Softwarebedrijf Medworq verzamelde jarenlang complete medische dossiers. Daarmee schond het bedrijf de privacy van ten minste 72.000 patiënten. Het medisch beroepsgeheim van minimaal 35 huisartsen was daardoor in het geding. De privcacyinbreuk is gemeld bij de Autoriteit Persoonsgegevens. Dat meldt Follow The Money (FTM) op basis van eigen onderzoek.
Volgens Dimitri Tokmetzis en Eelke van Ark van FTM sloeg Medworq jarenlang niet-geanonimiseerde gegevens op. Bovendien gebeurde dat op onveilige plekken. Een klokkenluider kaartte de kwestie intern en extern aan, maar vond nergens een luisterend oor. Daarop besloot hij om het heft in eigen handen te nemen door interne documenten en medische dossiers mee te nemen. Medworq zegt dat de oud-medewerker de dossiers had meegenomen, omdat hij een arbeidsconflict had met het bedrijf.
Doordat de gegevens in de dossiers niet waren geanonimiseerd, lagen privacygevoelige data voor het oprapen. Dan moet je denken aan namen, adres- en contactgegevens en burgerservicenummers. Deze zaken konden eenvoudig gekoppeld worden aan onschuldige medische kwalen, psychische klachten en zelfs delicten in de relationele sfeer (huiselijk geweld, seksueel geweld).
Medworq verzamelde volgens FTM de gegevens om software voor dashboards te testen. Met deze dashboards konden huisartsen hun patiënten volgen. GlaxoSmithKline gaf de opdracht om het softwaresysteem te bouwen.
Huisartsen en patiënten wisten niet dat Medworq vertrouwelijke gegevens gebruikte om de software te toetsen. Medworq ontkent dat GlaxoSmithKline toegang had tot persoonlijke en medische gegevens van patiënten, zo zegt het softwarebedrijf tegen FTM. Uit interne documenten blijkt echter het tegendeel. Tokmetzis en Van Ark vroegen GlaxoSmithKline hoe de vork in de steel zat. Het bedrijf ontkende niet dat ze geen toegang hadden tot patiëntgegevens.
Medworq zegt tegenover FTM dat het in 2020 de patiëntendossiers heeft vernietigd. De getroffen huisartspraktijken zouden direct zijn geïnformeerd door het bedrijf nadat de voormalige medewerker medische dossiers had meegenomen. Dit blijkt echter niet te kloppen: geen enkele huisarts was hiervan op de hoogte, zo zegt FTM.
Medworq heeft het voorval gemeld bij de Autoriteit Persoonsgegevens. Het softwarebedrijf zou ook aangifte hebben gedaan bij de politie van datadiefstal. FTM heeft de getroffen huisartsen geïnformeerd over de kwestie en ze een factsheet overhandigd waarmee ze melding kunnen doen bij de toezichthouder.
De Autoriteit Persoonsgegevens geeft geen commentaar op actuele zaken en lopende onderzoeken. Daarom kan de privacywaakhond niet zeggen of ze een melding heeft ontvangen van Medworq. Het moge duidelijk zijn dat dit verhaal nog een staartje krijgt.
