Van bijna een miljoen Nederlanders zijn de persoonsgegevens door Bevolkingsonderzoek Nederland gedeeld met een lab dat gehackt werd. De organisatie zegt de beveiliging van de gegevens gecontroleerd te hebben. Deel 4 in een miniserie over informatiebeveiliging in de zorg.
De labhack bij Eurofins heeft enorm veel slachtoffers: alle personen die hun gegevens deelden met een zorgorganisatie die vervolgens die gegevens weer doorstuurde naar het laboratorium Clinical Diagnostics. Veruit de grootste groep is op die manier gedupeerd via het Bevolkingsonderzoek Nederland, die gegevens van 941.000 personen heeft gedeeld met het Eurofins-lab. Van minstens 715.000 van hen staat vast dat de volgende gegevens gestolen zijn: naam, adres, woonplaats, geslacht, geboortedatum, bsn, soort onderzoek (zelftest of uitstrijkje), testuitslag(en), en naam van de huisarts. Dat roept veel vragen op, die Computable aan de organisatie heeft gesteld. Elma van der Vlis, woordvoerder bij Bevolkingsonderzoek Nederland (BVO NL), beantwoordde ze.
Waarom ging BVO NL in zee met een partij die zelf op de eigen website zegt niet gecertificeerd te zijn voor de wettelijk verplichte NEN7510 en NEN7512?
‘De organisaties betrokken bij de verwerking van persoonsgegevens moeten voldoen aan de veiligheidseisen die worden gesteld in onder andere de AVG – de Algemene Verordening Gegevensbescherming. Een belangrijk onderdeel van de AVG is dat de gegevens goed beveiligd worden. BVO NL controleert dit en kijkt ook of haar eigen gegevensverwerkers zich aan de wet houden. De overheid biedt organisaties informatie en hulpmiddelen om beter om te gaan met gegevensbescherming. Toch kan het helaas gebeuren dat organisaties slachtoffer worden van digitale criminelen.’
‘Voor de bevolkingsonderzoeken en screenings worden diensten, zoals laboratoriumonderzoek, Europees aanbesteed en gecontracteerd. Bedrijven of organisaties die aan de eisen voldoen, kunnen zich inschrijven. Dit kunnen commerciële bedrijven zijn, maar ook laboratoria van bijvoorbeeld ziekenhuizen. Wanneer diensten worden aanbesteed en gecontracteerd dan wordt in dit aanbestedingsproces aangegeven aan welke eisen aanbieders moeten voldoen, bijvoorbeeld op het vlak van privacy en informatiebeveiliging; de ISO- en NEN-normeringen. Dat is in dit specifieke geval ook gebeurd. Eisen zijn vastgelegd in de overeenkomst tussen BVO NL en het laboratorium.’
Hoe heeft BVO NL zich ervan verzekerd dat de data van die honderdduizenden personen goed beveiligd was bij het lab en men er daar goed mee omging?
‘BVO NL heeft een verwerkersovereenkomst met het laboratorium. Daarin zijn conform wet- en regelgeving onder meer afspraken gemaakt over de beveiliging van de door het laboratorium gebruikte persoonsgegevens. Er wordt nu onderzoek gedaan naar hoe deze hack heeft kunnen plaatsvinden. In afwachting van dit onderzoek is de samenwerking met het laboratorium tijdelijk opgeschort.’
Welke persoonsgegevens deelt BVO NL met derden en volgens welke eisen?
‘Per bevolkingsonderzoek is het proces van uitnodigen, eventuele vervolg- of aanvullende stappen, uitslag verstrekken en de relatie met zorgaanbieders in de keten anders. Per bevolkingsonderzoek wordt gekeken op welke wijze gegevensuitwisseling geminimaliseerd kan worden.’
‘Wanneer zorgaanbieders zorg verlenen aan hun patiënten, verwerken zij persoonsgegevens van die patiënten. Met het bsn kunnen de zorgaanbieders die gegevens koppelen aan de juiste patiënt. Ook moeten zorgaanbieders het bsn gebruiken als zij gegevens uitwisselen met andere zorgaanbieders, zorgverzekeraars en indicatieorganen. Clinical Diagnostics NMDL is een zorgaanbieder in de zin van de Wet kwaliteit, klachten en geschillen zorg – en is verplicht te voldoen aan de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, en de Wet elektronische gegevensuitwisseling in de zorg. Dat geldt ook voor BVO NL. BVO NL gebruikt bsn’s om te waarborgen dat de ontvangende partij(en) de gegevens aan de juiste persoon (kunnen) koppelen.’
‘Naast het bsn zijn zorgaanbieders verplicht op grond van de Wet op de geneeskundige behandelingsovereenkomst een dossier aan te houden met gegevens over de betrokken patiënt en wel in die mate waarin dat noodzakelijk is om zorg te verlenen. De Richtlijn uitwisseling laboratoriumgegevens is onderdeel van de professionele standaard waaraan laboratoria dienen te voldoen. Deze richtlijn beschrijft de gegevensset uitsluitend voor zorginhoudelijke communicatie van laboratoriumgegevens. Het beschrijft de gegevensset in logische of generieke zin, dus de gegevens of gegevensgroepen gerelateerd aan het moment waarop gegevens nodig zijn. De gedetailleerde gegevens worden beschreven in de informatiestandaard laboratoriumuitwisseling.’
Waarom deelde BVO NL meer dan alleen maar het bsn, dat is immers al een unieke, persoonsgebonden code?
‘Om de juiste tests aan de juiste personen te koppelen heeft Bevolkingsonderzoek Nederland een aantal gegevens van de deelnemers nodig. Zo zorgen we ervoor dat onze deelnemers de juiste uitslag ontvangen. Wij delen de gegevens die noodzakelijk zijn voor het uitvoeren van de tests met het lab. Bij het bevolkingsonderzoek baarmoederhalskanker zijn in de keten verschillende zorgaanbieders betrokken. Ook Bevolkingsonderzoek Nederland is een zorgaanbieder. Wanneer zorgaanbieders zorg verlenen aan hun patiënten, verwerken zij persoonsgegevens van die patiënten en wisselen die waar nodig uit. Er zijn verschillende wetten van toepassing waaraan de zorgaanbieders moeten voldoen bij de verwerking van de persoonsgegevens waardoor bepaalde gegevens nodig zijn. Daarnaast zijn er richtlijnen waar laboratoria aan moeten voldoen. De gegevens die bij het bevolkingsonderzoek baarmoederhalskanker zijn gedeeld voldoen aan deze wetten en richtlijnen.’
De andere delen van deze miniserie zijn hier te vinden.
