Print 🖨 PDF 📄 eBook 📱

Cruciale databeveiligingstoets voert NZa niet uit

crucialeOp 28 januari 2025 vond de eerste zitting in de bodemprocedure van de actiegroep/coalitie Vertrouwen in de GGZ plaats tegen de Nederlandse Zorgautoriteit(NZa). Het gaat daarbij om het massaal verzamelen van zeer privacygevoelige GGZ-zorgdata door de NZa. Het gaat daarbij om het zonder goede informatieverstrekking en zonder toestemming verzamelen van de antwoorden op HONOS-vragenlijsten. Die wil de NZa hebben om een algoritme ten behoeve van de GGZ-bekostiging te verbeteren/ijken. Tijdens de zitting kwam uitgebreid ter sprake of de op persoonsniveau verzamelde HONOS-data binnen de NZa tot een individu herleidbaar zijn. In theorie kan dat omdat de NZa de HONOS-database kan koppelen aan de GGZ-declaratie-database die ze van Vektis krijgt. Vektis is het datawarehouse van de Nederlandse zorgverzekeraars. Binnen de NZa hebben enkele medewerkers toegang tot beide databases. Tijdens de zitting bleek dat de NZa de toegang en verwerking van die data wel logt. Maar niemand controleert die logging.

Vraag van rechters

De drie rechters bleken zich goed ingelezen te hebben in het hele dossier. Eén van hen stelde na een korte inleiding een indringende vraag aan de NZa. Ze citeerde uit de Conclusie van Antwoord die de NZa ingebracht had voor de bodemprocedure een passage waarin de NZa aangeeft welke mensen toegang hebben tot de HONOS- en declaratiedatabase. De NZa stelde volgens de rechter daarin dat één persoon(persoon A) toegang heeft tot de zorgaanbieders verplicht aangeleverde HONOS-data. De NZa had gezegd dat die persoon in theorie een koppeling kan maken met de binnen de NZa aanwezige declaratiedata, maar dat feitelijk niet kan.

Vraag van rechters(vervolg)

Daarnaast zijn er bij de NZa twee andere data-analisten(persoon B en C)   die de verdere analyses verrichten t.b.v. de zorgvraagtypering. Die hebben toegang tot de door persoon A bewerkte dataset. Daarnaast hebben ze ook toegang tot de Vektis-declaratiedata. De vraag van de rechter was of de toegang tot de datasets gelogd wordt en zo ja of iemand die logging controleert/natrekt.

Aap uit de mouw

De aanwezige data-analist(data-analist B uit de vorige alinea) die naast de advocaten van Pels Rijcken die de NZa vertegenwoordigden zat, zei direct dat logging inderdaad plaatsvond. Op de vervolgvraag van de rechter of die logging ooit wel eens bekeken werd en tot handelen had aangezet antwoordde hij meteen volmondig “NEEN. De advocaten van Pels Rijcken keken meteen vol verbazing naar de data-analist.  De aanwezige deelnemers aan de coalitie Vertrouwen in de GGZ reageerden meteen geschokt.

datapakket

Logging niet controleren

Want wat blijkt dus. De NZa houdt bij wie, wanneer, alleen of gezamenlijk, toegang heeft tot genoemden databases. Maar controleert vervolgens totaal niet of er een onoorbare koppeling tussen de databases heeft plaatsgevonden door toegang-hebbenden. Het komt erop neer dat je een beveiligingsmaatregel neemt en vervolgens nooit kijkt of er uit die maatregel blijkt dat mensen regels overtreden hadden.

De advocaten van Pels Rijcken stelden nog dat van een zelfstandig bestuursorgaan een zorgvuldig en betrouwbaar handelen verwacht mag worden. Dat is een niet bepaald steekhoudend argument als blijkt dat ze een cruciale beveiligingstoets niet uitvoeren.

Bovendien is er het voorbeeld van een “respectabele” bestuursdienst die geacht wordt betrouwbaar en zorgvuldig te handelen, namelijk de belastingdienst. Als je ziet welke chaos die in de toeslagenaffaire veroorzaakt heeft is er niet sprake van een zorgvuldig, betrouwbaar, handelen.

Vertrouwen als mantra zegt niets. Vertrouwen moet verdiend worden en zorgvuldig handelen moet blijken.

Schandalige actie van Pels Rijcken

Voor de zitting was vijf en een half uur uitgetrokken door de rechters. Voor het pleidooi van de advocaten van de partijen hadden de rechters beide tien minuten spreektijd gegund. De advocaat van Vertrouwen in de GGZ, mr. Ekker had met vier pagina’s pleitnota inderdaad rond de tien minuten spreektijd nodig. De advocaten van Pels Rijcken kwamen met een pleitnota van twaalf pagina’s aanzetten. Mevrouw mr. Graafeiland en de heer Mr. Van Tienen hadden dan ook rond de vijf en twintig minuten nodig om hun pleitnota voor te lezen. De voorzitter van de rechtbank wees wel op het pak papier dat hij met de pleitnota kreeg. Mr. Graafeiland kwam een halfbakken antwoord waarna de rechtbank toch de lange pleitnota accepteerde. Schandalig om zo namens de NZa extra tijd en aandacht van de rechters te claimen.

W.J. Jongejan, 30 januari 2025

Afbeelding van Davie Bicker via Pixabay 

Afbeelding tussen tekst met toestemming van M.W.

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.