Externe harde schijf patientgegevend onderzoeker AvL ontvreemd
ArrayUit de kofferbak van een auto van een onderzoeker is – met andere persoonlijke eigendommen – een onbeveiligde externe harde schijf ontvreemd waarop gegevens van patiënten van het Antoni van Leeuwenhoek stonden. Ons instituut kent een informatiebeveiligingsbeleid, hierin staat dat medewerkers geen patiëntengegevens op onbeveiligde informatiedragers mogen meenemen. Dat dit toch is gebeurd, betreuren wij ten zeerste. Wij hebben geen enkele aanleiding om te denken dat de diefstal gericht was op de onderzoeksgegevens. Tot op heden is de gestolen schijf niet teruggevonden. De kans dat dit alsnog gebeurt lijkt uitermate klein. Het gaat om gegevens van 781 patiënten die deelnemen of -namen aan wetenschappelijk onderzoek. Van hen zijn 199 patiënten in leven. Zij zijn vandaag allemaal persoonlijk geïnformeerd.
In december is een onbeveiligde externe harde schijf ontvreemd waarop gegevens van patiënten van het Antoni van Leeuwenhoek stonden. De schijf is – met andere persoonlijke eigendommen – uit de kofferbak van de auto van een onderzoeker gestolen. Wij hebben geen enkele aanleiding om te denken dat de diefstal gericht was op de onderzoeksgegevens. Tot op heden is de gestolen schijf niet teruggevonden. De kans dat dit alsnog gebeurt lijkt uitermate klein. De diefstal is pas recent aan het Antoni van Leeuwenhoek gemeld. Ons instituut kent een informatiebeveiligingsbeleid, hierin staat dat medewerkers geen patiëntengegevens op onbeveiligde informatiedragers mogen meenemen. Dat dit toch is gebeurd, betreuren we ten zeerste. Het gaat om gegevens van 781 patiënten die deelnemen of -namen aan wetenschappelijk onderzoek. Van hen zijn 199 patiënten in leven. Zij zijn vandaag allemaal persoonlijk geïnformeerd.
De externe harde schijf bevatte kopieën van bestanden van het Antoni van Leeuwenhoek. Het gaat om gecodeerde informatie die te maken had met deelname van patiënten aan wetenschappelijk onderzoek. Daarnaast staat er ook een aantal bestanden op van rapportages waarin de voortgang van de experimentele behandeling van patiënten wordt beschreven. In deze laatste bestanden staan persoonlijke gegevens zoals naam, geboortedatum, het type tumor en de voortgang van de experimentele behandeling. De onderzoeker heeft gehandeld in strijd met de regels.
Het feit dat de externe harde schijf is ontvreemd, heeft geen invloed op de behandeling die patiënten in het Antoni van Leeuwenhoek ondergaan of hebben ondergaan. De kwaliteit van de behandeling is dus op geen enkele manier beïnvloed. Ook lopend wetenschappelijk onderzoek kan zonder consequenties doorgaan.
Ondernomen acties
Het Antoni van Leeuwenhoek heeft de volgende acties ondernomen:
- Vandaag zijn de betrokken patiënten persoonlijk geïnformeerd, door hun behandelend arts. Het Antoni van Leeuwenhoek biedt patiënten zijn oprechte excuses aan. Er is een informatienummer geopend waarnaar patiënten met vragen kunnen bellen. Zo nodig kunnen zij een beroep doen op onze maatschappelijk werkers. We beseffen dat er patiënten zijn die dit nieuws via de media zullen vernemen. Dat betreuren we ten zeerste en ook hiervoor bieden we onze excuses aan.
- De vermissing van de externe harde schijf is gemeld bij de politie, de Autoriteit Persoonsgegevens en de Inspectie voor de Volksgezondheid (IGZ).
- Er heeft een diepgaande analyse plaatsgevonden van de bestanden die op de ontvreemde schijf stonden.
- Er worden diverse informatiebijeenkomsten voor patiënten georganiseerd.
- Het bestaande informatiebeveiligingsbeleid is opnieuw onder de aandacht van medewerkers gebracht, evenals de noodzaak van het direct melden van informatiebeveiligingsincidenten.
- De betrokken medewerker is ter verantwoording geroepen en er zijn passende maatregelen genomen.
Informatiebeveiligingsbeleid
Het Antoni van Leeuwenhoek heeft een duidelijk informatiebeveiligingsbeleid en privacybeleid. Zo is het verboden om vertrouwelijke informatie op computer- of andere systemen te plaatsen die niet zijn beveiligd. Hieronder valt ook een externe harde schijf. Alleen daartoe bevoegde medewerkers hebben toegang tot patiëntgegevens.