Een huisartsenpraktijk in Sint-Oedenrode heeft een datalek gemeld waarbij medische gegevens van Rooienaren in handen van criminelen zijn gekomen. Het incident kwam deze week aan het licht na interne controles. De praktijk onderzoekt hoe dit kon gebeuren en welke personen zijn geraakt. Het lek zet opnieuw de schijnwerpers op gegevensbeveiliging in de zorg en op de Europese AI-verordening en haar gevolgen voor overheid en instellingen.
Gevoelige zorgdata buitgemaakt
Onbevoegden hebben toegang gekregen tot gegevens van patiënten van een lokale huisartsenpraktijk. Het is op het moment van schrijven nog onduidelijk hoeveel dossiers het betreft. Ook is niet precies bekend welke soorten gegevens zijn ingezien of gekopieerd.
Bij medische gegevens gaat het meestal om naam- en adresinformatie, contactgegevens en behandel- of medicatiegegevens. Soms staan ook burgerservicenummers en verzekeringsinformatie in dossiers. Zulke gegevens vallen onder ‘bijzondere persoonsgegevens’ en vereisen extra bescherming onder de AVG.
Het risico voor patiënten is misbruik van hun gegevens voor fraude, identiteitsdiefstal of gerichte phishing. Medische informatie kan bovendien worden gebruikt voor chantage of sociale manipulatie. Daarom is snelle communicatie met betrokkenen essentieel, net als duidelijke instructies over vervolgstappen.
Melding en onderzoek gestart
De praktijk moet het datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Daarnaast moeten alle mogelijk gedupeerde patiënten persoonlijk geïnformeerd worden. Dat is nodig zodat zij zichzelf kunnen beschermen tegen misbruik.
“Een datalek moet in beginsel binnen 72 uur na ontdekking worden gemeld bij de Autoriteit Persoonsgegevens.”
Er loopt doorgaans een forensisch onderzoek om te achterhalen wat er precies is gebeurd. Daarbij worden serverlogbestanden, e-mailstromen en externe toegang gecontroleerd. Ook wordt bekeken of een externe IT-dienstverlener als verwerker hierbij betrokken was.
De praktijk moet nagaan of encryptie, tweefactorauthenticatie en segmentatie van het netwerk op orde waren. Dat heet ‘passende technische en organisatorische maatregelen’ nemen. Als er tekortkomingen zijn, kan de AP handhavend optreden en boetes opleggen.
Zorg-IT vraagt betere basis
Huisartsen gebruiken verschillende digitale systemen, zoals een huisartsinformatiesysteem (HIS), e-mail en een patiëntenportaal. Elk onderdeel kan een ingang zijn voor criminelen als beveiliging hapert. Denk aan gestolen wachtwoorden, verouderde software of misleidende phishingmails.
Z-CERT, het sectorale computercrisisteam voor de zorg, adviseert instellingen over dreigingen en incidentrespons. Het Nationaal Cyber Security Centrum (NCSC) publiceert daarnaast richtlijnen voor patchbeleid en toegangsbescherming. Het toepassen van deze adviezen verkleint de kans op datalekken aanzienlijk.
Belangrijke basismaatregelen zijn sterke wachtwoorden, multifactor-authenticatie en tijdige updates. Ook het beperken van toegangsrechten per rol helpt schade te beperken. Regelmatige back-ups en versleuteling zorgen dat gestolen data minder bruikbaar zijn.
Europese AI-verordening gevolgen overheid
De Europese AI-verordening (AI Act) legt extra eisen op aan AI-systemen in de zorg. Beslisondersteuning en triage vallen in veel gevallen onder ‘hoog risico’. Dat betekent onder meer strenge data-governance, transparantie en toezicht op kwaliteit van datasets.
Hoewel dit incident vooral de AVG raakt, snijdt het ook in op datahygiëne voor AI. Onbeveiligde of onduidelijk verkregen medische data zijn niet toegestaan voor het trainen van algoritmen. Datamodellen in de zorg moeten herleidbare, rechtmatig verkregen en representatieve gegevens gebruiken.
Voor overheden en zorginstellingen betekent dit extra documentatie en controles. Op het moment van schrijven treedt de AI-verordening gefaseerd in werking tot 2026. Het is verstandig om processen nu al AVG- én AI-proof in te richten.
Wat patiënten nu kunnen doen
Wees alert op verdachte e-mails, sms’jes en telefoontjes die lijken te komen van huisarts, zorgverzekeraar of bank. Klik niet op links en deel geen codes of inloggegevens. Controleer adressen en afzenders zorgvuldig.
Log in op het patiëntenportaal en bekijk recente wijzigingen of downloads van uw dossier, als die inzage wordt geboden. Pas waar mogelijk uw wachtwoord aan en zet tweefactorauthenticatie aan. Hergebruik van wachtwoorden op andere diensten vergroot het risico.
Neem bij twijfel contact op met de huisartsenpraktijk en vraag om uitleg en ondersteuning. Noteer ongewone gebeurtenissen, zoals onbekende declaraties of adreswijzigingen. Meld mogelijke fraude direct bij uw bank of zorgverzekeraar.
Verantwoordelijkheid en aansprakelijkheid
De huisartsenpraktijk is als verwerkingsverantwoordelijke primair verantwoordelijk voor de gegevensverwerking. Een IT-leverancier geldt als verwerker en moet op basis van een verwerkersovereenkomst handelen. Beide partijen moeten passende beveiliging en duidelijke procedures hebben.
De AVG eist dataminimalisatie, goede logging en tijdige verwijdering van overbodige gegevens. Bijzondere persoonsgegevens, zoals medische data, vragen extra zorg, zoals encryptie en strikte toegangscontrole. Een Data Protection Impact Assessment (DPIA) helpt risico’s vooraf te beoordelen.
NIS2-regels brengen daarbovenop zwaardere beveiligingsplichten voor middelgrote en grote zorgorganisaties. Nederland werkt op het moment van schrijven aan de nationale invoering van NIS2. Huisartsen doen er goed aan hun beveiligingsniveau nu al te toetsen aan deze normen.
