‘Ja, deze patiënt ken ik,’ mompelt huisarts Jeroen van der Lugt, terwijl hij door een excelblad met medische gegevens van patiënten uit zijn Zaandamse praktijk scrollt. ‘Dit is een diagnose. Kijk, een episode-omschrijving.’ Zijn ogen gaan de rijen data af. Na tien seconden volgt een diepe zucht. ‘Jee, niet te geloven zeg. Ik snap niet waar dit vandaan komt. Dat snap ik echt niet.’ 

Huisarts Van der Lugt, goed thuis in de wereld van data-uitwisseling in eerstelijnszorg, is zo verbijsterd, omdat Follow the Money met deze informatie bij hem aanklopt. De data staan op een harde schijf, afkomstig van een klokkenluider, die binnen het commerciële zorgbedrijf Medworq zag hoe op grote schaal de privacy van patiënten werd geschonden. Omdat de klokkenluider deze gegevens naar buiten bracht, startte het Openbaar Ministerie na aangifte door Medworq een strafrechtelijk onderzoek. 

Minstens 34 andere huisartsen en praktijken zitten in hetzelfde parket als Van der Lugt: ook hun medische dossiers staan op de gelekte harde schijf. Die dossiers staan vol namen, adressen, burgerservicenummers, telefoonnummers, e-mails, bankrekeningnummers en soms informatie over beroep, religieuze overtuiging en naaste familie van ten minste 72.000 mensen. 

De dossiers bevatten zelfs gespreksverslagen tussen artsen en patiënten: informatie die onder het medisch beroepsgeheim valt en absoluut binnen de muren van de spreekkamer hoort te blijven. Alledaagse kwalen komen voorbij, zoals steenpuisten, griep, rugpijn, ziekenhuisopnames en longontstekingen. 

Maar ook: incest, verkrachting, huiselijk geweld, psychische problemen, vaak gelinkt aan personen die met naam en toenaam in het dossier staan. ‘Veel problemen gehad in de jeugd,’ staat er, ‘zou mishandeld zijn door moeder’. Of: ‘Slechter slapen, suïcidegedachten. Sertraline verhogen naar 2 dd 1.’ En ook: ‘Meerdere genitale wratten op de labia zichtbaar.’ 

Waarom Medworq over al deze informatie beschikt, is voor Van der Lugt een raadsel: hij heeft nog nooit van dit bedrijf gehoord. Ook het gros van de 34 andere artsen kent Medworq niet. Ze hadden geen idee dat medewerkers van Medworq toegang hadden tot de medische gegevens van hun patiënten. Daarmee hadden ze ook geen idee dat ze jaren op rij hun medisch beroepsgeheim schonden.  

Datadashboard

Het datalek bij de 35 huisartsen vindt zijn oorsprong in softwareprogramma Insider. Wim Jongejan, voormalig huisarts en kritisch ICT-blogger testte dat programma.

Jongejans oude spreekkamer ziet er tegenwoordig uit als een commandocentrum, met tussen de boekenkasten meerdere beeldschermen, een headset met microfoon en een stuurconsole. ‘Ik vlieg virtueel met een clubje, iedere week op zondag en woensdag,’ legt Jongejan uit. 

Eind jaren ’80 experimenteerde Jongejan als een van de eerste huisartsen met een digitaal medisch dossier: het huisarts-informatiesysteem (HIS). Als techliefhebber was Jongejan altijd uitstekend op de hoogte van de nieuwste ontwikkelingen. De voorloper van Insider wekte zijn interesse, want het was één van de eerste pogingen om meer te doen met de informatie uit het huisarts-informatiesysteem. ‘Het heette toen HIS-link, en het werd gesponsord door farmaciebedrijf GlaxoSmithKline (GSK).’ 

Een farmaceut die huisartsensoftware sponsorde? Jongejan vond het niet heel gek. ‘Dat soort sponsoring zag je in die tijd wel vaker. Ik had de indruk dat het tot niets verplichtte.’ 

Academici, onderzoekers en commerciële bedrijven azen op de data in de medische dossiers

Insider is een dashboard dat de huisarts op zijn computer installeert. Het maakt gegevens uit zijn eigen systeem over bepaalde patiënten inzichtelijk zodat hij patiënten met bijvoorbeeld diabetes, nierproblemen of astma kan monitoren. Hij kan ook informatie over zijn eigen patiënten, zoals bepaalde meetwaarden, vergelijken met het gemiddelde van deze groep patiënten bij andere praktijken.

Data-analyses als deze passen bij de manier waarop huisartsenzorg zich in die jaren ontwikkelt: huisartsen en apothekers binnen een regio werken steeds meer samen en willen onderling resultaten vergelijken. Zorgverzekeraars vragen de huisartsen om meer gegevens over hun behandelingen. 

Om deze informatie-uitwisseling te vergemakkelijken, rollen bedrijven overal systemen voor het delen van patiëntgegevens uit. Academici, onderzoeksinstituten en commerciële bedrijven azen op de data in de medische dossiers. Door artsen aan de juiste informatie te helpen kunnen ze hun patiënten beter diagnosticeren, wat de zorg efficiënter en goedkoper maakt. Maar er zijn ook een boel commerciële toepassingen mogelijk.

Medisch beroepsgeheim

Die zucht naar data stelt artsen wel voor een nieuwe uitdaging: zij hebben zich te houden aan het medisch beroepsgeheim. Alleen met uitdrukkelijke toestemming van hun patiënt mogen artsen gegevens delen. 

Een arts kan gebruik maken van diensten van gespecialiseerde ICT-dienstverleners. ‘Bijvoorbeeld om een elektronisch patiëntendossier te gebruiken,’ zegt Gerrit-Jan Zwenne, hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Pels Rijcken. 

Wel moet de arts in zulke gevallen een verwerkersovereenkomst sluiten, zodat de dienstverlener onder strikte voorwaarden en dito beveiliging kan werken met patiëntendata. ‘De arts heeft en houdt de zeggenschap over de data,’ stelt Zwenne. ‘Dat impliceert dat hij ook moet weten wat ermee gebeurt.’ 

Magistro is zo’n dienstverlener, en bovendien de ontwikkelaar van Insider. In 2007 kopen de Gelderse apotheker Guus Vaassen en zijn collega en zakenpartner Gerrit Jan van Ochten een aandeel in dit bedrijf. Dit duo is eigenaar van een uitdijend medisch adviesbureau. 

In 2012 richten zij een aparte bv op voor de exploitatie van Insider Software: Inzo. Vanaf 2016 gaat Vaassen alleen verder onder de naam Medworq, met zijn nieuwe partner Thomas Hoyng en later ook Johan Ruiter. Magistro en Inzo – de bv’s achter Insider – gaan bij een fusie in 2017 op in Medworq. 

Inzo vraagt Jongejan, na zijn pensioen, rond 2012 om de software van Magistro te testen. ‘Dat deed ik met een serie zelfverzonnen nep-patiënten,’ zegt de voormalig huisarts. Hij staat op dat moment achter het product. ‘Voor eigen gebruik, zolang de data-analyse in eigen hand bleef, was het heel aardig.’ Insider is dan voor zover Jongejan weet niet meer verbonden aan een farmaceutisch bedrijf. En hij heeft geen idee dat het bedrijf op het punt staat om op grote schaal patiëntendossiers te kopiëren en te bewaren.  

Patiëntendossiers ‘uitspoelen’

Vanaf ongeveer 2015 willen steeds meer huisartsen zo’n gezondheidsdashboard voor nier-, long- en botkwalen uitproberen. Dat gaat niet zomaar. De huisarts-informatiesystemen die in omloop zijn – Promedico, PharmaPartners, Omnihis, Tetrahis en MicroHIS – zitten allemaal anders in elkaar. 

Om de gegevens vergelijkbaar te krijgen in dashboards moet Medworq met alle aanbieders van software voor huisarts-informatiesystemen afspraken maken over het leveren van medische gegevens. Maar die aanbieders houden de boot af omdat ze geen toegang willen geven tot persoonsgegevens. 

Medworq zegt namen van patiënten niet te kunnen anonimiseren, zoals gebruikelijk is voor onderzoeksdoeleinden. Als een huisarts via zo’n dashboard alleen maar hoort dat er twintig patiënten in de praktijk mogelijk met nier-, long- of botproblemen rondlopen, dan is hij nog niet veel wijzer. De huisarts wil weten wie dat zijn. Patiënten kunnen dus niet geanonimiseerd worden, anders zou het dashboard geen nut hebben.

De servers van Medworq stonden vol echte medische dossiers, waarvan niemand meer wist waar die vandaan kwamen

Medworq wil die data daarom rechtstreeks bij de huisarts opvragen. Ook dat gaat niet zonder slag of stoot. Om de analyses van het dashboard met echte patiëntgegevens te kunnen testen, zegt Medworq kopieën nodig te hebben van medische dossiers. Alleen de huisarts kan die maken. Een Medworq-medewerker kopieert deze medische dossiers vervolgens naar de servers en cloud-servers van zijn werkgever. 

Technisch had dit anders gekund: Medworq zou al op de computer van de huisarts een selectie kunnen maken van alleen relevante data, en die onder pseudoniem kunnen uitwisselen met haar eigen systeem om vervolgens de verrijkte data weer terug te voeren naar het dashboard van de huisarts. Maar het bedrijf kiest voor hele dossiers, met identificerende gegevens. 

Dit ‘uitspoelen’ is op papier goed geregeld. Medworq sluit met iedere deelnemende huisarts netjes contracten, heeft privacy- en securityspecialisten in dienst en intern was er volgens oud-medewerkers veel aandacht voor het zorgvuldig omgaan met patiëntengegevens. 

Externe audits waren ook positief. In oktober 2018 stelde cybersecuritybedrijf Secura na technisch onderzoek vast dat de beveiliging van de systemen van Medworq in grote lijnen in orde was.

Toch rammelde het her en der wat, is terug te zien in de gelekte documenten. Zo was één van de software-ontwikkelaars, die verantwoordelijk was voor de beveiliging, niet tevreden over dit positieve oordeel, lezen we in een intern memo over de resultaten van het veiligheidsonderzoek. 

De grootste problemen waren volgens deze developer procedureel: de servers van Medworq stonden vol echte medische dossiers, waarvan niemand meer wist waar die vandaan kwamen. Daarnaast had een collega een lijst met alle wachtwoorden aangelegd, waarmee ‘hij de gehele HIS-database van onze klanten kon leegtrekken’. 

Op de systemen van Medworq stonden tienduizenden medische dossiers waarin mensen met hun echte naam en adres voorkwamen. Deze dossiers bevonden zich op verschillende plekken binnen het bedrijf, in persoonlijke mappen van medewerkers en op externe servers. Daarnaast werden ook bij Medworq intern kopieën gemaakt van deze dossiers: zo stond dezelfde ‘uitspoel’ van een Utrechtse huisartsenpraktijk op zeker drie verschillende plekken op de harde schijf. Onbekend is hoeveel medewerkers toegang hadden tot die locaties.

Imagoschade

Nauwelijks een jaar na de beveiligingscheck trok een medewerkster aan de bel, omdat door toedoen van Medworq een datalek bij huisartsen ontstond. Bij het uitspoelen haalden de huisartsen eerst de medische dossiers uit hun eigen informatiesysteem en zetten die op hun lokale harde schijf.

Daarna kopieerde een medewerker van Medworq die naar de servers van het bedrijf. Vervolgens moest Medworq die lokale dossiers bij de huisarts verwijderen: ze stonden immers buiten de beveiligde omgeving van het huisarts-informatiesysteem. Maar dat gebeurde vaak niet. 

Artsen waren meestal niet op de hoogte dat die data daar nog stonden, stelde deze medewerkster. En dat is een datalek. Want wat als de computer voor reparatie weg moest? Of werd gestolen? Of bij de huisarts onbevoegden met deze computer gingen werken? 

Ook buiten Medworq had een aantal gebruikers ongeautoriseerde toegang tot patiëntendata

De Medworq-medewerkster stelde voor om alle huisartsen aan te schrijven om deze bestanden zo snel mogelijk te wissen. Gaan we niet doen, oordeelden haar leidinggevenden, staat in het interne incidentenregister van 2019: het zou Medworq alleen maar imagoschade opleveren.

In dat jaar hapert de databeveiliging wel vaker, blijkt uit datzelfde incidentenregister van 2019. Ook buiten Medworq had een aantal gebruikers ongeautoriseerde toegang tot patiëntendata, meldde het hoofd ICT. Deze gebruikers zijn in dienst van Z-netwerken, een partij die in opdracht van Medworq werk verricht. Op hun activiteiten had Medworq geen zicht. Wat Medworq met deze melding heeft gedaan, is onduidelijk. Eind 2019 had de melding nog de status ‘lopend’.

Telefoontje van de MIVD

De beveiligingsproblemen vallen ook intern op. Eén medewerker probeerde dit aan te kaarten, zonder resultaat. Het ministerie van Volksgezondheid en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) ondernamen eveneens geen actie na een verzoek hiertoe van de medewerker. Ook de politie kon er niet mee uit de voeten, bleek toen deze medewerker aangifte probeerde te doen.

Volgens de medewerker zat er niets anders op dan buiten de instanties om de klok te luiden. Hij nam interne documenten en data mee, waaronder ook de medische dossiers die als backup op een werklaptop stonden. 

Meteen na de ontdekking van het datalek doet de directie van Medworq aangifte van diefstal bij de politie

Diefstal, als gevolg van een arbeidsconflict, zegt de directie van Medworq hierover. De medewerker stapte eind 2019 met een vertrekregeling op. 

De directie van Medworq ontdekte dit datalek pas na een telefoontje van de MIVD in augustus 2020. Meteen volgde een melding bij de Autoriteit Persoonsgegevens en aangifte van diefstal bij de politie, stelt de directie. Ook zou Medworq de getroffen huisartspraktijken meteen hebben geïnformeerd. 

Dat laatste klopt in ieder geval niet, blijkt uit navraag. Geen van de getroffen huisartsen en praktijken is door Medworq op de hoogte gebracht van het lek. 

Nooit een Medworq-dashboard gebruikt

De tientallen huisartsen horen van Follow the Money voor het eerst dat hun patiëntendossiers jarenlang op de servers van Medworq stonden. Allemaal reageren ze  verbaasd, geschrokken, boos en beschaamd, omdat ze niet beter op de gegevens van hun patiënten hebben gepast. 

Haast niemand had gehoord van het bedrijf Medworq en ook het product Insider deed meestal geen belletje rinkelen. Pas nadat deze huisartsen hun archieven hadden doorzocht, vonden ze verwerkersovereenkomsten. Ze waren er allemaal vanuit gegaan dat ze zeer beperkt data hadden gedeeld, die inmiddels al lang vernietigd waren.

Dat geldt ook voor huisarts Van der Lugt uit Zaandam. Een week nadat Follow the Money hem met de gelekte patiëntendossiers confronteerde, belt hij op om te vertellen dat hij er eindelijk is achtergekomen hoe Medworq aan de dossiers kwam. 

Hij heeft nooit dashboards gebruikt of meegedaan aan gezondheidsprogramma’s van het bedrijf. Wel heeft hij eind 2015 en begin 2016 enkele maanden Insider gebruikt. Medworq voerde een pilot uit voor de huisartsopleiding waar Van der Lugt data voor aanleverde.

Van der Lugt ging er vanuit dat de dossiers op zijn minst gepseudonimiseerd werden, dus niet meer herleidbaar waren tot echte personen. Dat ook de gespreksverslagen en andere gegevens uit zijn informatiesysteem mee zouden gaan, diende geen enkel doel. En de dossiers hadden na de workshop vernietigd moeten worden. 

De huisarts neemt het zichzelf kwalijk dat hij niet alerter is geweest. Hij is technisch goed onderlegd, is hoofdredacteur van SynthesHIS, het vakblad over huisarts-informatiesystemen, en kent de wereld van data-uitwisseling rond de eerstelijns zorg dus goed. ‘Maar blijkbaar ben ik toch te naïef geweest.’

Hugo de Vos, die al sinds 2006 met data van huisartsen werkt en adviseert over privacy-by-design, ziet dat huisartsen vaak niet weten waarvoor ze de data van patiënten aanleveren. ‘Ik ken praktijken die jaarlijks vier tot twaalf keer een volledige kopie van hun databestand doorleveren, zonder dat ze weten wat er met die data gebeurt.’ 

De data gaan in veel gevallen naar universiteiten of private onderzoeksinstellingen. En soms naar bedrijven of organisaties die nauw aan een farmaceut zijn verbonden. Dat is ook het geval bij Medworq.

Financiering door farmagigant 

Al die jaren werd de software van Insider gemaakt in opdracht van farmaceut GlaxoSmithKline (GSK). GSK financierde deze software met hulp van een aantal andere farmaceuten. Ook ontwikkelde de voorloper van Medworq een database met medische gegevens in opdracht van onder meer farmaceuten GSK en Sanofi. 

Dat blijkt uit een serie interne documenten waar Follow the Money de hand op wist te leggen, waaronder een serie contracten en opdrachtbevestigingen van GSK aan Medworq en haar voorgangers. 

GSK was niet de enige financier van de software van Insider, al is het bedrijf met stip de grootste individuele contractpartner die terug te vinden is in de gelekte documenten. Ook andere bedrijven betaalden mee aan de softwareprogramma’s, waaronder farmaceuten Amgen, NovoNordisk en Boehringer Ingelheim. 

Deze namen staan ook in een overzicht van Insider-gebruikersaccounts. Zo had alleen al GSK elf Insider-accounts voor medewerkers. Twee GSK-medewerkers kregen in 2016 toegang tot onder meer de programma’s Insider Praktijk, de Insider Astma Interventie Toolkit en de Insider COPD Interventie Gold Toolkit. De bijbehorende opdrachtbevestiging vermeldt hierover: ‘De basisinstallatie van Insider wordt tezamen met een demodatabase, door onze Service Desk, op de laptop van (XXXX) geïnstalleerd. Eén en ander wordt op een Microsoft SQL Server omgeving ingericht.’ 

Financiers van de software blijken gebruikersaccounts te hebben en hadden zelfs databases tot hun beschikking

Bovendien blijkt er een backup te zijn gemaakt van een complete database voor de medewerker van GlaxoSmithKline die bij Medworqs voorlopers gedetacheerd was. Hij werkte jarenlang mee aan Insider, maar was in dienst van de farmaceut. 

Dat de financiers van de software zelf ook gebruikersaccounts hebben en zelfs databases  tot hun beschikking hadden, roept de vraag op tot welke informatie deze bedrijven dan precies toegang hadden. Welke informatie over patiënten was zichtbaar voor deze externe partijen: was die wel streng genoeg onherkenbaar gemaakt? 

Op basis van het gelekte materiaal is hierop geen sluitend antwoord te geven. GSK bevestigt zaken te hebben gedaan met Medworq, maar zegt dat inmiddels niet meer te doen. Op de vraag of GSK data tot haar beschikking had, en zo ja, welke dan, volgt deze verklaring: ‘Hoewel het voor ons op dit moment niet mogelijk is om alle feitelijke omstandigheden met betrekking tot historische samenwerking met Medworq te verifiëren, was en is GSK niet geïnteresseerd in het ontvangen van identificeerbare patiëntgegevens of het verkrijgen van toegang tot dergelijke gegevens.’ 

Voor de huisartsen is de betrokkenheid van GlaxoSmithKline en al die andere farmaceuten een onaangename verrassing. ‘Vreselijk,’ zegt een huisarts uit Amsterdam, ‘Het is erg genoeg dat dit is gebeurd, maar als daar ook nog farmaceutische bedrijven een rol bij hebben gespeeld op de achtergrond... Dat is wel het laatste waar je als arts op zit te wachten.’  

Bijna failliet

Inmiddels bestaat het programma Insider niet meer. In het voorjaar van 2020 moest Medworq plotseling alle zeilen bijzetten om niet failliet te gaan en moest bijna al het personeel vertrekken. De developers zeggen in de vroege zomer van 2020 alle aanwezige patiëntgegevens te hebben vernietigd. 

In die periode werd namelijk plotseling de stekker getrokken uit een megaproject waarmee Medworq bezig was: het ontwikkelen van een datawarehouse waarin medische gegevens van ziekenhuizen, apotheken en huisartsen gekoppeld konden worden. De opdrachtgever: een bedrijf dat in 1971 was opgericht door elf grote farmaceutische bedrijven. 

Lees volgende week in deel twee hoe Medworq miljoenen kreeg om in opdracht van farmabedrijven een medische dataverzameling aan te leggen – en wat er vervolgens gebeurde.