Iedereen kon grasduinen op de V-schijf

Nederlandse Zorgautoriteit Gegevens van patiënten, personeel en ziekenhuizen waren voor alle medewerkers van zorgautoriteit NZa in te zien. Van ontslagbrieven tot intieme verslagen over een patiënt. Een klokkenluider werd genegeerd. „Het mag een wonder heten dat dit veiligheidslek niet tot een ernstig incident heeft geleid.”

Foto HH, bewerking NRC

Arthur Gotlieb levert het dossier 10 januari af bij de NZa, zijn werkgever. „Grijp het aan als bruikbaar organisatieadvies. Zie het als een cadeaubon. Sterker nog: zie het als een godsgeschenk, bedoeld om de Nederlandse Zorgautoriteit te behoeden voor een diepe val.”

Het 600 pagina’s dikke dossier dat Gotlieb, beleidsmedewerker, afgelopen jaar samenstelde, is niet geschreven uit rancune. Het stuk leest als een welgemeend advies aan zijn hoogste baas, de raad van bestuur van de Nederlandse Zorgautoriteit (NZa).

De inhoud getuigt van schrijftalent maar de aanleiding zoveel pagina’s vol te schrijven is allesbehalve een vrolijke. Gotlieb luidt jarenlang intern de noodklok, zonder resultaat. Zijn „herhaalde pogingen om onzorgvuldigheden en wanbeleid aan te kaarten” zijn afgeketst, staat in het dossier waarover deze krant beschikt. En daar komt eind 2013 een conflict bij met zijn unitmanager over een slechte werkbeoordeling.

Het dossier, onderdeel van het bezwaarschrift tegen zijn werkbeoordeling, beschrijft tot in detail een reeks misstanden bij de NZa. De verwijten worden onderbouwd met 3 gigabyte aan bewijzen, zoals interne correspondentie, documenten, foto’s, geluidsfragmenten, alles bijeengebracht op een dvd-rom.

Wat er uitspringt in het dossier van Gotlieb: patiëntengegevens en vertrouwelijke documenten zijn niet veilig bij de toezichthouder die een jaarlijkse geldstroom van 90 miljard controleert.

„Helaas zie ik geen andere route dan het u te melden langs deze onsympathieke weg”, schrijft Arthur Gotlieb. „De geest moet uit de fles en het deksel van de pot. Opdat het management tijdig kan bijsturen. Dit schreeuwt namelijk om interventie.” Twee weken nadat hij dit dossier had ingeleverd, pleegde Arthur Gotlieb zelfmoord.

Medische gegevens, data zorginstellingen

Op het hoofdkantoor van de NZa in Utrecht passeren medische geheimen en bijzondere persoonsgegevens waarvoor het hoogste beveiligingsniveau geldt. De organisatie is in het bezit van complete medische dossiers. Daarnaast heeft de toezichthouder de beschikking over grote hoeveelheden vertrouwelijke en concurrentiegevoelige bedrijfsinformatie van ziekenhuizen en andere zorginstellingen.

De inhoud varieert: van de financiële doelmatigheid van klinieken tot interne rapportages van de Inspectie voor de Gezondheidszorg. Die informatie heeft de organisatie bijvoorbeeld nodig om te beoordelen of ziekenhuizen recht hebben op financiële compensatie.

Zulke vertrouwelijke stukken moeten veilig zijn opgeborgen, ook digitaal. Het dossier toont dat dit jarenlang niet het geval is. Daarmee schendt de NZa niet alleen het eigen informatieveiligheidsbeleid, maar overtreedt de NZa ook de Wet bescherming persoonsgegevens en de Wet marktordening gezondheidszorg. De NZa is volgens deze wetten verplicht tot geheimhouding van persoonsgegevens en andere vertrouwelijke informatie. De NZa dient te garanderen dat de opgeslagen informatie adequaat beveiligd is.

De NZa bestaat al sinds 2006 maar het beleid over de veiligheid van informatie komt pas laat op gang. Op 1 januari 2013 publiceert de raad van bestuur het ‘Informatiebeveiligingsbeleid NZa’. De ondernemingsraad (OR) vindt het te mager en vraagt aanpassingen die de veiligheid beter garanderen.

De OR laat aan het personeel weten: „We willen natuurlijk niet dat onze bestanden met data van ziekenhuizen gehackt worden. Of dat iemand zomaar in ons gebouw kan rondlopen op zoek naar gegevens over een ophanden zijnde fusie tussen twee zorginstellingen. Maar ook de personeelsdossiers moeten goed afgeschermd zijn, net als kopieën uit medische dossiers van een toezichtonderzoek.”

Clean desk, niemand houdt zich eraan

De NZa heeft een huisreglement waarin staat dat je pas naar huis mag als je ‘desk clean’ is. De praktijk is anders – zo blijkt uit tientallen foto’s. Bureaus, papierbakken en printers liggen vol vertrouwelijk materiaal. Dat is niet zonder risico, ook al omdat het een komen en gaan is van tijdelijk personeel, plantenverzorgers en schoonmakers. In 2011 maakt Arthur Gotlieb bij zijn unitmanager melding van gelekte vertrouwelijke stukken. Hij krijgt geen reactie.

Ook verlaten medewerkers met grote regelmaat de NZa om te gaan werken bij instellingen waarop zij eerst toezicht hielden. Regels die dat verbieden heeft de NZa niet, terwijl de toezichthouder straffen kan opleggen aan de onder haar toezicht staande instellingen en die instellingen ook kan dwingen vertrouwelijke informatie met de NZa te delen. Medewerkers beschikken per definitie over vertrouwelijke informatie over de zorgsector. De plaatsvervangend directeur Cure gaat in 2012 zonder problemen naar de Nederlandse Vereniging van Ziekenhuizen, in vrijwel dezelfde functie. Bij de NZa heeft hij zich tot op de laatste dag beziggehouden met ziekenhuisdossiers.

Of neem de adviseur van de raad van bestuur. Hij wordt in 2012 consultant voor de farmaceutische industrie. Als fabrikant Bayer in augustus dat jaar de NZa voor de rechter daagt over vergoeden van geneesmiddelen, blijkt de consultant over de conceptdagvaarding te beschikken. In het dossier zit een e-mail van hem waarin staat dat hij het stuk van het hoofd juridische zaken van de NZa heeft gekregen.

Het belletje rinkelt helemaal niet

‘Langs deze weg wil ik u graag informeren over mijn bijzondere belangstelling voor de functie van directeur Toezicht & Handhaving bij de Nederlandse Zorgautoriteit. Op dit moment ben ik algemeen directeur van het College Bescherming Persoonsgegevens (CBP).”

CBP-directeur Paul Frencken solliciteert in juni 2009 bij de NZa. Brief en cv van de directeur van de ‘privacywaakhond’ zijn meer dan vier jaar lang in te zien voor het complete personeel, uitzendkrachten incluis. Ze staan in Outlook Agenda van de directeur van de afdeling Cure.

Dat is niet vreemd binnen de NZa, waar veel vertrouwelijke stukken voor iedereen digitaal toegankelijk zijn. Zoals in Outlook Agenda. Het management propageert „het openstellen van de agenda’s” voor elkaar. Dit zonder restrictie of instructie. Maar sommige afspraken met bezoekers lenen zich niet voor publieke vermelding.

Dat uitgerekend de privacy van de directeur van het CBP wordt geschonden, is opmerkelijk. Gotlieb in zijn dossier: „Bij zo’n opmerkenswaardig geval gaat er een belletje rinkelen, zou je zeggen. Maar er rinkelt helemaal niets bij [hier stond de naam van de directeur Cure; red.]. Met een simpele muisklik had hij de privacygevoelige stukken kunnen verwijderen uit zijn Outlook Agenda. Dat heeft hij niet gedaan.”

De directeur Cure is niet de enige die dat besef niet heeft. Het hoofd juridische zaken stuurt in 2012 via Outlook Agenda een vergaderverzoek met als bijlage een ernstige klacht over de NZa. Die komt van de Nederlandse Vereniging voor Heelkunde en het Nederlands Oogheelkundig Gezelschap en is voor iedereen toegankelijk: „Bij de afhandeling van de bezwaren overschrijdt de NZa structureel en in grote mate de wettelijke termijnen, zonder kennisgevingen of toestemming van de bezwaarden. (…) Kennelijke fouten worden niet hersteld. (…) De genoemde gebeurtenissen hebben vanaf eind 2007 plaatsgevonden.”

Medewerkers van de personeelsafdeling, onder wie de officiële vertrouwenspersoon, schermen vertrouwelijke afspraken en bijbehorende correspondentie niet af in hun agenda. Ook niet als het gaat om medewerkers die ontslagen zijn of zullen worden. Opnieuw kan het hele kantoor meelezen. De agenda van 12 december 2013: „Hoi, ik heb inmiddels het proces bij het UWV in gang gezet, als het goed is word ik deze week gebeld. Ik kom uiteindelijk uit op 16 maanden. Groeten Bianca”.

Dat meelezen kan ook vanuit huis via Outlook Web Access. Met het intoetsen van een gebruikersnaam en wachtwoord in een internetbrowser is de mailserver van de NZa toegankelijk. De gebruikersnaam staat ook boven elke brief die een medewerker van de NZa naar buiten stuurt. Outlook Web Access is een kwetsbare en inbraakgevoelige vorm van e-mailverkeer. Een andere zorgorganisatie, het College voor zorgverzekeringen (CVZ), stelt Outlook Web Access niet beschikbaar aan medewerkers. Ook het ministerie van VWS laat zijn personeel niet van buitenaf inloggen omdat het departement dat onveilig vindt.

Arthur Gotlieb wijst intern op de risico’s. Het dossier: „Op 6 september 2011 heb ik de unitmanager informatiemanagement erop aangesproken. Hier heb ik verder niets meer op gehoord.”

Zelfs vakantiewerker kon bij de V-schijf

Het computernetwerk van de NZa wordt ook gebruikt voor persoonlijke hobby’s van medewerkers. De illegaal gedownloade versie van de Amerikaanse actiefilm ‘A Good Day to Die Hard’ met Bruce Willis – in de winkel te koop voor 17,95 – is er voor iedereen toegankelijk. In totaal staat er voor ruim 8 gigabyte aan zulke speelfilms op de netwerkschijf van de toezichthouder geparkeerd.

Ook aanwezig: 2.030 illegale e-books (niet rechtenvrij). Van Baantjer tot Nicolaas Beets. Van Roald Dahl tot Hugo Claus. Vrijwel alle grote Nederlandstalige schrijvers zijn vertegenwoordigd. En de Bijbel is ook digitaal beschikbaar. In de map van de secretaris van de raad van bestuur staan cd’s van zangeres Eva de Roovere.

Medewerkers kunnen dat allemaal vinden op de zogeheten V-schijf. Alle mappen op deze schijf zijn voor iedereen toegankelijk. Wie goed zoekt kan de individuele salarissen van alle medewerkers vinden. Bestanden kunnen gekopieerd of per e-mail verzonden worden.

De V-schijf, die dient om bestanden tijdelijk te delen en ze vervolgens te verwijderen, groeide de afgelopen jaren echter uit tot zo’n 300 gigabyte aan informatie, het equivalent van 500 volgeschreven cd-roms.

Wie hebben nog meer toegang tot dit zenuwcentrum van de toezichthouder? Onderhoudsmonteurs van de printers, technici voor de audiovisuele apparatuur, coaches en trainers, uitzendkrachten, vakantiewerkers, cateringmedewerkers en de invalkrachten bij de receptie.

Wat kunnen ze zien en meenemen? Bijvoorbeeld 150 geluidsopnamen van hoorzittingen in bezwaarprocedures. Wie uitgenodigd wordt voor een hoorzitting bij de NZa, krijgt te horen dat er een geluidsopname wordt gemaakt voor het verslag en dat de opname daarna gewist wordt. De praktijk is echter dat de geluidsbestanden vaak jarenlang op de V-schijf staan.

Daar staan ze samen met duizenden bestanden over tariefbeschikkingen, bezwaarprocedures en uitgedeelde boetes. Zoals het boetedossier van BePerfect Clinics, het Amstelveense filiaal van een tandenbleek- en beugelketen.

Van alles wat er bij de NZa passeert, staan de ziekenhuizen het meest in de belangstelling. Deze stukken zijn zo vertrouwelijk, dat de NZa ze pas publiceert na vaststelling door de raad van bestuur en commentaar van VWS. Een medewerker die zich bezighoudt met ziekenhuizen zet in 2009 1.631 bestanden op de V-schijf, waaronder zienswijzen over voorgenomen fusies. De getallen en overwegingen zijn concurrentiegevoelig. Op de schijf komt de fusie van Zeeuwse ziekenhuizen voorbij en een rapportage over de doelmatigheidspercentages van alle Nederlandse ziekenhuizen.

De NZa bepaalt ook de tarieven voor dure geneesmiddelen in ziekenhuizen. In 2013 wordt de lijst met medicijnen herijkt om in 2014 nieuwe tarieven af te geven. In september 2013 staan alle databestanden hierover op de schijf. Terwijl de inkoopprijzen van de geneesmiddelen concurrentiegevoelig zijn.

Op een ander deel van het netwerk – de W-schijf, die ook toegankelijk is voor uitzendkrachten – staan de digitale handtekeningen van directeuren en bestuurders alsmede de afbeeldingen van bezoekerspassen in hoge resolutie. Met een afdruk kun je zo een nieuw pasje maken om het gebouw van de NZa binnenkomen.

Van GGZ-dossiers tot pincodes en passen

Tot de documenten met het hoogste beveiligingsniveau behoren patiëntendossiers. Zulke dossiers kan de NZa bijvoorbeeld in beslag nemen bij instellingen die van fraude worden verdacht. Praktijk is om die administratie vervolgens in te scannen. Ook dit staat op de voor iedereen toegankelijke V-schijf.

Wat zit er zoal in? Een onderzoek naar het inmiddels failliete Anatole Zorgbureau in Schiedam. De stukken van het bemiddelingsbureau voor thuiszorg zijn in oktober 2011 op de schijf gezet: 4.582 pagina’s gescande dossiers van overwegend Turkse ingezetenen. Daaronder scans van bankpasjes met pincodes, loonstroken van medewerkers, correspondentie over lichamelijke beperkingen, kopieën van identiteitsbewijzen en zorgpassen, medicatiehistorie, bankafschriften en handgeschreven logboeken: „Dhr gedoucht, dhr op po-stoel gezet, dhr naar moskee gebracht, dhr op bed gelegd”.

Als de NZa in september 2012 de administratie van de Rotterdamse zorginstelling More in beslag neemt, staan twee maanden later 96 GGZ-dossiers van patiënten van More op de V-schijf. De dossiers bevatten kopieën van paspoorten, polisbladen van zorgverzekeringen, medische gegevens, details als „echtgenoot heeft zichzelf opgehangen”, medische vragenlijsten (‘trillen en beven: ja’) en 2.941 pagina’s met verslagen van psychologische onderzoeken.

Arthur Gotlieb concludeert in zijn dossier: „De losse eindjes in de bedrijfsvoering tellen op tot een toestand die niet meer acceptabel is. De bedrijfsvoering geeft aanleiding tot zorgen over de automatiseringspraktijk. De gedeelde V-schijf is een tikkende tijdbom. Het mag een wonder heten dat dit potentiële veiligheidslek niet tot een ernstig incident heeft geleid.”

Reactie NZa

Eindverantwoordelijk voor de informatieveiligheid bij de NZa is Eitel Homan, lid van de raad van bestuur. De afgelopen jaren heeft de NZa het zo goed als mogelijk geprobeerd te regelen, zegt hij. ,,Maar het gedrag in de praktijk was iets anders, moet ik constateren. Ik was niet van alle details op de hoogte. Soms was het onwetendheid om vertrouwelijke stukken mee te sturen bij Agenda afspraken.” Homan zegt dat de NZa maatregelen genomen heeft na het dossier van Arthur Gotlieb. In die zin was het een welkom organisatieadvies, zegt hij. ,,Toen ik het las dacht ik: er moet iets gebeuren.” De voor alle personeel toegankelijke V-schijf is opgeruimd, personeel heeft instructies gekregen en er wordt gecontroleerd. ,,Ik trek het me aan”, antwoordt Homan op de vraag hoe het kan dat jarenlang de meeste vertrouwelijke documenten niet veilig waren. ,,Het is niet goed gegaan en valt niet goed te praten. Ik betreur het.” De NZa informeerde het College bescherming persoonsgegevens niet over de gang van zaken. Gaat Homan dat alsnog doen? ,,Ik zeg toe dat ik dat ga doen.”

Bestuursvoorzitter Theo Langejan: „Wat er met Arthur is gebeurd heeft mij geschokt. We zijn er ondersteboven van. Nu nog. Dat neemt niet weg dat de gebreken die hij noemt ernstig zijn. Arthur was een van de mensen die een key-user was. Die was aangesteld om dit soort fouten op te zoeken. In een aantal gevallen heeft hij die ook gemeld. Maar hij heeft ook geconstateerd dat daar in een aantal gevallen niet veel mee gebeurde. Ik betreur het dat Arthur het niet bij ons heeft gemeld, juist omdat hij een key-user is.”