Niet alleen bij de Nederlandse Zorgautoriteit, maar ook bij de Inspectie voor de Gezondheidszorg is de omgang met privacygevoelige gegevens jarenlang niet op orde geweest. Tot vorig jaar is er gewerkt met een informatiesysteem waar medewerkers vrijelijk toegang hadden tot informatie waar ze geen autorisatie voor hadden mogen krijgen. Dat blijkt uit onderzoek van het programma Argos.
Dat mag wettelijk niet, zegt Corine Prins, hoogleraar echt en informatisering: "Het is uitermate onzorgvuldig om zo breed in je organisatie dit soort gegevens, die heel gevoelig zijn, en ook kwetsbaar zijn voor de positie van mensen in een organisatie te delen en eigenlijk de privacy te veronachtzamen."
"De wet is heel duidelijk. Je mag alleen bij informatie die je nodig hebt om je taak uit te voeren."
Tot minstens 2006 was de situatie nog ernstiger. Bij de inspectie werd tot die tijd gewerkt met een netwerkschijf waarop IGZ medewerkers vrijelijk toegang hadden tot gevoelige gegevens, ook als ze niks met de betreffende zaak te maken hadden.
Argos kreeg informatie van die schijf toegespeeld en inzage in de structuur van die netwerkschijf. Daarop stond een veelheid van documenten uit alle regio’s van de inspectie. Gespreksverslagen met disfunctionerende artsen en ziekenhuizen, meldingen en klachten, maar ook vergaderverslagen van de hoofdinspectie waren voor iedereen met een toegang tot het IGZ netwerk in te zien. Zo heeft Argos inzage gehad in een lijst met artsen die verdacht worden van medicijnfraude. Met naam, toenaam, adres en naam van de melder. Argos liet Corine Prins meekijken om de authenticiteit van de schijf vast te stellen. Prins noemt dat: "Een beetje lak hebben aan privacy.”
Na 2006 voerde de IGZ een nieuw datamanagement systeem in (WPM), maar ook hier hadden medewerkers in elk geval tot vorig jaar, toegang tot gegevens die ze volgens de wet niet zouden in mogen zien. Dat melden verschillende bronnen aan Argos. Prins: “Ook daar is weer sprake van bovenmatige toegang en bovenmatig gebruik onderling van die gegevens.”
Volgens diverse bronnen konden medewerkers die bij de IGZ werkten en een toegang hadden tot het intranet in bijna alle landelijke dossiers grasduinen. De inspecteur uit Maastricht kon bijvoorbeeld meekijken bij de zaken die in Groningen speelden. Prins: ”Dat mag niet. De wet verlangt dat alleen die personen die noodzakelijk bij die gegevens moeten bij die gegevens mogen. Je moet in het systeem maatregelen getroffen hebben dat je alleen geautoriseerd bij die gegevens kunt en dat je achteraf ook kunt controleren wie er bij die gegevens is geweest.”.”
Ook stagiaires en secretaresses zouden toegang gehad hebben tot het systeem, melden bronnen aan Argos.
Prins: “Het is inmiddels het tweede dossier van misstanden op het gebied van de zorgsector. Je zou kunnen zeggen dat het College Bescherming Persoonsgegevens, de toezichthouder, kritisch gaat kijken wat er in deze sector gebeurt.
De IGZ reageert in de loop van de ochtend.