NZa pakt datalek aan
Uit intern onderzoek blijkt dat de Nederlandse Zorgautoriteit (NZa) meer persoonsgegevens dan toegestaan heeft gedeeld met partners van het Informatie Knooppunt Zorgfraude (IKZ). Het gaat om persoonsgegevens uit 388 meldingen die bij de NZa zijn gedaan door mensen bij een vermoeden van zorgfraude. De NZa heeft hiervan melding gedaan bij de Autoriteit Persoonsgegevens en is per direct gestopt met het delen van de signalen. Het delen van de signalen met de IKZ-partners wordt weer opgestart volgens de wet- en regelgeving en met de nodige waarborgen waarmee de NZa voorkomt dat dit nog eens gebeurt.
Aanpak zorgfraude
Het Informatie Knooppunt Zorgfraude bestaat uit negen overheidsorganisaties, de vertegenwoordiging van zorgverzekeraars en van gemeenten en zet zich in om zorgfraude te bestrijden. De NZa vindt dit belangrijk omdat doelmatige besteding van zorggelden bijdraagt aan de toegankelijkheid en betaalbaarheid van de zorg. In het kader van deze fraudebestrijding delen partners signalen over zorgfraude met elkaar via een vertrouwelijk platform. De uitwisseling van de informatie uit deze signalen stelt instanties in staat om fraude in de zorg of in hun eigen domein effectief aan te pakken.
Convenant
De NZa heeft in een convenant vastgelegd welke informatie wanneer, met welke partner(s) en op basis van welke wetsgronden gedeeld mag worden. Uit intern onderzoek blijkt dat de inhoud van het convenant niet op alle punten juist was. Daardoor heeft de NZa meldingen van mogelijke zorgfraude met persoonsgegevens verstrekt aan bepaalde IKZ-partners terwijl dit niet mocht. Die informatie had vertrouwelijk moeten blijven en mocht dus niet zonder meer worden gedeeld.
Vertrouwelijkheid
De NZa wil benadrukken dat er geen gegevens op straat zijn gekomen en dat er geen sprake is van hacking of phishing. Ook het proces van de aanpak van zorgfraude is niet verstoord geweest. De gegevens zijn gedeeld via een vertrouwelijk platform met andere (overheids)organisaties die ook de taak hebben vertrouwelijk met deze persoonsgegevens om te gaan. Omdat deze uitwisseling van gegevens in strijd is met het convenant is er sprake van een datalek. De NZa betreurt deze gang van zaken en is na het ontdekken van deze fout direct gestopt met het delen van signalen met de andere TIZ-partners. Inmiddels heeft de NZa haar interne processen verbeterd en delen we signalen weer met andere instanties om zorgfraude zo snel mogelijk op te sporen. Iets soortgelijks speelde bij de Inspectie Gezondheidszorg en Jeugd (IGJ), zij hebben hun signaaldeling stopgezet.
Nieuwe wet
Er is nog geen specifieke wet waarin is vastgelegd op basis waarvan informatie om zorgfraude aan te pakken gedeeld mag worden en tussen welke instanties De Wet bevordering samenwerking en rechtmatige zorg moet hierin voorzien maar is nog niet aangenomen. Het is niet bekend wanneer de Tweede Kamer dit wetsvoorstel bespreekt. Bij gebrek aan een specifieke wet zijn er binnen het IKZ afspraken gemaakt over de uitwisseling van signalen die zijn vastgelegd in een convenant.
Informatieplicht
Vanuit het oogpunt van transparantie maakt de NZa deze inbreuk in verband met persoonsgegevens bekend. Omdat de NZa niet beschikt over de contactgegevens van alle betrokkenen en de contactgegevens mogelijk zijn verouderd, kiezen we ervoor het publiek langs deze weg te informeren.