Vragen van het lid Van den Berg (CDA) aan de Minister van Volksgezondheid, Welzijn en Sport over medewerkers van GGzE die vrijwel onbeperkt hebben kunnen kijken in dossiers van cliënten (ingezonden 13 juli 2023).

Antwoord van Minister Kuipers (Volksgezondheid, Welzijn en Sport) (ontvangen 23 augustus 2023). Zie ook Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 3324.

Vraag 1

Heeft u kennisgenomen van het bericht op Skipr waaruit blijkt dat medewerkers van de specialistische geestelijke gezondheidszorgorganisatie GGzE vrijwel onbeperkt hebben kunnen kijken in dossiers van cliënten?1

Antwoord 1

Ja.

Vraag 2

Welke maatregelen gaat de Inspectie Gezondheidszorg nemen naar aanleiding van dit bericht?

Antwoord 2

In het artikel is sprake van een mogelijk onjuist handelen met betrekking tot de bescherming van persoonsgegevens. Hiervoor zijn regels opgenomen in de Algemene Verordening Persoonsgegevens (AVG). De Autoriteit Persoonsgegevens (AP) is hiervoor de aangewezen toezichthouder. De Inspectie Gezondheidszorg en Jeugd (IGJ) heeft geen rol in het toezicht op de AVG.

De IGJ houdt onafhankelijk, risico gestuurd toezicht op kwaliteit en veiligheid van zorg. De IGJ heeft in dat kader ook een rol in het toezicht op informatiebeveiliging, maar met name als deze de kwaliteit en continuïteit van zorg kan raken. Bijvoorbeeld als het gaat om maatregelen om te voorkomen dat essentiële informatiesystemen langdurig uitvallen. Voor zo ver bekend is hier geen sprake van; de IGJ ziet dan ook op basis van dit artikel geen aanleiding om nader onderzoek te doen. De AP en IGJ hebben een samenwerkingsprotocol waarin zij elkaar wederzijds informeren en raadplegen in het geval van aangelegenheden die elkaars toezicht raken.

Vraag 3

Vindt u het terecht dat de in het artikel genoemde patiënt geen inzage krijgt in het onderzoek? Hoe wordt voor deze patiënt geborgd dat dit niet meer kan voorkomen?

Antwoord 3

In algemene zin vind ik het belangrijk dat zorgaanbieders klachten van cliënten serieus nemen en de cliënt goed betrekken bij een eventueel onderzoek wat hieruit volgt. Of dit in dit specifieke geval afdoende is gebeurd kan ik niet beoordelen. Dat is ook niet aan mij.

Blijft het vermoeden van een mogelijke overtreding van de AVG bestaan? Dan staat het de cliënt vrij om een klacht of tip in te dienen bij de Autoriteit Persoonsgegevens.

Vraag 4

Controleert de Inspectie Gezondheidszorg ook steekproefsgewijs of instellingen login protocollen, een autorisatieprocedure en monitoring daarvan hebben met betrekking tot systemen die patiëntgegevens bevatten?

Antwoord 4

De IGJ controleert steekproefsgewijs of zorgaanbieders hun informatiebeveiliging inrichten volgens de wettelijke norm NEN 7510. Volgens deze norm moeten zorgaanbieders een managementsysteem voor informatiebeveiliging inrichten. Procedures voor authenticatie, autorisatie en logging zijn hier onderdeel van, naast een groot aantal andere beheersmaatregelen. De IGJ controleert of aantoonbaar sprake is van een werkende kwaliteitscyclus (plan-do-check-act). Specifieke maatregelen op het gebied van de bescherming van persoonsgegevens vallen primair onder het toezicht van de AP.

Vraag 5

Worden er in de zorg patiënt-systemen gebruikt zonder adequate login monitoring en autorisatie? Zo ja, waarom worden deze niet verboden?

Antwoord 5

Het Ministerie van VWS heeft geen zicht op de inrichting van zorginformatiesystemen bij individuele zorginstellingen. Er zijn twee belangrijke informatiebeveiligingsnormen die hier een rol in spelen, de NEN 7510 en 7513. Deze schrijven voor dat zorginstellingen maatregelen moeten nemen op het gebied van autorisatie en logging. Alleen de bevoegde personen mogen toegang hebben tot patiëntendossiers (autorisatie) en acties op deze patiëntendossiers moeten vastgelegd worden (logging). Deze normen gelden voor alle zorginstellingen en de AP ziet hierop toe.

Vraag 6

Welke acties gaat u nemen naar aanleiding van dit bericht?

Antwoord 6

Zorgaanbieders zijn in eerste plaats zelf verantwoordelijk voor de informatiebeveiliging van de patiëntendossiers. Zij moeten passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen. De AP is verantwoordelijk voor het toezicht op de naleving hiervan. Vanuit het ministerie wordt doorlopend op verschillende manieren ingezet op bewustwording en verbetering van de naleving op informatiebeveiliging. Zorgaanbieders worden ondersteund en gefaciliteerd om de informatiebeveiliging en digitale weerbaarheid te verbeteren Zo worden zorgaanbieders onder meer ondersteund door de informatie die te vinden is op de AVG-helpdesk (www.avghelpdeskzorg.nl).


X Noot
1

Skipr, 11 juli 2023, «Cliënt ontdekt dat 160 GGzE-medewerkers meekeken in haar dossier» (Cliënt ontdekt dat 160 GGzE-medewerkers meekeken in haar dossier – Skipr).

Naar boven