Onduidelijk waarom NZa zo lang wachtte met melden klokkenluider

Deze week informeerde de NZa de minister over een klokkenluider die in januari op misstanden wees en daarna zelfmoord pleegde.

Hoe kan een toezichthouder ziekenhuizen en zorgverzekeraars bestraffen voor gebrekkige administratie of foutieve declaraties als hij zelf de boel intern niet op orde heeft en regelgeving schendt? Dat is een van de vragen die de Nederlandse Zorgautoriteit (NZa) moet beantwoorden nu blijkt dat medische gegevens en concurrentiegevoelige informatie niet veilig zijn bij de ‘waakhond’ van de zorg.

De misstanden kwamen aan het licht door het gisteren uitgelekte dossier van NZa-medewerker Arthur Gotlieb. Hij diende op 10 januari van dit jaar een lijvig verweerschrift in bij zijn werkgever tegen zijn negatieve beoordeling als werknemer. Daarbij stelde hij als klokkenluider ook allerlei interne zaken aan de orde. Twee weken later pleegde hij zelfmoord.

In een gesprek met deze krant zegt NZa-bestuurder Eitel Homan over de onveilige omgang met documenten: „Dit is een incident, dat in de uitvoering niet goed gegaan is.” Hij bestrijdt dat de NZa er afgelopen jaren „beleidsmatig niets aan zouden hebben gedaan”. En: „Wij zijn een lerende organisatie.”

Maar het dossier van Gotlieb duidt op een veiligheidsprobleem van een meer structurele aard. In zijn verweerschrift wijt Gotlieb de interne wanorde aan een lakse aansturing door de NZa-leiding en het gebrek aan interesse bij het management voor informatieveiligheid.

Een aanwijzing dat die analyse juist kan zijn, is dat informatieveiligheid bij de NZa pas sinds vorig jaar echt in de schijnwerpers staat. Dat is laat voor een organisatie die sinds 2006 bestaat en waarin zoveel vertrouwelijke gegevens omgaan. Het beleid ging bovendien niet ver genoeg vond de ondernemingsraad van de NZa begin 2013. En wat op papier stond, werd niet altijd nageleefd.

Misschien nog prangender is de vraag wat de leiding van de Zorgautoriteit de afgelopen drie maanden precies gedaan heeft. Dat de top van de NZa niet van sommige veiligheidsrisico’s kennis had is op zich al ernstig. Maar vanaf 10 januari dit jaar wist de NZa-top het wel. Het stond uitgebreid in het zeshonderd pagina’s tellende bezwaarschrift dat Gotlieb had ingediend. Wat deed de raad van bestuur?

Op 14 februari, drie weken na de dood van Gotlieb, zat zijn familie bij de NZa-top. In dat gesprek, waarvan deze krant een verslag heeft, werd niets gezegd over een onderzoek naar werkgerelateerde zelfdoding. Anderhalve maand later vroeg NRC Handelsblad een interview aan over het dossier van Gotlieb. Tijdens dat gesprek, vrijdag 4 april, zei de raad van bestuur zelf opdracht te zullen geven voor een extern onderzoek aan enkele psychologen. Maar ministerie, familie en het College Bescherming Persoonsgegevens waren nog niet geïnformeerd.

Toen de familie lucht kreeg van die plannen, maakte zij bezwaar. De familie van Gotlieb wilde niet dat de organisatie zijn eigen onderzoeksopdracht formuleerde. Op dinsdag stelde bestuursvoorzitter Theo Langejan minister Schippers (Zorg, VVD) op de hoogte. Die besloot een dag later zelf een onafhankelijk onderzoek in te stellen. En het College Bescherming Persoonsgegevens (CBP) belde zelf maar met de NZa.

Bestuursvoorzitter Theo Langejan zegt het te betreuren dat Gotlieb als key-user bepaalde zaken niet eerder gemeld heeft dan 10 januari dit jaar: „Arthur was een van de mensen die een key-user was. Die was aangesteld om dit soort fouten op te zoeken. In een aantal gevallen heeft hij die ook gemeld. Maar hij heeft ook geconstateerd dat daar in een aantal gevallen niet veel mee gebeurde. Ik betreur het dat Arthur het niet bij ons heeft gemeld, juist omdat hij een key-user was.”

Maar in het verweerschrift had Langejan op pagina 373 een e-mailwisseling kunnen zien waaruit blijkt dat Gotlieb door zijn directe leidinggevende ruim een jaar geleden werd buitengesloten van het key-user-overleg binnen NZa.

Theo Langejan zegt het hele verweerschrift „doorgenomen” te hebben, maar „ik heb niet de cd-rom met 4.000 documenten integraal doorgenomen”. Dan kan er wat aan je aandacht ontsnappen.

Minister Schippers laat nu onafhankelijk onderzoek doen.

Van een raad van toezicht heeft de Nederlandse Zorgautoriteit niets te vrezen. Die is er namelijk niet. Qua toezicht op de toezichthouder bestaat er slechts een raad van advies waarvan de leden door de raad van bestuur zelf worden uitgenodigd er zitting in te nemen. En de minister moet het verder op afstand doen.

Reageer op onderzoek@nrc.nl