Patiëntgegevens gestolen

Gevoelige informatie van 780 kankerpatiënten werd gestolen. Artsen mogen dossiers niet meenemen.

Een harde schijf met persoonlijke, medische gegevens van ruim 780 kankerpatiënten die zijn behandeld in het Antoni van Leeuwenhoekziekenhuis is gestolen. Dit maakte het ziekenhuis donderdag bekend.

De gegevensdrager werd gestolen uit de auto van een onderzoeker die de gegevens mee naar huis had genomen. Op een deel van de bestanden staat informatie zoals naam, geboortedatum, het type tumor en de voortgang van de experimentele behandeling waar de patiënten aan deelnamen. Het contract van de betrokken medewerker wordt niet verlengd, laat een woordvoerder van het ziekenhuis weten. „Dit is een heel onaangename verrassing voor ons. We tillen hier heel zwaar aan.”

Het ziekenhuis heeft patiënten telefonisch op de hoogte gesteld van de diefstal. Van de 780 patiënten zijn er nog 199 in leven. Die worden als uitbehandeld beschouwd, maar mogen nog wel aan een experimentele behandeling van het ziekenhuis meedoen. Nabestaanden van patiënten die inmiddels zijn overleden – het experimentele onderzoek is al meer dan tien jaar bezig – krijgen geen bericht over de diefstal. Volgens een woordvoerder van het ziekenhuis mag dat niet „vanwege privacywetgeving”.

De medewerker van het ziekenhuis heeft „gehandeld in strijd” met interne regels. Patiëntgegevens mogen niet uit het ziekenhuis worden meegenomen. Als dat toch nodig is, omdat er bijvoorbeeld overleg is met collega-onderzoekers in een ander land, dan mogen de gegevens alleen op speciaal beveiligde usb-sticks of andere gegevensdragers worden meegenomen. Die heeft het ziekenhuis, maar de betrokken onderzoeker maakte daar geen gebruik van.

Patiëntenfederatie NPCF maakt zich „grote zorgen” over datalekken in ziekenhuizen. Voorzitter Dianda Veldman: „Dit had nooit mogen gebeuren. Je zet geen gegevens van patiënten op een onbeveiligde harde schijf. En neemt die al helemaal niet mee uit het ziekenhuis. Onbestaanbaar en hoogst onverantwoordelijk.”

Het is niet de eerste keer dat gevoelige informatie uit ziekenhuizen naar buiten komt. Eerder werd bekend dat patiëntgegevens van ziekenhuizen per ongeluk openbaar op internet in te zien waren, en dat de bewerking van patiëntendossiers aan gevangenen werd toevertrouwd.

De Federatie Medisch Specialisten stelt in een reactie dat er voor ziekenhuizen duidelijke regelgeving bestaat over het omgaan met patiëntinformatie. Een woordvoerder zegt dat uit de Wet bescherming persoonsgegevens en richtlijnen van artsenorganisatie KNMG valt op te maken dat dossiers meenemen uit het ziekenhuis verboden is. „Als het voor onderzoeksdoeleinden nodig is, dan mogen zulke gegevens alleen beveiligd en versleuteld worden meegenomen.”

In oktober schreef de Autoriteit Persoonsgegevens nog een waarschuwingsbrief aan de raden van bestuur van alle zorginstellingen. Per definitie zijn patiëntgegevens gevoelig, schrijft de Autoriteit: „Een zorginstelling kan patiënten niet aan het risico blootstellen dat onbevoegden medische gegevens inzien.” De gegevens moeten „altijd” toegankelijk zijn voor medewerkers die betrokken zijn bij de behandeling van of zorg voor een specifieke patiënt. Maar, schrijft de Autoriteit, „tegelijkertijd mogen die gegevens niet in handen komen van medewerkers die niets te maken hebben met die patiënt.”

De gegevensdrager met informatie over kankerpatiënten van het Antoni van Leeuwenhoek is nooit teruggevonden. Er stonden geen logo’s of naam van het ziekenhuis op de gegevensdrager. Een woordvoerder: „Waarschijnlijk zijn de kostbaarheden uit de auto meegenomen, en ligt de gegevensdrager bij het vuilnis.”

    • Enzo van Steenbergen