‘Hier schrik ik van,’ zegt de directeur van een stichting met enkele Amsterdamse huisartsenpraktijken, als ze begin juni van Follow the Money hoort dat er medische dossiers van patiënten gelekt zijn. 

Tientallen huisartsenpraktijken krijgen begin juni zo’n telefoontje. Dankzij een klokkenluider ontdekte Follow the Money dat het bedrijf Medworq jarenlang volledige medische dossiers had verzameld en bewaard, zonder dat huisartsen of hun patiënten daarvan op de hoogte waren. 

Medworq bood softwaretool Insider aan, waarmee artsen bepaalde groepen patiënten beter zouden kunnen monitoren en vergelijken. Maar bij gebruikers van deze software bleken hele huisartssystemen gekopieerd naar Medworq en haar voorgangers. Zo kwam alle informatie over patiënten ongefilterd bij het bedrijf terecht. Medworq bewaarde deze data op plaatsen die toegankelijk waren voor onbevoegd personeel en buitenstaanders.

Follow the Money trof in de databases van Medworq volledige dossiers aan van minstens 35 huisartsen, die zo onwetend hun beroepsgeheim schonden. Van ten minste 72.000 Nederlanders lag de intiemste informatie praktisch ‘op straat’.

Insider werd gemaakt in opdracht van een groot farmacieconcern: GlaxoSmithKline (GSK). Medewerkers van dat bedrijf hadden ook toegang tot minimaal een ‘demodatabase’ van het product. 

De Amsterdamse directeur reageert ontsteld: ‘Het is al erg genoeg, maar als daar ook nog farmaceutische bedrijven een rol bij hebben gespeeld op de achtergrond is dat helemaal vreselijk. Dat zijn wel de laatste partijen waar je als huisarts je data mee wil delen.’ 

Juist Medworq werd op grote schaal gefinancierd door farmaceutische bedrijven en farmagroothandels om data te verzamelen, blijkt uit de gelekte documenten. Het bedrijf gebruikte softwaretools als Insider en gezondheidsprogramma’s – waarbij meerdere zorgverleners informatie delen rond patiënten met een bepaalde ziekte – om een voet tussen de deur te krijgen bij huisartsen, apotheken en ziekenhuizen. Aan de andere kant kreeg Medworq opdracht tot het bouwen van databases waarin patiëntengegevens werden verzameld, om die beschikbaar te maken voor gebruik door onderzoekers en bedrijven. 

‘Miljoenen verstouwd’

Farmabedrijven duiken al vroeg in de geschiedenis van Medworq op. Al sinds de oprichting in 2004 prijkt GSK bovenaan de lijst opdrachtgevers van Medworqs voorganger Magistro. 

Magistro is de maker van Insider-software, waarmee huisartsen informatie over bepaalde groepen patiënten kunnen monitoren. Maar Insider wordt gebouwd en onderhouden in opdracht van GSK. 

In powerpointpresentaties en scripts voor filmpjes van GSK staat te lezen: ‘Insider en Insider producten zijn een initiatief van GlaxoSmithKline en in samenwerking met Magistro en De Praktijk ontwikkeld.’ 

Follow the Money trof verschillende opdrachten aan voor de bouw en het onderhoud van Insider-software, maar ook een detacheringsovereenkomst voor een medewerker van GSK die jarenlang werkzaam was bij de voorlopers van Medworq, contracten voor gebruikersaccounts voor GSK-medewerkers en overeenkomsten voor licenties en intellectueel eigendom van de software. 

In 2008 krijgt Magistro bovendien de opdracht om een database aan te leggen met medische gegevens. Opdrachtgever: het ‘Mondriaan 1 Consortium’. Daarin nemen niet alleen farmaceuten GSK en Sanofi deel, evenals de afgevaardigden van twee universiteitsziekenhuizen, maar ook het TopInstituut Pharma (TI Pharma). In het bestuur van TI Pharma zit in die periode Jan Raaijmakers, op dat moment ook vicepresident Europese onderzoekssamenwerking bij GSK. 

Hugo de Vos, expert op het gebied van privacy-by-design en datamanagement-adviseur, raakte rond 2010 betrokken bij het Mondriaan-project. Hij ondersteunde toen een groep Utrechtse huisartsen op het gebied van datamanagement. ’We hebben het project eerst gesteund maar kregen wrijving. Wij legden er druk op dat data in handen zou blijven van de huisartsen. Het opvragen daarvan kon voor onderzoek en na expliciete toestemming. Het Mondriaan-project wilde het precies andersom: alle data hebben en dan kruimeltjes teruggeven aan de huisartsen in de vorm van een paar rapporten over hun eigen praktijk. In dit project werden ook miljoenen verstouwd.’ 

‘Uiteindelijk is het geklapt. Ook omdat Magistro-medewerkers technisch niet sterk waren en maar weinig begrepen van huisartssystemen. Wij hebben een vereniging opgericht als alternatief om informatie te delen. We hebben aangeboden dat ze daar terecht konden met gerichte onderzoeksvragen. Maar dat wilden ze niet.’  

Ambitieus project 

Een paar jaar later geeft GlaxoSmithKline Medworq opdracht tot het realiseren van een nog ambitieuzer dataproject, waarbij informatie vanuit verschillende zorgverleners in een database verzameld moet worden. 

In het contract uit 2016 staat wat de bedoeling is: het maken van een ‘proof of concept’ voor een ‘populatie database’ waarin een koppeling wordt gemaakt tussen data van ziekenhuizen, huisartsen en apotheken. 

Mét medische dossiers dus. Per individu ontstaat door die koppeling een dossier dat informatie van apotheek, ziekenhuis en huisarts bundelt. Via zorgprogramma’s met bijbehorende software zou Medworq bij de zorgorganisaties binnenkomen om de patiëntendossiers in te laden. Aan de privacy van patiënten was ook gedacht: Medworq dacht deze te waarborgen door informatie uit dossiers door een ander te laten pseudonimiseren. 

Het doet denken aan het landelijke elektronisch patiëntendossier (EPD) dat oud-minister Edith Schippers van VWS door de Kamer probeerde te krijgen. Ook dit EPD moest data vanuit verschillende bronnen binnen de zorg kunnen koppelen. Dat plan sneuvelde in 2011 in de Eerste Kamer, die het unaniem verwierp. De senaat had grote zorgen over de veiligheid van patiëntinformatie binnen het systeem. 

‘De database van Medworq lijkt vooral te draaien om het verzamelen van data als doel op zich’

Het plan dat GSK door Medworq wil laten uitwerken, verschilt fundamenteel van zo’n landelijk EPD. Dat begint bij het doel ervan, benadrukt Tijmen Wisman, voorzitter van het Platform Burgerrechten en universitair docent privacyrecht bij de VU: ‘Bij het landelijk EPD was het uitgangspunt in ieder geval nog dat gegevens gedeeld zouden worden om een patiënt te behandelen. Hier lijkt het vooral te draaien om het verzamelen van data als doel op zich.’ 

Hugo de Vos keek op verzoek van Follow the Money naar de opzet van het plan van GSK en Medworq: ‘Het gaat hier om een centrale database met kopieën van alle data uit verschillende bronnen. In die database kan een koppeling gemaakt worden op patiëntniveau. Het probleem hiermee is het risico op indirecte herleiding. Hoe meer bronnen, hoe sneller je deze informatie kan herleiden tot een individu. Als je maar genoeg variabelen naast elkaar hebt, zijn mensen al snel toch herkenbaar, ook al beschik je niet over namen, adressen en woonplaatsen.’

Een zakelijke koepel van apothekers, pardon, farmaceuten 

Begin 2017 komt bij Medworq een aan GSK gelieerde investeerder binnen die interesse heeft in het datawarehouse-project: Farminfom - een organisatie die volledig wordt bemand door consultants van corporate adviesbureau Brabers, maar eigendom is van andere partijen.

Farminform verzamelt informatie over de afzet van geneesmiddelen in Nederland en is volgens de directie van Medworq ‘een zakelijke koepel van apotheekorganisaties’. Dat is ook wat oud-werknemers en zakenpartners over de organisatie te horen kregen. 

Maar Farminform blijkt een vennootschap waar vooral grote farmaceutische bedrijven achter zitten. Tussen de elf oprichters van de bv, op 22 april 2971, zitten (de rechtsvoorgangers van) GlaxoSmithKline, Bayer, Novartis, Roche, AkzoNobel, Sanofi, MSD, Pfizer en Boehringer Ingelheim. Doel van de vennootschap: ‘Het (doen) verkrijgen, (doen) verwerken en (doen) verstrekken van gegevens en informatie betreffende de afzet van farmaceutische artikelen.’ 

‘Legal concerns’ 

Om de database voor GlaxoSmithKline te realiseren, geeft Farminform een budget van maar liefst 5 miljoen euro aan Medworq. Samen met Medworq buigen de Farminform-consultants zich over de organisatorische en juridische uitdagingen van het project. ‘We need to link data from different health organizations (...) across several regions in order to be able to analyse medical trends (...). This solution is technically possible, but have (sic) not been implemented so far. The design and implementations of the solution involves (sic) some legal concerns.’ 

Deze ‘legal concerns’ spitsen zich toe op het binnen de grenzen van de wet verzamelen en verwerken van de vertrouwelijke patiëntgegevens. Het plan gaat uit van een database met anonieme informatie, maar uit het ontwerp blijkt dat er niet echt geanonimiseerd kán worden. Informatie wordt op patiëntniveau bewaard en gekoppeld. In de database zelf komen gepseudonimiseerde patiëntendossiers; er is dus altijd ergens een sleutel tot de identiteit van de patiënt. 

‘Dataverwerking blijft altijd aan regels gebonden: er moet goed nagedacht worden over het algemeen belang, het belang van betrokkenen en het doel’ 

Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) geldt pseudonimiseren ook niet meer als anonimiseren, zegt Hugo de Vos. ‘Daarmee is de rechtsgeldigheid van dit soort bewerkingen twijfelachtig.’ Ook wijst hij erop dat een patiënt nog altijd te identificeren is, ook al staan er geen namen, adressen of woonplaatsen in het dossier. ‘Dit hele model is niet heel sterk.’

De AVG geeft geen vrijbrief om onder het mom van ‘onderzoek’ of ‘statistiek’ data te verwerken, wat sommige bedrijven wel proberen. ‘Sommigen interpreteren de AVG zo dat als je “onderzoek” of “statistiek” doet, alle dataverwerking zou mogen. Maar dat blijft aan regels gebonden: er moet goed nagedacht worden over doel, algemeen belang en het belang van betrokkenen.’ 

Met ‘legal concerns’ heeft Farminform al de nodige ervaring door een samenwerking met een ander bedrijf: Pharmo, en de daaraan gelieerde stichting Stizon, beide actief in datamanagement in de zorg. 

Farminform schakelde Pharmo en Stizon al eerder in voor een soortgelijk dataproject met huisartsen en apothekers. Voor dat project schreef advocatenkantoor Leijnse Artz in opdracht van Farminform een notitie om de privacygrenzen voor het delen van data zonder toestemming te verkennen. 

Deze notitie draait om de ruimte die de wet biedt om data zonder toestemming van patiënten te delen. De vraag hoe privacy maximaal te borgen komt er niet in voor.  

Na het opsommen van factoren die bepalen of data wel of niet mogen gedeeld concludeert de advocaat van Leijnse Artz dat het ‘niet gaat om harde en cumulatieve criteria, maar om factoren die moeten worden meegenomen in een belangenafweging.’ En dat schept mogelijkheden. 

Het is dus geen noodzaak om aan alle voorwaarden te voldoen, als je maar kan laten zien dat je je best hebt gedaan: ‘De literatuur lijkt dat te bevestigen, want daarin wordt vooral de nadruk gelegd op de vraag of privacybeperkende maatregelen zijn genomen en of de gegevensuitwisseling kenbaar was voor de patiënt.’ Kortom: als de juiste vinkjes maar zijn gezet ‘mag de toestemming van de patiënt worden verondersteld.’ 

Alleen als ‘de betrokken zorgaanbieders kunnen worden beschouwd als rechtstreeks betrokken bij de uitvoering van de behandelingsovereenkomst’ kan data verwerkt en gekoppeld worden zonder toestemming, meent de advocaat. Daarom adviseert hij ‘de omvang van de samenwerking niet te groot’ te maken. 

Maar het project van Medworq is allesbehalve dat: de database moet landelijk uitrolbaar zijn. Patiënten moeten dus op de hoogte zijn dat hun data verzameld wordt. Sterker: zij moeten hier toestemming voor geven. Speciaal voor dat doel wordt binnen het databaseproject ook een ‘toestemmingenplatform’ opgezet onder de domeinnaam Zorg.nl. ‘Het is logisch dat uw huisarts, apotheker, specialist, verplegende of mantelzorger over dezelfde medische gegevens van u beschikken die zij nodig hebben om goede zorg te verlenen,’ meldde de site tot in ieder geval in 2020. ‘Helaas is dat tegenwoordig nog vaak niet goed geregeld. Zorg.nl lost dit probleem voor u op.’ 

Toestemming geven kan actief – de patiënt kiest er doelbewust voor om data met bepaalde partijen te delen – of passief: de patiënt heeft weet van het delen van data en maakt geen bezwaar. Medworq koos voor een optie waarbij de patiënt zijn eigen zorgverleners toestemming geeft om zijn gegevens te delen en Zorg.nl toestemming om die data te ontvangen: 

‘Door uw deelname aan het programma geeft u uw eigen zorgverleners uitdrukkelijk toestemming om inzicht te krijgen in uw medische gegevens die relevant zijn voor uw zorg. De zorgverleners kunnen ook gebruikmaken van ondersteunende applicaties om u goed te informeren. Via zorg.nl geeft u ook uitdrukkelijk toestemming dat deze applicatie uw zorgdata mag ontvangen voor het doel dat wordt beoogd met het aangeboden programma.’ 

Wat Medworq er niet bij vertelt, is dat eigen zorgverleners al informatie mogen uitwisselen die relevant is voor de behandeling van een patiënt, zoals de eerder genoemde notitie van Farminform al benoemde. Daar is geen extra toestemming voor nodig. 

Platform Burgerrechten is kritisch op dit soort toestemmingenplatforms. ‘Patiënten geven in het algemeen toestemming, waardoor zij met allerlei partijen data delen zonder te weten wat daarmee gebeurt. Dat is vaak moeilijk controleerbaar en ook moeilijk terug te draaien,’ zegt Wisman. ‘Het ontbreekt aan echte controle over wie data wel en niet mag gebruiken. Daarmee is dit soort authentificatie geen specifieke en dus geen rechtmatige toestemming.’ 

3,2 miljoen voor de database

De samenwerking tussen het farmacollectief en Medworq vergt een nieuwe organisatiestructuur, die al in een vroeg stadium wordt uitgetekend. Zij richten voor de infrastructuur rond de database een aparte bv op: Qeys. In deze joint venture houden beide bedrijven 50 procent in handen. De financiering loopt ook via Qeys. Farminform stopt er tot eind 2019 in totaal 3,2 miljoen in. 

Voor het project zoekt Medworq samenwerking met allerlei partijen. Een daarvan is ExpertDoc, een bedrijf dat huisartsen een tool biedt waarmee ze live tijdens hun consult met een patiënt informatie krijgen over de nieuwste medische richtlijnen. 

Medworq spiegelt het bedrijf voor dat het project draait om ondersteuning van zorgprogramma’s die de ‘schotten’ tussen ziekenhuis en huisarts overstijgen. Financier Farminform, een koepel van ‘apothekers en een paar farma-bedrijven’, had geld overgehouden dat naar ‘een maatschappelijk doel’ moest, meldde Medworq aan directeur Eric Grosfeld van ExpertDoc. Hij was meteen enthousiast. Medworq wil dat Expertdoc onder meer mee gaat schrijven aan nieuwe software. ‘We hebben hier heel 2019 hard aan gewerkt, ik ben continu in gesprek geweest en we hebben er nieuwe mensen voor aangenomen. Dat was een forse investering.’  

Grosfeld richt eind 2019 samen met Medworq een aparte bv op om het intellectuele eigendom van de te bouwen software in onder te brengen: Meddoc. ‘We waren er helemaal klaar voor.’ 

De stekker eruit

Begin mei 2020 belt de directie van Medworq Eric Grosfeld met een vernietigende boodschap: ‘De investeerder had zich plotseling teruggetrokken. Ik heb eerst twee uur met mijn kin op de grond gezeten. Dit was een ramp voor ons bedrijf. Voor het eerst in al die jaren dat ik hier directeur ben heeft ExpertDoc een verlies geleden. Ik voelde me zó besodemieterd.’ 

Waarom trok Farminform op het moment suprême de stekker uit dit ambitieuze project? De infrastructuur was in feite klaar voor gebruik, en de bv Qeys was amper een jaar oud. Guus Vaassen en Johan Ruiter van Medworq worstelen met het antwoord op die vraag. ‘Apotheken hadden tijdens de pandemie wel wat anders aan hun hoofd,’ meldt Vaassen. Maar Farminform is toch geen apotheek? Ruiter: ‘Kijk, dit is een vraag die we nu niet kunnen beantwoorden, al zouden we het willen. ’ 

Farminform zag er simpelweg geen brood meer in, zegt Leon Walenbergh: ‘De investering in deze infrastructuur is gestopt toen bleek dat de businesscase in de praktijk niet sluitend te krijgen was.’ En wat gebeurt er met de ontwikkelde infrastructuur? Niets, zeggen Medworq en Farminform. De rechten liggen immers bij de joint venture Qeys, die nog niet is ontbonden. 

Medworq springt op de covid-trein

Door het wegvallen van Farminform gaat Medworq bijna failliet, maar Vaassen, Hoyng en Ruiter sturen snel bij. Bijna al het personeel wordt voor het blok gezet: vrijwillig vertrekken met een regeling of een faillissement afwachten en ontslagen worden. ‘Ik kom uit de tijd dat je de tering naar de nering zette,’ aldus Vaassen. 

Terwijl zij het personeel tijdens de eerste lockdown nog over het dreigende faillissement van Medworq moeten informeren, zijn de heren van de Medworq-directie al druk met een nieuw project. De ‘covid-datacoalitie’, gericht op het verzamelen van data over covidpatiënten. De website gaat op 29 april 2020 al in de lucht. 

Het RIVM heeft Medworq en haar coalitiepartners ‘opdracht gegeven’ om data over covid te verzamelen, meldt de site dan gewichtig. De coalitie bestaat naast Medworq uit bekenden als Stizon en Expertdoc. De eerste maanden toont de website een bonte verzameling aan logo’s van coalitiepartners en organisaties, zoals VWS, het RIVM en een aantal universiteiten, die het initiatief ‘steunen en aanmoedigen’.

Binnen de kortste keren biedt de website een bekend product aan: een softwaretool voor huisartsen, in de vorm van een dashboard, waarmee zij covidpatiënten kunnen monitoren: Covid Insight. Ze moeten er wel hun data voor delen. 

Het collectief bouwt volgens de website ‘een betrouwbare infrastructuur’ om data van huisartsen, ziekenhuizen en de GGD te delen via het dashboard. Maker: Medworq. Stizon en Pharmo zijn ook betrokken bij het project: zij sluiten de verwerkersovereenkomsten met artsen. ‘Gegevens worden veilig en betrouwbaar verwerkt, geheel in lijn met de AVG-wetgeving.’ 

Coalitie is een verzameling organisaties 

Feit is dat een deel van de ‘coalitie’ al vanaf de zomer van 2020 niets meer met het project te maken heeft. De ‘datacoalitie’ was namelijk niets meer dan een verzameling organisaties die met zorgdata te maken hadden, die in het begin van de pandemie overleggen hoe ze het RIVM konden bijstaan. 

‘Wij hebben alleen in het begin dat formulier gemaakt. We deden dat oprecht ‘om niet’, zeg maar’

Eric Grosfeld van ExpertDoc: ‘We hebben weken overlegd om een formulier in het huisartssysteem te maken waarmee zij patiënten met een covid-verdenking konden registreren. Daar is het ook bij gebleven.’ 

‘Pijnlijk genoeg heb ik begrepen dat ze nog heel lang met onze naam hebben geschermd, waarbij de suggestie was dat wij betrokken waren bij dat dashboard,’ vervolgt Grosfeld. ‘Dat is nadrukkelijk niet waar. Wij hebben alleen in het begin dat formulier gemaakt. We deden dat oprecht ‘om niet’, zeg maar.’ 

Ook heeft het RIVM nooit opdracht gegeven tot het verzamelen, zegt epidemioloog Susan van den Hof. De coalitie bood het zelf aan, en het RIVM kon in het begin van de pandemie alle informatie goed gebruiken. Daarom ondertekent Van den Hof op verzoek van de coalitie een brief waarin ze meldt dat de data welkom is. ‘Volgens mij dachten ze dat huisartsen dan eerder genegen waren data aan te leveren,’ aldus Van den Hof. ‘Uiteindelijk hebben we een paar keer data ontvangen van ze, maar die was incompleet. Daar konden we niets mee.’ 

Onbeantwoorde vragen

Van huisartsen die deelnemen aan covid-data.nl wordt in ieder geval data verzameld. Volgens de website doen momenteel 1100 huisartsen, zes GGD’en en elf ziekenhuizen in de regio’s Noord-Holland, Flevoland en Brabant mee. Het programma richt zich nu onder meer op het monitoren van ongevaccineerde hoog-risicopatiënten. 

Medworq heeft volgens Vaassen geen enkele bemoeienis met het verwerken van de data: ‘Wij doen alleen het programmamanagement van Covid-data. Daarvoor leveren we onder meer de software, dashboards.’ 

De datastromen worden volgens Medworq verwerkt door Stizon en Pharmo. De twee organisaties hadden vanaf 2015 een raamovereenkomst met Farminform, die volgens diens laatste jaarrekening vanaf 2020 ieder jaar stilzwijgend wordt verlengd. Farminform noch Stizon noch Pharmo wilde antwoord geven op de vraag of die overeenkomst nog steeds van kracht is en wat Stizon en Pharmo momenteel precies voor Farminform doen. 

We legden Ernst de Graag, mede-voorzitter van Stizon en mede-eigenaar van Pharmo, vragen voor over Covid-data. De Graag liet die allemaal onbeantwoord. 

Medworq had ruim de gelegenheid om op dit artikel te reageren, maar deed dat niet. Directeur en aandeelhouder Guus Vaassen ontkende in eerste instantie expliciet dat de database voor het Mondriaan-project gefinancierd was door andere partijen dan universiteiten en huisartsen. Later zei hij het zich niet te kunnen herinneren. 

De samenwerking met GSK uit 2016 was hij in eerste instantie ook vergeten, maar geconfronteerd met het contract waar zijn eigen handtekening onder stond, herinnerde hij zich dat het om ‘het eerste initiatief voor populatiemanagement in Nederland ging’. 

Zowel Farminform als GlaxoSmithKline laten aan Follow the Money weten geen enkele bemoeienis te hebben met covid-data.nl.