Dat ontdekte een hacker die opereert onder de naam Bonnie van het Nederlands Genootschap van Hackende Huisvrouwen. NU.nl werd door haar ingeschakeld.

Het gaat om gevoelige gegevens die al jaren op de computer blijken te staan. Het gaat om tientallen dossiers variërend van opnamegegevens tot ogenschijnlijk complete dossiers.

Ze bevatten bijvoorbeeld brieven tussen artsen, röntgenfoto’s, echo’s, hartfilmpjes, medicatielijsten, recepten, diagnoses, diverse soorten scans, behandelplannen en laboratoriumuitslagen.

Ook het volledige patiëntenbestand met de informatie van ruim 493.000 personen blijkt diverse malen op de computer te staan. Daarin staan naast patiëntennummer, naam, adres, geboortedatum, telefoonnummer en burgerservicenummer ook gegevens over de partner. In een ander bestand staat welke patiënt op welke afdeling bekend is.

De server bevat naast medische gegevens verder compleet installeerbare softwarepakketten van Microsoft, Adobe Flash en VMWare. Deze is duidelijk gericht op werkstations. Bonnie waarschuwt slechts vluchtig te hebben gekeken en niet uit te sluiten dat er nog meer informatie op de server staat.

De computer blijkt niet in het ziekenhuis te staan, maar in een datacenter van een provider dat vanaf internet toegankelijk is. Die toegang loopt via FTP, een technologie niet bestemd voor het
transporteren van gevoelige gegevens omdat de informatie onversleuteld over internet gaat.

Een ander probleem is dat het gebruikelijk is dat gevoelige gegevens na overbrengen van de server worden gehaald. Het blijkt echter dat de medische dossiers al sinds mei 2008 op de server stonden. Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar.

Uit de documenten blijkt dat een bedrijf dat verantwoordelijk is voor het digitaliseren van papieren dossiers de informatie heeft afgeleverd op de server.

"Dat een ziekenhuis zo met medische gegevens omspringt en de processen zo slecht heeft ingericht is niet te geloven", zegt Bonnie in een reactie. "Het mag duidelijk zijn dat digitalisering buitengewoon onprofessioneel verloopt."

"Je kiest er niet voor om in een ziekenhuis te komen en bent afhankelijk. Als men dan zo met gegevens omspringt dan ben je echt in de aap gelogeerd."

In een eerste reactie zegt een zegsvrouw van het ziekenhuis geschrokken te zijn van de melding. "Het is voor ons onacceptabel dat deze situatie heeft bestaan", aldus de woordvoerster. "Uit veiligheidsoverweging hebben we de betreffende server en de verbindingen van het netwerk van het ziekenhuis naar buiten toe afgesloten. De website van het ziekenhuis kan wel in de lucht blijven."

Samen met het National Cyber Security Center en beveiligingsbedrijf Fox IT wordt gewerkt aan een definitieve oplossing voor het probleem om dit in de toekomst te voorkomen. Er werd al gewerkt aan verbetering van de beveiliging. “We vinden het niet leuk dit te moeten horen, maar zijn de hacker dankbaar dat het gemeld is”, stelt de zegsvrouw.

"Ik schrik ervan. Dit lijkt me een ernstiger lek dan veel eerdere lekken. Het is zeer onzorgvuldig. Het feit dat je niet kunt vertrouwen op de IT van een ziekenhuis is echt heel zorgelijk", zegt Gerrit-Jan Zwenne, hoogleraar privacyrecht bij de Universiteit Leiden.

Volgens hem wordt de Wet bescherming persoonsgegevens hiermee geschonden en ook medische wetgeving. "Wat mijn zorg is: dit is wat je ontdekt, maar zal slechts tien, twintig, dertig procent zijn van wat er werkelijk mis is. Het zal het topje van de ijsberg zijn."

Een zegsvrouw van de Inspectie voor de Volksgezondheid zegt tegenover NU.nl maandag contact te zullen opnemen met het ziekenhuis om de situatie te bespreken.

Het is niet de eerste keer dat de informatiebeveiliging van het Groene Hart Ziekenhuis ter discussie staat. In 2011 tikte de Inspectie voor de Volksgezondheid het ziekenhuis nog in een brief op de vingers.Na een controle bleken ze een onvoldoende te scoren.

NU.nl heeft het lek voor publicatie gemeld bij het ziekenhuis, het National Cyber Security Center en de Inspectie voor de Volksgezondheid. Bonnie heeft na het aanleveren van het bewijsmateriaal alle gegevens direct gewist.

Dat opnieuw medische gegevens van patiënten op straat hebben gelegen, is zeer zorgelijk en verwijtbaar. Dat meldde de patiëntenfederatie NPCF in Utrecht.

''Het is vreselijk dat dit opnieuw heeft kunnen gebeuren. Je moet er als patiënt op kunnen vertrouwen dat zorgvuldig met jouw medische gegevens wordt omgegaan. Het feit dat dit niet gebeurt, is zeer verontrustend'' aldus NPCF.

De federatie roept de politiek op om maatregelen te nemen om te voorkomen dat dit nog eens gebeurt.