Vragen van het lid Klever (PVV) aan de Minister van Volksgezondheid, Welzijn en Sport over het lekken van patiëntgegevens (ingezonden 26 januari 2016).

Antwoord van Minister Schippers (Volksgezondheid, Welzijn en Sport) (ontvangen 18 februari 2016).

Vraag 1

Wat is uw reactie op het bericht «Patiëntgegevens ziekenhuis Geldrop op straat»1?

Antwoord 1

Zie mijn antwoord op vraag 9 over dit zelfde onderwerp van het lid De Lange (ingezonden 27 januari 2016).

Vraag 2

Laat u uitzoeken wie er verantwoordelijk is voor het lekken van 4.559 patiëntgegevens gedurende 33 dagen? Zo nee, waarom niet?

Antwoord 2

Ziekenhuizen zijn hier in eerste plaats zelf verantwoordelijk voor. Sinds 1 januari 2016 geldt op grond van artikel 34a van de Wet bescherming persoonsgegevens (Wbp) bovendien een meldplicht voor datalekken. Organisaties moeten een melding doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. In sommige gevallen moeten zij ook de personen informeren van wie de gegevens zijn gelekt. Het is aan de Autoriteit Persoonsgegevens om dit zo nodig nader te onderzoeken.

Vraag 3

Valt dit incident onder de meldplicht Datalekken? Zo ja, is het gemeld? Zo nee, waarom niet?

Antwoord 3

Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen (Beleidsregels meldplicht datalekken, Stcrt. 2015, nr. 46128).

Het is aan de Autoriteit Persoonsgegevens om te beoordelen of een melding op zijn plaats is, het ziekenhuis heeft aangegeven dat het datalek bij de Autoriteit Persoonsgegevens is gemeld.

Vraag 4

Deelt u de mening dat het St. Anna ziekenhuis het medisch beroepsgeheim geschonden heeft? Zo ja, wat wordt de sanctie? Zo nee, waarom niet?

Antwoord 4

Naast de individuele arts heeft ook de instelling een medisch beroepsgeheim. Het beroepsgeheim is onderdeel van de behandelingsovereenkomst van de patiënt met de arts cq de instelling. Bij die overeenkomst is de overheid geen partij. Bij schending van het medisch beroepsgeheim kan wel strafrechtelijk worden ingegrepen. Het is aan het Openbaar Ministerie om te bepalen of daar in dit geval gronden voor zijn en of zij tot vervolging over gaan. Voor deze situatie is juridisch waarschijnlijk relevanter de vraag of de bepalingen uit de Wbp zijn geschonden. Dat is aan de Autoriteit Persoonsgegevens om te beoordelen. De Autoriteit Persoonsgegevens kan vervolgens een sanctie opleggen, als blijkt dat daar grond voor is.


X Noot
1

Nos.nl, 25 januari 2016 «Patiëntgegevens ziekenhuis Geldrop op straat»

Naar boven