Blijf het bedrijf regelmatig mailen en vraag hoe de stand van zaken is, welke data gelekt is etcetera. Anders blijft het het bij deze ene email.

"AddComm heeft laten weten dat zij niet met zekerheid heeft kunnen vaststellen dat uw gegevens niet zijn gekopieerd. "

als je 2x niet weghaalt staat er:

"AddComm heeft laten weten dat zij met zekerheid heeft kunnen vaststellen dat uw gegevens zijn gekopieerd."


Dubbele ontkenning, dan klinkt de waarheid meestal mooier.

Infomedics heb ik trouwens voorbij zien komen op Telegram, is dat hetzelfde als AddCom?

Je moet 100-200 euro betalen om dan adres of telefoongegevens te krijgen van een persoon wonenende in Nederland.

Het is het zelfde groepje waar ook valse Identiteitsbewijzen en vuurwerk-in-de-brievenbus te bestellen is. (zonder deze hier te noemen want ik neem aan dat de politie het weet en dat is voldoende)

Laatst stond er trouwens een hele database leak met BSN gegevens van 500.000 Nederlanders te koop aangeboden, maar wat je daar mee moet??

Ik heb even gekeken wat Infomedics en AddCom dan voor bedrijven zijn. In tegenstelling tot veel marketinggewauwel dat je echt niets wijzer maakt zijn ze allebei direct best duidelijk:

Infomedics:

AddCom:

Dus een zorgaanbieder heeft de administratie uitbesteed aan een specialist daarin die zich specifiek op zorgaanbieders richt, en die heeft weer dingen uitbesteed aan een partij die niet gespecialiseerd is in zorg.

De website van Infomedics geeft aan dat ze de nodige certificeringen hebben: ISO 27001: 2013, NEN 7510: 2015 en ISO 9001. Als die jaartallen slaan op wanneer ze voor het laatst gekeurd zijn vraag ik me af of hoe actueel dat nog is. Bij AddCom heb ik die certificeringen niet gevonden. Wat is de certificering van Infomedics nog waard als die een deel van het gecertificeerde werk (want het bevat informatie over medische behandelingen) aan een niet-gecertificeerde partij uitbesteedt?

Verder is AddComm het bedrijf dat in mei van dit jaar in het nieuws kwam omdat er gegevens waren gelekt. Toen werden woningcorporaties, ABN Amro, en energie- en waterbedrijven genoemd. Het ging toen om gijzelsoftware en AddComm heeft losgeld betaald.

Als dit nog om hetzelfde lek gaat wordt dat veel te laat gemeld aan betrokkenen. Als het om een nieuw lek gaat dan is de vraag waarom Infomedics een duidelijk signaal dat AddComm zijn zaakjes niet goed genoeg op orde heeft niet heeft opgepakt. En waarom hebben zorgaanbieders niet opgemerkt dat Infomedics zo te werk gaat? Zij zijn wel de verwerkingsverantwoordelijken voor de AVG en verantwoordelijk voor het medisch beroepsgeheim.

In de bouw hebben we jaren geleden al gezien, aan afbrekende balkons van nieuwbouwappartementen en instortende parkeergarages en dat soort ellende, dat het zicht op kwaliteit verloren gaat als de ketens van onderaannemers te lang worden. Dit lijkt me een voorbeeld van hetzelfde in de IT (de zorg-IT in dit geval). Het doel is dat die gegevens veilig afgehandeld worden, het effect van die ketens is niet dat dat per se gebeurt, maar dat je als het misgaat met je vingertje naar degene kan wijzen die het verkeerd heeft gedaan. Dat was het doel niet.

Mij wordt steeds duidelijker dat dat het effect van lange uitbestedingsketens is, en dat die al heel snel te lang zijn, bij twee stapjes al. De zorgverlener heeft er geen zicht op of AddComm wel goed werkt. Dat is al geen partij meer waar die zorgverlener zelf mee in zee gaat. Als de zorgverleners zich al van AddComm bewust zijn dan zal dat op een vrij vage manier zijn, het is mogelijk niet meer dan een naam die ergens in een contract vermeld wordt, als hij er al in staat. Zodra die afstand tot wat er eigenlijk gebeurt te groot wordt krijg je dat verantwoordelijkheid in de zin van voorkomen dat dingen misgaan vervangen wordt door verantwoordelijkheid in de zin van alleen nog kunnen wijzen naar degene die de fout maakte nadat het is misgegaan. En dat is domweg niet goed genoeg. Echte verantwoordelijkheid laat zich niet zo geweldig op papier regelen, verantwoordelijkheid vereist nabijheid.

Ik wil niet zo ver gaan dat er helemaal niets meer kan worden uitbesteed. Medici zijn geen IT'ers en het is echt niet zo dat iedere huisarts zich een eigen IT-afdeling kan veroorloven. Dat er gespecialiseerde bedrijven ontstaan waarin een aantal zorgaanbieders dit samen doen leidt vermoedelijk tot betere resultaten dan wanneer het ieder voor zich is. Maar als die organisaties weer dingen uitbesteden aan nog een ander lijkt het mij zeer onverstandig als daar nog vertrouwelijke gegevens in digitale vorm in bulk bij zitten. Dat raakt te ver verwijderd van degene die verantwoordelijk is voor die gegevens, en dan werkt die verantwoordelijkheid niet meer.

Ja als je het woord "uw" weghaalt daat er ook wat anders.
Jij haalt woorden weg die niet weg gehaald kunnen worden zonder de betekenis te veranderen.

Wat hier kennelijk aan de hand is, is dat ze wel weten dat er ingebroken is en dat er waarschijnlijk data naar buiten gekopieerd zijn, maar dat niet is vast te stellen welke data precies.

Mag zo'n bedrijf wat rekening maakt naar jouw idee wel weer het maken van software daarvoor aan anderen uitbesteden, of dat ook niet?
Bijvoorbeeld een operating system voor hun computers, moeten ze dat zelf maken of mag een ander dat doen?
En die computers, zijn er nog eisen aan wie die dan maakt, en waar op de wereld?
Want "we weten allemaal" dat als die uit China komen, de Chinese regering alle data die daar verwerkt wordt in handen krijgt (toch?).
M.a.w. wat kan er dan nog?

Ik bedoelde dat de gegevens die vertrouwelijk worden gehouden moeten niet steeds verder van de verantwoordelijke partij verwijderd moeten raken zodat die eigenlijk geen enkel zicht meer heeft op wat ermee gebeurt. Je administratie uitbesteden aan een gespecialiseerde partij die is ingericht op het omgaan met bijzondere persoonsgegevens en het bewaken van het medisch beroepsgeheim hoeft niet per se een ramp te zijn als die partij het tenminste niet op zijn beurt weer aan anderen gaat uitbesteden. Die gegevens moeten gewoon niet te ver van huis raken.

Voordat iedereen in de cloud-hype trapte was trouwens de norm dat je je eigen data zelf in huis had, en leveranciers leverden wel je software maar verwerkten niet je gegevens voor je. Dat vereist wel dat je zelf de kennis en capaciteit hebt om die data zelf goed te beschermen. Dat kan voor een grotere organisatie beter te doen zijn dan voor een kleinere, dus voor de kleintjes kan ik me voorstellen dat het beter werkt om het bij een gespecialiseerd bedrijf onder te brengen. Maar het moet dus niet verder gaan dan dat. Als dat betekent dat dat gespecialiseerde bedrijf het verzenden van brieven niet meer verder uit kan besteden dan moeten ze dat maar zelf afhandelen.

De maker van het OS heeft geen donder met de patiëntdossiers te maken, en heeft dat ook niet nodig om het OS te maken. En behalve commerciële aanbieders daarvan bestaan er ook nog meerdere open source OS'en, waaronder natuurlijk Linux.

Er is voor zover mij bekend niet aangetoond dat dat zo is, het probleem is meer dat men voor kritische zaken het risico erop niet wil lopen.
Een verdeling van industrieën over de wereld die in vele tientallen jaren is opgebouwd draai je natuurlijk niet zomaar even terug, maar er is wel een andere wind gaan waaien en er zijn wel verschuivingen gaande. We zullen zien hoe het loopt.

Maar het verzenden van brieven is toch iets wat een IT bedrijf niet efficient zelf kan doen?
Brieven uitprinten, envelopperen en ter post bezorgen is een activiteit die niet erg past bij het beheren van servers en het maken van software.
Heel goed te begrijpen dat men dat uitbesteedt. Beter nog te begrijpen zelfs dan dat men het e-mailen van nieuwsbrieven uitbesteedt, en zelfs dat doen bedrijven al vaak.

Als je niet wilt dat brieven verzenden uitbesteed wordt dan kun je natuurlijk inzetten op het stoppen met brieven en alles electronisch doen, dat kun je dan wel in-huis doen, maar daar maak je hier ook geen vrienden mee!

Het is weer het gebruikelijke verhaal, iedereen hier weet wel hoe het niet moet en dat het allemaal niet digitaal moet, en dan gaat er wat fout met het verzenden van brieven en dan had dat ook weer niet gemoeten.



Dat zeg je nou wel, maar de maker van het OS is er wel de mede-schuldige van dat die data nu gelekt is.
Dus hadden ze beter zelf een OS kunnen maken?
Want ook met Linux loop je natuurlijk risico's, en die worden groter als iedereen zou besluiten om het in plaats van Windows te gaan gebruiken.


Nou het wordt anders wel gebracht alsof het een vaststaand feit is dat China met alles mee kijkt.

Het blijkt dus om het incident uit afgelopen mei te gaan. Dan bevreemdt het mij dat ik pas na 4 maanden mag vernemen dat een derde partij, ingeschakeld door een derde partij die de financiele afhandeling van mijn zorgverlener doet, medische gegevens van mij gelekt heeft. De mail zegt ook dat het AP onderzoek heeft gedaan. Ik mag hopen dat het AP zijn werk goed doet, want dit is in mijn ogen geheel niet OK te noemen. Wat moet een bedrijf als Addcom met mijn medische gegevens en al helemaal als er al een andere schakel tussen zit die eigenlijk ook al niets met mijn medische gegevens te maken heeft?

Wat ze er mee moeten is dit: als jij een rekening van je zorgverlener krijgt wordt dit kennelijk via 2 externe bedrijven afgewikkeld: een die de rekening opmaakt op basis van de verleende zorg, denk aan het maken van PDF files met kant en klaar opgemaakte rekeningen, en een dat die PDF files ontvangt en vervolgens afdrukt, in enveloppen stopt, en op de post doet. Dat is AddComm. (kennelijk bieden ze ook diensten waarbij die PDF dan niet wordt afgedrukt maar je die zelf weer kunt ophalen)

Nu is daar ingebroken, en wellicht (dit weet men niet zeker) een verzameling van die geprepareerde rekeningen buitgemaakt.
Nu moet men dit aan jou melden, en daarbij moet men heel zuiver aangeven wat er eventueel buitgemaakt kan zijn.
Aangezien op de rekening posten staan met (codes van) medische verrichtingen, is dat in principe "informatie over medische behandelingen" en dus gevoelig.
Maar dat betekent niet dat meteen je hele medische dossier aan hen gestuurd is en buitgemaakt.

Als je een rekening kreeg voor een bedrag zonder enige specificatie zou je ook niet blij zijn.
"Te betalen: 89,95 voor u weet wel waarvoor" dat zou je niet accepteren.
Dus het is een compromis tussen bruikbare rekeningen en eventueel lekken van informatie.

Als Infomedics dit allemaal zelf had geregeld (dus het afdrukken en versturen) en niet AddComm had ingeschakeld dan had je nog steeds risico's, omdat ook bij Infomedics kan worden ingebroken. En die hebben misschien nog wel meer informatie over jou dan ze hebben doorgestuurd naar AddComm.

In feite mag je blij zijn dat er instanties zijn die medische informatie over jou hebben en verwerken. Dat betekent namelijk dat we een zorgsysteem hebben en dat je behandeld kunt worden bij ziektes enzo.
Er is hier de populaire mening dat er helemaal geen persoonlijke gegevens verwerkt en opgeslagen mogen worden, maar bedenk je wel dat je dan ook die diensten niet meer hebt.
Er zijn zat landen waar dat zo werkt. Maar hier is het beter geregeld en dat heeft veel meer voor- dan nadelen.

Je zit in een manier van denken waar wel wat op aan te merken is. In plaats van een gespecialiseerd bedrijf dat dat doet kan je ook een gespecialiseerde afdeling binnen een bedrijf hebben die dat doet. Het lijkt wel alsof van alles dat ooit een afdeling was tegenwoordig per se een apart bedrijf moet zijn. Dat is niet zo; als jij post te versturen hebt dan is het niet zo raar als jij post verstuurt, dan hoort dat tot jouw bezigheden; ook als je het uitbesteedt is het nog altijd een activiteit van jou die je uitbesteedt.

Een eigen postverwerkingsafdeling werkt door de kleinere schaal ongetwijfeld minder efficiënt dan bij een tent waar het echt heel in het groot gebeurt, maar ik twijfel er niet aan dat de winst daarvan heel wat kleiner is dan de overgang van handmatig werken naar een enveloppeermachine was. Je hebt het op een gegeven moment wel over verminderde meeropbrengst. En moet je werkelijk het laatste druppeltje eruit proberen te persen als de prijs die je daarvoor betaalt is dat je niet meer aan de eisen voor het verwerken van bijzondere persoonsgegevens blijkt te voldoen, omdat het via-via terecht is gekomen bij een partij die daar niet echt op is ingericht? Ik denk dat om aan de eisen te voldoen die aan dat soort verwerkingen worden gesteld het efficiënter is om het dichtbij genoeg te hebben om nog te kunnen overzien dat aan die eisen wordt voldaan — niet alleen op papier maar in het echt.

Ik heb vroeger op de ontwikkelafdeling (toen nog niet uitbesteed) gewerkt van een bedrijf dat pal naast de computerzaal (ook nog niet uitbesteed) een afdeling had (ook al niet uitbesteed) waar een handjevol mensen met enkele snelle laserprinters en een grote enveloppeermachine indrukwekkende volumes aan post enveloppen in en de deur uit werkten. Die beheerden geen servers en maakten geen software, maar het was wel onderdeel van de bedrijfsactiviteiten en zelfs nuttig en zinvol om het pal naast de computerzaal te hebben, omdat daar al strenge beveiligingsmaatregelen golden en dus ook de postverwerking zonder extra moeite (efficiënt!) streng beveiligd was tot het in dichtgeplakte enveloppen door het postbedrijf werd opgehaald.

Dat is puur geredeneerd vanuit de efficiëntie van schaalvergroting. Houd ook eens rekening met de efficiëntie van korte communicatielijnen, de efficiëntie van er nog zicht op hebben dat de verwerking niet alleen op papier maar ook in werkelijkheid aan de eisen voldoet, de efficiëntie van niet allemaal verschillende commerciële belangen hebben maar dezelfde belangen nastreven (omdat je voor dezelfde werkgever werkt), de efficiëntie van snel en flexibel kunnen reageren als er iets niet goed gaat, en de al genoemde efficiëntie van dezelfde beveiligingsmaatregelen voor meerdere verwerkingen te kunnen gebruiken. Het is niet efficiënt om specialisaties maximaal van elkaar te scheiden als ze samen voor het resultaat zorgen.

Als een eigen OS bouwen zo simpel was als zelf laserprinters en enveloppeermachines bedienen zou ik zeggen: ja, geweldig, doen! Kan je je voorstellen hoe anders de wereld eruit zou zien als een kwetsbaarheid in een besturingssysteem maar één organisatie zou raken? Alleen heeft zelfs IBM, een reus die zelf ettelijke besturingssystemen heeft ontwikkeld, ik dacht ongeveer rond de eeuwwisseling geconstateerd dat ze domweg onmogelijk nog op konden ontwikkelen tegen hoe snel Linux werd ontwikkeld, en toen hebben ze besloten daar niet mee te concurreren maar zich erbij aan te sluiten. Dus nee, een eigen OS bouwen gaat niet, dat is veel te hoog gegrepen.

Dat betekent niet dat je dingen waarvoor het wel haalbaar is om ze zelf te doen ook allemaal moet uitbesteden. Trek het als gedachte-experiment maar door tot het uiterste: alles wordt uitbesteed. Als dat punt bereikt wordt dan is het bedrijf zelf volslagen overbodig geworden want het doet niets meer. Behalve geld verdienen, natuurlijk, maar als het zelf niets doet voegt het ook zelf niets toe voor klanten en moet je je ernstig gaan afvragen waarom het eigenlijk nog klanten heeft.

Als uitbesteden tot gevolg heeft dat iets niet meer aan de eisen voldoet, zoals hier het geval lijkt te zijn, dan vind ik dat dat uitbesteden over de grens van het haalbare is gegaan.

Het punt lijkt hier te zijn geweest dat de uitbesteding van verwerking van bijzondere persoonsgegevens doorliep tot een partij die daar niet voor toegerust is, en dáár is het misgegaan. Elk OS kan degelijker en minder degelijk worden geconfigureerd en beheerd. Het is mogelijk dat dit meer aan het bedrijf lag waar het misging dan aan het OS dat ze gebruikten, hoewel ik zeker niet uitsluit dat het OS een factor was.

En ongeacht welk OS wordt gebruikt: hoe meer partijen dezelfde gegevens aan elkaar door spelen om de verwerking te doen hoe groter de totale kans is dat er ongelukken mee gebeuren. Een simpele kansberekening is op zich al een argument om gevoelige gegevens niet naar teveel partijen door te (laten) kopiëren.

Ik heb wel gezien dat ze toen een lek hebben gehad, maar niet dat dit een gevolg van dat lek van mei is. Het kan voor zover ik heb gezien ook een nieuw lek zijn. Heb jij meer informatie inmiddels?

Alleen komt de kans op een lek bij AddComm bovenop de kans op een lek bij Infomedics, terwijl als Infomedics het printen en envelopperen zelf had gedaan het erg voor de hand had gelegen om dat achter dezelfde beveiligingsmaatregelen te stoppen zodat het daar geen extra risico had opgeleverd.

Taal is geen wiskunde. Het feit dat je iets niet hebt kunnen vaststellen, betekent niet per definitie dat je het tegengestelde wel hebt kunnen vaststellen.

Dat zeg je nou wel, maar kennelijk is een andere bij AddComm beschikbare functionaliteit dat je de klanten zelf hun factuur kunt laten ophalen van de server, en juist het bieden van dat soort mogelijkheden introduceert een voet tussen de deur die er bij Infomedics wellicht niet is. Ga je die toevoegen dan lopen zij wellicht ook meer risico.

Dat zeg ik nou wel omdat afdrukken en versturen was waar we het over hadden.

Downloaden moet helemaal niet via AddComm lopen, dat hoort thuis in een patiëntportaal, met een daarbij passend beveiligingsniveau. Dat moet Infomedics dus zelf doen, en ik zie dat je als patiënt ook bij Infomedics kan inloggen. Daar hoort het downloaden van facturen thuis. AddComm kan dat wel aanbieden, maar ik zou het heel bedenkelijk vinden als ze het ook gebruiken.

Als Infomedics in staat is om een patiëntportaal te maken en in staat is om die PDF's te produceren, en dat doen ze allebei, dan moet het ze ook wel lukken om die PDF's een plekje in dat patiëntportaal te geven.

Reactie op mezelf: ik zat scheel te kijken, het staat gewoon in de brief die je in je topic had staan, ik heb hardnekkig over "in mei" heen gelezen. Je hebt groot gelijk: dit is ernstig laat pas aan jou gemeld.