NPCF: Schandalig misbruik van patiëntgegevens toont noodzaak goede beveiliging
Array
Patientenfederatie NPCF heeft met afgrijzen gekeken naar de uitzending van Zembla waarin duidelijk werd gemaakt hoe achteloos soms met patientgegevens omgegaan wordt. Door een beveiligingslek in het computerprogramma Humannet, dat onder meer medische dossiers van bedrijfsartsen beheert, zijn medische en persoonlijke dossiers maandenlang toegankelijk geweest voor onbevoegden. “Het is shocking en schandalig dat dit heeft kunnen gebeuren. Dit zit echt op niveau ‘sleutel naast de voordeur onder bloempot’. Verschrikkelijk voor de mensen die het betreft,” reageert Wilna Wind, directeur NPCF.
“Aan de uitwisseling van medische gegevens moeten de hoogste eisen worden gesteld. Een inlog met alleen naam en wachtwoord, zoals in dit geval, kan echt niet meer. Een zogenoemde UZI-pas voor artsen is een absolute voorwaarde.”
De NPCF vindt dat onomstotelijk duidelijk moet zijn wie toegang heeft en wie inlogt. Het mag niet zo zijn dat je zomaar bij de gegevens van 300.000 patienten kunt, zoals bij Humannet blijkbaar het geval was.
In het geval van Humannet is er misbruik gemaakt van een account van een arts of van een gemachtigde. Het systeem dat gehackt is was bovendien gewoon via internet te benaderen. Daarnaast voldoet het niet aan de minimum eisen van het College Bescherming Persoonsgegevens. “Een uiterst kwetsbaar systeem dus, en echt niet meer van deze tijd. Zoiets mag niet gebeuren, en er moet alles aan gedaan worden om herhaling te voorkomen,” zegt Wilna Wind.
“Mensen kunnen zo heel bang gemaakt worden om gegevens te gaan geven. Ook voor bijvoorbeeld het elektronisch patientendossier en dat is onnodig. Dat zal nooit op zo’n houtje-touwtje manier gaan gebeuren. ” Aan de veiligheid van een landelijke infrastructuur voor uitwisseling van patientgegevens worden hoge eisen gesteld aan veiligheid. De randvoorwaarden voor die landelijke infrastructuur zijn ook niet te vergelijken met het soort wachtwoordsystemen zoals bij Humannet gebruikt werd. Met de UZI-pas voor zorgverleners is de hoogste veiligheid te waarborgen voor de uitwisseling van patientgegevens. Er is dan altijd vast te stellen wie heeft ingelogd. Dat verkleint de kans op misbruik en vergroot de pakkans.
De NPCF wil dat iedereen die met medische gegevens werkt de risico’s inventariseert. Commerciele belangen dienen volstrekt ondergeschikt te zijn aan patientenbelang! Als patient moet je op de hoogte zijn van de uitwisseling van gegevens. Patienten moeten expliciet toestemming geven voor deelname, voor wie bij de gegevens kan en weten wie de gegevens heeft geraadpleegd. Humannet blijkt volstrekt niet aan deze eisen te voldoen.
Het zou goed zijn als mensen van wie de gegevens bij Humannet zitten massaal protesteren bij dit bedrijf.
Het College Bescherming Persoonsgegevens moet harder in kunnen grijpen dan nu het geval is. De NPCF roept de politiek op om maatregelen te treffen. Terug naar de kaartenbak is geen optie.
Bron: NPCF
