EINDHOVEN - De Brabantse kliniek Diagnostiek voor U blijkt een telefoongesprek met Henk Krol te hebben opgenomen. Daarin zegt een manager de hulp van de politicus nodig te hebben om te achterhalen wat er mis is met de beveiliging van hun patiëntendossiers.

Dat blijkt uit het dossier van het Openbaar Ministerie (OM), dat is ingezien door NU.nl. Het gesprek is door de zorginstelling uitgetypt en aan de politie gegeven. Het geluidsbestand zelf is niet aan de politie overhandigd.

Vrijdag staat Krol als 'hacker' terecht voor het tonen van zwakheden in de beveiliging van het Elektronisch Patiëntendossier van Diagnostiek voor U.

Tussen de stukken van het OM zit een uitgewerkt verslag van een telefoongesprek tussen Krol en Iris Jansen-van Ravenstein, de afdelingsmanager Marketing en Communicatie van Diagnostiek voor U. In het opgenomen gesprek vraagt Jansen naar de persoon die Krol het lek toonde en de gebruikte inlogcodes doorgaf.

Beschermd

"Wat is het doel van dit verhaal?", vraagt Jansen. Daarop antwoordt Krol: "Dat patiënten in de toekomst beter beschermd worden. Dat u een ander systeem gaat gebruiken waarin de patiënten dit risico niet meer lopen. Dat is mijn doel."

"En u wilt niet meewerken dat doel te bereiken?", vraagt de kliniek. "Ik denk dat ik daar vandaag aardig aan heb bijgedragen", reageert Krol.

De manager vraagt Krol herhaaldelijk zijn bron prijs te geven, omdat dat het beveiligingsprobleem zou helpen oplossen. Ondanks de herhaalde verzoeken weigert Krol de naam van zijn bron te geven.

Uitslagen

Daarna vraagt ze naar de uitgeprinte voorbeelden van bloeduitslagen, die Krol op Omroep Brabant toonde. Deze had hij onherkenbaar gemaakt, zodat zelfs hij niet wist welke labuitslagen bij wie hoorden.

Krol bevestigt in het gesprek vier of vijf prints te hebben gezien. "Toen had ik echt zoiets van: 'Met de rest wil ik helemaal niets te maken hebben'. Ik voelde mezelf voyeur op uw site. Als je ziet wat voor gegevens daar allemaal staan, dan voel je je beschaamd dat je daar bij kunt."

Logboeken

In het dossier ontbreken logboeken die tonen vanaf welk internetadres Krol inlogde op de server van Diagnostiek voor U.

Die informatie is normaliter wel noodzakelijk om een link te leggen tussen het benaderen van een dossier en de plaats waar dat is gebeurd. Wel is zichtbaar welke arts inzage heeft gehad in welke dossiers.

Ook blijkt nergens uit het strafdossier dat er forensisch onderzoek is gedaan naar de systemen. Zo is niet duidelijk of de inlogsystemen wel correct functioneerden en of er andere zwakheden in het systeem zaten.

Discussie

Verder blijkt uit de stukken dat het Openbaar Ministerie alleen heeft gekeken naar de toegang tot het systeem. Er is niet bestudeerd wat het aantonen van het lek heeft teweeggebracht in de samenleving, zoals de maatschappelijke en parlementaire discussie over de veiligheid van het Elektronisch Patiëntendossier (EPD).

Die informatie zou belangrijk kunnen zijn voor de beoordeling van de zaak door de rechter. Die zou kunnen oordelen dat de misstand van Krol te rechtvaardigen is, omdat hij een belangrijk probleem aantoonde.

Bekentenis

Krol heeft tijdens zijn verhoor bekend te hebben ingelogd op het systeem van Diagnostiek voor U. Na het ontdekken van de problemen probeerde hij eerst zelf contact te zoeken met de instelling. Zijn melding werd volgens eigen zeggen geweigerd, waarop hij naar Omroep Brabant is gestapt.

"Ik vond dat de reactie van Diagnostiek voor U zodanig laks was, terwijl ik bij de gegevens van duizenden Brabanders kon en dat aan de kaak gesteld moest worden. Vandaar mijn idee om naar Omroep Brabant te stappen", vertelde hij bij zijn verhoor.

Justitie

Uit de stukken blijkt verder dat het systeem met medische gegevens niet alleen voor artsen toegankelijk is. Ook beheerders van het systeem blijken toegang tot de medische informatie te hebben. Daarnaast is er een inlogcode voor medewerkers van het Ministerie van Justitie tot het systeem.

Een zegsvrouw van Diagnostiek voor U zegt in een reactie aan NU.nl dat medewerkers van justitie kunnen inloggen om urinemonsters van gedetineerden te controleren. Verder zouden zij geen medische gegevens van andere patiënten kunnen zien.

Bij het onderzoek van Krol werd duidelijk dat een arts ook gegevens kon zien van patiënten die hij zelf niet behandelde.

De zegsvrouw weigert in te gaan op vragen rond het opnemen van het gesprek met Krol en de vraag of Diagnostiek voor U ook andere gesprekken opneemt.

Codes

Krol toonde in april 2012 aan dat Diagnostiek voor U gebruik maakte van inlogcodes, waarbij de gebruikersnaam en het wachtwoord hetzelfde waren.

Met een inlogcode kon de medische informatie van duizenden Brabanders worden bekeken. In totaal zijn er zo'n 2600 inlogcodes beschikbaar voor het Elektronisch Patiëntendossier van de instelling.

Het bedrijf zegt ondertussen verbeteringen te hebben doorgevoerd. De kosten daarvan wil het op Krol verhalen.