Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

42 artikelen

© Follow the Money

Commercieel softwarebedrijf schendt jarenlang de privacy van tienduizenden patiënten en het medisch beroepsgeheim van tientallen huisartsen

3 Connecties

Relaties

Medworq

Organisaties

GlaxoSmithKline

Werkvelden

Privacy
39 Bijdragen

Onder het mom ‘handig voor huisartsen’ bouwde Medworq dashboards op basis van echte patiëntendata. Via de software van dit commerciële bedrijf zetten minstens 35 huisartsen de achterdeur open naar hun patiëntengegevens. Van ten minste 72.000 Nederlanders zwierven zo jarenlang alle medische gegevens rond op de servers van Medworq. De huisartsen waren hiervan niet op de hoogte, en wisten dus niet dat zij jaren op rij hun medisch beroepsgeheim schonden.

0:00
Dit stuk in 1 minuut

Wat is het nieuws?

  • Medworq verzamelde jarenlang volledige medische dossiers bij huisartsen, zonder dat zij of hun patiënten daarvan op de hoogte waren. Medische gegevens genieten de hoogste graad van wettelijke bescherming. Maar dit bedrijf bewaarde patiëntengegevens op onveilige plekken, tegen de afspraken in. 
  • Hiermee is de privacy van minimaal 72.000 patiënten en het medisch beroepsgeheim van zeker 35 huisartsen ernstig geschonden. 
  • Medworq bouwde de software en medische databases waarvoor de data verzameld werden in opdracht van farmaceutische bedrijven. Hiervan waren artsen niet op de hoogte.

Hoe heeft Follow the Money dit onderzocht?

  • Voor dit onderzoek kreeg Follow the Money beschikking over zeer gevoelige data, waaronder medische gegevens van zeker 72.000 mensen en interne documenten van Medworq. 
  • Voordat we hiermee aan de slag gingen, heeft Follow the Money een jurist geconsulteerd en besproken hoe we privacyschending konden minimaliseren. Dat heeft geresulteerd in afspraken over beveiliging en toegang tot de data; in dit kader zetten we ze op een rij.
  • Follow the Money heeft de getroffen huisartsen een factsheet en verdere informatie gegeven waarmee ze melding kunnen doen bij de Autoriteit Persoonsgegevens. Met de huisartsen is afgesproken dat zij zelf hun patiënten informeren.
Lees verder

‘Ja, deze patiënt ken ik,’ mompelt huisarts Jeroen van der Lugt, terwijl hij door een excelblad met medische gegevens van patiënten uit zijn Zaandamse praktijk scrollt. ‘Dit is een diagnose. Kijk, een episode-omschrijving.’ Zijn ogen gaan de rijen data af. Na tien seconden volgt een diepe zucht. ‘Jee, niet te geloven zeg. Ik snap niet waar dit vandaan komt. Dat snap ik echt niet.’ 

Huisarts Van der Lugt, goed thuis in de wereld van data-uitwisseling in eerstelijnszorg, is zo verbijsterd, omdat Follow the Money met deze informatie bij hem aanklopt. De data staan op een harde schijf, afkomstig van een klokkenluider, die binnen het commerciële zorgbedrijf Medworq zag hoe op grote schaal de privacy van patiënten werd geschonden. Omdat de klokkenluider deze gegevens naar buiten bracht, startte het Openbaar Ministerie na aangifte door Medworq een strafrechtelijk onderzoek. 

Minstens 34 andere huisartsen en praktijken zitten in hetzelfde parket als Van der Lugt: ook hun medische dossiers staan op de gelekte harde schijf. Die dossiers staan vol namen, adressen, burgerservicenummers, telefoonnummers, e-mails, bankrekeningnummers en soms informatie over beroep, religieuze overtuiging en naaste familie van ten minste 72.000 mensen

De dossiers bevatten zelfs gespreksverslagen tussen artsen en patiënten: informatie die onder het medisch beroepsgeheim valt en absoluut binnen de muren van de spreekkamer hoort te blijven. Alledaagse kwalen komen voorbij, zoals steenpuisten, griep, rugpijn, ziekenhuisopnames en longontstekingen. 

Maar ook: incest, verkrachting, huiselijk geweld, psychische problemen, vaak gelinkt aan personen die met naam en toenaam in het dossier staan. ‘Veel problemen gehad in de jeugd,’ staat er, ‘zou mishandeld zijn door moeder’. Of: ‘Slechter slapen, suïcidegedachten. Sertraline verhogen naar 2 dd 1.’ En ook: ‘Meerdere genitale wratten op de labia zichtbaar.’ 

Waarom Medworq over al deze informatie beschikt, is voor Van der Lugt een raadsel: hij heeft nog nooit van dit bedrijf gehoord. Ook het gros van de 34 andere artsen kent Medworq niet. Ze hadden geen idee dat medewerkers van Medworq toegang hadden tot de medische gegevens van hun patiënten. Daarmee hadden ze ook geen idee dat ze jaren op rij hun medisch beroepsgeheim schonden.  

Datadashboard

Het datalek bij de 35 huisartsen vindt zijn oorsprong in softwareprogramma Insider. Wim Jongejan, voormalig huisarts en kritisch ICT-blogger testte dat programma.

Jongejans oude spreekkamer ziet er tegenwoordig uit als een commandocentrum, met tussen de boekenkasten meerdere beeldschermen, een headset met microfoon en een stuurconsole. ‘Ik vlieg virtueel met een clubje, iedere week op zondag en woensdag,’ legt Jongejan uit. 

Eind jaren ’80 experimenteerde Jongejan als een van de eerste huisartsen met een digitaal medisch dossier: het huisarts-informatiesysteem (HIS). Als techliefhebber was Jongejan altijd uitstekend op de hoogte van de nieuwste ontwikkelingen. De voorloper van Insider wekte zijn interesse, want het was één van de eerste pogingen om meer te doen met de informatie uit het huisarts-informatiesysteem. ‘Het heette toen HIS-link, en het werd gesponsord door farmaciebedrijf GlaxoSmithKline (GSK).’ 

Een farmaceut die huisartsensoftware sponsorde? Jongejan vond het niet heel gek. ‘Dat soort sponsoring zag je in die tijd wel vaker. Ik had de indruk dat het tot niets verplichtte.’ 

Academici, onderzoekers en commerciële bedrijven azen op de data in de medische dossiers

Insider is een dashboard dat de huisarts op zijn computer installeert. Het maakt gegevens uit zijn eigen systeem over bepaalde patiënten inzichtelijk zodat hij patiënten met bijvoorbeeld diabetes, nierproblemen of astma kan monitoren. Hij kan ook informatie over zijn eigen patiënten, zoals bepaalde meetwaarden, vergelijken met het gemiddelde van deze groep patiënten bij andere praktijken.

Data-analyses als deze passen bij de manier waarop huisartsenzorg zich in die jaren ontwikkelt: huisartsen en apothekers binnen een regio werken steeds meer samen en willen onderling resultaten vergelijken. Zorgverzekeraars vragen de huisartsen om meer gegevens over hun behandelingen. 

Om deze informatie-uitwisseling te vergemakkelijken, rollen bedrijven overal systemen voor het delen van patiëntgegevens uit. Academici, onderzoeksinstituten en commerciële bedrijven azen op de data in de medische dossiers. Door artsen aan de juiste informatie te helpen kunnen ze hun patiënten beter diagnosticeren, wat de zorg efficiënter en goedkoper maakt. Maar er zijn ook een boel commerciële toepassingen mogelijk.

Medisch beroepsgeheim

Die zucht naar data stelt artsen wel voor een nieuwe uitdaging: zij hebben zich te houden aan het medisch beroepsgeheim. Alleen met uitdrukkelijke toestemming van hun patiënt mogen artsen gegevens delen. 

Een arts kan gebruik maken van diensten van gespecialiseerde ICT-dienstverleners. ‘Bijvoorbeeld om een elektronisch patiëntendossier te gebruiken,’ zegt Gerrit-Jan Zwenne, hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Pels Rijcken. 

Gerrit-Jan Zwenne, hoogleraar recht en de informatiemaatschappij

De arts heeft en houdt zeggenschap over de data. Dat impliceert dat hij ook moet weten wat ermee gebeurt

Wel moet de arts in zulke gevallen een verwerkersovereenkomst sluiten, zodat de dienstverlener onder strikte voorwaarden en dito beveiliging kan werken met patiëntendata. ‘De arts heeft en houdt de zeggenschap over de data,’ stelt Zwenne. ‘Dat impliceert dat hij ook moet weten wat ermee gebeurt.’ 

Magistro is zo’n dienstverlener, en bovendien de ontwikkelaar van Insider. In 2007 kopen de Gelderse apotheker Guus Vaassen en zijn collega en zakenpartner Gerrit Jan van Ochten een aandeel in dit bedrijf. Dit duo is eigenaar van een uitdijend medisch adviesbureau

In 2012 richten zij een aparte bv op voor de exploitatie van Insider Software: Inzo. Vanaf 2016 gaat Vaassen alleen verder onder de naam Medworq, met zijn nieuwe partner Thomas Hoyng en later ook Johan Ruiter. Magistro en Inzo – de bv’s achter Insider – gaan bij een fusie in 2017 op in Medworq. 

Inzo vraagt Jongejan, na zijn pensioen, rond 2012 om de software van Magistro te testen. ‘Dat deed ik met een serie zelfverzonnen nep-patiënten,’ zegt de voormalig huisarts. Hij staat op dat moment achter het product. ‘Voor eigen gebruik, zolang de data-analyse in eigen hand bleef, was het heel aardig.’ Insider is dan voor zover Jongejan weet niet meer verbonden aan een farmaceutisch bedrijf. En hij heeft geen idee dat het bedrijf op het punt staat om op grote schaal patiëntendossiers te kopiëren en te bewaren.  

Patiëntendossiers ‘uitspoelen’

Vanaf ongeveer 2015 willen steeds meer huisartsen zo’n gezondheidsdashboard voor nier-, long- en botkwalen uitproberen. Dat gaat niet zomaar. De huisarts-informatiesystemen die in omloop zijn – Promedico, PharmaPartners, Omnihis, Tetrahis en MicroHIS – zitten allemaal anders in elkaar. 

Om de gegevens vergelijkbaar te krijgen in dashboards moet Medworq met alle aanbieders van software voor huisarts-informatiesystemen afspraken maken over het leveren van medische gegevens. Maar die aanbieders houden de boot af omdat ze geen toegang willen geven tot persoonsgegevens. 

Medworq zegt namen van patiënten niet te kunnen anonimiseren, zoals gebruikelijk is voor onderzoeksdoeleinden. Als een huisarts via zo’n dashboard alleen maar hoort dat er twintig patiënten in de praktijk mogelijk met nier-, long- of botproblemen rondlopen, dan is hij nog niet veel wijzer. De huisarts wil weten wie dat zijn. Patiënten kunnen dus niet geanonimiseerd worden, anders zou het dashboard geen nut hebben.

De servers van Medworq stonden vol echte medische dossiers, waarvan niemand meer wist waar die vandaan kwamen

Medworq wil die data daarom rechtstreeks bij de huisarts opvragen. Ook dat gaat niet zonder slag of stoot. Om de analyses van het dashboard met echte patiëntgegevens te kunnen testen, zegt Medworq kopieën nodig te hebben van medische dossiers. Alleen de huisarts kan die maken. Een Medworq-medewerker kopieert deze medische dossiers vervolgens naar de servers en cloud-servers van zijn werkgever. 

Technisch had dit anders gekund: Medworq zou al op de computer van de huisarts een selectie kunnen maken van alleen relevante data, en die onder pseudoniem kunnen uitwisselen met haar eigen systeem om vervolgens de verrijkte data weer terug te voeren naar het dashboard van de huisarts. Maar het bedrijf kiest voor hele dossiers, met identificerende gegevens. 

Dit ‘uitspoelen’ is op papier goed geregeld. Medworq sluit met iedere deelnemende huisarts netjes contracten, heeft privacy- en securityspecialisten in dienst en intern was er volgens oud-medewerkers veel aandacht voor het zorgvuldig omgaan met patiëntengegevens. 

Externe audits waren ook positief. In oktober 2018 stelde cybersecuritybedrijf Secura na technisch onderzoek vast dat de beveiliging van de systemen van Medworq in grote lijnen in orde was.

Toch rammelde het her en der wat, is terug te zien in de gelekte documenten. Zo was één van de software-ontwikkelaars, die verantwoordelijk was voor de beveiliging, niet tevreden over dit positieve oordeel, lezen we in een intern memo over de resultaten van het veiligheidsonderzoek. 

De grootste problemen waren volgens deze developer procedureel: de servers van Medworq stonden vol echte medische dossiers, waarvan niemand meer wist waar die vandaan kwamen. Daarnaast had een collega een lijst met alle wachtwoorden aangelegd, waarmee ‘hij de gehele HIS-database van onze klanten kon leegtrekken’. 

Op de systemen van Medworq stonden tienduizenden medische dossiers waarin mensen met hun echte naam en adres voorkwamen. Deze dossiers bevonden zich op verschillende plekken binnen het bedrijf, in persoonlijke mappen van medewerkers en op externe servers. Daarnaast werden ook bij Medworq intern kopieën gemaakt van deze dossiers: zo stond dezelfde ‘uitspoel’ van een Utrechtse huisartsenpraktijk op zeker drie verschillende plekken op de harde schijf. Onbekend is hoeveel medewerkers toegang hadden tot die locaties.

Hoe heeft Follow the Money dit onderzocht?

Voor dit onderzoek kreeg Follow the Money de beschikking over zeer gevoelige data, waaronder medische gegevens van zeker 72.000 mensen en interne documenten van het bedrijf Medworq. 

Voordat we met de data aan de slag gingen, heeft Follow the Money een jurist geconsulteerd en besproken hoe we privacyschending konden minimaliseren. Dat heeft geresulteerd in een aantal afspraken over beveiliging en toegang tot de data. 

Compartimentalisering 

Follow the Money kon nooit persoonsgegevens zien in combinatie met andere informatie, zoals medische journaals, diagnoses, labuitslagen of financiële gegevens. 

Versleuteling

De data werden versleuteld op een externe harde schijf bewaard. De harde schijf kon op een extra beveiligde virtual machine op één computer ingezien worden. Deze computer was niet verbonden met internet. Zowel de computer als de virtual machine waren versleuteld en beveiligd met sterke wachtwoorden. Als de data niet werden gebruikt, bevond de harde schijf zich in een kluis. Slechts één persoon van Follow the Money had toegang tot de schijf, de computer en de gegevens.

Gebruik van data

We hebben de data beperkt gebruikt. Door een analyse van metadata hebben we vastgesteld dat de gegevens authentiek zijn. Steekproefsgewijs hebben we de gegevens gecontroleerd, en we hebben samples voorgelegd aan de betrokken huisartsen. Tevens zijn enkele bevindingen voorgelegd aan vier oud-medewerkers van Medworq en getoetst aan tientallen interne documenten. 

Daarnaast zijn de data gebruikt voor het vaststellen van de omvang van de privacyschending. Waar mogelijk is analyse gedaan met behulp van Python-code, waarbij persoonsgegevens zijn gehashed, oftewel onomkeerbaar zijn gepseudonimiseerd. In enkele gevallen heeft Follow the Money uit de dossiers geciteerd en er daarbij op gelet geen persoonsinformatie te gebruiken en prijs te geven. 

Vernietiging van data

Vier weken voor publicatie zijn de data volledig gewist bij Follow the Money. 

Voor publicatie heeft Follow the Money contact gezocht met huisartsen die zijn aangetroffen in de selectie van data die gebruikt is voor dit onderzoek, om ze op de hoogte te stellen van het datalek. Follow the Money heeft de huisartsen een factsheet gegeven, dat ze konden gebruiken om melding te doen bij de Autoriteit Persoonsgegevens en om hun patiënten te informeren. Met de huisartsen is afgesproken dat zij hun patiënten zelf informeren. 

Lees verder Inklappen

Imagoschade

Nauwelijks een jaar na de beveiligingscheck trok een medewerkster aan de bel, omdat door toedoen van Medworq een datalek bij huisartsen ontstond. Bij het uitspoelen haalden de huisartsen eerst de medische dossiers uit hun eigen informatiesysteem en zetten die op hun lokale harde schijf.

Daarna kopieerde een medewerker van Medworq die naar de servers van het bedrijf. Vervolgens moest Medworq die lokale dossiers bij de huisarts verwijderen: ze stonden immers buiten de beveiligde omgeving van het huisarts-informatiesysteem. Maar dat gebeurde vaak niet. 

Artsen waren meestal niet op de hoogte dat die data daar nog stonden, stelde deze medewerkster. En dat is een datalek. Want wat als de computer voor reparatie weg moest? Of werd gestolen? Of bij de huisarts onbevoegden met deze computer gingen werken? 

Ook buiten Medworq had een aantal gebruikers ongeautoriseerde toegang tot patiëntendata

De Medworq-medewerkster stelde voor om alle huisartsen aan te schrijven om deze bestanden zo snel mogelijk te wissen. Gaan we niet doen, oordeelden haar leidinggevenden, staat in het interne incidentenregister van 2019: het zou Medworq alleen maar imagoschade opleveren.

In dat jaar hapert de databeveiliging wel vaker, blijkt uit datzelfde incidentenregister van 2019. Ook buiten Medworq had een aantal gebruikers ongeautoriseerde toegang tot patiëntendata, meldde het hoofd ICT. Deze gebruikers zijn in dienst van Z-netwerken, een partij die in opdracht van Medworq werk verricht. Op hun activiteiten had Medworq geen zicht. Wat Medworq met deze melding heeft gedaan, is onduidelijk. Eind 2019 had de melding nog de status ‘lopend’.

Telefoontje van de MIVD

De beveiligingsproblemen vallen ook intern op. Eén medewerker probeerde dit aan te kaarten, zonder resultaat. Het ministerie van Volksgezondheid en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) ondernamen eveneens geen actie na een verzoek hiertoe van de medewerker. Ook de politie kon er niet mee uit de voeten, bleek toen deze medewerker aangifte probeerde te doen.

Volgens de medewerker zat er niets anders op dan buiten de instanties om de klok te luiden. Hij nam interne documenten en data mee, waaronder ook de medische dossiers die als backup op een werklaptop stonden. 

Meteen na de ontdekking van het datalek doet de directie van Medworq aangifte van diefstal bij de politie

Diefstal, als gevolg van een arbeidsconflict, zegt de directie van Medworq hierover. De medewerker stapte eind 2019 met een vertrekregeling op. 

De directie van Medworq ontdekte dit datalek pas na een telefoontje van de MIVD in augustus 2020. Meteen volgde een melding bij de Autoriteit Persoonsgegevens en aangifte van diefstal bij de politie, stelt de directie. Ook zou Medworq de getroffen huisartspraktijken meteen hebben geïnformeerd. 

Dat laatste klopt in ieder geval niet, blijkt uit navraag. Geen van de getroffen huisartsen en praktijken is door Medworq op de hoogte gebracht van het lek. 

‘Gegevens moeten noodzakelijk zijn voor de gebruikte doelen’

Medworq gebruikte verwerkersovereenkomsten om haar werk juridisch af te dekken – maar door haar werkwijze werd de privacy van tienduizenden patiënten geschonden. Daarmee houdt het bedrijf zich alsnog niet aan de regels.    

ICT-onderzoeker Guido van ’t Noordende keek op verzoek van Follow the Money naar een aantal contracten. Die zien er op zich helder uit, zegt hij, en geven Medworq het recht om de gegevens te bewerken: ‘Als zo’n bewerkersovereenkomst er is, kun je niet veel zeggen van de verwerking van persoonsgegevens. Dat mag gewoon. De gebruikte gegevens moeten echter wel noodzakelijk zijn voor de doelen zoals die in de overeenkomst beschreven zijn. De vraag is of dat hier het geval is.’

Over het anonimiseren van gegevens merkt Van ’t Noordende op dat er risico’s kleven aan het gebruik van gespreksverslagen – de zogenaamde journaalregels – zoals bij Medworq het geval was. ‘Die regels kunnen veel herleidbare informatie bevatten. Die bewaren lijkt me niet noodzakelijk. Dat geldt zeker als je gegevens hebt geanonimiseerd, dan moet je de originelen eigenlijk gewoon weggooien.’  

De rondslingerende persoonsgegevens zijn niet in lijn met de overeenkomst. Van ’t Noordende verwijst naar artikel 4 van de overeenkomst. Daarin staat gedetailleerd beschreven hoe de verwerker van de informatie (in dit geval de voorloper van Medworq) zorg zal dragen voor de veiligheid van de data. ‘Ze voldoen duidelijk niet aan de zelfomschreven maatregelen. Dit geldt ook als het om testdata gaat.’ 

Lees verder Inklappen

Nooit een Medworq-dashboard gebruikt

De tientallen huisartsen horen van Follow the Money voor het eerst dat hun patiëntendossiers jarenlang op de servers van Medworq stonden. Allemaal reageren ze  verbaasd, geschrokken, boos en beschaamd, omdat ze niet beter op de gegevens van hun patiënten hebben gepast. 

Haast niemand had gehoord van het bedrijf Medworq en ook het product Insider deed meestal geen belletje rinkelen. Pas nadat deze huisartsen hun archieven hadden doorzocht, vonden ze verwerkersovereenkomsten. Ze waren er allemaal vanuit gegaan dat ze zeer beperkt data hadden gedeeld, die inmiddels al lang vernietigd waren.

Dat geldt ook voor huisarts Van der Lugt uit Zaandam. Een week nadat Follow the Money hem met de gelekte patiëntendossiers confronteerde, belt hij op om te vertellen dat hij er eindelijk is achtergekomen hoe Medworq aan de dossiers kwam. 

Hij heeft nooit dashboards gebruikt of meegedaan aan gezondheidsprogramma’s van het bedrijf. Wel heeft hij eind 2015 en begin 2016 enkele maanden Insider gebruikt. Medworq voerde een pilot uit voor de huisartsopleiding waar Van der Lugt data voor aanleverde.

Hugo de Vos, adviseur privacy-by-design

Ik ken praktijken die jaarlijks vier tot twaalf keer een volledige kopie van hun databestand doorleveren, zonder dat ze weten wat er met die data gebeurt

Van der Lugt ging er vanuit dat de dossiers op zijn minst gepseudonimiseerd werden, dus niet meer herleidbaar waren tot echte personen. Dat ook de gespreksverslagen en andere gegevens uit zijn informatiesysteem mee zouden gaan, diende geen enkel doel. En de dossiers hadden na de workshop vernietigd moeten worden. 

De huisarts neemt het zichzelf kwalijk dat hij niet alerter is geweest. Hij is technisch goed onderlegd, is hoofdredacteur van SynthesHIS, het vakblad over huisarts-informatiesystemen, en kent de wereld van data-uitwisseling rond de eerstelijns zorg dus goed. ‘Maar blijkbaar ben ik toch te naïef geweest.’

Hugo de Vos, die al sinds 2006 met data van huisartsen werkt en adviseert over privacy-by-design, ziet dat huisartsen vaak niet weten waarvoor ze de data van patiënten aanleveren. ‘Ik ken praktijken die jaarlijks vier tot twaalf keer een volledige kopie van hun databestand doorleveren, zonder dat ze weten wat er met die data gebeurt.’ 

De data gaan in veel gevallen naar universiteiten of private onderzoeksinstellingen. En soms naar bedrijven of organisaties die nauw aan een farmaceut zijn verbonden. Dat is ook het geval bij Medworq.

Financiering door farmagigant 

Al die jaren werd de software van Insider gemaakt in opdracht van farmaceut GlaxoSmithKline (GSK). GSK financierde deze software met hulp van een aantal andere farmaceuten. Ook ontwikkelde de voorloper van Medworq een database met medische gegevens in opdracht van onder meer farmaceuten GSK en Sanofi. 

Dat blijkt uit een serie interne documenten waar Follow the Money de hand op wist te leggen, waaronder een serie contracten en opdrachtbevestigingen van GSK aan Medworq en haar voorgangers. 

GSK was niet de enige financier van de software van Insider, al is het bedrijf met stip de grootste individuele contractpartner die terug te vinden is in de gelekte documenten. Ook andere bedrijven betaalden mee aan de softwareprogramma’s, waaronder farmaceuten Amgen, NovoNordisk en Boehringer Ingelheim. 

Deze namen staan ook in een overzicht van Insider-gebruikersaccounts. Zo had alleen al GSK elf Insider-accounts voor medewerkers. Twee GSK-medewerkers kregen in 2016 toegang tot onder meer de programma’s Insider Praktijk, de Insider Astma Interventie Toolkit en de Insider COPD Interventie Gold Toolkit. De bijbehorende opdrachtbevestiging vermeldt hierover: ‘De basisinstallatie van Insider wordt tezamen met een demodatabase, door onze Service Desk, op de laptop van (XXXX) geïnstalleerd. Eén en ander wordt op een Microsoft SQL Server omgeving ingericht.’ 

Financiers van de software blijken gebruikersaccounts te hebben en hadden zelfs databases tot hun beschikking

Bovendien blijkt er een backup te zijn gemaakt van een complete database voor de medewerker van GlaxoSmithKline die bij Medworqs voorlopers gedetacheerd was. Hij werkte jarenlang mee aan Insider, maar was in dienst van de farmaceut. 

Dat de financiers van de software zelf ook gebruikersaccounts hebben en zelfs databases  tot hun beschikking hadden, roept de vraag op tot welke informatie deze bedrijven dan precies toegang hadden. Welke informatie over patiënten was zichtbaar voor deze externe partijen: was die wel streng genoeg onherkenbaar gemaakt? 

Op basis van het gelekte materiaal is hierop geen sluitend antwoord te geven. GSK bevestigt zaken te hebben gedaan met Medworq, maar zegt dat inmiddels niet meer te doen. Op de vraag of GSK data tot haar beschikking had, en zo ja, welke dan, volgt deze verklaring: ‘Hoewel het voor ons op dit moment niet mogelijk is om alle feitelijke omstandigheden met betrekking tot historische samenwerking met Medworq te verifiëren, was en is GSK niet geïnteresseerd in het ontvangen van identificeerbare patiëntgegevens of het verkrijgen van toegang tot dergelijke gegevens.’ 

Voor de huisartsen is de betrokkenheid van GlaxoSmithKline en al die andere farmaceuten een onaangename verrassing. ‘Vreselijk,’ zegt een huisarts uit Amsterdam, ‘Het is erg genoeg dat dit is gebeurd, maar als daar ook nog farmaceutische bedrijven een rol bij hebben gespeeld op de achtergrond... Dat is wel het laatste waar je als arts op zit te wachten.’  

Bijna failliet

Inmiddels bestaat het programma Insider niet meer. In het voorjaar van 2020 moest Medworq plotseling alle zeilen bijzetten om niet failliet te gaan en moest bijna al het personeel vertrekken. De developers zeggen in de vroege zomer van 2020 alle aanwezige patiëntgegevens te hebben vernietigd. 

In die periode werd namelijk plotseling de stekker getrokken uit een megaproject waarmee Medworq bezig was: het ontwikkelen van een datawarehouse waarin medische gegevens van ziekenhuizen, apotheken en huisartsen gekoppeld konden worden. De opdrachtgever: een bedrijf dat in 1971 was opgericht door elf grote farmaceutische bedrijven. 

Lees volgende week in deel twee hoe Medworq miljoenen kreeg om in opdracht van farmabedrijven een medische dataverzameling aan te leggen – en wat er vervolgens gebeurde.

Medworq: ‘Alle patiëntgegevens zijn wél gepseudonimiseerd’

Om duidelijk te krijgen hoe de medische dossiers nu precies beveiligd werden en welke rol farmaceuten als GlaxoSmithKline hebben gespeeld, zat Follow the Money meermaals met de directie van Medworq om de tafel. 

De directie blijft erbij dat alle patiëntgegevens gepseudonimiseerd zijn, waaronder ook de testdata uit de huisarts-informatiesystemen. Dit in weerwil van de waarnemingen door en het onderzoek van Follow the Money, interne documenten en verklaringen van oud-medewerkers. Ook stellen de directeuren dat er veel aandacht was voor privacy en beveiliging van medische gegevens. Oud-medewerkers onderschrijven dit. 

Over de samenwerking met GlaxoSmithKline komt weinig duidelijkheid. Aanvankelijk kan directeur Guus Vaassen zich niet herinneren dat jarenlang nauw is samengewerkt met het farmaceutische bedrijf.

De directie is boos op de klokkenluider en vindt dat er geen goed beeld wordt geschetst van hoe Medworq met persoonlijke gegevens van patiënten omging. In de weken voorafgaand aan deze publicatie stuurt de directie enkele boze mails hierover naar Follow the Money. Insider is een oud systeem, zeggen de directeuren, waarvan de laatste jaren afscheid is genomen. Het was een overblijfsel uit een tijd waarin sommige zaken minder goed geregeld waren.

Veel vragen van Follow the Money bleven onbeantwoord en de directie wenste nauwelijks inhoudelijk op bevindingen te reageren. In een laatste reactie plaatst de directie van Medworq vraagtekens bij de 'integriteit van de data' waarop Follow the Money zich heeft gebaseerd en laat ze weten zich van het artikel te 'distantiëren'.

Lees verder Inklappen