een gezondheidsinstelling al zo slordig met data omgaat, moet je nagaan hoe andere bedrijven dat doen. Daarom is een verbod op het verzamelen erg verstandig!
waar ik me meer zorgen om maakt is dat de vinder of diegene die het van de vinder heeft gekregen het aan de grote klok gaat hangen en dat dan de hele wereld mee kan kijken... niet zo zeer naar de info die gevonden is maar naar de mogelijkheden om mensen die een fout maken figuurlijk aan een hoge boom te hangen.... alsof iedereen perfect is..!!
Hetzelfde geldt voor die foto van de aantekeningen van Ollengren... het is voer voor de media en zie wat voor ellende er van gekomen is... naast de ellende kost het ook weer vreselijk veel tijd en onnodige aandacht.
mocht je iets serieus vinden, meld het bij de juiste persoon/bedrijf die er goed werk van kan maken dan al die onsmakelijke media aandacht.
waar ik me meer zorgen om maakt is dat de vinder of diegene die het van de vinder heeft gekregen het aan de grote klok gaat hangen en dat dan de hele wereld mee kan kijken... niet zo zeer naar de info die gevonden is maar naar de mogelijkheden om mensen die een fout maken figuurlijk aan een hoge boom te hangen.... alsof iedereen perfect is..!!
Hetzelfde geldt voor die foto van de aantekeningen van Ollengren... het is voer voor de media en zie wat voor ellende er van gekomen is... naast de ellende kost het ook weer vreselijk veel tijd en onnodige aandacht.
Je bedoelt dus eigenlijk: het grote publiek had niet hoeven te weten dat de politici, waar zij vertrouwen in hebben om het land te besturen, hun eigen agenda hebben? En mensen die lastige vragen stellen onder het tapijt willen schuiven? En daardoor de democratie ondermijnen? Het staat in de wet dat de kamer altijd geinformeerd moet worden, maar Rutte en co hadden daar lak aan. En iemand die daar terecht vragen over stelde (Omtzigt) moest dus worden weggemoffeld, daar ging die aantekening van Ollongren over.

Met andere woorden: Rutte en co hielden zich niet aan de wet. Als jij en ik dat doen noemen we dat crimineel en worden we gestraft. Dat in de openbaarheid brengen (wat de media deed) noem jij ellende en 'onnodige aandacht'? Heb je uberhaupt wel begrepen wat er precies is gebeurd?

Hier is net zoiets aan de hand. Medische gegevens zijn bijzonder kostbaar. Het kan enorme gevolgen hebben voor mensen als hun medische details uitlekken. Niet voor jou en mij, een penicillinekuur zal je toekomstige werkgever wel roesten. Maar als je een chronische ziekte hebt, of een psychische aandoening hebt gehad, dan kan het uitlekken van die informatie ervoor zorgen dat je een bepaalde baan niet krijgt. Dat is erg!

Dus het is volkomen terecht dat dit via de media in de openbaarheid wordt gebracht. De verantwoordelijken (of dat nu de ex-bestuurders of de curator is) moeten verantwoordelijk worden gehouden voor het uitlekken van deze gegevens. Als je ze rechtstreeks zou benaderen zeggen ze 'oeps, sorry' en daar is dit toch wel een paar klassen te ernstig voor...

[Reactie gewijzigd door PhilipsFan op 26 juli 2024 21:06]

De curator stelt dat hij nooit op de hoogte gesteld is door Riagg Rijnmond over dossiers op cd's en dacht dat alles in fysieke dossiers, op fiches en in het EPD stond.
Voor iedereen die net als ik dacht, huh fiches?

Dat zijn blijkbaar velletjes microfilm waarop tekst op 5% van de oorspronkelijke grootte in negatief bewaard werd. Leuk om over te lezen, ik kende het niet ondanks dat ik toch best een stuk van de vorige eeuw bewust heb meegemaakt :p
Dank je wel voor het artikel, ik wist het ook niet.

Komt wel een vraag bij me op...fiches klinkt als een oude techniek, uit de tijd van dia- en overhead projectors.

Waarom zou een instelling anno 2014 nog beschikken over dossiers op een dergelijk medium? Zou de bewaartermijn niet enorm overschreden zijn ?
Waarom zou een instelling anno 2014 nog beschikken over dossiers op een dergelijk medium? Zou de bewaartermijn niet enorm overschreden zijn ?
Wat is de bewaartermijn van medische gegevens? Het lijkt mij dat ze soms levenslang relevant kunnen blijven.

In het archief van een ingenieursbureau waar ik 20 jaar geleden werkte gebruikten ze ook nog fiches. Daar werd de documentatie van afgesloten projecten op gezet. Handig als je decennia later een verbouwing moet doen voor een pand wat je indertijd zelf ontworpen hebt. Maar ze waren toen al overgestapt op digitale documentatie die op CD’s gearchiveerd werd.
Wat is de bewaartermijn van medische gegevens? Het lijkt mij dat ze soms levenslang relevant kunnen blijven.
Het minimum is 20 jaar, en daarna zolang medisch relevant. Uitzondering zijn Academische ziekenhuisen die wettelijk 115 jaar moeten bewaren.

Maar het probleem zit hem in "zolang medisch relevant": geen enkele arts gaat handmatig door zijn dossiers om die 20 jaar oude verkoudheid uit het dossier te schrappen. Ook bestaat er discussie over de relevantie van het dossier voor bloedverwanten en mensen in hetzelfde huishouden. Zelfs na overlijden kan het van belang zijn om te weten of een van de ouders een specifiek type kanker heeft gehad omdat deze genetisch of lokatiegebonden overgerdagen is. Meeste artsen gooien dus weinig weg.

[Reactie gewijzigd door J_van_Ekris op 26 juli 2024 21:06]

Gezien de aard van deze organisatie (ggz) blijft informatie altijd medisch relevant. Als je een blindedarmoperatie hebt gehad en na een paar maanden is alles goed, dan zijn de details niet meer relevant. Maar als er psychische problemen zijn geweest kan dat vele jaren later weer een probleem worden. Je zou zelfs kunnen beargumenteren dat je zelfs de dossiers van familieleden zou moeten hebben voor een analyse; veel psychische aandoeningen zijn immers erfelijk en kunnen zelfs wel eens 1 generatie overslaan. Dan is het mooi als je alle historische informatie hebt om een diagnose te stellen en een behandelplan te maken.
Die operatie is dan weer interessant voor een verzekeraar, als je ooit opnieuw aangemeldt moet worden wordt dat doodleuk meegenomen in een risico analyse.
Het is onzin dat medische gegevens van puur lichamelijke aard na verloop van tijd minder of zelfs niet meer relevant zouden zijn. Het probleem bij alle medische gegevens is dat een ander beslist of het relevant is, ongeacht wat de mening van de patiënt is. Dat er voorbeelden gegeven kunnen worden dat het handig is om te delen doet er bij een datalek niet toe.
Dat is het vervelende van dit soort vage bepalingen bij bewaartermijnen. Of iets wat nu niet relevant lijkt uiteindelijk toch relevant zal worden, kan per definitie alleen achteraf worden vastgesteld. De arts wordt hiermee met een probleem opgezadeld, want alleen als hij zijn leven lang niets weggooit weet hij zeker dat hij het goed doet.
Waarom zou een instelling anno 2014 nog beschikken over dossiers op een dergelijk medium? Zou de bewaartermijn niet enorm overschreden zijn ?
Voor medische gegevens geldt eerder een minimale dan een maximale bewaartermijn.
Tot in de jaren '80 was het nog een zeer gebruikelijke vorm van opslag. En lang niet alles is overgezet, op veel plekken vindt je het nog in een archief met een machine onder het stof in een hoekje. Was bij ons in de fabriek ook zo. Die fiches bevatten alle tekeningen van de hele fabriek zoals die destijds is gebouwd en soms ging een constructeur daar nog wel in neuzen om wat berekeningen terug te vinden in plaats van alleen het eindgetal op de moderne tekeningen.
de fiches met microfilm is ook nog lang in gebruik geweest bij garages en automaterialen zaken. Daar stonden dan de onderdelen met bestelnummers van één auto model op. .
Heb er nog mee gewerkt in de periode 1990/1992, bij een Mercedes dealer.
Ik heb de latere EPC-systemen met cd-towers nog geïnstalleerd. De oude knarren vonden dat blijkbaar maar niets want ik zag ze nog geruime tijd teruggrijpen naar de microfilmfiches. ;)
Change = evil! :) En ik was toen 20 dus ik zei van waarom hebben jullie godverdomme geen computers.
Fiche is in het engels een verkorting van het woord microfiches. Bij fiches in het nederlands denk ik aan een bibliotheekbak gevuld met gerangschikte formulieren.
Ik heb vroeger in de bibliotheek nog heel vaak oude kranten via microfiches bekeken. Die waren op die manier gemakkelijk te bewaren en te benaderen.
Veel archieven van bijvoorbeeld kranten in de USA staan op fiches.
Zie je regelmatig in speelfilms langskomen, dat men die in een bibliotheek raadpleegd.
In de jaren 90 heb ik ooit een oude krant gelezen op fiches. Ze waren slecht gearchiveerd en konden naar mijn mening zou kwijt raken als ze niet correct werden ingenomen.
Maar waarom is de persoon die deze cd's heeft gevonden er mee naar de krant gegaan? Je gaat bij het vinden van zoiets toch niet naar de krant maar je belt bijvoorbeeld politie of de GGZ instelling?

Daarnaast, wat is de toegevoegde waarde dat NRC ook nog de inhoud van de cd's heeft bekeken?
"Maar waarom is de persoon die deze cd's heeft gevonden er mee naar de krant gegaan? Je gaat bij het vinden van zoiets toch niet naar de krant maar je belt bijvoorbeeld politie of de GGZ instelling?"
Serieus?
Nu krijgt de GGD of wie dan ook die verantwoordelijk is voor deze grove nalatigheid een flinke duw.
Als het gaat zoals jij voorstelt,wordt het gevalletje "foutje bedankt",en wordt er niemand verantwoordelijk gesteld.
Het gaat me meer om het feit dat je fysiek naar de krant gaat met de cd's.
Als je die 'flinke duw' wil geven kun je de krant bellen en zeggen: "ik heb een doos cd's gevonden met patiëntendossiers"
Daarbij, wie moet er nu die 'flinke duw' krijgen bij een failliete organisatie?
In iedergeval de curator. Die krijgt goed betaald voor zijn werk, dus moet die zijn werk ook wel echt doen. Niet alleen de poen pakken, er hoort ook verantwoordelijkheid bij.
Die krijgt alleen goed betaald als hijzelf voldoende "winst" uit de boedel kan halen. Die probeert er dus ook zo "goedkoop" mogelijk vanaf te komen.
Maar volgens mij is de curator ook verantwoordelijk voor ontruiming van het pand. Daar had hij mijns inziens dus het complete pand moeten controleren.
Maar het pand hoefde niet ontruimt te worden.
Je kunt onderdeel zijn van de oplossing of onderdeel van het probleem. Help je om dit geruisloos onder de mat te schuiven dan draag je bij aan het probleem. De organisatie die het betreft heeft dan immers geen enkele reden om orde op zaken te stellen.
Je kunt ook onderdeel van de oplossing zijn door het, via een krant, publiek te maken en die organisaties te dwingen om rekenschap te geven. Misschien dat ze dan voortaan iets beter op hun spullen letten.
Altijd weer boeiend: "Stichting Riagg Rijnmond is volgens de krant in de jaren voor het faillissement meermaals gewaarschuwd dat de huishouding wat betreft die dossiers niet op orde was. De boekhouder van de stichting adviseerde bijvoorbeeld de toegang tot dossiers te beperken "
En: "De curator stelt dat hij nooit op de hoogte gesteld is door Riagg Rijnmond over dossiers op cd's en dacht dat alles in fysieke dossiers, op fiches en in het EPD stond."
Kortom: de curator heeft echt zijn werk niet gedaan. Hij zou, gezien de eerste alinea, dus altijd extra aandacht besteed moeten hebben aan de dossiers.
Bovendien is het wettelijk zo: "De curator is verantwoordelijk voor het op correcte wijze afwikkelen van het faillissement. De curator neemt het beheer van al het vermogen over en is de enige persoon die handelend mag optreden." De curator is dus verantwoordelijk voor de 'boel' en niet meer de oorspronkelijke eigenaar.
De curator is vaak enig verwerkingsverantwoordelijke maar de failliete partij heeft een plicht tot informeren over waar welke gegevens zich bevinden. Een curator beperkt zich vaak tot het register van verwerkingsactiviteiten en de DPIA's en nog wat geprekken met oud werknemers, als uit die informatie niet naar voren komt dat er ergens in een hoek nog een doos met CD's staat dan kan de Curator daar niet veel aan doen. Het is de plicht van de failliete partij om op die doos te wijzen en niet de plicht van een curator om elke doos in het pand open te trekken en de inhoud te bestuderen.
Jawel dat is wel de plicht van de curator.
Houdt er ook rekening mee dat er binnen een maand een doorstart is geregeld in hetzelfde pand met overname van patiënten en behoud van de helft van het personeel. Dan houd het voor de curator in mijn beleving wel op met zoeken naar dit soort dingen, want bij een doorstart geldt dat wanneer de voortgezette onderneming de persoonsgegevens gaat verwerken voor ongewijzigde doeleinden voor de Curator de kous af is.

Verder weten wij niet of de curator de enige verwerkingsverantwoordelijke was in deze zaak, zeker met een bedrijf als Riagg wat vrachten zeer gevoelige info heeft kan ik mij gezamenlijke verantwoordelijkheid voorstellen als de logische keuze. Tevens was dit voor de huidige richtlijn van de AP die pas sinds 2020 geldt, daarvoor was het gebruikelijk dat de failliete partij de verantwoording bleef dragen.

[Reactie gewijzigd door Groningerkoek op 26 juli 2024 21:06]

De boekhouder van de stichting adviseerde bijvoorbeeld de toegang tot dossiers te beperken. Ik zal het even voor je afmaken; maar de directeur vond het niet nodig anders was het niet werkbaar voor sommige lieden. Hij noemde zichzelf ook CEO i.p.v. bestuurder las ik.
De curator stelt dat hij nooit op de hoogte gesteld is door Riagg Rijnmond
Dat ontslaat je niet van onderzoeksplicht, lijkt me. Een kale kip kan je niet plukken, en het lijkt mij horen bij de eindverantwoordelijkheid en due diligence van de curator wanneer die een klus accepteert om dit soort zaken te vinden en over te dragen. Dat het pand niet van boven naar onder was uitgemest is een kwalijke zaak.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 21:06]

moet die zélf geen inventaris opmaken van alle bezittingen en inboedel? Vaak zie je in online veilingen zelfs perforators en nietjesmachines passeren (of zelfs pakjes nietjes). Als je over de jaren 90 zou spreken kan je dat excuus nog gebruiken, maar in 2014 moet elke iets of wat geschikt bevonden curator toch weten dat datadragers enorm veel gegevens kunnen bevatten.

"die kluis met zwart geld, ik dacht dat alles mooi op de rekeningen stond, daar hebben de vorige bedrijfsvoerders niets over gezegd"
Ik zit me echt af te vragen of dat wel de verantwoordelijkheid is van een curator. Want jij geeft zelf al aan met "lijkt mij horen bij" dat je het zelf ook niet zeker weet. Je weet hoe dat gaat met aannames en wiens moeder dat is... Is een stappeltje CDs die ergens liggen waar ze niet horen (kelder) dan interessant? En als ik het zo lees, enigszins verstopt...

Of denkt dat een curator persoonlijk elk boekje open trekt, elke lade in een flink kantoorpand? En dan ook alles zonder fout op elke mogelijke waarde kan beoordelen?
Dat het pand niet van boven naar onder was uitgemest is een kwalijke zaak.
Dit kan bij de vuilniscontainers gestaan hebben. Je weet het niet. Heb zelf ook eens de discussie gehad met een curator over backup-tapes die letterlijk overal en nergens vandaan kwamen. En een curator is geen helderziende...
Wauw... een hoop mensen die hier niet hun verantwoordelijkheid namen zeg. Hoe moeilijk is het om een gebouw zonder gegevensdragers achter te laten.

Ook nog GGZ, dat is extreem gevoelig lijkt mij.
Viel me ook op. Eerste dat iedereen roept is dat het niet hun schuld is.
Volledig akkoord. Misschien dat er een klein verschil is tussen de taken van een curator in Nederland en een curator in mijn woonplaats Belgie. Hier (Belgie) dient een curator (buiten vele andere taken) OOK te onderzoeken wat er misgelopen is in het bedrijf. Bijvoorbeeld: een niet goed gevoerde/niet bestaande/frauduleuze boekhouding. (zie de zaak "kaouakibi" in Vlaanderen). De curator in Nederland stelt dat hij "niet op de hoogte werd gesteld van de dossiers op CD's". Echter: van een frauduleuze boekhouding zal de curator OOK NIET automatisch ingelicht worden. Die boekhouding moet hij blad voor blad (bit per bit) onderzoeken en met een conclusie komen. Kortom: Hij moet alles zélf onderzoeken en niet "op de hoogte gesteld te worden".
En stel dat die doos met CD's niet op papier is vermeld, maar dat het bijvoorbeeld oude back-ups zijn die in een uithoek van de kelder is verbannen?

Het is nog altijd zo dat de failliete partij verplicht is om de curator van die doos op de hoogte te stellen.
Maar om dat laatste te doen, moet er toch iets van een bedrijfsproces zijn. Als dat er nooit is geweest en iedereen deed maar wat dan weet niemand van het bestaan af. Het zal de eerste keer niet zijn (en ook niet de laatste keer) dat er maar wat gedaan wordt.
Klopt en dan zal een curator uiteindelijk een pand ook wel of leeg opleveren of na onderzoek vrijgegeven ter ruiming en verhuur aan de volgende partij. Maar in dit geval was er binnen een maand al een doorstart in hetzelfde pand, dan is wat mij betreft de rol van de Curator aangaande elke doos in elke hoek van het pand opentrekken wel voorbij, waarschijnlijk moest die daar zelfs nog mee beginnen omdat er eerst is gekeken naar een doorstart. De partij die een ruime tijd na de overname het bedrijf verhuisde had in mijn beleving het pand schoon moeten opleveren.
Alleen de financiële groep incl directeur draaide waarschijnlijk nog door. De rest was al lang weggestuurd.
Door de doorstart in hetzelfde pand welke binnen een maand was geregeld bleef de helft van het personeel behouden. Tevens geldt er bij faillissementen een opzegtermijn van zes weken tenzij korter overeengekomen.

Dus wie was er volgens jou al lang weggestuurd?
Alle secretaresses, -afdelingshoofden, -facilitair en -systeembeheer zijn per direct weggestuurd want dat had Parnassia al. Het enige doel is dan nog geld binnen halen met financiën. De rest loopt alleen maar in de weg.

[Reactie gewijzigd door souplost op 26 juli 2024 21:06]

Wat bedoel je dan met "Al lang"?
Voortijdig naar huis (Parnassia had die overhead al)

[Reactie gewijzigd door souplost op 26 juli 2024 21:06]

"al lang" slaat op een tijdsperiode/tijdvak.

Dus wanneer in het gehele proces zijn volgens jou die mensen weggestuurd?
Doet dat er eigenlijk toe? Je moet bij die directeur zijn want die had alle beheeractiviteiten al gestopt voor het faillissement. De helft was al ontslagen voor het faillissement. HIj huurde toen extreem veel in en was in onderhandeling met diverse partijen weet ik uit betrouwbare bron.
Ik hoop eigenlijk nog wel dat hij aangeklaagd kan worden voor wanbeleid (hij luisterde naar niemand en gaf veel te veel uit). Daar doet de curator nog steeds onderzoek naar, lees ik in de verslagen van de curator.
Jij beweert iets, ik vraag je wat jij daarmee bedoelt en dan komt de dooddoener "doet dat er eigenlijk toe"

Verder somt dit het wel mooi op: https://nrc.proxy.gate.sh...-de-riagg-1479314-a837926

Het enige wat de laatste directeur in feite heeft gedaan is dat hij een zinkend schip heeft afgezonken.

[Reactie gewijzigd door Groningerkoek op 26 juli 2024 21:06]

Het schip had privacy hoog in het vaandel staan, daardoor heeft het averij opgelopen. De nieuwe bestuurder had daar niets mee en was ongeschikt voor de job:
Tom Bank ontsloeg veel leidinggevenden, maar dat leidde volgens direct betrokkenen tot chaos. Hij moest hierop tijdelijk personeel inhuren tegen soms wel 20.000 euro per maand. Toen de curator met de tijdelijk financieel leidinggevende wilde praten, weigerde die te komen omdat de curator zijn laatste maandvergoeding van 20.000 euro nog niet had betaald. Van 34 teamsecretaresses (op 240 man personeel) was ook al afscheid genomen, vaak via royale afvloeiingsregelingen. Tegelijk huurde Bank een interim-secretaris in voor 9.000 euro per maand.
Je quote uit mijn eigen link.. o.k...
Zeer kwalijke zaak, aangezien al die gegevens zeer vertrouwelijk en in beroepsgeheim worden gedocumenteerd en genoteerd. Dit kan nog wel eens kwalijke gevolgen krijgen voor de clienten.
Inderdaad, in een GGZ instelling woon je niet voor je zweetvoeten. Gesprekken met de psychiater/psycholoog/behandelaar zijn uiterst vertrouwde gesprekken waarbij veel informatie over de cliënt worden gedocumenteerd. Deze informatie moet uiterst geheim blijven want dat kan inderdaad nadelige gevolgen hebben.
Echt slecht dat er nonchalant mee wordt omgesprongen. De politie heeft weer wat werk te doen en je mag hopen dat die dossiers niet geveild worden op schunnige plekken.
Dat geldt eigenlijk ook voor al die computers. Ik denk niet dat die door de curator vakkundig zijn ontmanteld.
Het zal mij niet verbazen als het elektronische EPD (dat parnassia niet heeft overgenomen) ergens nog op een (verkochte ?) server staat. Misschien wel in de kelder van de curator.
IK ben eigenlijk ook wel benieuwd hoe het is gegaan bij die failliete ziekenhuizen.
Parnassia zegt tegenover de krant dat het het datalek 'namens de curator zal melden bij de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd'.
Is dit de nieuwe 'verantwoording afschuiven'/politieke manier om verantwoording niet te nemen? Ik lees altijd dat ze het melden bij Autoriteit Persoonsgegevens, maar jaren geleden hadden ze dus actie moeten doen door het destijds te vernietigen of op z'n minst ergens (goed) te archiveren als dat nodig zou moeten zijn (verzekeringskwesties, patiënten/behandelaars die het willen opvragen, o.a.).

Zelf heb ik ook ervaring met een failliet Riagg organisatie. Vorig jaar toen ik mijn dossier heb opgevraagd, moest ik van alles ondertekenen en was dit ergens opgeslagen bij een advocatenkantoor die de zaak behandeld, uiteindelijk kon ik de kopieën ophalen in het voormalig Riagg-pand (dat inmiddels tig keer van naam is veranderd en nog steeds bestaat). Overigens was het wel een grote bende daar; komen en gaan van directeuren wat weer gevolgen had van trajecten/beloftes (persoonlijk meegemaakt), behandelaren overspannen/die vertrokken, etc. Het verbaasd mij dus niet echt dat het bij een andere Riagg (ook) is misgegaan, al hoeft dat zeker niet zo te zijn.

Overigens zijn de wachtlijsten zijn zo ontzettend lang of doktoren blijven bij wat ze kennen, waardoor je al snel bij deze instellingen terecht blijft komen. Buiten het Riagg zijn er nog een paar (bekende) organisaties die onder een vergrootglas liggen en/of misverstanden zijn.

Zelf heb ik een beetje een haat-liefde verhouding met bestaande dossiers. Deze dossiers zou je het liefst persoonlijk in handen willen hebben i.p.v. bij tig andere organisaties. Ik heb bij diverse gezeten of een (klein) traject gevolgd, die hebben vast en zeker nog persoonlijke gegevens van mij. Het beste zou zijn dat je een soort eigen Google Drive/OneDrive hebt waaraan jezelf kan bepalen wie in je dossier kan lezen/schrijven en je daarna rechten weer kan intrekken als je dat wilt. Nu ben ik helemaal afhankelijk van een organisatie waarvan je maar hoopt dat ze goed met je gegevens omgaan (rechten, archiveren, etc.), wat dus hier niet is gebeurt. Je kan dit verplaatsen naar het globale patiëntensysteem, maar dat zou niet mijn voorkeur hebben.

Gelukkig lijkt deze persoon zo eerlijk te zijn geweest en ziet ook het NRC de ernst van de zaak in. Het uitlekken ervan kan grote gevolgen hebben voor het welzijn/leven van die patiënten, ongelofelijk dat daar zo laks mee is omgegaan.

[Reactie gewijzigd door HollowGamer op 26 juli 2024 21:06]

Het beste zou zijn dat je een soort eigen Google Drive/OneDrive hebt waaraan jezelf kan bepalen wie in je dossier kan lezen/schrijven en je daarna rechten weer kan intrekken als je dat wilt.
Een soort POD dus? https://solidproject.org/users/get-a-pod
Gewoon een EPD waarbij de patient een melding krijgt op het moment dat er iemand toegang wil tot bepaalde gegevens, en je deze persoon op dat moment wel of geen toegang tot deze gegevens geeft voor een bepaalde tijd. Zo moeilijk is dat niet.
En natuurlijk nog 100.000 zorgwerkers die ook toegang hebben want je bent als je zorg nodig hebt niet altijd in staat om toestemming te geven.
Ziekenhuis zorg zou inderdaad een soort "nood" override moeten hebben, waarbij je dat natuurlijk wel achteraf kunt zien dat deze gebruikt is, en door wie. Als iemand dan onterecht toegang gevraagd/gekregen heeft, dan kunnen er dan ook consequenties aan gehangen worden.
En je kunt natuurlijk ook een melding sturen naar iemand die in jouw naam goedkeuring kan geven (partners, kinderen, ouders, etc.).

Op dit item kan niet meer gereageerd worden.