image

Kuipers: softwareleverancier huisartsen geen verwerkingsverantwoordelijke

maandag 12 september 2022, 12:02 door Redactie, 12 reacties

Het Nederlandse softwarebedrijf Medworq, dat software aan huisartsen levert en afgelopen juni in opspraak raakte over een vermeend datalek, was in deze zaak geen verwerkingsverantwoordelijke, zo laat minister Kuipers van Volksgezondheid weten. Medworq ontwikkelt software waarmee huisartsen informatie over patiënten kunnen opslaan.

In juni kwam Follow the Money (FTM) met een verhaal dat Medworq jarenlang volledige medische dossiers van Nederlanders bij huisartsen heeft verzameld, zonder dat zij of hun patiënten daarvan op de hoogte waren. Follow the Money kreeg ook de beschikking over gevoelige data, waaronder medische gegevens van zeker 72.000 mensen en interne documenten van Medworq.

Volgens de softwareleverancier was er sprake van onjuiste berichtgeving. Zo was er geen sprake van schending van het medisch beroepsgeheim en waren gegevens wel voldoende beveiligd. Een oud-medewerker had de data bij Medworq gestolen en deelde die met journalisten van FTM. Het bedrijf stelde verder dat het juridische vervolgacties overweegt om de schade te verhalen die is veroorzaakt door de datadiefstal en publicaties.

De berichtgeving van FTM was aanleiding voor de VVD om Kamervragen te stellen. "Op basis van de beschikbare informatie gaan wij ervan uit dat Medworq de gegevens enkel feitelijk beheerde voor de zorgaanbieders en niet zelf verwerkingsverantwoordelijk was voor de gegevens. In die situatie blijven de zorgaanbieders verantwoordelijk voor verwerking van de persoonsgegevens en dient in de verwerkingsovereenkomst met de verwerker (in casu de softwareleverancier Medworq) afgesproken te worden wat de verwerker wel of niet met de gegevens mag doen", reageert Kuipers.

Volgens de minister hebben organisaties, zoals ziekenhuizen, zelf een verantwoordingsplicht om aan te tonen dat ze aan de AVG voldoen. Dit geldt ook wanneer commerciële partijen de gegevens verwerken. In deze zaak heeft de Autoriteit Persoonsgegevens vragen aan Medworq gesteld, maar verdere informatie kan Kuipers niet geven. Wel laat de minister onderzoeken of de toezicht- en handhavingsbevoegdheden van de Inspectie Gezondheid en Jeugd (IGJ) moeten worden verduidelijkt.

Reacties (12)
12-09-2022, 12:14 door Anoniem
Braaaaaaaaaaaaaaak!
12-09-2022, 13:13 door Erik van Straten
Tja.

Tikkie off-topic maar ook uit de koker van VWS, uit https://www.nen.nl/nta-7516:
Waarom een norm voor veilig mailen?

Als onderdeel van het VWS-project ‘Veilige Mail’ [1] werkten belanghebbenden en experts uit de zorg aan een normenkader voor veilige e-mail. Het traject startte op 10 oktober 2018 en eindigde met de publicatie van de norm in het voorjaar van 2019. Op 20 mei 2020 werd ook certificatie tegen NTA 7516 mogelijk met de publicatie van het certificatieschema NCS 7516. [...]
[1] https://www.informatieberaadzorg.nl/programmas-en-projecten/project-veilige-mail
What possibly could go wrong beschrijf ik in https://www.security.nl/posting/767506/Gemeente+verstuurd+email+die+alles+weg+heeft+van+een+phising+bericht_#posting767725.
12-09-2022, 14:00 door majortom - Bijgewerkt: 12-09-2022, 14:11
Een oud-medewerker had de data bij Medworq gestolen en deelde die met journalisten van FTM.
De beveiliging is in ieder geval niet op orde. Een medewerker van Medworq zou nooit bij de data moeten kunnen. Blijkt wel weer dat de data die in de gezondheidszorg wordt vastgelegd niet voldoende is beschermd. Of de access is niet goed geregeld of de data is niet adequaat encrypted (ik vrees dat beide het geval is).
12-09-2022, 14:29 door Anoniem
Dit staat los van het feit dat deze partij schijnbaar illegaal data bewaarde waar men geen toestemming voor had en die data toegankelijk maakte voor mensen die daar geen toegang toe mochten hebben.

Het defunden van het AP door rechtse partijen (waaronder VVD en CDA) en de lakse handhaving werken dit soort misbruik alleen maar in de hand: tijd om het AP wat meer slagvaardiger te maken en meer mogelijkheden tot handhaving te geven.
12-09-2022, 16:26 door Anoniem
De minister geeft een andere draai aan de data-impact van de avg en GDPR daarbij een partij die gegevens overneemt dan bijvoorbeeld universiteit groningen (https://www.futurelearn.com/courses/general-data-protection-regulation), die namelijk overdracht als onderscheidend principe neemt voor data verantwoordelijke.
12-09-2022, 18:00 door Erik van Straten
Door majortom:
Een oud-medewerker had de data bij Medworq gestolen en deelde die met journalisten van FTM.
De beveiliging is in ieder geval niet op orde. Een medewerker van Medworq zou nooit bij de data moeten kunnen. Blijkt wel weer dat de data die in de gezondheidszorg wordt vastgelegd niet voldoende is beschermd. Of de access is niet goed geregeld of de data is niet adequaat encrypted (ik vrees dat beide het geval is).
Als MedWorq na dit "incident" niet heel veel inkomsten derft (nieuwe klanten wegblijven en/of bestaande vertrekken) heeft zij een prima businessmodel met goed ingeschatte risico's. Bevestigd door minister Kuipers.

Hoe langer het duurt voordat we wetgeving hebben waarmee cloud- en softwareleveranciers aansprakelijk worden gesteld voor hun fouten, hoe somberder ik onze digitale toekomst inzie.
12-09-2022, 19:48 door Anoniem
Dat Medworq geen verwerkingsverantwoordelijke is, is zo aannemelijk dat ik dat direct wel had durven stellen. De 'verwerkingsverantwoordelijke' is diegene die eigenaar is van de data, dat zal in dit geval de huisarts(enpost) zijn. Medworq is in dit opzicht de Verwerker. De huisartsen die deze software afnemen moeten een verwerkersovereenkomst met Medworq hebben.

Medworq moet zich aan de voorwaarden van de verwerkersovereenkomst houden en bij een (vermeend) datalek de verwerkingsverantwoordelijke (huisarts) informeren. De huisarts moet vervolgens een meldplichtig datalek bij de AP melden.

Ik ben geen jurist, maar ik vermoed dat de huisarts primair verantwoordelijk is voor schade en boetes door datalekken. Betreffende huisarts kan die schade civielrechtelijk verhalen op de verwerkingsverantwoordelijke (Medworq) als de verwerkingsovereenkomst is geschonden. Arnoud Engelfriet zal dit vast beter kunnen duiden.
12-09-2022, 20:47 door EersteEnigeEchte M.J. - EEEMJ
Door Erik van Straten:
Door majortom:
Een oud-medewerker had de data bij Medworq gestolen en deelde die met journalisten van FTM.
De beveiliging is in ieder geval niet op orde. Een medewerker van Medworq zou nooit bij de data moeten kunnen. Blijkt wel weer dat de data die in de gezondheidszorg wordt vastgelegd niet voldoende is beschermd. Of de access is niet goed geregeld of de data is niet adequaat encrypted (ik vrees dat beide het geval is).
Als MedWorq na dit "incident" niet heel veel inkomsten derft (nieuwe klanten wegblijven en/of bestaande vertrekken) heeft zij een prima businessmodel met goed ingeschatte risico's. Bevestigd door minister Kuipers.

Hoe langer het duurt voordat we wetgeving hebben waarmee cloud- en softwareleveranciers aansprakelijk worden gesteld voor hun fouten, hoe somberder ik onze digitale toekomst inzie.

Medworq is veel groter en gehaaider dan al die huisartspraktijken en lokale huisarts-samenwerkingsverbanden. Medworq zal als "verwerker" (art. 4 onder 8 AVG) in de kleine lettertjes van de verwerkingsovereenkomst met de verwerkingsverantwoordelijken (de huisartspraktijken, art. 4 onder 7 AVG) allerlei clausules hebben opgenomen die Medworq vrijwaren van aansprakelijkheid voor van alles en nog wat. De theorie van de AVG is dan dat verwerkingsverantwoordelijken zelf kiezen om ofwel zelf die risico's te aanvaarden, ofwel niet met deze specifieke verwerker in zee te gaan.

De theorie is ook dat die huisartsen, als het misgaat, te maken krijgen met handhavend optreden en eventueel boetes van de toezichthouder (de AP).

De praktijk is anders. Medworq en vergelijkbare organisaties dwingen hun "opdrachtgevers" om akkoord te gaan met die kleine lettertjes. En de AP doet niks. Zolang de AP niet het mandaat en niet de personeelscapaciteit krijgt om hier voortvarend tegen op te treden (namelijk zodra er één huisarts bij de AP melding maakt van dit probleem), zullen deze wantoestanden voortduren.

Maar goed, we hebben al gezien dat de regeringen-Rutte er geen enkel probleem mee hebben om wantoestanden voor onbepaalde tijd te laten voortduren. Tijd voor een soort "Urgenda"-zaak waarin een rechter de regering verplicht om de AP in staat te stellen haar wettelijke taak naar behoren uit te voeren.

M.J.
13-09-2022, 08:48 door Anoniem
"Op basis van de beschikbare informatie gaan wij ervan uit dat Medworq de gegevens enkel feitelijk beheerde voor de zorgaanbieders en niet zelf verwerkingsverantwoordelijk was voor de gegevens. In die situatie blijven de zorgaanbieders verantwoordelijk voor verwerking van de persoonsgegevens en dient in de verwerkingsovereenkomst met de verwerker (in casu de softwareleverancier Medworq) afgesproken te worden wat de verwerker wel of niet met de gegevens mag doen"

Behalve wanneer het bedrijf de gegevens verwerkt op een manier die niet past bij de diensten die het levert. Dan zijn ze zelf verantwoordelijk.

In juni kwam Follow the Money (FTM) met een verhaal dat Medworq jarenlang volledige medische dossiers van Nederlanders bij huisartsen heeft verzameld, zonder dat zij of hun patiënten daarvan op de hoogte waren.

Wanneer dit klopt zijn ze dus verantwoordelijk.
13-09-2022, 11:48 door Anoniem
Als gebruikelijk - "Glas, plas, was".
13-09-2022, 12:30 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 13-09-2022, 12:31
Door Anoniem:
"Op basis van de beschikbare informatie gaan wij ervan uit dat Medworq de gegevens enkel feitelijk beheerde voor de zorgaanbieders en niet zelf verwerkingsverantwoordelijk was voor de gegevens. In die situatie blijven de zorgaanbieders verantwoordelijk voor verwerking van de persoonsgegevens en dient in de verwerkingsovereenkomst met de verwerker (in casu de softwareleverancier Medworq) afgesproken te worden wat de verwerker wel of niet met de gegevens mag doen"

Behalve wanneer het bedrijf de gegevens verwerkt op een manier die niet past bij de diensten die het levert. Dan zijn ze zelf verantwoordelijk.

In juni kwam Follow the Money (FTM) met een verhaal dat Medworq jarenlang volledige medische dossiers van Nederlanders bij huisartsen heeft verzameld, zonder dat zij of hun patiënten daarvan op de hoogte waren.

Wanneer dit klopt zijn ze dus verantwoordelijk.

Juridisch gezien gaat het er voor het bedrijf (Medworq) niet om of het bedrijf de gegevens verwerkt op een manier die "past bij de diensten die het levert" en ook niet of het bedrijf "medische dossiers bij huisartsen heeft verzameld zonder dat zij of hun patiënten daarvan op de hoogte waren". Het gaat er alleen om of het bedrijf zich aan de verwerkingsovereenkomst heeft gehouden. Indien de verwerkingsovereenkomst zodanig is geformuleerd dat het bedrijf zonder medeweten van de verwerkingsverantwoordelijke medische dossiers mag verzamelen, dan ligt de schuld en aansprakelijkheid daarvoor juridisch gezien bij de verwerkingsverantwoordelijke, niet bij het bedrijf, dat zich dan "netjes" aan de overeenkomst heeft gehouden.

In de praktijk betekent dit dat er een enorm gat is in de rechtsbescherming van zowel de "betrokkenen" (de patiënten van de huisartsen) als de huisartsen, omdat die op de "markt" voor deze diensten geen serieuze weerstand kunnen bieden aan de macht van bedrijven zoals Medworq.

Ziehier de vruchten van het neoliberalisme, waarbij men "de markt" van alles wil laten bepalen, gecamoufleerd door een beetje "regulation-light" (in dit geval: een AP zonder voldoende budget of menskracht en een AVG die in strijd met artikel 8 EVRM zodanig wordt geïnterpreteerd dat-ie in talloze gevallen geen reële privacy-bescherming biedt).

Nu dit in de publiciteit is gekomen, is het heel goed mogelijk dat rechters nu even wat "strenger" zullen zijn tegen Medworq. Maar dat doen ze dan niet op grond van de wet, maar op grond van de publiciteit en de politieke aspecten. Zolang er geen of weinig publiciteit komt, dekken onze brave Nederlandse rechters de schenders van onze privacy. Dat zou pas veranderen wanneer in Nederland de trias politica zou worden hersteld. Op dit laatste punt heb ik, na alles wat ik de afgelopen jaren in de rechtspraak heb zien gebeuren, heel weinig verwachtingen meer.

Ik zie voor rechters op dit moment te weinig incentives om onafhankelijk recht te gaan spreken, of zelfs maar om te gaan beseffen wat onafhankelijke rechtspraak inhoudt.

M.J.
14-09-2022, 14:37 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ:
Ziehier de vruchten van het neoliberalisme, waarbij men "de markt" van alles wil laten bepalen, gecamoufleerd door een beetje "regulation-light" (in dit geval: een AP zonder voldoende budget of menskracht en een AVG die in strijd met artikel 8 EVRM zodanig wordt geïnterpreteerd dat-ie in talloze gevallen geen reële privacy-bescherming biedt).

Nu dit in de publiciteit is gekomen, is het heel goed mogelijk dat rechters nu even wat "strenger" zullen zijn tegen Medworq. Maar dat doen ze dan niet op grond van de wet, maar op grond van de publiciteit en de politieke aspecten. Zolang er geen of weinig publiciteit komt, dekken onze brave Nederlandse rechters de schenders van onze privacy. Dat zou pas veranderen wanneer in Nederland de trias politica zou worden hersteld. Op dit laatste punt heb ik, na alles wat ik de afgelopen jaren in de rechtspraak heb zien gebeuren, heel weinig verwachtingen meer.

Ik zie voor rechters op dit moment te weinig incentives om onafhankelijk recht te gaan spreken, of zelfs maar om te gaan beseffen wat onafhankelijke rechtspraak inhoudt.

M.J.

Daar zegt M.J. nogal wat. Er volgt... een oorverdovende stilte.

E.e.a. mag niet waar zijn. Bij gebrek aan argumenten is doodzwijgen is enige alternatief.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.