Wat is er precies gebeurd in Gouda?

Een hacker maakte zondag bekend dat de patiëntgegevens van het ziekenhuis via internet toegankelijk waren doordat ze slecht waren beveiligd. Daardoor lagen de gegevens van honderdduizenden patiënten op straat. Het ging om röntgen­foto’s, adressen en gegevens over medicatie.

Gistermiddag liet minister Schippers weten dat de gegevens van 52 patiënten daadwerkelijk zijn ingezien. Het ziekenhuis sprak later van 47 dossiers. Het ziekenhuis overlegt met het College Bescherming Persoonsgegevens (CBP) om de getroffen patiënten in te lichten.

Wiens schuld is dit?

Allereerst die van het ziekenhuis. De manier waarop de gegevens van de patiënten zijn beveiligd, is onvoldoende gebleken. Daarmee heeft het ziekenhuis niet aan de wet voldaan. Ook de hacker is strafbaar, omdat hij zich zonder toestemming toegang tot gegevens van een ander heeft verschaft.

Welke plicht heeft het ziekenhuis?

Alle ziekenhuizen moeten voldoen aan de Wet bescherming persoonsgegevens. In die wet is vastgelegd dat organisaties die werken met persoonsgegevens de plicht hebben om die informatie te beveiligen. De wet bevat echter geen concrete normen; daarvoor zijn in de praktijk standaarden ontwikkeld. Een van die standaarden is dat zo min mogelijk mensen toegang hebben tot medische gegevens.

Kan mijn medisch dossier ook op straat terechtkomen?

Die kans is klein, maar niet uit te sluiten. In 2007 heeft het CBP onderzoek gedaan naar de informatiebeveiliging in ziekenhuizen. De conclusie was toen schrikbarend: geen enkele van de onderzochte ziekenhuizen voldeed aan de normen voor de beveiliging van informatie.

Sindsdien is er veel verbeterd. Vier ziekenhuizen kregen een dwangsom opgelegd omdat de verbeteringen niet snel genoeg kwamen. Nog altijd is het systeem niet waterdicht. Vorige maand bleek het Ruwaard van Putten Ziekenhuis in Spijkenisse de beveiliging van patiëntengegevens niet op orde te hebben.

Niet alleen bij de beveiliging kan het misgaan. Gegevens kunnen ook openbaar worden doordat een hulpverlener ze onterecht doorgeeft aan derden.

Wie mogen mijn gegevens allemaal inzien?

Alleen medewerkers die direct betrokken zijn bij de behandeling van een patiënt hebben het recht om de medische gegevens te bekijken. Soms kan het nodig zijn dat ook andere medewerkers het dossier inzien, zoals een secretaresse. Dat mag alleen als dat noodzakelijk is voor een goede uitoefening van hun functie, en ze mogen alleen dat gedeelte inzien dat daarvoor van belang is. Is aan die voorwaarden voldaan, dan hebben deze mensen geen expliciete toestemming nodig om de dossiers te bekijken.

Toch is er daarnaast nog een flink aantal andere organisaties dat eventueel medische gegevens onder ogen krijgt. Zo beschikken zorgverzekeraars over dat deel van de gegevens dat nodig is om de betaling in gang te zetten. Hetzelfde geldt voor administratiekantoren en incassobureaus die rekeningen opstellen in opdracht van het ziekenhuis en andere hulpverleners. Ook mogen medische gegevens in sommige gevallen worden doorgegeven aan de politie of het openbaar ministerie.

Wat kan ik doen als mijn gegevens ten onrechte zijn doorgegeven?

Als een hulpverlener medische gegevens onterecht doorgeeft, houdt hij zich niet aan zijn geheimhoudingsplicht. In principe kan hij daarvoor worden vervolgd. De meest logische stap om een vermoeden van misbruik van gegevens aan te kaarten, is door een klacht in te dienen bij een klachtencommissie. Iedere zorgaanbieder is verplicht zo’n commissie te hebben.