150.000 medische onderzoeken te grabbel op internet
Het nieuws is bekendgemaakt door het consumentenprogramma Meldpunt van de Nederlandse omroep Max. Het zou gaan om een "menselijke fout" bij het Belgische databedrijf iGuana dat door Belgische en Nederlandse ziekenhuizen was ingehuurd om papieren dossiers in te scannen.
De website van het bedrijf was onvoldoende beveiligd en daardoor waren de gegevens een maand lang voor iedereen toegankelijk. Nadat het euvel was vastgesteld, is de website offline gehaald.
Het gaat om de algemene ziekenhuizen van de vzw Emmaüs, in Mechelen/Duffel en Malle.
Door het datalek bij het bedrijf iGuana hebben gegevens van 150.000 onderzoeken in de algemene ziekenhuizen van de vzw Emmaüs onbeveiligd op het internet gestaan. "Er is geen gevaar geweest voor de privacy van de patiënt", zegt Peter De Becker, de afgevaardigd bestuurder van Emmaüs, die wel toevoegt heel zwaar te tillen aan de zaak.
De Becker benadrukt dat Emmaüs zijn dossiers zelf digitaliseert. Het bedrijf iGuana werd ingeschakeld bij de overgang naar een nieuwe software op één dienst, "om historische data, gaande van 1988 tot 2011, om te zetten in een voor die nieuwe software leesbaar formaat", aldus De Becker.
"De data die door ons op een beveiligde wijze werden overgemaakt aan de firma iGuana, werden door een interne fout van een van hun medewerkers op een niet beveiligde publiek toegankelijke site geplaatst", stelt Emmaüs. Het gaat om gegevens van 150.000 onderzoeken uit die periode van bijna 25 jaar, voegt De Becker toe, "op een totaal van ruw geschat meer dan 1,3 miljoen die aan het bedrijf werden doorgestuurd".
IGuana liet aan Emmaüs weten dat het niet gaat om medische dossiers, maar om patiëntgegevens in verband met één medisch-technisch onderzoek. "De gegevens zijn ongestructureerd, wat betekent dat de namen van patiënten en resultaten niet aan elkaar gekoppeld kunnen worden", aldus Emmaüs.
Hoe dan ook geeft het bedrijf in kwestie toe dat het om een ernstige fout gaat. De onbeveiligde gegevens zouden door twee partijen gedownload zijn. Eén van hen is de Nederlandse omroep Max en de andere zou dat in opdracht van Max gedaan hebben. Naast de gegevens van de Belgische onderzoeken, stonden er ook medische gegevens van twee Nederlandse ziekenhuizen online.
Klacht van ziekenhuizen
Hoewel het gaat om delen van medische dossiers, namen, adressen, diagnoses en uitslagen van medische testen, nemen de Belgische ziekenhuizen de zaak alvast heel ernstig, zegt afgevaardigd bestuurder Peter De Becker.
"De firma heeft ons niet verwittigd; we moesten het datalek vernemen van de media", zegt hij. "De informatie zou bovendien blijkbaar een maand lang onbeveiligd hebben gestaan", zegt De Becker nog. Hij stelt zich vragen bij de interne waarschuwingssystemen van iGuana.
Emmaüs heeft iGuana in gebreke gesteld, melding gedaan bij de Privacycommissie en een klacht ingediend tegen onbekenden.
De algemene ziekenhuizen van de vzw Emmaüs zijn het AZ Sint-Maarten in Mechelen/Duffel en het AZ Sint-Jozef in Malle. De vzw bekijkt of het mogelijk is om alle patiënten van wie gegevens onbeveiligd online hebben gestaan, te verwittigen. Mensen met vragen kunnen alvast terecht op de mailadressen azsintmaarten@emmaus.be en azsintjozef@emmaus.be.