Op een rommelmarkt bij vliegveld Weelde zijn vijftien tweedehands harde schijven verkocht met daarop onbeveiligde medische gegevens van honderden patiënten. Dat meldde Tweakers vorige week. De data komt van het failliete Nortade uit Breda, mogelijk via een boedelverkoop. Het roept de vraag op: is de curator dan aansprakelijk voor het datalek?
Bij Omroep Brabant melden ze dat ene Robert Polet uit Breda ze ontdekte en een routinecontrole deed. Deze liet talrijke gevoelige bestanden zien, zoals burgerservicenummers, medicatiegegevens en patiëntendossiers. Hoe kon dat?
Uit een mailwisseling van Robert met een getroffen zorgorganisatie uit de provincie Utrecht, stelt de ICT-afdeling dat de gegevens afkomstig zijn van het bedrijf Nortade ICT Solutions uit Breda. Zij implementeerden software voor de zorgsector, maar het bedrijf lijkt inmiddels niet meer te bestaan. De website is niet meer online en in het handelsregister van de Kamer van Koophandel is er niets meer over het bedrijf te vinden.
Een mogelijkheid is dat die naam een niet-ingeschreven handelsnaam is van een ander bedrijf (dat mag), en dat het andere bedrijf failliet is. Dat zou verklaren waarom de schijven niet zijn vernietigd: daar is dan geen geld voor, en mogelijk wist de verkopende partij niet eens dát er persoonsgegevens op de schijf stonden toen ze alles aan een oudemetalenhandelaar verkochten.
Nee, onder de AVG is dat geen excuus. Onbeschermde data die buiten de organisatie komt, dat noemen we een datalek. En na een faillissement is de curator daarvan de verwerkingsverantwoordelijke, en dus aanspreekbaar voor de gevolgen.
We hebben het eerder gehad over klantenbestanden verkopen om de boedel wat geld te bezorgen. Dit is een ander verhaal, dit voelt eerder als het zo snel mogelijk van de fysieke rommel af willen omdat de huur van de kantoorruimte opgezegd is. En wie gaat er dan op oude computers kijken?
Het zou natuurlijk ook kunnen dat het bedrijf ‘gewoon’ gestopt is, en daardoor zelf de spullen ergens dumpte. Het feit dat klanten van niets weten, wijst daar voor mij eerder op. Een curator informeert gewoonlijk de lopende klanten. Als die er niet zijn, snap ik dat niemand wordt geïnformeerd én dat het datalek zomaar kan gebeuren.
Arnoud
