Na eerdere problemen met het vastleggen van de vaccinatiegegevens in het centrale register van het RIVM, blijken de gegevens van honderden patiënten nu zonder toestemming verspreid. Voorafgaand aan een vaccinatie wordt gevraagd of de informatie gedeeld mag worden met het RIVM. Vanwege een fout in een van de huisartsensystemen, zijn de persoonsgegevens van zevenhonderd gevaccineerden toch gedeeld, zonder dat hier toestemming voor is gegeven.
Luister terug | Vaccinatiepaspoort kent grote privacyrisico's
Geen toestemming
Vijfhonderd mensen hebben duidelijk aangegeven dat hun informatie niet gedeeld mag worden. Van tweehonderd patiënten is niet bekend of zij toestemming hebben gegeven. In totaal zijn zeventig huisartsenpraktijken hierbij betrokken, zo blijkt uit navraag van BNR bij de softwareontwikkelaar. De ontwikkelaar laat weten dat het om een tijdelijke softwarefout gaat en dat het probleem inmiddels verholpen is.
Ook het RIVM bevestigt dat zij onterecht persoonsgegevens hebben ontvangen. Volgens de woordvoerder gebeurt dit vaker en probeert het RIVM de gegevens zo snel mogelijk te verwijderen. Paul Korremans, privacyconsultant en bestuurslid van Privacy First, spreekt van een grove fout. ‘Het is een zeer grote inbreuk op de privacy van de betrokken personen. Het feit dat mensen nadrukkelijk hebben aangegeven dat de informatie niet gedeeld mag worden, maakt het extra erg.’
Luister terug | 'Maak alle Nederlanders eigenaar van medische data'
Ook GGD sluit datalek niet uit
Niet alleen huisartsen, ook de GGD deelt vaccinatiegegevens met het RIVM. Een woordvoerder laat weten dat er geen concrete gevallen bekend zijn, maar sluit ook niet uit dat een soortgelijk datalek ook bij de GGD kan voorkomen. BNR heeft het ministerie van Volksgezondheid Welzijn en Sport (VWS) ook om een reactie gevraagd. De woordvoerder laat weten verder niks toe te kunnen voegen aan onze constateringen en is blij dat de problemen adequaat zijn gesignaleerd en opgelost.
Privacy- en ICT-deskundigen waar BNR mee gesproken heeft, vinden dat te makkelijk. Volgens Hans de Raad, eigenaar van OpenNovations, gespecialiseerd in cybersecurity en medische software, hadden deze gegevens nooit zonder toestemming verspreid mogen worden. ‘Als je met medische, hooggevoelige, gegevens werkt dan gelden er extra strenge normen. Het lijkt alsof hier minimaal één van de basisprincipes is overgeslagen.’
Systemen anders inrichten
Zo moet je volgens De Raad altijd van tevoren een risico-analyse maken en tussentijds, ook als het systeem al operationeel is, blijven testen en controleren. ‘Als je dit hebt toegepast, dan is het heel vreemd dat deze fout pas maanden later is ontdekt. Dat valt niet onder de categorie adequaat handelen.’ Ook moet je het systeem volgens de cyberspecialist zo inrichten dat als er een fout in de software sluipt, er helemaal geen informatie wordt gedeeld. In plaats van alle informatie, zoals hier is gebeurd.
Korremans neemt niet alleen de ontwikkelaar, maar ook de huisartsen die werken met dit systeem, iets kwalijk. ‘Huisartsen moeten zich meer bewust zijn van de gevoeligheid van medische gegevens en veel kritischer kijken naar het werk van de ontwikkelaar.’ Ook De Raad heeft twijfels bij de rol van de huisartsen. ‘Informatiebeveiliging en het beheren van data vallen niet onder het domein van huisartsen. Maar zij krijgen nu wel een extra verantwoordelijkheid opgedragen. De overheid zou hier meer op moeten controleren en de regie moeten nemen.’