Merendeel van uitgelekte patiëntbestanden is afkomstig van Belgisch ziekenhuis

Het overgrote deel van de gegevens die is uitgelekt door een fout van het scanbedrijf iGuana zijn afkomstig van een Belgisch ziekenhuis. Van de ruim 200.000 patiëntbestanden blijken er ruim 195.000 datarecords afkomstig te zijn van een Belgisch ziekenhuis.

Dit blijkt uit een verklaring die iGuana op haar website heeft geplaatst. “Als klant van iGuana moeten wij u helaas informeren dat ons bedrijf een ernstige fout heeft gemaakt. Hierdoor zijn databestanden van patiënten (geen medische dossiers) van een Belgisch en twee Nederlandse ziekenhuizen gedownload van een van onze servers van de DMS-afdeling (dus niet de scanafdeling waar de documenten staan). Onderzoek heeft uitgewezen dat de gegevens zijn gedownload door twee partijen en welke informatie zij gedownload hebben. Daarom kunnen we met zekerheid zeggen dat er geen gegevens van uw instelling zijn gedownload. De informatie die door de betrokken partijen is gedownload, is voor hen niet bruikbaar”, aldus iGuana in de verklaring.

Menselijke fout

Het bedrijf benadrukt standaardprocedures te hanteren waarbij gegevens altijd worden versleuteld en via beveiligde SFTP of VPN-verbindingen worden verstuurd. Voor uitzonderingsgevallen heeft het bedrijf een speciale webserver ingericht, die beveiligd is. Deze servers is naar een andere webserver gemigreerd, waarbij deze beveiliging door een menselijke fout niet is overgegaan.

iGuana stelt deze webserver direct offline gehaald te hebben en daarnaast ook in de toekomst onduidelijk te houden. Het bedrijf benadrukt dat op deze server data staat opgeslagen, en niet de gescande dossiers. Dossiers setaan opgeslagen op andere, volledig afgescheiden en beveiligde servers.

Welke data is uitgelekt?

• Over de uitgelekte data maakt het bedrijf het volgende bekend:
• “Bij een van de twee Nederlandse ziekenhuizen gaat het om een pdf-document met een technische beschrijving van onze software waar ook screenshots in staan en waarbij van 52 patiënten het patiëntennummer en hun naam in de screenshots zichtbaar waren. Van één patiënt was ook een BSN-nummer te herkennen in een screenshot.”
• “Het tweede ziekenhuis betreft 6.236 datarecords waarbij geldt dat meerdere records op één patiënt betrekking kunnen hebben; het aantal patiënten blijkt volgens het betrokken ziekenhuis 4.559 te zijn. De gegevens van dit bestand bestaan uit het patiëntnummer, de naam, de geboortedatum, het geslacht, het specialisme en de locatie.”
• “In het geval van het Belgisch ziekenhuis gaat het niet om medische dossiers, maar om resultaten van één technisch onderzoek. De records zijn ongestructureerd, wat betekent dat de gegevens ( bijvoorbeeld de naam van een patiënt en diens geboortedatum) niet aan elkaar gerelateerd kunnen worden. Omdat verschillende records op dezelfde patiënt betrekking kunnen hebben, is het niet mogelijk het aantal patiënten te bepalen, het zijn immers geanonimiseerde data.”

iGuana laat in het midden welke ziekenhuizen zijn getroffen door het datalek. Omroep Max meldde gisteren echter dat het gaat om het Nederlandse Sint Anna Ziekenhuis in Geldrop en het eveneens Nederlandse Canisius-Wilhelmina Ziekenhuis in Nijmegen. Welk Belgisch ziekenhuis door het datalek is getroffen is echter onduidelijk.

Door twee partijen gedownload

De data blijkt te zijn gedownload door twee partijen: Omroep Max en een bedrijf dat werkzaam is in dezelfde sector als iGuana. Om welk bedrijf het gaat wordt niet vermeld. Ook is niet duidelijk wat dit bedrijf met de data heeft gedaan of van plan is.

iGuana reageert ook op de commotie die is ontstaan over de inzet van gedetineerden. Het bedrijf schrijft hierover: “De Belgische Federale Overheidsdienst Justitie roept Belgische bedrijven op werk aan hen uit te besteden als onderdeel van het re-integratieprogramma van gedetineerden. Meer informatie hierover vindt u op de website van Cellmade. De bedoeling is dat gedetineerden op deze wijze betrokken blijven bij het arbeidsproces, wat re-integratie bevordert. iGuana is een maatschappelijk betrokken bedrijf en werkte daarom met een flexibele schil van gedetineerden. Dezen werden hiervoor door de penitentiaire inrichting zorgvuldig geselecteerd zodat mensen met bijvoorbeeld een ongezonde belangstelling voor gegevens van anderen, niet ingezet werden. Ook moesten zij een geheimhoudingsverklaring tekenen. Hun inzet was beperkt tot het voorbereiden van dossiers voor het scanproces. Deze voorbereiding bestond met name uit het ontnieten, verwijderen van paperclips e.d. Het scannen zelf en de kwaliteitscontrole werd en wordt uitsluitend door werknemers van iGuana gedaan, in de beveiligde gebouwen van iGuana. De inzet van gedetineerden is positief beoordeeld toen iGuana het ISO 9001 certificaat toegekend kreeg.”

Verkeerde beeldvorming

Het bedrijf stelt de samenwerking desondanks eind 2014 te hebben beëindigd aangezien deze leidde tot een verkeerde beeldvorming bij klanten en in de publieke opinie. Het bedrijf benadrukt altijd open gecommuniceerd te hebben over de inzet van gedetineerden, hier trots op te zijn en dit ook zowel op haar website als in een persbericht te hebben vermeld. “Wij hebben niets te verbergen en schamen ons niet dat we gedetineerden hebben geholpen zich voor te bereiden op een baan in de maatschappij”, aldus iGuana.

Tot slot meldt het bedrijf maatregelen te nemen om herhaling van het incident te voorkomen. Het gaat hierbij onder andere om interne maatregelen, waar het bedrijf verder geen details over naar buiten brengt. Daarnaast meldt het bedrijf Certification Europe te hebben ingeschakeld om alle systemen nogmaals door te lichten. Daarnaast kondigt iGuana aan de ISO 27001 certificering voor informatiebeveiliging te gaan behalen.