Hardleers

In 2006 liet ik de veiligheid van de elektronische patiëntendossiers van twee ziekenhuizen testen. Bij een ziekenhuis waren de hackers binnen een paar uur binnen, zonder ingewikkelde strapatsen. De hackers gebruikten een alom bekende kwetsbaarheid, konden daarna overal bij en verhuisden op mijn verzoek grote hoeveelheden gegevens heen en weer, om te kijken of het ziekenhuissysteem dan tenminste doorhad dat er ineens wel erg veel data werd rondgesleurd. Nee hoor, niks.

Ik kon lijstjes oproepen van alle patiënten met ziekte X, of geboren in een specifiek jaar, of in behandeling bij dokter Y, of wonend in postcodegebied Z. Alle patiëntendossiers kon ik vrijelijk inzien, kopiëren, wissen, ja zelfs veranderen. Het ziekenhuis merkte niets.

Toen ik de directie belde met het schokkende nieuws en een afspraak tussen hen en de hackers arrangeerde om de oorzaken van hun gapende gat te bespreken, stuurden ze de systeembeheerder. De directie noch de Raad van Bestuur lieten zich zien. Niet hun pakkie-an, vonden ze.

Gisteren werd bekend dat vier Nederlandse ziekenhuizen betrokken waren bij twee nieuwe medisch datalekken. Twee ziekenhuizen hadden via een tussenpersoon de papieren dossiers van hun patiënten aan Belgische gevangenen verstrekt; de gevangenen moesten de dossiers gereedmaken om te scannen, opdat de dossiers gedigitaliseerd konden worden. Papier ordenen, nietjes eruit, dat werk. De dossiers van je patiënten aan veroordeelde criminelen geven – wie bedenkt er in hemelsnaam zoiets? Medische dossiers mogen uitsluitend worden verwerkt door mensen die een strenge geheimhoudingsplicht hebben.

Dezelfde tussenpersoon, het Belgische iGuana, was ook verantwoordelijk voor het tweede lek: de gegevens van 200.000 patiënten waren een maand lang voor iedereen zichtbaar via een volledig onbeschermde internetlink. Daaronder bevonden zich bijna 6000 datasets van twee Nederlandse ziekenhuizen (de rest betrof Belgische patiënten).

In het lijstje van de betrokken ziekenhuizen sprong één naam in het oog. Warempel, daar had je het ziekenhuis weer dat tien jaar geleden al zo onvergeeflijk slordig omsprong met de digitale dossiers van hun 1,2 miljoen patiënten. Ze zijn verrekte hardleers, daar.

We willen graag alles digitaliseren, maar het moet liefst niets kosten. Dus zetten we om redenen van kostenbesparing slordige tussenpersonen en vage onbevoegden in. En het is onze privacy die daaronder lijdt, óns medisch geheim dat al doende op grote schaal wordt geschonden.

Ziekenhuizen zouden tegenwoordig een privacy-officer in dienst moeten hebben, iemand die verstand heeft van data-hygiëne en privacywetgeving; iemand die boven alle disciplines staat en die een veto kan uitspreken over brakke automatisering.

Tot die tijd zijn boetes de enige remedie, torenhoge hoge boetes. Pas dan gaan directies en zorgverzekeraars zich realiseren dat goedkoop vaak duurkoop is.


Aantal reacties: 2