De Tweede Kamer wil opheldering over de gebeurtenissen bij het Albert Schweitzer ziekenhuis. Kamerleden vragen zich af hoe heeft kunnen gebeuren dat medewerkers pas na een jaar doorhadden dat er patiëntendossiers waren gewist. Verder wil de Kamer helderheid over de mogelijke gevolgen voor gedupeerden.
Dat blijkt uit schriftelijke vragen van Joba van den Berg (CDA) aan minister Ernst Kuipers van Volksgezondheid, Welzijn en Sport.
Albert Schweitzer verwijdert per ongeluk medische gegevens van half miljoen patiënten
Afgelopen week maakte het Albert Schweitzer ziekenhuis kenbaar dat ze per ongeluk 513.000 oude dossiers permanent heeft verwijderd. Het gaat om oude patiëntgegevens van vóór september 2017. Op dat moment schakelde het ziekenhuis over van fysieke dossiers naar het elektronisch patiëntendossier (EPD).
Gegevens van die tijd en ouder waren volgens de artsen voor de meeste ziekenhuispatiënten niet langer relevant voor hun huidige behandeling. Het ziekenhuis heeft echter een wettelijke plicht om gezondheidsgegevens twintig jaar te bewaren. Om die reden werden de documenten met medische gegevens gescand en bewaard in een digitaal archief.
“In oktober 2021 bleek dat in dit archief, als gevolg van foute instellingen, al bijna een jaar lang nieuwere documenten werden opgeslagen met bestandsnummers die ook in gebruik waren voor inactieve documenten. De nieuwe bestanden kwamen zodoende in de plaats van de oude”, zo zei het Albert Schweitzer ziekenhuis in een verklaring. Zodoende werd een deel van de medische geschiedenis van ruim een half miljoen patiënten gewist.
Hoe kan dit voorkomen worden?
Voor Joba van den Berg (CDA) was het incident aanleiding om schriftelijke vragen te stellen aan minister Kuipers van Volksgezondheid, Welzijn en Sport. Ze wil weten wat de gangbare procedures zijn als de transitie van een fysiek dossier naar een elektronisch patiëntendossier. “Kunt u aangeven in hoeverre deze procedures in dit specifieke geval wel of niet zijn gevolgd?”, vraagt Van den Berg.
Daarnaast informeert de christendemocraat wat de minister vindt van de veiligheid van een systeem als dat van Chipsoft. Ze steekt niet onder stoelen of banken dat ze het opmerkelijk vindt dat het een jaar heeft geduurd voordat iemand door had dat er iets mis was gegaan. “Hoe kan dit voorkomen worden? Welke controles zijn er niet gedaan? Welke veiligheidskleppen of signalen hadden dat kunnen voorkomen?”, vraagt Van den Berg aan minister Kuipers.
Aangesloten bij Z-CERT?
De CDA’er is niet te spreken over de communicatie van het ziekenhuis naar de getroffen patiënten. Zo schreef de zorginstelling naar gedupeerden het volgende: “Het gaat om informatie die in 2017 al niet meer van belang werd geacht voor uw behandeling. De kans dat er nu nog gevolgen zijn voor uw behandeling, is verwaarloosbaar klein. Alleen in bijzondere situaties waarin u in de toekomst uw volledige dossier zou willen opvragen, kunnen wij daaraan helaas niet 100 procent tegemoetkomen.”
De politica wil weten wat het ziekenhuis gaat doen als blijkt dat deze patiënten per ongeluk verkeerd behandeld zouden worden. In het bijzonder informeert ze naar patiënten die hun UWV-uitkering niet langer kunnen krijgen doordat hun medische gegevens zijn vernietigd.
Tot slot vraagt Van den Berg aan minister Kuipers of het Albert Schweitzer ziekenhuis is aangesloten bij Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorgsector. “Welke ondersteuning levert Z-CERT bij dit soort transities?”.
Zorgen om informatiebeveiliging ziekenhuizen
Het is niet de eerste keer dat de Tweede Kamer om opheldering vraagt over de staat van informatiebeveiliging bij Nederlandse ziekenhuizen. Half februari stelden Queeny Rajkowski en Judith Tielen (beiden VVD) over dit onderwerp ook al schriftelijke vragen. Beveiligingsexpert vertelden vlak daarvoor dat veel ziekenhuizen in ons land kwetsbaar zijn voor cyberaanvallen. Dat komt omdat er doorgaans te weinig kennis en expertise aanwezig is om bedrijfsnetwerken te monitoren. Daarnaast is de meeste apparatuur dusdanig verouderd dat ze de aanvalsoppervlakte voor hackers vergroten.
De liberalen willen van minister Kuipers weten wat hij gaat doen om de digitale weerbaarheid van ziekenhuizen te verbeteren. Tot slot willen ze dat de minister om tafel gaat met de zorgsector en Z-CERT om ziekenhuizen en andere zorginstanties beter te beschermen tegen cyberaanvallen.
Update (13 april 2022): de minister van Volksgezondheid, Welzijn en Sport Ernst Kuipers heeft de vragen van Joba van den Berg (CDA) beantwoord. De bewindsman schrijft dat bij het inrichten van de software en het digitaliseren van het bestaande archief “passende procedures” zijn gevolgd. Het ziekenhuis liet aan minister Kuipers weten dat de generieke veiligheid van elektronische patiëntendossiers voldoende was. Het onbedoeld overschrijven van data had echter voorkomen moeten worden. Dat probleem is inmiddels verholpen dankzij een software-update.
“Dat er gegevens overschreven zijn is een unieke combinatie van drie factoren: een verkeerd gekozen nummerreeks, het niet beveiligd zijn van data tegen overschrijven én de gekozen manier van back-up van de gegevens, waarbij elke nieuwe full back-up in de plaats komt van de vorige full back-up. Hierdoor kwamen de niet opgemerkte fouten gaandeweg ook in de back-ups terecht). Ook dit is inmiddels verholpen doordat Chipsoft een nieuw manier van back-up heeft geïmplementeerd”, zo schrijft minister Kuipers aan de Tweede Kamer.
Dat het ziekenhuis pas na een jaar ontdekte dat oude patiëntendossiers zijn overschreven, komt omdat hier niet op gecontroleerd is. Dat komt op zijn beurt weer doordat artsen geen gebruikmaakten van archiefdata van vóór 2017. “De constatering dat een bestand was overschreven, die leidde tot de ontdekking van het incident in volle omvang, had eerder maar ook later kunnen plaatsvinden. Wat vast staat is dat er in de tussenliggende circa elf maanden door individuele behandelaren intern geen melding is gemaakt van onregelmatigheden”, aldus de minister.
Tot slot schrijft minister Kuipers dat het Albert Schweitzer ziekenhuis collectief is aangesloten bij Z-CERT. “Ondersteuning bij dergelijke transities is geen onderdeel van Z-CERT haar producten en diensten”, zo meldt hij. “Z-CERT richt zich primair op ondersteuning bij cyberincidenten, het vroegtijdig waarschuwen omtrent cyberkwetsbaarheden en dreigingen, en in het algemeen het verhogen van de digitale weerbaarheid van zorginstellingen.”
