Studenten die via een flexbureau bij het Amsterdamse ziekenhuis OLVG werkten, konden jarenlang zonder restrictie en zonder enige waarschuwing of voorlichting vooraf elektronische dossiers van patiënten inzien.

Amsterdamse

De studenten hadden toegang tot persoonsgegevens, afspraken, diagnoses en soms zelfs foto's en notities van artsen. Dat schrijft de Volkskrant op basis van verhalen van drie studenten die het afgelopen jaar bij het ziekenhuis werkten. De studenten hadden op basis van hun functie geen brede toegang mogen hebben tot de gegevens. Tijdens hun aannameprocedure kregen zij geen informatie over privacyregels.

Het OLVG bevestigt de bevindingen van de krant. Volgens het ziekenhuis lag de oorzaak bij verkeerd ingestelde profielen, die maakten dat de studenten alle patiëntendossiers in konden zien in plaats van een beperkt deel waarvoor de toegang nodig was voor hun functie.

Een van de studenten, van wie de Volkskrant haar bevindingen verhaalt, was bijvoorbeeld aangenomen als polikliniekassistent. Haar taken betrof het opnemen van de telefoon, het inplannen van afspraken en het invoeren van lengte en gewicht van patiënten. Ze merkte dat al snel dat zij en haar collega's dossiers zonder restrictie in kon zien.

Overigens kreeg ze na twee weken wel een link van het flexbureau naar de regels van het OLVG, die een document over het 'Informatiebeveiligings- en privacybeleid' bevatten. In dat beleid staat dat de privacy van de patiënt zo optimaal mogelijk wordt gewaarborgd, dat toegang tot dossiers wordt gelogd en dat zorgverleners 'alleen in noodsituaties' gegevens kunnen inzien ‘waartoe zij niet geautoriseerd zijn'.

De studente lichtte het ziekenhuis in augustus vorig jaar in over de in haar ogen te brede toegang tot dossiers. Het ziekenhuis claimt het datalek daarna meteen gedicht en de software aangepast te hebben. Het OLVG heeft een melding gedaan bij de Autoriteit Persoonsgegevens en onderzoekt op basis van de logs de omvang van de ongeoorloofde toegang. Volgens de studente was nog tot in november toegang mogelijk.

Reacties mogelijk gemaakt door CComment