Beheer

Storage
EPD

Back-up heeft datavernietiging bij ziekenhuis niet voorkomen

Verouderd systeem nog opnieuw aangeschaft voor datareddingsoperatie.

© Shutterstock,  Panchenko Vladimir
24 maart 2022

Verouderd systeem nog opnieuw aangeschaft voor datareddingsoperatie.

De per ongeluk overschreven gegevens in elektronische patiëntendossiers bij het Albert Schweitzer ziekenhuis zijn daar niet te redden met back-ups. Een ongelukkige combinatie van ingesteld beleid en late ontdekking heeft herstel onmogelijk gemaakt. Toch zijn er nog wel documenten gered, vertelt de zorginstelling aan AG Connect.

Het Albert Schweitzer ziekenhuis in Dordrecht heeft per ongeluk 513.000 oude documenten uit medisch dossiers verwijderd. Het gaat om één of meer documenten per patiënt en een totaal van 212.000 patiënten. Nieuwere bestanden hebben deze historische gegevens per abuis overschreven, die zijn daarmee permanent verwijderd, meldde het ziekenhuis begin deze week.

Back-up?

Maar de back-up dan, had die geen redding kunnen bieden? De Dordtse zorginstelling geeft AG Connect uitleg waarom dat helaas niet het geval is geweest. "Er was wel degelijk een back-up", antwoordt de woordvoerder van het ziekenhuis. "Helaas is er in dit specifieke geval (met zogenaamde statische data) gekozen om deze zogenaamde 'full back-up' maandelijks te overschrijven, met als gevolg dat ook in onze back-ups uiteindelijk een groot deel van de bestanden is overschreven."

De onterechte datavernietiging is namelijk pas na vele maanden ontdekt. In oktober vorig jaar is gebleken dat de oude data in het archiefsysteem waren overschreven en dat dit al bijna een jaar lang gaande was. De oorzaak was een foute configuratie in het gebruikte systeem van leverancier Chipsoft. Daardoor zijn nieuwe bestanden opgeslagen met bestandsnummers die al in gebruik waren voor oudere, inactieve documenten. De nieuwe data heeft de oude data daardoor overschreven in het archiefsysteem.

Het ziekenhuis heeft in de aanvankelijke bekendmaking van deze week aangegeven dat een en ander pas aan het licht kwam “toen een behandelaar toch nog eens zocht naar een oud document en daartussen een nieuw document tegenkwam”. Tegen de tijd van die ontdekking was de back-up van het archiefsysteem dus al meerdere malen volledig overschreven door een nieuwere versie van de dataset.

Meteen melding bij AP

Meteen na de ontdekking in oktober heeft het ziekenhuis melding gemaakt bij de Autoriteit Persoonsgegevens (AP). Die privacytoezichthouder beschouwt deze datavernietiging als een datalek. Dat is niet omdat de gegevens echt zijn uitgelekt, maar omdat ze op een verkeerde manier zijn verwerkt of op een onjuiste plek terecht zijn gekomen. In dit geval: de prullenbak, waaruit de data niet meer zijn te redden. Datalekken zijn er in verschillende soorten (en maten). Zo valt ook ransomware - wat hier dus niet het geval was - onder de AP-definitie van een datalek, ook als er geen tekenen zijn dat versleutelde data is geëxfiltreerd.

De AP reageert op vragen van AG Connect dat het geen commentaar kan geven op individuele zaken. Het lijkt er vooralsnog echter niet op dat er een AP-onderzoek gaat komen naar dit datalek. De woordvoerder van het ziekenhuis antwoordt: “Wij hebben dit datalek direct vorig jaar na constatering gemeld bij de AP. Daarna aangevuld met een tussentijdse update en een afhandeling van de melding met ons plan van aanpak op gebied van communicatie richting patiënten.”

Tot op heden heeft de zorginstelling geen reactie van de AP ontvangen. De woordvoerder van het Albert Schweitzer reageert optimistisch op vragen over een eventueel onderzoek of boete van de toezichthouder. “Wij hebben zowel de opvolging van het incident als de formele melding richting AP conform de geldende richtlijnen afgehandeld en verwachten daarom geen verdere stappen vanuit de AP.” 

Datareddingswerk

De afhandeling door het ziekenhuis betreft ook nog een poging tot dataherstel. Daarvoor is een gespecialiseerd bedrijf in de arm genomen, maar het meeste werk is intern gedaan. Daarbij zijn alle oude oude archieven en back-ups “minutieus gecontroleerd op zoek naar mogelijke restore-opties”.

De woordvoerder vertelt dat daarmee nog zo'n 75.000 documenten alsnog zijn teruggehaald. “Voor het uitlezen van de tapes met historische data hebben wij zelfs een verouderd back-up systeem / applicatie opnieuw aangeschaft en geactiveerd.” Desondanks zijn meer dan een half miljoen oude stukken uit elektronische patiëntendossiers verloren gegaan.

De betrokken 212.000 patiënten zijn door het ziekenhuis geïnformeerd. Directeur Peter van der Meer biedt excuses aan in zijn melding aan patiënten. Daarbij geeft hij ook uitleg: “De verloren informatie werd in 2017 al niet meer van belang geacht voor uw behandeling. De kans dat er gevolgen zijn voor uw behandeling, is verwaarloosbaar klein. Alleen in bijzondere situaties waarin u in de toekomst uw volledige dossier zou willen opvragen, kunnen wij daaraan helaas niet voor 100% tegemoetkomen.”

Nummerreeks ‘ingehaald’

De directeur stelt ook dat deze fout zich niet had mogen voordoen en dat deze zich niet meer opnieuw kan voordoen. De configuratiefout in het Chipsoft-systeem was kennelijk ‘exclusief’ voor het Albert Schweitzer en speelt niet bij andere klanten. “Dit heeft te maken met de gekozen start van de nummerreeks van de gedigitaliseerde archiefdocumenten.”, aldus de woordvoerder van het ziekenhuis.

In een Q&A geeft de zorginstelling ook een korte uitleg over het probleem, dat is ontstaan door een combinatie van twee fouten. “Toen we miljoenen papieren stukken inscanden omdat we overgingen op een elektronisch patiëntendossier, hebben de scans een eigen serie nummers gekregen. Die nummerreeks is door de leverancier onhandig gekozen, waardoor de nummers van nieuwe, actuele stukken de reeks van de oude stukken op zeker moment hebben ‘ingehaald’ en over de oude heen zijn geschreven”, aldus de Q&A die deels aan AG Connect is verstrekt.

“De tweede fout is dat de historische stukken niet beveiligd waren tegen overschreven worden. Dit had wel gemoeten.” De woordvoerder vult aan dat Chipsoft nu heeft gegarandeerd dat deze inrichting niet bij andere klanten voorkomt. Het communicatiehoofd van die IT-leverancier reageert op vragen van AG Connect met een verwijzing naar de antwoorden die het bewuste ziekenhuis geeft.

Software-update

Naast de garantie die het Albert Schweitzer heeft gekregen dat de gemaakte inrichtingsfout niet bij andere klanten kan voorkomen, is er ook een software-update uitgebracht. Deze correctie is gemaakt naar aanleiding van het per ongeluk vernietigen van data bij het ziekenhuis. De update zorgt ervoor dat het overschrijven van documenten in Chipsofts HiX-database onmogelijk wordt gemaakt. Deze fix is ter beschikking gesteld aan alle klanten.

Het Albert Schweitzer acht het hierom niet noodzakelijk om actief te communiceren richting andere gebruikers van het Chipsoft-systeem. “Wij zullen als ASz [Albert Schweitzer ziekenhuis - red.] nog een uitgebreide melding maken richting Z-CERT, een zorg overkoepelende organisatie op het gebied van security.” AG Connect heeft aan Chipsoft nog aanvullende vragen gesteld of het zicht heeft op het daadwerkelijk doorvoeren van de software-update door klanten.

1
Reacties
petermr 24 maart 2022 16:20

dit is dus weer en voorbeld hoe een archief niet hoort te werken. De lifecycle van documenten is -of niet goed onderzocht, -of niet goed geimplementeerd.
Documenten in een archief horen slechts eenmaal naar het archief verplaatst te worden. Als het toch noodzakelijk is wijzigingen aan te brengen, dan zijn het nog operationele gegevens/documenten.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.