DEN HAAG - Door een fout van een IT-dienstverlener stonden medische gegevens van twee GGZ-instellingen op een onvoldoende beveiligde server. Patiëntinformatie is daardoor toegankelijk geweest.

In totaal gaat het om persoonsgegevens van zo’n 8.500 patiënten.

De informatie bedroeg geboortedatum, adresgegevens, de gegevens van de instelling waar iemand is opgenomen, het burgerservicenummer en gegevens voor uitwisseling via het Elektronisch Patiënten Dossier (EPD).

Geestelijke gezondheidszorg

Het gaat om mensen die medicatie ontvangen voor geestelijke gezondheidszorg. "Dit is een erg kwetsbare groep mensen en daarom moet dit lek zo snel mogelijk dicht", vertelt Carla van het Genootschap van Hackende Huisvrouwen die het lek ontdekte.

Ook informatie van een aantal andere zorginstellingen bleek beschikbaar te zijn, maar daarbij ging het om inloggegevens van medewerkers en niet om patiënteninformatie. In één geval waren ook recepten beschikbaar, maar de recepten waren niet naar personen te herleiden.

Ontdekt

De toegang werd verkregen via een ontwikkelomgeving waar operationele gegevens aanwezig zijn.

Het verantwoordelijke bedrijf FarMedvisie zegt een aanval op 21 mei te hebben gedetecteerd en daar binnen twee minuten op in actie te zijn gekomen. "Naar aanleiding van de door NU.nl aan ons op 31 mei verstrekte informatie, hebben wij tot onze spijt moeten concluderen dat wij toch iets over het hoofd hebben gezien", erkent directeur Robert van Wijk van FarMedvisie in een verklaring.

"Als leverancier van een ICT-systeem zijn wij verantwoordelijk voor de beveiliging van ons systeem. Wij zullen ook onze overige klanten over dit voorval informeren", stelt Van Wijk. "Vanzelfsprekend raakt dit lek ons zeer."

Bredere verantwoordelijkheid

Het bedrijf heeft inmiddels de ontwikkelserver van het internet ontkoppeld en aanvullende beveiligingsmaatregelen genomen. De zorginstellingen gaan de betrokken klanten informeren.

FarMedvisie benadrukt intensief in beveiliging te investeren, maar signaleert wel een breder probleem. "Maar los van onze rol, is het in dit informatietijdperk ook een collectieve verantwoordelijkheid van politiek, bedrijfsleven, overheid en pers, dat er een bredere bewustwording ontstaat over de beveiligingsrisico's die er altijd zullen zijn en hoe wij daar als maatschappij mee willen omgaan", betoogt Van Wijk dan ook.

Omdat de betrokkenen nog niet zijn geïnformeerd en het een kwetsbare groep mensen betreft met een hulpvraag in de geestelijke gezondheidszorg, heeft NU.nl ervoor gekozen de namen van de zorginstellingen nog niet naar buiten te brengen.