Softwarebedrijf schond jarenlang medisch beroepsgeheim zeker 72.000 Nederlanders

Follow the Money stelt na eigen onderzoek dat het Nederlandse zorg-ict-bedrijf Medworq jarenlang het beroepsgeheim van zeker 35 huisartsen schond door dossiers van minstens 72.000 Nederlanders onversleuteld en niet gepseudonimiseerd in huis te hebben, met toegang voor velen, inclusief farmabedrijven.

Medworq zou de data bemachtigd hebben via verschillende wegen. Hoofdzakelijk ging dat via het Insider-dashboard voor huisartsen, ontwikkeld door Medworq. Dat kunnen huisartsen gebruiken om hun patiëntendata te vergelijken met die van soortgelijke gevallen bij andere praktijken. Het doel hiervan is het beter kunnen diagnosticeren van de patiënten, wat zorg efficiënter en goedkoper maakt. Onduidelijk is hoeveel praktijken dit systeem gebruiken. Patiëntendossiers zijn onder de wet zeer streng beschermd.

Kopieën van patiëntendata waren naar aanleiding van het gebruik van dit systeem aanwezig bij het softwarebedrijf. Deze kopieën waren volgens onderzoek van Follow the Money, interne documenten en verklaringen van oud-werknemers niet gepseudonimiseerd. De directie van Medworq spreekt dat tegen. Ook beweren ze dat in de vroege zomer van 2020 alle gegevens vernietigd zijn. Het bedrijf is nu nagenoeg failliet.

Een belangrijke bron van Follow the Money is een klokkenluider. Die benaderde het medium met een harde schijf van het bedrijf in zijn bezit. Daarop stond een kopie van de data die Medworq op een werklaptop had staan, alsmede interne documenten van het bedrijf. De klokkenluider wilde wat doen aan de 'grote schaal waarop de privacy van patiënten werd geschonden' bij Medworq. Een developer schreef in een interne memo dat de servers van Medworq 'vol stonden met echte medische dossiers, waarvan niemand meer wist waar die vandaan kwamen'.

Niet alleen binnen Medworq was de data schijnbaar vrij toegankelijk voor veel, zo niet alle, werknemers. Financierders en opdrachtgevers van de Insider-software konden er ook bij. Farmagigant GlaxoSmithKline was daarvan de grootste, maar onder andere de farmabedrijven Amgen, NovoNordisk en Boehringer Ingelheim stonden ook in dat rijtje. Allemaal hadden ze Insider-gebruikersaccounts. GSK was 'met stip' de grootste financierder en heeft op enig moment een kopie van Medworqs complete database meegenomen.

Voordat de klokkenluider bij FTM aanklopte, ging deze persoon, tevergeefs, eerst naar het ministerie van Volksgezondheid, de Militaire Inlichtingen- en Veiligheidsdienst en de politie. Waarom de Autoriteit Persoonsgegevens niet in dat rijtje staat, is niet duidelijk.

Het klokkenluiden vormt op zichzelf ook een datalek. Daarover is Medworq op de hoogte gesteld dankzij een telefoontje van de MIVD. Medworq deed meteen aangifte van diefstal. De werknemer in kwestie vertrok in 2019 en in 2020 werd Medworq op de hoogte gesteld van het datalek dat de klokkenluider vormde. Wat precies de motivatie van de MIVD in deze zaak was, is niet duidelijk. Medworq claimt verder de getroffen huisartsenpraktijken op de hoogte gesteld te hebben, maar navraag van FTM wijst uit dat geen van de 35 bij hun bekende getroffen huisartsen dan wel praktijken gecontacteerd zijn door Medworq.

Medworq distantieert zich van het artikel van FTM en stelt dat 'geen goed beeld wordt geschetst van hoe Medworq met persoonlijke gegevens van patiënten omging'. Het onderzoeksverslag van FTM is zeer omvangrijk en het medium heeft om het verhaal beter inzichtelijk te maken, ook een video ervan gemaakt. FTM werkt ook aan deel twee van dit verhaal, waarin ze vertellen 'hoe Medworq miljoenen kreeg om in opdracht van farmabedrijven een medische dataverzameling aan te leggen – en wat er vervolgens gebeurde'.

In deze video vat Follow the Money dit omvangrijke verhaal zelf kort samen

Door Mark Hendrikman

Redacteur

26-06-2022 • 13:41

231 Linkedin

Submitter: DeComponeur

Reacties (226)

Wijzig sortering
Ik vraag mij af of de huisartsen hier ook enige blaam treft. Zij voeren immers privacy gevoelige gegevens in een systeem terwijl ze niet weten wat ermee gebeurt.

Het bedrijf Medworq ziet de bui al hangen en verklaart zichzelf failliet. Hadden ze dat niet gedaan dan had de boete die ze krijgen van de AP daar wel voor gezorgd. De eigenaren hebben waarschijnlijk al het vermogen weggesluisd en de curator zal hier goed naar moeten kijken.
Voordat de klokkenluider bij FTM aanklopte, ging deze persoon, tevergeefs, eerst naar het ministerie van Volksgezondheid, de Militaire Inlichtingen- en Veiligheidsdienst en de politie. Waarom de Autoriteit Persoonsgegevens niet in dat rijtje staat, is niet duidelijk.
Ben ik de enige die denk, naast vervolging van Medworq dient er een zeer diepgravende analyse te komen van wederom onze falende overheid.

Er zijn hier mensen wederom flink in gebreken gebleken. Ook hier horen koppen te rollen.
Voor dat je een overheid weer de schuld geeft. Pak dan eerst even de laatste zin aan. Die persoon heeft het naar alle plekken gebracht, behalve de plek die er voor verantwoordelijk is. De autoriteit persoonsgegevens. De overige diensten zijn daar niet voor bedoeld. Ik kan mijn wasgoed ook naar de autogarage brengen. Het resultaat daarvan zal echter twijfelachtig zijn.

Als er koppen moeten rollen dan zal dat eerder bij medworq zijn dan elders. Je moet als arts een dataverwerkingsovereenkomst hebben met medworq, heb je dat, dan ben je klaar. Je mag verwachten dat zo een bedrijf zich daar aan houd. Ook de derde partijen die toegang hadden, hadden moeten weten dat die toegang niet OK was.

[Reactie gewijzigd door bzuidgeest op 27 juni 2022 09:55]

AP functioneert ook nagenoeg niet, omdat ze veel te weinig capaciteit hebben voor alle taken die ze te vervullen hebben. Ze gaan alleen achter de grootste zaken aan, omdat ze simpelweg niet meer kunnen. Dat op zichzelf is een falen van de overheid (of liever gezegd, kabinetsbeleid in de vorm van onderfinanciering van AP).
Eigenlijk zouden we gezien de situatie toch eens moeten kijken naar de optie om de AP zelf-financierend te maken via boetes ipv deze direct naar de schatkist terug te laten vloeien. Het is mss. een "perverse prikkel" - maar de huidige situatie waar men effectief gewoon vleugellam is, is ook niet wenselijk.
Leuk, dan worden dadelijk alleen kapitaalkrachtige overtreders aangepakt...
Want dat is op het moment anders? Nu gaan ze ook voor de hoogvliegers, heh? Omdat daar het snelst de meeste winst te halen is. Op 'alle kleintjes' zit nou eenmaal een stuk meer procesmatige overhead dan op 'een paar grote.'
Ik denk dat als mensen kunnen kiezen tussen meer geld naar onderwijs of zorg, of naar het AP. Dat het AP het aflegt. Men vind privacy en data bescherming heel belangrijk, totdat het geld kost.
Als mensen kunnen kiezen dan zouden we naar 3 ministeries luisteren die allemaal zeiden dat 8,5 miljard euro in de onderwijssector dumpen een heel slecht idee is voor corona steun en achterstanden, omdat het een sector is waar vooral beschikbaarheid van personeel al jaren de uitdaging blijft. Structurele investeringen: ja graag voor opleidingen en aantrekkelijk maken van de sector, nu geld dumpen: nee.

Dan had je daar zo al 5-6 miljard euro kunnen besparen. 1 miljard extra is zomaar genoeg om het AP maar liefst 20 jaar lang prima haar taken te kunnen laten uitvoeren, had je voor de rest wat in kernfusie onderzoek of getijden/golfslag energiecentrales kunnen investeren bijvoorbeeld.

In de zorg zijn zulke bedragen helaas een druppel op een gloeiende plaat. Daar gaat nu al tientallen miljarden per jaar in om, en dat blijft maar stijgen ook. Het structurele probleem daar is te groot om met een paar miljard op te lossen, daar moet naar het hele stelsel gekeken worden.
Tuurlijk altijd de verantwoordelijke eerst. Dat is medworq zonder enige twijfel.

Alleen als je bij de overheid aanklopt moeten ze er ook iets mee doen. Dat kan ook zijn reageren ga naar het AP toe. Maar niet reageren is geen optie bij dergelijke belangrijke meldingen.
Misschien is dat ook wel gedaan. We weten de reden dat men niet naar het AP is gegaan niet.
Inderdaad. Je hebt als overheid een taak, dat is je bevolking te beschermen - ook digitaal. Dat doe je o.a. door in te zetten op strenge wetgeving en daarnaast ook op het bestraffen van overtredingen van deze wetgeving en dus goede strefrechtelijke vervolging.

Geld boetes, zijn 1 ding, maar stel ook direct verantwoordelijk/opdrachtgevers persoonlijk aansprakelijk.
Dat laatste gaat nooit gebeuren het boete model is te lucratief voor overheden, daarnaast zijn al die controle organen, toezichthouders en commissies mooie baantjes voor de vriendjes van…, helaas blijft de goedgelovige mens maar naief.
Als dat zo is dan zal het vertrouwen in de overheid meer en meer afnemen, zullen kiezers meer en meer stemmen op (vaak omschreven als populistische) partijen aan de zijlijnen van het politieke spectrum, losstaande of ze de beloftes waar kunnen maken.
Lets hope so, niet dat ik dat soort partijen graag aan het roer zou zien maar het zal in ieder geval een flink signaal afgeven aan de partijen die niet meer te vertrouwen zijn, vanaf Balkenende 1 zitten we namelijk al met de zelfde kliek, helaas denk ik dat de kiezer naïef en goedgelovig blijft.
Bedrijven (dus ook huisartsen) die een cloud dienst afnemen zijn verplicht een DPIA uit te voeren en een verwerkersovereenkomst af te sluiten. De DPIA gaat extra in op de verwerking van bijzondere persoonsgegevens zoals medisch identificeerbare informatie. Als je zelf de kennis niet hebt om een goede DPIA uit te voeren dan kan je dat natuurlijk ook laten doen of een gezamenlijke DPIA uitvoeren.
Anonimiseren en (als dat niet kan) pseudonimiseren zijn verplicht binnen de AVG (privacy by design en privacy by default) tenzij je daardoor het uiteindelijke doel niet meer kan bereiken. Voor het vergelijken van patientprofielen zou pseudonimisering feitelijk een prima methode zijn.
Lees dan het volledige artikel van FTM, het lijkt wel of het ze allemaal niets kon schelen. Anders deel je niet allerlei gevoelige gegevens alsof het strooigoed is.
Dat is niet het enige bedrijf ik ken er nog wel een paar, probleem met dit soort bedrijven; ze zeggen allemaal dat het op de roadmap staat (encryption) en vervolgens ben je weer 2 jaar verder. Vinkje wordt al gezet pakket wordt aangeschaft. Ik zie dit in veel audits data alleen versleuteld in transit. geen goeie processen gedefinieerd betreft acces management. De rest volgt vanzelf.

[Reactie gewijzigd door Skywalker27 op 27 juni 2022 08:06]

De huisartsen treft geen blaam denk ik. Die gaan in zee met een bedrijf dat waarschijnlijk alle juiste papieren en bewerkers overeenkomsten heeft getekend. Als ze dan op de achtergrond niet doen wat ze beloven dan is de huisarts net zo goed opgelicht. De huisarts is geen programmeur en kan niet van verwacht worden dat deze het bedrijf, de bedrijfscultuur en software kan gaan doorlichten. Anders had de huisarts het zelf wel gemaakt.

Je moet een verwerkersovereenkomst hebben. Daar buiten als een bedrijf zich daar niet aan houd is gewoon strafbaar, gewoon oplichting.
In het kader van WiFi tracking binnen gemeente Enschede werd besloten dat de gemeente aansprakelijk was, althans, zij kregen de boete van de AP. Dit vind ik vergelijkbaar. De gemeente Enschede en nu dan de huisartsen zullen wel een vordering op de betrokken bedrijven hebben nu, maar de AP zal vermoedelijk de huisartsen aansprakelijk stellen, eventueel inclusief boetes als het ooit zo ver komt.
Persoonlijk vind ik het wel dubieus; zoals je aangeeft zijn huisartsen geen programmeurs (net zo min als Enschede) en blijkbaar moet je dus een derde partij in de arm nemen om de cybersecurity van je beoogde partij te checken, maar mag je er dan vanuit gaan dat die derde partij wel te goeder trouw is? Of moet je zelf de specialisten in huis hebben?
Als je niet meer van goeder trouw uit kunt gaan, moet je voor alles specialisten in huis hebben, van de ICT, tot de verwarming, tot de koffie die je koopt. Als je het voor andere dingen niet hoeft dan is ICT niet anders. Het is een dienst die je afneemt. Tenzij je redelijk duidelijk signalen krijgt die voor een leek zijn te interpreteren, is er geen andere optie.
Persoonlijk vind ik het wel dubieus; zoals je aangeeft zijn huisartsen geen programmeurs (net zo min als Enschede) en blijkbaar moet je dus een derde partij in de arm nemen om de cybersecurity van je beoogde partij te checken, maar mag je er dan vanuit gaan dat die derde partij wel te goeder trouw is? Of moet je zelf de specialisten in huis hebben?
De verwerkingsverantwoordelijke moet een dataverwerkingsovereenkomst aangaan met een verwerker waarin vastgelegd wordt wat de standaarden zijn waaraan de verwerker zich gaat houden. Zo'n overeenkomst moet wettelijk aan een aantal voorwaarden voldoen waarmee veilige verwerking gegarandeerd zou moeten zijn.

Daarnaast is het zo dat de verwerker een zorgplicht heeft en gehouden is de verantwoordelijke onmiddelijk te informeren als een instructie die zij de verwerker geven, volgens de verwerker zou leiden tot een inbreuk op de artikelen van de AVG.
In het artikel staat ook dat de huisartsen wel de overeenkomst ooit hadden getekend, en vervolgens zich niets meer herinnerden van MedWorq, en aannamen (cruciaal woord in dezen) dat de gegevens wel vernietigd waren. Daarnaast is gegevens even zelf overdragen (actieve actie van de huisarts) ook een interessante bezigheid, zeker als een medewerker van een externe partij dat dan even op z'n harde schijfje zet. Grote fout zit uiteraard bij MedWorq, maar blijkbaar wordt er ook niet heel goed bijgehouden met wie er tot wanneer een verwerkingsovereenkomst loopt.
Wellicht is actief overdragen via een beveiligde portal of andere link geweest. Dat het intern bij medworq dan naar een losse schijf is gezet kan de arts dan niet weten. Wellicht was het zelfs binnen dat bedrijf tegen beleid of illegaal. Maar er is altijd een beheerder ergens die er bij kan.
Was het maar zo'n feest... Uit het artikel:
Bij het uitspoelen haalden de huisartsen eerst de medische dossiers uit hun eigen informatiesysteem en zetten die op hun lokale harde schijf.
Daarna kopieerde een medewerker van Medworq die naar de servers van het bedrijf. Vervolgens moest Medworq die lokale dossiers bij de huisarts verwijderen: ze stonden immers buiten de beveiligde omgeving van het huisarts-informatiesysteem. Maar dat gebeurde vaak niet.
Tja... dat voelt voor mij heel erg amateuristisch aan, gewoon even uitspoelen en opsturen, liefst met een hele berg dossiers tegelijk. Daarna verloor de huisarts dus het overzicht, want er was niks gepseudonymiseerd. Echter is die huisarts wel verantwoordelijk voor wat ermee gebeurt, dus dat kan een juridisch staartje hebben.

Daarnaast heeft dit een politiek staartje, we hebben destijds het grote Landelijke EPD afgeschoten, daar is toen het LSP uit voortgekomen, met als belangrijkste verschil dat data bij de huisarts (of zijn gekozen IT-partij) blijft staan. Daarnaast moet je een UZI-nummer hebben om uberhaupt gegevens op te mogen vragen, en wordt dat gelogd, dus bij (mogelijk) misbruik kun je dat na laten trekken. Als er nu blijkt dat er alsnog gerotzooid wordt met gegevens zijn mensen nog minder geneigd om gegevens te laten delen, ook als dat wel nuttig is. Een soort reflex, maar wel 1 die je kunt zien aankomen.

PS. ja er kan altijd een beheerder (vaak meerdere) bij alle data, that's life. Als het goed is heeft die beheerder ook een fikse geheimhoudingsclausule in z'n contract, en is ie gescreened.

[Reactie gewijzigd door FreezeXJ op 27 juni 2022 16:36]

Dat is dan uit het FTM artikel, want in deze kan ik die quote niet vinden. Ik ga bij mijn opmerkingen uit van wat ik uit dit artikel kan halen.

Wat je omschrijft kan natuurlijk niet anders dan amateuristisch worden genoemd. Als je niet normaal kunt aanhaken, dan heb je mogelijk gewoon die rechten niet. Maar het kan zijn dat het systeem geen betere export kent. Ik doe veel met koppelingen tussen systemen en een verbazende hoeveelheid applicaties heeft geen fatsoenlijke API's, als ze al een API hebben. De meeste zijn gewoon als je toegang hebt kun je bij alles.

Persoonlijk vind ik dat het EPD is afgeschoten nog steeds een misser. Data delen tussen medische professionals is nu veel te onhandig en foutgevoelig, maar dat is een andere discussie :)
Dit is een vaste groep huisartsen, die steeds voor een paar behoorlijk wat centen aan allerlei onderzoeken meewerken, waarbij de gewenste uitkomst vaak vooraf vast staat.
Het bedrijf Medworq ziet de bui al hangen en verklaart zichzelf failliet.
Zo werkt dat niet. Faillisemenet wordt door de rechter uitgesproken, en die benoemt ook de curator.

Een faillisement voorkomt in zoverre een boete van het AFM dat na afwikkeling van het faillisement het bedrijf niet meer bestaat. Het is niet zo dat het bedrijf "onder de boete uitkomt", er is simpelweg geen bedrijf meer dat vervolgd kan worden. De AP procedure eindigt al veel eerder dan bij de strafoplegging.\. Het AP moet beginnen met de vraag "wat is er gebeurd", en de tweede vraag is "wie heeft het gedaan". Dan is de derde vraag "is die persoon nog in leven, cq. bestaat het bedrijf nog". Het AP komt dus niet eens in de fase van het verzamelen van bewijsmateriaal - tenzij er een persoonlijk verwijt aan een bestuurder gemaakt kan worden.
Zo gaat dat in de zorg. Een pakket wordt verkocht aan een zorgverlener die een mooi plaatje voorgeschoteld krijgt, maar geen idee heeft dat het programma waar hij mee werkt eigenlijk een website met een database "in de cloud" is. Kunnen hartstikke goede dokters zijn, maar tegelijk enorme digibeten. Al vinden ze dat van zichzelf nooit. Maar de zorgverlener is uiteindelijk gewoon verantwoordelijk voor de patiëntgegevens.
Voor de volledigheid en wat het waard is...
Medworq claimt dat zij niets fout hebben gedaan maar dat de betreffende klokkenluider (die in dienst was als potentieel opvolger van de Chief Information Security Officer (CISO)) de data heeft gestolen en verspreid.
En de rest van het artikel ontkennen ze ook.

Ik kan me niet voorstellen waarom iemand dat zou doen als er niets aan de hand was...
de schijf had uberhaupt al niet gemaakt mogen/ kunnen worden.
Dat ligt er maar aan.
Dat een information security officer meer rechten heeft dan een normale werknemer is goed te verdedigen. Dat die data kan exporteren naar een externe disk of usb stick is ook te verdedigen. (en wellicht is hij zelf de persoon die daar de monitoring op doet)

Wat ik wel dubieus vind is in hoeverre je kan verdedigen dat een security persoon toegang heeft tot de inhoud van medische dossiers. Dat lijkt me een stuk moeilijker.

Maar zonder kennis van de situatie en wat voor data het nou precies over gaat, is dat ook maar gissen.
Je snapt niet wat hij zegt hiermee; Medworq had deze data niet mogen hebben.
En ja, dat is een feit:
Alleen de huisarts zelf mag de data van de patiënt hebben (lokaal), door deze data (via de gebruikte software) aan Medworq te verstrekken is het medisch beroepsgeheim geschonden.

Het hele 'ICT/security/diefstal door oud medewerker' verhaal is überhaupt alleen maar mogelijk geworden vanwege het compleet lak hebben aan regels omtrent omgang met gegevens van patiënten in eerste instantie, daar zit het probleem, de rest is gevolgen en bijzaken...
Je doet wel heeeeel veel aannames over wat tweaknico bedoelt :)

Op die manier waarop jij het brengt zouden de huisartsen dan net zo schuldig zijn als Medworq?
De aananmes zijn vrij correct....
- De data had er al niet mogen zijn.... ZEKER niet beschikbaar voor derden als er al een specifiek gebruiks doel voor een los feit was.

- Over de "schuld" van de huisartsen is iets meer te zeggen....Als Medworq in contracten zegt dat alleen item X uit bestand Y gehaald wordt voor ge agregeerde anonieme verwerking..., maar een heel bestand overhaalt is dat gewoon contract breuk... en AP melding waardig.
Als een huisarts alle rechten op data weggetekend heeft, " Overeenkomst: TL;DR" , zoals de meeste mensen met de eindgebruikers contracten met FB & Google doen treft de huisarts wel blaam.

En als er mensen (ook de auditor, security officer etc.) door data grasduinen dan hoort dat gelogd en gemeld te worden bij Securitu Officer, Directie, Vertrouwnes Personen oid. Het zou ook onwisbaar vastgelegd moeten worden, zodat een auditor het later ook onder ogen krijgt.

[Reactie gewijzigd door tweaknico op 28 juni 2022 00:01]

op security.nl heeft iemand gereageerd die claimt een van de huisartsen te zijn en dat gaf niet zo'n best beeld.
Maar geen bewijs dat die persoon ook echt een van de huisartsen is.
https://www.security.nl/p...edische+data+Nederlanders
...
Als een huisarts alle rechten op data weggetekend heeft, " Overeenkomst: TL;DR" , zoals de meeste mensen met de eindgebruikers contracten met FB & Google doen treft de huisarts wel blaam.
...
Geen jurist, maar dat kan denk ik helemaal niet. Dat je als arts patientdata legaal verkoopt.
Dat denk ik ook niet... maar legaal of niet, hoeveel mensen lezen een overeenkomst of zijn alleen maar enthousiast over mogelijk te behalen resultaten zonder te beseffen wat er weg getekend wordt....
Ik denk dat de populariteit van Whats App genoeg zegt.
Hoeveel mensen hebben IEDEREEN in hun contacten lijst om toestemming gevraagd of er bezwaar was tegen delen met WhatsApp... iedere WA gebruiker heeft gezegd dat ze die toestemming hebben..., ik zou die toestemming NIET geven, dan verwijder je me maar uit je contact lijst als je zo graag WA wil...
Op die manier waarop jij het brengt zouden de huisartsen dan net zo schuldig zijn als Medworq?
Klopt helemaal.
Uit rancune.

Maar FTM heeft er nader onderzoek naar gedaan en er klopt niets van hun bewering.
Tsja, het 'vanuit Medworq' bekijken is sowieso complete onzin...
Het vanuit de 72.000 patiënten bekijken is hier de enige juiste benadering. Waarom? Omdat Medworq 100% zeker bij het lekken van patiëntengegevens betrokken is natuurlijk!

- de huisartsen mogen de gegevens niet verstrekken aan zoiets als wat Medworq is, die zitten fout
- Medworq mag de gegevens niet verwerken/opslaan/doorgeven/etc., die zitten fout
- de farmaceuten (moeten) weten waar de data vandaan komt en zitten dus ook fout...

Bij alles wat de 3 bovenstaande partijen te zeggen hebben over deze zaak moet je er vanuit gaan dat het is om 'te redden wat er te redden valt' in de nasleep van deze clusterf#ck die ze zelf hebben veroorzaakt.

En inderdaad @tweaknico , de schijf had uberhaupt al niet gemaakt mogen/ kunnen worden.

[Reactie gewijzigd door HuisRocker op 27 juni 2022 11:00]

Zet eens de kans tegen elkaar af dat:

Eén ontevreden werknemer een mooi verhaal maakt

vs

1- Medworq een puinhoop is en hun hele business gebaseerd is op iets dat wettelijk niet toegestaan is
2- de externe auditor zijn werk niet heeft gedaan
3- tientallen huisartsen willens en wetens fout zitten
4- meerdere farma's heel erg fout zitten en miljarenden boetes riskeren.

Ik heb FTM best hoog zitten, maar zoals het nu gesteld word klinkt het wel erg onwaarschijnlijk.

Ik denk dat wanneer we alle informatie hebben we er achter komen dat:
Het business model van Medworq wel legaal is.
de externe auditor zijn werk heeft gedaan
die huisartsen niks fout hebben gedaan
De farmas alleen geanonimiseerde data hebben gekregen
De ontevreden werknemer nogal overtrokken reageerde op beveiliging die mooier had gekund, maar niet heel slecht was.
@1: Hierin is Medwork ook niet alleen, er zijn meer bedrijven die proberen een loopje met de GDPR te nemen. En het zijn zeker niet de kleinste bedrijven in de wereld.
@2: Welke opdracht had de auditor.....? Wat is aan de auditor getoond.
@3: willens en wetens fout, of een rad voor ogen gedraaid... iets in een contract zetten en iets anders doen is feitelijk contractbreuk bij medworq niet direct een foute huisarts.., mogelijk wel een naive huisarts... net zoals 3/4 van Nederland vrij naief is over FB, Google, etc.
@4: het zou niet de eerste keer zijn dat Pharma met de hand in de cookie pot gepakt is...

In het audit rapport zouden ook de beperkingen moeten staan die de auditor tegengekomen is, of wat er niet onderzocht is.
3- tientallen huisartsen willens en wetens fout zitten
Tsja, jij kunt het je misschien niet voorstellen (o.i.d.) maar dit is gewoon een feit, en daar begon alle ellende mee.
Dat feit op zichzelf kan ik me wel voorstellen. Het is de combinatie van alle 4 die ik nogal onwaarschijnlijk vind.
Ik kan me niet voorstellen waarom iemand dat zou doen als er niets aan de hand was...
Ik kan me net zo min voorstellen dat meerdere farma bedrijven miljarden boetes zouden riskeren voor deze data.

En dat een bedrijf als medworq intern een zooitje is kan ik me nog wel voorstellen. Maar dat een externe NEN auditor dat niet in de gaten heeft is al veel minder waarschijnlijk.
Auditing is vaak een papieren proces... dus als documentatie en datgene wat zichtbaar is overeen komen dan is het OK.
Als de NEN auditor ook de gehele codebase door akkert en vaststeld dat die codebase ook werkelijk in productie is en er GEEN ansdere codebase op andere systemen beschikbaar is met extra functies klopt je audit aanname.
Reken maar dat NEN auditors wat beter kijken dan bv een ISO 9001 audit.

Maar details hoeven in een audit inderdaad niet naar voren te komen.
Maar als je gehele bedrijfsmodel gebouwd is op het zeer grof overtreden van de AVG. (zoals hier door velen gesuggereerd word) dan is het zeer onwaarschijnlijk dat dat niet in een audit naar boven komt.

De codebase heeft helemaal niks te maken met deze casus.
Je hebt alleen maar 2 (v)DC's nodig een die geaudit wordt en een die door anderen gebruikt wordt....
Op de tweede kun je doen en laten wat je wilt..., en desnoods voeden vanuit backups.
Dus zzou evt. ook de financiele administratie gechecked moeten worden en evt. concern relaties en andere BV's op naam van familie leden/bekenden van steakholders in het bedrijf, als dat risico uitgesloten moet worden... (al neig je dan naar criminele organisatie.., maar dit is speculatie).

En codebase heeft er ook mee van doen om te verifieren dat er geen backdoors zijn.
Aan je antwoord te zien heb je nooit een ISO of NEN audit ondergaan. Dat gaat echt heel anders dan waar jij nu over praat.
Ik heb in een organisatie gewerkt waar een ISO (9001, 27001) audit op van toepassing was.
Maar ik heb nooit een gesprek met een auditor gehad in de 10 jaar dat ik er zat... En ik was toch ook betrokken bij een paar projecten die zeker onder de audit vielen.

Als je in documentatie stelt dat x en y claim op z manier geborgd zijn, waarbij Z geheel in software zit, dan hoort de software die Z uitvoert m.i. ook in de audit.
De functionele beschrijving zal niet voldoende zijn.
In middels heeft Medworq een reactie op haar site gezet:
https://www.medworq.nl/wp...rq-nav-FTM-publicatie.pdf
...het bekende oud-medewerker verhaal (excuus).
Nee, niet bepaald.

Meestal zie je dat bedrijven mooie volzinnen schrijven waarbij weinig daadwerkelijk gezegd word, of die je op allerlei manier kunt uitleggen. Zodat het voor een onoplettende lezer lijkt of er niks aan de hand is, zonder dat ze dat daadwerkelijk zeggen.

Medworq doet echter een aantal uitspraken die echt maar op één manier uit te leggen zijn.
Er is geen sprake geweest van schending medisch beroepsgeheim door huisartsen.
Hier kun je nog twijfelen. De huisartsen hebben uiteraard niks gedaan. Het zou schending van beroepsgeheim door metworq zijn
• Patiënten van wie de oud-medewerker medio 2020 gegevens op het dark web heeft
geplaatst zijn allen in 2020 geïnformeerd.
Dat is onafhankelijk te verifiëren. En hoeveel vertrouwen kan ik nog hebben dat een klokkeluider van goede wil is als deze gegevens op het dark web plaatst? Heeft FTM hier iets over gezegd?
• De data zijn - voorafgaand aan de diefstal – expliciet niet toegankelijk geweest voor
ongeautoriseerden. De oud-medewerker had vanuit zijn functie als Information Security
Officer toegang tot deze data.
Wie zijn ongeautoriseerden? Waren Farma ongeautoriseerden?
• Data zijn nooit gedeeld met (pharmeceutische) bedrijven of instellingen.
Deze uitspraak kun je niet omheen. Die kun je niet met een truukje anders uitleggen!

Ze zouden natuurlijk keihard kunnen liegen op dat punt. Maar dat is niet normaal in dit soort situaties.
Ze zouden natuurlijk keihard kunnen liegen op dat punt. Maar dat is niet normaal in dit soort situaties.
Is dat niet enigszins naïef? Het lijkt me dat zo'n statement van de commerciele partij die onder de loep zit niet heel veel waarde heeft op dit moment. Het is logisch dat ze zich schonen van enig schuld, redden wat er te redden valt voor nu. Het op de medewerker spelen is een beetje makkelijk en toont ook geen introspectie. Als ze de zaken intern echt op orde hadden, was dit niet zo gebeurd.
Maar hoe het ook gebeurd is, er ligt een dataset op straat. En dat moet uitgezocht worden door het OM, zij kunnen ook uiteindelijk het bedrijf en/of de medewerker vervolgen.
Er zijn in elke bedrijf altijd interne mensen die meer rechten hebben en bij data kunnen komen.
Een insider threat is nooit helemaal te voorkomen, zeker niet als die insider in je security team zit.

Het is dus veel te makkelijk om te zeggen dat ze de zaken niet op orde hadden, alleen maar omdat een security persoon data heeft gelekt.
Dat onder controle hebben in je security team hoort toch bij je security? Of heb ik dat mis? Dat begint al bij de sollicitatie en de duidelijke afspraken, vastgelegd in je contract.
Maar nogmaals, het OM moet het onderzoeken en kan ons dan hopelijk precies vertellen hoe de vork in de steel zit.
Leg eens uit hoe afspraken in een contract hadden voorkomen dat deze persoon een export naar disk kon maken?
Ik heb nog nooit een CISO toegang zien hebben tot de daadwerkelijke data, laat staan niet versleuteld. Dat alleen al maakt het statement dubieus. De CISO is een management functie, niet technisch. Je dient wel de concepten te begrijpen en te kunnen overleggen met de technische staf. Als het een interne technisch medewerker is die aan het doorstromen is (genoemd wordt 'potentieel') dan hadden ze zijn rechten moeten afnemen conform functieverandering. Hebben ze dit niet gedaan, hebben ze niet goed gehandeld.

Bij het sollicitatie/selectie proces wordt de persoon als het goed is doorgelicht en maak je uiteindelijk afspraken over, zeker als het om gevoelige data gaat als zorgdata. Was het dus een nieuwe medewerker, had het sowieso geen toegang mogen hebben tot de data.

Waar het me vooral om gaat is dat ze de persoon zelf nu zo neerzetten in plaats van een eerlijk proces volgen via het OM. Het statement is mijns inziens is een zwaktebod.
De persoon in kwestie was geen CISO.
was kandidaat om CISO te worden, maar was dat tot nu toe niet. Vandaar dat die persoon ook meer rechten had dan je bij een CISO verwacht.

En nogmaals: afspraken in een contact verhinderen niet dat iemand een export naar disk kan maken.
Er zijn genoeg methodes om exports te voorkomen/te loggen, ook voor de technische staf. Daarnaast was deze persoon volgens het statement ISO en ook dat is een management functie, niet een technische.

Maar....dit is nu wel een beetje een late discussie over deze kwestie voor deze plek, ik vermoed dat we verschillende standpunten/ideeen hebben, helemaal prima. Daarnaast is er nog te weinig info om er verder echt iets van te kunnen zeggen, los van dat ik deze gesprekken wel leuk vindt.

Het artikel op FTM is echt wel heel interessant over de gang van zaken, ben zeer benieuwd naar deel 2.
De huisartsen hebben uiteraard niks gedaan. Het zou schending van beroepsgeheim door metworq zijn
Ja hoor... 8)7 Dat is uiteraard volstrekt onmogelijk!
De huisartsen hebben het beroepsgeheim 100% zeker geschonden omdat de patiënten data (via de gebruikte software) bij Medworq terecht kwam.

Anders gezegd; Medworq had die data überhaupt nooit mogen krijgen, dat het daar zolang wel was (van 2012 tot 2018/2019 zegt Medworq zelf notabene), de data ook nog naar farmaceuten ging, en via een (ex) medewerker 'nog verder lekt' is leuk voor 'het grote verhaal' en die partijen moeten ook keihard aangepakt worden, maar:
Het lekken begon bij de huisarts.
Misschien kan een tweaker een van de volgende twee vragen verhelderen (met inhoudelijke en feitelijke antwoorden):

1. Valt schending van het medisch beroep geheim onder het strafrecht? En zo ja, wie is er dan eigenlijk schuldig? De arts die zonder toestemming van zijn patient de data deelde met een derde? Medworq dat extreem slordig met deze data omging? Zou zelf graag zien dat betrokkenen zich voor de rechter moeten verantwoorden. Maar moet dit gebeuren bij de strafrechter, dan wel een civiele rechter?

2. Wat was exact de rol van de MIVD, en waarom?
In het artikel hier op Tweakers wordt alleen aangegeven dat ze een telefoontje pleegde naar Medworq. Dat geeft eigenlijk zeer weinig informatie over de motivatie van de MIVD. Was dit om Medworq te dwingen naar de AP te stappen? Was dit om te voorkomen dat Medworq in de toekomst meer gevoelige data zou lekken? Was dit om de klokkenluider de mond te snoeren?
En wie beweerd eigenlijk dat de MIVD een telefoontje heeft gepleegd naar Medworq? Want als de MIVD dat niet zelf heeft bevestigd, twijfel ik daar ten zeerste aan. De MIVD is een zeer gesloten organisatie en het is niet makkelijk te bepalen wat zich daar verder heeft afgespeeld.

EDIT:
Op de website van Medworq, wordt gesteld dat de "klokkenluider" data op het darkweb beschikbaar zou hebben gesteld. Of dit waar is; geen idee. De vraag is wel waarom een Information Security Officer alle data mee naar huis neemt en het dan even deelt met de pers. Is de, moreel gezien, echt de beste actie? Blijft erg lastig beoordelen, aangezien we eigenlijk geen inhoudelijk idee hebben van wat zich binnen het bedrijf heeft afgespeeld.

[Reactie gewijzigd door HATA28 op 26 juni 2022 19:00]

1 Tuchtrecht, zowel het beroepsgeheim als de juridische procedures staan in de wet BIG.
GSK was 'met stip' de grootste financierder en heeft op enig moment een kopie van Medworqs complete database meegenomen.
Daar zou justitie diepgravend onderzoek naar moeten doen.
Het oude truukje. Gewoon blijven ontkennen. Wie heeft dit bedrijf toegang tot alle data te gegeven? Hebben ze niet de namen adressen leeftijd woonplaats etc geblokt?

[Reactie gewijzigd door lighting_ op 26 juni 2022 14:30]

Ontkennen doen ze zeker, in alle toonaarden. Zie statement:

https://www.medworq.nl/
FTM heeft vaker aan het rechte eind gehad. Ze doen goed journalistiek
Inderdaad. Aan de andere kant:12.000 euro van GSK in 10 jaar stelt natuurlijk geen zier voor.
Dat maakt de kans dat GSK op grote schaal dit soort data heeft ontvangen nogal onwaarschijnlijk.

Geen enkel bedrijf gaat een miljarden boete riskeren voor een luttele 12000 euro aan data. En niet alleen GSK zou dat dan doen, maar ook allerlei andere farma bedrijven zouden die miljarden boete riskeren.

Tegelijkertijd vraag ik me af waarom een information security officer toegang zou moeten hebben tot die medische data.
Meer toegang dan een normale medewerker is logisch. Toegang tot allerlei antimalware monitoring tools ook logisch. Maar inhoudelijke toegang tot die medische gegevens?
Patiëntendossiers zijn onder de wet zeer streng beschermd.
Eerst zien dan geloven.
Als dit geen vergaande gevolgen heeft voor Medworq en illegale gebruikers van de dossiers is het slecht een loos dreigement.
Binnen enkele maanden is Metworq failliet en haalt men nooit het onderste uit de kan. Als het nu al slecht gaat met het bedrijf is dit verhaal gewoon de doodsteek.
Bij zware nalatigheid kun je personen individueel aansprakelijk gaan stellen (en het maakt niet uit dat het bedrijf dan failliet is) als men dat zelfs in een zaak als deze niet zou doen dan geeft men wat mij betreft een vrijbrief af aan anderen en kunnen we de wetten die hier werden overtreden net zo goed in de vuilnisbak gooien.
bestuurders kunnen persoonlijk aansprakelijk worden gesteld als hun handelen aanleiding is geweest voor het faillissement, 6 maanden of korter voorafgaand aan het faillissement. Daar is hier geen sprake van. Maar dit is faillissementswetgeving. Wellicht strafrechtelijk nog wel aan te pakken, maar dat heeft met individuele aansprakelijkheid niks te maken.
Het gaat mij niet om het faillissement, het gaat mij om dusdanig handelen dat ze niet met de vinger naar het bedrijf kunnen wijzen. Normaal verschuilen mensen zich achter hun bedrijf en het is het bedrijf dat de boete krijgt en voor personen zelf is er niets aan de hand. Maar als de overtreding zwaar genoeg is kan er ook persoonlijke vervolging zijn.
Nee, dat kan dus niet. Maar goed, jij weet het beter. De regels van de AVG vallen onder de wet economische delicten en dat is anders dan normaal strafrecht. Dus daar spreek je de rechtspersoon (de BV) op aan.

[Reactie gewijzigd door pa2ra op 27 juni 2022 00:02]

Parlementaire geschiedenis geeft ons dit waarbij de AP persoonlijke boetes aan bestuurders kan geven.

"zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden"

Tevens bepaalt de uitvoeringswet AVG dat bestuurders van een verwerkingsverantwoordelijke en van de verwerker in persoon aansprakelijk kunnen worden gesteld in het geval iemand schade lijdt doordat er in strijd wordt gehandeld met de AVG.

En dat staat allemaal los van een faillissement.

Schijnbaar weet ik het inderdaad beter ;)

[Reactie gewijzigd door Groningerkoek op 27 juni 2022 01:48]

"Aansprakelijkheid voor schade". Dat is geen strafrecht of een economisch delict, maar civielrecht. Dan moet je bij de civiele rechter zijn, niet de AP..

Maar inderdaad, het feit dat een eventuele boete gegeven wordt door de AP is wel een indicatie dat het geen strafrecht is. Desondanks, de basisregels voor een veroordeling van een persoon komen uit het EVRM, dus de bewijslast tegen bestuurders is de gebruikelijke uit het strafrecht, niet die uit het civielrecht. De AP zal boven elke twijfel moeten bewijzen dat de bestuurders zich aan een genoemd feit hebben schuldig gemaakt, en dat bewijs kan niet alleen volgen uit het eindresultaat (datalek).
Ik heb het woord strafrecht dan ook nergens gebruikt.
Je weerspreekt een claim van pa2ra die erop wijst dat het een economisch deliect is en geen strafrecht. Je gebruikt het woord niet letterlijk , maar de context is duidelijk.
Ik weerspreek zijn claim dat je alleen het bedrijf aan kunt spreken bij economische delicten.

Maar lees wat je lezen wilt.
Ik heb dat woord gebruikt, en jij ging er tegenin. Dus je hebt er je wel uitgelaten.
Ik ging daar niet tegenin, ik ging hier tegen in:

"Dus daar spreek je de rechtspersoon (de BV) op aan."

Kom alsjeblieft pas terug als je begrijpend hebt leren lezen.
"
Kom jij aub terug zodra je je rechtenstudie hebt afgerond. Je kunt in deze tijd met wappies etc. wel denken dat alles wat jij bedenkt, ook kan kloppen. Maar bepaalde zaken zijn nu eenmaal zoals ze zijn. En misschien moet jij daar aan wennen.

[Reactie gewijzigd door pa2ra op 1 juli 2022 20:12]

Toon dan aan welke van mijn woorden hier onjuist is, want tot noch toe zie ik daar helemaal niets van, maar wel een hoop gejank van jouw zijde.
ok, ik zal wel gedownmod worden, maar hier gaat 'ie. Het ging in deze discussie erom dat jij zei dat je bestuurders persoonlijk aansprakelijk kunt stellen. En daar zit je mis, want dat is beperkt mogelijk.

Een van mijn hoogleraren recht zei altijd: 'de rechtspersoon is een meneer en die meneer spreek je aan'. Dus als een bedrijf regels overtreedt, spreek je de BV daarop aan. Niet de natuurlijke personen. Daarom kennen we o.a. de wet economische delicten, omdat je rechtspersonen erop aan moet kunnen spreken en het strafrecht heeft van oudsher betrekking op natuurlijke personen. Bestuurders van rechtspersonen zijn dus qua aansprakelijkheid gevrijwaard (daarom is het hebben van BV's ook zo populair geworden), bijv. als het om economische delicten gaat (bijv. overtredingen van de AVG).

Bestuurdersaansprakelijkheid is er natuurlijk wel, maar met name in het geval van een faillissement (acta pauliana), maar dan alleen in de 6 maanden voorafgaand aan het failissement en er moet een causaal verband zijn tussen het handelen van de natuurlijke persoon en het failliet gaan van de rechtspersoon. Anders is er ook hier geen mogelijkheid bestuurders persoonlijk aansprakelijk te stellen.

Nu is het wel gebruikelijk dat men 'de ladder opklimt' (dus van een BV naar een holding-BV, naar eventuele persoonlijke BV's, naar de natuurlijke personen die als UBO profiteren). Maar werkelijk, dat kan hier niet als er geen causaal verband is tussen wat de natuurlijke persoon (aandeelhouder van level 1 persoonlijke BV) doet en wat een onderliggende werkmaatschappij (level 3 of 4 of meer dieper) als rechtspersoon verkeerd doet (bijv. een economisch delict).

Ik hoop dat je het nu snapt.
ok, ik zal wel gedownmod worden, maar hier gaat 'ie. Het ging in deze discussie erom dat jij zei dat je bestuurders persoonlijk aansprakelijk kunt stellen. En daar zit je mis, want dat is beperkt mogelijk.
Dus eerst zeg je het kan niet want ik heb ongelijk, en dan zeg je gelijk daarna dat het wel kan.

Snap jij jezelf nog wel?
Ik geef een genuanceerd antwoord op je vraag. Dat jij niet snapt dat dit jouw verhaal onderuit haalt, is aan jou. Dan heb je er dus gewoon geen verstand van. Dat is voor mij helder vanaf het begin, maar nu ook voor de eventuele andere juridisch geschoolde meelezers. En als jij ook juridisch geschoold bent: ik zou mijn collegegeld terugvragen van de uni, als ik jou was.
Misschien moet je even alles teruglezen om te realiseren hoe dom je aan het lullen bent.
Hahahahahaha. Fijne dag verder.
Ik heb geen idee wat je met "Parlementaire geschiedenis geeft ons dit" bedoelt.
Het gaat er om of het in de wet staat.

Ik zou de wets artikelen graag zien waarin staat dat de bestuurder als prive persoon een boete kan krijgen ipv de rechtspersoon.
Dank je. Dan gaat het in deze situatie dus om "Bestuurdersaansprekelijkheid op grond van onrechtmatige daad"
Een bestuurder kan ook persoonlijk aansprakelijk worden gesteld voor de schade van derden op grond van onrechtmatige daad
Maar ja, in datalekken is het aantonen van schade van derden vrijwel onmogelijk.
Maar ja, in datalekken is het aantonen van schade van derden vrijwel onmogelijk.
Als de BV zelf failliet gaat door de boete, kan het juist makkelijker worden.

Dan wordt er een curator aangesteld voor het afwikkelen van de openstaande schulden, en die kan ervoor kiezen om de voormalige bestuurders hoofdelijk aansprakelijk te stellen door de BV zelf als schuldeiser op te voeren aan hun adres omdat de BV schade heeft geleden jegens wanbeleid. Daar de schade bewijzen is makkelijker: dan is het enkel bewijzen dat de opgelegde boete voort is gevloeid uit zaken die hun oorsprong hebben in bewust onrechtmatig handelen of bewust onrechtmatige instructies van de voormalige bestuurders; niet of er ook daadwerkelijk schade voor betrokkenen ontstaan is.

Het is via een ander pad; maar de bestuurders zelf kunnen dan alsnog wel eens lelijk op gaan kijken als de curator komt kloppen om het restant van dat boetebedrag.
Het ging er hier over of je de bestuurders persoonlijk aansprakelijk kan stellen.
Bij een boete van de AP gaat die waarschijnlijk naar de rechtspersonen. Dus het bedrijf.
Een boete is wat anders dan schade van derden.

De schade van derden is de schade die die 72000 mensen hebben opgelopen. En die schade is zelden aan te tonen.
weer onjuist. Om aansprakelijk gesteld te worden voor de schade die de BV heeft geleden door toedoen van een bestuurder, moet de BV bewijzen:

1. er moet schade zijn
2. er moet een causale relatie zijn door het handelen van de bestuurder en het optreden van de schade
3. er moet een causale relatie zijn tussen de schade en het faillissement (er mogen geen andere oorzaken voor het failissement zijn)
4. Dit alles moet spelen binnen 6 maanden voorafgaand aan het faillissement

Als aan deze voorwaarden is voldaan, zou de curator de bestuurder hoofdelijk kunnen aanspreken ingevolge faillissementswetgeving. Niet om een schade aan een derde partij te vergoeden.
Maar men kan zeker nog bij de betreffende farmabedrijven boetes opleggen.
Patiëntgegevens zijn streng beschermd onder de wet. Dat iemand of een organisatie die wet breekt is iets anders.
Die wet lijkt dus een papieren werkelijkheid, zoals zo vaak als het om privacy gaat. Dan spreekt men over borgen om de ander weer gerust te stellen. Als het op papier klopt dan zijn de meeste mensen tevreden, maar het gaat om de praktijk.
Natuurlijk niet. Als 1 bedrijf de wet overtreedt betekent dat niet dat alle andere bedrijven dat ook doen. Ik heb mijn hele leven bij verschillende bedrijven met gevoelige persoonsgegevens gewerkt en geen van die clubs hield zich bezig met dit soort fratsen. IT-ers zijn ook mensen zijn die allerlei dossiers hebben, ze zitten er zelf niet op te wachten dat iemand met hun gegevens aan de haal gaat.

Daarnaast is een wet altijd een papieren werkelijkheid, ga langs een snelweg staan je ziet 10 wetsovertredingen per minuut.
Niet meer dan elke andere wet. De autoriteit persoonsgegevens legt de ene boete op na de andere, maar ze kunnen niet elk bedrijf continue controleren.

Als klant van een bedrijf zorg je dat de verwerkersovereenkomsten zijn getekend en dan mag je goed gedrag verwachten. Net als jij goed gedrag van elke winkel verwacht. Jij gaat ook niet het magazijn of softwaresysteem van elk bedrijf waar je zaken doet persoonlijk controleren.
Dus de staat (MIVD in deze) melden wel aan het bedrijf dat de data is gestolen door de medewerker/klokkenluider, maar doet niks om het bedrijf zelf op de vingers te tikken voor de gang van zaken.
Natuurlijk zou de Autoriteit Persoonsgegevens wel de aangewezen partij hiervoor zijn en niet de MIVD, maar alsnog een rare gang van zaken
Alleen is het niet aan de MIVD om dit lek te onderzoeken of om het bedrijf op de vingers te tikken. Daarvoor heb je de AP. Het bedrijf moet, na dat zij weten dat de data ontvreemd is, binnen een bepaalde termijn de AP inlichten alsook alle mensen getroffen door het lek. Daarna is het aan de AP om onderzoek in te stellen en eventueel het bedrijf op de vingers te tikken.

Als je de autoriteit niet hebt om iemand op de vingers te tikken, waarom zou je er dan tijd in steken? Dat is net alsof jij aan een verkeerslicht gaat staan en iedereen die door rood rijdt gaan zeggen dat ze dat niet meer mogen doen. Leuk dat je het doet, maar je schiet er niets mee op omdat jouw vermaning 0 waarde heeft.
Hierin Duitsland, is een ambtenaar verplicht aangifte te doen. Als ze zien of weet hebben van een overtreding. Als ze dit namelijk niet doen, kunnen de betreffende ambtenaren vervolgt worden.

Ik denk dat we deze wet ook in Nederland moete hebben. Het is namelijk puur onzin om er niets mee te doen, omdat het niet binnen je functie past.

Al die ambtenaren, waar deze man het tegen verteld heeft Wisten donders goed, dat ze dit hadden kunnen melden bij het A.P.

[Reactie gewijzigd door wica op 26 juni 2022 14:36]

Gelukkig is in Nederland niemand strafbaar om het niet doen van aangifte.

Er is wel melding gedaan bij het ministerie van Volksgezondheid en de Politie. Het ministerie heeft ooit de voorwaarden voor dataopslag opgesteld en moet ook zorg dragen dat de wetten omtrent de volksgezondheid worden nageleefd. Zij hadden de melding moeten (laten) onderzoeken. Ook de politie kan van nalatigheid worden beschuldigd. Er is hier duidelijk melding gedaan van het overtreden van een wet. Nu is de politie niet de eerst aangewezen instantie om privacy-zaken te onderzoeken, maar zij hadden de melding door moeten sturen naar de AP.

Ik hoop dat er alsnog een grondig onderzoek komt en dat verantwoordelijke personen hun straf niet ontlopen. Ook zal het gebruik (of kopen) van de data door farmaceutische bedrijven moeten onderzocht. Zij wisten dat zij geen recht hadden op de data, maar wisten wel van het datalek. Het niet melden van een datalek is nu net het enige punt wat wel strafbaar is. Eigenlijk geldt dat voor datalekken binnen een bedrijf, maar dat staat niet met zoveel woorden in de wet. Die maas in de wet kan de AP natuurlijk ook gebruiken om de farmaceutische bedrijven te beboeten.
U wilt een moord melden waarvan u getuige was?
Nou, dit is daarvoor niet het juiste loket hoor. Fijne dag verder en veel succes!....
Het niet melden van een datalek is nu net het enige punt wat wel strafbaar is.
Het verwerken van persoonsgegevens verkregen uit een derde bron, zonder dat expliciet het subject van die gegevens op de hoogte is gebracht welke verwerker over de gegevens is komen te beschikken en voor welke doeleinden zij deze gaan verwerken, is even zo goed een schendig van de AVG/GDPR. Gezien het karakter van de overtreding neerkomt op doelbewust negeren van die informeringsplicht, kan het ook heel snel in gemaximaliseerde boetes uitmonden.

[Reactie gewijzigd door R4gnax op 27 juni 2022 11:48]

Ik voel dan meer voor een doorzendplicht voor een aangifte naar de juiste instantie, zoals dat ook bestaat voor het maken van bezwaar tegen een besluit. Die plicht rust op het 'verkeerde' bestuursorgaan en niet op de ambtenaar als individu.

[Reactie gewijzigd door pmeter op 26 juni 2022 15:36]

Doorzendplicht is onderdeel van de NORA architectuurprincipes van de overheid "No wrong door"

Nu zullen niet alle principes altijd tot in de puntjes worden nageleefd...
Die geldt in theorie zelfs voor iedereen die een overheidstaak uitvoert. De APK keurmeester? Voert formeel een overheidtaak uit. Nu zou ik je belastingaangifte niet in je auto achterlaten en hopen dat die goed terecht komt, maar wettelijk is dit al geregeld.
"niet altijd tot in de puntjes" is wel heeeeeel zacht uitgedrukt.
Die persoon is naar drie overheids instanties gegaan die alle drie dat principe niet nageleefd hebben.

Klinkt een beetje alsof dat principe alleen op papier bestaat, maar niet in de praktijk.
Doorzendplicht is onderdeel van de NORA architectuurprincipes van de overheid "No wrong door"

Nu zullen niet alle principes altijd tot in de puntjes worden nageleefd...
NORA is een architectuurprincipe, en daarmee niet bepalend voor hoe ambtenaren zich operationeel moeten gedragen....
Hmmm... dan maak je een tweedeling in de samenleving. Ambtenaren zouden voortdurend hun oren dicht moeten stoppen wanneer ze met wat vrienden op stap gaan.
Als je het melden verplicht wil maken, verplicht dan iederéén daartoe. Niet alleen ambtenaren.
Ambtenaren hebben al een bijzondere positie in onze maatschappij en wetgeving.
Ambtenaren hebben al een bijzondere positie in onze maatschappij en wetgeving.
Veel van die wetgeving heeft betrekking op een ambtenaar in functie, dus niet in zijn of haar privéleven.
Daarnaast hebben veel ambtenaren helemaal geen bijzondere positie in de samenleving, maar hebben gewoon een baan bij een overheid.
[...]
Daarnaast hebben veel ambtenaren helemaal geen bijzondere positie in de samenleving, maar hebben gewoon een baan bij een overheid.
De meeste ambtenaren hebben een aanstelling. Dat is een juridisch bijzondere constructie. Er zijn ook wel mensen die gewoon een arbeidsovereenkomt hebben met de overheid, of als ZZP ér voor de overheid werken, maar de klassieke ambtenaar is expliciet en opzettelijk géén werknemer.

En voor de situatie waar we het hier over hebben - doorsturen van documenten - is het vanzelfsprekend dat we't hebben over de "ambtenaar in functie". Het gaat niet over documenten die een ambtenaar als privé-persoon ontvangt. Maar de feitelijke context maakt uit. Als een wethouder een bericht naar het prive email-adres van een ambtenaar stuurt, is het waarschijnlijk tóch een bericht naar de "ambtenaar in functie".
Euh.
Hier staat een mooi voorbeeld. Ze hebben dit aangekaart van het ministerie van volksgezondheid.

Even een aanname dat dat onder de vorige regering was was "de Jonge" hier verantwoordelijk minister.

Maar mocht er een minister moeten opstappen wegen nalatig gedrag is het nu Kuipers. Ondanks dat hij er niks mee te maken heeft. Terwijl de Jonge gewoon mag blijven in zijn huidige functie.
Ik begrijp er echt helemaal niets van. Wat heeft dat met het in functie zijn te maken?
Je begrijpt er niets van? Jammer dan.
Klopt.
Maar ze hebben ook een privé-leven en vrienden. Net zoals normale mensen.
Nee, als ambtenaar heb je geen privé-leven.
Je moet je ook in je privé-leven voorbeeldig gedragen en beseffen dat je een voorbeeld functiehebt tegen over de burger.
Dat geldt ook voor de gewone burger, toch ?
Vandaar dat ik zei:
Als je het melden verplicht wil maken, verplicht dan iederéén daartoe. Niet alleen ambtenaren.
Maar ambtenaar is overheid. Burger is geen overheid. Als je als burger melding maakt bij de overheid (dus bij een ambtenaar) moet deze er iets mee doen.

Jouw buurman heeft geen verplichting er iets mee te doen...
Tenzij je bekende Nederlander bent, of anders zins een publiek figuur, ben je als burger niet direct een voorbeeld figuur. En heb je ook geen voorbeeld functie.

Ambtenaren wel. Tenminste. Voor dat deel van hun leven dat ze herkenbaar zijn als ambtenaar. Op een feestje in privé tijd, hoeft t niet. Maar je straf als Burgemeester, als je thuis een wietplantage begint, is wel degelijk zwaarder dan een niet-model- burger. De Burgemeester krijgt en een boete en wordt uit zn ambt gezet (baan kwijt). Een burger raakt niet zn baan kwijt.
Politie evengoed, zelfs een politieambtenaar dat zich helemaal niet bezighoudt met 'politiewerk' (denk aan ICTers, facilitair beheer, etc) krijgt zeker een intern onderzoek aan zijn/haar broek te hangen als je ergens een aardige overtreding, zeg maar zowat alles wat niet onder wet Mulder valt, begaat.
Voor een keertje wildplassen zal het bij een 'foei' blijven, maar als dat stapeltje begint te groeien mag je vertrekken.
Voor een keertje wildplassen zal het bij een 'foei' blijven, maar als dat stapeltje begint te groeien mag je vertrekken.
Dat zal bij veel "gewone" banen ook gebeuren als die overtredingen invloed op je werk gaan hebben.
Nee niet echt. Stel ik zou 5 wildplasbekeuringen in een half jaar krijgen tijdens uitgaan, daar zou een normale werkgever nooit geen weet van krijgen, een knokpartij in een kroeg waarschijnlijk ook niet. Werkzaam bij bepaalde overheid instanties, dan kom je echt wel even op het matje.
Geldt ook voor jou, en niet speciaal voor ambtenaren wat een onzin.
Correct, maar dat kan nog wel eens anders uitpakken zoals bv. Boris Johnson (UK), die echter steeds de dans weet te ontspringen (zonder noemenswaardige consequenties, maar dat lukt bepaalde kabinetsleden in ons landje ook met regelmaat).
Hier in Nederland geld die plicht ook. Het is een ambtshalve verplichting die conform artikel 125quinquies Ambtenarenwet.
De ambtenaar legt een eed of belofte af dat deze is dienst staat van de burgers.

De zogenaamde bescherming is veelal komen te vervallen doordat in 2017 een nieuwe wet in werking is getreden waardoor ambtenaren gewone werknemers zijn geworden. Dus wel de lasten maar niet de lusten.

Overigens geld de meldingsplicht voor elke burger als deze weet van een misstand.
Overigens geld de meldingsplicht voor elke burger als deze weet van een misstand.
Ik stuur je een kratje bier op als je dit wetsartikel kunt aandragen.
Je benoemt heel breed ‘ambtenaren’
Bedoel je dan letterlijk ‘iedereen in loondienst van de staat’? Dus tot en met de medewerker van de gemeentelijke kinderboerderij?

Lang niet alle ambtenaren krijgen trainingen/workshops in die aard. Het lijkt mij logischer om het bijvoorbeeld voor alle boa’s te verplichten?
Het doel van zulke wetgeving is om het moeilijk te maken dat corruptie voeten aan de grond krijgt binnen een afdeling, omdat alle ambtenaren die werkzaam zijn binnen een afdeling allemaal ten aanzien van elkaar een controle- en meldplicht hebben en niet een oogje dicht kunnen knijpen zonder dat het risico bestaat dat als het later toch uit mocht komen, zij ook voor de bijl gaan.

Zeg maar het omgekeerde van de 'je moet alles onderling kunnen zeggen; en dus niets vastleggen, want dat werpt drempels op' Rutte-doctrine.

[Reactie gewijzigd door R4gnax op 27 juni 2022 11:50]

"Het is namelijk puur onzin om er niet mee te doen, omdat het niet binnen je functie past"
Is dat nu juist niet het "bureaucratische" probleem waar burgers steeds tegenaan lopen bij de overheid en geliëerde organisaties: het past niet in m'n functie dus schuif ik het af of doe ik er niets mee.
Natuurlijk is het wel aan ook de MIVD om dit lek te onderzoeken: wanneer 72000 patiëntgegevens op straat liggen dan is de kans groot dat er miltiairen bijzitten. De kans is ook evengroot dat bv. Rusland de eindklant is.

De MIVD vond het blijkbaar wel belangrijk om het bedrijf op de hoogte te stellen van het lek. Dat vinden ze dus wel hun taak. Dus ze vonden het blijkbaar wel belangrijk. Alleen niet in functie van de Nederlandse burger te beschermen, wat hun wettelijke taak is. Maar wel om de criminelen te beschermen.
militairen maken tijdens actieve dienst gebruik van hun eigen artsen, lekken via burgerhuisartsen sluit dus zo goed als uit dat hier militairen bijzitten.
De MIVD had zeker wel meldplicht aan de AP. Betekent niet dat ze het dus zelf hoeven te onderzoeken. Blijft dus raar dat de MIVD een commerciele partij op deze manier een hand boven het hoofd houdt in plaats van het juiste te doen en burgergegevens beschermen door het te melden.
De MIVD had zeker wel meldplicht aan de AP.
Op basis van wat baseer je dat? Ik zie hier (niet alleen jij) een hele hoop geroep, maar eigenlijk geen verwijzingen naar waar dan staat hoe het zou moeten.

In dit geval is de betroffen persoon al in 2019 vertrokken, het is onduidelijk of deze toen al de HDD had meegenomen (diefstal) en daarna is gestapt naar instanties waar deze niet zou moeten zijn. MIVD zou al in 2020 dat hebben gemeld bij Medworq... Het is nu 2022 en een online blogdienst (FTM) publiceert er nu pas over.

Naast de AP, was het veel verstandiger geweest om de betreffende praktijken/artsen direct in te lichten. Aangezien hier niets van is gebeurt in 3+ jaar, ga ik heel erg twijfelen aan de capabilities van de medewerker, waarmee ook de 'claims' die worden gemaakt erg in twijfel komen. Als dit is pas gaan rollen nadat de persoon 'vertrok' voelt het meer aan als wraak, als het daarvoor al is gemeld bij de verkeerde instanties, tja...
Goed dat je het vraagt, dit is gebaseerd op gezond verstand en logisch nadenken, maar vooral dat ik bij een overheidsinstantie met de CISO aan AVG en security heb gewerkt waar heel duidelijk werd gesteld dat dit gemeld moest worden. Dus bron is kennis, ervaring en een werkend brein dat verder gaat dan de regels opzoeken of roeptoeteren.

Ze waren als de dood voor de potentiele boetes/slechte publiciteit als het naderhand door een ander gemeld werd, je kan het echt beter zelf melden. En bij deze overheidsinstantie ging het om veel leveranciers, dus externe, andere partijen. Tuurlijk zoek je eerst zelf met de betreffende partij het een en ander uit, maar melden moet.

Nu is angst geen goede drijfveer, maar in dit geval wel triggerend en dat is nodig voor dit soort zaken, zeker in den beginne toen iedereen nog aan gegevensbeveiliging moest wennen.
Niet teveel nadenken of overleggen, melden bij de daarvoor bevoegde instantie, in dit geval de AP. Die pakt het op en is het centraal geregistreerd. Dit maakt het ook makkelijk voor al de betrokken partijen.
Ik weet dat de praktijk vaak anders is, zeker in het begin van de AP, en nu nog steeds lastig vanwege de vele meldingen en onderbezetting. Maar als het om significante zaken als deze gaat, moeten ze er wel mee aan de slag.

Daarnaast zou ik voorzichtig zijn met de medewerker te betichten. FTM is een gerespecteerde, betrouwbare onderzoekspartij die niet zomaar gaat publiceren. Als je het stuk leest, zie je dat de medewerker het eerst heeft proberen aan te kaarten bij de MIVD en politie, daarna heeft 'ie de gegevens meegenomen. Daarnaast, ook al heeft 'ie het verkeerd aangepakt, het gaat om de inhoud en het hele verhaal, niet deze medewerker.

Maar ik ben wel erg benieuwd naar het precieze proces van de medewerker. Wederom uit ervaring weet ik hoe lastig het is in een grote bedrijfcultuur om dit goed te doen. Je dient een sterke ruggegraat te hebben, weten hoe de hazen lopen, goed te verwoorden en weten vol te houden. Het is niet alleen het management, maar ook je collega's waar je mee te maken hebt. Het is niet niks om zo'n issue aan te kaarten, laat staan bij een grote commerciele partij met als hoofdsponsor GSK met allerlei belangen.

Deze hele zaak moet vooral verder goed onderzocht worden.
Goed dat je het vraagt, dit is gebaseerd op gezond verstand en logisch nadenken, maar vooral dat ik bij een overheidsinstantie met de CISO aan AVG en security heb gewerkt waar heel duidelijk werd gesteld dat dit gemeld moest worden. Dus bron is kennis, ervaring en een werkend brein dat verder gaat dan de regels opzoeken of roeptoeteren.
Maar de MIVD is een volledige buitenstaander in deze die geen enkele relatie heeft met de gemelde informatie (tenzij dat militaire huisartsen waren, wat de zaak totaal veranderd). De persoon had net zo goed bij het ministerie van Landbouw kunnen aankloppen. Of dat de boze boeren gaan protesteren bij het ministerie van Onderwijs.

Een opdeling in ministeries en bevoegdheden bestaat om te voorkomen dat zaken overal maar aanhankelijk gemaakt worden en aan het einde je gewoon totale chaos hebt omdat iedereen er blijkbaar over gaat maar niemand een besluit kan nemen. Dus iets melden bij een ministerie of dienst werkt alleen als die dienst daar echt over gaat. Kan zijn dat men je wel naar het juiste loket verwijst (soms is dat ook niet al te duidelijk), maar volgens mij is daar zeker geen wettelijk plicht toe om die burger aan de hand te nemen en bij het juiste loket af te leveren.
Kan zijn dat men je wel naar het juiste loket verwijst (soms is dat ook niet al te duidelijk), maar volgens mij is daar zeker geen wettelijk plicht toe om die burger aan de hand te nemen en bij het juiste loket af te leveren.
Dat is wat je als ambtenaar juist wel moet doen. De goede weg op helpen. Als ambtenaar heb je echt wel de middelen om iemand naar het goede loket te wijzen. Het is als burger die incidenteel met de overheid te maken krijgt al lastig genoeg om de info en het juiste loket te vinden, zoals in deze zaak al blijkt. En niet alles hoeft in regelgeving gevangen te worden over hoe we alles moeten doen.

Als ambtenaar moet je klaar staan voor de burgers, je staat in dienst van, ook de MIVD.
Dat is wat je als ambtenaar juist wel moet doen. De goede weg op helpen. Als ambtenaar heb je echt wel de middelen om iemand naar het goede loket te wijzen.
Dat de gemiddelde ambtenaar de burger kan helpen snap ik, maar MOET hij dat ook, of VERWACHT jij dat alleen maar? Ambtenaren hebben ook gewoon werk te doen waar ze echt voor betaald worden, en a die burgers naar het juiste loket brengen kost gewoon kostbare tijd wat niet "binnen hun opdracht" zit....
Ja dat moet de ambtenaar doen. Dat is zijn functie, burgers helpen. Dat dit niet altijd gebeurd snap ik ook wel, maar de ambtenaar is er om de burgers te ondersteunen. Zeker als het een ambtenaar is met een publieke baliefunctie, zoals in deze zaak, de politie.

De 'kostbare tijd binnen de opdracht' redenatie klinkt als een commercieel bedrijfsbenadering, maar de overheid is dat niet, werkt niet zo. Je moet het denk ik meer zien als een charitatieve organisatie in dienst van de burger. Maar dat is een ander gesprek.
Die verplichting is er voor elke ambtenaar. De vraag is irreelvant of dat "binnen hun opdracht' zit. De doorzendverplichting is een wettelijke, en staat daarom boven dienstinstructies van leidinggevenden.
Het is klip en klaar dat dit bedrijf gewoon schijt had aan de regels en de zeer privacygevoelige informatie gewoon gebruikte naar eigen goeddunken, wat het het meeste klanten opleverde, het meeste geld opleverde en gewoon met de pet naar de beveiliging ervan gooide.

Feitelijk zijn deze feiten al genoeg voor een mega-boete die het bedrijf onmiddellijk doen omvallen. De bestuurders weten dit en hebben waarschijnlijk het hele bedrijf al leeggehaald voordat de boete komt.

De farmabedrijven zijn ook medeschuldig als ze deze gegevens hebben gebruikt voor reclame of marketing. Maar ik vermoed dat dit zulke machtige Amerikaanse bedrijven zijn dat de Nederlandse overheid hier niet tegen op durft te treden.

[Reactie gewijzigd door Godson-2 op 26 juni 2022 18:36]

Dat ligt waarschijnlijk aan de context waarmee ze de informatie hebben gekregen. Kan me goed voor stellen dat dit overkomt als een rancuneuze medewerker. Aangezien het niet echt een zaak voor de MIVD lijkt, snap ik dan dat ze ervoor kiezen om het even te melden en eventueel verder onderzoek aan andere partijen die er wel over gaan laat.
En dan speelt privacy blijkbaar geen rol?
Voor de MIVD niet. Dat is de taak van de AP.
Dus de staat (MIVD in deze) melden wel aan het bedrijf dat de data is gestolen door de medewerker/klokkenluider, maar doet niks om het bedrijf zelf op de vingers te tikken voor de gang van zaken.
Dat mogen ze volgens mij niet, want de M staat voor militair, dus ze mogen zich niet zomaar in burgerzaken mengen (zoals velen al opmerkten toen de MIVD ook gericht informatie over Nederlandse burgers aan het verzamelen was). Ik snap niet waarom de klokkenluider bij de MIVD aanklopt en niet bij de AIVD, die al meer bevoegd is in deze (alhoewel dat ook al twijfelachtig is...).
Natuurlijk zou de Autoriteit Persoonsgegevens wel de aangewezen partij hiervoor zijn en niet de MIVD, maar alsnog een rare gang van zaken
De AP en de Inspectiedienst voor de gezondheidszorg (IGZ) zijn in deze de enige plekken waar dit zou moeten landen. De AP omdat het om persoonsgegevens gaat, en de IGZ omdat het medisch beroepsgeheim structureel doorbroken wordt. Het is uiterst vreemd dat de andere drie partijen niet de moeite genomen hebben om de klokkenluider op dit juiste spoor te zetten.

Nog afgezien van het gemakshalve maar een kopietje maken van de inbreukmakende bestanden door de klokkenluider: dat er partijen met zo'n database aan de haal gaan is al erg genoeg, waarom moet die klokkenluider dan nog een kopie maken? Is een verzameling screenshots en e-mails niet voldoende?
Dit wil voor mij zeggen dat de MIVD eigenlijk wil dat dit soort gegevens verhandeld wordt en dat het niet wil dat er mensen zijn die dit publiek maken. M.a.w. de overheid in Nederland is alweer betrokken bij een enorm schandaal.

In mijn ogen moet de directie van Medworq 72000 maal de straf krijgen voor het schenden van het medische beroepsgeheim. Leidt dat tot levenslange gevangenisstraf dan zie ik dat eerder als de minimumstraf.
Met jouw 1e alinea kan ik het niet eens zijn. De taakomschrijving van de MIVD is helder.

Maar jouw 2e alinea is interessant. Bestuurders van bedrijven waar medische gegevens lekken, behoren inderdaad bestraft te kunnen worden. En niet alleen een éénmalige oplegging van het ovetreden van het medisch beroepsgeheim, maar óók financiële impact die het lekken - als dat later blijkt - heeft gehad op de betrokkenen. Het niet kunnen afsluiten van een verzekering zonder te weten waarom je maar geweigerd wordt... dat kán dus omdat de verzekeraar aan jouw gegevens is gekomen.
Een schadevergoeding is geen straf maar het vergoeden van schade. Los van de strafmaat horen de misdadigers die deze medische gegevens verhandelden ook persoonlijk aansprakelijk gesteld te worden voor de schade en deze te vergoeden. Uiteraard.
Eens en daarom heb ik het ook niet over een schadevergoeding, maar over een straf. Als bij een civiele procedure schade blijkt, zou het strafrecht een haakje moeten kunnen bieden door te zeggen, hé jij was veroordeeld en nu komt daar dus nog iets bij.

Ik heb geen enkele idee of civiel- en strafrecht werkelijk zo aan elkaar gekoppeld kunnen worden, maar ik dacht daar aan, na jouw eerdere 2e alinea.

[update: typo]

[Reactie gewijzigd door bousix op 27 juni 2022 20:30]

De MIVD heeft correct gehandeld. Zij kunnen zelf niets met deze info. Maar door het bij het bedrijf te melden dat er een data lek is, MOET dit bedrijf zelf het AP inlichten.
En het ministerie en de politie.

Als het niet in het straat je van de organisatie past. Zullen ze echt geen moeite doen. Om het bij de juiste organisatie te krijgen.

Politie verzameld graag waar camera's hangen. Maar zwijgt in alle talen. Als die te veel opneemt.
De MIVD had melding moeten maken bij het AP klaar uit!

Makkelijker kunnen ze het niet maken wel fouter (want nu heeft de MIVD ook een achterdeur die het kon gebruiken)

Overigens nog wel een aanvulling FTM is 1 van de weinige journalistieke platformen die ik aardig objectief en onafhankelijk maar ook diepgravend onafhankelijk onderzoek doet in mijn ogen. En niet snel een populistisch medium wat uitgaat van aannames zoals ook de NOS helaas steeds meer is.

[Reactie gewijzigd door rob12424 op 26 juni 2022 15:38]

Overigens nog wel een aanvulling FTM is 1 van de weinige journalistieke platformen die ik aardig objectief en onafhankelijk maar ook diepgravend onafhankelijk onderzoek doet in mijn ogen. En niet snel een populistisch medium wat uitgaat van aannames zoals ook de NOS helaas steeds meer is.
Beetje vreemd dat je diepgravend onderzoek verwacht van de NOS. Is alsof je proza in de Telegraaf verwacht.
De Telegraaf staat juist vol met proza. Journalistieke kwaliteit daarentegen...
MIVD is geen opsporingsinstantie. Dus die gaan er niet achteraan. Bovendien: als jij als particulier, of de MIVD als instantie, hier melding van zou maken bij het bedrijf, dan waarschuw je het bedrijf feitelijk. Het bedrijf kan dan bewijzen verduisteren en dan ben jij - als particulier - of de MIVD medeplichtig.

Dus wees voorzichtig om zelf onderzoek te doen, bedrijven 'op de vingers te tikken' etc. Daarvoor hebben wij instanties met opsporingsbevoegdheid.
Met welk aluhoedje op heb je dat voor elkaar gesnoven?
Maar corona was geen business model... Wie follow the money al paar jaar volgt snapt hoe er door grote spelers en onze politiek met onze data om gegaan word. Privacy is geen recht meer, daarom moeten we verantwoordelijkheid afdwingen en ook mensen persoonlijk verantwoordelijk stellen voor deze misstappen. Deze bedrijven moeten ertussen uit!
Farmagigant GlaxoSmithKline was daarvan de grootste, maar onder andere de farmabedrijven Amgen, NovoNordisk en Boehringer Ingelheim stonden ook in dat rijtje.
Deze bedrijven zijn geen kleintjes en als ze op gegegen moment data krijgen dat niet te verantwoorden is moeten ze er hun handen vanaf houden.

Ze zijn net zo goed verantwoordelijk en moeten daar ook verantwoordelijk voor worden gehouden.
Dat zouden ze moeten doen, maar als je zulke bedrijven toegang geeft tot patientendossiers van mensen die hun medicijnen slikken dan wordt de verleiding wel extreem groot.
Ze zijn net zo goed verantwoordelijk en moeten daar ook verantwoordelijk voor worden gehouden.
En op welke wijze heb jij vastgesteld dat zij ook verantwoordelijk zijn?
Als zij hebben vastgesteld dat ze toegang hebben tot teveel data. (niet gepseudonimeerde data) en ze hebben dat aangegeven bij dit bedrijf en niks met die data gedaan, wat is dan je verwijt naar hen?

Je doet allerlei veroordelingen zonder dat die op feiten gebaseerd zijn.
Niet alleen binnen Medworq was de data schijnbaar vrij toegankelijk voor veel, zo niet alle, werknemers. Financierders en opdrachtgevers van de Insider-software konden er ook bij. Farmagigant GlaxoSmithKline was daarvan de grootste, maar onder andere de farmabedrijven Amgen, NovoNordisk en Boehringer Ingelheim stonden ook in dat rijtje. Allemaal hadden ze Insider-gebruikersaccounts. GSK was 'met stip' de grootste financierder en heeft op enig moment een kopie van Medworqs complete database meegenomen.
Welke veroordelingen wil jij nog meer? Dergelijke bedrijven moeten ten eerste per direct toegang afsluiten en ten tweede per direct melding maken.

Dit zijn geen kleine bedrijven die de procedures niet kennen.


Je maakt er de omgekeerder wereld van als ze continu data verzamelen en vervolgens trek je de conclusie dat het niet zo erg is “als ze er niks mee doen”.


Die bedrijven mogen de data niet hebben.
Dergelijke bedrijven moeten ten eerste per direct toegang afsluiten en ten tweede per direct melding maken.
Nee, absoluut niet. Het is Medworq die verantwoordelijk is voor die toegang en die de toegang moet afsluiten. En het is Medworq die wettelijk verplicht is binnen 72 uur de melding te maken. NIET de bedrijven/personen die ten onrechte toegang hebben gekregen tot teveel data. Jij hebt wellicht een andere mening, maar zo staat het in de wet.

Dit zijn grote bedrijven die in tegenstelling tot jou de procedures wel kennen.

Als de data geanonimiseerd of gepseudonimeerd is, dan mogen die bedrijven wel data hebben. Dat zal ook ongetwijfeld in het contract staan.

Als je ten onrechte toegang hebt gekregen tot teveel data, dan mag je er uiteraard geen gebruik van maken. Maar jij hebt geen enkele bewijs of zelfs maar indicatie dat die bedrijven dat wel gedaan hebben.
Uiteraard ga je dat in een situatie als dit wel onderzoeken.
Het is jammer dat we niet kunnen zien of FTM de Farma bedrijven om een reactie heeft gevraagd. Dat zal wel in hun deel 2 komen.
Ze weten niet precies wanneer, maar weten klaarblijkelijk wel dat GlaxoSmithKline 'op enig moment' vertrokken is met een complete kopie van de database. Dus incl. al die patientendossiers. Het hebben van die kopie is al een verwerking an sich. (Ja; opslag is verwerking.)

Een verwerking waarvan de betrokkenen niet op de hoogte zijn gebracht conform de informeringsplicht. En een verwerking zonder toestemming van de verwerkingsverantwoordelijke, dwz. de huisartsen die van dit systeem gebruik maakten. Door buiten opdracht vna de verantwoordelijke 'op eigen houtje' gegevens te verwerken wordt bijv. GSK bij wet gelijk gesteld aan een verwerkingsverantwoordelijke voor die verwerkingen, en daarmee eindverantwoordelijk; aansprakelijk; en het doelwit voor evt. boetes en andere bestuursmaatregelen die kunnen volgen.

[Reactie gewijzigd door R4gnax op 27 juni 2022 12:15]

Een verwerking waarvan de betrokkenen niet op de hoogte zijn gebracht conform de informeringsplicht.
op basis waarvan trek jij de conclusie dat betrokkenen dit niet wisten?
En een verwerking zonder toestemming van de verwerkingsverantwoordelijke, dwz. de huisartsen die van dit systeem gebruik maakten.
Op basis waarvan trek jij de conclusie dat alleen de artsen de verwerkingsverantwoordelijken zijn en niet medworx? Heb jij de DPA tussen de artsen en medworx gelezen?
Door buiten opdracht vna de verantwoordelijke 'op eigen houtje' gegevens te verwerken
Op basis van wat trek jij de conclusie dat dat buiten opdracht van de verantwoordelijke was?
[/quote]
op basis waarvan trek jij de conclusie dat betrokkenen dit niet wisten?
Op basis van het feit dat als de betrokkenen dit wel wisten, het niet een praktijk zou zijn die jarenlang verborgen is gebleven - zoals uit het onderzoek van FtM wel blijkt.
Op basis waarvan trek jij de conclusie dat alleen de artsen de verwerkingsverantwoordelijken zijn en niet medworx? Heb jij de DPA tussen de artsen en medworx gelezen?
Een data-processing agreement zoals waar bij wet rechten en plichten uit ontstaan wordt gesloten tussen een verwerkingsverantwoordelijke en een verwerker; of tussen meerdere verwerkers, en legt vast welke standaarden de verwerker gaat hanteren om gegevens te beschermen; hoe bepaalde verantwoordelijkheden voor procedures zoals het recht op bezwaar; bijwerken van; en toegang tot gegevens door betrokkenen afgehandeld gaat worden; etc.

Een DPA kan verwerkers en verwerkingsverantwoordelijken niet ontheffen van hun verdere wettelijke plichten; of aansprakelijkheid.

Een DPA in deze zin wordt ook niet gesloten tussen meerdere verwerkingsverantwoordelijken. Bij wet is er, zonder in bijzondere constructies met bijv. speciaal daarvoor opgerichte cumulatieve rechtspersonen, één verantwoordelijke die a/h hoofd staat. En dat zou - even je gezond verstand gebruiken - hier de huisarts of de huisartsenpraktijk - wss. een maatschap - zijn die de patientgegevens beheert door deze te laten verwerken via de software van medworx; de hoofdverwerker.

Ja; dit is uiteraard niet een 100% gegeven.
Op basis van wat trek jij de conclusie dat dat buiten opdracht van de verantwoordelijke was?
Iets wat je een arts nooit zult horen zeggen:
"Ik ben arts en ik vind het prima dat ik het medisch beroepsgeheim expliciet schendt door toestemming te geven dat de gegevens van mijn patienten te pas en te onpas door derden, inclusief farmaceuten en verzekeraars, verwerkt zullen worden zonder dat daarbij enige vorm van effectieve pseudonymisatie aanwezig is."

Nu kun je zeggen; ja, maar van die technische dingen heeft een arts toch geen verstand? En zou dat ook niet moeten hoeven hebben?

En ja; dan heb je gelijk. Dat is dus ook waarom verwerkers een meldplicht hebben ten aanzien van de verwerkingsverantwoordelijke waarbij ze verplicht zijn te melden als de verantwoordelijke iets wil doen waarvan de verwerker weet dat dit niet strookt met wetgeving.
En dat is waarom verwerkers die pogen op de stoel van de verwerkingsverantwoordelijke te gaan zitten door hun boekje te buiten gaande verwerkingen op eigen houtje te doen, als de verwerkingsverantwoordelijke gezien worden voor die verwerkingen - en niet de originele verwerkingsverantwoordelijke die daarmee bij gevolg buiten schot blijft.

[Reactie gewijzigd door R4gnax op 27 juni 2022 13:58]

Privacy is volgens mij met de AVG meer een recht geworden dan ooit.
En dus geen te respecterende plicht jammer genoeg...
Dat is ook de reden dat ik het vertik om mijn medische gegevens centraal te laten opslaan, ongeacht wat de voordelen zijn. Er hoeft maar één keer iemand in te breken en de medische gegevens van alle 18 miljoen Nederlanders liggen op straat.

Vervolgens halen ze hun schouders op en zeggen: "Ach, we kunnen er nu toch niets meer aan doen. U krijgt wel een mailtje van ons met een waarschuwing dat u voorzichtig moet zijn voor phishing mails."
Dat is ook de reden dat ik het vertik om mijn medische gegevens centraal te laten opslaan, ongeacht wat de voordelen zijn.
Ze slaan ze ook niet centraal op. Is ook nooit de bedoeling geweest. In de medische wereld regeert fragmentatie, niet standaardisatie en centralisatie.
hm PGO betekent wel toegang tot de gegevens waar het ook staat... dat is al vastgelegd het is alleen nog niet volledig uitgerold. er zijn een paar plaatsen waar je het dag mag (laten) stallen.
Ik denk dat je de opzet van een PGO onderschat. Dat zijn federatieve systemen waar je met de juiste autorisaties jouw informatie uit ophaalt, maar jouw data blijft juist bij de zorgverlener staan....
De staat zegt klokkenluiders te beschermen, maar alle feiten wijzen er toch al jaren op dat de staat klokkenluiders liever opruimt. Dat de MIVD zich daarbij ook nog eens bezighoud met niet militaire inlichtingen toont ook nog eens aan dat er in Nederland 0,0 regelgeving en toezicht is op inlichtingendiensten.

Bij de NOS spreekt men over een 'Bewust datalek in stand gehouden'. Je kunt dus ook stellen dat dit een bewuste backdoor was, in opdracht van de Staat (MIVD) zelf, want blijkbaar lag hier het belang toen de medewerker het probleem melden.

[Reactie gewijzigd door m4ikel op 26 juni 2022 14:25]

Daarom moet je ook echt blij zijn dat er in Nederland toch nog iets van onafhanklijke (onderzoeks)journalistiek is zoals FTM - Follow The Money.

Ondersteuning is het zeker waard, dat blijkt maar weer. En qua kosten...om even een vergelijking te maken, voor slechts 2 biertjes per maand (anno 2022) een journalistiek onderzoeks collectief ondersteunen dat zich ver boven de belangen-media uittoomt.

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee