Kuipers: softwareleverancier huisartsen geen verwerkingsverantwoordelijke
Het Nederlandse softwarebedrijf Medworq, dat software aan huisartsen levert en afgelopen juni in opspraak raakte over een vermeend datalek, was in deze zaak geen verwerkingsverantwoordelijke, zo laat minister Kuipers van Volksgezondheid weten. Medworq ontwikkelt software waarmee huisartsen informatie over patiënten kunnen opslaan.
In juni kwam Follow the Money (FTM) met een verhaal dat Medworq jarenlang volledige medische dossiers van Nederlanders bij huisartsen heeft verzameld, zonder dat zij of hun patiënten daarvan op de hoogte waren. Follow the Money kreeg ook de beschikking over gevoelige data, waaronder medische gegevens van zeker 72.000 mensen en interne documenten van Medworq.
Volgens de softwareleverancier was er sprake van onjuiste berichtgeving. Zo was er geen sprake van schending van het medisch beroepsgeheim en waren gegevens wel voldoende beveiligd. Een oud-medewerker had de data bij Medworq gestolen en deelde die met journalisten van FTM. Het bedrijf stelde verder dat het juridische vervolgacties overweegt om de schade te verhalen die is veroorzaakt door de datadiefstal en publicaties.
De berichtgeving van FTM was aanleiding voor de VVD om Kamervragen te stellen. "Op basis van de beschikbare informatie gaan wij ervan uit dat Medworq de gegevens enkel feitelijk beheerde voor de zorgaanbieders en niet zelf verwerkingsverantwoordelijk was voor de gegevens. In die situatie blijven de zorgaanbieders verantwoordelijk voor verwerking van de persoonsgegevens en dient in de verwerkingsovereenkomst met de verwerker (in casu de softwareleverancier Medworq) afgesproken te worden wat de verwerker wel of niet met de gegevens mag doen", reageert Kuipers.
Volgens de minister hebben organisaties, zoals ziekenhuizen, zelf een verantwoordingsplicht om aan te tonen dat ze aan de AVG voldoen. Dit geldt ook wanneer commerciële partijen de gegevens verwerken. In deze zaak heeft de Autoriteit Persoonsgegevens vragen aan Medworq gesteld, maar verdere informatie kan Kuipers niet geven. Wel laat de minister onderzoeken of de toezicht- en handhavingsbevoegdheden van de Inspectie Gezondheid en Jeugd (IGJ) moeten worden verduidelijkt.
Tikkie off-topic maar ook uit de koker van VWS, uit https://www.nen.nl/nta-7516:
Als onderdeel van het VWS-project ‘Veilige Mail’ [1] werkten belanghebbenden en experts uit de zorg aan een normenkader voor veilige e-mail. Het traject startte op 10 oktober 2018 en eindigde met de publicatie van de norm in het voorjaar van 2019. Op 20 mei 2020 werd ook certificatie tegen NTA 7516 mogelijk met de publicatie van het certificatieschema NCS 7516. [...]
[1] https://www.informatieberaadzorg.nl/programmas-en-projecten/project-veilige-mail
Het defunden van het AP door rechtse partijen (waaronder VVD en CDA) en de lakse handhaving werken dit soort misbruik alleen maar in de hand: tijd om het AP wat meer slagvaardiger te maken en meer mogelijkheden tot handhaving te geven.
Hoe langer het duurt voordat we wetgeving hebben waarmee cloud- en softwareleveranciers aansprakelijk worden gesteld voor hun fouten, hoe somberder ik onze digitale toekomst inzie.
Medworq moet zich aan de voorwaarden van de verwerkersovereenkomst houden en bij een (vermeend) datalek de verwerkingsverantwoordelijke (huisarts) informeren. De huisarts moet vervolgens een meldplichtig datalek bij de AP melden.
Ik ben geen jurist, maar ik vermoed dat de huisarts primair verantwoordelijk is voor schade en boetes door datalekken. Betreffende huisarts kan die schade civielrechtelijk verhalen op de verwerkingsverantwoordelijke (Medworq) als de verwerkingsovereenkomst is geschonden. Arnoud Engelfriet zal dit vast beter kunnen duiden.
Hoe langer het duurt voordat we wetgeving hebben waarmee cloud- en softwareleveranciers aansprakelijk worden gesteld voor hun fouten, hoe somberder ik onze digitale toekomst inzie.
Medworq is veel groter en gehaaider dan al die huisartspraktijken en lokale huisarts-samenwerkingsverbanden. Medworq zal als "verwerker" (art. 4 onder 8 AVG) in de kleine lettertjes van de verwerkingsovereenkomst met de verwerkingsverantwoordelijken (de huisartspraktijken, art. 4 onder 7 AVG) allerlei clausules hebben opgenomen die Medworq vrijwaren van aansprakelijkheid voor van alles en nog wat. De theorie van de AVG is dan dat verwerkingsverantwoordelijken zelf kiezen om ofwel zelf die risico's te aanvaarden, ofwel niet met deze specifieke verwerker in zee te gaan.
De theorie is ook dat die huisartsen, als het misgaat, te maken krijgen met handhavend optreden en eventueel boetes van de toezichthouder (de AP).
De praktijk is anders. Medworq en vergelijkbare organisaties dwingen hun "opdrachtgevers" om akkoord te gaan met die kleine lettertjes. En de AP doet niks. Zolang de AP niet het mandaat en niet de personeelscapaciteit krijgt om hier voortvarend tegen op te treden (namelijk zodra er één huisarts bij de AP melding maakt van dit probleem), zullen deze wantoestanden voortduren.
Maar goed, we hebben al gezien dat de regeringen-Rutte er geen enkel probleem mee hebben om wantoestanden voor onbepaalde tijd te laten voortduren. Tijd voor een soort "Urgenda"-zaak waarin een rechter de regering verplicht om de AP in staat te stellen haar wettelijke taak naar behoren uit te voeren.
M.J.
Behalve wanneer het bedrijf de gegevens verwerkt op een manier die niet past bij de diensten die het levert. Dan zijn ze zelf verantwoordelijk.
Wanneer dit klopt zijn ze dus verantwoordelijk.
Behalve wanneer het bedrijf de gegevens verwerkt op een manier die niet past bij de diensten die het levert. Dan zijn ze zelf verantwoordelijk.
Wanneer dit klopt zijn ze dus verantwoordelijk.
Juridisch gezien gaat het er voor het bedrijf (Medworq) niet om of het bedrijf de gegevens verwerkt op een manier die "past bij de diensten die het levert" en ook niet of het bedrijf "medische dossiers bij huisartsen heeft verzameld zonder dat zij of hun patiënten daarvan op de hoogte waren". Het gaat er alleen om of het bedrijf zich aan de verwerkingsovereenkomst heeft gehouden. Indien de verwerkingsovereenkomst zodanig is geformuleerd dat het bedrijf zonder medeweten van de verwerkingsverantwoordelijke medische dossiers mag verzamelen, dan ligt de schuld en aansprakelijkheid daarvoor juridisch gezien bij de verwerkingsverantwoordelijke, niet bij het bedrijf, dat zich dan "netjes" aan de overeenkomst heeft gehouden.
In de praktijk betekent dit dat er een enorm gat is in de rechtsbescherming van zowel de "betrokkenen" (de patiënten van de huisartsen) als de huisartsen, omdat die op de "markt" voor deze diensten geen serieuze weerstand kunnen bieden aan de macht van bedrijven zoals Medworq.
Ziehier de vruchten van het neoliberalisme, waarbij men "de markt" van alles wil laten bepalen, gecamoufleerd door een beetje "regulation-light" (in dit geval: een AP zonder voldoende budget of menskracht en een AVG die in strijd met artikel 8 EVRM zodanig wordt geïnterpreteerd dat-ie in talloze gevallen geen reële privacy-bescherming biedt).
Nu dit in de publiciteit is gekomen, is het heel goed mogelijk dat rechters nu even wat "strenger" zullen zijn tegen Medworq. Maar dat doen ze dan niet op grond van de wet, maar op grond van de publiciteit en de politieke aspecten. Zolang er geen of weinig publiciteit komt, dekken onze brave Nederlandse rechters de schenders van onze privacy. Dat zou pas veranderen wanneer in Nederland de trias politica zou worden hersteld. Op dit laatste punt heb ik, na alles wat ik de afgelopen jaren in de rechtspraak heb zien gebeuren, heel weinig verwachtingen meer.
Ik zie voor rechters op dit moment te weinig incentives om onafhankelijk recht te gaan spreken, of zelfs maar om te gaan beseffen wat onafhankelijke rechtspraak inhoudt.
M.J.
Ziehier de vruchten van het neoliberalisme, waarbij men "de markt" van alles wil laten bepalen, gecamoufleerd door een beetje "regulation-light" (in dit geval: een AP zonder voldoende budget of menskracht en een AVG die in strijd met artikel 8 EVRM zodanig wordt geïnterpreteerd dat-ie in talloze gevallen geen reële privacy-bescherming biedt).
Nu dit in de publiciteit is gekomen, is het heel goed mogelijk dat rechters nu even wat "strenger" zullen zijn tegen Medworq. Maar dat doen ze dan niet op grond van de wet, maar op grond van de publiciteit en de politieke aspecten. Zolang er geen of weinig publiciteit komt, dekken onze brave Nederlandse rechters de schenders van onze privacy. Dat zou pas veranderen wanneer in Nederland de trias politica zou worden hersteld. Op dit laatste punt heb ik, na alles wat ik de afgelopen jaren in de rechtspraak heb zien gebeuren, heel weinig verwachtingen meer.
Ik zie voor rechters op dit moment te weinig incentives om onafhankelijk recht te gaan spreken, of zelfs maar om te gaan beseffen wat onafhankelijke rechtspraak inhoudt.
M.J.
Daar zegt M.J. nogal wat. Er volgt... een oorverdovende stilte.
E.e.a. mag niet waar zijn. Bij gebrek aan argumenten is doodzwijgen is enige alternatief.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
