Antwoord 1, 2 en 3

Ja, ik ben bekend met het bewuste artikel. Ik vind het zorgelijk als medische gegevens van patiënten in verkeerde handen vallen. Patiënten moeten te allen tijde kunnen vertrouwen op het veilig beschermen en delen van hun gegevens. Zorgaanbieders zijn in eerste plaats zelf verantwoordelijk voor de informatieveiligheid van hun patiënten. Ze moeten passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen en adequaat handelen wanneer een datalek zich voordoet.

Het OLVG heeft mij als volgt gemeld. Het OLVG heeft melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens (AP) en er zijn maatregelen genomen. Men heeft mij ook gemeld dat de autorisatie van medewerkers tot de EPD-systemen verder is aangescherpt en dat privacy een nadrukkelijker plek in het inwerkprogramma voor werkstudenten en voor alle andere medewerkers binnen het OLVG krijgt. Het OLVG doet onderzoek naar de dossiers die onrechtmatig zijn ingezien door onbevoegde werkstudenten. Betrokken patiënten en de AP zullen over de resultaten van het onderzoek worden geïnformeerd.

Antwoord 4

Zoals ik in de beantwoording op vragen 1, 2 en 3 heb aangegeven valt informatiebeveiliging in de eerste instantie onder de verantwoordelijkheid van zorgaanbieders zelf. Zorgaanbieders moeten zich reeds onder meer houden aan een aantal zorgbrede Nederlandse normen voor informatieveiligheid in de zorg (NEN-normen) en de voorschriften van de Algemene Verordening Persoonsgegevens (AVG). Datalekken of andere ICT-incidenten moeten worden gemeld bij de AP.

Gezien het belang van informatieveiligheid ondersteunt VWS de zorgsector hierbij in toenemende mate. Zoals ik in mijn Kamerbrief over «Elektronische gegevensuitwisseling in de zorg» van 20 december 2018 jl. heb aangekondigd, wil ik toewerken naar wettelijke verplichting om onder andere veiligheidsbelemmeringen in elektronische gegevensuitwisseling in de zorg aan te pakken. Daarnaast is met ondersteuning van VWS het Computer

Emergency Response Team (Z-CERT) voor de zorgsector opgezet en in januari 2018 officieel gestart. Deze organisatie helpt aangesloten zorginstellingen bij monitoring, preventie en reparatie van ICT-incidenten. VWS ziet Z-CERT als het cybersecuritycentrum voor de zorg en draagt bij aan de doorontwikkeling ervan.

Ik vind dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie als Z-CERT. Zoals toegezegd op de aangenomen motie Ellemeet2 onderzoek ik het verplichtstellen van de deelname van zorginstellingen aan Z-CERT zal tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken. Ik zal uw Kamer hierover in de loop van dit jaar informeren.

Tot slot hebben zorgkoepels in samenwerking met VWS een Actieplan Verhoging bewustzijn informatiebeveiliging Patiëntengegevens opgesteld en hiermee de verhoging van bewustwording van informatiebeveiliging zelf opgepakt. Het Actieplan is uitgebreid en verbreed naar alle zorgbranches. Het actieplan wordt geleid door Brancheorganisaties Zorg (BoZ). Voor het zomerreces wordt uw Kamer geïnformeerd over de voortgang van het actieplan.

Antwoord 5

Er bestaat niet één basisset van gegevens die op zichzelf voldoet in alle uitwisselingen van informatie die in het kader van behandeling plaatsvinden. Elke overdracht en uitwisseling vereist een andere set gegevens die noodzakelijk is voor de (vervolg)behandeling van een patiënt.

Regie voor de patiënt omarm ik van harte. Ik vind het van groot belang dat patiënten weten waar hun gegevens zich bevinden en weten en mee kunnen bepalen wat ermee gebeurt. In de Wet op de geneeskundige behandelovereenkomst (de WGBO) is geregeld dat gegevens uit een medisch dossier alleen met toestemming van de patiënt aan anderen kunnen worden verstrekt. Uit de WGBO volgt echter ook een aantal uitzonderingen op deze regel. Zo is expliciete toestemming niet nodig voor het verstrekken van noodzakelijke inlichtingen aan degene die rechtstreeks betrokken is bij de behandelrelatie en degene die optreedt als vervanger van de hulpverlener.