Datalek - stockbeeld keyboard met slotjes-symbolen

Nederlandse Zorgautoriteit (NZa) heeft te veel persoonsgegevens gedeeld met partners van het Informatie Knooppunt Zorgfraude (IKZ). De NZA meldde het datalek zelf op 29 juni bij de Autoriteit Persoonsgegevens. Het delen van signalen van zorgfraude is on hold gezet tot er een garantie is dat de signalering aan alle wettelijke eisen voldoet.

Mensen die een vermoeden van zorgfraude hebben kunnen daarover een melding doen bij de NZA. De toezichthouder deelt relevante gegevens uit de meldingen met het IKZ. Bij 388 meldingen heeft de NZA meer persoonsgegevens gedeeld dan is toegestaan.

Aanpak zorgfraude

Het informatie Knooppunt Zorgfraude is een samenwerkingsverband van negen overheidsorganisaties, en vertegenwoordiging van zorgverzekeraars en van gemeenten. Via een vertrouwelijk platform wisselen de partners informatie uit om zorgfraude aan te pakken. Wat door wie en met welke rechtsgrond mag worden uitgewisseld ligt vast in een convenant. Dat convenant blijkt nu op een aantal punten niet goed aan te sluiten op de wetgeving terzake. Daardoor heeft de NZA persoonsgegevens gedeeld terwijl dat in strijd is met de wettelijke regels. Overigens is adequate specifieke wetgeving om zorgfraude te bestrijden nog niet gereed. De juridische basis onder de fraudebestrijding moet uiteindelijk geregeld gaan worden door de Wet bevordering samenwerking en rechtmatige zorg.

Vertrouwelijkheid

Hoewel er formeel sprake is van een datalek, zijn er geen gegevens openbaar geworden. Ook de aanpak van zorgfraude is niet in het geding geweest. De partijen die ten onrechte beschikking kregen over gegevens zijn zelf gehouden aan vertrouwelijke omgaan met die data. Vanuit het oogpunt van transparantie heeft de NZa de inbreuk in verband met persoonsgegevens toch bekendgemaakt.