Patiëntgegevens CWZ zijn tijdelijk toegankelijk geweest via een externe leverancier

25 januari 2016
Hoofdgebouw CWZ Nijmegen

Persverklaring - update 26-01-2016

Een journalist van Omroep Max heeft tijdelijk toegang gehad tot patiëntgegevens van ziekenhuizen via een software leverancier. Hierbij zat ook een rapport met screenshots van gegevens van 52 patiënten van CWZ. Het gaat daarbij om data als de naam, geboortedatum , patiëntnummer en het bezochte specialisme. Van één patiënt is ook het BSN-nummer herkenbaar. Zodra bekend werd dat deze gegevens toegankelijk zijn geweest, zijn ze direct weggehaald en volledig verwijderd. Alle patiënten zijn schriftelijk geïnformeerd.

Wij hechten grote waarde aan de veiligheid van de privacy van onze patiënten en betreuren dat dit is gebeurd. Vrijdagavond 22 januari werd duidelijk dat er inderdaad gegevens toegankelijk zijn geweest voor onbevoegden. Toen hebben we direct contact gehad met de leverancier (I-Guana) en met Omroep Max. Er zijn meteen maatregelen genomen en patiënten zijn de dag erna persoonlijk geïnformeerd. Wij bieden onze excuses aan de 52 patiënten van wie de gegevens enige tijd onvoldoende beveiligd zijn geweest.

Wat is er gebeurd?
Om de werking van onze systemen te kunnen garanderen, voeren wij met leveranciers regelmatig onderhoud uit. Hierbij is het nodig dat de leverancier toegang krijgt tot onze systemen.  In dit geval heeft de leverancier  schermafdrukken gemaakt en deze buiten de beveiligde omgeving van CWZ opgeslagen. De plek waar de leverancier deze schermafdrukken heeft opgeslagen, is door een menselijke fout tijdelijk niet goed beschermd geweest waardoor ze voor anderen toegankelijk waren. De gegevens zijn in een periode van 14 dagen gedownload. Uit nader onderzoek door de leverancier blijkt dat alleen Omroep MAX en een onderzoeksbureau de schermafdrukken hebben gezien.

Belgische gedetineerden hebben geen gegevens van CWZ gescand
Omroep MAX laat in de uitzending van Meldpunt! weten dat Belgische gedetineerden patiëntgegevens uit sommige Nederlandse ziekenhuizen in handen hebben gehad. Hiermee maakten zij deze gegevens klaar om te scannen.

CWZ heeft nooit scanwerkzaamheden of de voorbereiding daarvoor laten uitvoeren door derden. Vertrouwelijke gegevens van CWZ worden alleen door CWZ-medewerkers gescand en niet door Belgische gedetineerden of anderen buiten CWZ.

Welke maatregelen zijn genomen?
Dankzij de tip van Omroep Max hebben we direct maatregelen genomen. De leverancier heeft de gegevens direct weggehaald en volledig verwijderd van hun server. Dat is schriftelijk aan ons bevestigd. CWZ heeft een melding gedaan bij de Autoriteit Persoonsgegevens, de Inspectie voor de Volksgezondheid (IGZ) en de betrokken patiënten geïnformeerd. 

Uitzending Omroep MAX
Omroep Max heeft ons laten weten dat zij in de uitzending geen namen van patiënten laten zien of noemen.  De uitzending van Omroep MAX heet Meldpunt! en is op dinsdag 26 januari om 19.25 uur op NPO2, de Nederlandse Publieke Omroep.

Meer informatie?
Wij realiseren ons dat deze berichtgeving kan leiden tot vragen. U kunt uw vragen stellen via telefoonnummer 024 3657300 (van 9.00 – 17.00 uur) of via klantenservice@verwijder-dit.cwz.nl. Wij doen vervolgens ons uiterste best uw vragen zo spoedig mogelijk te beantwoorden.