Wanorde bij NZa: medische gegevens onveilig, klokkenluider genegeerd

Foto Hollandse Hoogte / Flip Franssen. Bewerking NRC

Medische gegevens en concurrentiegevoelige informatie van zorgverzekeraars en zorgverleners zijn niet veilig bij de Nederlandse Zorgautoriteit (NZa). De toezichthouder op de zorgsector schendt daarmee al jaren de eigen regels over informatiebeveiliging en de Wet bescherming persoonsgegevens.

Dat blijkt uit een 600 pagina’s tellend bezwaarschrift geschreven door Arthur Gotlieb, senior beleidsmedewerker van de NZa. In zijn dossier, in handen van deze krant, beschrijft Gotlieb hoe hij intern de klok luidde en hoe zijn managers alle middelen inzetten om hem kwijt te raken. Nadat Gotlieb zijn bezwaarschrift in januari dit jaar had ingeleverd bij de leiding van de NZa, pleegde hij zelfmoord. Hij werd 50 jaar. Uit zijn dossier blijkt dat hij de afgelopen jaren meerdere malen waarschuwde voor de lekken in de ICT-beveiliging. Zijn leidinggevenden hebben daar vaak niet op gereageerd.

Onafhankelijke commissie doet onderzoek naar misstanden

De NZa-leiding informeerde minister Schippers (Zorg, VVD) afgelopen dinsdag over de zelfdoding en over het dossier rond de interne veiligheidsproblemen. Dat gebeurde nadat NRC Handelsblad vorige week vrijdag vragen had gesteld aan de NZa. Het ministerie kondigde daarop gisteren een onderzoek aan door een onafhankelijke commissie onder leiding van Hans Borstlap, oud-topambtenaar en lid van de Raad van State.

Borstlap moet de handelwijze van de NZa onderzoeken, zo blijkt uit een brief (pdf) die de minister inmiddels aan de Tweede Kamer heeft gestuurd. Daarbij wordt extra gelet op het borgen van ICT-veiligheid en vertrouwelijkheid van dossiers.

Grootschalige schendingen van de veiligheid van informatie

Gotlieb werkte sinds 2000 bij de NZa en haar rechtsvoorgangers. De organisatie houdt namens de rijksoverheid toezicht op de besteding van 90 miljard euro per jaar in de zorgsector. Bestuursvoorzitter Theo Langejan zei vrijdag tegen de krant zelf ook opdracht te zullen geven voor een onderzoek. Hij wilde weten “of er fouten zijn gemaakt zijn in het personeelsbeleid en welke lessen de organisatie kan leren”. De familie van Gotlieb protesteerde tegen een onderzoek in opdracht van de NZa zelf, en eiste een onafhankelijk onderzoek in opdracht van het ministerie van VWS. De familie vindt het “erg triest” dat het “kennelijk tot afgelopen dinsdag de bedoeling was dat het verhaal van Arthur in de doofpot zou verdwijnen”. Broer Marcel Gotlieb in een reactie:

“Mijn ouders en ik zijn aan de ene kant verheugd dat er nu - na tussenkomst van de NRC en bijna 3 maanden na de zelfdoding mijn broer - een onafhankelijk onderzoek komt naar het intern functioneren van de NZA. Aan de andere kant vinden wij het als familie ook erg triest om te moeten constateren dat het kennelijk tot afgelopen dinsdag de bedoeling was dat zijn verhaal in de doofpot zou verdwijnen. Het is schokkend om te moeten ervaren dat een organisatie als de NZA het eigenbelang lijkt te stellen boven het overstijgende belang rond de handelwijze van het Management in het geval van mijn broer en de missstanden die hij aan de kaak stelde.”

Het dossier van Gotlieb maakt duidelijk dat het bij de NZa om structurele en grootschalige schendingen van de veiligheid van informatie gaat. Voor het complete personeel, vakantiekrachten en uitzendkrachten incluis, waren jarenlang de meest vertrouwelijke documenten te zien op een centrale computerschijf, in het digitale postsysteem en in Outlook Agenda.

Tot de stukken die voor iedereen binnen de NZa beschikbaar waren, behoort een brief van directeur Paul Frencken van het College Bescherming Persoonsgegevens (CBP). Hij blijkt in 2009 bij de NZa gesolliciteerd te hebben naar een directeursfunctie. Frencken zegt in een reactie dat hij het “bijzonder vervelend” vindt dat zijn privacy geschonden is. “Om dat te begrijpen hoef je niet bij het CBP te werken.”

Op het interne netwerk van de NZa stonden ook illegaal verkregen speelfilms, waaronder de laatste Die Hard-film met Bruce Willis en meer dan 2.000 niet-rechtenvrije e-boeken. Het CBP is niet door de NZa geïnformeerd over problemen. Het College heeft na vragen van deze krant zelf inlichtingen ingewonnen.

De NZa zegt maatregelen te hebben genomen om de informatie beter te beveiligen. “Het is niet goed gegaan en valt niet goed te praten. Ik betreur het”, aldus bestuurslid Eitel Homan, verantwoordelijk voor de ICT.

Lees vandaag meer in NRC Handelsblad:
Gegevens van patiënten, personeel en ziekenhuizen waren voor alle medewerkers van zorgautoriteit NZa in te zien. Van ontslagbrieven tot intieme verslagen over een patiënt. Een klokkenluider werd genegeerd. “Het mag een wonder heten dat dit veiligheidslek niet tot een ernstig incident heeft geleid.”

Lees op nrc.nl:

    • Joep Dohmen en Jeroen Wester