iGuana NV informeert Ziekenhuizen middels brief

iGuana heeft ziekenhuizen die klant zijn, een brief gestuurd over hetgeen het programma Meldpunt van omroep Max te melden heeft.

Zaventem, 25 januari 2016

Geachte klant,

Als klant van iGuana moeten wij u helaas informeren dat ons bedrijf een ernstige fout heeft gemaakt. Hierdoor zijn databestanden van patiënten (geen medische dossiers) van een Belgisch en twee Nederlandse ziekenhuizen gedownload van een van onze servers van de DMS-afdeling (dus niet de scanafdeling waar de documenten staan). Onderzoek heeft uitgewezen dat de gegevens zijn gedownload door twee partijen en welke informatie zij gedownload hebben. Daarom kunnen we met zekerheid zeggen dat er geen gegevens van uw instelling zijn gedownload. De informatie die door de betrokken partijen is gedownload, is voor hen niet bruikbaar.

Hoewel u geen schade ondervindt van onze fout, vinden we het toch belangrijk om u te informeren. Onze samenwerking is immers gebouwd op vertrouwen. Bij vertrouwen hoort ook openheid van zaken als er onverhoopt fouten worden gemaakt. In deze brief leest u daarom wat de oorzaak was van de fout, wie de gegevens hebben gedownload en welke acties we ondernemen om te voorkomen dat dit opnieuw gebeurt.

Hoe kon dit gebeuren?

Wij hanteren standaardprocedures waarbij de gegevens altijd worden versleuteld en via beveiligde SFTP of VPN-verbindingen worden verstuurd. Voor uitzonderingsgevallen hebben wij een speciale webserver ingericht. Deze was uiteraard beveiligd. Bij de migratie naar een andere webserver is deze beveiliging door een menselijke fout niet mee overgegaan. Deze webserver is onmiddellijk en volledig offline gehaald en zal dit ook blijven in de toekomst. Ter verduidelijking, het gaat hier om data en NIET om gescande dossiers. De gescande dossiers staan op andere, volledig afgescheiden en beveiligde servers.

Om welke gegevens gaat het?

Het gaat om een beperkte hoeveelheid gegevens van drie ziekenhuizen, een in België en twee in Nederland. Uiteraard hebben wij deze ziekenhuizen hierover geïnformeerd en daarbij volledige openheid van zaken gegeven.

Bij een van de twee Nederlandse ziekenhuizen gaat het om een pdf-document met een technische beschrijving van onze software waar ook screenshots in staan en waarbij van 52 patiënten het patiëntennummer en hun naam in de screenshots zichtbaar waren. Van één patiënt was ook een BSN-nummer te herkennen in een screenshot.

Het tweede ziekenhuis betreft 6.236 datarecords waarbij geldt dat meerdere records op één patiënt betrekking kunnen hebben; het aantal patiënten blijkt volgens het betrokken ziekenhuis 4.559 te zijn. De gegevens van dit bestand bestaan uit het patiëntnummer, de naam, de geboortedatum, het geslacht, het specialisme en de locatie.

In het geval van het Belgisch ziekenhuis gaat het niet om medische dossiers, maar om resultaten van één technisch onderzoek. De records zijn ongestructureerd, wat betekent dat de gegevens ( bijvoorbeeld de naam van een patiënt en diens geboortedatum) niet aan elkaar gerelateerd kunnen worden. Omdat verschillende records op dezelfde patiënt betrekking kunnen hebben, is het niet mogelijk het aantal patiënten te bepalen, het zijn immers geanonimiseerde data.

Wie heeft de gegevens in bezit?

Ons onderzoek van de access logfiles wijst uit dat de gegevens in totaal twee keer zijn gedownload. Uit de IP-adressen blijkt dat de Nederlandse omroep Max de gegevens heeft gedownload en tegelijkertijd werden dezelfde gegevens ook gedownload door een bedrijf dat werkzaam is in onze sector.

Het tv-programma Meldpunt van omroep Max heeft aangekondigd dinsdag 26 januari aandacht aan deze zaak te besteden.

Inzet gedetineerden

Een aantal van onze opdrachtgevers is aangeschreven door het programma Meldpunt van omroep Max met vragen over de inzet van gedetineerden door Allgeier België, zoals iGuana toen heette. Dit heeft tot ongerustheid bij deze klanten geleid; zij vrezen met name dat het programma Meldpunt een zeer ongunstig beeld zal schetsen waarvan zij dan het slachtoffer worden.

De Belgische Federale Overheidsdienst Justitie roept Belgische bedrijven op werk aan hen uit te besteden als onderdeel van het re-integratieprogramma van gedetineerden. Meer informatie hierover vindt u op de website van Cellmade. De bedoeling is dat gedetineerden op deze wijze betrokken blijven bij het arbeidsproces, wat re-integratie bevordert. iGuana is een maatschappelijk betrokken bedrijf en werkte daarom met een flexibele schil van gedetineerden. Dezen werden hiervoor door de penitentiaire inrichting zorgvuldig geselecteerd zodat mensen met bijvoorbeeld een ongezonde belangstelling voor gegevens van anderen, niet ingezet werden. Ook moesten zij een geheimhoudingsverklaring tekenen. Hun inzet was beperkt tot het voorbereiden van dossiers voor het scanproces. Deze voorbereiding bestond met name uit het ontnieten, verwijderen van paperclips e.d. Het scannen zelf en de kwaliteitscontrole werd en wordt uitsluitend door werknemers van iGuana gedaan, in de beveiligde gebouwen van iGuana. De inzet van gedetineerden is positief beoordeeld toen iGuana het ISO 9001 certificaat toegekend kreeg.

Desondanks heeft iGuana de samenwerking eind 2014 beëindigd vanwege een verkeerde beeldvorming bij klanten en in de publieke opinie.

iGuana (toen Allgeier) heeft altijd open gecommuniceerd over de inzet van gedetineerden, we waren er zelfs trots op en vermeldden dit op onze website, we gaven er een persbericht over uit en we vertelden het aan iedereen die het horen wilde.

Wij hebben niets te verbergen en schamen ons niet dat we gedetineerden hebben geholpen zich voor te bereiden op een baan in de maatschappij.

Dat ligt anders bij het downloaden van data. Dat is echt een ernstige fout van ons geweest en wij betreuren het ten zeerste dat dit heeft kunnen gebeuren. De core business van iGuana is niet digitalisering, maar vertrouwen. Iedereen, klanten voorop, moet erop kunnen vertrouwen dat data veilig zijn bij iGuana. Het downloaden van data door derden, neemt iGuana daarom hoog op, dat is nooit eerder gebeurd en iGuana neemt alle maatregelen die nodig zijn om herhaling te voorkomen. Naast tal van interne maatregelen, hebben wij het bedrijf Certification Europe opdracht gegeven om alle systemen nogmaals door te lichten en ook zullen we de meer specifieke certificering ISO 27001 behalen.

Wij bieden alle betrokkenen onze oprechte verontschuldigingen aan. Mocht u nog aanvullende vragen of opmerkingen hebben, dan vernemen wij die graag.

Met hoogachting en vriendelijke groet,
Stéphane Horta, CEO, iGuana NV

Redactie Medicalfacts/ Janine Budding

https://www.medicalfacts.nl

Ik heb mij gespecialiseerd in interactief nieuws voor zorgverleners, zodat zorgverleners elke dag weer op de hoogte zijn van het nieuws wat voor hen relevant kan zijn. Zowel lekennieuws als nieuws specifiek voor zorgverleners en voorschrijvers. Social Media, Womens Health, Patient advocacy, patient empowerment, personalized medicine & Zorg 2.0 en het sociaal domein zijn voor mij speerpunten om extra aandacht aan te besteden.

Ik studeerde fysiotherapie en Health Care bedrijfskunde. Daarnaast ben ik geregistreerd Onafhankelijk cliëntondersteuner en mantelzorgmakelaar. Ik heb veel ervaring in diverse functies in de zorg, het sociaal domein en medische-, farmaceutische industrie, nationaal en internationaal. En heb brede medische kennis van de meeste specialismen in de zorg. En van de zorgwetten waaruit de zorg wordt geregeld en gefinancierd. Ik ga jaarlijks naar de meeste toonaangevende medisch congressen in Europa en Amerika om mijn kennis up-to-date te houden en bij te blijven op de laatste ontwikkelingen en innovaties. Momenteel ben doe ik een Master toegepaste psychologie.

De berichten van mij op deze weblog vormen geen afspiegeling van strategie, beleid of richting van een werkgever noch zijn het werkzaamheden van of voor een opdrachtgever of werkgever.