Een vrouw uit Chicago heeft een collectieve rechtszaak aanhangig gemaakt tegen een zorgbedrijf voor het verlies van onversleutelde medische gegevens. Van de zomer werden vier pc’s gestolen waar de gegevens van in totaal zo’n vier miljoen patiënten opstonden. De digitale, lokaal opgeslagen archieven gingen terug tot begin jaren 90.

Wel wachtwoord, geen versleuteling

Omdat het zorgbedrijf geen basale beveiliging gebruikte en de gegevens niet met encryptie heeft beschermd, vindt de vrouw dat het zorgbedrijf Advocate Medical Group verwijtbaar is voor het dataverlies. Andere patiënten kunnen zich bij de zaak voegen als de rechtbank de aanklaagster ontvankelijk verklaart.

De computers zijn wel beveiligd met een wachtwoord, maar de data zijn eenvoudig toegankelijk. Het gaat daarbij om persoonsgegevens als namen, adressen, sofi-nummers, diagnoses, nummers van medische dossiers, zorgverzekeringsinformatie en codes van medische diensten. Volledige medische dossiers zijn niet opgeslagen.

Zonder de versleuteling, liggen de persoonsgegevens voor het oprapen. Met deze gegevens is identiteitsfraude eenvoudig en dat gebeurt dan ook vaak in de VS, blijkt ook uit onderzoek (PDF) en instellingen hebben bovendien niet goed door waarom dat gebeurt. Bovendien is uit de informatie goed op te maken wat de patiënt onder de leden had en heeft.

Miljoenenboetes voor EPD-verlies

In de VS is in 2009 een meldplicht ingevoerd waarbij zorginstellingen worden verplicht dataverlies openbaar te maken en klanten in te lichten. Door deze meldplicht bleek de afgelopen jaren al meerdere malen dat veel instellingen onzorgvuldig omspringen met deze gegevens en worden er ieder jaar miljoenen EPD’s gestolen.

Het verlies van de vier miljoen gegevens van Advocate is het op één na grootste dataverliesincident in de Amerikaanse zorgwereld, weet de Chicago Tribune te melden. Sinds de wet HIPAA in 1996 is ingevoerd moet de zorgsector voldoen aan richtlijnen om gegevens te beveiligen. De overheid dwingt compliance de laatste jaren steeds harder af, onder meer door miljoenenboetes uit te delen aan instellingen die de regels aan hun laars lappen.