Zorginstelling lekt gegevens patiënten

Afbeelding: Hospital van Jorge Gobbi | Licentie: CC BY 2.0

De gegevens van 8.500 patiënten waren toegankelijk via een onvoldoende beschermde server die werd gebruikt voor het ontwikkelen van software.

In het artikel Patiëntgegevens geestelijke gezondheidszorg gelekt op NU.nl:

Door een fout van een IT-dienstverlener stonden medische gegevens van twee GGZ-instellingen op een onvoldoende beveiligde server. Patiëntinformatie is daardoor toegankelijk geweest. In totaal gaat het om persoonsgegevens van zo’n 8.500 patiënten.

De informatie bedroeg geboortedatum, adresgegevens, de gegevens van de instelling waar iemand is opgenomen, het burgerservicenummer en gegevens voor uitwisseling via het Elektronisch Patiënten Dossier (EPD).

In een verklaring zegt het bedrijf:

Op 21 mei is ons ICT systeem aangevallen. Binnen 2 minuten is dit door ons gesignaleerd. Deze aanval is vervolgens door ons gepareerd. Voor ons is de aanval direct aanleiding geweest onze getroffen beveiligingsmaatregelen te evalueren. Vanaf 22 mei zijn er door ons aanvullende beveiligingsmaatregelen getroffen.

Naar aanleiding van de door NU.nl aan ons op 31 mei jl. verstrekte informatie, hebben wij tot onze spijt moeten concluderen, dat wij toch iets over het hoofd hebben gezien.

Uit de NU.nl informatie blijkt dat het bij de genoemde aanval toch mogelijk is geweest toegang te krijgen tot een bepaalde ontwikkelomgeving. Voor zover wij op basis van de door NU.nl verstrekte informatie hebben kunnen nagaan, is daarbij toegang verkregen tot 2 bestanden met persoonsgegevens van 2 zorginstellingen uit 2011. Persoonsgegevens zijn gegevens als naam, adres, woonplaats. Het gaat hier nadrukkelijk niet om medische gegevens.