Onbegrijpelijke “kwaliteitsactie AGB-registratie” van VEKTIS per email

mail-634902_640VEKTIS stuurde de afgelopen maand(juni 2015) zorgaanbieders, waaronder huisartsen, een email met daarin een aan te klikken link. Langs deze weg wil VEKTIS namelijk haar AGB-code-registratie verbeteren. Het is een zeer vreemde actie, omdat een dergelijke mail de indruk wekt phishing-mail te zijn en/of poging tot malware- besmetting van informatiesystemen van zorgaanbieders EN de mogelijkheid daartoe opent. Huisartsen die dit bevreemdde hebben de Landelijke Huisartsen Vereniging(LHV) terecht om uitleg gevraagd, waarbij deze de bal terugspeelde naar VEKTIS.


VEKTIS
Deze organisatie is op het gebied van informatie over de zorg een Trusted Third Party(TTP). Het levert informatie over gedeclareerde zorg, niet alleen op het niveau van zorgaanbieder of zorgverzekeraar maar ook aandoenings-gericht en om populaties te volgen. VEKTIS beheert ook het AGB-register waarin elke bij de zorgverzekeraars declarerende praktijken een eigen AGB-code heeft met daarnaast voor elke zorgaanbieder een persoonlijke AGB-code. AGB staat trouwens voor Algemeen Gegevens Beheer.
Zonder een dergelijke code kunnen de (elektronische) declaraties van zorgaanbieders niet verwerkt worden.
Om de praktijk- en persoonsgegevens van zorgaanbieders te verbeteren heeft VEKTIS zorgaanbieders per mail of per brief om nadere data gevraagd.

Verantwoordelijkheid
VEKTIS draagt als AGB-codes beherende organisatie en als TTP een zeer grote verantwoordelijkheid ten aanzien van de bij haar berustende gegevens. Evenzo heeft ze een grote verantwoordelijkheid ten opzichte van de systemen van zorgaanbieders. Een verantwoordelijkheid die te vergelijken is met een bancaire instelling. Banken en andere grote instituties benaderen hun klanten daarom nimmer via  email en vragen zo zeker ook niet om informatie via een link in de mail omdat het een volstrekt onveilige manier is.
Ieder persoon die email gebruikt kent de hinderlijke spam-mail, zogenaamd van een bank, voorzien van een link waarmee malware op een systeem geplaatst wordt door malafide personen.
Terecht meldden een aantal leden de vreemde mail aan de LHV met de vraag of het spam betrof. Deze meldt in een reactie aan de leden dat de mail inderdaad van VEKTIS afkomstig is en verwijst naar die organisatie zonder direct eigen oordeel over de kwalijkheid.
De geruststellende woorden van VEKTIS op de FAQ-webpagina van www.agbcode.nl komen nogal naïef over:
“Is deze mailing geen SPAM of phishing?
In het bericht staat een link naar een persoonlijke pagina. Op dit moment bereiken ons vragen of de mailing betrouwbaar is en of hier geen sprake van fishing of spam is. De mailing is geheel valide en betrouwbaar. Vektis maakt gebruik van een tool (MyClang) voor deze persoonlijke pagina.”

Veiligheidsrisico
Er hoeft maar één malafide persoon op te staan die zich per email voordoet als zijnde VEKTIS met een zogenaamde link naar een persoonlijke pagina bij VEKTIS en de rapen zijn gaar bij de zorgaanbieder die dit betreft. Zorgaanbieders moeten door een grote organisatie die bij de zorg betrokken is niet in die positie gebracht worden. Het is in mijn ogen dan ook kwalijk dat VEKTIS niet met haar handelwijze stopt. De melding op de FAQ-pagina is een oproep de verzender van de email op zijn blauwe ogen te geloven en is derhalve volkomen insufficiënt.

Brief
VEKTIS benaderde zorgaanbieders deels per brief. Als in die brief verwezen wordt naar een met een certificaat beveiligde website en in de brief de wijze van inloggen wordt genoemd, bijv. met Digi-D, dan is dat in ieder geval een betere wijze van communiceren. Wat nu gebeurt is zeer onverantwoord voor de systemen van zorgaanbieders.

W.J. Jongejan

Voor reacties: zie sidebar op de volgende pagina