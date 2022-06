Via softwarebedrijf Medworq zijn medische dossiers afkomstig uit huisartsensystemen gelekt. Dat meldt Follow the Money. Volgens het journalistieke platform wisten de huisartsen niets van de dataverzameling, maar Medworq weerspreekt dat.

In de dossiers staan zeer privacygevoelige gegevens. Namen, burgerservicenummers en adresgegevens in combinatie met informatie over kwalen en zware persoonlijke problematiek als huiselijk en seksueel geweld, geslachtsziekten en psychische problemen. Doorgaans genieten medische gegevens de hoogste wettelijke bescherming.

Eerder verwijderen

Medworq maakt ict voor zorgprogramma’s, grotendeels toegespitst op preventie. Het was aanvankelijk de bedoeling dat de data de huisartsenpraktijk niet zouden verlaten, maar bij foutmeldingen en storingen gebeurde dat voor testdoeleindes wel. Het bedrijf geeft toe dat het bepaalde informatie te lang bewaarde. “Bepaalde data hadden we eerder willen verwijderen”, zegt directielid Johan Ruiter. “Maar dat zijn niet de gegevens die nu naar buiten zijn gebracht.”

Dark web

Volgens Follow the Money nam een klokkenluider in 2020 de medische dossiers en duizenden interne documenten mee, nadat die vergeefs de privacyschending intern en extern aan de kaak had gesteld. Medworq spreekt in een statement juist van een medewerker die als mogelijk aankomend information security officer “ernstig misbruik heeft gemaakt van zijn functie door de patiëntdata voor verwijdering te kopiëren voor eigen doeleinden”. Uiteindelijk belandde een deel de data op het dark web, een incident waar melding van is gemaakt bij de Autoriteit Persoonsgegevens. Ook de getroffen patiënten zouden op de hoogte zijn gesteld.

Huisartsen op de hoogte?

Ook over de vraag of de huisartsen wisten dat de dossiers werden verzameld, bestrijdt Medworq de berichtgeving van FTM. Ruiter: “Natuurlijk waren huisartsen daarvan op de hoogte, we hebben stapels verwerkersovereenkomsten liggen.” Volgens het directielid hadden de huisartsen ook kunnen weten dat gegevens soms niet gepseudonimiseerd werden opgeslagen. “In een enkel uitzonderlijk geval werden identificeerbare data verwerkt waarvoor tevens verwerkersovereenkomsten bestonden.”

Vervolg

In het statement dat het bedrijf op de eigen website heeft geplaatst, neemt het ook een voorschot op een nog te verschijnen vervolgartikel. Dat zoomt in op de financiering van het bedrijf en de omgang met patiëntdata. (ANP/Skipr)