Falende bestuurders zorginstellingen horen in de gevangenis

50Plus-fractievoorzitter Henk Krol wordt strafrechtelijk vervolgd voor het hacken van medische dossiers. Naast brommen moet de politicus ook bloeden, vindt het nalatige diagnostisch centrum in Brabant.

De zaak draait om Diagnostiek voor U (voorheen Diagnostisch Centrum Eindhoven), een bedrijf dat bloeduitslagen verwerkt en de medische gegevens van duizenden personen verbergt achter een pincode. Wie die code bemachtigt kan veel informatie krijgen. Denk bijvoorbeeld aan bloeduitslagen die aangeven of u alcoholist bent, of uitslagen die aangeven of u aids heeft. Geïnteresseerd in de labwaarden van voetballers? Ze zijn allemaal bekijken.

Geen nerd
Het verkrijgen van pincodes is in de praktijk niet zo heel moeilijk. Zeker niet bij organisaties waar mensen mee kunnen kijken terwijl de pincode wordt ingetypt, waar briefjes op monitoren hangen als geheugensteun voor de codes of andere manieren waarop medewerkers hun inlog verraden. Krol meldde de instelling dat hij toegang had tot de gegevens, maar die melding werd niet serieus genomen. Dus zocht hij de pers maar op.

Wat de zaak stuitend maakt zijn de gebrekkige computervaardigheden van Krol, die zelf nauwelijks zijn Facebook kan bijhouden. Deze aanval kan dus écht door bijna iedere nitwit worden uitgevoerd. Zo slecht worden uw gegevens bij Diagnostiek voor U dus beschermd.

De rollen zijn omgedraaid
Met zo’n blunder zou je verwachten dat het bedrijf met het schaamrood op de kaken excuses zou aanbieden voor de grove nalatigheid. Maar nee, de zaak werd omgedraaid. De instelling deed aangifte tegen Krol en nu heeft het Openbaar Ministerie besloten Krol te vervolgen, al zie je op een kilometer afstand dat hij hier een enorme misstand aan de kaak heeft gesteld.

De wereld op zijn kop: de klokkenluider, in dit geval Kamerlid Henk Krol, wordt vervolgd door het Openbaar Ministerie.

Daarnaast heeft de advocaat van het bedrijf uit Eindhoven aangekondigd een rekening van ongeveer 100.000 euro te gaan indienen bij Krol, als compensatie voor de geleden schade. Pardon? Ja, want toen duidelijk werd dat er een probleem speelde moest het systeem – zoals bij ieder ander beveiligingsincident – plat. Ook moest er opeens een beveiligingssysteem worden ingevoerd dat wèl deugt. Dat kost geld en de klokkenluider moet dat betalen. Had hij zijn mond maar moeten houden.

Wat Diagnostiek voor U gemakshalve vergeet, is dat ze aan de wettelijke regels moeten voldoen om überhaupt te mogen werken. Goede afscherming van gegevens en versleuteling van de data is daarbij verplicht. Wie dat niet doet is simpelweg nalatig. Dus wie moet nou wie geld betalen? En waarom loopt het bestuur van deze toko nog vrij rond?

Niet de eerste keer
Nalatigheid met medische gegevens kom je vaker tegen. Vrijdag toonde KRO Reporter hoe ze medische gegevens hadden opgehaald bij een huisarts en een psycholoog. Die gegevens stonden op een volledig onbeveiligde schijf op internet. Zembla toonde eerder dit jaar hoe ze 300.000 medische dossiers van Humannet konden downloaden en confronteerden enkele patiënten met hun gegevens. Die waren, verrassend, niet erg blij.

Nog een voorbeeld: het Groene Hart Ziekenhuis had enkele tientallen dossiers en de informatie van een half miljoen mensen op een internetserver staan. De data was beschermd met het voor het hele ziekenhuis functionerende wachtwoord ‘groen2000’. Niet bepaald het toonbeeld van een organisatie die privacybescherming erg hoog in het vaandel heeft staan. Ook diverse GGZ-instellingen passeerden het laatste jaar de revue met hun patiëntenlijsten die slecht beschermd bleken.

Bescherming
Wat Diagnostiek voor U, Humannet, het Groene Hart Ziekenhuis en de diverse GGZ-instellingen bindt, is de nalatigheid wat betreft de bescherming van bijzondere persoonsgegevens. Wat nog een overeenkomst is, is dat de besturen van deze instelling met die nalatigheid wegkomen en niet worden aangepakt. Onbegrijpelijk.

Terug naar deze week. Henk Krol wordt aangepakt voor het belichten van een misstand, waarbij Diagnostiek voor U aantoonbaar de wet overtreedt. Het wordt tijd dat de klokkenluiders beschermd gaan worden in Nederland. Laten we dan meteen regelen dat dergelijke besturen die aangifte doen van dit soort ‘overtredingen’, zelf moeten vrezen voor een nachtje of wat in de cel. Dan hebben we oorzaak en gevolg weer binnen normale proporties.