Nieuws
image

Gevoelige informatie, waaronder patientendossiers, niet veilig bij de Nederlandse Zorgautoriteit

vrijdag 11 april 2014, 10:44 door Redactie, 10 reacties

Medische gegevens en gevoelige informatie van zorgverzekeraars en zorgverleners, waaronder patientendossiers, zijn niet veilig bij de Nederlandse Zorgautoriteit (NZa).

Bezwaarschrift

Dit blijkt uit het bezwaarschrift van maar liefst 600 pagina’s geschreven door bedrijfseconoom Arthur Gotlieb, senior beleidsmedewerker bij de NZa. In het dossier, dat in handen is van het NRC, beschrijft Gotlieb hoe hij jarenlang geprobeerd heeft de misstanden intern aan de kaak te stellen en hoezeer hij op tegenstand stuitte. In januari leverde Gotlieb zijn bezwaarschrift in bij de directie van de NZa waarna hij zelfmoord pleegde. Gotlieb was sinds 2000 werkzaam bij de NZa.

De NOS meldt op haar website dat allerlei gevoelige informatie waaronder patiëntendossiers, tariefbeschikkingen, bezwaarschriften, onderzoeksrapporten, foto's, geluidsopnamen jarenlang vrij toegankelijk waren voor al het personeel van de Nederlandse Zorgautoriteit, inclusief vakantie- en uitzendkrachten. Er was geen enkele vorm van beveiliging.

Gotlieb trof onder andere aan:

* 96 complete patiëntendossiers * kopieën van bankpassen met pincodes * loonstroken * 150 geluidsopnamen van vergaderingen * 300 tariefbeschikkingen * 600 nacalculaties * 700 verweerschriften * 2750 bestanden over bezwaarzaken * 10.000 foto's * mailarchieven van Outlook * 832 powerpoint-presentaties * marktscans en onderzoeksrapporten * bijna 14.000 juridische stukken

Op het interne netwerk van de NZa stonden ook illegaal verkregen speelfilms en meer dan 2.000 niet-rechtenvrije e-boeken. Het College Bescherming Persoonsgegevens is niet door de NZa geïnformeerd over problemen.

De NZa zegt tegen het NRC maatregelen te hebben genomen om de informatie beter te beveiligen. “Het is niet goed gegaan en valt niet goed te praten. Ik betreur het”, aldus bestuurslid Eitel Homan, verantwoordelijk voor de ICT.

Onderzoek

Minister Schippers van VWS heeft gisteren een onderzoek door een onafhankelijke commissie onder leiding van Hans Borstlap, oud-topambtenaar en lid van de Raad van State, naar de ICT-beveiliging van de NZa aangekondigd.

Reacties (10)
11-04-2014, 10:56 door Anoniem
Die dragen GEEN ZORG voor de data, phun intended :)

Erg jammer dat dit zomaar gebeuren kan er geen haan naar kraait.
11-04-2014, 12:39 door [Account Verwijderd] - Bijgewerkt: 11-04-2014, 12:40
[Verwijderd]
11-04-2014, 14:38 door Anoniem
In januari leverde Gotlieb zijn bezwaarschrift in bij de directie van de NZa waarna hij zelfmoord pleegde.
Ik zou willen dat de man een staatsbegrafenis had gekregen, gelukkig is zijn laatste wens gehonoreerd. Alle respect voor de familie van de overledene, maar een gerechtelijke procedure lijkt me hier meer dan op zijn plaats. Dat Homan zijn/haar ontslag niet heeft ingediend zegt me al meer dan genoeg.

Dat de zorg anders moet is duidelijk, dat dat van boven naar onder zou moeten gaan lijkt me evident.
Helaas vindt Den Haag dat gemeenten het maar uit moeten zoeken, fijn dat daar de dossier-veiligheid wél gegarandeerd is... *kuch*

Triest.
11-04-2014, 15:12 door mcb
... jarenlang vrij toegankelijk waren voor al het personeel van de Nederlandse Zorgautoriteit, inclusief vakantie- en uitzendkrachten...
Klinkt als een prutsende IT afdeling dat absoluut niets weet van file en folderpermissies.

... kopieën van bankpassen met pincodes ...
Kan iemand mij uitleggen waarom ze uberhaupt een kopie bankpas nodig hebben?
Bankrekeningnummer is nog tot daar aan toe, maar een kopie pas?
Nog erger pincode!!!
11-04-2014, 15:39 door User2048
Door mcb:
Klinkt als een prutsende IT afdeling dat absoluut niets weet van file en folderpermissies.
Klinkt als een management team dat geen beleid voor informatiebeveiliging heeft.
12-04-2014, 09:59 door Anoniem
Door mcb:Klinkt als een prutsende IT afdeling dat absoluut niets weet van file en folderpermissies.
Of misschien hebben ze keihard de opdracht gekregen van hogerhand om te stoppen met dwarsliggen en die o zo handige gedeelde schijf in te voeren. We weten alleen dát die gedeelde data er is, niet hoe het zo ver is gekomen.

Eén ding valt me op: de betrokken driveletters (V en W) zitten hoog in het alfabet. Dat suggereert dat er de nodige andere driveletters in gebruik zijn, en die zijn dan voor zover we weten niet problematisch. Zijn het misschien relatief late toevoegingen aan een systeem dat wél goed was ingericht? Waarom zijn die gedaan? Waren de IT'ers prutsers of hebben ze keihard van hogerhand de opdracht gekregen te stoppen met dwarsliggen? Wie weet was Arthur Gotlieb wel niet de enige die zich eraan stoorde en geen gehoor vond voor zijn zorgen. We weten het niet, maar het plaatje kan een stuk ingewikkelder zijn dan simpelweg prutsende IT'ers.
12-04-2014, 10:44 door Anoniem
Ga er maar van uit dat het een stuk ingewikkelder ligt dan wat prutesende IT-ers.

Er zijn richtlijnen zoals:
http://www.noraonline.nl/wiki/NORA_online waar ook veel terug te vinden is op https://www.ncsc.nl/.
Het komt er neer dat ISO27k verplicht is voor overheidsinstanties.
Het houdt in dat het bewustzijn voor een veilige informatieverwrking (ISO27001 http://nl.wikipedia.org/wiki/ISO/IEC_27001) op het niveau van het top management aanwezig dient te zijn. En dat het hun taak is dat het in de organisatie verder gedragen moet worden.

Als je de berichtgeving goed gelezen hebt is het falen beter gezegd het willen negeren en in de doofpot willen stoppen
Dat is het grootste issue waar het om draait. Het gaat niet om de techniek.

- als dit zo langdurig heeft kunnen voortduren,
- een auditor er iets over meldt.
- er een klokkeluider verhaal is die er onderdoor gegaan is.
- op zich vrije lauwe reacties vanuit de gemeenschap.
Stel dan de vraag of dit de enige instantie is waar het bij de informatieverwerking/beveiliging zo werkt.
Het kon wel eens veel breder spelen.
12-04-2014, 13:10 door [Account Verwijderd] - Bijgewerkt: 12-04-2014, 13:11
[Verwijderd]
12-04-2014, 15:31 door mcb
Door Anoniem 09:59:
Door mcb:Klinkt als een prutsende IT afdeling dat absoluut niets weet van file en folderpermissies.
Of misschien hebben ze keihard de opdracht gekregen van hogerhand om te stoppen met dwarsliggen en die o zo handige gedeelde schijf in te voeren. We weten alleen dát die gedeelde data er is, niet hoe het zo ver is gekomen...
...Zijn het misschien relatief late toevoegingen aan een systeem dat wél goed was ingericht? Waarom zijn die gedaan? Waren de IT'ers prutsers of hebben ze keihard van hogerhand de opdracht gekregen te stoppen met dwarsliggen? Wie weet was Arthur Gotlieb wel niet de enige die zich eraan stoorde en geen gehoor vond voor zijn zorgen.
Daar heb je zeker gelijk in.
Maar de eerste de beste manager die dat tegen mij zegt, heeft heel wat uit te leggen.
Misschien dat er een angstcultuur heerst o.i.d. (ik sta te gokken hier, dit is niet onderbouwd).

Eén ding valt me op: de betrokken driveletters (V en W) zitten hoog in het alfabet. Dat suggereert dat er de nodige andere driveletters in gebruik zijn, en die zijn dan voor zover we weten niet problematisch.
Zo vreemd is dat niet.
Een aantal jaar geleden gebruikten wij ook lage letters voor de shares (vanaf F:).
Users meldden steeds problemen omdat usb-sticks steeds meer gemeengoed werden en deze sticks pakten de eerste de beste vrij letter. Als die stick aangesloten was voordat de shares werden gemapped (via loginscript), kreeg je dus conflicten.
Met hoge letters voorkom je dat.
12-04-2014, 18:24 door Anoniem
Het is een kwestie van geven en nemen. Het is net Heartbleed. Een klokkenluider geeft ook meer dan gevraagd! Eerst openheid van zaken en vervolgens zijn eigen leven. http://lnkd.in/drjDQRk
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search