Vragen van de leden Oosenbrug en Kuzu (beiden PvdA) aan de minister van Volksgezondheid, Welzijn en Sport en de staatssecretaris van Veiligheid en Justitie over de bescherming van persoonsgegevens in digitale patiëntendossiers (ingezonden 21 juni 2013).

Antwoord van minister Schippers (Volksgezondheid, Welzijn en Sport), mede namens de staatssecretaris van Veiligheid en Justitie) (ontvangen 2 september 2013)

Vraag 1

Heeft u kennisgenomen van het onderzoek van het College Bescherming Persoonsgegevens (CBP) naar de bescherming van persoonsgegevens die door zorginstellingen verwerkt worden in digitale patiëntendossiers?1

Antwoord 1

Ja, dit rapport heeft het CBP op 18 juni jongstleden aangeboden aan VWS. Bij brief van 18 juni 2013 heb ik uw Kamer hierover geïnformeerd.

Vraag 2

Bent u ook geschrokken van de conclusie van het CBP dat geen enkele van de onderzochte zorginstellingen voldoet aan de vereisten van de Wet bescherming persoonsgegevens (Wbp), terwijl de privacygevoeligheid van de betrokken gegevens zeer groot is? Zo nee, waarom niet? Zo ja, wat voor actie wilt u nemen?

Antwoord 2

Zoals ik in mijn brief aan uw Kamer van 18 juni heb aangegeven heb ik met zorg kennis genomen van de bevindingen en conclusies van het CBP over de privacybescherming van patiënten. De onderzochte zorginstellingen dienen maatregelen te nemen om de interne toegangsverlening voor medewerkers tot patiëntendossiers en de controle beter te regelen. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het CBP handhavend optreden.

Ook heb ik in mijn brief van 18 juni aangegeven dat er voor de informatiebeveiliging in de zorg normen beschikbaar zijn van het Nederlands Normalisatie-instituut, te weten NEN-normen. NEN 7510 is algemeen toepasbaar op informatiebeveiliging in de zorg en NEN 7.513 handelt over de logging, het vastleggen van acties op elektronische patiëntendossiers, zodat het mogelijk is de rechtmatigheid van de toegang tot dossiers te controleren. In de toelichting bij het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens heb ik aangegeven dat bij algemene maatregel van bestuur dwingend zal worden verwezen naar deze NEN-normen.

Vraag 3

Deelt u de mening dat bescherming van persoonsgegevens ook voor zorginstellingen van groot belang is, in tegenstelling tot een aantal zorginstellingen die volgens het CBP een andere visie op privacybescherming hebben? Zo ja, hoe maakt u dit standpunt duidelijk aan de zorginstellingen?

Antwoord 3

Net als uw Kamer hecht ik groot belang aan de bescherming van persoonsgegevens, ik verwacht van de zorginstellingen hetzelfde. Het is van groot belang dat instellingen het rapport van het CBP serieus nemen en zonodig hun procedures en techniek hierop aanpassen. Zoals gezegd, dienen de onderzochte zorginstellingen maatregelen te nemen om de interne toegangsverlening voor medewerkers tot patiëntendossiers en de controle beter te regelen. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het CBP handhavend optreden.

Vraag 4

Zijn zorginstellingen er naar uw mening voldoende van doordrongen dat digitale dossiers, door hun makkelijke verspreiding en doorzoeking, specifieke privacyrisico’s kennen die in mindere mate aan papieren dossiers kleven? Zo nee, wat dient er te gebeuren om dit bewustzijn te kweken?

Antwoord 4

In de Wet bescherming persoonsgegevens (Wbp) is opgenomen dat de verantwoordelijke door het treffen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking een passend beveiligingsniveau moet garanderen. De besturen van de instellingen zijn zelf verantwoordelijk voor de uitvoering van de wet- en regelgeving binnen de instelling. Hieronder valt ook het kweken van bewustzijn bij de medewerkers.

Vraag 5

Bent u van mening dat er op dit moment systemen zijn voor de elektronische verwerking van patiëntendossiers, waarmee aan de eisen van de Wbp voldaan kan worden? Zo ja, hoe wilt u zorginstellingen bewegen deze systemen zo snel mogelijk en op de juiste wijze toe te passen? Zo nee, wat doet u om te bevorderen dat dergelijke pakketten zo snel mogelijk ontwikkeld worden?

Antwoord 5

Iedere gegevensuitwisseling die op elektronische wijze plaatsvindt, moet voldoen aan de vereisten van de huidige wet- en regelgeving. Dit geldt voor alle systemen. Het is mijn verantwoordelijkheid randvoorwaarden te creëren waaronder veilige (elektronische) gegevensuitwisseling kan plaatsvinden.

Vraag 6

Op welke wijze bevordert u een correct gebruik van de elektronische patiëntendossiers, zodat medewerkers weten hoe ze de beschikbare gegevens mogen gebruiken en er gepaste controle plaatsvindt op de gebruikspraktijk?

Antwoord 6

Zie het antwoord op vraag 4.

Vraag 7

Hoe wordt een goede privacybescherming meegenomen in het toezicht dat door de Inspectie voor de Gezondheidszorg (IGZ) uitgeoefend wordt op de zorgsector? Hoe werken het Cbp en de IGZ hierin samen?

Antwoord 7

De IGZ ziet toe op de kwaliteit van de verleende zorg en het op orde hebben van de beveiliging van medische dossiers; het CBP ziet toe op bescherming van persoonsgegevens. Ten behoeve van een goede onderlinge samenwerking hebben beide partijen in 2006 een samenwerkingsprotocol ondertekend en vindt op reguliere basis overleg plaats.

De IGZ ziet toe op informatiebeveiliging in de zorg op basis van de bestaande norm NEN 7510. In dit kader bekijkt de IGZ de mogelijkheden om haar toezichtactiviteiten gericht op naleving van deze norm intensiveren.

Vraag 8

Op welke wijze verandert het door u ingediende wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens de bescherming van persoonsgegevens ten opzichte van de huidige bescherming door de Wbp? Hoe kunt u waarborgen dat deze sterkere bescherming ook daadwerkelijk gehandhaafd wordt als de huidige praktijk al niet voldoet aan de nu geldende regelgeving?

Antwoord 8

Het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens vormt een aanvulling op de al bestaande wet- en regelgeving. In een amvb op grond van artikel 26 Wbp zullen de functionele, technische en organisatorische eisen worden opgenomen waaraan (alle) elektronische uitwisselingssystemen moeten voldoen. Er zullen bijvoorbeeld eisen worden gesteld aan de (hoge) mate van beveiliging van de toegang tot gegevens. Voor de informatiebeveiliging in de zorg zijn normen beschikbaar van het Nederlands Normalisatie-instituut: de NEN-normen 7510 t/m 7513. In de amvb zal dwingend worden verwezen naar de NEN-normen.

Instellingen moeten overeenkomstig de geldende wet- en regelgeving te handelen. Indien zij dit niet doen, behoort sanctionering middels bestuursdwang of een dwangsom tot de mogelijkheden. Zoals ook aangegeven bij vraag 2 en 3 dienen de onderzochte zorginstellingen maatregelen te nemen om de interne toegangsverlening voor medewerkers tot patiëntendossiers en de controle beter te regelen. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het CBP handhavend optreden.

Vraag 9

In hoeverre wordt niet alleen het Landelijk Schakelpunt, maar ook het lokale elektronische patiëntendossier door dit wetsvoorstel gereguleerd?

Antwoord 9

Het wetsvoorstel dat in december 2012 naar uw Kamer is gestuurd is een generiek wetsvoorstel dat betrekking heeft op elektronische gegevensuitwisseling tussen zorgaanbieders en elektronische inzage tot medische gegevens in een zorginformatiesysteem. Een deel van het wetsvoorstel (daar waar het niet de uitwisseling tussen zorgaanbieders betreft) is ook van toepassing op een lokaal elektronisch patiëntendossier, zoals bijvoorbeeld een patiëntendossier in een ziekenhuis.

Naar boven