Vragen van het lid Van Haga (Groep Van Haga) aan de Minister van Volksgezondheid, Welzijn en Sport over het opslaan van medische gegevens van Nederlanders door externe softwareleveranciers (ingezonden 20 juli 2023).

Mededeling van Minister Kuipers (Volksgezondheid, Welzijn en Sport) (ontvangen 10 augustus 2023).

Vraag 1

Hebt u kennisgenomen van het bericht «Zonder hun medeweten worden de medische dossiers van miljoenen Nederlanders gekopieerd en «ergens» opgeslagen» van NRC?1

Vraag 2

Aangezien de Autoriteit Persoonsgegevens al in 2018 onderzoek deed naar het kopiëren van de medische gegevens van Nederlanders naar een commercieel systeem, kan dan geconcludeerd worden dat u al jaren op de hoogte was van deze grootschalige en mogelijk juridisch oneigenlijke dataverzameling in de Nederlandse zorg? Zo ja, kunt u dan uitleggen waarom hieraan niet eerder ruchtbaarheid is gegeven? Waarom is het Nederlandse volk hierover niet eerder grootschalig ingelicht?

Vraag 3

Kunt u uitleggen waarom in de Nederlandse (huisartsen)zorg op een dusdanig grootschalige manier gebruik wordt gemaakt van deze software(leveranciers), terwijl de medische privacy van mensen hierdoor in het geding komt en er juridische onduidelijkheid is over de validiteit van deze manier van dataverzameling?

Vraag 4

Zijn er geen andere manieren om medische gegevens, indien nodig voor de behandeling van een patiënt, te delen met lokale behandelaars? Is er actief werk gemaakt van het onderzoeken van deze mogelijkheid en zo ja, welke analyses en afwegingen kwamen daaruit? Zo nee, waarom is er niet gezocht naar alternatieve methoden om de zorg voor patiënten in de regio anders te organiseren?

Vraag 5

Waarom worden op een dusdanig grootschalige manier medische gegevens van zoveel Nederlanders opgeslagen, terwijl de gegevens van veel van deze mensen helemaal niet verzameld en gedeeld hoeven worden, aangezien daar geen medische noodzaak voor is? Waarom kan dit niet gerichter gebeuren en is de Nederlandse overheid hierover niet in gesprek gegaan met de partijen die aan dergelijke dataverzameling en opslag doen?

Vraag 6

Hoe worden de medische gegevens die worden opgeslagen door deze leverancier(s) beschermd? Weet u wat er met deze gegevens gebeurt, wat de betrokken investeringsmaatschappij precies doet en op welke manier zij kan beschikken over de medische gegevens die worden verzameld, waar deze precies zijn opgeslagen, om hoeveel en welke gegevens het precies gaat en of deze gegevens wellicht ook met andere partijen worden gedeeld, verkocht worden aan derden, of voor andere doeleinden worden gebruikt?

Vraag 7

Hoe reflecteert u op de kritiek en de zorgen die artsen uiten over deze manier van dataopslag door een commerciële partij, zonder dat huisartsen daar per patiënt en per medisch dossier invloed op kunnen uitoefenen? Vindt u het geoorloofd dat de autonomie over deze datasharing niet bij de behandelaar, maar bij een softwareleverancier ligt?

Vraag 8

Hoe rijmt u deze grootschalige medische dataopslag, die ook nog plaatsvindt zonder informed consent van de patiënt, met de privacywetgeving, die voorschrijft dat er juist zo weinig mogelijk gevoelige persoonsgegevens verzameld en opgeslagen mogen worden? Kunt u uitleggen waarom dergelijke bedrijven blijkbaar wordt toegestaan om buiten de wet te handelen?

Vraag 9

Vindt u het geoorloofd dat commerciële softwareleveranciers met elkaar concurreren om privacygevoelige, medische data van mensen? Vindt u niet dat er hierdoor perverse prikkels en belangen ontstaan, ten koste van burgers, die hierdoor niets meer te zeggen hebben over hun eigen medische gegevens?

Vraag 10

Waarom kan het opslaan van medische gegevens om de zorg voor (chronisch) zieke mensen te verbeteren en (regionaal) te stroomlijnen niet gebeuren via een overkoepelend systeem van het Rijk, waarop alle zorgverleners in Nederland kunnen worden aangesloten? Vindt u niet dat dit een publieke voorziening zou moeten zijn, in plaats van dit over te laten aan de markt?

Vraag 11

Nu u weet dat de manier waarop medische gegevens worden opgeslagen voor veel huisartsen een (moreel) bezwaar is, bent u dan van plan om toch een vervolgonderzoek te laten doen naar deze dataverzameling?

Vraag 12

Wat gaat u doen om Nederlanders actief op de hoogte te brengen van het feit dat hun medische gegevens op grote schaal worden verzameld door externe partijen? Indien u niets gaat doen, kunt u dan uitleggen waarom u dit niet nodig acht?

Vraag 13

Gaat u zorgen dat er duidelijke juridische kaders komen voor dergelijke medische dataverzameling en bent u voornemens om daarin op te nemen dat alleen medische gegevens die strikt noodzakelijk zijn voor de behandeling van een patiënt heel gericht verzameld en opgeslagen mogen worden en dat er duidelijke doeleinden worden verbonden aan het gebruik daarvan en wie daarover beschikking mogen hebben?

Vraag 14

Hoe gaat u ervoor zorgen dat huisartsen niet aansprakelijk kunnen worden gesteld voor oneigenlijk gebruik en verspreiding van de medische gegevens van hun patiënten die zijn opgeslagen, aangezien zij op dit moment eindverantwoordelijk zijn voor de medische gegevens van hun patiënten en de veiligheid en bescherming daarvan?

Vraag 15

Aangezien veel huisartsen op dit moment niet eens op de hoogte zijn van het feit dat de medische gegevens van hun patiënten via het softwaresysteem op wekelijkse basis worden gekopieerd en opgeslagen bij een externe partij, gaat u alle huisartsen in Nederland hier actief over informeren? Bent u voornemens om het voor huisartsen makkelijker te maken over te stappen naar een andere leverancier en transparant en inzichtelijk te maken wat de verschillen zijn tussen de verschillende softwareleveranciers die diensten aanbieden voor dataverzameling- en sharing en op welke manier zij weer verbonden zijn met andere partijen, zoals bijvoorbeeld zorgverzekeraars?

Vraag 16

Aangezien de handelwijze van Calculus in strijd lijkt te zijn met de privacywetgeving, omdat deze voorschrijft dat er niet op dusdanig grote schaal en op dezelfde plek dit soort gevoelige data opgeslagen mag worden, bent u voornemens om consequenties te verbinden aan deze gang van zaken? Zo ja, welke sancties gaat u stellen? Zo nee, waarom niet?

Vraag 17

Heeft u een risicoanalyse gemaakt met betrekking tot een mogelijk datalek, of een hack? En weet u wat de gevolgen zouden (kunnen) zijn als deze medische gegevens van burgers op straat komen te liggen, of in handen vallen van criminelen?

Vraag 18

Worden er controles uitgevoerd op de systemen waarmee de medische gegevens van burgers worden verzameld, om de veiligheid van deze systemen te waarborgen en zo ja, is de Nederlandse overheid betrokken bij deze toetsing?

Vraag 19

Wat gaat u doen indien er naar aanleiding van dit onderzoek van NRC grootschalig klachten worden ingediend door burgers/patiënten, die niet willen dat hun medische gegevens zonder hun toestemming zijn verzameld en opgeslagen door een externe partij? Op welke manier gaat u huisartsen hierbij ondersteunen en beschermen?

Mededeling

De vragen van het lid Van Haga (Groep Van Haga) over het opslaan van medische gegevens van Nederlanders door externe softwareleveranciers (2023Z13847) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord.

De reden van het uitstel is dat afstemming ten behoeve van de beantwoording meer tijd vergt.

Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.


X Noot
1

NRC, 18 juli 2023, «Zonder hun medeweten worden de medische dossiers van miljoenen Nederlanders gekopieerd en «ergens» opgeslagen» (https://www.nrc.nl/nieuws/2023/07/18/zonder-hun-toestemming-worden-de-medische-dossiers-van-miljoenen-nederlanders-gekopieerd-en-ergens-opgeslagen-a4170063).

Naar boven