Vragen van het lid Gerbrands (PVV) aan de Minister voor Medische Zorg over het bericht dat tientallen medewerkers van het HagaZiekenhuis ongeoorloofd een medisch dossier hebben ingekeken (ingezonden 6 april 2018).

Antwoord van Minister Bruins (Medische Zorg) (ontvangen 23 april 2018).

Vraag 1

Kent u het bericht «Tientallen onbevoegden bekeken medisch dossier Barbie»?1

Antwoord 1

Ja.

Vraag 2

Wat zegt dit over de beveiliging van het Elektronisch Patiënten Dossier / Landelijk Schakelpunt (EPD/LSP) in het algemeen en bij het HagaZiekenhuis in het bijzonder?

Antwoord 2

Dit zegt niets over de beveiliging van het Landelijk Schakelpunt (LSP). Het gaat hier niet over het uitwisselen van informatie in het medisch dossier via het LSP. Het LSP is een landelijk werkende infrastructuur, waarmee zorgaanbieders medische gegevens uitwisselen ten behoeve van de behandeling van hun patiënten. Er bestaat geen enkel verband tussen het LSP en de casus in het HagaZiekenhuis.

Momenteel doet het HagaZiekenhuis onderzoek of in het eigen gevoerde dossier ongeoorloofd inzage heeft plaatsgevonden door medewerkers.

Vraag 3

Zijn de medische dossiers in het HagaZiekenhuis inmiddels beter beveiligd, zodat alleen bevoegd personeel de gegevens kan inzien? Zo ja, hoe? Zo nee, waarom niet?

Antwoord 3

Bij het HagaZiekenhuis is informatie opgevraagd over de beveiliging van de medisch dossiers. Uit de opgevraagde informatie blijkt dat de medisch dossiers in het HagaZiekenhuis zijn beveiligd. In het Elektronisch Patiëntendossier (EPD) heeft alleen bevoegd personeel toegang. Het HagaZiekenhuis controleert structureel steekproefsgewijs of bevoegde medewerkers binnen de geldende kaders patiëntendossier raadplegen. Bij twijfel volgt een nader onderzoek, zoals in de onderhavige casus. Het huidige onderzoek is nog lopende.

In het instellingsbeleid zijn al veel maatregelen van kracht, die bevoegde medewerkers bewust maken dat zij niet onrechtmatig patiëntendossiers mogen raadplegen. In het EPD zal het HagaZiekenhuis een extra tekst op het «breekglas-scherm» opnemen die de medewerker waarschuwt dat hij alleen het dossier mag openen als hij een behandelrelatie heeft met de betreffende patiënt.

Vraag 4

Toont deze grove overtreding niet aan dat het huidige EPD/LSP-systeem onveilig is en moet worden afgeschaft en vervangen door een persoonlijke zorgpas, zoals de PVV al 10 jaar bepleit?

Antwoord 4

Zie antwoord op vraag 2. Het betreft hier inzage in het lokale dossier van het ziekenhuis. Of sprake is van een overtreding is nog in onderzoek. Bij opname in een ziekenhuis zijn bij de behandeling tientallen zorgprofessionals betrokken die allen verplicht zijn om hun handelen te registeren in het medisch dossier van de patiënt. Toegang tot deze gegevens is noodzakelijk voor het verlenen van goede zorg en het voorkomen van fouten.

Vraag 5

Deelt u de mening dat het HagaZiekenhuis in overtreding is door het voorval pas te melden bij de Autoriteit Persoonsgegevens nadat EenVandaag om opheldering verzocht? Zo ja, welke maatregelen gaat u treffen? Zo nee, waarom niet?

Antwoord 5

Of sprake is van een overtreding en of er maatregelen moeten worden getroffen is ter beoordeling van de Autoriteit Persoonsgegevens.

Vraag 6

Welke maatregelen kunnen de betrokken medewerkers verwachten?

Antwoord 6

Het is van groot belang dat zorgprofessionals kunnen beschikken over de juiste informatie om goede zorg te kunnen leveren. Daarop moeten patiënten kunnen vertrouwen. Daarom onderschrijf ik, vanuit het principe «high trust, high penalty», het belang van een strikt protocol.

Het HagaZiekenhuis heeft aangegeven over een dergelijk protocol te beschikken. Mocht sprake zijn van onrechtmatige inzage, dan krijgen de betrokken medewerkers een officiële waarschuwing. Bij een tweede onrechtmatige inzage volgt ontslag.

Vraag 7

Hoeveel datalekken betreffende medische dossiers zijn er sinds 1 januari 2016 gemeld bij de Autoriteit Persoonsgegevens?

Antwoord 7

De Autoriteit Persoonsgegevens heeft op haar website rapportages gepubliceerd over de gemelde datalekken in 2016. In de periode 1 januari tot en met 15 december 2016 zijn bijna 5.500 datalekken gemeld aan de AP, waarvan 29% gaan over gezondheid en welzijn.2 In 2017 zijn 10.009 datalekken gemeld, waarvan ruim 3.000 datalekken gezondheid(sgegevens) betreffen.3

Vraag 8

Bent u van plan een onderzoek te starten naar de beveiliging van medische dossiers in alle ziekenhuizen? Zo nee, waarom niet?

Antwoord 8

De beveiliging van medische gegevens valt onder de verantwoordelijkheid van de individuele ziekenhuizen zelf en de regels zijn streng en duidelijk. Juist dat mogelijk ongeoorloofde inzage is ontdekt en wordt onderzocht en dat waar nodig maatregelen zullen worden genomen, toont aan dat ziekenhuizen dit ook zeer serieus nemen. De zorgkoepels hebben een actieplan informatiebeveiliging opgesteld en hiermee de verhoging van bewustwording van informatiebeveiliging zelf opgepakt.

Naar boven