image

Apothekers lekten patiëntgegevens aan fabrikant Tena Lady

zaterdag 14 december 2013, 14:41 door Redactie, 9 reacties

Verschillende apothekers hebben in strijd met het medisch beroepsgeheim patiëntgegevens aan een fabrikant van incontinentiemateriaal gelekt. Daarnaast bleek dat de patiëntgegevens bij andere apothekers onvoldoende beveiligd waren, zo meldt het College bescherming persoonsgegevens (CBP).

Volgens het CBP hebben de apothekers door hun handelen de wet overtreden. Tijdens de steekproef die het CBP uitvoerde bleek dat vier apothekers patiëntgegevens aan SCA Hygiene Products hadden doorgespeeld, bekend van de Tena Lady. De gegevens werden gebruikt om patiënten met incontinentieproblemen telefonisch te benaderen voor een zogeheten "Tena Consult".

Waarborgen

Het CBP constateerde dat de apothekers onvoldoende waarborgen hadden getroffen om de patiëntgegevens te beschermen. Zo ontbrak een zogeheten bewerkersovereenkomst tussen de apotheken en de fabrikant waarin afspraken opgenomen moeten zijn over onder meer de beveiliging van de gegevens en het doel waarvoor de bewerker de verschillende gegevens verwerkt.

Inmiddels heeft de fabrikant met de onderzochte apothekers met wie nog wordt samengewerkt een bewerkersovereenkomst gesloten waardoor de overtredingen op dit punt zijn beëindigd. Uit het onderzoek bleek ook dat niet alle apothekers aan alle patiënten toestemming hebben gevraagd om hun patiëntgegevens door te geven aan de fabrikant.

Dat was in strijd met de wet. Deze overtredingen zijn inmiddels beëindigd omdat deze patiënten alsnog toestemming hebben gegeven en de gegevens van patiënten die geen toestemming hebben gegeven, zijn vernietigd.

Beveiliging

Uit het onderzoek naar de beveiliging van de toegang tot patiëntgegevens bleek dat vier (andere) apothekers niet alle vereiste maatregelen hebben genomen om te zorgen dat alleen bevoegde personen toegang hebben tot hun patiëntgegevens. Dat geldt bijvoorbeeld voor de eis van de zogeheten twee-factor authenticatie (bijvoorbeeld een chipcard in combinatie met een pincode) voor toegang tot het systeem.

De apothekers bleken enkel gebruik te maken van wachtwoorden om in te loggen en dat is onvoldoende, aldus het CBP. Twee apothekers hebben aangegeven maatregelen te hebben genomen waardoor de overtredingen binnen afzienbare tijd zullen zijn beëindigd. Eén apotheker heeft na de vaststelling van het onderzoeksrapport laten weten dat de overtreding inmiddels is beëindigd. Het CBP zal binnenkort controleren in hoeverre de geconstateerde overtredingen nog voortduren.

Reacties (9)
14-12-2013, 14:45 door Anoniem
Dat geldt bijvoorbeeld voor de eis van de zogeheten twee-factor authenticatie (bijvoorbeeld een chipcard in combinatie met een pincode) voor toegang tot het systeem.

Betekent dit dat voor toegang tot patientgegevens twee-factor authenticatie wettelijk verplicht is? Geldt dit voor alle gegevens of alleen de medische gegevens? Geldt het misschien zelfs voor de gehele set bijzondere persoonsgegevens?

Ik heb trouwens dit nergens expliciet vermeld zien staan.

Peter
14-12-2013, 15:18 door Anoniem
Geweldig. De overtreding is beëindigd. En nu? Ondertussen liggen de gegevens er dus wel. En vernietigd? Dat is al bijzonder lastig om het moment dat je te goeder trouw bent. *Iets* zegt me dat SCA dat niet boven aan het prioriteitenlijstje heeft staan.
14-12-2013, 17:17 door [Account Verwijderd] - Bijgewerkt: 14-12-2013, 17:19
[Verwijderd]
14-12-2013, 18:24 door Anoniem
Door Peter V.: Het geeft maar weer eens keihard aan dat je als patiënt de dupe bent, ondanks alle wetten en regels die er gemaakt zijn.

Vraag: hoe vaak komt het voor in NL dat patiëntgegevens "per ongeluk" worden doorgespeeld naar big-farmabedrijven? Of komen ze misschien ook nog bij verzekeringsbedrijven of andere bedrijven terecht?

Daar zou ik heel graag een antwoord op willen hebben!

Die hoeven niet doorgespeelt te worden, verzekeraars zoeken het gewoon op in het EPD/LSP. Mag "officieel" wel niet maar ja wie de infrastructuur financiert zal daar ook wat voor terug willen zien. Bovendien is de beveiliging een om te huilen volgens een vriend van me die bij Achmea heeft gewerkt. Als IT'er heb je in ieder geval ongelimiteerd toegang tot iedereens informatie.


http://www.pw.nl/nieuws/nieuwsberichten/2011/akkoord-over-doorstart-lsp
De afspraken worden ondersteund door de Vereniging Nederlandse Ziekenhuizen (NVZ) en de Nederlandse Patiënten Consumenten Federatie (NPCF). Daardoor is nu een doorstart van het LSP voor 2012 mogelijk. Zorgverzekeraars hebben inmiddels garanties gegeven voor de financiering van de technische infrastructuur.
14-12-2013, 18:30 door Anoniem
Deze apothekers hun licentie afnemen en de zaak sluiten is het enige correcte antwoord! Dit geeft een goed signaal af naar de rest van de branche...
14-12-2013, 22:35 door Goeroeboeroe
Ik hoop dat het alleen security.nl is dat de term 'lekken' gebruikt. Hoewel ik van het CBP ook niet veel verwacht, zijnde een teckeltje waarvan het volledige gebit is verwijderd. 'Lekken?' Dit is gewoon een keiharde schending van het medische beroepsgeheim, waarop een strafrechtelijke vervolging dient te volgen. Met een fikse straf. Niet voor de apotheek, maar voor de verantwoordelijke personen.
O, wacht. Ik vergeet wat. Het gaat niet niet om een bijstandsfraude van 'n paar tientjes, maar om bedrijven. Logisch dat die natuurlijk alleen 'n waarschuwing krijgen. Verschil moet er zijn.
15-12-2013, 11:10 door WhizzMan
Het lijkt me belangrijk dat in dit geval vervolging wordt ingesteld en er serieuze straffen worden geeist. Met een kopje rooibos ga je het vertrouwen van de samenleving niet terugkrijgen en ook zullen apothekers niet echt bang worden en beter op gaan letten als je dit verder zo laat.
15-12-2013, 11:48 door Anoniem
Door Anoniem:
Dat geldt bijvoorbeeld voor de eis van de zogeheten twee-factor authenticatie (bijvoorbeeld een chipcard in combinatie met een pincode) voor toegang tot het systeem.

Betekent dit dat voor toegang tot patientgegevens twee-factor authenticatie wettelijk verplicht is? Geldt dit voor alle gegevens of alleen de medische gegevens? Geldt het misschien zelfs voor de gehele set bijzondere persoonsgegevens?

Ik heb trouwens dit nergens expliciet vermeld zien staan.

Peter

Is een eis bij de betreffende NEN7510 maatregel. Als de instelling patientgegevens verwerkt moet minimaal 2-factor authenticatie gebruikt worden, samen met nog 22 van dat soort eisen als uitbreiding op de ISO27001 die de basis is van NEN7510. En die laatste is dus verplicht in de zorg.

Staat er dus heel expliciet.
15-12-2013, 12:00 door slartibartfast
Door Anoniem:
Dat geldt bijvoorbeeld voor de eis van de zogeheten twee-factor authenticatie (bijvoorbeeld een chipcard in combinatie met een pincode) voor toegang tot het systeem.

Betekent dit dat voor toegang tot patientgegevens twee-factor authenticatie wettelijk verplicht is? Geldt dit voor alle gegevens of alleen de medische gegevens? Geldt het misschien zelfs voor de gehele set bijzondere persoonsgegevens?

Ik heb trouwens dit nergens expliciet vermeld zien staan.

Peter

Staat letterlijk bij de betreffende maatregel in NEN7510. Verplicht als de instelling patientgegevens verwerkt. Helaas is men bij deze rare norm vergeten te definieeren wat men onder 'verwerken' moet verstaan. De WBP spreekt al over verwerken als je een backup maakt... Dus is 2-factor athenticatie al heel snel verplicht.

Staat er dus heel expliciet. Samen met nog 22 extra eisen t.o.v. ISO27001, de basis van NEN7510.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.