Back-up heeft datavernietiging bij ziekenhuis niet voorkomen

Het ziekenhuis heeft in de aanvankelijke bekendmaking van deze week aangegeven dat een en ander pas aan het licht kwam “toen een behandelaar toch nog eens zocht naar een oud document en daartussen een nieuw document tegenkwam”. Tegen de tijd van die ontdekking was de back-up van het archiefsysteem dus al meerdere malen volledig overschreven door een nieuwere versie van de dataset.

Meteen melding bij AP

Meteen na de ontdekking in oktober heeft het ziekenhuis melding gemaakt bij de Autoriteit Persoonsgegevens (AP). Die privacytoezichthouder beschouwt deze datavernietiging als een datalek. Dat is niet omdat de gegevens echt zijn uitgelekt, maar omdat ze op een verkeerde manier zijn verwerkt of op een onjuiste plek terecht zijn gekomen. In dit geval: de prullenbak, waaruit de data niet meer zijn te redden. Datalekken zijn er in verschillende soorten (en maten). Zo valt ook ransomware - wat hier dus niet het geval was - onder de AP-definitie van een datalek, ook als er geen tekenen zijn dat versleutelde data is geëxfiltreerd.

De AP reageert op vragen van AG Connect dat het geen commentaar kan geven op individuele zaken. Het lijkt er vooralsnog echter niet op dat er een AP-onderzoek gaat komen naar dit datalek. De woordvoerder van het ziekenhuis antwoordt: “Wij hebben dit datalek direct vorig jaar na constatering gemeld bij de AP. Daarna aangevuld met een tussentijdse update en een afhandeling van de melding met ons plan van aanpak op gebied van communicatie richting patiënten.”

Tot op heden heeft de zorginstelling geen reactie van de AP ontvangen. De woordvoerder van het Albert Schweitzer reageert optimistisch op vragen over een eventueel onderzoek of boete van de toezichthouder. “Wij hebben zowel de opvolging van het incident als de formele melding richting AP conform de geldende richtlijnen afgehandeld en verwachten daarom geen verdere stappen vanuit de AP.” 

Datareddingswerk

De afhandeling door het ziekenhuis betreft ook nog een poging tot dataherstel. Daarvoor is een gespecialiseerd bedrijf in de arm genomen, maar het meeste werk is intern gedaan. Daarbij zijn alle oude oude archieven en back-ups “minutieus gecontroleerd op zoek naar mogelijke restore-opties”.

De woordvoerder vertelt dat daarmee nog zo'n 75.000 documenten alsnog zijn teruggehaald. “Voor het uitlezen van de tapes met historische data hebben wij zelfs een verouderd back-up systeem / applicatie opnieuw aangeschaft en geactiveerd.” Desondanks zijn meer dan een half miljoen oude stukken uit elektronische patiëntendossiers verloren gegaan.

De betrokken 212.000 patiënten zijn door het ziekenhuis geïnformeerd. Directeur Peter van der Meer biedt excuses aan in zijn melding aan patiënten. Daarbij geeft hij ook uitleg: “De verloren informatie werd in 2017 al niet meer van belang geacht voor uw behandeling. De kans dat er gevolgen zijn voor uw behandeling, is verwaarloosbaar klein. Alleen in bijzondere situaties waarin u in de toekomst uw volledige dossier zou willen opvragen, kunnen wij daaraan helaas niet voor 100% tegemoetkomen.”

Nummerreeks ‘ingehaald’

De directeur stelt ook dat deze fout zich niet had mogen voordoen en dat deze zich niet meer opnieuw kan voordoen. De configuratiefout in het Chipsoft-systeem was kennelijk ‘exclusief’ voor het Albert Schweitzer en speelt niet bij andere klanten. “Dit heeft te maken met de gekozen start van de nummerreeks van de gedigitaliseerde archiefdocumenten.”, aldus de woordvoerder van het ziekenhuis.

In een Q&A geeft de zorginstelling ook een korte uitleg over het probleem, dat is ontstaan door een combinatie van twee fouten. “Toen we miljoenen papieren stukken inscanden omdat we overgingen op een elektronisch patiëntendossier, hebben de scans een eigen serie nummers gekregen. Die nummerreeks is door de leverancier onhandig gekozen, waardoor de nummers van nieuwe, actuele stukken de reeks van de oude stukken op zeker moment hebben ‘ingehaald’ en over de oude heen zijn geschreven”, aldus de Q&A die deels aan AG Connect is verstrekt.

“De tweede fout is dat de historische stukken niet beveiligd waren tegen overschreven worden. Dit had wel gemoeten.” De woordvoerder vult aan dat Chipsoft nu heeft gegarandeerd dat deze inrichting niet bij andere klanten voorkomt. Het communicatiehoofd van die IT-leverancier reageert op vragen van AG Connect met een verwijzing naar de antwoorden die het bewuste ziekenhuis geeft.

Software-update

Naast de garantie die het Albert Schweitzer heeft gekregen dat de gemaakte inrichtingsfout niet bij andere klanten kan voorkomen, is er ook een software-update uitgebracht. Deze correctie is gemaakt naar aanleiding van het per ongeluk vernietigen van data bij het ziekenhuis. De update zorgt ervoor dat het overschrijven van documenten in Chipsofts HiX-database onmogelijk wordt gemaakt. Deze fix is ter beschikking gesteld aan alle klanten.

Het Albert Schweitzer acht het hierom niet noodzakelijk om actief te communiceren richting andere gebruikers van het Chipsoft-systeem. “Wij zullen als ASz [Albert Schweitzer ziekenhuis - red.] nog een uitgebreide melding maken richting Z-CERT, een zorg overkoepelende organisatie op het gebied van security.” AG Connect heeft aan Chipsoft nog aanvullende vragen gesteld of het zicht heeft op het daadwerkelijk doorvoeren van de software-update door klanten.