Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2015-2016 | 1904 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2015-2016 | 1904 |
Herinnert u zich de eerdere vragen en antwoorden over het bericht dat medische websites gezondheidsgegevens lekken?1
Kunt u aangeven in hoeverre u het realistisch acht dat de Autoriteit Persoonsgegevens praktijksituaties aan de wet- en regelgeving (van de Wet bescherming persoonsgegevens) moet toetsen, terwijl er duizenden apps en websites zijn, maar de Autoriteit Persoonsgegevens slechts 72 fte heeft?
Deelt u de mening dat het bijna onmogelijk is om deze gehele verantwoordelijkheid bij de Autoriteit Persoonsgegevens neer te leggen, omdat het controleren van praktijksituaties in de gezondheidszorg niet haar enige taak is?
De Autoriteit Persoonsgegevens (AP) is een onafhankelijke toezichthouder, zij richt haar eigen toezicht in en maakt daarbij haar eigen keuzes. De AP prioriteert op basis van een aantal criteria (zoals de ernst van de overtreding en de vraag of het een structurele overtreding is) en op basis van signalen haar werkzaamheden. De AP houdt onder meer toezicht op de verwerking van persoonsgegevens die het gevolg kan zijn van het plaatsen en uitlezen van tracking cookies. Daarnaast ziet de Autoriteit Consument en Markt (ACM) er parallel op toe dat websites of apps die gegevens bij bezoekers plaatsen en/of uitlezen uit de randapparatuur van bezoekers zich aan de regels houden.
Ook IGZ heeft een rol in het toezicht op dit terrein. De AP en IGZ hebben een samenwerkingsprotocol waarin zij wederzijdse afspraken hebben gemaakt over de wijze van samenwerking voor het uitoefenen van toezicht op de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer binnen de gezondheidszorg. Dit protocol is op de websites van beide organisaties gepubliceerd. De IGZ zal zich bij het uitoefenen van haar bevoegdheden primair richten op gevallen waar het zwaartepunt ligt op de kwaliteit van zorgverlening. De AP zal zich bij het uitoefenen van zijn bevoegdheden primair richten op gevallen waar het zwaartepunt in de toepassing van bepalingen van de Wet bescherming persoonsgegevens (Wbp) ligt. Voorts verwijs ik u naar de brief van de Minister van Veiligheid en Justitie aan uw Kamer van 29 febuari jl. naar aanleiding van de berichtgeving over de AP in het NRC van 30 december 2015 (Kamerstuk 32761, nr. 94).
In hoeverre bent u op dit moment met het Informatieberaad in overleg over mogelijke (extra) waarborgen voor privacy van patiënten? Kunt u aangeven aan welke extra waarborgen u denkt voor het beschermen van privacy? Kunt u ook aangeven hoe frequent dit overleg is en wanneer u verwacht enkele uitkomsten te kunnen presenteren? Zo nee, kunt u aangeven waarom niet?
Dit onderwerp wordt, in april voor het eerst, besproken in een werkgroep met de leden van het Informatieberaad3, waarbij ook experts op het gebied van «privacy by design» en de AP betrokken zullen worden. Deze werkgroep komt met een voorstel voor aanvullende maatregelen om de privacy van patiënten te beschermen en de informatiebeveiliging van systemen te verhogen. Het Informatieberaad komt vier maal per jaar bij elkaar. In de vergaderingen van april en juni wordt het onderwerp geagendeerd. Het onderwerp is complex, de verwachting is dat het Informatieberaad in september kan komen tot eerste afspraken over mogelijke aanvullende maatregelen.
Kunt u aangeven in hoeverre u zelf bijdraagt aan het stimuleren van «privacy by design», om te voorkomen dat persoonsgegevens als «big data» voor commerciële doeleinden worden gebruikt, met consequenties voor de patiënten, zonder dat deze daar weet van hebben?
Bij het maken van nieuw beleid waarbij verwerkingen van persoonsgegevens verwacht worden, is het doen van een Privacy Impact Assessment, waarbij privacy gevolgen in kaart gebracht worden, verplicht. Mijn uitgangspunt is dat daar waar verwerkingen van persoonsgegevens voorkómen of geminimaliseerd kunnen worden zonder dat het behalen van beleidsdoelstellingen in het geding komt, dat dit ook gebeurt. In overige situaties geldt dat een formele wettelijke grondslag aanwezig is voor deze verwerking van persoonsgegevens en voldaan wordt aan de informatieplicht. Als het gaat om tracking voor commerciële doeleinden van bezoekers van medische websites en gebruikers van apps die gezondheidsgegevens verwerken is de enige mogelijke grondslag uit de Wbp dat er toestemming is. Het heimelijk verzamelen, verkopen of gebruiken van persoonsgegevens is in geen enkele situatie toegestaan.
Gezien mijn eHealth ambities zal ik met de leden van het Informatieberaad bespreken of er mogelijkheden zijn om extra waarborgen te realiseren en «privacy by design» te stimuleren.
In hoeverre acht u het wenselijk dat medische gegevens conform de Wet bescherming persoonsgegevens verwerkt worden, omdat het nu te vaak voorkomt dat bedrijven en/of organisaties niet weten dat ze gegevens lekken, doordat ontwikkelaars cookies plaatsen en gegevens doorsturen, terwijl zij wel verantwoordelijk zijn?
Ik acht het van groot belang dat alle verwerkingen van alle persoonsgegevens, conform de Wet bescherming persoonsgegevens (Wbp) geschieden. Instanties en organisaties die werken met deze gegevens moeten zich zelf bewust zijn van en zijn ook zelf verantwoordelijk voor het feit dat zij deze gegevens verwerken en daarvoor de juiste maatregelen treffen. Voor het gebruik van cookies gelden wettelijke regels. Dat zijn in de eerste plaats regels uit de Telecommunicatiewet (Tw). De zogenaamde cookiebepaling (artikel 11.7a Telecommunicatiewet (Tw)) bepaalt dat voor het plaatsen en lezen van cookies toestemming nodig is van de betrokkene en dat deze toestemming moet worden verkregen nadat de betrokkene hierover duidelijk en volledig is geïnformeerd.
Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers kan worden gevolgd, geldt het bij amendement Van Bemmel/Van Dam geïntroduceerde rechtsvermoeden dat hierbij sprake is van verwerking van persoonsgegevens. De plaatser van tracking cookies zal dan ook aan de Wbp moeten voldoen, tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt. De plaatser van de cookies is uiteindelijk zelf verantwoordelijk om na te gaan of de wijze waarop hij cookies gebruikt van toestemming is uitgezonderd en anders is ondubbelzinnige toestemming nodig.
De Autoriteit Consument en Markt (ACM) ziet erop toe dat de cookiebepaling wordt nageleefd4. De regels gelden ook voor buitenlandse sites, apps of hulpmiddelen (smart devices) die zich op Nederlandse bezoekers richten. In de tweede plaats zijn het regels uit de Wbp. De Wbp bepaalt dat persoonsgegevens uitsluitend mogen worden verwerkt indien een beroep kan worden gedaan op een van de rechtsgrondslagen in artikel 8 van de Wbp. De AP houdt toezicht op de naleving van de Wbp en de verwerking van persoonsgegevens die het gevolg kan zijn van het plaatsen en het uitlezen van tracking cookies.
Deelt u de mening dat het uw verantwoordelijkheid is om organisaties die bezig zijn met e-health, apps en websites, en het ontwikkelen daarvan, actief te informeren over de risico’s van het gebruik en praktische tips mee te geven over het privacy vriendelijk verwerken van gegeven? Zo nee, kunt u aangeven waarom niet?
Het is de uitdrukkelijke verantwoordelijkheid van partijen zelf om er voor te zorgen dat alle verwerkingen van alle persoonsgegevens, conform de Wet bescherming persoonsgegevens (Wbp) geschieden. Een voorwaarde hiervoor is dat deze instanties en organisaties ook op de hoogte zijn van relevante wet- en regelgeving op dit terrein. Enkele recente casussen laten zien dat het bewustzijn rond de eisen die gelden bij de verwerking van persoonsgegevens in het digitale publieke (gezondheidszorg) domein weleens te kort schiet, vandaar ook dat ik met de leden van het Informatieberaad wil bespreken welke mogelijke extra waarborgen zij kunnen treffen en hoe zij het bewustzijn bij hun achterban kunnen vergroten.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20152016-1904.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.