Softwarebedrijf beschuldigt ex-medewerker van diefstal medische data Nederlanders
Het Nederlandse softwarebedrijf Medworq heeft jarenlang volledige medische dossiers van Nederlanders bij huisartsen verzameld, zonder dat zij of hun patiënten daarvan op de hoogte waren. Dat meldde Follow the Money dit weekend. Daarmee is de privacy van tienduizenden patiënten en het medisch beroepsgeheim van tientallen huisartsen geschonden, aldus de publicatie. Medworq ontkent de berichtgeving en stelt dat een ex-medewerker gegevens heeft gestolen en gepubliceerd op internet.
"Wij zijn digitale zorgvernieuwers. We realiseren oplossingen in de zorg om deze beter, sneller en goedkoper te maken. Daarvoor ontwikkelen en implementeren we gezondheidsprogramma’s voor chronische aandoeningen waarbij we medische, financiële en ict-kennis combineren", aldus Medworq op de eigen website. Volgens Follow the Money (FTM) bouwde het bedrijf software en medische databases waarvoor data in opdracht van farmaceutische bedrijven werd verzameld, zonder dat huisartsen op de hoogte waren.
Follow the Money kreeg naar eigen zeggen beschikking over zeer gevoelige data, waaronder medische gegevens van zeker 72.000 mensen en interne documenten van Medworq. Het gaat onder andere om burgerservicenummers, telefoonnummers, e-mails, bankrekeningnummers en soms informatie over beroep, religieuze overtuiging en naaste familie.
Medworq biedt huisartsen software waarmee de betreffende gegevens zouden zijn verzameld. De data waarover Follow the Money zegt te beschikken zou bij 35 huisartsen afkomstig zijn. De dossiers bevonden zich op verschillende plekken binnen het bedrijf, in persoonlijke mappen van medewerkers en op externe servers, zo laat de publicatie weten. Daarnaast werden ook bij Medworq intern kopieën gemaakt van deze dossiers. Hoeveel medewerkers toegang tot die locaties hadden is onbekend.
Datalek
Bij de beveiliging van deze data waren er volgens een medewerker van Medworq allerlei problemen. Zo zou een aantal gebruikers buiten Medworq ongeautoriseerde toegang tot patiëntendata hebben en werden lokale dossiers op de systemen van huisartsen niet verwijderd. Deze medewerker waarschuwde het bedrijf, het ministerie van Volksgezondheid en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).
Aangezien de problemen niet werden opgelost zat er volgens de medewerker niets anders op dan de klok te luiden en nam hij interne documenten en data mee, waaronder de medische dossiers die als back-up op een werklaptop stonden. Pas na een telefoontje van de MIVD eind 2020 komt Medworq achter de diefstal van de gegevens. Het bedrijf doet melding bij de Autoriteit Persoonsgegevens, aangifte van diefstal bij de politie en zou ook huisartsenpraktijken hebben ingelicht. Follow the Money stelt dat geen van de getroffen huisartsen en praktijken op de hoogte zijn gebracht van het datalek.
"Onjuiste berichtgeving"
In een reactie op de berichtgeving stelt Medworq dat die onjuist is. Het datalek zou zijn veroorzaakt door een ex-medewerker die de gegevens zou hebben gestolen. "Ten onrechte wordt de indruk gewekt dat gegevens onvoldoende beveiligd waren wat leidde tot dit datalek. Het gaat hier echter om ontvreemding", aldus het bedrijf. Het strafproces tegen de oud-medewerker zou nog lopen.
Verder claimt Medworq dat één huisartsenpraktijk waarvan de informatie herleidbaar was en de betrokken patiënten zijn ingelicht. Het zou gaan om patienten van wie de oud-medewerker halverwege 2020 gegevens op het dark web zou hebben geplaatst. Volgens het bedrijf is er geen sprake geweest van schending van het medisch beroepsgeheim door huisartsen, is de data, voorafgaand aan de diefstal, niet toegankelijk geweest voor ongeautoriseerde gebruikers en is de data nooit gedeeld met (farmaceutische) bedrijven of instellingen.
"De data die is gekopieerd betreft vermoedelijk verouderde gegevens uit de periode 2012 – 2018. De betreffende data waren versleuteld opgeslagen, zoals dat past binnen ons kwaliteitsbeleid. Zij waren slechts voor een select aantal geautoriseerde personen van de it-afdeling toegankelijk", aldus Medworq. Het bedrijf noemt de motieven van de ’bron’ waarop Follow the Money zich baseert "uiterst discutabel" en vindt dat er vragen moeten worden gesteld bij de integriteit van de data waarop FTM zich naar eigen zeggen heeft gebaseerd. Follow the Money zou ook nog met een tweede artikel over het bedrijf komen.
Waarom trok de klokkenluider aan de bel bij het MIVD ipv het AP?
Hadden de patiënten toestemming gegeven dat hun data door het bedrijf gebruikt werd? Zo nee, dan heb je daarmee je eerste datalek al te pakken.
Dit is een zorg (pun intended) als het gaat om het online delen van medische gegevens.
Hoeveel controle heb je als persoon nu echt over je data?
Er was wel degelijk sprake van een verwekkersovereenkomst tussen de praktijk en Medworq
Doel van het delen van data, is het opsporen van risico patienten, zodat ze betere zorg ontvangen en er preventieve maatregelen getroffen konden worden om erger te voorkomen.
Er is heel zorgvuldig met de data omgesprongen, het klopt dat je als individu maar beperkt controle hebt. De reden voor het beveiligd delen van gegevens is het verbeteren van de zorg, daar kun je toch alleen maar blij mee zijn.
Bedenk daarnaast maar eens wat google allemaal van je weet. Je moet al een heel handige ICT-er zijn om dat te voorkomen, met VPN verbindingen ed
Wat ik wel bijzonder vind is dat journalisten klakkeloos alles van elkaar kopiëren. Op de site van Medworq.nl lees ik dat geen enkel nieuwsstation de moeite heeft genomen Medworq zelf te bellen voor een reactie. Zelfs de NOS niet.
Follow the Money staan toch ook bekend als sensatie-journalisten die vooral hun eigen waarheid verkondigen.
Ik ben als huisarts weer heel druk met uitleggen aan mijn patiënten. Ze maken zo'n onrust, waarschijnlijk levert het Follow- the-money weer extra donateurs op. Inmiddels 35.000 is op hun site te lezen, betekent een slordige 3 miljoen euro per jaar voor een handjevol journalisten. Misschien moet hun eigen Money eens ge-followed worden.... Wie pakt deze handschoen op. Ik zie de kop al voor me...
Overigens lof voor deze nieuwssite, de enige die tot op heden verder gekeken en gelezen heeft!
Uiteindelijk hebben we natuurlijk goede landelijke richtlijnen nodig, er is zoveel winst te boeken in gezondheid, als we gebruik zouden maken van alle kennis die voorhanden is. Door het Nederlandse systeem met schotten tussen de 1e en 2e lijn weten zorgverleners van elkaar nauwelijks wat ze doen. Anno 2022...
nou er zijn mensen die de bank bellen en vragen aan de bankmedewerker kan ik 300.000 het beste over maken promp
worden gebeld door fraudeurs met het verhaal als je het zo en zo
doet maken ik het veilger voor u...
nou de rest weet u...??????
Waarom trok de klokkenluider aan de bel bij het MIVD ipv het AP?
Omdat dit veel breder gaat dan een datalek. Er zijn dossiers met (o.a.) medische gegevens en naaste familie verzameld en opgeslagen. Dit soort data is een goudmijn voor staten met kwaad in de zin. Dit soort informatie wil je niet in verkeerde handen hebben en onder de patiënten en naaste familie kunnen militairen zitten. Daarbij komt dat er ongeautoriseerde toegang tot deze data heeft plaatsgevonden.
Ik denk dat de MIVD (en AIVD) hier wel degelijk in geïnteresseerd is/zijn.
Ik lees in de reactie van Medworq het volgende"
De betreffende oud-medewerker was in mei 2019 aangenomen als potentieel opvolger van onze Chief Information Security Officer (CISO). Vanuit zijn functie en de opdracht om onderzoek te verrichten naar mogelijke informatie- en/of beveiligingsrisico`s had deze oud-medewerker toegang tot de data. Vanuit zijn positie heeft de oud-medewerker in 2019 onrechtmatig data gekopieerd."
Dan vrees ik dat het ernstig gesteld is. Ten eerste gaat een Chief Information Security Officer (CISO) over de informatieveiligheid, maar heeft voor het uitvoeren van zijn werk in 95% van de gevallen geen toegang tot de data zelf nodig. En als die toegang nodig is horen er procedures te zijn. Als een CISO ongecontroleerd toegang heeft tot alle data, dan is de informatiebeveiliging duidelijk niet op orde.
We weten niet wat er op de achtergrond speelt, maar het zal mij niet verbazen als deze CISO in spe problemen intern heeft willen aankaarten, maar dat zijn adviezen door de bestuurders naast zich neer gelegd zijn en dat hij ten einde raad buiten de organisatie aan de bel heeft getrokken.
Er zullen vast de nodige externe onderzoeken komen die gaan uitwijzen wat hier daadwerkelijk aan de hand is geweest.
Er is expliciete toestemming nodig van het individu, om de data juridisch gezien te mogen delen. Dat negeren, en dan stellen dat je daar maar blij mee zou moeten zijn ?
Dat heeft echter helemaal niets te maken, met medisch beroepsgeheim, en met de expliciete eis dat patienten toestemming moeten geven, alvorens U hun gegevens deelt. Misschien tijd voor een juridische opfris cursus ?
Ik vraag me af of deze huisarts die zich hier gemeld heeft (nou ken ik de meeste huisartsen als digibeet en hebben nog nooit van security.nl gehoord, tenzij ze een huisarts zijn in dienst van dit softwarebedrijf en security.nl gevonden hebben via google) van al zijn klanten dan ook schriftelijke toestemming heeft om zijn/haar data aan dit soort bedrijven te geven.
Ik weet uit ervaring dat het een teringzooi is om opzettelijk data van een huisarts of specialist ergens anders te krijgen, dus dat het via de huisarts dan zo makkelijk gaat vind ik een beetje cru op z'n zachts gezegd.
Sorry dat ik het zeg, maar met mijn ervaringen met EPD's bouwen voor o.a. Epic en Chipsoft bij de zorg staat het security besef en de technische kennis bij huisartsen ergens op een schaal van 0-10 in ieder geval onder de 1, ik heb er nog NOOIT een gezien die boven de 1 uit kwam in de afgelopen 30 jaar.
Er was wel degelijk sprake van een verwekkersovereenkomst tussen de praktijk en Medworq
Doel van het delen van data, is het opsporen van risico patienten, zodat ze betere zorg ontvangen en er preventieve maatregelen getroffen konden worden om erger te voorkomen.
Er is heel zorgvuldig met de data omgesprongen, het klopt dat je als individu maar beperkt controle hebt. De reden voor het beveiligd delen van gegevens is het verbeteren van de zorg, daar kun je toch alleen maar blij mee zijn.
Bedenk daarnaast maar eens wat google allemaal van je weet. Je moet al een heel handige ICT-er zijn om dat te voorkomen, met VPN verbindingen ed
Wat ik wel bijzonder vind is dat journalisten klakkeloos alles van elkaar kopiëren. Op de site van Medworq.nl lees ik dat geen enkel nieuwsstation de moeite heeft genomen Medworq zelf te bellen voor een reactie. Zelfs de NOS niet.
Follow the Money staan toch ook bekend als sensatie-journalisten die vooral hun eigen waarheid verkondigen.
Ik ben als huisarts weer heel druk met uitleggen aan mijn patiënten. Ze maken zo'n onrust, waarschijnlijk levert het Follow- the-money weer extra donateurs op. Inmiddels 35.000 is op hun site te lezen, betekent een slordige 3 miljoen euro per jaar voor een handjevol journalisten. Misschien moet hun eigen Money eens ge-followed worden.... Wie pakt deze handschoen op. Ik zie de kop al voor me...
Overigens lof voor deze nieuwssite, de enige die tot op heden verder gekeken en gelezen heeft!
Uiteindelijk hebben we natuurlijk goede landelijke richtlijnen nodig, er is zoveel winst te boeken in gezondheid, als we gebruik zouden maken van alle kennis die voorhanden is. Door het Nederlandse systeem met schotten tussen de 1e en 2e lijn weten zorgverleners van elkaar nauwelijks wat ze doen. Anno 2022...
Dank voor het delen van deze 'insite' informatie. Helaas trekken veel personen hier heel snel conclusies en wordt het lastig om de zinnige informatie eruit te halen. Ik denk dat Medworq ook beter had kunnen communiceren en niet meteen in de verdediging vallen. Dit wekt geen vetrouwen, met alle, meestal ongefundeerde, conclusies en commentaren als gevolg.
Het is volkomen irrelevant of er een verwerkingsovereenkomst tussen huisarts en bedrijf is als de patient geen toestemming gegeven heeft. En zelfs als die wel toestemming gegeven heeft blijkt er in de uitvoering veel mis te zijn gegaan.
Dan ben je als bedrijf al linea recta totaal ongeloofwaardig.
Neem me niet kwalijk dat ik niets van je verhaal voor de waarheid aanneem. Ook niet dat je huisarts bent.
Een echte huisarts heeft om 10:50 uur op een maandagochtend geen tijd om te reageren op een security site.
Je betoog leest als iets dat Medworq zelf geschreven zou kunnen hebben.
Neem me niet kwalijk dat ik niets van je verhaal voor de waarheid aanneem. Ook niet dat je huisarts bent.
Een echte huisarts heeft om 10:50 uur op een maandagochtend geen tijd om te reageren op een security site.
Hmm. Als een huisarts toevallig _geen_ consult (patient te laat, of afgezegd) kan die net als iedere andere kantoorknuppel even gaan reageren op internet .
En als een praktijk gewoon bepaalde tijdblokken reserveert voor 'geen consult' (intercollegiaal overleg, koffiepauze etc) - dan kan een huisarts ook een stuk van die tijd gebruiken om te internetten en te reageren.
"Wij echte IT experts" hebben blijkbaar ook even een momentje gevonden om wat te roepen.
Het zou kunnen dat het iemand is die roept een betrokken huisarts te zijn maar dat niet is - maar alleen maar "je kunt er geen tijd voor hebben" is niet genoeg bewijs
Er was wel degelijk sprake van een verwekkersovereenkomst tussen de praktijk en Medworq
Doel van het delen van data, is het opsporen van risico patienten, zodat ze betere zorg ontvangen en er preventieve maatregelen getroffen konden worden om erger te voorkomen.
Er is heel zorgvuldig met de data omgesprongen, het klopt dat je als individu maar beperkt controle hebt. De reden voor het beveiligd delen van gegevens is het verbeteren van de zorg, daar kun je toch alleen maar blij mee zijn.
Bedenk daarnaast maar eens wat google allemaal van je weet. Je moet al een heel handige ICT-er zijn om dat te voorkomen, met VPN verbindingen ed
Wat ik wel bijzonder vind is dat journalisten klakkeloos alles van elkaar kopiëren. Op de site van Medworq.nl lees ik dat geen enkel nieuwsstation de moeite heeft genomen Medworq zelf te bellen voor een reactie. Zelfs de NOS niet.
Follow the Money staan toch ook bekend als sensatie-journalisten die vooral hun eigen waarheid verkondigen.
Ik ben als huisarts weer heel druk met uitleggen aan mijn patiënten. Ze maken zo'n onrust, waarschijnlijk levert het Follow- the-money weer extra donateurs op. Inmiddels 35.000 is op hun site te lezen, betekent een slordige 3 miljoen euro per jaar voor een handjevol journalisten. Misschien moet hun eigen Money eens ge-followed worden.... Wie pakt deze handschoen op. Ik zie de kop al voor me...
Overigens lof voor deze nieuwssite, de enige die tot op heden verder gekeken en gelezen heeft!
Uiteindelijk hebben we natuurlijk goede landelijke richtlijnen nodig, er is zoveel winst te boeken in gezondheid, als we gebruik zouden maken van alle kennis die voorhanden is. Door het Nederlandse systeem met schotten tussen de 1e en 2e lijn weten zorgverleners van elkaar nauwelijks wat ze doen. Anno 2022...
Tja, en daar sta je dan met je verwerkersovereenkomst.
De data was bij het bedrijf voor een CISO benaderbaar en kopieerbaar. Die heeft dus duidelijk door zijn handelen bewezen dat de data niet veilig was.
Het is leuk dat commerciele bedrijven willen "helpen" bij het indentificeren van "risico patienten", maar dat had niet geanonimiseerd kunnen gebeuren?
Van de site van Medworq zelf:
"Ten onrechte wordt de indruk gewekt dat gegevens onvoldoende beveiligd waren wat leidde tot dit datalek. Het gaat hier echter om ontvreemding."
Ontvreemding is óók een datalek.
"potentieel opvolger van onze Chief Information Security Officer (CISO). Vanuit zijn functie en de opdracht om onderzoek te verrichten naar mogelijke informatie- en/of beveiligingsrisico`s had deze oud-medewerker toegang tot de data. Vanuit zijn positie heeft de oud-medewerker in 2019 onrechtmatig data gekopieerd."
Dan is het nog steeds een datalek,
En heeft de potentiele CISO bewezen dat de data niet veilig was bij dit bedrijf. Want gestolen.
Een CISO hoeft niet bij deze data te kunnen.
Bij ons bedrijf is dat in ieder geval het geval. Scheiding van functies.
"De data die is gekopieerd betreft vermoedelijk verouderde gegevens uit de periode 2012 – 2018. De betreffende data waren versleuteld opgeslagen, zoals dat past binnen ons kwaliteitsbeleid. Zij waren slechts voor een select aantal geautoriseerde personen van de IT-afdeling toegankelijk."
Dus wat heeft FTM dan ingezien? Want encrypted volgens het bedrijf.
Was deze potentiele CISO geautoriseerd lid van de IT-afdeling? Waarom?
Dat het "vermoedelijk" om "oude" data gaat, betekent niet dat er geen datalek is.
Oude medische data, is de medische geschiedenis van een patient.
"Daarnaast zijn de klanten (één huisartsenpraktijk) tot wie de informatie herleidbaar zou zijn en de betrokken patiënten, direct geïnformeerd."
Dus de data was herleidbaar tot arts en patient. Oeps. Niet geanonimiseerd dus.
"De data zijn – voorafgaand aan de diefstal – expliciet niet toegankelijk geweest voor ongeautoriseerden. De oud-medewerker had vanuit zijn functie als Information Security Officer toegang tot deze data."
Leg nader uit. Waarom was dit vanuit zijn functie noodzakelijk?
dan kies ik voor het laatste
The Matrix
Ze zijn echter wel ergens anders terechtgekomen dan dat uiteindelijk de bedoeling was.
Het hele gebeuren is eigenlijk congruent inherent aan digitalisering.
Bij een databak met losse kaarten, had er een fysieke ontvreemding moeten zijn.
Bij een digitale onregelmatigheid als deze ontbreken de logs waarschijnlijk
en is alleen vastgesteld dat de data thans ergens anders verblijven dan de bedoeling is/was.
Big Tech doet niet anders en wordt daarop nooit aangesproken.
Anders had er al vanaf het begin geen probleem/problemen met privacy en (pseudeo-)anonimiteit geweest,
Data-honger maakt de dief en dat is in dat geval een waar woord.
Niet meer data, maar betere en beter beschermde data, ook beter voor waar die data toe dienen.
Waarom nog steeds geen uitsluitsel van de Spaanse autoriteiten over het uiteinde van John McAfee in het gevang destijds?
Zo ziet u dat er al naar gelang het niveau er anders mee omgegaan wordt.
We blijven leven in een rare wereld wellicht en later wellicht in een deepfake simulatie realiteit.
Laten we hier met z'n allen eens goed over na gaan denken.
#observator
dan kies ik voor het laatste
The Matrix
Nou, (er van uitgaande dat je niet sarcastisch was) als die digitale samenleving zo slecht beveiligd is en zich niet aan geldende regels kan/wil houden, dan kies ik voor de analoge variant.
Als er dan iets fout gaat, dan worden er minder personen door die fout geraakt.
Laat overheid/politiek/bedrijfsleven eerst maar eens bewijzen dat ze te vetrouwen zijn met andermans data.
Tot nu toe is het keer op keer epic fail.
Waar is die "Security by Design" gebleven waar iedereen een paar jaar terug nog zijn mond zo vol van had?
Ik merk er niets van.
Je verwacht dit niet he...
Op naar de europese variant. Die heeft vooral voordelen en de privacy is gewaarborgd. Echt waar.
Ik ben één van de huisartsen die het betreft.
Er was wel degelijk sprake van een verwekkersovereenkomst tussen de praktijk en Medworq
en nog meer blabla
Overigens lof voor deze nieuwssite, de enige die tot op heden verder gekeken en gelezen heeft!
Uiteindelijk hebben we natuurlijk goede landelijke richtlijnen nodig, er is zoveel winst te boeken in gezondheid, als we gebruik zouden maken van alle kennis die voorhanden is. Door het Nederlandse systeem met schotten tussen de 1e en 2e lijn weten zorgverleners van elkaar nauwelijks wat ze doen. Anno 2022...
Mijn intuitie en daarmee conclusie zegt dat jij niet daadwerkelijk een huisarts bent , maar iemand van Medworq of ingehuurd om te reageren in hun voordeel.
En nog meer reguurders/trollen hier die de boel proberen recht te breien met fakenews.
Witte boorden criminelen die bij van Lienden in de klas hebben gezeten en extra geld verdienden aan patienteninfo.
Ik hoop dat ze er niet mee wegkomen en ze nu een cel naast Sywert krigen
Neem me niet kwalijk dat ik niets van je verhaal voor de waarheid aanneem. Ook niet dat je huisarts bent.
Een echte huisarts heeft om 10:50 uur op een maandagochtend geen tijd om te reageren op een security site.
Je betoog leest als iets dat Medworq zelf geschreven zou kunnen hebben.
Alle huisartsen waarvan de onversleutelde data als CVS en XML dumps op servers en werkplekken en ook Microsoft-Sharepoint Public-Cloud servers stonden [data van 2013 tot en met 2019), zijn door FTM persoonlijk geinformeerd en hebben zich allen gepikeerd geuit over dat hun patientendata onrechtmatig in handen van IT bedrijven is gekomen.
Dat commentaar op deze site, wat zogenaamd van een 'huisarts' zou komen, komt 100% zeker niet van een van de betroffen huisartsen.
Ook de logica klop inderdaad niet, een Huisarts heeft er geen baat bij om de affaire te gaan verdedigen op een "security" website.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.