Nieuws
image

Ziekenhuizen slordig met patiëntendossiers

woensdag 12 november 2008, 10:07 door Redactie, 18 reacties

Ziekenhuizen gaan zeer slordig om met patiëntendossiers en verstrekken die aan wildvreemden, zo blijkt uit onderzoek van RTV West. Bij een steekproef van acht ziekenhuizen wist men allerlei vertrouwelijke informatie op te vragen. De journalist deed zich voor als medewerker van een ander ziekenhuis en vroeg naar de medische dossiers van patiënten, waarvan hij vaak alleen de naam en geboortedatum kende. De genoemde ziekenhuizen faxten daarop, zonder nadere controle, de dossiers toe. Informatie over ziektegeschiedenis, laboratoriumuitslagen, operatieverslagen, behandelingsprocessen, medicijngebruik en voorgeschreven medicatie werden probleemloos verstrekt en zonder toestemming van de patiënt, die vereist is. Bij twee ziekenhuizen lette de werknemers beter op.

Volgens het College Bescherming Persoonsgegevens (CBP) is de slordigheid van de ziekenhuizen 'zeer zorgwekkend'. Ook het CDA is verbijsterd. "Als je medische gegevens ergens liggen, moet je er van uit kunnen gaan dat die daar blijven", zegt Tweede Kamerlid Janneke Schermers. "Het is te gek voor woorden dat via een telefoontje zoveel gevoelige informatie op straat kan komen te liggen", zegt PVV-Kamerlid Fleur Agema.

Cultuuromslag
Het Medisch Centrum Haaglanden, een van de ziekenhuizen die de mist in ging, laat weten te werken aan "het aanscherpen van de procedures en het realiseren van een cultuuromslag." Bij het Leids Universitair Medisch Centrum was men absoluut niet te spreken over de werkwijze van de journalist en wijst men op de vertrouwensband onder professionals. "Als dit vertrouwen wordt beschaamd door journalisten die zich uitgeven als arts en patiënten die voor dit doel hun gegevens beschikbaar stellen, dan zijn daar geen maatregelen tegen te nemen," aldus het ziekenhuis.

De zender is het daarmee niet eens, aangezien de ziekenhuizen de social engineering aanval hadden kunnen voorkomen als men de regels had gevolgd, "die hier heel expliciet" zijn. Alle personen waarvan Omroep West de dossiers heeft opgevraagd wisten van deze actie en hebben daarvoor vooraf expliciet toestemming gegeven aan de verslaggever.

Reacties (18)
12-11-2008, 10:17 door Anoniem
Ik werk bij een ISP en er is zeker een 'cultuuromslag' nodig, hoeveel ICT bedrijfjes ons niet bellen, 'namens de klant' en aan de hand van die telefonische mededeling dan verwachten dat we maar even DNS records resp. MX-records wijzigen..... dus niet.
En dan reageert men vaak nog heel verbolgen ook, wat ik maar bedoel te zeggen; "zij zonder zonden, werpen de eerste steen.... " ;)
12-11-2008, 10:21 door [Account Verwijderd]
[Verwijderd]
12-11-2008, 10:22 door [Account Verwijderd]
[Verwijderd]
12-11-2008, 10:48 door Eerde
Weer een reden om toch maar niet te vergeten mij af te melden voor het EPD !
12-11-2008, 11:04 door [Account Verwijderd]
[Verwijderd]
12-11-2008, 11:37 door Anoniem
De simpele oplossing: Een maandelijkse test, val je door de mand? Oeps, je ziekenhuis is een week gesloten.
12-11-2008, 11:58 door Anoniem
Door AnoniemDe simpele oplossing: Een maandelijkse test, val je door de mand? Oeps, je ziekenhuis is een week gesloten.
Goede oplossing, dat zou betekenen dat elke maand driekwart van alle ziekenhuizen een week gesloten zijn. Dat zal vast wel ten goede komen van de patienten.

R-
12-11-2008, 12:32 door Anoniem
"Oeps, je ziekenhuis is een week gesloten. "

Erg simplistisch, en volledig onhaalbaar.
12-11-2008, 13:00 door Anoniem
VOORAF: Altijd de patiënt om toestemming vragen (bijv. via digid of bank)

IN NOOD: ACHTERAF: Een periodiek overzicht geven aan de patient (je weet tenslotte via het GBA waar die woont) van alle gebruikers die (een deel van) het dossier (EPD) hebben ingezien.
12-11-2008, 13:12 door [Account Verwijderd]
[Verwijderd]
12-11-2008, 13:28 door Anoniem
@ Iceyoung:

Het dichtgooien van OKs, waarbij operaties tijdelijk in een ander ziekenhuis worden uitgevoerd, is nog heel wat anders dan het dichtgooien van een compleet ziekenhuis. Daarnaast moet je daar zeker niet lichtvaardig mee omgaan, en bij een privacy incident lijkt het mij in het belang van de patienten logischer om een boete op te leggen dan om een geheel ziekenhuis dicht te gooien, waarbij je alle patienten (inclusief intensive care e.d.) moet gaan verhuizen - indien andere ziekenhuizen uberhaupt al genoeg capaciteit hebben om bijvoorbeeld alle patienten van het LUMC op te vangen.

Het feit dat die OKs vanwege volledig legitieme redenen (gezondheid patienten) tijdelijk werden gesloten vind ik niet bepaald een argument wat het sluiten van een geheel ziekenhuis vanwege privacy incidenten zou rechtvaardigen. Het sluiten van een ziekenhuis moet een allerlaatste optie zijn, welke enkel genomen moet worden wanneer de gezondheid van de patienten in het geding is.
12-11-2008, 13:32 door Preddie
ach de penetratie testen van FOX-IT vorig jaar op een aantal ziekenhuizen gaf ook wel een leuke beeld van hoe effectief social engineering is, zo wisten ze in het erasmus medisch centrum ( rotterdam ) 800.000 patient gegevens te stellen. Verder was er bij een ziekenhuis dat de naam niet wilde laten vallen gecracked, daarbij zijn 1.200.000 patient gegevens gestolen, via een "lekje" in een verkeerde gekoppelde intranet site....
12-11-2008, 14:07 door [Account Verwijderd]
[Verwijderd]
12-11-2008, 14:31 door Anoniem
Ik verwacht wat meer van het CBP dan de reactie die ze nu gegeven hebben. De vraag is alleen of we meer kunnen verwachten, aangezien ze niet erg scheutig zijn in daadwerkelijk beschermen van persoonsgegevens en vooral praten.

Wat betreft het LUMC : dit is het toppunt van onbeschaamdheid richting hun clienten. Je kan je als zorginstelling en medewerker daarvan niet verschuilen achter sociale regeltjes om net te doen alsof je je niet aan de eisen hoeft te houden en anderen fout zitten. De schuld afschuiven op de journalisten is hier gelijk aan het wegwimpelen van het bestaan van deze onacceptable vorm van omgang met zeer gevoelige persoonlijke gegevens. Persoonlijk ben ik van mening dat er zware boetes op moeten komen te staan wanneer blijkt dat verwerkers van persoonsgegevens niet de nodige of vereiste regels in acht nemen, helemaal als ze daar ook nog eens zo'n houding op na houden waaruit blijkt dat het ze niet interesseert dat ze er verkeerd mee omgaan.
12-11-2008, 18:13 door prikkebeen
Ik zal wel een zwartkijker zijn, maar ik vrees dat men dit soort dingen zal aanwenden om het EPD er door te drukken. Immers, de (bevoegde) zorgverleners krijgen straks een pasje waarmee ze in het EPD kunnen inloggen om gegevens op te vragen en zou dit niet meer kunnen gebeuren.
Dat is de theorie natuurlijk...
Er zullen straks nog veel meer gegevens 'gelekt' worden denk ik. Pasjes zullen even uitgeleend worden of verloren b.v. De verzekeraars zitten al met het kwijl in de mond te wachten vermoed ik.
13-11-2008, 08:00 door Anoniem
Ik ben als LUMC werknemer best teleurgesteld in de reactie van het LUMC. Het probleem wordt ontkent tegenover een journalist die daar staat met een stapeltje faxen onder zijn arm. Beter was geweest er op te wijzen dat het EPD er juist voor kan zorgen dat de autorisatie tot gegevens niet meer met een eenvoudig anoniem telefoongesprekje te verkrijgen is.
13-11-2008, 10:09 door Anoniem
Door AnoniemIk ben als LUMC werknemer best teleurgesteld in de reactie van het LUMC. Het probleem wordt ontkent tegenover een journalist die daar staat met een stapeltje faxen onder zijn arm. Beter was geweest er op te wijzen dat het EPD er juist voor kan zorgen dat de autorisatie tot gegevens niet meer met een eenvoudig anoniem telefoongesprekje te verkrijgen is.

Met inzet van gewoon wat boerenverstand, zouden deze gegevens ook niet op straat komen te liggen ^&!#$ !
Wat een ongelofelijke onzin om hier weer het EPD bij de haren bij te slepen !
13-11-2008, 11:38 door Anoniem
Door AnoniemIk ben als LUMC werknemer best teleurgesteld in de reactie van het LUMC. Het probleem wordt ontkent tegenover een journalist die daar staat met een stapeltje faxen onder zijn arm. Beter was geweest er op te wijzen dat het EPD er juist voor kan zorgen dat de autorisatie tot gegevens niet meer met een eenvoudig anoniem telefoongesprekje te verkrijgen is.

Sure; http://www.security.nl/artikel/24570/1/Pati%C3%ABntendossier_niet_veilig_in_ziekenhuiscomputer.html Dream on !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure