Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

32 artikelen

Beeld © Follow the Money

Big pharma betaalde Medworq miljoenen voor landelijke patiëntendatabase

Medworq, het software- en consultancybedrijf met een datalek van tienduizenden patiëntendossiers, kreeg miljoenen betaald door grote farmaceuten en farmagroothandels. Met deze financiering werkte het tot 2020 aan een landelijke database waarin medische gegevens van huisartsen, ziekenhuizen en apotheken aan elkaar gekoppeld konden worden. Experts waarschuwen voor de risico’s die dit soort databases opleveren voor de vertrouwelijkheid van medische dossiers.

0:00
Dit stuk in 1 minuut
  • Medworq, een bedrijf dat de privacy van tienduizenden patiënten van huisartsen schond door medische dossiers te verzamelen en onveilig te bewaren, kreeg een miljoenenopdracht van farmabedrijven voor het aanleggen van een database met medische gegevens. Dat blijkt uit gelekte documenten in handen van Follow the Money. 
  • In 2016 kreeg Medworq van farmagigant GlaxoSmithKline (GSK) de opdracht om een pilot te maken van een database waarin medische dossiers van ziekenhuizen, apotheken en huisartsen aan elkaar gekoppeld kunnen worden. Deze data zou in geanonimiseerde versie beschikbaar komen voor onderzoek door derden. 
  • In 2017 besloot Farminform dit concept te adopteren en bood Medworq 5 miljoen euro financiering aan. Farminform werd in 1971 opgericht door elf farmaceutische bedrijven. Vandaag de dag horen deze bij de grootste farmaceuten ter wereld. 
  • In 2020 trok Farminform zich plotseling terug uit dit project – de database was volgens Medworq juist klaar voor gebruik. Van de 5 miljoen euro ontving Medworq in totaal 3,2 miljoen. 
  • Medworq stortte zich vervolgens op een initiatief rond data over covidpatiënten: covid-data.nl. Ook hier werkt het bedrijf met software voor huisartsen. En ook hier wordt data verzameld, in samenwerking met een ander bedrijf dat al jarenlang een financiële relatie heeft met Farminform.
Lees verder

‘Hier schrik ik van,’ zegt de directeur van een stichting met enkele Amsterdamse huisartsenpraktijken, als ze begin juni van Follow the Money hoort dat er medische dossiers van patiënten gelekt zijn. 

Tientallen huisartsenpraktijken krijgen begin juni zo’n telefoontje. Dankzij een klokkenluider ontdekte Follow the Money dat het bedrijf Medworq jarenlang volledige medische dossiers had verzameld en bewaard, zonder dat huisartsen of hun patiënten daarvan op de hoogte waren. 

Medworq bood softwaretool Insider aan, waarmee artsen bepaalde groepen patiënten beter zouden kunnen monitoren en vergelijken. Maar bij gebruikers van deze software bleken hele huisartssystemen gekopieerd naar Medworq en haar voorgangers. Zo kwam alle informatie over patiënten ongefilterd bij het bedrijf terecht. Medworq bewaarde deze data op plaatsen die toegankelijk waren voor onbevoegd personeel en buitenstaanders.

Follow the Money trof in de databases van Medworq volledige dossiers aan van minstens 35 huisartsen, die zo onwetend hun beroepsgeheim schonden. Van ten minste 72.000 Nederlanders lag de intiemste informatie praktisch ‘op straat’.

Insider werd gemaakt in opdracht van een groot farmacieconcern: GlaxoSmithKline (GSK). Medewerkers van dat bedrijf hadden ook toegang tot minimaal een ‘demodatabase’ van het product. 

De Amsterdamse directeur reageert ontsteld: ‘Het is al erg genoeg, maar als daar ook nog farmaceutische bedrijven een rol bij hebben gespeeld op de achtergrond is dat helemaal vreselijk. Dat zijn wel de laatste partijen waar je als huisarts je data mee wil delen.’ 

Juist Medworq werd op grote schaal gefinancierd door farmaceutische bedrijven en farmagroothandels om data te verzamelen, blijkt uit de gelekte documenten. Het bedrijf gebruikte softwaretools als Insider en gezondheidsprogramma’s – waarbij meerdere zorgverleners informatie delen rond patiënten met een bepaalde ziekte – om een voet tussen de deur te krijgen bij huisartsen, apotheken en ziekenhuizen. Aan de andere kant kreeg Medworq opdracht tot het bouwen van databases waarin patiëntengegevens werden verzameld, om die beschikbaar te maken voor gebruik door onderzoekers en bedrijven. 

‘Miljoenen verstouwd’

Farmabedrijven duiken al vroeg in de geschiedenis van Medworq op. Al sinds de oprichting in 2004 prijkt GSK bovenaan de lijst opdrachtgevers van Medworqs voorganger Magistro

Magistro is de maker van Insider-software, waarmee huisartsen informatie over bepaalde groepen patiënten kunnen monitoren. Maar Insider wordt gebouwd en onderhouden in opdracht van GSK. 

In powerpointpresentaties en scripts voor filmpjes van GSK staat te lezen: ‘Insider en Insider producten zijn een initiatief van GlaxoSmithKline en in samenwerking met Magistro en De Praktijk ontwikkeld.’ 

Follow the Money trof verschillende opdrachten aan voor de bouw en het onderhoud van Insider-software, maar ook een detacheringsovereenkomst voor een medewerker van GSK die jarenlang werkzaam was bij de voorlopers van Medworq, contracten voor gebruikersaccounts voor GSK-medewerkers en overeenkomsten voor licenties en intellectueel eigendom van de software. 

In 2008 krijgt Magistro bovendien de opdracht om een database aan te leggen met medische gegevens. Opdrachtgever: het ‘Mondriaan 1 Consortium’. Daarin nemen niet alleen farmaceuten GSK en Sanofi deel, evenals de afgevaardigden van twee universiteitsziekenhuizen, maar ook het TopInstituut Pharma (TI Pharma). In het bestuur van TI Pharma zit in die periode Jan Raaijmakers, op dat moment ook vicepresident Europese onderzoekssamenwerking bij GSK. 

Hugo de Vos, adviseur datamanagement

"Dit project wilde alle data hebben en kruimeltjes teruggeven aan de huisartsen in de vorm van een paar rapporten over hun eigen praktijk"

Hugo de Vos, expert op het gebied van privacy-by-design en datamanagement-adviseur, raakte rond 2010 betrokken bij het Mondriaan-project. Hij ondersteunde toen een groep Utrechtse huisartsen op het gebied van datamanagement. ’We hebben het project eerst gesteund maar kregen wrijving. Wij legden er druk op dat data in handen zou blijven van de huisartsen. Het opvragen daarvan kon voor onderzoek en na expliciete toestemming. Het Mondriaan-project wilde het precies andersom: alle data hebben en dan kruimeltjes teruggeven aan de huisartsen in de vorm van een paar rapporten over hun eigen praktijk. In dit project werden ook miljoenen verstouwd.’ 

‘Uiteindelijk is het geklapt. Ook omdat Magistro-medewerkers technisch niet sterk waren en maar weinig begrepen van huisartssystemen. Wij hebben een vereniging opgericht als alternatief om informatie te delen. We hebben aangeboden dat ze daar terecht konden met gerichte onderzoeksvragen. Maar dat wilden ze niet.’  

Ambitieus project 

Een paar jaar later geeft GlaxoSmithKline Medworq opdracht tot het realiseren van een nog ambitieuzer dataproject, waarbij informatie vanuit verschillende zorgverleners in een database verzameld moet worden. 

In het contract uit 2016 staat wat de bedoeling is: het maken van een ‘proof of concept’ voor een ‘populatie database’ waarin een koppeling wordt gemaakt tussen data van ziekenhuizen, huisartsen en apotheken. 

Mét medische dossiers dus. Per individu ontstaat door die koppeling een dossier dat informatie van apotheek, ziekenhuis en huisarts bundelt. Via zorgprogramma’s met bijbehorende software zou Medworq bij de zorgorganisaties binnenkomen om de patiëntendossiers in te laden. Aan de privacy van patiënten was ook gedacht: Medworq dacht deze te waarborgen door informatie uit dossiers door een ander te laten pseudonimiseren

Het doet denken aan het landelijke elektronisch patiëntendossier (EPD) dat oud-minister Edith Schippers van VWS door de Kamer probeerde te krijgen. Ook dit EPD moest data vanuit verschillende bronnen binnen de zorg kunnen koppelen. Dat plan sneuvelde in 2011 in de Eerste Kamer, die het unaniem verwierp. De senaat had grote zorgen over de veiligheid van patiëntinformatie binnen het systeem. 

‘De database van Medworq lijkt vooral te draaien om het verzamelen van data als doel op zich’

Het plan dat GSK door Medworq wil laten uitwerken, verschilt fundamenteel van zo’n landelijk EPD. Dat begint bij het doel ervan, benadrukt Tijmen Wisman, voorzitter van het Platform Burgerrechten en universitair docent privacyrecht bij de VU: ‘Bij het landelijk EPD was het uitgangspunt in ieder geval nog dat gegevens gedeeld zouden worden om een patiënt te behandelen. Hier lijkt het vooral te draaien om het verzamelen van data als doel op zich.’ 

Hugo de Vos keek op verzoek van Follow the Money naar de opzet van het plan van GSK en Medworq: ‘Het gaat hier om een centrale database met kopieën van alle data uit verschillende bronnen. In die database kan een koppeling gemaakt worden op patiëntniveau. Het probleem hiermee is het risico op indirecte herleiding. Hoe meer bronnen, hoe sneller je deze informatie kan herleiden tot een individu. Als je maar genoeg variabelen naast elkaar hebt, zijn mensen al snel toch herkenbaar, ook al beschik je niet over namen, adressen en woonplaatsen.’

Een zakelijke koepel van apothekers, pardon, farmaceuten 

Begin 2017 komt bij Medworq een aan GSK gelieerde investeerder binnen die interesse heeft in het datawarehouse-project: Farminfom - een organisatie die volledig wordt bemand door consultants van corporate adviesbureau Brabers, maar eigendom is van andere partijen.

Farminform verzamelt informatie over de afzet van geneesmiddelen in Nederland en is volgens de directie van Medworq ‘een zakelijke koepel van apotheekorganisaties’. Dat is ook wat oud-werknemers en zakenpartners over de organisatie te horen kregen. 

Maar Farminform blijkt een vennootschap waar vooral grote farmaceutische bedrijven achter zitten. Tussen de elf oprichters van de bv, op 22 april 2971, zitten (de rechtsvoorgangers van) GlaxoSmithKline, Bayer, Novartis, Roche, AkzoNobel, Sanofi, MSD, Pfizer en Boehringer Ingelheim. Doel van de vennootschap: ‘Het (doen) verkrijgen, (doen) verwerken en (doen) verstrekken van gegevens en informatie betreffende de afzet van farmaceutische artikelen.’ 

GSK overtreedt privacy-afspraken in Groot-Brittannië

Farmaceuten lobbyen ‘al zo lang er patiëntendata wordt verzameld’ voor meer toegang tot die data. GlaxoSmithKline liep daarbij wel vaker voorop. Journalist Lucien Hordijk van The Investigative Desk schreef in De Groene Amsterdammer uitgebreid over een jarenlang lobbytraject van farmaceutenclub EFPIA in Brussel – voorgezeten door Andrew Witty, destijds CEO van GlaxoSmithKline – voor een elektronisch product-volgsysteem. 

Dit traject draaide vooral om meer toegang tot data, zo bleek uit een memo uit 2010. Daarin werd de wet een ‘eerste en noodzakelijke stap’ genoemd voor het ontwikkelen van nieuwe producten. Belangrijkste voordeel op de lange termijn: meer toegang tot data over het voorschrijven en de consumptie van medicijnen. 

Farmaciebedrijven kunnen informatie over patiënten gebruiken voor allerlei wetenschappelijke, medische en commerciële toepassingen, bijvoorbeeld om personalized medicine te ontwikkelen, of artificial intelligence-toepassingen die medische beslissingen ondersteunen. 

Met het verzamelen van al die data gaat nog wel eens wat mis. Afgelopen december publiceerde het British Medical Journal een rapport, waaruit bleek dat de Britse National Health Service (NHS) honderden organisaties, waaronder veel farmabedrijven, had betrapt op het overtreden van hun afspraken over het delen van patiëntendata. 

GSK was een van de grotere overtreders, meldde The Guardian. Onder strikte voorwaarden mocht GSK bepaalde data van de NHS gebruiken. Tijdens de audit stelde de NHS vast dat GSK liefst tien bepalingen in haar overeenkomst had overtreden. De NHS ontdekte onder andere dat vier ongeautoriseerde data-analisten van GSK in de Verenigde Staten toegang hadden gehad tot patiëntendata. 

Lees verder Inklappen

‘Legal concerns’ 

Om de database voor GlaxoSmithKline te realiseren, geeft Farminform een budget van maar liefst 5 miljoen euro aan Medworq. Samen met Medworq buigen de Farminform-consultants zich over de organisatorische en juridische uitdagingen van het project. ‘We need to link data from different health organizations (...) across several regions in order to be able to analyse medical trends (...). This solution is technically possible, but have (sic) not been implemented so far. The design and implementations of the solution involves (sic) some legal concerns.’ 

Deze ‘legal concerns’ spitsen zich toe op het binnen de grenzen van de wet verzamelen en verwerken van de vertrouwelijke patiëntgegevens. Het plan gaat uit van een database met anonieme informatie, maar uit het ontwerp blijkt dat er niet echt geanonimiseerd kán worden. Informatie wordt op patiëntniveau bewaard en gekoppeld. In de database zelf komen gepseudonimiseerde patiëntendossiers; er is dus altijd ergens een sleutel tot de identiteit van de patiënt. 

‘Dataverwerking blijft altijd aan regels gebonden: er moet goed nagedacht worden over het algemeen belang, het belang van betrokkenen en het doel’ 

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) geldt pseudonimiseren ook niet meer als anonimiseren, zegt Hugo de Vos. ‘Daarmee is de rechtsgeldigheid van dit soort bewerkingen twijfelachtig.’ Ook wijst hij erop dat een patiënt nog altijd te identificeren is, ook al staan er geen namen, adressen of woonplaatsen in het dossier. ‘Dit hele model is niet heel sterk.’

De AVG geeft geen vrijbrief om onder het mom van ‘onderzoek’ of ‘statistiek’ data te verwerken, wat sommige bedrijven wel proberen. ‘Sommigen interpreteren de AVG zo dat als je “onderzoek” of “statistiek” doet, alle dataverwerking zou mogen. Maar dat blijft aan regels gebonden: er moet goed nagedacht worden over doel, algemeen belang en het belang van betrokkenen.’ 

Met ‘legal concerns’ heeft Farminform al de nodige ervaring door een samenwerking met een ander bedrijf: Pharmo, en de daaraan gelieerde stichting Stizon, beide actief in datamanagement in de zorg. 

Farminform schakelde Pharmo en Stizon al eerder in voor een soortgelijk dataproject met huisartsen en apothekers. Voor dat project schreef advocatenkantoor Leijnse Artz in opdracht van Farminform een notitie om de privacygrenzen voor het delen van data zonder toestemming te verkennen. 

Deze notitie draait om de ruimte die de wet biedt om data zonder toestemming van patiënten te delen. De vraag hoe privacy maximaal te borgen komt er niet in voor.  

Na het opsommen van factoren die bepalen of data wel of niet mogen gedeeld concludeert de advocaat van Leijnse Artz dat het ‘niet gaat om harde en cumulatieve criteria, maar om factoren die moeten worden meegenomen in een belangenafweging.’ En dat schept mogelijkheden. 

Het is dus geen noodzaak om aan alle voorwaarden te voldoen, als je maar kan laten zien dat je je best hebt gedaan: ‘De literatuur lijkt dat te bevestigen, want daarin wordt vooral de nadruk gelegd op de vraag of privacybeperkende maatregelen zijn genomen en of de gegevensuitwisseling kenbaar was voor de patiënt.’ Kortom: als de juiste vinkjes maar zijn gezet mag de toestemming van de patiënt worden verondersteld.’ 

Alleen als ‘de betrokken zorgaanbieders kunnen worden beschouwd als rechtstreeks betrokken bij de uitvoering van de behandelingsovereenkomst’ kan data verwerkt en gekoppeld worden zonder toestemming, meent de advocaat. Daarom adviseert hij ‘de omvang van de samenwerking niet te groot’ te maken. 

Maar het project van Medworq is allesbehalve dat: de database moet landelijk uitrolbaar zijn. Patiënten moeten dus op de hoogte zijn dat hun data verzameld wordt. Sterker: zij moeten hier toestemming voor geven. Speciaal voor dat doel wordt binnen het databaseproject ook een ‘toestemmingenplatform’ opgezet onder de domeinnaam Zorg.nl. ‘Het is logisch dat uw huisarts, apotheker, specialist, verplegende of mantelzorger over dezelfde medische gegevens van u beschikken die zij nodig hebben om goede zorg te verlenen,’ meldde de site tot in ieder geval in 2020. ‘Helaas is dat tegenwoordig nog vaak niet goed geregeld. Zorg.nl lost dit probleem voor u op.’ 

Toestemming geven kan actief – de patiënt kiest er doelbewust voor om data met bepaalde partijen te delen – of passief: de patiënt heeft weet van het delen van data en maakt geen bezwaar. Medworq koos voor een optie waarbij de patiënt zijn eigen zorgverleners toestemming geeft om zijn gegevens te delen en Zorg.nl toestemming om die data te ontvangen: 

‘Door uw deelname aan het programma geeft u uw eigen zorgverleners uitdrukkelijk toestemming om inzicht te krijgen in uw medische gegevens die relevant zijn voor uw zorg. De zorgverleners kunnen ook gebruikmaken van ondersteunende applicaties om u goed te informeren. Via zorg.nl geeft u ook uitdrukkelijk toestemming dat deze applicatie uw zorgdata mag ontvangen voor het doel dat wordt beoogd met het aangeboden programma.’ 

Wat Medworq er niet bij vertelt, is dat eigen zorgverleners al informatie mogen uitwisselen die relevant is voor de behandeling van een patiënt, zoals de eerder genoemde notitie van Farminform al benoemde. Daar is geen extra toestemming voor nodig. 

Platform Burgerrechten is kritisch op dit soort toestemmingenplatforms. ‘Patiënten geven in het algemeen toestemming, waardoor zij met allerlei partijen data delen zonder te weten wat daarmee gebeurt. Dat is vaak moeilijk controleerbaar en ook moeilijk terug te draaien,’ zegt Wisman. ‘Het ontbreekt aan echte controle over wie data wel en niet mag gebruiken. Daarmee is dit soort authentificatie geen specifieke en dus geen rechtmatige toestemming.’ 

Beknibbelen op veiligheid

De keuzes die Medworq maakt in haar veiligheidsbeleid zijn soms veelzeggend. Het gros van de kosten ging naar veiligheids- en privacymaatregelen, zegt de directie van Medworq tegen Follow the Money. Medewerkers zeggen dat privacy en gegevensbescherming continu onderwerp van gesprek waren. Toch werd daarop ook meermaals beknibbeld, blijkt uit de gelekte documenten.  

In november 2018 neemt manager Johan Ruiter het besluit om de belangrijkste database, de ‘populatiedatabase’, niet te versleutelen. Dit wordt vastgelegd in een ‘risico-acceptatie formulier’, in bezit van Follow the Money. De database staat op een Microsoft SQL server: deze licentie ondersteunt geen versleutelde opslag van data. Een nieuwe licentie kost 24.000 euro per jaar per server. 

Te duur, en het risico is toch beperkt, redeneert Medworq. ‘Er staan in de populatiedatabase geen direct identificerende gegevens, deze zijn vervangen door een pseudoniem.’ En als iemand dan toch toegang krijgt tot de server is de informatie toch verloren: ‘De applicatieserver heeft namelijk ook toegang tot de sleutels.’ 

Het niet-versleutelen van de database betekent wel dat Medworq zich niet houdt aan onder meer de Algemene verordening gegevensbescherming (AVG), wordt opgemerkt: ‘Strikt genomen wijken we af van de AVG-eis, toch valt er ook iets voor te zetten dat met het pseudonimiseren van de direct identificerende gegevens, de data encrypted is.’ 

Ruiter is nog altijd van mening dat het versleutelen van de bewuste database nergens voor nodig was, zegt hij tegen Follow the Money. 

Lees verder Inklappen

3,2 miljoen voor de database

De samenwerking tussen het farmacollectief en Medworq vergt een nieuwe organisatiestructuur, die al in een vroeg stadium wordt uitgetekend. Zij richten voor de infrastructuur rond de database een aparte bv op: Qeys. In deze joint venture houden beide bedrijven 50 procent in handen. De financiering loopt ook via Qeys. Farminform stopt er tot eind 2019 in totaal 3,2 miljoen in. 

Voor het project zoekt Medworq samenwerking met allerlei partijen. Een daarvan is ExpertDoc, een bedrijf dat huisartsen een tool biedt waarmee ze live tijdens hun consult met een patiënt informatie krijgen over de nieuwste medische richtlijnen. 

Medworq spiegelt het bedrijf voor dat het project draait om ondersteuning van zorgprogramma’s die de ‘schotten’ tussen ziekenhuis en huisarts overstijgen. Financier Farminform, een koepel van ‘apothekers en een paar farma-bedrijven’, had geld overgehouden dat naar ‘een maatschappelijk doel’ moest, meldde Medworq aan directeur Eric Grosfeld van ExpertDoc. Hij was meteen enthousiast. Medworq wil dat Expertdoc onder meer mee gaat schrijven aan nieuwe software. ‘We hebben hier heel 2019 hard aan gewerkt, ik ben continu in gesprek geweest en we hebben er nieuwe mensen voor aangenomen. Dat was een forse investering.’  

Grosfeld richt eind 2019 samen met Medworq een aparte bv op om het intellectuele eigendom van de te bouwen software in onder te brengen: Meddoc. ‘We waren er helemaal klaar voor.’ 

De stekker eruit

Begin mei 2020 belt de directie van Medworq Eric Grosfeld met een vernietigende boodschap: ‘De investeerder had zich plotseling teruggetrokken. Ik heb eerst twee uur met mijn kin op de grond gezeten. Dit was een ramp voor ons bedrijf. Voor het eerst in al die jaren dat ik hier directeur ben heeft ExpertDoc een verlies geleden. Ik voelde me zó besodemieterd.’ 

Leon Walenberg, namens Farminform

"De investering is gestopt toen bleek dat de businesscase in de praktijk niet sluitend te krijgen was"

Waarom trok Farminform op het moment suprême de stekker uit dit ambitieuze project? De infrastructuur was in feite klaar voor gebruik, en de bv Qeys was amper een jaar oud. Guus Vaassen en Johan Ruiter van Medworq worstelen met het antwoord op die vraag. ‘Apotheken hadden tijdens de pandemie wel wat anders aan hun hoofd,’ meldt Vaassen. Maar Farminform is toch geen apotheek? Ruiter: ‘Kijk, dit is een vraag die we nu niet kunnen beantwoorden, al zouden we het willen. ’ 

Farminform zag er simpelweg geen brood meer in, zegt Leon Walenbergh: ‘De investering in deze infrastructuur is gestopt toen bleek dat de businesscase in de praktijk niet sluitend te krijgen was.’ En wat gebeurt er met de ontwikkelde infrastructuur? Niets, zeggen Medworq en Farminform. De rechten liggen immers bij de joint venture Qeys, die nog niet is ontbonden. 

Medworq springt op de covid-trein

Door het wegvallen van Farminform gaat Medworq bijna failliet, maar Vaassen, Hoyng en Ruiter sturen snel bij. Bijna al het personeel wordt voor het blok gezet: vrijwillig vertrekken met een regeling of een faillissement afwachten en ontslagen worden. ‘Ik kom uit de tijd dat je de tering naar de nering zette,’ aldus Vaassen. 

Terwijl zij het personeel tijdens de eerste lockdown nog over het dreigende faillissement van Medworq moeten informeren, zijn de heren van de Medworq-directie al druk met een nieuw project. De ‘covid-datacoalitie’, gericht op het verzamelen van data over covidpatiënten. De website gaat op 29 april 2020 al in de lucht. 

Het RIVM heeft Medworq en haar coalitiepartners ‘opdracht gegeven’ om data over covid te verzamelen, meldt de site dan gewichtig. De coalitie bestaat naast Medworq uit bekenden als Stizon en Expertdoc. De eerste maanden toont de website een bonte verzameling aan logo’s van coalitiepartners en organisaties, zoals VWS, het RIVM en een aantal universiteiten, die het initiatief ‘steunen en aanmoedigen’.

Binnen de kortste keren biedt de website een bekend product aan: een softwaretool voor huisartsen, in de vorm van een dashboard, waarmee zij covidpatiënten kunnen monitoren: Covid Insight. Ze moeten er wel hun data voor delen. 

Het collectief bouwt volgens de website ‘een betrouwbare infrastructuur’ om data van huisartsen, ziekenhuizen en de GGD te delen via het dashboard. Maker: Medworq. Stizon en Pharmo zijn ook betrokken bij het project: zij sluiten de verwerkersovereenkomsten met artsen. ‘Gegevens worden veilig en betrouwbaar verwerkt, geheel in lijn met de AVG-wetgeving.’ 

Coalitie is een verzameling organisaties 

Feit is dat een deel van de ‘coalitie’ al vanaf de zomer van 2020 niets meer met het project te maken heeft. De ‘datacoalitie’ was namelijk niets meer dan een verzameling organisaties die met zorgdata te maken hadden, die in het begin van de pandemie overleggen hoe ze het RIVM konden bijstaan. 

‘Wij hebben alleen in het begin dat formulier gemaakt. We deden dat oprecht ‘om niet’, zeg maar’

Eric Grosfeld van ExpertDoc: ‘We hebben weken overlegd om een formulier in het huisartssysteem te maken waarmee zij patiënten met een covid-verdenking konden registreren. Daar is het ook bij gebleven.’ 

‘Pijnlijk genoeg heb ik begrepen dat ze nog heel lang met onze naam hebben geschermd, waarbij de suggestie was dat wij betrokken waren bij dat dashboard,’ vervolgt Grosfeld. ‘Dat is nadrukkelijk niet waar. Wij hebben alleen in het begin dat formulier gemaakt. We deden dat oprecht ‘om niet’, zeg maar.’ 

Ook heeft het RIVM nooit opdracht gegeven tot het verzamelen, zegt epidemioloog Susan van den Hof. De coalitie bood het zelf aan, en het RIVM kon in het begin van de pandemie alle informatie goed gebruiken. Daarom ondertekent Van den Hof op verzoek van de coalitie een brief waarin ze meldt dat de data welkom is. ‘Volgens mij dachten ze dat huisartsen dan eerder genegen waren data aan te leveren,’ aldus Van den Hof. ‘Uiteindelijk hebben we een paar keer data ontvangen van ze, maar die was incompleet. Daar konden we niets mee.’ 

Onbeantwoorde vragen

Van huisartsen die deelnemen aan covid-data.nl wordt in ieder geval data verzameld. Volgens de website doen momenteel 1100 huisartsen, zes GGD’en en elf ziekenhuizen in de regio’s Noord-Holland, Flevoland en Brabant mee. Het programma richt zich nu onder meer op het monitoren van ongevaccineerde hoog-risicopatiënten. 

Medworq heeft volgens Vaassen geen enkele bemoeienis met het verwerken van de data: ‘Wij doen alleen het programmamanagement van Covid-data. Daarvoor leveren we onder meer de software, dashboards.’ 

De datastromen worden volgens Medworq verwerkt door Stizon en Pharmo. De twee organisaties hadden vanaf 2015 een raamovereenkomst met Farminform, die volgens diens laatste jaarrekening vanaf 2020 ieder jaar stilzwijgend wordt verlengd. Farminform noch Stizon noch Pharmo wilde antwoord geven op de vraag of die overeenkomst nog steeds van kracht is en wat Stizon en Pharmo momenteel precies voor Farminform doen. 

We legden Ernst de Graag, mede-voorzitter van Stizon en mede-eigenaar van Pharmo, vragen voor over Covid-data. De Graag liet die allemaal onbeantwoord. 

Medworq had ruim de gelegenheid om op dit artikel te reageren, maar deed dat niet. Directeur en aandeelhouder Guus Vaassen ontkende in eerste instantie expliciet dat de database voor het Mondriaan-project gefinancierd was door andere partijen dan universiteiten en huisartsen. Later zei hij het zich niet te kunnen herinneren. 

De samenwerking met GSK uit 2016 was hij in eerste instantie ook vergeten, maar geconfronteerd met het contract waar zijn eigen handtekening onder stond, herinnerde hij zich dat het om ‘het eerste initiatief voor populatiemanagement in Nederland ging’. 

Zowel Farminform als GlaxoSmithKline laten aan Follow the Money weten geen enkele bemoeienis te hebben met covid-data.nl. 

GlaxoSmithKline: ‘Niet geïnteresseerd in identificeerbare patiëntgegevens’

Follow the Money legde GlaxoSmithKline vragen voor over de samenwerking met Medworq. In plaats van die te beantwoorden, stuurde een woordvoerder van het bedrijf het volgende statement: 

‘In al onze interacties met beroepsbeoefenaren in de gezondheidszorg tonen we integriteit en transparantie, en streven we ernaar om het belang van de patiënt altijd voorop te stellen. Er is ook een regelgevend kader voor de interactie tussen gezondheidswerkers of instellingen en farmaceutische bedrijven, met als doel de onafhankelijkheid te behouden bij beslissingen met betrekking tot onder meer de omgang met patiënten die aan hun zorg zijn toevertrouwd. 

Bij GSK passen we de ethische code toe die is opgesteld door de Vereniging Innovatieve Geneesmiddelen (VIG), de vereniging die de verschillende farmaceutische bedrijven in Nederland samenbrengt. GSK heeft ook een eigen code (wereldwijd, en enkel beschikbaar in het Engels) over interacties met zorgprofessionals, die we uiteraard toepassen in Nederland. Dit document speelt in op een aantal elementen met betrekking tot de uitgangspunten, verantwoordelijkheden en besluiten van samenwerkingsverbanden en waardeoverdrachten.

We bevestigen dat GSK in het verleden heeft samengewerkt met Medworq, maar uw suggestie dat GlaxoSmithKline BV nog steeds samenwerkt met Medworq is onjuist. GSK werkt momenteel niet samen met Medworq en we zijn niet bekend met en ook niet betrokken bij een dashboard dat Medworq volgens uw brief zou kunnen leveren aan covid-data.nl

Hoewel het voor ons op dit moment niet mogelijk is om alle feitelijke omstandigheden met betrekking tot historische samenwerking met Medworq te verifiëren, was en is GSK niet geïnteresseerd in het ontvangen van identificeerbare patiëntgegevens of het verkrijgen van toegang tot dergelijke gegevens.

GSK neemt deel aan Farminform, evenals ongeveer honderden andere farmaceutische bedrijven en groothandels, maar dit is een onafhankelijke entiteit waarmee u contact kunt opnemen om commentaar te geven op haar activiteiten.’

Lees verder Inklappen