Over datalek 2020

 

 

 

 

Datalek gestuit

Beste lezer,

Op 25 en 28 juni 2022 publiceerde Follow the Money twee artikelen over een datalek dat in 2020 bij Medworq is opgetreden. Dit datalek was veroorzaakt door een oud-medewerker die data heeft ontvreemd. Ten onrechte werd de indruk gewekt dat gegevens onvoldoende beveiligd waren. In het ons hieronder geplaatste bericht gaven we al een reactie op beide artikelen. Daarnaast zouden wij u informeren bij ontwikkelingen.

 

Primaire zorg

De afgelopen weken, nadat FTM ons informeerde dat de oud-medewerker mogelijk veel meer data had gestolen dan aangenomen en hintte op een grotere verspreiding, was onze eerste zorg om een potentieel groter datalek en daarmee de verspreiding te stoppen van de door de oud-medewerker ontvreemde gegevens.

 

Recente ontwikkeling

In nauwe samenwerking met het Openbaar Ministerie hebben we bereikt dat de oud-medewerker de gestolen data op met encryptie versleutelde usb-drive heeft gedeponeerd bij een door ons aangewezen notaris. Bij deze notaris ondertekende de oud-medewerker de volgende verklaring:

 

“Ik heb alle door mij van Medworq verworven informatie (inclusief de bijbehorende code(s), zodat de gegevensdrager toegankelijk is) op 5 juli 2022 volledig overgedragen aan de door Medworq aangewezen notaris te Doetinchem en alle kopie data gewist op diezelfde datum. Ik beschik daarom niet meer over die informatie en kan daar dus ook niet bij. De hiervoor bedoelde informatie heb ik niet verstrekt aan (nog meer) anderen en heb deze dus enkel aan de journalisten van FTM verstrekt.”

 

FTM heeft al eerder verklaard dat zij alle data die door de oud-medewerker aan FTM is verstrekt, heeft gewist.

 

Hiermee is het datalek gestuit. De openbaring van de gegevens van betrokkenen beperkt zich dan ook tot de 40 personen bij een huisartsenpraktijk waarvoor wij medio 2020 al de noodzakelijke acties hebben genomen.

 

Vervolg acties

Medworq blijft in gesprek met het Openbaar Ministerie om gezamenlijk te waarborgen dat de oud-medewerker zich aan de afspraken houdt.

 

We betreuren de onrust die door de datadiefstal en onjuiste berichtgeving is ontstaan. Met het stuiten van het datalek hopen wij een bijdrage geleverd te hebben om deze onrust te reduceren. Wij beraden ons momenteel op juridische vervolgacties om de schade die is veroorzaakt door deze diefstal en publicaties te verhalen.

 

Mocht u vragen hebben, dan vernemen wij dit uiteraard graag.

 

Directie van Medworq

Geen sprake van schending medisch beroepsgeheim: datadiefstal door oud-medewerker aanleiding voor artikel FTM

 

Beste lezer,

In de week van 20 juni, bracht Follow The Money (FTM) ons op de hoogte van twee conceptartikelen. Beide artikelen zijn inmiddels door  FTM gepubliceerd. Onze reacties op beide artikelen zijn hier onder te lezen.

 

Onze reactie op het eerste artikel

FTM schrijft in haar eerste artikel over een datalek dat in 2020 bij Medworq is opgetreden. Wat echter niet duidelijk naar voren komt is dat het datalek is veroorzaakt door een oud-medewerker die data heeft ontvreemd.  Ten onrechte wordt de indruk gewekt dat gegevens onvoldoende beveiligd waren wat leidde tot dit datalek. Het gaat hier echter om ontvreemding.

 

Binnen de kaders van haar ISO-kwaliteitssysteem (de NEN 7510 normen) is Medworq continu op zoek naar risicovermindering. De betreffende oud-medewerker was in mei 2019 aangenomen als potentieel opvolger van onze Chief Information Security Officer (CISO). Vanuit zijn functie en de opdracht om onderzoek te verrichten naar mogelijke informatie- en/of beveiligingsrisico`s had deze oud-medewerker toegang tot de data. Vanuit zijn positie heeft de oud-medewerker in 2019 onrechtmatig data gekopieerd.

 

De data die is gekopieerd betreft vermoedelijk verouderde gegevens uit de periode 2012 – 2018. De betreffende data waren versleuteld opgeslagen, zoals dat past binnen ons kwaliteitsbeleid. Zij waren slechts voor een select aantal geautoriseerde personen van de IT-afdeling toegankelijk.

 

Omdat wij onze informatiebeveiliging voortdurend verbeteren zijn de betreffende data in 2019 na besluitvorming in het ISO-overleg verwijderd. Achteraf is echter gebleken dat de medewerker in die betreffende periode ernstig misbruik heeft gemaakt van zijn functie door de patiëntdata voor verwijdering te kopiëren voor eigen doeleinden. Betreffende medewerker heeft al eind 2019 met een VSO (vaststellingsovereenkomst) het bedrijf verlaten.

 

Medio 2020 zijn wij door een overheidsinstantie tot onze schrik op de hoogte gesteld van een datalek. Vanzelfsprekend hebben wij direct alle maatregelen getroffen die passen bij ons kwaliteits- en veiligheidsbeleid. Zo is het datalek gemeld aan de Autoriteit Persoonsgegevens. Daarnaast zijn de klanten (één huisartsenpraktijk) tot wie de informatie herleidbaar zou zijn en de betrokken patiënten, direct geïnformeerd. Ook is in 2020 aangifte gedaan bij de politie tegen de oud-medewerker die bij ons de data heeft ontvreemd.  Vervolgens is de oud-medewerker door de politie gehoord en heeft hij zijn daad bekend. Het strafproces bij het Openbaar Ministerie loopt nog. Vanzelfsprekend zijn wij in contact met alle autoriteiten om de afhandeling van deze vervelende kwestie zo spoedig en zorgvuldig mogelijk af te handelen, in het belang van alle betrokkenen. Zo zijn wij in contact met de Landelijke Huisartsen Vereniging (LHV), diverse zorggroepen, de huisartsen en natuurlijk politie en het Openbaar Ministerie.

 

Het artikel
We hebben FTM verzocht om af te zien van publicatie omdat het verhaal een onvolledige en verkeerde voorstelling van zaken geeft. Het verhaal bevat verder aannames, verdachtmakingen en insinuaties die onjuist zijn. Medworq heeft in het kader van haar kwaliteitssysteem in 2019 al haar data opgeschoond. Wij beschikken niet meer over de betreffende data. FTM heeft ons geen inzage gegeven in de gestolen informatie van de oud-medewerker waarop zij hun bevindingen baseren.

 

Voorts zijn de motieven van de ’bron’ van de informatie uiterst discutabel en moeten er vragen worden gesteld bij de integriteit van de data waarop FTM zich naar eigen zeggen heeft gebaseerd.

 

Een paar voorbeelden van onjuistheden in het artikel:

 

  • Er is geen sprake geweest van schending medisch beroepsgeheim door huisartsen.
  • Patiënten van wie de oud-medewerker medio 2020 gegevens op het dark web heeft geplaatst zijn allen in 2020 geïnformeerd.
  • De data zijn – voorafgaand aan de diefstal – expliciet niet toegankelijk geweest voor ongeautoriseerden. De oud-medewerker had vanuit zijn functie als Information Security Officer toegang tot deze data.
  • Data zijn nooit gedeeld met (farmaceutische) bedrijven of instellingen.

Kortom: wij herkennen ons als bedrijf, en gezien onze bedrijfsvoering, totaal niet in de weergave van in dit artikel en distantiëren ons hiervan.

 

Onze grootste zorg
Onze eerste zorg is nog altijd het datalek, oftewel de eventuele verdere verspreiding van de data door de oud-medewerker, te stoppen.Voor publicatie van het eerste artikel hebben wij getracht om in overleg te komen met FTM over risicobeperking op privacyschending door de diefstal van de oud-medewerker. FTM heeft hieraan niet mee willen werken.

Met de LHV zijn en blijven wij in gesprek over de gevolgen voor de huisarts en betrokkenen. Volgens de LHV is op dit moment niet te beoordelen of er een meldplicht bestaat richting betrokkenen. Hierdoor adviseert de LHV patienten (nog) niet te informeren. Mocht gaande ons contact met het LHV het advies wijzigen, dan brengen wij, in overleg met het LHV, de betreffende huisartsen verder op de hoogte.

Overigens blijven wij uiteraard in contact met de Autoriteit Persoonsgegevens en het Openbaar Ministerie.

We hebben verschillende (juridische) acties uitgezet om te bewerkstelligen dat oud-medewerker gekopieerde data alsnog vernietigt en niet verder verspreidt.

 

Tot slot
Wij hebben geen aanleiding gevonden dat er binnen Medworq onzorgvuldig of onjuist gehandeld is. Dat de oud-medewerker, vanuit zijn voormalige functie van Information Security Officer, data heeft gekopieerd en geopenbaard raakt ons zeer.

 

Onze reactie op het tweede artikel

FTM heeft ons ook vooraf inzage gegeven in het tweede artikel dat zij hebben gepubliceerd op basis de gestolen bedrijfsinformatie van de oud-medewerker (zie uitleg hierover in voorgaande commentaar).

Dit artikel schetst een wereld die zo ver afstaat van onze werkelijkheid en raakt kant noch wal. We gaan daarom niet meer met FTM over het artikel in overleg.

Het artikel staat wederom bol van aannames, verdachtmakingen en insinuaties.

 

Een paar voorbeelden hiervan:

  • Geldschieters: Medworq heeft in haar periode van bestaan nooit geldschieters gehad.
  • GSK-Medworq: Medworq heeft in haar bestaan (10 jaar) opdrachten in de omvang van EUR 12.000 van GSK ontvangen.
  • Farminform-Medworq: Onze relatie met Farminform had zuiver een maatschappelijke doelstelling. Hiervoor is in 2019 een Joint Venture opgericht. Deze Joint Venture kende in haar statuten geen winstuitkering en een financieel non profit-uitgangspunt.
  • Het maatschappelijk doel van de Joint Venture was het opzetten van een privacy en security by design dataplatform voor de zorg, waarin zorgondersteuning en onderzoek gefaciliteerd konden worden.
  • Nogmaals: Data zijn nooit gedeeld en zouden ook nooit worden gedeeld met (farmaceutische) bedrijven of instellingen.

 

Kortom: wij distantiëren ons volledig van dit artikel.

Berichtgeving door media buiten FTM, baseren zich volledig op het FTM artikel. We nodigen media uit om het gesprek met ons aan te gaan en onze kant van het verhaal te horen en toetsen.

 

Mocht u vragen hebben, dan vernemen wij dit uiteraard graag.

Directie van Medworq