Patiënten moeten soms voorzichtig horen over datalek
Nergens zijn vorig jaar zo veel datalekken gemeld als in de gezondheidszorg. Het kan gaan om een brief of mail met algemene informatie die per ongeluk verkeerd is verstuurd, maar het kan ook zijn dat cybercriminelen gevoelige medische informatie in handen krijgen. De gedupeerde mensen moeten worden geïnformeerd, maar dat gebeurt niet altijd.
De Autoriteit Persoonsgegevens merkt dat zorginstellingen er soms voor kiezen om de getroffen cliënten niet op de hoogte te brengen. „Ze zeggen: het is niet in het belang van de patiënt om ze hierover te informeren, als we vertellen dat ze het slachtoffer van een datalek zijn en dat hun gegevens op het dark web staan, gaat het nog slechter met ze. Dat komen wij tegen”, zegt coördinator Dennis Davrados van de privacywaakhond. Hij benadrukt dat hij daar geen oordeel over heeft, „ik ga niet op de stoel van de arts zitten”.
De brancheorganisatie voor de geestelijke gezondheidszorg, de Nederlandse ggz, zegt dat er in principe geen uitzondering is voor patiënten van wie „de gezondheidstoestand kan worden beïnvloed door deze informatie”. Ook zij moeten bericht krijgen van een datalek als dat lek een risico voor ze vormt, net als elke andere burger. De zorgmedewerkers zullen dan wel goed nadenken „welke aanpak het beste past bij de patiënt. Want als ze het via de media vernemen of er later achter komen dat informatie is achtergehouden, voedt dat de paranoia misschien zelfs wel meer dan de verplichte openheid.”
Het kan ook zijn dat een ggz-patiënt een wettelijk vertegenwoordiger heeft. Als dat zo is, wordt die op de hoogte gebracht. Daarna kunnen de instelling en de vertegenwoordiger samen de patiënt informeren.
De Autoriteit Persoonsgegevens kreeg vorig jaar 8929 meldingen van datalekken uit de gezondheidszorg. Dat is meer dan de sectoren openbaar bestuur, financiële dienstverlening, onderwijs, informatie en communicatie, specialistische zakelijke dienstverlening, handel en autobranche, en onroerend goed bij elkaar.