Oude gegevens op USB
De USB-stick bevatte oude gegevens van 4.325 patiënten die in de periode 2014 tot en met 2017 in behandeling waren bij de gipskamer. Het gaat om de volgende gegevens: naam, geboortedatum, patiëntnummer en korte, inhoudelijke aantekeningen over de aard van botbreuken en de wijze van behandeling. Het bestand bevatte geen adresgegevens en Burgerservicenummers (BSN). Er staan ook geen andere medische gegevens op de USB-stick. De gegevens waren volgens de betrokkene op de USB-stick gezet met het doel om de effectiviteit van de behandeling later te kunnen analyseren. Het Flevoziekenhuis heeft alle patiënten die het betreft met een brief op het huisadres geïnformeerd.
Reactie bestuur
“Dit had écht niet mogen gebeuren”, zegt Anita Arts, voorzitter van de raad van bestuur. “Patiëntgegevens mogen alleen opgeslagen worden als dit noodzakelijk is voor de medische behandeling of met voorafgaande toestemming van de patiënt. Beide was hier niet het geval. En áls opslaan van patiëntgegevens al gepermitteerd is, dan moet het veilig gebeuren. We nemen dit zeer serieus. In het Flevoziekenhuis gelden regels omtrent het beschermen van de privacy. Patiënten moeten er op kunnen rekenen dat hun informatie veilig is bij ons. We doen er alles aan om herhaling te voorkomen”.
Melding aan AP
Het Flevoziekenhuis heeft het datalek na ontdekking gemeld bij de Autoriteit Persoonsgegevens (AP) en een extern bureau onderzoek laten doen. De betrokken patiënten zijn geïnformeerd over het datalek en het ziekenhuis heeft hen excuses aangeboden. Om herhaling te voorkomen zijn de bestaande regels en protocollen rond het bewaren en het gebruik van patiëntengegevens verder aangescherpt. Het is voortaan verboden om USB-sticks, ook beveiligde, te gebruiken voor het opslaan van herleidbare persoonsgegevens. Het gebruik van onbeveiligde USB-sticks is sowieso niet meer toegestaan.
