NZa kiest voor toekomstbestendige IT
De Nederlandse Zorgautoriteit (NZa) staat voor de grote uitdaging om de zorg in Nederland toegankelijk en betaalbaar te houden. Met data kunnen we toezien op de continuïteit van zorg, maatschappelijke ontwikkelingen signaleren en ingrijpen als de toegang tot zorg onder druk staat. Een toekomstbestendige IT-omgeving is daarbij een randvoorwaarde om ons werk goed en veilig te kunnen blijven doen. Daarom stapt de NZa over naar publieke cloudsystemen.
Doelmatige inzet van capaciteit en middelen
Om de IT van de NZa klaar te maken voor de toekomst zal deze vervangen moeten worden. Het beheren van eigen IT kost zeer veel tijd en technische expertise. Het is niet haalbaar om voor elke applicatie die we gebruiken de specialistische kennis in huis te halen. Om de effectieve en veilige verwerking van persoonsgegevens te borgen, hebben we na zorgvuldige voorbereiding ervoor gekozen onze IT onder te brengen in de cloud. De NZa gebruikt Snowflake en Microsoft Azure voor de infrastructuur, beveiliging, beheer en onderhoud van haar dataopslagsysteem. Verder gebruiken we voor onze digitale werkplek de programma’s van Microsoft 365. Met het gebruik van de publieke cloud kan de NZa gebruikmaken van de meest moderne technologie en kennis voor informatiebeveiliging en dataopslag. Hierdoor kunnen we onze menskracht en financiële middelen inzetten voor onze belangrijkste taak: het toegankelijk en betaalbaar houden van de zorg in Nederland.
Pseudonimiseren en toegangscontrole
De NZa heeft voor het uitvoeren van haar wettelijke taken zorgdeclaratiedata nodig. Het gaat dan om welke zorg er is geleverd, tegen welke prijs en wat de zorgverzekeraar heeft vergoed. Deze gegevens zijn gepseudonimiseerd. Dat betekent dat deze gegevens geen namen, adressen, burgerservicenummers of andere direct naar personen te herleiden gegevens bevatten. De NZa ziet alleen reeksen van cijfers en letters. Dit doen we om de privacy te waarborgen, maar ook omdat we voor ons werk niet hoeven te weten wat individuen aan zorg hebben ontvangen. Aanvullend daarop heeft de NZa vergaande beveiligingsmaatregelen getroffen: zo kunnen alleen daartoe gemachtigde NZa-medewerkers bij de gegevens en alleen als dit nodig is voor het uitvoeren van hun werk. Het gebruik van publieke cloudsystemen zorgt ervoor dat wij de toegang tot de gegevens nauwlettend in de gaten kunnen houden.
Certificaat Data Privacy Framework
De NZa werkt alleen met clouddiensten die voldoen aan geldende wet- en regelgeving en beveiligingsnormen. De zorgdeclaratiedata worden versleuteld opgeslagen op servers binnen de Europese Unie (EU). Snowflake en Microsoft zijn bovendien gecertificeerd onder het Data Privacy Framework. Met dit certificaat voldoen deze bedrijven aan de veiligheidseisen van de Europese Commissie en wordt er een passend beschermingsniveau geboden aan de gepseudonimiseerde persoonsgegevens. De NZa valt voor diensten en producten die zij van Microsoft afneemt onder de afspraken die de Rijksoverheid heeft afgesloten met Microsoft.
Zorgvuldig doorlopen proces
De NZa volgt het rijksbrede cloudbeleid waartoe de minister van Binnenlandse Zaken en Koninkrijksrelaties heeft geadviseerd. De NZa wil met deze overstap een goed praktijkvoorbeeld zijn. We hebben een zeer zorgvuldig proces doorlopen en daarbij voortdurend overleg gevoerd met alle belanghebbende partijen.