Vragen van het lid De Lange (VVD) aan de Minister van Volksgezondheid, Welzijn en Sport over Nederlandse patiëntgegevens in Belgische gevangenis (ingezonden 27 januari 2016).

Antwoord van Minister Schippers (Volksgezondheid, Welzijn en Sport) (ontvangen 18 februari 2016).

Vraag 1

Heeft u kennisgenomen van het artikel «Patiëntgegevens op straat»1 en van de artikelen «Belgische gevangenen werken met Nederlandse patiëntendossier» en «Ziekenhuis «onaangenaam verrast» dat dossiers naar gevangenis gingen»?2

Antwoord 1

Ja.

Vraag 2

Wat is uw reactie op de berichten dat Nederlandse patiëntendossiers terecht zijn gekomen in een Belgische gevangenis? Kunt u de reactie nader onderbouwen met een oordeel?

Antwoord 2

Zie de antwoorden van de Minister van VenJ en mij op de vragen 3 een 4 van lid Oosenburg over dit zelfde onderwerp (ingezonden 27 januari 2016).

Vraag 3

Deelt u de mening dat het een zeer ongewenste situatie is dat patiëntendossiers in handen komen van Belgische gedetineerden? Zo ja, wat gaat u eraan doen om dit direct te laten stoppen?

Antwoord 3

Zie de antwoorden van de Minister van VenJ en mij op vraag 4 van lid Oosenburg over dit zelfde onderwerp (ingezonden 27 januari 2016).

Vraag 4

Bent u van mening dat de Isala Klinieken in Zwolle en het Amphia Ziekenhuis in Breda regels hebben overtreden door medisch dossier aan derden te geven zonder de uitdrukkelijke toestemming van de patiënt? Zo ja, welke wettelijke regels zijn overtreden?

Antwoord 4

Het is aan de Autoriteit Persoonsgegevens om te oordelen of in deze situaties de Wet bescherming persoonsgegevens (Wbp) is overtreden. De Autoriteit Persoonsgegevens kan hier dan indien nodig tegen optreden.

Vraag 5

Wat is uw oordeel over het feit dat het Isala Ziekenhuis in een reactie laat weten dat niet kan worden uitgesloten dat «gevangenen de patiëntendossiers toch hebben gezien» en dat als ze hadden geweten dat gedetineerden bij de werkzaamheden zouden worden betrokken ze «mogelijk» een andere keuze hadden gemaakt?

Antwoord 5

Het is de primaire verantwoordelijkheid van het ziekenhuis om dit proces zorgvuldig te regelen en hier een bewerkersovereenkomst voor op te stellen waarin precies is vastgelegd wie wat doet en dat dit conform wet- en regelgeving gebeurt. Indien dit proces niet goed is verlopen, is het in eerste instantie aan het ziekenhuis om de dienstverlener hier op aan te spreken. Bij eventuele overtreding van de wet- en regelgeving is het aan de Autoriteit Persoonsgegevens om in actie te komen.

Vraag 6 en 8

Ziet u gronden om maatregelen te nemen tegen de betrokken ziekenhuizen? Zo ja, bent u van plan om dit te doen? Zo nee, waarom niet?

Ziet u nog een rol voor de Inspectie Gezondheidszorg (IGZ) om hier nader onderzoek naar te doen? Zo ja, gaat de IGZ dit onderzoeken? Zo nee, waarom niet?

Antwoord 6 en 8

De Inspectie voor de Gezondheidszorg heeft mij al aangegeven dat zij aandacht hebben voor de wijze waarop de bewerkersovereenkomsten zijn gesloten bij die ziekenhuizen die nog in transitie zijn van papieren naar digitale dossiers. Het is de verantwoordelijkheid van ziekenhuizen zelf om te onderzoeken of zij hiertoe voldoende maatregelen hebben getroffen. Ook heeft de Inspectie voor de Gezondheidszorg aangegeven de Nederlandse Federatie van Universitair Medische Centra en de Nederlandse Vereniging van Ziekenhuizen een brief te sturen om ziekenhuizen op hun verantwoordelijkheid te wijzen.

Vraag 7

Heeft u inmiddels contact gehad met de betrokken ziekenhuizen om de onwenselijke situatie stop te zetten? Zo ja, op welke wijze gaan de ziekenhuizen de betrokken patiënten informeren?

Antwoord 7

Zie mijn reactie bij vraag 5, indien de regels zijn overtreden is het de verantwoordelijkheid van de ziekenhuizen om de patiënten hierover te informeren. De Autoriteit Persoonsgegevens is de toezichthouder die beoordeelt of, en zo ja welk, optreden is gewenst.

Vraag 9

Wat is uw reactie op het feit dat 5.600 dossiers van patiënten van het Sint Anna Ziekenhuis in Geldrop en 100 dossiers van patiënten van het Canisius Wilhelmina Ziekenhuis in Nijmegen via een algemeen toegankelijke internetlink voor iedereen zichtbaar zijn geweest? Kunt u de reactie nader onderbouwen met een oordeel?

Antwoord 9

Dit had niet mogen gebeuren en is zeer onwenselijk. De informatiebeveiliging van patiëntgegevens moet voldoen aan de geldende wet- en regelgeving. Ziekenhuizen zijn hier zelf voor verantwoordelijk en moeten voldoende maatregelen treffen om dergelijke incidenten te voorkomen. De Autoriteit Persoonsgegevens ziet toe op de naleving. De Inspectie voor de Gezondheidszorg ziet toe op de veldnorm over informatiebeveiliging in de zorg wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig omgaan met medische persoonsgegevens. Indien persoonsgegevens daadwerkelijk zijn ingezien door derden die niet bevoegd waren tot kennisneming, komt de meldplicht van artikel 34a Wbp in beeld en zal de verantwoordelijke moeten bezien of hij de Autoriteit Persoonsgegevens in kennis dient te stellen van het datalek en in sommige gevallen ook de betrokken patiënten van wie de gegevens zijn gelekt.

Vraag 10

Bent u van mening dat het Sint Anna Ziekenhuis in Geldrop en het Canisius Wilhelmina Ziekenhuis in Nijmegen regels hebben overtreden door elektronische patiëntgegevens uit te wisselen met een derde partij via een onbeveiligde internetlink? Zo ja, welke wettelijke regels zijn overtreden?

Antwoord 10

Het is aan de Autoriteit Persoonsgegevens om hierover te oordelen, zie ook mijn antwoord op vraag 9.

Vraag 11

Ziet u gronden om maatregelen te nemen tegen de betrokken ziekenhuizen? Zo ja, bent u van plan om dit te doen? Zo nee, waarom niet?

Antwoord 11

Het is niet mijn taak om maatregelen te nemen tegen de betrokken ziekenhuizen. Het is aan de Autoriteit Persoonsgegevens en de Inspectie voor de Gezondheidszorg en aan om toezicht te houden op de hier in het geding zijnde wet- en regelgeving en zo nodig te handhaven. Wel heb ik de Inspectie voor de Gezondheidszorg gevraagd om hier bij inspectiebezoeken nadrukkelijker op te letten.

Vraag 12

Heeft u inmiddels contact gehad met de betrokken ziekenhuizen om deze onwenselijke situatie stop te zetten? Zo ja, op welke wijze gaan de ziekenhuizen de betrokken patiënten informeren?

Antwoord 12

Sinds 1 januari 2016 geldt er op grond van artikel 34a Wbp een meldplicht voor datalekken. Organisaties moeten een melding doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben en in sommige gevallen ook de personen inlichten van wie de gegevens zijn gelekt. Het is de verantwoordelijkheid van de ziekenhuizen om te bezien of melding hier op zijn plaats is. De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen (Beleidsregels meldplicht datalekken, Stcrt. 2015, nr 46128).

Vraag 13

Ziet u nog een rol voor de IGZ om hier nader onderzoek naar te doen? Zo ja, gaat de IGZ dit onderzoeken? Zo nee, waarom niet?

Antwoord 13

Zie mijn eerdere antwoorden. De Inspectie voor de Gezondheidszorg heeft mij al aangegeven dat zij aandacht hebben voor de wijze waarop de bewerkersovereenkomsten zijn gesloten bij die ziekenhuizen die nog in transitie zijn van papieren naar digitale dossiers. Hiertoe zal de inspectie tevens de ziekenhuizen en veldpartijen op het belang van zorgvuldigheid bij het bewaken van de vertrouwelijkheid van medische gegevens wijzen door een brief te sturen aan de Nederlandse Federatie van Universitair Medische Centra en de Nederlandse Vereniging van Ziekenhuizen. Het is de verantwoordelijkheid van ziekenhuizen zelf om te onderzoeken of zij hiertoe voldoende maatregelen hebben getroffen.

Vraag 14 en 15

Kunt u een overzicht geven van de wet- en regelgeving waaraan medische instellingen moeten voldoen bij het laten digitaliseren van patiëntendossiers door derde partijen? Kunt u daarbij in het bijzonder ingaan op de bescherming van het medisch beroepsgeheim en de werking en reikwijdte van een geheimhoudingsplicht?

Kunt u een overzicht geven van de wet- en regelgeving waaraan bedrijven moeten voldoen die in opdracht van medische instellingen patiëntendossiers digitaliseren? Zijn die bevoegd om zonder nadrukkelijke toestemming van de opdrachtgever werk aan derden uit te besteden?

Antwoord 14 en 15

In de Wbp staan regels over het verwerken van persoonsgegevens. Wanneer er sprake is van bijzondere persoonsgegevens (zoals gegevens betreffende iemands gezondheid) stelt de Wbp extra waarborgen. Aanvullend op de Wbp zijn voor wat betreft het medisch beroepsgeheim de Wet op de beroepen in de individuele gezondheidszorg en de Wet op de geneeskundige behandelingsovereenkomst van toepassing.

Medische instellingen zijn verantwoordelijk voor de informatiebeveiliging van patiëntgegevens. Deze patiëntgegevens vallen ook onder het medisch beroepsgeheim. De instellingen moeten uiterst zorgvuldig met deze gegevens omgaan. Wanneer zij medische dossiers laten digitaliseren door derde partijen, zal met deze partijen zorgvuldige afspraken worden gemaakt en een bewerkersovereenkomst worden gesloten. Een zogenaamde bewerker mag niets anders met de gegevens doen, dan datgene waarvoor opdracht is verstrekt. Daarnaast is de bewerker gehouden tot geheimhouding van de persoonsgegevens.

Vraag 16

Bent u voornemens om de bestaande wet- en regelgeving op het gebied van digitalisering van patiëntendossiers nog eens tegen het licht te houden? Zo ja, op welke punten verdient de huidige praktijk aanscherping? Zo nee, waarom niet?

Antwoord 16

Nee, de regels zijn voldoende duidelijk. Ziekenhuizen moeten er voor zorgen dat zij die regels nakomen, ook als zij werk uitbesteden aan derden. De Wbp biedt daarvoor handvaten. Toetsing aan die regels geschiedt in eerste instantie door de Autoriteit Persoonsgegevens. De Inspectie voor de Gezondheidszorg heeft een rol als de kwaliteit van zorg in het geding komt als gevolg van het onveilig omgaan met medische persoonsgegevens. Ondersteunend aan dit bestaande stelsel wordt op dit moment gewerkt aan de ontwikkeling van een ZORG-Cert, die zich richt op het voorkomen en genezen van netwerk gerelateerde veiligheidsincidenten. Een Cert is een Computer Emergency Response Team. Dit is een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen in het geval van een beveiligingsincident met computers of netwerken.

Toelichting:

Deze vragen dienen ter aanvulling op eerdere vragen terzake van de leden Klever (PVV), ingezonden 26 januari 2016 (vraagnummer 2016Z01443) en Oosenbrug (PvdA), ingezonden 27 januari 2016 (vraagnummer 2016Z01560).

Naar boven