300 gigabyte onbeveiligde dossiers

Door redacteuren Rinke van den Brink en Hugo van der Parre

De Nederlandse Zorgautoriteit (NZa) heeft niets gedaan om vertrouwelijke gegevens in zijn computersysteem te beveiligen. Duizenden privacy-gevoelige dossiers waren voor iedereen die binnen de NZa werkte toegankelijk.

In een dossier van 600 pagina's, dat in handen is van NRC Handelsblad en de NOS, schetst beleidsmedewerker Arthur Gotlieb hoe beroerd de NZa zijn ICT-veiligheid heeft geregeld.

Gotlieb kaartte de tekortkomingen bij de NZa jarenlang aan, maar werd naar eigen zeggen stelselmatig tegengewerkt door zijn leidinggevenden. Kort na voltooiing van het dossier maakte Gotlieb een eind aan zijn leven.

Hele zorgsector

Patiëntendossiers, tariefbeschikkingen, bezwaarschriften, onderzoeksrapporten, foto's, geluidsopnamen en nog veel meer, waren jarenlang toegankelijk voor iedereen die werkte bij de Nederlandse Zorgautoriteit.

De NZa is de toezichthouder voor de hele zorgsector in Nederland. Op de V-schijf van het NZa-computersysteem stond voor meer dan 300 gigabyte aan documenten opgeslagen, zonder enige beveiliging.

Gotlieb vond onder andere: * 96 complete patiëntendossiers * kopieën van bankpassen met pincodes * loonstroken * 150 geluidsopnamen van vergaderingen * 300 tariefbeschikkingen * 600 nacalculaties * 700 verweerschriften * 2750 bestanden over bezwaarzaken * 10.000 foto's * mailarchieven van Outlook * 832 powerpoint-presentaties * marktscans en onderzoeksrapporten * bijna 14.000 juridische stukken En verder nog illegale software, 2000 Nederlandstalige e-boeken en muziek-cd's.

Uitzendkracht

Gotlieb laat zien dat niet alleen de vaste medewerkers overal bij konden, ook een uitzendkracht die net twee dagen aan het werk was, had vrije toegang tot alle stukken op de V-schijf. Zij kon zelfs doordringen tot delen van het computersysteem die voor hem niet toegankelijk waren, zoals de map van de Directie Care.

Een ander heikel punt dat Gotlieb aankaartte, is de slechte privacy-bescherming binnen de NZa. Sinds enige jaren is het Outlook-agenda-systeem voor iedereen toegankelijk. Dat betekent dat alle werknemers in elkaars agenda kunnen kijken.

Hij toont aan dat de Vertrouwenspersoon Integriteit allerlei privacygevoelige informatie laat rondslingeren. Zo is bijvoorbeeld te volgen welke collega's ziek zijn of op de nominatie staan voor ontslag.

Maatregelen

Minister Schippers van VWS heeft gisteren een onderzoek aangekondigd naar de ICT-beveiliging van de NZa. De organisatie zegt zelf dat er inmiddels maatregelen zijn genomen om de dossiers beter te beveiligen. Ook wordt onderzocht in hoeverre daadwerkelijk schending van de vertrouwelijkheid van documenten heeft plaatsgevonden.

Meer over deze zaak in NRC Handelsblad en het NOS Journaal.