Softwarebedrijf beschuldigt ex-medewerker van diefstal medische data Nederlanders

Softwarebedrijf beschuldigt ex-medewerker van diefstal medische data Nederlanders

Het Nederlandse softwarebedrijf Medworq heeft jarenlang volledige medische dossiers van Nederlanders bij huisartsen verzameld, zonder dat zij of hun patiënten daarvan op de hoogte waren. Dat meldde Follow the Money dit weekend. Daarmee is de privacy van tienduizenden patiënten en het medisch beroepsgeheim van tientallen huisartsen geschonden, aldus de publicatie. Medworq ontkent de berichtgeving en stelt dat een ex-medewerker gegevens heeft gestolen en gepubliceerd op internet.

“Wij zijn digitale zorgvernieuwers. We realiseren oplossingen in de zorg om deze beter, sneller en goedkoper te maken. Daarvoor ontwikkelen en implementeren we gezondheidsprogramma’s voor chronische aandoeningen waarbij we medische, financiële en ict-kennis combineren”, aldus Medworq op de eigen website. Volgens Follow the Money (FTM) bouwde het bedrijf software en medische databases waarvoor data in opdracht van farmaceutische bedrijven werd verzameld, zonder dat huisartsen op de hoogte waren.

Follow the Money kreeg naar eigen zeggen beschikking over zeer gevoelige data, waaronder medische gegevens van zeker 72.000 mensen en interne documenten van Medworq. Het gaat onder andere om burgerservicenummers, telefoonnummers, e-mails, bankrekeningnummers en soms informatie over beroep, religieuze overtuiging en naaste familie.

Medworq biedt huisartsen software waarmee de betreffende gegevens zouden zijn verzameld. De data waarover Follow the Money zegt te beschikken zou bij 35 huisartsen afkomstig zijn. De dossiers bevonden zich op verschillende plekken binnen het bedrijf, in persoonlijke mappen van medewerkers en op externe servers, zo laat de publicatie weten. Daarnaast werden ook bij Medworq intern kopieën gemaakt van deze dossiers. Hoeveel medewerkers toegang tot die locaties hadden is onbekend.

Datalek

Bij de beveiliging van deze data waren er volgens een medewerker van Medworq allerlei problemen. Zo zou een aantal gebruikers buiten Medworq ongeautoriseerde toegang tot patiëntendata hebben en werden lokale dossiers op de systemen van huisartsen niet verwijderd. Deze medewerker waarschuwde het bedrijf, het ministerie van Volksgezondheid en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).

Volgens de medewerker zat er niets anders op dan de klok te luiden en nam hij interne documenten en data mee, waaronder de medische dossiers die als back-up op een werklaptop stonden. Pas na een telefoontje van de MIVD eind 2020 komt Medworq achter de diefstal van de gegevens. Het bedrijf doet melding bij de Autoriteit Persoonsgegevens, aangifte van diefstal bij de politie en zou ook huisartsenpraktijken hebben ingelicht. Follow the Money stelt dat geen van de getroffen huisartsen en praktijken op de hoogte is gebracht van het datalek.

“Onjuiste berichtgeving”

In een reactie op de berichtgeving stelt Medworq dat die onjuist is. Het datalek zou zijn veroorzaakt door een ex-medewerker die de gegevens zou hebben gestolen. “Ten onrechte wordt de indruk gewekt dat gegevens onvoldoende beveiligd waren wat leidde tot dit datalek. Het gaat hier echter om ontvreemding”, aldus het bedrijf. Het strafproces tegen de oud-medewerker zou nog lopen.

Verder claimt Medworq dat één huisartsenpraktijk waarvan de informatie herleidbaar was en de betrokken patiënten ingelicht. Het zou gaan om patienten van wie de oud-medewerker halverwege 2020 gegevens op het dark web zou hebben geplaatst. Volgens het bedrijf is er geen sprake geweest van schending van het medisch beroepsgeheim door huisartsen, is de data, voorafgaand aan de diefstal, niet toegankelijk geweest voor ongeautoriseerde gebruikers en is de data nooit gedeeld met (farmaceutische) bedrijven of instellingen.

“De data die is gekopieerd betreft vermoedelijk verouderde gegevens uit de periode 2012 – 2018. De betreffende data waren versleuteld opgeslagen, zoals dat past binnen ons kwaliteitsbeleid. Zij waren slechts voor een select aantal geautoriseerde personen van de it-afdeling toegankelijk”, aldus Medworq. Het bedrijf noemt de motieven van de ’bron’ waarop Follow the Money zich baseert “uiterst discutabel” en vindt dat er vragen moeten worden gesteld bij de integriteit van de data waarop FTM zich naar eigen zeggen heeft gebaseerd. Follow the Money zou ook nog met een tweede artikel over het bedrijf komen.

Bron: https://www.security.nl/posting/758458/Softwarebedrijf+beschuldigt+ex-medewerker+van+diefstal+medische+data+Nederlanders?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.