Transcriptiebedrijf medische gegevens potentieel veiligheidsrisico
Op 17 november 2023 verscheen op de website Security.nl een bericht dat in de VS hackers hij een bedrijf dat voor zorginstellingen medische transcriptie verzorgt zeer gevoelige data buit maakten. Het ging om gegevens van negen miljoen patiënten. Medische transcriptie is het omzetten van opgenomen spraak in geschreven/getypte vorm. Dit kan worden gedaan door te luisteren naar een audio-opname of te kijken naar een video-opname van een arts of andere zorgverlener die de medische geschiedenis, symptomen en/of behandeling van een patiënt beschrijft. De transcribent typt dan uit wat hij hoort, waardoor een schriftelijk verslag van het gesprek ontstaat. Soms bestaat er in ziekenhuis-ICT-systemen software die dat al doet, bijv. bij het dicteren van röntgenverslagen of specialistenbrieven. Toch besteden ziekenhuizen medische transcriptie ook uit aan externe bedrijven die dat voor hen verzorgen. Ook in Nederland zijn medische transcriptiebedrijven actief. Men propageert het ook als thuiswerk.
Datalek
Het datalek in de V.S vond plaats bij het bedrijf PJ&A(Pry Johnson & Associates) tussen 27 maart en 2 mei 2023. De gestolen persoonsgegevens bestaan uit naam, geboortedatum, adresgegevens, medisch dossiernummer, diagnoses en opnamedata. Bij een deel van de patiënten zijn ook social-securitynummers, verzekeringsgegevens, klinisch informatie zoals laboratorium- en testuitslagen, medicatie, naam van behandellocatie en zorgverleners buitgemaakt. Hoe de aanvallers toegang tot het netwerk konden krijgen is niet bekendgemaakt. PJ&A zegt aanvullende beveiligingsmaatregelen te hebben getroffen om herhaling te voorkomen. Het datalek staat ook vermeld in een zeer lange lijst van datalekken bij zorginstellingen in de VS die het ministerie van volksgezondheid daar publiceerde. Buitgemaakte medische gegevens met daarbij ook verzekeringsgegevens en social securitynummers hebben voor hackers een grotere financiële waarde dan bedrijfsgegevens uit andere bedrijfstakken. De
Transcriptie van telefoongesprekken
Het in tekst vastleggen van de inhoud van telefoongesprekken met zorgverzekeraars komt in sommige gevallen voor.
Volgens de gedragscode zorgverzekeraars heeft de patiënt het recht om een transcriptie te vragen van de tekst van een door de zorgverzekeraar opgenomen gesprek. Het lijkt erop dat men niet alle gesprekken standaard in tekst laat overzetten, maar alleen op aanvraag. Daarbij is het zeer wel mogelijk dat de zorgverzekeraar daarvoor dan een externe medisch
Cybersecurity bij externe partij
De databeveiliging bij bedrijven die medische transcriptie verzorgen dient van hoog niveau te zijn. Men werkt met zorgdata en dat zijn bijzondere persoonsgegevens. Hoewel een dergelijk bedrijf een eigen verantwoordelijkheid voor de beveiliging van de data heeft en daarvoor voortvarend zorg moet dragen blijft een zorginstelling die dat werk uitbesteedt zelf eindverantwoordelijk bij verlies van data.
Thuiswerk
Mensen die als medisch transcribent werken kunnen dat binnen een bedrijf maar ook vanuit hun huis doen. Op het internet vond ik een site die tien bedrijven aandroeg waar zo te werken viel in die branche. De databeveiliging binnen een bedrijf is één ding maar als het werk vanuit huis gebeurt spelen er meer mogelijkheden van het onderbreken dan wel onderscheppen van het dataverkeer door kwaadwillende lieden.
Keten
Bij het verwerken van zorgdata is vaak sprake van een keten waarbinnen die data uitgewisseld worden. Die keten is zo sterk als de zwakste schakel. Het verdient dan ook altijd aanbeveling alert te zijn op de zwakste plekken in die schakel. Die hoeft zich niet per se binnen de zorginstelling te bevinden. Het datalek in de VS laat ook zien hoe bij medische transcriptie voor een grote hoeveelheid patiënten door één bedrijf het aantal gelekte dossiers in één klap in de miljoenen kan lopen.
Het is iets wat ook in Nederland aandacht verdient.
W.J. Jongejan, 23 november 2023
Afbeelding van Wilfried Pohnke via Pixabay
Recente reacties