Puinhoop bij NZa: medische gegevens onveilig

Het is een rotzooi bij de Nederlandse Zorgautoriteit. Medische gegevens en concurrentiegevoelige informatie is er niet veilig. Al jaren schendt de toezichthouder op de zorgsector de eigen regels over informatiebeveiliging en de Wet bescherming persoonsgegevens. Dat meldt NRC Handelsblad donderdag op basis van een dossier dat samengesteld is door een Arthur Gotlieb, senior beleidsmedewerker van de NZa. Gothlieb pleegde in januari zelfmoord, na een negatieve beoordeling over zijn functionering.

Vlak voor zijn overlijden leverde de klokkenluider een 600 pagina’s tellend dossier af bij de NZa, bij wijze van bezwaarschrift tegen zijn negatieve beoordeling. Volgens de klokkenluider zou sprake zijn van talloze interne misstanden, waaronder de slechte beveiliging van vertrouwelijke gegevens en de veiligheid van het ict-systeem. In zijn dossier beschrijft Gothlieb ‘hoe hij intern de klok luidde en hoe zijn managers alle middelen inzetten om hem kwijt te raken’. De afgelopen jaren heeft hij meerdere malen gewaarschuwd voor de lekker in de ICT-beveiliging, zonder dat zijn leidinggevenden daarop reageerden.

De NZa is verantwoordelijk voor het toezicht op zorginstellingen en doet onderzoek naar fraude. Minister Schippers (Zorg, VVD) stelt nu een onderzoek in naar het intern functioneren van de zorgautoriteit. ” Directe aanleiding is een op handen zijnde publicatie van NRC Handelsblad over een dossier van een interne klokkenluider”, schrijft NRC.

Naar aanleiding van de vragen van NRC Handelsblad aan de NZa, heeft de bestuursvoorzitter de minister van Volksgezondheid dinsdag ingelicht over het overlijden van de medewerker en de inhoud van het dossier. Kort daarop kondigde het ministerie een onderzoek aan, onder leiding van Hans Borstlap, oud-topambtenaar en lid van de Raad van State. Borstlap gaat de handelwijze van de NZa onderzoeken, waarbij extra wordt gelet op het borgen van ICT-veiligheid en vertrouwelijkheid van dossiers.

NRC schrijft over het dossier van Gothlieb:

Het dossier van Gotlieb maakt duidelijk dat het bij de NZa om structurele en grootschalige schendingen van de veiligheid van informatie gaat. Voor het complete personeel, vakantiekrachten en uitzendkrachten incluis, waren jarenlang de meest vertrouwelijke documenten te zien op een centrale computerschijf, in het digitale postsysteem en in Outlook Agenda.

Zo was de brief van directeur Paul Frencken van het College Bescherming Persoonsgegevens (CBP) voor iedereen te lezen. Hij solliciteerde in 2009 naar een directeursfunctie bij de NZa. In een reactie zegt Frencken dat hij het ‘bijzonder vervelend’ vindt dat zijn privacy is geschonden. “Om dat te begrijpen hoef je niet bij het CBP te werken”.

Maar het ging nog verder. Op het interne netwerk van de NZA illegaal verkregen speelfilms en meer dan 2.000 niet-rechtenvrije e-booken. Jarenlang was voor iedereen beschikbaar:

Patiëntendossiers, tariefbeschikkingen, bezwaarschriften, onderzoeksrapporten, foto’s, geluidsopnamen en nog veel meer, waren jarenlang toegankelijk voor iedereen die werkte bij de Nederlandse Zorgautoriteit.  De NZa is de toezichthouder voor de hele zorgsector in Nederland. Op de V-schijf van het NZa-computersysteem stond voor meer dan 300 gigabyte aan documenten opgeslagen, zonder enige beveiliging.  Gotlieb vond onder andere: – 96 complete patiëntendossiers – Kopieën van bankpassen met pincodes – Loonstroken – 150 geluidsopnamen van vergaderingen – 300 tariefbeschikkingen – 600 nacalculaties – 700 verweerschriften – 2750 bestanden over bezwaarzaken – 10.000 foto’s – Mailarchieven van Outlook  – 832 powerpoint-presentaties  – Marktscans en onderzoeksrapporten – Bijna 14.000 juridische stukken En verder nog illegale software, 2000 Nederlandstalige e-boeken en muziek-cd’s. Eitel Homan, verantwoordelijk voor de ICT laat in een reactie weten dat het niet is goed gegaan. “Het valt niet goed te praten. Ik betreur het.”

Lees hier: deel 1 van het NZa-dossier: vijf voorbeelden van potentiële veiligheidslekken

NRC: Wanorde bij NZa: medische gegevens onveilig, klokkenluider genegeerd