Kuipers: datalek Albert Schweitzer mede door overschrijven van back-up

Het datalek bij het Albert Schweitzer ziekenhuis, waar ruim een half miljoen patiëntdocumenten permanent werden gewist, kon zich mede door het overschrijven van de periodieke back-up voordoen, zo laat minister Kuipers van Volksgezondheid weten. Bij het datalek werden scans van niet meer gebruikte papieren uit dossiers van voor september 2017 gewist, zoals verwijsbrieven, onderzoeksresultaten of aantekeningen van de behandelaar.

Het ziekenhuis had de documenten twintig jaar moeten bewaren voordat ze mochten worden verwijderd. Doordat dit niet is gedaan, is er sprake van een datalek. In 2017 stapte het ziekenhuis over van een papieren patiëntendossier op een elektronisch patiëntendossier (EPD). Daarbij werden per patiënt en per behandeling alle actuele, relevante gegevens overgezet naar de digitale omgeving.

Oude documenten uit het papieren dossier die de artsen op dat moment niet meer nuttig vonden voor de behandeling, gingen niet mee naar het EPD. Maar ze moesten volgens de wet nog wel worden bewaard. Afgelopen oktober bleek dat in dit archief, als gevolg van foute instellingen, al bijna een jaar lang nieuwere documenten werden opgeslagen met bestandsnummers die ook in gebruik waren voor inactieve documenten.

Het CDA had minister Kuipers om opheldering gevraagd. Volgens de bewindsman is het datalek door drie factoren veroorzaakt: een verkeerd gekozen nummerreeks, het niet beveiligd zijn van data tegen overschrijven én de gekozen manier van back-ups maken, waarbij elke nieuwe volledige back-up in de plaats komt van de vorige volledige back-up.

“Omdat het om statische data ging, is voor dit specifieke archiefontwerp een afwijkend regime gekozen waarbij elke geslaagde periodieke back-up de vorige overschreef. Hierdoor kon de fout in elke back-up ongemerkt iets verder doorwerken”, laat de minister verder weten. Het Albert Schweitzer ziekenhuis heeft inmiddels een andere back-upmethode gekozen. “Een herhaling van dit specifieke incident is daarmee uitgesloten”, aldus Kuipers.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl