EINDHOVEN - GGZ Eindhoven blijkt gevoelige medische gegevens naar een ICT-bedrijf te hebben gestuurd. De instelling ontkent dat dit vaker gebeurt.

Het gaat onder meer om de diagnose en gebruikte medicatie van een patiënt die zich in december bij de crisisdienst van de geestelijke gezondheidsinstelling meldde.

Een medewerker van de GGZ stuurde de informatie in een onversleutelde e-mail naar een algemeen e-mailadres van ICT-bedrijf CARE.

Het bericht volgt op een overleg tussen artsen en werd per ongeluk aan CARE geadresseerd. Maar experts stellen er vraagtekens bij dat er überhaupt via e-mail over patiënten wordt gecommuniceerd.

Niet toegestaan

Volgens Gerrit-Jan Zwenne, hoogleraar privacy- en telecomrecht aan de Universiteit Leiden en advocaat bij het kantoor Bird & Bird, is dit niet toegestaan. "Dat zijn zogenoemde bijzondere gegevens (gezondheid). En meer dan gewone persoonsgegevens moeten die goed worden beveiligd", reageert hij tegenover NU.nl.

"Het is bekend dat email niet veilig is: indertijd zei Min van Justitie Sorgdrager dat email moet worden gezien als een ansichtkaart. Dat lijkt mij, behoudens versleuteling, juist", stelt hij dan ook.

Fout

Een zegsvrouw van de GGZ-instelling zegt tegenover NU.nl dat er sprake is van een fout. Zij benadrukt dat medische informatie normaliter niet via e-mail mag worden verstuurd en dat dit ook niet meer zal gebeuren. De zorginstelling zegt de patiënt te informeren over de gemaakte fout.

Joost Sanders van het bedrijf CARE zegt regelmatig mailtjes te krijgen op het algemene e-mailadres te krijgen, die duidelijk niet voor ze bedoeld zijn.

"Naar aanleiding van de discussies rondom het EPD en de in mijn ogen vreemde gang van zaken rondom de zaak Henk Krol vs Diagnostiek voor U vind ik het bizar en schandalig dat zeer privacy gevoelige en persoonlijke informatie over een patiënt van een psychiatrische instelling (en eigenlijk iedere patiënt in het algemeen) zo onzorgvuldig wordt behandeld", reageert hij tegenover NU.nl.

Henk Krol

Sanders doelt hiermee op de strafzaak die tegen 50Plus-voorman Henk Krol is aangespannen toen hij zwakheden in een computersysteem blootlegde. Hij logde in het systeem in met een code van GGZ Eindhoven van vijfcijfers.

Een psychiater van de instelling leverde politie informatie over de mogelijke bron en een patiënte die niets met de zaak te maken had. Hierbij werd de vraag opgeworpen of het medisch beroepsgeheim geweld was aangedaan.

Schadeclaim

Ook bleek de instelling patiënten te benaderen om een schadeclaim tegen Krol in te dienen. Na vragen van NU.nl stelde een van de patiënten met psychiatrische problemen slecht te zijn geïnformeerd en zich onder druk gezet te voelen om maar tekenen.

Hij trok vlak voor de rechtszitting zijn machtiging om namens hem op te treden in. "Eigenlijk ben ik wel blij dat Krol het probleem zo heeft aangekaart", stelde hij tegenover NU.nl.

Administratieve fout

In de zaak van Krol blijken er meer systeemfouten naar boven te zijn gekomen. De politicus had ingebroken op een systeem van Diagnostiek voor U waar onderzoeksresultaten naar bloed en urine staan opgeslagen. Volgens het bedrijf is het niet mogelijk dat artsen bij gegevens kunnen van patiënten die niet bij hun organisatie bekend zijn.

Onderzoek van NU.nl naar het strafdossier wees echter uit dat in ieder geval bij twee patiënten artsen van GGZ Eindhoven toegang hadden tot informatie van niet-patiënten.

Volgens Diagnostiek voor U betrof het in het eerste geval een menselijke fout waar een patiënt aan een foute instelling was gekoppeld, terwijl in een ander geval de patiënt een medewerker van GGZ Eindhoven was.