Vragen van het lid Oosenbrug (PvdA) aan de Ministers van Veiligheid en Justitie en van Volksgezondheid, Welzijn en Sport over de privacyschending door ziekenhuizen (ingezonden 27 januari 2016).

Antwoord van Minister Van der Steur (Veiligheid en Justitie) (ontvangen 19 februari 2016). Zie ook Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 1561.

Vraag 1

Kent u het bericht «Datalek ziekenhuizen treft ruim 158.000 patiënten»?1

Antwoord 1

Ja.

Vraag 2

Deelt u de mening dat het zorgelijk is dat vanwege de gebrekkige omgang met en beveiliging van persoonsgegevens de privacy van de desbetreffende patiënten is geschonden? Zo nee, waarom niet?

Antwoord 2

Ja.

Vraag 3

In hoeverre is het toegestaan om bij de overgang naar papierloos werken privacygevoelige data te laten scannen door buitenlandse digitaliseringsbedrijven?

Antwoord 3

Dit is toegestaan als ziekenhuizen zich aan de geldende wet- en regelgeving houden. Het gaat dan vooral om de Wet bescherming persoonsgegevens (Wbp). De regels staan toe dat een ziekenhuis een zogenaamde bewerker inschakelt om in te scannen. De wet verplicht het ziekenhuis om hiervoor een zogenaamde bewerkersovereenkomst af te sluiten. In die overeenkomst worden onder andere afspraken gemaakt over de beveiliging en geheimhouding. Los van de overeenkomst bepaalt de wet ook dat de bewerker verplicht is tot geheimhouding. In het hele proces blijft het ziekenhuis verantwoordelijk: zij moet voldoende maatregelen nemen om te borgen dat de bewerker zich aan de afgesproken regels rond beveiliging en geheimhouding houdt en dat de afspraken daarover worden nageleefd.

Vraag 4

Deelt u de mening dat het onacceptabel en onverantwoordelijk is dat het werk van het Belgische digitaliseringsbedrijf iGuana is uitbesteed aan sociale werkplaatsen en gedetineerden in Belgische gevangenissen? Zo ja, welke consequenties verbindt u hieraan? Zo nee, waarom niet?

Antwoord 4

Ik vind het onacceptabel dat ziekenhuizen onzorgvuldig met patiëntendossiers omgaan. Ook moet rekening worden gehouden met de beeldvorming en moeten patiënten erop kunnen vertrouwen dat dit op een zodanige manier gebeurt dat de bescherming van medische informatie voldoende is gegarandeerd. Ik heb begrepen dat het uitvoeren van deze werkzaamheden in gevangenissen en sociale werkplaatsen inmiddels niet meer voorkomt. Het bedrijf dat de werkzaamheden voor de ziekenhuizen uitvoerde gaf aan te voldoen aan de geldende wet- en regelgeving. Het is aan de Autoriteit Persoonsgegevens om toe te zien op de naleving van de Wbp en zo nodig te handhaven. Indien de kwaliteit van zorg in het geding komt kan de Inspectie voor de Gezondheidszorg ook in actie komen. De Inspectie voor de Gezondheidszorg heeft mij al aangegeven dat zij aandacht hebben voor de wijze waarop de bewerkersovereenkomsten zijn gesloten bij die ziekenhuizen die nog in transitie zijn van papieren naar digitale dossiers. Ook heeft de Inspectie voor de Gezondheidszorg aangegeven de Nederlandse Federatie van Universitair Medische Centra en de Nederlandse Vereniging van Ziekenhuizen een brief te sturen om ziekenhuizen op hun verantwoordelijkheid te wijzen.

Vraag 5

Deelt u de mening dat privacy een prijs heeft, oftewel dat het kostenaspect nooit een argument mag zijn om digitalisering van privacygevoelige data bij de goedkoopste dienstverlener onder te brengen? Zo ja, welke maatregelen treft u om dit te bewerkstelligen? Zo nee, waarom niet?

Antwoord 5

Het is aan de ziekenhuizen om te bepalen in hoeverre de dienstverlener voldoet aan de geldende wet- en regelgeving. Het kostenaspect mag er nooit toe leiden dat onzorgvuldig wordt omgegaan met privacygevoelige informatie.

Vraag 6

Op welke wijze wordt gecontroleerd of dossiers na inscanning daadwerkelijk zijn vernietigd?

Antwoord 6

Het vernietigen van patiëntendossiers moet conform de geldende wet- en regelgeving gebeuren. Het is aan de Autoriteit Persoonsgegevens om hierop toezicht te houden. Ook hierbij geldt dat ziekenhuizen zich bewust moeten zijn van de privacygevoeligheid van dit proces.

Vraag 7

Heeft de Autoriteit Persoonsgegevens specifieke middelen om uitbesteding van werkzaamheden door digitaliseringsbedrijven te controleren dan wel aan banden te leggen? Zo nee, waarom niet en wat gaat u doen om dit te verbeteren?

Antwoord 7

De Autoriteit Persoonsgegevens beschikt op grond van de Wbp over voldoende toezichthoudende en handhavende bevoegdheden om toezicht te houden op de naleving van de wetgeving inzake bescherming van persoonsgegevens en om zo nodig de naleving ervan met behulp van (bestuursrechtelijke) sancties af te dwingen. Deze bevoegdheden stellen de Autoriteit ook in staat om indien nodig op te treden tegen een verantwoordelijke die bij uitbesteding van werkzaamheden aan een zogeheten bewerker (artikel 1 onder de Wbp) in strijd handelt met de Wbp.

Toelichting:

Deze vragen dienen ter aanvulling op eerdere vragen ter zake van het lid Klever (PVV), ingezonden 26 januari 2016 (vraagnummer 2016Z01443).

Naar boven