Antwoord 1

Zie mijn antwoord op vraag 9 over dit zelfde onderwerp van het lid De Lange (ingezonden 27 januari 2016).

Antwoord 2

Ziekenhuizen zijn hier in eerste plaats zelf verantwoordelijk voor. Sinds 1 januari 2016 geldt op grond van artikel 34a van de Wet bescherming persoonsgegevens (Wbp) bovendien een meldplicht voor datalekken. Organisaties moeten een melding doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. In sommige gevallen moeten zij ook de personen informeren van wie de gegevens zijn gelekt. Het is aan de Autoriteit Persoonsgegevens om dit zo nodig nader te onderzoeken.

Antwoord 3

Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen (Beleidsregels meldplicht datalekken, Stcrt. 2015, nr. 46128).

Het is aan de Autoriteit Persoonsgegevens om te beoordelen of een melding op zijn plaats is, het ziekenhuis heeft aangegeven dat het datalek bij de Autoriteit Persoonsgegevens is gemeld.

Antwoord 4

Naast de individuele arts heeft ook de instelling een medisch beroepsgeheim. Het beroepsgeheim is onderdeel van de behandelingsovereenkomst van de patiënt met de arts cq de instelling. Bij die overeenkomst is de overheid geen partij. Bij schending van het medisch beroepsgeheim kan wel strafrechtelijk worden ingegrepen. Het is aan het Openbaar Ministerie om te bepalen of daar in dit geval gronden voor zijn en of zij tot vervolging over gaan. Voor deze situatie is juridisch waarschijnlijk relevanter de vraag of de bepalingen uit de Wbp zijn geschonden. Dat is aan de Autoriteit Persoonsgegevens om te beoordelen. De Autoriteit Persoonsgegevens kan vervolgens een sanctie opleggen, als blijkt dat daar grond voor is.