Data alle bij VZVZ op LSP aangesloten zorgverleners in datalek PwC
Het datalek dat bij de accountant PricewaterhouseCoopers(PWC) plaatsvond eind februari/ begin maart 2022 is veel malen groter dan men communiceert. Ik schreef over het datalek op 16 maart 2022. Het gaat om gegevens van zorgverleners die aangesloten zijn op het Landelijk SchakelPunt(LSP) dat de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) beheert. Een onderdeel ervan, het Servicecentrum VZVZ, regelt de vergoedingen die huisartsen, apotheken en ziekenhuizen krijgen. Die vergoedingen zijn afhankelijk van de aantallen bij die zorgverleners ingeschreven burgers die toestaan dat hun zorgdata via het LSP gedeeld worden. Bij PwC en VZVZ houdt men de lippen stijf op elkaar over de omvang van het datalek. In een artikel van 17 maart 2022 op het online magazine Skipr trekken de woordvoerder van PwC, Thomas Galestien, en zijn evenknie bij VZVZ, Alf Zwilling, een rookgordijn bij op. Informatie die mij bereikt geeft echter aan dat het om alle bij VZVZ aangesloten zorgverleners gaat.
Enorme omvang
Het datalek ontstond toen PwC het databestand, nodig voor de accountantscontrole over 2021 tussen 25 februari en 8 maart, online zette. Het gaat om data betreffende de vergoeding voor het gebruik van UZI-passen en de betaling voor het aantal patiënten dat toestemming gaf voor LSP-gebruik. Geld dat Zorgverzekeraars Nederland aan VZVZ verschaft en via het Servicecentrum VZVZ richting zorgverleners gaat. De gelekte data betreffen de voor- en achternaam van de wettelijk vertegenwoordiger van de praktijk/instelling, het emailadres, en factuurgegevens waaronder het IBAN(bank)nummer en/of het BTW-nummer. Uit berichten die ik uit het hele land ontvang van huisartsen en apothekers blijkt dat in de periode van 15 maart tot zeker 19 maart huisartsen en apothekers bericht kregen van het datalek. Het betekent dat alle 5000 praktijkhouders van huisartspraktijken, alle 2000 apothekers en zeer waarschijnlijk enkele tientallen ziekenhuizen door het datalek getroffen zijn.
Rookgordijn met oneigenlijke argumenten
In het artikel op Skipr staat het volgende:
“Dat doet vermoeden dat het om een groot aantal slachtoffers gaat. Hoeveel precies willen PwC en VZVZ niet zeggen. “Uit privacy-overwegingen doen we daar geen uitspraken over”, aldus Galestien. “Het is niet aan ons daar wat over te zeggen”, reageert Alf Zwilling, woordvoerder van VZVZ. “We vinden het al erg genoeg dat er een datalek is. We krijgen af en toe vragen of de mail wel echt is: ja, die is echt.”
Wat de Thomas Galestien namens PwC hier zegt is absolute nonsens en typische woordvoerderspraat. De Skipr-journalist prikt daar ook niet doorheen. De omvang van een datalek valt niet onder het begrip privacy. Ook niet de omschrijving van het soort data dat gelekt is. Wat wel onder privacyregels valt zijn de data van elke zorgverlener afzonderlijk. Maar daar vraagt de journalist van Skipr uiteraard niet naar. Alf Zwilling van VZVZ is ook niet bereid de omvang van het probleem prijs te geven.
Beperkte omvang lek niet logisch
Als je een beetje logisch nadenkt is het ook helemaal niet vreemd dat het totale bestand van zorgverleners die door het Servicecentrum VZVZ betalingen kreeg in het lek zit. Bij een accountantscontrole bekijkt men normaliter alle posten. Het is niet logisch als VZVZ aan PwC een steekproef uit haar databestand gegeven zou hebben,. Ook is het niet logisch dat men maar data van één type zorgverlener aan PwC zou hebben verschaft, dus òf huisartsen òf apotheken òf ziekenhuizen. De opmerking van Alf Zwilling op Skipr dat het “onder andere om huisartsen gaat” bevestigt mijn conclusie dat het hele databestand gelekt moet zijn.
Het aardige aan dit soort verklaringen is dat wat men niet zegt veel interessanter en relevanter is dat wat men wel zegt.
Downplayen
Wat we hier zien gebeuren is dat PwC en VZVZ uit alle macht bezig zijn het probleem klein te houden. Men zegt zich aan de regels te houden door melding gedaan te hebben bij de Autoriteit Persoonsgegevens(AP). Op de websites van PwC en VZVZ staat geen enkele mededeling over het datalek. Vooralsnog houdt de AP de kaken nog op elkaar. Doordat de getroffen zorgverleners allemaal afzonderlijk een email hebben gekregen is de berichtgeving daardoor zeer verdund.
Het is dat er alerte huisartsen/apothekers zijn die mij het datalek gemeld hebben. Anders had er geen haan naar gekraaid.
W.J. Jongejan, 21 maart 2022
Recente reacties