Wie dekt de miljarden euro’s aan schadeclaims voor het EPD?
Vrijdag doet de rechter uitspraak in de strafzaak tegen Henk Krol. Dan weten we meteen of we een prijskaartje aan het Elektronisch Patiëntendossier (EPD) kunnen hangen.Dan ligt namelijk ook de vraag op tafel of hij de patiënten van wie de gegevens zijn ingezien een schadevergoeding moet betalen. Eindelijk wordt er misschien een prijskaartje aan het EPD gehangen.
De zaak draait om de slecht beveiligde server van het medisch laboratorium Diagnostiek voor U in Brabant. Het systeem gaf wel erg eenvoudig toegang tot veel medische gegevens. Krol toonde het probleem aan en bekeek tijdens het proces een aantal dossiers.
Schadevergoeding
Volgens de organisatie een schandalig handelen van de 50Plus-voorman en daar hoort een schadevergoeding tegenover te staan. Een aantal patiënten werd door Diagnostiek voor U benaderd met de vraag of ze ook geld wilden. Wat u daar ook van mag vinden: voor mij is dit bijster interessant.
Al jaren worstel ik met de vraag wat nou de economische waarde van een privacy-inbreuk is. Toon de schade maar aan als het eigenlijke probleem van het stelen of bekend worden van gegevens soms pas jaren later materialiseert door bijvoorbeeld identiteitsdiefstal, een chantagepoging of een geweigerde dienstverlening.
Krol opende dossiers, printte ze uit, maakte de informatie niet meer herleidbaar tot de persoon en trad daarmee naar buiten. Ogenschijnlijk zorgvuldig, maar wel schadelijk stelt Diagnostiek voor U.
Miljardenwaarde
Volgens de advocaat bij de rechter kon er weinig discussie zijn dat de ontstane schade minimaal 100 euro is. Daarmee hangt de jurist – volgens mij voor het eerst – eindelijk een financieel kaartje aan de waarde van het inkijken en geanonimiseerd naar buiten brengen van een dossier. Daadwerkelijk lekken zou dus veel meer schade berokkenen.
Beveiligingsproblemen zijn hiermee meetbaar geworden en volgens deze maatstaf levert de hack van Zembla bij Humannet een maatschappelijke schade op van 30 miljoen euro. Bij het Groene Hart Ziekenhuis geldt dat de schade van een half miljoen namen die toegankelijk zouden zijn geweest in de tientallen miljoenen loopt. Dat is best veel geld, en benadert de halfjaaromzet van de ziekenhuisgroep.
Dat komt omdat beveiligingsproblemen doorgaans meteen over grote getallen gaan. Een fysiek dossier kun je stelen, maar veel dossiers op hetzelfde moment nauwelijks. Digitaal past het op een draagbare harde schijf.
Verzekering dekt de schade
Maar belangrijker is dat we eindelijk weten waarvoor we het landelijk EPD in totaal moeten verzekeren: minimaal 1,7 miljard euro. Maar met het risico op écht uitlekken (wat Henk Krol niet heeft gedaan omdat hij het anonimiseerde) misschien wel een veelvoud daarvan. Welke verzekeraar wil dat risico goed afdekken in het besef dat het nog wel eens verkeerd gaat bij de meest verschillende zorginstellingen? Als minister Edith Schippers daar een beeld bij heeft dan hoor ik dat graag.
