OLVG Oost Ziekenhuis. Beeld Hollandse Hoogte / Berlinda van Dam

Dat bevestigt het OLVG na vragen van de Volkskrant. In die dossiers staat zeer persoonlijke medische informatie, uiteenlopend van de uitslag van een soa-test tot kankermedicatie. Het OLVG is qua patiëntenaantallen het grootste ziekenhuis van Nederland.

Een filosofiestudente, die op een polikliniek afspraken inplande en de telefoon opnam, wees de leiding van het ziekenhuis augustus vorig jaar op het lek. Verkeerd afgestelde software heeft ervoor gezorgd dat werkstudenten op het OLVG alle medische dossiers hebben kunnen inkijken. Het profiel van de werkstudenten, die snel moesten kunnen schakelen tussen verschillende afdelingen, stond onbedoeld zo ingesteld dat zij patiënten van álle specialismen konden opzoeken.

Privacy

De problemen in het OLVG laten opnieuw zien hoe moeilijk het is om medische geheimen van patiënten waterdicht te regelen, zeggen experts. Al in 2013 bracht de Autoriteit Persoonsgegevens een rapport uit waaruit bleek dat nog te veel medewerkers van ziekenhuizen te makkelijk toegang hadden tot te veel dossiers. Volgens Theo Hooghiemstra, expert op het gebied van persoonsgegevensbescherming in de zorg, ‘valt het dan wel tegen dat die problemen nog steeds spelen. Dit is evident niet goed’.

Juist in de zorg is privacy van het grootste belang, aldus Hooghiemstra. ‘Mensen moeten erop kunnen vertrouwen dat wat zij de dokter vertellen geheim blijft. Als zij niet alles meer durven bespreken, kan dat gevaar opleveren voor hun eigen gezondheid, of, in bijvoorbeeld het geval van infecties of geslachtsziekte, voor de gezondheid van anderen.’

De Autoriteit Persoonsgegevens (AP) – die nog niet kan zeggen of het een onderzoek is begonnen naar het lek bij het OLVG – wijst erop dat privacy een groot probleem is in de zorg. ‘Wij zien regelmatig onbeveiligde websites, onbevoegden die neuzen in een medisch dossier van een bekende Nederlander, onveilige uitwisseling van gegevens via WhatsApp of onversleutelde e-mail.’ Van alle 20.881 datalekken die in 2018 bij de AP werden gemeld, was 29 procent afkomstig uit de zorg, het hoogste percentage van alle sectoren.

Lek gedicht

Volgens het ziekenhuis is het data-lek meteen gedicht en de software aangepast, nadat de studente aan de bel had getrokken. Ook heeft het OLVG direct een melding gedaan bij de Autoriteit Persoonsgegevens en heeft het de medewerkers nogmaals gewezen op het belang van een verantwoorde omgang met de patiëntendossiers. Het ziekenhuis kan zien welke medewerkers welke dossiers hebben bekeken. Hoe vaak studenten misbruik hebben gemaakt van de situatie, kan het OLVG niet zeggen. Het onderzoek loopt nog.

Maar studenten zeggen tegen de Volkskrant dat zij ook na september vorig jaar nog in dossiers terechtkonden waar zij geen recht op hadden en dat er bij de aanname– en inwerkprocedure nauwelijks over de gevoeligheid van medische informatie wordt gesproken. Uit een interne mail uit februari blijkt ook dat ‘de specifieke problemen rondom de autorisaties van werkstudenten’ nog altijd spelen en pas opgelost zullen worden als de functieprofielen van de twee locaties van het ziekenhuis zijn ‘geharmoniseerd’.

Het goed regelen wie van de ruim 6.000 OLVG-medewerkers tot welke patiëntendossiers toegang mogen hebben is ingewikkeld, zeggen experts. Mensen wisselen van baan, invallers moeten op het laatste moment zieke collega’s vervangen, en patiënten met acute klachten kunnen op elk moment van de dag op een andere afdeling terechtkomen. Het ziekenhuis zegt dat het juist daarom continu zoekt naar de optimale balans tussen patiëntveiligheid en privacy.

De medische dossiers van honderdduizenden patiënten van het OLVG in Amsterdam waren jarenlang toegankelijk voor medewerkers die ze niet mochten inzien. Daar werd gretig gebruik van gemaakt. Hoe kon het grootste ziekenhuis van Nederland zo slordig zijn? Een reconstructie.