Datalek door diefstal laptop coassistent. Wie is waar aansprakelijk voor?
Weer is er een datalek van zorgdata. Nu door diefstal van een laptop met daarop patiëntgegevens in een Excel-bestand. Dat bericht het Isala-ziekenhuis in Zwolle vandaag in een persverklaring. Het gaat om patiënten van de afdeling plastische chirurgie. In het Excel-bestand staan van 504 mensen de patiëntnamen, patiëntnummers, geboortedata en enkele relevante medische gegevens over het carpaal tunnel syndroom. De laptop blijkt het eigendom te zijn van een coassistent te zijn. Niet een directe werknemer van het ziekenhuis, maar iemand in opleiding tot basisarts in de laatste fase van de studie. In dit specifieke geval is de vraag wie waar verantwoordelijk en aansprakelijk is. Weer speelt het probleem, zoals eerder met een gestolen mobiele harde schijf in het Anthonie van Leeuwenhoek-ziekenhuis(AvL) te Amsterdam in maart dit jaar, dat de gegevens niet op de laptop hoorden te staan en dat het betreffende bestand niet beveiligd en versleuteld was. Het is in Excel een koud kunstje om een bestand met een wachtwoord te vergrendelen, zodat inzage niet zomaar mogelijk is. Los van die beveiliging zou een Excel-bestand met zorgdata op een mobiele gegevensdrager cryptografisch versleuteld dienen te zijn. Versleutelingsprogramma’s zijn tegenwoordig zelfs als freeware al te downloaden en maken na diefstal inzage zeer moeilijk dan wel onmogelijk.
Eigenmachtig?
Het is niet goed voor te stellen dat de opleiders van de coassistent weet gehad hebben van het plaatsen van het spreadsheet-bestand op een privé-laptop. Wel is het mogelijk dat de coassistent gevraagd is enige wijze een analyse te maken van de betreffende gegevens of een bewerking erop uit te voeren, waarna deze de data op de eigen laptop heeft gezet om er elders meer tijd aan te besteden.
Voorkomen
Het Isala-ziekenhuis stelt terecht dat het niet toegestaan is bestanden met patiëntgegevens op privé-computers en/of gegevensdragers te plaatsen. Het zou standaard-beleid moeten zijn dat spreadsheet -bestanden met al dan niet geaggregeerde patiëntgegevens alleen met een wachtwoord te openen dat separaat aangeleverd wordt. Het standaard versleutelen van bestanden met gevoelige informatie dient aan iedereen die werkzaam is in een ziekenhuis, dus ook aan coassistenten duidelijk gemaakt te worden.
Aansprakelijkheid
De vraag die zich in Zwolle voordoet is wie uiteindelijk aansprakelijk is voor de gevolgen van de diefstal van de gegevens. Het gaat enerzijds wel om zorgdata van in het Isala-ziekenhuis behandelde patiënten, maar anderzijds is de betrokken persoon die de data ongeautoriseerd op een privé-laptop zette niet in dienst van het ziekenhuis. De coassistent werkt onbezoldigd onder supervisie van de specialisten waar hij/zij gedetacheerd is, maar ook onder supervisie van de universiteit. De vraag is of de universiteit die de plaatsing van de coassistent regelt in samenwerking met perifere ziekenhuizen ook enige verantwoordelijkheid treft. Dan kan zijn op het ontbreken van voorlichting aan coassistenten hoe ze met zorgdata omgaan en welke voorzorgen die in acht moet nemen daarbij.
Herhaling
Gezien de menselijke aard, die meestal geneigd is de makkelijkste weg te kiezen, zal het weer een kwestie van tijd zijn voor een soortgelijk probleem zich weer voor gaat doen. De kern blijft dat ongeautoriseerd data op apparatuur gezet wordt die niet deel uitmaakt van het ziekenhuissysteem en dat de data onbeveiligd en onversleuteld daarop staan.
W.J. Jongejan
Recente reacties