Handeling
| Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
|---|---|---|---|---|
| Tweede Kamer der Staten-Generaal | 2012-2013 | nr. 10, item 3 |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
3 Vragenuur
Vragen van het lid Bruins Slot aan de minister van Volksgezondheid, Welzijn en Sport over het bericht "Groene Hart Ziekenhuis lekt medische dossiers".
Mevrouw Bruins Slot (CDA):
Voorzitter. Afgelopen weekend lagen tientallen medische dossiers en gegevens van bijna een half miljoen mensen op straat. Het ging om gegevens als de medicatie en de dossiers van de patiënten. Het ging om gegevens van de partner en het burgerservicenummer; al die informatie die enorm tot je privéleven behoort. Wat was er aan de hand? Een hacker kreeg toegang tot een slecht beveiligde computer van het Groene Hart Ziekenhuis en kon in één keer al die informatie van het internet plukken. Het is maar goed dat die hacker hiervan melding heeft gemaakt en er niet verder voordeel van heeft getrokken. In het ziekenhuis ben je kwetsbaar en daar behoor je je veilig te voelen. Het gaat er dan ook om dat je gegevens in veilige handen zijn. Patiëntveiligheid betekent niet alleen je handen wassen of je ring afdoen, het betekent ook dat jouw gegevens echt in veilige handen zijn. Daarom stel ik de volgende vragen aan de minister.
Hoogleraar privacyrecht Zwenne van de Universiteit Leiden sprak over het topje van de ijsberg. Wat is de mening van de minister daarover? Verwacht ook zij dat dit slechts een deel is van wat er werkelijk misgaat?
Een tijd terug is er een risico-inventarisatie gemaakt door de IGZ, de Inspectie voor de Gezondheidszorg. Wat is de stand van zaken rond de uitvoering hiervan? Wordt het geen tijd voor een herhaling van deze risico-inventarisatie?
Wat doet de inspectie in de praktijk van het dagelijks toezicht om op dit soort zaken controle te houden?
Minister Schippers:
Voorzitter. Het staat buiten kijf dat persoonsgegevens afdoende beveiligd moeten zijn. Voor medische gegevens geldt dat al helemaal. Patiënten moeten erop kunnen vertrouwen dat hun gegevens goed zijn beschermd. Ik vind het dan ook heel ernstig dat de gegevens van zo veel patiënten zo makkelijk waren in te zien. We hebben wetten en regels en toezichthouders om medische gegevens daadwerkelijk te beschermen. Ziekenhuizen zijn zelf verantwoordelijk voor een goede beveiliging van hun systemen. Het is in eerste instantie aan het College bescherming persoonsgegevens (CBP) om handhavend op te treden als er sprake is van onvoldoende bescherming of beveiliging of van misbruik van persoonsgegevens. Het College bescherming persoonsgegevens heeft dan ook actie ondernomen om inzicht te krijgen in de ontstane situatie. Op basis daarvan zal het adequaat handelen. Samen met onder meer de Inspectie voor de Gezondheidszorg (IGZ), het College bescherming persoonsgegevens, de Cyber Security Raad, politie en justitie zal worden gezocht naar maatregelen om herhaling te voorkomen. Verder gaat de inspectie bij het Groene Hart Ziekenhuis, maar ook bij andere ziekenhuizen, na of aanvullende acties moeten worden ondernomen. Men onderzoekt het dus eerst en dan kijken we of er aanvullende acties moeten worden ondernomen.
Overigens zijn volgens de verklaring van 8 oktober van de raad van bestuur van het Groene Hart Ziekenhuis de dossiers van 52 mensen ingezien. Dat is zorgelijk. Dat aantal van 52 is al zorgelijk genoeg. Het Groene Hart Ziekenhuis heeft de intentie om deze 52 personen te benaderen en hen daarvan op de hoogte te stellen. Daarvoor moet het eerst die zaken aan elkaar koppelen en in overleg met het CBP bekijken of dat mag en op welke wijze het dat juridisch goed kan doen.
Kortom, ik betreur echt dat de medische gegevens van patiënten zo op straat hebben gelegen. De toezichthouders die we daarop hebben gezet, zijn in actie gekomen wat betreft het ziekenhuis zelf, maar ook wat betreft NEN 7510, die we voor alle ziekenhuizen hebben. Ik zal de inspectie ook vragen of die NEN-norm voldoende is om dit überhaupt te voorkomen.
Mevrouw Bruins Slot (CDA):
Daar gaat het natuurlijk om: is die regelgeving voldoende om alles te kunnen voorkomen? Uiteindelijk gaat ook dit namelijk weer om cultuur en bewustwording. We kunnen nog zulke mooie regelgeving maken, maar als ziekenhuizen en andere partijen het niet in praktijk brengen, dan wordt het niets. Het baart mij zorgen dat de inspectie vorig jaar nog een audit heeft gedaan bij dit ziekenhuis en dat het daarvoor geslaagd is, ondanks het feit dat die slecht beveiligde computer er toen ook al stond. De minister laat nu toezicht en onderzoek uitvoeren. Zijn die alleen op dit ziekenhuis gericht of gaat het College bescherming persoonsgegevens breed kijken naar alle medische instellingen, dus niet alleen naar de ziekenhuizen maar ook naar alle andere medische instellingen? Is de minister het met mij eens dat medische gegevens gegevens van de patiënt zijn en niet van de dokter? En kunnen mensen aan wie nu om een opt-in wordt gevraagd voor de koppeling van gegevens tussen ziekenhuizen en apotheken, er blind op vertrouwen dat het goed geregeld is? Wil de minister die toezegging doen?
Minister Schippers:
De laatste vraag hangt samen met de eerste. We hebben wetten, regels en normen en we hebben toezichthouders die daarop toezien, maar uiteindelijk moet het ziekenhuis die goed toepassen. Onze toezichthouders moeten kijken of ze procesmatig aan dingen voldoen, maar als er ergens een hiaat is, kun je dat vanuit Den Haag dus niet voorkomen. Wat je wel kunt doen, en wat ik ook doe, is niet alleen het Groene Hart Ziekenhuis aanspreken en doorlichten over de vraag hoe dit heeft kunnen gebeuren, maar het ook breder trekken. De inspectie heeft heel breed, bij alle ziekenhuizen, een audit uitgevoerd over de vraag hoe zij dit hadden gedaan. De ziekenhuizen die niet voldeden, moesten er beter aan voldoen. Bij mij heeft dit de volgende vraag opgeroepen: zijn de normen waaraan ziekenhuizen moeten voldoen, dan wel streng genoeg of is hier iets anders misgegaan? Voor het antwoord daarop heb ik eerst de gegevens van onze toezichthouders nodig over wat er hier precies is gebeurd. Als blijkt dat de norm NEN 7510 niet voldoende is, moeten we die norm aanpassen. Het kan echter ook zijn dat er bij dit ziekenhuis iets anders mis was. Dat moeten we eerst afwachten.
Mevrouw Bruins Slot (CDA):
Dan blijft echter boven alles hangen dat de minister nu niet kan zeggen of het goed of slecht is geregeld bij andere ziekenhuizen en medische instellingen. Ziet het onderzoek daar ook op? En, ten slotte, wanneer zijn de resultaten van het onderzoek bekend? Het CDA vindt echt dat al die medische gegevens van de mensen zelf zijn. Het is uiteindelijk een patiëntendossier en geen doktersdossier. Daar moet iedereen in de zorg zich bewust van zijn.
Minister Schippers:
Dat laatste onderschrijf ik. Wij hebben vele debatten gehad over elektronische uitwisseling van gegevens. Die gegevens blijven van de patiënt, ze zijn van niemand anders. Daarom moeten wij er ook voor zorgen dat wij in ieder geval wet- en regelgeving hebben die dat zo veel mogelijk beschermt. Mevrouw Bruins Slot vraagt of het goed geregeld is. Wij hebben met elkaar geconstateerd dat het helemaal niet zo goed geregeld is, vandaar dat wij ons afgevraagd hebben of wij niet een landelijk schakelpunt moeten hebben en of wij de eisen voor al onze systemen niet moeten verscherpen op basis van de hoogste en strengste regels op Europees niveau. Wij hebben met elkaar geconstateerd dat het antwoord "ja" is. Dus moet het bij al die instellingen een tandje beter. Dat geldt ook voor de huisarts en de apotheker, voor iedereen die de gegevens uitwisselt.
Mevrouw Bouwmeester (PvdA):
De minister gaf net aan dat het wat de patiëntgegevens betreft, zeker beter kan en beter moet. In dit geval was de inspectie heel alert. Zij heeft een tijd geleden gezien dat het niet goed ging in het ziekenhuis. Wij zijn nu ruim een jaar verder en toch gaat het weer mis. Mijn vraag gaat over het College bescherming persoonsgegevens. Is de IGZ, toen zij constateerde dat het niet goed ging, in overleg getreden met het College bescherming persoonsgegevens om te vragen op welke manier zij dit ziekenhuis aanbevelingen diende te geven en hoe zij een en ander kon controleren?
Minister Schippers:
Sterker nog, er is een her-audit geweest. In die her-audit heeft men het groene vinkje gekregen. Wij moeten het onderzoek afwachten om vast te stellen wat er mis is gegaan. Zijn er onderdelen niet bij betrokken? Ligt het aan het ziekenhuis? Of zijn de audits niet streng genoeg? Ik kan hierop nu geen antwoord geven, juist omdat de toezichthouders momenteel bezig zijn om dit voor mij boven tafel te halen.
Mevrouw Straus (VVD):
Ook wij kunnen alleen maar constateren dat het ziekenhuis heel onprofessioneel gehandeld heeft. Ik ben heel benieuwd naar de uitkomst van het onderzoek. Het lijkt alsof er door het ziekenhuis onvoldoende prioriteit gegeven is aan de bescherming van medische gegevens. In hoeverre is er een relatie met het elektronisch patiëntendossier of het landelijk schakelpunt? De minister stipte dit onderwerp al even aan.
Minister Schippers:
Dit was echt het systeem van het ziekenhuis zelf. Voor mij is dit een motivatie om juist via het landelijk schakelpunt en via de activiteiten die in dat kader gaande zijn, het elektronisch patiëntendossier naar een hoger plan te tillen. Dit heeft dus helemaal niets te maken met al die debatten die wij gehad hebben over het LSP en het epd. In dit geval gaat het om individuele ziekenhuissystemen die onvoldoende toegerust zijn.
Mevrouw Leijten (SP):
De relatie tussen de overheid en ICT is een drama, maar de relatie zorginstellingen versus ICT is ook een drama. Vele honderden miljoenen euro's worden besteed aan te dure systemen die zo lek als een mandje zijn. Wanneer gaat de minister er eens voor zorgen dat de ziekenhuizen de benodigde patiëntengegevens goed en veilig opslaan? Dat de minister wegloopt voor haar verantwoordelijkheid, vind ik al te gortig.
Minister Schippers:
Ik ben ontzettend blij met deze vraag van de SP. Dat is namelijk de hele motivatie voor het hele landelijke schakelpunt en het elektronisch patiëntendossier. Daarmee nemen wij onze verantwoordelijkheid en zeggen wij: wij moeten een veel beter systeem hebben. Laten wij alsjeblieft een keer een einde maken aan al die houtje-touwtjesystemen die wij nu in het land hebben.
De heer Krol (50PLUS):
Ik zou zo graag van de minister willen weten of de hacker die dit naar voren heeft gebracht, een bloemetje of strafvervolging verdient.
Minister Schippers:
Met de manier waarop dit is gegaan, namelijk vernietigen van wat je hebt ingezien, maar wel aantonen dat het niet deugt, ben ik als minister van Volksgezondheid blij. Hoe het verder juridisch zit, weet ik niet. Ik ben echter blij met dit signaal, want hierdoor weten wij dat het niet deugt.
Mevrouw Pia Dijkstra (D66):
Ik steun de minister als zij zegt dat wij een beter systeem moeten hebben en dat het LSP beter is. Dit is bij één ziekenhuis bloot komen te liggen. Hebben wij zicht op de vraag hoe het bij die andere houtje-touwtjesystemen gaat? Kunnen wij verwachten dat dit vaker gebeurt? Wat doet de minister op dit terrein?
Minister Schippers:
Er is een audit geweest van de inspectie. Uit de eerste audit bleek dat dit ziekenhuis niet aan de normen voldeed. Het ziekenhuis heeft een her-audit gekregen en kwam daar doorheen. Mijn vraag is dus: wat is er misgegaan? Heeft het ziekenhuis iets toch niet goed geïmplementeerd of iets laten liggen, of deugde de audit niet? Daarop kan ik niet vooruitlopen. Ik moet afwachten wat de toezichthouders bij het Groene Hart Ziekenhuis constateren om te weten waaraan dit gelegen heeft.
Mevrouw Klever (PVV):
Ik zou graag van de minister willen weten waar de betrokken patiënten, wier gegevens op straat liggen, een klacht kunnen indienen. Gaat de minister ook communiceren waar zij hun klachten kunnen indienen?
Minister Schippers:
Het betreft 52 patiënten. Helaas weten die patiënten het nog niet, omdat wij de gegevens die zijn ingezien, moeten koppelen aan de persoonsgegevens van die patiënt. Dit moet gebeuren in overleg met het College bescherming persoonsgegevens om het juridisch op de juiste manier te doen. Als dat gebeurd is, kan er contact worden opgenomen met deze patiënten. Dan kan worden bekeken wat er eigenlijk is gebeurd. Heeft de hacker, zoals hij zelf heeft gemeld, alles meteen vernietigd en was het hem er alleen om te doen om dit aan te tonen?
Mevrouw Klever (PVV):
Voorzitter.
De voorzitter:
Nee, mevrouw Klever, sorry. U hebt alleen gelegenheid voor het stellen van één korte vraag.
Ik dank de minister voor de beantwoording en voor haar komst naar de Kamer.
Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20122013-10-3.html