Vragen van de leden Leijten en Van Gerven (beiden SP) aan de Minister van Volksgezondheid, Welzijn en Sport over het bericht dat ziekenhuizen dit jaar al 304 keer melding hebben gedaan van het verlies van privacygevoelige informatie (ingezonden 25 november 2016).

Antwoord van Minister Schippers (Volksgezondheid, Welzijn en Sport) (ontvangen 23 december 2016). Zie ook Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 804.

Vraag 1

Wat is uw reactie op het bericht dat ziekenhuizen dit jaar al 304 keer melding hebben gedaan van het verlies van privacygevoelige informatie?1

Antwoord 1

Zie antwoord op vraag 3 Oosenbrug en Bouwmeester (beiden PvdA), ingezonden 25 november 2016 (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 849).

In mijn brief van 15 december jl.2 bij het onderzoek naar de beveiliging van patiëntgegevens benadruk ik dat patiënten er op moeten kunnen vertrouwen dat de bescherming van medische informatie is gegarandeerd door de zorginstellingen en dat de beveiliging van patiëntgegevens een doorlopend punt van aandacht is en altijd een onderwerp zal blijven waar alle partijen zich voor moeten inzetten. Ik geef in deze brief aan een «Actieplan (informatie)beveiliging patiëntgegevens» op te zetten en geef uitgebreid aan welke maatregelen ik neem om de beveiliging van patiëntgegevens in samenwerking met het veld en de toezichthouders te verbeteren.

Vraag 2

Zijn er ziekenhuizen oververtegenwoordigd in het overzicht van het aantal meldingen? Worden die ziekenhuizen door de Autoriteit Persoonsgegevens (AP) hierop aangesproken? Zo ja, op wat voor manier?

Antwoord 2

Zorginstellingen zijn per brief door de AP en in gesprekken met de AP geïnformeerd over het belang van adequate beveiliging van persoonsgegevens en over de meldplicht datalekken.

Zie ook antwoord op vraag 3 Oosenbrug en Bouwmeester (beiden PvdA), ingezonden 25 november 2016 (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 849).

Vraag 3

Zijn er ook ziekenhuizen die juist geen enkele melding hebben gedaan? Wat zegt dit volgens u over desbetreffende ziekenhuizen?

Antwoord 3

Meldingen worden bij de AP gedaan. Het is mij niet bekend of er ziekenhuizen zijn die geen enkele melding hebben gedaan.

Vraag 4

Is de betreffende gelekte privacygevoelige informatie ook aangeboden op online zwarte markten zoals in het artikel door een ethisch hacker wordt geschetst? Kunt u uw antwoord toelichten?

Antwoord 4

Dat is mij niet bekend.

Vraag 5

Kunt u zich nog uw volgende antwoord op eerdere vragen herinneren: »Op 15 februari heeft de AP in een open brief aan de Raden van Bestuur van zorginstellingen in Nederland nogmaals aandacht gevraagd voor de bescherming van patiëntgegevens»?3

Antwoord 5

Ja.

Vraag 6

Is het effect van deze brief merkbaar in het aantal meldingen van het verlies van privacygevoelige informatie? Zo ja, wat was dan dit effect?

Antwoord 6

Een van de conclusie uit het PBLQ-rapport naar de beveiliging van patiëntgegevens dat ik op 15 december jl naar uw Kamer heb gestuurd, is dat de afgelopen jaren de informatiebeveiliging en privacybescherming in de meeste zorginstellingen veel meer aandacht heeft gekregen en de bewustwording bij instellingen is toegenomen. In hoeverre de brief van invloed is geweest op het aantal meldingen kan ik niet aangeven. Het is aan de AP om hier uitspraak over te doen.

Vraag 7

Bent u bekend met het onderzoek van Intel Security waaruit blijkt dat cybercriminelen steeds vaker interesse hebben in de gezondheidszorg? Wat is hierop uw reactie?4

Antwoord 7

Ja, ik maak mij ook zorgen over deze ontwikkelingen daarom heb ik een uitgebreid onderzoek laten uitvoeren naar de beveiliging van patiëntgegevens. Dit onderzoek heb ik op 15 december aan uw Kamer gestuurd. In mijn beleidsreactie op het PBLQ-rapport heb ik aangekondigd om op basis van de aanbevelingen met het veld een «Actieplan (informatie)beveiliging patiëntgegevens» op te zetten. Ik verwijs u verder naar deze Kamerbrief.

Vraag 8

Heeft de AP als toezichthouder in het kader van de Wet bescherming persoonsgegevens (Wbp) naar aanleiding van het verlies van privacygevoelige informatie, (bestuursrechtelijke) sancties opgelegd bij de betreffende ziekenhuizen? Kunt u uw antwoord toelichten?

Antwoord 8

Zie antwoord op vraag 6 Oosenbrug en Bouwmeester (beiden PvdA), ingezonden 25 november 2016 (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 849).

Vraag 9

Vindt u het niet vreemd dat de AP geen details wil geven over de aard van de meldingen vanwege de traceerbaarheid naar individuele ziekenhuizen? Kunt u uw antwoord toelichten?

Antwoord 9

De AP is een onafhankelijke toezichthouder. Het is niet aan mij om hier een oordeel over te vellen. Het is daarom aan de AP om te beoordelen en te besluiten over (de wijze van) het openbaar maken van meldingen van datalekken.

Vraag 10

Bent u gelet op diverse eerdere waarschuwingen en incidenten rondom het lekken van privacygevoelige informatie door ziekenhuizen, van mening dat de AP voldoende doordrongen is van de ernst van de zaak? Kunt u uw antwoord toelichten?

Antwoord 10

Ja. De AP heeft de zorgsectoren juist per brief en later ook in verschillende gesprekken geïnformeerd over en geattendeerd op de meldplicht datalekken. Daarnaast is de zorgsector in 2016 een van de sectoren waar de AP extra aandacht voor heeft. Dit heeft zich juist al vertaald in een aantal publicaties, waarbij zorginstellingen werden aangezet tot verbeteracties. Overigens is de AP een onafhankelijke toezichthouder en bepaalt de AP haar eigen prioriteiten en agenda.

Vraag 11 en 12

Wat vindt u ervan dat de AP ziekenhuisbesturen nog altijd de hand boven het hoofd houdt ondanks dat zij al herhaaldelijk zijn opgeroepen hun privacybeleid op orde te brengen? Kunt u uw antwoord toelichten?

Wat gaat u er als systeemverantwoordelijke aan doen om ervoor te zorgen dat de AP zijn rol als toezichthouder oppakt?

Antwoord 11 en 12

Ik heb geen reden om aan te nemen dat de AP haar rol als toezichthouder niet oppakt, of in de zorgsector op een andere wijze optreedt dan in andere sectoren. De AP is een onafhankelijke toezichthouder en valt beheersmatig onder de Minister van Veiligheid & Justitie.

Vraag 13

Is de patiëntveiligheid als gevolg van het verlies van privacygevoelige informatie in het geding geweest? Wat is daarbij de rol van de Inspectie voor de Gezondheidszorg (IGZ)? Kan de IGZ mogelijk ingrijpen indien de AP dat blijft weigeren?

Antwoord 13

De IGZ en AP hebben samenwerkingsafspraken gemaakt over de wijze waarop zij hun toezicht op de naleving van de Wbp invullen. De IGZ heeft enkele meldingen gekregen over het verlies van privacygevoelige informatie, maar hierbij was de patiëntveiligheid niet in het geding. Deze meldingen zijn doorgezet naar de AP. Op het moment dat er meldingen binnenkomen waarbij de patiëntveiligheid in het geding is, zal de IGZ zo nodig passende maatregelen nemen.

Vraag 14

Bent u alsnog bereid openheid van zaken te geven over welke ziekenhuizen het betreft? Zo nee, waarom niet?

Antwoord 14

Dit is aan de AP.

Toelichting:

Deze vragen dienen ter aanvulling op eerdere vragen terzake van de leden Oosenbrug en Bouwmeester (beiden PvdA), ingezonden 25 november 2016 (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 849).


X Noot
1

Trouw, «Ziekenhuizen melden elke dag datalek», d.d. 24 november 2016

X Noot
2

Kamerstuk 31 765, nr. 259

X Noot
3

Aanhangsel van de Handelingen, vergaderjaar 2015–2016, nr. 1895

Naar boven