Accountant PwC oorzaak lek data van huisartsen rond LSP-gebruik

AccountantJe kon er op wachten dat het eens zou gebeuren: een datalek rond het Landelijk SchakelPunt(LSP). Op 14 maart 2022 hebben meerdere praktijkhouders van huisartspraktijken een email gehad van de data-protection officer van de accountant Pricewaterhouse Coopers(PwC) Nederland over een datalek. Mogelijk gaat het om meer typen zorgverleners. Het betreft data over UZI-middelen en vergoedingen voor het deelnemen aan LSP. UZI-middelen zijn de identificatiemiddelen die zorgverleners(huisartsen, apothekers, specialisten) gebruiken om in te kunnen loggen op het LSP-gebruik om zorgdata op te vragen. De data zijn afkomstig van de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ), die verantwoordelijk is voor het LSP. Voor het controleren van de jaarrekening 2021 had PwC de beschikking gekregen over data van VZVZ. Door een foutieve toegangsinstelling van de website van PwC zijn data van huisartspraktijken publiek toegankelijk geweest. Het gaat om de periode van 25 februari 2022 tot vroeg in de ochtend van 8 maart 2022.

Welke data?

De data waarom het gaat zijn zakelijke gegevens van aangesloten zorgaanbieders. Zeer waarschijnlijk zijn de data afkomstig van het Servicecentrum VZVZ, een onderdeel van VZVZ dat data van zorgaanbieders vastlegt die betalingen van VZVZ ontvangen. Dit Servicecentrum zorgt rond zowel de UZI-middelen als deelname aan het LSP de vergoedingen aan zorgaanbieders. PwC geeft aan dat het de voor- en achternaam betreft van de wettelijk vertegenwoordiger van de praktijk/instelling, het emailadres, en factuurgegevens waaronder het IBAN(bank)nummer en/of het BTW-nummer. Het gevolg is dat onbevoegden de data hebben kunnen inzien/kopiëren. PwC weet niet of de data in handen van kwaadwilligen zijn gekomen. Maar vraagt toch om bedacht te zijn op phishing-mails, phishing-telefoontjes etc.

Data ingezien

In het bericht van PwC staat dat sowieso vanuit veertien IP-adressen de database met openstaande gegevens benaderd is. Het onderzoek naar die IP-adressen hebben veiligheidsexperts nog niet afgerond. Welke personen of entiteiten achter die veertien IP-adressen schuilgaan, vermeldt het bericht van PwC niet. De email van PwC zwijgt echter over de omvang van de database die open heeft gestaan. Het kan gaan over een paar honderd, maar ook over duizenden praktijken/instellingen.

Gemeld aan AP

Zoals het hoort hebben zowel PwC als VZVZ het datalek gemeld aan de Autoriteit Persoonsgegevens(AP). Het is te verwachten dat de AP een nader onderzoek zal gaan instellen naar dit datalek, vooral omdat het bij zaken rond het LSP om zeer vertrouwelijke informatie gaat.

Waarschijnlijk niet alleen huisartsen   

De email van PwC waar ik aan refereer, was gericht aan een huisartspraktijk. In het bericht staat nergens dat het alleen om huisartsen gaat. Er staat enkele malen “praktijk/instelling”. Dat maakt het uiterst waarschijnlijk dat het ook om andere typen zorgaanbieders gaat die beschikken over een UZI-pas en een LSP-vergoeding ontvangen. Dat zullen dan apotheken, maar ook medisch specialisten zijn en andere UZI-pas houders.

Zo sterk als de zwakste schakel

Wat je hier rond het LSP ziet gebeuren is dat een keten waarin men zeer veel gevoelige en vertrouwelijk informatie vastlegt en doet rondgaan net zo sterk is als de zwakste schakel. Nu blijkt dat een accountantsbedrijf dat gewend is met vertrouwelijke informatie van klanten om te gaan toch een grote steek laat vallen. Daarmee is de kwetsbaarheid van centrale databases in de zorg ook maar weer eens aangetoond, ook al is het via een zijspoor.

W.J. Jongejan, 16 maart 2022

Afbeelding van Kalhh via Pixabay

De email van PwC is in mijn bezit en is op rechtmatige wijze verkregen.