Samantha de Jong, beter bekend onder haar bijnaam Barbie. Beeld ANP, beeldbewerking: Stan van Lier

Hoe kon de medische informatie van reality-ster Barbie bij zo veel personen terechtkomen?

Alle ongeveer 2.800 artsen en verpleegkundigen in het Haga Ziekenhuis in Den Haag hebben via het elektronisch patiëntendossier (epd) van leverancier Chipsoft toegang tot alle gegevens van elke patiënt die er is opgenomen of ooit in het ziekenhuis is geweest. Tientallen medewerkers hebben dit jaar van die mogelijkheid gebruikgemaakt, ondanks waarschuwingsschermen die hen wezen op het mogelijke illegitieme karakter van hun actie, om het ­medisch dossier te bekijken van ­Samantha de Jong. De Jong, beter bekend als Barbie, hoofdpersoon in talloze RTL-reallifesoaps, kwam begin dit jaar in het ziekenhuis terecht na een overdosis drugs.

Dat medewerkers het dossier hebben ingezien, is gebleken uit onderzoek van het ziekenhuis zelf, dat regelmatig controles houdt om onrechtmatige toegang tot het epd op te sporen. Iedereen die het dossier heeft opgevraagd, heeft een brief gekregen van de directie. Een speciale commissie onderzoekt nu waarom personen het dossier hebben bekeken. Als blijkt dat het gegrasduin onnodig was, kan het ziekenhuis disciplinaire maatregelen nemen - van een waarschuwing tot ontslag.

Wat zijn de regels?

Medische professionals mogen alleen de gegevens inzien van patiënten die ze behandelen. Het moet voor het ziekteproces van de patiënt relevant zijn het medisch dossier te bekijken. Als medewerkers het bekijken uit nieuwsgierigheid – of het nu het dossier van een BN’er, de baas van het ziekenhuis of de buurvrouw is – handelen zij in strijd met de wet, met de gedragscode van het ziekenhuis en met de beroepscode van artsen en verpleegkundigen.

Ook het ziekenhuis had meer moeten doen om de privacy van De Jong te beschermen, zegt de Autoriteit Persoonsgegevens. Het stelt een onderzoek in naar deze ‘ernstige zaak’. Ziekenhuizen moeten alle technische en organisatorische maatregelen nemen die mogelijk zijn om de privacy van patiënten te waarborgen, ‘een complexe maar geen onmogelijke opgave’.

Als het daadwerkelijk zo is dat alle medewerkers bij alle patiëntgegevens kunnen, dan ‘is dat niet goed, dat is niet in de haak’, zegt een woordvoerder van de toezichthouder. ‘Als je nagaat wat dit betekent: dat je met een gebroken been wordt opgenomen, en het neefje van de buren werkt in het ziekenhuis en is wel benieuwd naar jouw gesteldheid, dan snap je toch dat dit niet oké is?’

Screenshot van het scherm dat mensen moeten invullen als ze de persoonlijk gegevens van Barbie willen inzien Beeld vk

Als uit het onderzoek van de Autoriteit Persoonsgegevens blijkt dat er sprake is ‘ernstig verwijtbare nalatigheid’, kan zij het ziekenhuis een boete opleggen. Vanaf 25 mei, als een strengere privacywet in werking treedt, zou de overtreding op zichzelf al genoeg kunnen zijn voor een boete.

Het Haga Ziekenhuis zegt zich aan alle normen te houden die gelden voor informatiebeveiliging in de zorg en dat het juist daarom ook het onderzoek is begonnen. Het ziekenhuis geeft tevens aan met de autoriteit in gesprek te willen over hoe de theorie van de toezichthouder in de praktijk toe te passen.

Gebeurt het vaker dat ziekenhuizen de regels omtrent dossiers overtreden?

Ja, de Autoriteit Persoonsgegevens krijgt zo’n tien meldingen per jaar over dit soort schendingen. Een medewerker van het Westfries Gasthuis in Hoorn werd vorig jaar op staande voet ontslagen toen zij voor de tweede maal werd betrapt op ongeoorloofd rondneuzen in het elektronisch patiëntendossier. Terecht, oordeelde de rechtbank vorige maand.

En ook in het Haga Ziekenhuis is het niet de eerste keer dat medewerkers over de schreef gaan. Het ziekenhuis kan sinds een half jaar achteraf controleren of toegang tot een ­medisch dossier correct was. Vorig jaar is het ‘enkele keren’ voorgekomen dat een medewerker patiënten-informatie opzocht waartoe hij geen recht had.

Wat valt er tegen te doen?

Volgens leverancier Chipsoft, dat zijn software levert aan meer dan 60 procent van de Nederlandse ziekenhuizen, heeft het elektronisch dossier de mogelijkheid nauwkeurig te bepalen wie op welk moment toegang heeft tot welk dossier. In noodsituaties is er een ‘break-the-glass’-optie, zodat artsen alsnog toegang tot het dossier kunnen forceren.

Ook het Haga Ziekenhuis maakt gebruik van die break-the-glass-mogelijkheid, een optie die in het dagelijks werk vaak nodig is. De praktijk is weerbarstig, met soms tot wel negentig professionals die betrokken zijn bij één patiënt. Er zijn drie diensten per dag, verpleegkundigen vallen in, artsen worden ziek: dat allemaal regelen in een systeem is een opgave van jewelste. Het break the glass-principe voorkomt niet dat zorgverleners er misbruik van maken. Wel kan een zorginstelling ongeoorloofde inzage direct signaleren, en daarop maatregelen nemen. Het Haga Ziekenhuis benadrukt dat dit nu dus ook is gebeurd.

Een andere optie voor een kwetsbare groep, zoals Bekende Nederlanders, is een speciaal protocol. Het Tergooi Ziekenhuis in het Gooi heeft relatief veel BN'ers onder zijn patiënten. Zij kunnen ervoor kiezen niet met hun naam in het dossier terecht te ­komen, maar alleen met het 'patiënt-identificatie-nummer'. Dat is alleen bekend bij de behandelend artsen en verpleegkundigen.

Hoe loopt de zaak in het Haga Ziekenhuis nu af?

Het ziekenhuis heeft excuses aangeboden aan De Jong. Het beraadt zich op maatregelen tegen de betrokken medewerkers en het buigt zich –geschrokken – over de eigen systemen. ‘Tot nu toe hebben we dit vooral door voorlichting proberen te voorkomen. Nu gaan we kijken hoe we het systeem slimmer kunnen inrichten, met name om de privacy te waarborgen.’

Wat ziet de politie van u?

In welke systemen medewerkers van de politie mogen kijken, is afhankelijk van hun functie. Zo mag iedere agent op straat bijvoorbeeld in de Basisvoorziening Handhaving (BVH), net als – in principe – elke rechercheur. Dit systeem is een verzameling van processen-verbaal, meldingen en incidenten. De recherche werkt daarnaast ook met Summ-it. Voor dat systeem gelden verschillende autorisatieniveaus zodat alleen degene voor wie het relevant is toegang heeft tot opsporingsonderzoeken.

Voor een zoekopdracht in Basisvoorziening Handhaving moet een agent een goede reden hebben, zoals het vermoeden van een strafbaar feit. Dit wordt niet elke keer gecontroleerd. Achteraf is het echter wel na te gaan wie wat heeft gezocht. ‘Je krijgt telkens voordat je iets opvraagt een melding: alles wat je doet wordt gelogd en kan achteraf worden nagegaan’, aldus een rechercheur. Dit is om te voorkomen dat mensen onnodig privacygevoelige informatie van anderen uit de politiesystemen halen. ‘Maar helemaal voorkomen dat iemand kwaad in de zin heeft, kan je nooit’, aldus een politiewoordvoerder.

Zo kwam de politie in 2015 ‘mol’ Mark M. op het spoor die informatie uit de politiesystemen verstrekte aan criminelen. De voormalige politiemedewerker is inmiddels veroordeeld tot 5 jaar cel. Tijdens het onderzoek bleek dat M. in systemen kon waar hij, na een functiewisseling , geen toegang meer voor had mogen hebben. ‘Hoewel het nog niet altijd vlekkeloos gaat, zijn we hier scherper op geworden’, zegt de woordvoerder. ‘Als je van functie verwisselt, veranderen ook je bevoegdheden voor de systemen.’

Wie heeft inzage in mijn bankgegevens?

2.000 euro op de lopende rekening, een tienvoud op de spaarrekening, wellicht een kleine aandelenportefeuille. Het is informatie die de gemiddelde klant van een bank graag privé houdt. Maar hoe privé zijn die data binnen de bank?

‘Alleen die medewerkers die het nodig hebben voor het uitoefenen van hun functie mogen toegang tot klantgegevens hebben’, zegt Esther van der Meulen, advocaat arbeids- en privacyrecht bij Lexence. ‘Denk aan een medewerker van de helpdesk die jouw rekening moet kunnen inzien wanneer jij belt met een vraag over een afboeking.’

Zomaar snuffelen in bankrekeningen druist in tegen de gedragscode die bankmedewerkers bij hun aantreden moeten ondertekenen. Van der Meulen: ‘Een medewerker mag nooit meer persoonsgegevens inzien en gebruiken dan strikt noodzakelijk.’

Wie dat toch doet, wordt aangepakt, zegt een woordvoerder van ABN Amro. ‘Daar staan strenge sancties op, van een berisping tot ontslag.’ De bank heeft ook technische maatregelen genomen. De mate van toegang tot informatie verschilt per medewerker. ‘Voor bepaalde gegevens heb je speciale toestemming nodig.’

Sinds 2015 leggen bankmedewerkers de Bankierseed af. Zij beloven onder andere ‘dat ik geheim zal houden wat mij is toevertrouwd’. De eed blijkt geen garantie voor goed gedrag. In november kreeg een medewerkster van de tuchtrechter een beroepsverbod opgelegd vanwege het ‘raadplegen van rekeninggegevens zonder zakelijke aanleiding’.

Wat ziet uw internetprovider?

Er is weinig zo persoonlijk als ons surfgedrag. Aan de browser vertrouwen we onze grootste geheimen toe, af te lezen aan ons zoekgedrag in Google of aan de url van sites die we bezoeken. Kijkt onze internetprovider mee?

Technisch kan het, zegt Hans de Zwart van privacy-waakhond Bits of Freedom. Maar providers zijn in Nederland aan strenge privacywetgeving onderworpen. Het verzamelen van surfgedrag en doorverkopen aan derden is niet toegestaan, zegt hij. ‘Ik vermoed dat de providers die gegevens niet bewaren, want ze kunnen er niks mee.’

Niels Huijbregts van provider XS4ALL beaamt dit. ‘Er zit niemand mee te kijken.’ De provider brengt weliswaar de verbinding tot stand tussen een private computer en een website, maar slaat deze informatie niet op. ‘Er wordt geen historie opgebouwd van de websites die je hebt bezocht.’

Live meekijken is mogelijk. ‘Ja, er zijn personen die vanwege hun functie toegang tot de core machines van het netwerk hebben’, zegt Huijbregts. ‘Onze netwerkbeheerders kunnen hun werk niet doen als ze dat niet zouden hebben.’ Een gedragscode moet voorkomen dat zij ‘neuzen in het verkeer van klanten’. Het is bij XS4ALL nooit voorgekomen, stelt hij.

Voor wie zijn webprovider toch niet vertrouwt, heeft De Zwart enkele tips. Wie alleen versleutelde websites bezoekt (te herkennen aan het slotje in de adresbalk), schermt zijn browsegedrag goeddeels af. Een provider kan nog wel de domeinnaam zien, maar niet de inhoud van de pagina. Ook een VPN-verbinding en het wijzigen van de DNS-instelling (‘het telefoonboek van internet’) maakt surfen anoniemer.