27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg

Nr. 127 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 14 november 2013

In de vaste commissie voor Volksgezondheid, Welzijn en Sport bestond bij enkele fracties behoefte een aantal vragen ter beantwoording voor te leggen aan de Minister van Volksgezondheid, Welzijn en Sport over de brief van 21 juni 2013 over naleving van de Wet bescherming persoonsgegevens (Wbp) in verband met de lopende overeenkomst tussen de Vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ) en Computer Sciences Corporation (CSC) (Kamerstuk 27 529, nr. 125).

De op 13 september 2013 toegezonden vragen zijn met de door de Minister bij brief van 13 november 2013 toegezonden antwoorden, voorzien van een inleiding, hieronder afgedrukt.

De voorzitter van de commissie, Neppérus

De adjunct-griffier van de commissie, Clemens

Inhoudsopgave

blz.

     

I.

Vragen en opmerkingen vanuit de fracties

2

II.

Reactie van de Minister

8

I. VRAGEN EN OPMERKINGEN VANUIT DE FRACTIES

Vragen en opmerkingen van de PvdA-fractie

Inleiding

De leden van de fractie van de PvdA hebben met belangstelling kennisgenomen van de brief van de Minister waarin uiteengezet wordt hoe de naleving van de Wet bescherming persoonsgegevens (Wbp) geborgd wordt in de lopende overeenkomst tussen de Vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ) en Computer Sciences Corporation (CSC) betreffende het Landelijk Schakelpunt (LSP). Deze leden zien het belang van uitwisseling van zorggegevens tussen zorgverleners voor het leveren van goede zorg, maar deze uitwisseling moet wel veilig zijn en de patiënt moet altijd de baas zijn over eigen gegevens.

(Aanvullende) afspraken VZVZ met CSC

De leden van de PvdA-fractie hebben in de brief van de Minister d.d. 7 februari 2013 (Kamerstuk 27 529, nr. 123) al vernomen dat de VZVZ en CSC gezamenlijk hebben vastgesteld dat het lopende contract naleving van de Nederlandse (privacy) wet- en regelgeving voldoende borgt met betrekking tot het beheer van het Landelijk Schakelpunt. Naleving van de wet- en regelgeving is als voorwaarde opgenomen in het contract met CSC. In verband met de geuite zorgen over de bevoegdheden van buitenlandse overheden ten aanzien van CSC, heeft de VZVZ als aanvullende afspraak in het contract opgenomen dat CSC zich verplicht tot het opvolgen van aanwijzingen van de toezichthouder op het LSP, het College bescherming persoonsgegevens (CBP). Genoemde leden vragen of dit betekent dat aanwijzingen van de Nederlandse toezichthouder te allen tijde moeten worden opgevolgd door CSC, ook als deze in strijd zijn met eventuele aanwijzingen van buitenlandse overheden waar CSC onder valt. Kan er op basis van deze aanvullende afspraak gegarandeerd worden dat privacygevoelige gegevens van patiënten niet zonder expliciete toestemming van het CBP ter beschikking kunnen komen van buitenlandse overheden?

De leden van de fractie van de PvdA hebben er kennis van genomen dat de Minister ten gevolge van de gemaakte afspraken tussen de VZVZ en CSC van mening is dat de VZVZ de opvolging van relevante wet- en regelgeving heeft geborgd in haar contractafspraken met CSC, dat de VZVZ een passende invulling geeft aan haar verantwoordelijkheid en dat de Minister het CBP hiervan op de hoogte heeft gesteld. Deze leden vragen nog wel in hoeverre ervoor wordt gezorgd dat de Nederlandse privacy wet- en regelgeving ook wordt geborgd in de privaatrechtelijke overeenkomsten die de VZVZ sluit met zorgaanbieders en wie hierop toezicht houdt. In hoeverre wordt de veiligheid van patiëntgegevens en de privacy van patiënten gewaarborgd in alle privaatrechtelijke overeenkomsten? Welke eisen zullen hieraan worden gesteld en door wie?

De leden van de PvdA-fractie hebben er kennis van genomen dat het LSP nu alleen nog gegevens bevat van degenen die expliciet toestemming hebben gegeven aan hun zorgaanbieders voor het mogen uitwisselen van gegevens via de zorginfrastructuur. Zal dit op termijn ook zo geregeld blijven? Wat wordt precies bedoeld met «inzage in hoe iemand staat geregistreerd»? Wie heeft deze inzage? Hoe en door wie wordt vervolgens bepaald of inzage in zorggegevens is toegestaan? Wat wordt precies bedoeld met «persoonlijk toestemmingsprofiel»? Kan de patiënt kiezen wie inzage heeft en wie niet? Mag een patiënt dit altijd van tevoren beslissen? Wordt de patiënt na toestemming voor opname in het LSP bij elke uitbreiding van inzage door additionele zorgverleners om toestemming gevraagd? Mag een patiënt te allen tijde zijn toestemming intrekken en wordt het dossier dan verwijderd? Hoe worden patiënten hierover eerlijk geïnformeerd? Wat is de volgorde van invoering? Met andere woorden; wordt er altijd eerst toestemming aan de patiënt gevraagd voor uitbreiding van toegang voor additionele zorgverleners plaatsvindt?

De leden van de fractie van de PvdA hebben vernomen dat patiëntgegevens, behalve het BSN van de patiënt, niet centraal op het LSP worden opgeslagen. Ook hebben zij vernomen dat gegevens die van het LSP getransporteerd worden naar zorgaanbieders tijdens het transport worden versleuteld. Deze leden vragen wat beide maatregelen concreet betekenen voor de kraakgevoeligheid van de gegevens. In hoeverre maakt deze maatregel de opgeslagen gegevens minder toegankelijk voor krakers? Welk niveau van encryptie wordt hierbij gehanteerd en is de encryptie en beveiliging van de gegevensstroom onderhavig aan onafhankelijke audits? Wat voor invloed heeft het op de privacy van gegevens als zorgverleners als fysiotherapeuten, psychologen en psychiaters in de toekomst ook toegang krijgen tot het LSP? In hoeverre worden deelnemers aan het systeem eerlijk geïnformeerd over zowel de voor- als nadelen van deelname? Op welke manier gebeurd dat en heeft de Minister de indruk dat deze informatie goed wordt begrepen, ook door personen met lage gezondheidsvaardigheden?

Visie CBP

De leden van fractie van de PvdA hebben vernomen dat het CBP in reactie op de contractuele afspraken tussen de VZVZ en CSC van mening is dat naleving van de Wbp onder verantwoording valt van de VZVZ, en dat de VZVZ zelf dient te bepalen of inschakeling van CSC zorgt voor de gewenste naleving van de Wbp. Het CBP stelt dat de VZVZ de contractuele relatie met CSC dient op te zeggen of aan te passen indien niet wordt voldaan aan wet- en regelgeving. Deze leden vragen in hoeverre de VZVZ in staat is om correcte naleving van de Wbp door het CSC af te dwingen. Genoemde leden vragen ook in hoeverre de Amerikaanse Patriot-wetgeving samen met de Wbp gehandhaafd kan worden door CSC, zonder dat beide wetgevingen botsen of tot belangenverstrengeling leiden. Het CBP lijkt het toezicht hierop neer te willen leggen bij de VZVZ. De leden van de PvdA-fractie zijn bezorgd over deze rol voor de VZVZ.

Welke instrumenten heeft de VZVZ voor dit toezicht? En hoe is de VZVZ in staat om op een onafhankelijke manier te oordelen over naleving van de Wbp door CSC? Welke ondersteuning kan zij hierin krijgen? En wat is het scenario mocht blijken dat CSC bij nader inzien niet aan de contractuele verplichtingen met betrekking tot de wet- en regelgeving kan voldoen? Hoe gaat het dan verder met het LSP en wat gebeurt er met de privacygevoelige gegevens van patiënten? Waar begint en eindigt de verantwoordelijkheid van de Minister in dezen?

De leden van de PvdA-fractie hebben tevens kennisgenomen van het CBP-rapport «Toegang tot digitale patiëntendossiers binnen zorginstellingen» waaruit blijkt dat er binnen onderzochte zorginstellingen tekortkomingen zijn op het gebied van autorisatie van zorgmedewerkers, administratief-ondersteunende medewerkers en controle van logging. Het stemt deze leden positief dat deze zorginstellingen inmiddels afspraken hebben gemaakt met het CBP over verbeteringen en dat er bij algemene maatregel van bestuur eisen worden gesteld aan een hoge mate van beveiliging van toegang tot gegevens, zodat patiënten kunnen vertrouwen op het zorgvuldig omgaan met hun privacygevoelige gegevens en dat achteraf altijd transparantie kan worden geboden betreffende wie op welk moment toegang heeft gehad tot de gegevens. Genoemde leden benadrukken nogmaals dat de patiënt altijd de baas moet zijn over eigen gegevens.

Europese aanbesteding

De leden van de fractie van de PvdA hebben kennisgenomen van het feit dat bij een openbare Europese aanbesteding Amerikaanse ondernemingen, zoals CSC, niet kunnen worden uitgesloten van deelname. Deze leden hebben ook vernomen dat zelfs indien de VZVZ in de toekomst zou overstappen naar een Europese leverancier, dit niet uitsluit dat de Europese leverancier overgenomen kan worden door Amerikaanse ondernemingen. Genoemde leden benadrukken dat altijd scherp in de gaten gehouden moet worden of privacygevoelige patiëntgegevens niet in verkeerde handen kunnen vallen en dat in het licht van eventuele overnames verschuivingen tussen leveranciers door de VZVZ goed getoetst moeten worden aan de Nederlandse wet- en regelgeving.

Algemene verordening gegevensbescherming

De leden van de PvdA-fractie hebben kennisgenomen van de ontwikkelingen in de onderhandelingen omtrent de Algemene verordening gegevensbescherming. Deze leden zijn verheugd te vernemen dat deze onderhandelingen ook betrekking hebben op de doorgiften van persoonsgegevens aan derde landen. Zij vragen of en in hoeverre deze onderhandelingen en de daaruit volgende Algemene verordening gegevensbescherming kunnen leiden tot een verdere verankering en bescherming van privacygevoelige gegevens van Nederlandse patiënten.

Vragen en opmerkingen van de PVV-fractie

De leden van de PVV-fractie hebben met teleurstelling kennisgenomen van de brief van de Minister. Opnieuw wordt verantwoordelijkheid afgeschoven naar private partijen die uit zijn op winst en geen oog hebben voor de privacy van burgers. Deze leden hebben daarom de volgende vragen aan de Minister.

De leden van de PVV-fractie vragen of de Minister zich wel bewust is van haar eigen verantwoordelijkheid om te voorkomen dat medische gegevens van patiënten op straat komen te liggen. Deze leden willen van de Minister horen waarom zij de Wet bescherming persoonsgegevens niet hoger plaatst dan de wet op openbare Europese aanbesteding. Kan de Minister uitleggen waarom zij de privacybescherming van de Nederlandse burgers links laat liggen waardoor de kans bestaat dat medische gegevens aan derde landen worden doorgegeven? Is de Minister het met de leden van de PVV-fractie eens dat de VZVZ een boete zou moeten krijgen wegens incompetentie door het inschakelen van het Amerikaanse CSC?

De leden van de PVV-fractie stellen vast dat de problemen rondom veiligheid en privacy van het LSP zich alleen maar uitbreiden en niet op te lossen zijn. Het LSP moet daarom per direct opgeheven worden en er moet worden overgeschakeld naar een persoonlijke zorgpas voor de patiënt. Wanneer gaat de Minister dit faciliteren?

Vragen en opmerkingen van de SP-fractie

De leden van de SP-fractie hebben kennisgenomen van de brief van de Minister over de naleving van de Wet bescherming persoonsgegevens in verband met de lopende overeenkomst tussen de Vereniging van zorgaanbieders voor zorgcommunicatie en Computer Sciences Corporation. Hieronder zullen genoemde leden ingaan op punten die niet helder zijn of waarover zij zich ongerust maken.

In februari van dit jaar schreef de Minister dat CSC zich heeft verplicht om te voldoen aan de Wet bescherming persoonsgegevens. Ook schreef zij dat de toezichthouder voor de Wbp het College bescherming persoonsgegevens is. De Minister schrijft echter in juni dat het College bescherming persoonsgegevens heeft aangegeven dat de VZVZ verantwoordelijk is voor de naleving van de Wbp. De leden van de SP-fractie kunnen de brieven uit februari en juni niet rijmen met elkaar en vragen om een uitleg.

De leden van de SP-fractie vragen op welke wijze het CBP haar functie als toezichthouder invult als zij een dergelijke verantwoordelijkheid legt bij de VZVZ. De leden van de SP-fractie vragen of het verantwoord is om een privaat orgaan toezicht te laten houden op een publieke wet.

Daarnaast bevreemdt het de leden van de SP-fractie dat een partij die onderdeel is van een overeenkomst (namelijk de VZVZ), de risico’s voor inschakeling van het Amerikaanse bedrijf CSC bepaalt, die de andere partner is van de overeenkomst. Deze leden vragen of het niet wenselijker zou zijn als deze risico-inschatting zou gebeuren door een onafhankelijke instantie die de publieke belangen behartigt. In hoeverre is er hier sprake van de slager die zijn eigen vlees keurt?

Buitenlandse inmenging

De leden van SP-fractie hebben zorgen over buitenlandse inmenging in (de infrastructuur van) Nederlandse en vertrouwelijke patiëntgegevens. Deze leden hebben daarom de vraag waarom er een aanbesteding heeft moeten plaatsvinden en waarom deze openbaar moest zijn. Zij vragen welke mogelijkheden er dan wel zijn om buitenlandse ondernemingen uit te kunnen sluiten.

Is het juist dat het Amerikaanse bedrijf CSC (Nederlandse) patiëntgegevens mag en zal leveren aan de National Security Agency (NSA) als de NSA hierom vraagt, zo willen de leden van de SP-fractie weten. Deze leden willen ook weten of de NSA op dit moment al toegang heeft tot het Landelijk Schakelpunt, al dan niet vanwege de Patriot Act. Daarnaast willen genoemde leden graag weten wat de Minister gaat doen om te voorkomen dat Nederlandse en vertrouwelijke patiëntgegevens in buitenlandse handen vallen.

Op 20 december 2012 stelde de Minister in een algemeen overleg met de Kamer dat zij «er bovenop zat» en «garanties wilde van het bedrijf» (CSC). De leden van de SP-fractie vragen om welke garanties is gevraagd en welke garanties uiteindelijk zijn gegeven. Ervan uitgaande dat niet alle garanties gegeven zijn, vernemen deze leden graag waarom bepaalde garanties niet gegeven konden worden.

De leden van de SP-fractie vragen wat er gebeurt als vertrouwelijke, Nederlandse patiëntgegevens terecht komen in buitenlandse handen. Wie is hiervoor verantwoordelijk, wat doet de Minister en hoe snel kan een datalek worden opgelost, zo willen deze leden weten.

Landelijk Schakelpunt

De leden van SP-fractie vragen of de patiëntgegevens die worden uitgewisseld via de infrastructuur van het LSP wel veilig zijn. De vraag is tevens of een versleuteling van gegevens voldoende veiligheid kan bieden. Eerder noemden privacy- en ICT-experts het LSP een onveilig systeem vanwege het gebrek aan een goed autorisatiemodel. Deze leden vragen of deze zorgen inmiddels weg zijn te nemen.

Uit onderzoek van het CBP is gebleken dat privacybescherming in de zorg sterk te wensen overlaat. De leden van de SP-fractie vragen of de Minister dit kan onderschrijven en waarom. Het is bekend dat het CBP handhavend gaat optreden. Genoemde leden willen graag weten hoe dit handhavend optreden er concreet uitziet, bijvoorbeeld welke boetes er worden gegeven. Tevens vragen zij wat de Minister eraan doet om de privacybescherming te verbeteren, als er sprake is van onzorgvuldigheid bij zorginstellingen, maar ook van onveiligheid van de infrastructuur en bij aanverwante bedrijven. Deze leden vragen daarom of er gegarandeerd kan worden dat patiëntgegevensuitwisseling op dit moment veilig en verantwoord is.

De leden van SP-fractie vragen wat de inschrijvingen voor het LSP nu zijn. Wat is het percentage aangesloten artsen, andere zorgverleners, apotheken en personen? Deze leden willen weten hoeveel huisartsen geen gebruik maken van het LSP sinds 1 januari van dit jaar. Hoeveel huisartsen zijn uit het systeem gegaan die eerst wel waren aangesloten? Tevens willen deze leden weten wat het totale aantal dossiers is dat nu is opgeslagen in het LSP. De leden van de SP-fractie ontvangen graag een gespecificeerd overzicht.

Inspectie voor de Gezondheidszorg

De leden van de SP-fractie willen weten welke rol de Inspectie voor de Gezondheidszorg (IGZ) heeft gespeeld als toezichthouder naast het CBP. Wat vindt de inspectie van het feit, dat het CBP heeft aangegeven dat de VZVZ verantwoordelijk is voor de naleving van de Wbp. Op welke wijze wordt het patiëntbelang gediend door een dergelijke schimmige constructie van private en buitenlandse ondernemingen, zo vragen de leden van de SP-fractie.

Europa

De leden van de SP-fractie vragen naar de stand van zaken in Europa wat betreft de Algemene verordening gegevensbescherming. Deze leden hebben begrepen dat er vooral vanuit het Ministerie van Veiligheid en Justitie aan deze verordening wordt gewerkt en zij vragen daarom wat de bemoeienis is van het Ministerie van Volksgezondheid, Welzijn en Sport, omdat het hier gaat om specifieke gegevens.

Is de naleving en handhaving van de Wet bescherming persoonsgegevens gegarandeerd, zo vragen de leden van de SP-fractie, omdat de Europese verordening nog niet af is en er veel onrust en onduidelijkheid is omtrent de veiligheid van patiëntengegevens en de uitwisseling daarvan in ons land.

Vragen en opmerkingen van de CDA-fractie

De leden van de CDA-fractie danken de Minister voor de nadere informatie. Genoemde leden hebben nog een tweetal vragen.

De Minister geeft aan dat de geheimhouding van de informatie contractueel tussen de VZVZ en CSC is afgedekt. De leden van de CDA-fractie vragen echter of de aard van de Patriot Act juist niet is dat deze wetgeving ook van kracht is ondanks dat er contractuele verbindingen zijn. Hoe ziet de Minister dit?

Verder vragen deze leden hoe de VZVZ moet handelen als zij een verzoek van de Amerikaanse overheid krijgt om informatie beschikbaar te stellen.

Vragen en opmerkingen van de D66-fractie

De leden van de D66-fractie hebben met verontrusting kennisgenomen van de brief van de Minister over de naleving van de Wet bescherming persoonsgegevens in verband met de lopende overeenkomst tussen de Vereniging van zorgaanbieders voor zorgcommunicatie en Computer Sciences Corporation. Deze leden maken zich grote zorgen over de bescherming van medische persoonsgegevens en hebben verschillende vragen en opmerkingen. Zij verwachten van de Minister dat zij een meer actieve en voortvarende positie inneemt bij het beschermen van medische persoonsgegevens en het beperken van privacy-risico’s.

De leden van de D66-fractie constateren dat volgens het College bescherming persoonsgegevens de VZVZ als verantwoordelijke voor het Landelijk Schakelpunt, zelf verantwoordelijk is voor de naleving van de Wbp. Deze leden zetten in dat kader grote vraagtekens bij de overeenkomst van de VZVZ met het Amerikaanse bedrijf CSC. Zij achten het risicovol dat de Amerikaanse overheid op basis van de Patriot Act toegang zou kunnen krijgen tot de medische gegevens uit het elektronisch patiëntendossier (EPD).

De leden van de D66-fractie constateren dat reeds eerder naar de Kamer is gecommuniceerd dat de VZVZ van CSC een verklaring heeft geëist, waarin staat dat het risico is uitgesloten dat de inhoud van medische dossiers wordt verstrekt aan Amerika. Deze leden hebben ook vernomen dat hieromtrent aanvullende afspraken zijn gemaakt tussen de VZVZ en CSC. Zij vragen of de Minister kan aangeven wat er precies in de verklaring en de aanvullende afspraken is opgenomen. Genoemde leden achten het onwaarschijnlijk dat dergelijke afspraken boven Amerikaanse wetgeving zouden gaan. Deze leden vragen de Minister expliciet toe te lichten waarom dit het geval zou zijn. Zij vragen de Minister hierbij ook het onderzoek van het Instituut voor Informatierecht (IvIR) over de Patriot Act en Nederlandse data te betrekken.1 Acht de Minister het in strijd met de Wbp als medische gegevens toch in handen kunnen vallen van buitenlandse overheden? Indien dit niet het geval is, vragen deze leden de Minister er via wetgeving voor te zorgen dat medische gegevens onder geen beding in handen mogen vallen van buitenlandse overheden. De leden van de D66-fractie vinden het voorts onwenselijk dat op de website van de VZVZ niet gecommuniceerd wordt over de verklaring of de aanvullende afspraken tussen de VZVZ en CSC. Zij vragen of de Minister bereid is de VZVZ daar op aan te spreken.

De leden van de D66-fractie hebben met verbazing kennisgenomen van de selectieve samenvatting van het advies van de landsadvocaat over het uitsluiten van Amerikaanse bedrijven bij openbare Europese aanbestedingen. Deze leden lezen in het advies dat bedrijven niet kunnen worden uitgesloten op basis van het «enkele feit» dat zij Amerikaans zijn. Genoemde leden constateren echter wel dat volgens de landsadvocaat bij een openbare aanbesteding de eis kan worden gesteld dat partijen de nationale en Europese privacyregels naleven. Deelt de Minister de mening van de leden van de D66-fractie dat deze eis gesteld zou moeten worden om te voldoen aan de naleving van de Wbp? Is de Minister bereid de VZVZ erop te wijzen dat de wet deze mogelijkheid biedt? Is de Minister bereid van de VZVZ te vragen het huidige contract met CSC te beëindigen en over te gaan op een leverancier die de nationale en Europese privacyregels te allen tijde kan naleven?

De leden van de D66-fractie vragen of de Minister kennis heeft genomen van het bericht dat de NSA beschikt over zogenaamde masterkeys die gebruikt kunnen worden om encryptie te ontcijferen. Op welke wijze haalt de Minister dan garanties uit de suggestie dat gegevens tijdens het transport versleuteld worden?

Tot slot vragen de leden van de D66-fractie of de Minister het idee heeft dat het CBP voldoende is toegerust om de belangrijke taak van privacy in de zorg en de bescherming van medische persoonsgegevens uit te voeren. Kan de Minister aangeven hoeveel capaciteit hiervoor op dit moment beschikbaar is?

II. REACTIE VAN DE MINISTER

Met uw Kamer ben ik van mening dat bij elektronische uitwisseling van gegevens de veiligheid van groot belang is. Niet alleen de vertrouwelijkheid van de gegevens maar ook de privacy van de patiënt vragen om een goede bescherming van de elektronische gegevensuitwisseling. In deze brief zal ik ingaan op de vragen van uw Kamer, waarbij ik de vragen per onderwerp zal beantwoorden.

Allereerst wil ik opmerken dat de verantwoordelijke (beheerder) ongeacht welk systeem wordt gebruikt, ervoor zorg moet dragen dat de uitwisseling veilig is en voldoet aan de Wet bescherming persoonsgegevens (Wbp). Uw vragen hebben betrekking op één van die systemen: het Landelijk Schakelpunt (het LSP), beheerd door de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ). Ook het LSP, moet voldoen aan de eisen die de Wbp stelt.

Mijn verantwoordelijkheid richt zich op het creëren van randvoorwaarden waaronder veilige elektronische gegevensuitwisseling kan plaatsvinden. Op verzoek van de Eerste Kamer (Motie Y van het lid Tan, Kamerstuk 31 466) heb ik geen inhoudelijke of financiële bemoeienis meer met systemen voor elektronische gegevensuitwisseling in de zorg. De verantwoordelijkheid voor het LSP (voorheen het EPD), heb ik in 2012 overgedragen aan de VZVZ. Wel heb ik op verzoek van de Eerste Kamer een wetsvoorstel opgesteld en bij uw Kamer ingediend, waarin eisen worden gesteld aan de elektronische uitwisseling van gegevens in de zorg.

In algemene zin zij opgemerkt dat alle elektronische uitwisselingssystemen in de zorg moeten voldoen aan de eisen die daaraan worden gesteld in relevante wetgeving, waaronder de eerdergenoemde Wbp en de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Het College Bescherming Persoonsgegevens (CBP) houdt toezicht op het gebruik van persoonsgegevens en de Inspectie voor de Gezondheidszorg (IGZ) op het leveren van verantwoorde zorg. Mochten de toezichthouders daartoe aanleiding zien dan kunnen zij handhavend optreden.

Algemene Verordening gegevensbescherming

Zoals u weet betreft het vraagstuk van de Patriot Act alle maatschappelijke sectoren. In Brussel wordt onderhandeld over een Algemene verordening gegevensbescherming. Deze verordening zal een nieuw kader bevatten voor grensoverschrijdende doorgifte van persoonsgegevens. Daarbij wordt ook aandacht geschonken aan doorgifte van gegevens op grond van eenzijdige verplichtingen op basis van buitenlands recht van derde staten. De Europese Commissie gaat ervan uit dat een redelijk evenwicht is te bieden tussen de dilemma’s waarin bedrijven zich soms kunnen bevinden en de bescherming van persoonsgegevens.

Namens het kabinet houdt de Staatssecretaris van Veiligheid en Justitie uw Kamer periodiek op de hoogte van de voortgang met betrekking tot de onderhandelingen over de Algemene verordening gegevensbescherming. De Staatssecretaris heeft uw Kamer bij brieven van 26 april en 2 september 2013 (Kamerstuk 32 761, nrs. 48 en 51) uitgebreid geïnformeerd over de stand van zaken van deze onderhandelingen, met inbegrip van dat deel van de onderhandelingen dat betrekking heeft op de doorgifte van persoonsgegevens aan derde landen.

Indien er sprake is van een verzoek om informatie dient ook de VZVZ zich te houden aan de Nederlandse wetgeving en daarmee de Wbp. Zolang de nieuwe Verordening nog niet in werking is getreden moet voldaan worden aan de Wbp en de huidige Privacyrichtlijn.

Toezichthouder versus verantwoordelijke

Uit uw vragen leid ik af dat er verwarring is ontstaan over rolverdeling tussen het CBP en de VZVZ voor wat betreft het toezicht op de veiligheid van het LSP. Voorop staat dat de beheerder van een elektronisch uitwisselingssysteem zorg moet dragen voor de veiligheid van de uitwisseling en het systeem. Dit geldt voor alle systemen voor elektronische gegevensuitwisseling in de zorg en is niet specifiek voor het LSP. De beheerder is in eerste instantie de verantwoordelijke en moet ervoor zorgen dat zijn systeem en de gegevensuitwisseling in overeenstemming is met de wet. Het CBP houdt toezicht op de naleving van de wet door de beheerder. Er is sprake van een eerste verantwoordelijkheid voor de beheerder en een controlerende en handhavende verantwoordelijkheid voor het CBP. Oftewel de verantwoordelijke moet ervoor zorgen dat het systeem veilig is en het CBP kan dit controleren en handhavend optreden indien dat niet het geval is. Er is dan ook geen sprake van een slager die zijn eigen vlees keurt of van enkel privaat toezicht.

In antwoord op de vraag van de leden van de PVV-fractie of ik het ermee eens ben dat de VZVZ een boete zou moeten krijgen wegens incompetentie door het inschakelen van het Amerikaanse CSC wil ik dan ook nogmaals aangeven dat het CBP handhavend kan optreden als zij van mening is dat niet wordt voldaan aan de geldende wet- en regelgeving. Op welke gronden een sanctie kan worden opgelegd door het CBP, is geregeld in hoofdstuk 10 van de Wbp.

De leden van de SP-fractie vragen naar het standpunt en de rol van de IGZ. De inspectie houdt toezicht op het leveren van verantwoorde zorg. De IGZ kan handhavend optreden indien zij van mening is dat de geleverde zorg niet verantwoord is. Uw vragen hebben met name betrekking op het gebruik (of misbruik) van persoonsgegevens. Hierop houdt het CBP toezicht. Voor eventuele overlap in de toezichthoudende taken hebben beide partijen een samenwerkingsprotocol afgesloten.

In de memorie van toelichting van het wetsvoorstel dat ik bij uw Kamer heb ingediend ben ik in paragraaf 1.6 uitgebreid ingegaan op de vraag hoe het toezicht en de handhaving van de bij dit wetsvoorstel gegeven regels vorm zal krijgen.

Het onderzoek van het CBP2 naar privacybescherming in de zorg waar meerdere fracties aan refereren is gericht op de toegangsbeveiliging van interne systemen en niet op elektronische uitwisselingssystemen. De onderzochte zorginstellingen hebben afspraken gemaakt met het CBP om de wijze van toegangsverlening voor medewerkers tot patiëntendossiers en de controle op die toegang te verbeteren. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het CBP handhavend optreden.

Of het CBP in een specifieke situatie capaciteit inzet voor het toezicht op het elektronisch uitwisselen van medische gegevens, bepaalt het CBP aan de hand van prioriteringscriteria. De prioriteringscriteria zijn erop gericht om de capaciteit van het CBP zo efficiënt en effectief mogelijk in te zetten. In de Beleidsregels handhaving door het CBP heeft het CBP deze prioriteringscriteria vastgesteld en heeft het keuzes in het toezicht inzichtelijk gemaakt.

Toestemming

Door uw Kamer zijn vragen gesteld over het geven van toestemming door de patiënt voor inzage in en raadpleging van zijn gegevens via een elektronisch uitwisselingssysteem. Ook wordt gevraagd naar de rechten van de patiënt rond het geven van toestemming.

In het eerdergenoemde wetsvoorstel zoals dat bij uw Kamer is ingediend, is vastgelegd dat voorafgaande aan opname van gegevens, expliciete toestemming van de patiënt vereist is. Expliciete toestemming zal dus, op grond van dit wetsvoorstel, ook in de toekomst gelden. Overigens is ook zonder dit wetsvoorstel voor de uitwisseling van medische gegevens toestemming nodig op grond van de WGBO.

De rechten die patiënten hebben op basis van de huidige wet- en regelgeving (de Wbp en de WGBO) gelden ook voor elektronische gegevensuitwisseling. Zo heeft de patiënt ook zonder dat er sprake is van elektronische gegevensuitwisseling het recht zijn zorgverlener te vragen bepaalde gegevens te verwijderen of af te schermen voor inzage. Wat betreft het geven van toestemming voor het beschikbaar stellen van gegevens biedt het genoemde wetsvoorstel de cliënt de mogelijkheid generieke, beperkte of geen toestemming te verlenen om zijn gegevens beschikbaar te stellen via een elektronisch uitwisselingssysteem. In geval van generieke toestemming, verleent de cliënt toestemming voor het elektronisch ter beschikking stellen van zijn gegevens aan zijn behandelend zorgaanbieder en alle andere zorgaanbieders die zijn aangesloten op het elektronisch uitwisselingssysteem en waarmee deze cliënt nu of in de toekomst een behandelrelatie heeft. Als de cliënt geen toestemming geeft, is elektronische uitwisseling van zijn gegevens in zijn geheel niet mogelijk. Daar tussenin geeft het wetsvoorstel in artikel 15a, tweede lid Wbsn-z, de mogelijkheid om de toestemming te beperken tot bepaalde (categorieën van) zorgaanbieders.

Belangrijk is dat de zorgaanbieder die een cliënt om toestemming vraagt, op grond van het voorgestelde artikel 15c, eerste lid Wbsn-z, de cliënt informatie geeft over zijn rechten bij de elektronische gegevensuitwisseling waarvoor toestemming wordt gevraagd.

Dit betekent dat de cliënt moet worden voorgelicht over het feit dat hij zijn toestemming altijd kan intrekken, de reikwijdte van zijn toestemming kan wijzigen (beschikbaar stellen aan meer of minder zorgaanbieders) en ook over het feit dat het geven van generieke toestemming betekent dat bij uitbreiding van het systeem naar meerdere zorgaanbieders, de toestemming automatisch ook geldt voor die nieuwe zorgaanbieders die worden aangesloten.

Of en wanneer nieuwe toestemming aan een bepaalde cliënt moet worden gevraagd, zal afhangen van de vraag of een cliënt al dan niet generieke toestemming heeft gegeven. Daarnaast is het zo dat een zorgaanbieder zich in het kader van goede zorg altijd zal moeten afvragen of het nodig is cliënten opnieuw voor te lichten over het geven van toestemming en het eventueel beperken van die toestemming bij belangrijke wijzigingen of uitbreidingen van het elektronisch informatiesysteem. Cliënten kunnen dan opnieuw een bewuste keuze maken en een eerdere generieke toestemming beperken, of juist eerder gemaakte uitsluitingen opheffen.

Uw Kamer stelt mij daarnaast een aantal vragen die meer specifiek betrekking hebben op het geven van toestemming in relatie tot het gebruik van het LSP. Zoals aangegeven is het LSP een elektronisch uitwisselingssysteem dat wordt beheerd door een private partij – de VZVZ – en heb ik geen rechtstreekse bemoeienis met dit systeem.

Van de VZVZ heb ik begrepen dat de zorgaanbieders een overeenkomst afsluiten met en lid worden van de vereniging VZVZ. In deze overeenkomst is vastgelegd dat zorgaanbieders toestemming moeten vragen aan de patiënt voor het beschikbaar stellen van de gegevens.

De patiënt moet dus per zorgaanbieder toestemming geven. Wanneer toestemming is gegeven worden de gegevens beschikbaar gesteld en zijn ze opvraagbaar door geautoriseerde zorgaanbieders. Deze toestemming beperkt zich tot de regio waar de zorgaanbieder onderdeel van uit maakt.

Daarnaast wordt binnen de VZVZ aan patiënten de mogelijkheid geboden om via het klantenloket inzage te krijgen in wie heeft gegevens aangemeld en wie heeft gegevens opgevraagd. Het betreft hier dus niet het dossier zelf. Deze mogelijkheid is zowel via een papieren procedure als online (via een beveiligd portaal met DigiD/SMS) beschikbaar.

Europese aanbesteding

Zoals ik u in mijn brief van 21 juni 2013 heb aangegeven vloeien de huidige contracten met CSC voort uit een openbare Europese aanbesteding. De Minister van Binnenlandse Zaken en Koninkrijksrelaties heeft uw Kamer (brief van 16 april 2013, Kamerstuk 26 643, nr. 274) een advies van de landsadvocaat gestuurd waarin staat dat bij een aanbesteding Amerikaanse ondernemingen niet kunnen worden uitgesloten. Openbare aanbesteding is een wettelijke verplichting en bij die aanbesteding mag geen onderscheid worden gemaakt naar land van oorsprong of eigendom van een bedrijf.

Dit betekent niet dat daarmee de wetgeving op het terrein van aanbesteding boven de Wbp wordt gesteld. Partijen moeten zowel voldoen aan de wetgeving op het terrein van aanbesteding als aan de Wbp. Bij aanbesteding van opdrachten waarbij aan de Wbp dient te worden voldaan, moet dit blijken uit de gunningscriteria: inschrijvers moeten dan aantonen dat zij aan de Wbp kunnen voldoen.

Voor wat betreft de vraag of de VZVZ op de hoogte is van de mogelijkheid in de aanbesteding op te nemen dat de opdrachtnemer moet voldoen aan wet- en regelgeving heb ik u in mijn brief van 7 februari 2013 (Kamerstuk 27 529, nr. 123) gemeld van VZVZ het volgende te hebben vernomen. VZVZ en CSC hebben vastgesteld dat in het lopende contract de naleving van de Nederlandse (privacy) wet- en regelgeving voldoende is geborgd, doordat dit als voorwaarde is gesteld. CSC heeft zich hiermee verplicht te voldoen aan onder andere de Wbp bij het beheer van het LSP.

Overtreding van de Wbp wordt in het contract aangemerkt als wanprestatie en is reden voor ontbinding van het contract en schadeloosstelling.

Zorgpas

Het gebruik van een elektronische zorgpas is in 2011 onderzocht, de resultaten zijn in december 2011 naar beide Kamers gestuurd. Zoals ik u bij de aanbieding van het onderzoek meldde, is een belangrijke conclusie van het onderzoek dat opslag van medische gegevens op lokale gegevensdragers als een USB-stick of een zorgpas stand-alone geen afdoende toegang tot het medisch dossier biedt. Gelet op deze conclusie is besloten het gebruik van de zorgpas niet te faciliteren. Wel wordt onder verantwoordelijkheid van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) gewerkt aan de mogelijke invoering van het eID (elektronische identiteit) stelsel, dat veilig en makkelijk online zakendoen met overheid en webwinkels mogelijk maakt. Binnen dit stelsel heeft de overheid het voorstel, een DigiD-kaart aan burgers uit te reiken. Deze kaart heeft een hoog beveiligingsniveau, dat onder andere geschikt is voor het betrouwbaar toegang geven tot privacygevoelige informatie, als de gebruiker dat wilt.

Onderzocht wordt ook wat de mogelijkheden hiervoor binnen de zorgsector zijn, alsmede voor de zorgconsument. De Minister van BZK is hiervoor primair het aanspreekpunt. De Minister van BZK zal de kamer binnenkort uitgebreid informeren over de uitwerking en invoering van het eID Stelsel en de DigiD-kaart.

Veiligheid van gegevens

Verantwoordelijken voor uitwisselingssystemen dienen maatregelen te nemen om de betrouwbaarheid van het systeem en de vertrouwelijkheid van de gegevens te waarborgen. Dat geldt zowel voor het LSP als voor alle andere mogelijke elektronische uitwisselingssystemen. De wijze waarop dit gebeurt is aan de verantwoordelijke en wordt getoetst door de toezichthouder CBP. De gegevens die via het LSP en zorgaanbieders worden uitgewisseld worden tijdens het transport versleuteld. Daarnaast worden er in het LSP zelf, behalve het BSN van de patiënt, geen dossiers opgeslagen. Er is geen sprake van een databank met medische dossiers, maar enkel een verwijsindex. De aansluiting van andere zorgaanbieders zoals fysiotherapeuten brengt geen verandering in het systeem als zodanig. Ook blijft gelden dat bij uitbreidingen moet worden voldaan aan de Wbp. Ongeautoriseerde toegang door onbevoegden, zoals ook de NSA, dient te worden voorkomen. Hoewel een 100% garantie op een veilige uitwisseling voor geen enkel systeem kan worden gegeven is het wel van belang dat de beveiliging op orde is. Er moet door de verantwoordelijke voor het systeem permanent een afweging gemaakt worden tussen het belang van informatie-uitwisseling en de veiligheid. De beveiliging dient zo goed mogelijk te zijn en moet aansluiten bij de stand der techniek.

Het openbaar maken van de informatie over de beveiliging van een systeem is aan de verantwoordelijke. Welke vorm van encryptie de VZVZ gebruikt is mij niet bekend. De VZVZ heeft mij wel laten weten dat het LSP periodiek ge-audit wordt door een onafhankelijke partij.

Afspraken VZVZ en CSC

Met mijn brief van 7 februari 2013 (Kamerstuk 27 529, nr. 123) heb ik u en het CBP geïnformeerd over de afspraken die de VZVZ als verantwoordelijke voor het LSP heeft gemaakt met CSC. De reactie van het CBP heb ik hierbij bijgevoegd (zie bijlage3).

De leden van uw Kamer vragen in hoeverre de veiligheid van patiëntgegevens en de privacy van patiënten gewaarborgd wordt in de privaatrechtelijke overeenkomsten die de VZVZ sluit en welke eisen hieraan worden gesteld en door wie. Uw Kamer vraagt voorts of op basis van de aanvullende afspraken tussen VZVZ en CSC gegarandeerd kan worden dat privacygevoelige gegevens van patiënten niet zonder expliciete toestemming van het CBP ter beschikking kunnen komen van buitenlandse overheden.

Net als bij andere private partijen ben ik niet op de hoogte van de inhoud van de afspraken tussen de VZVZ en CSC (of tussen de VZVZ en zorgaanbieders). Het is ook niet aan mij om deze te beoordelen, daarvoor hebben wij toezichthouders. Overigens heeft de VZVZ het doorstartmodel voorgelegd aan het CBP en heeft het CBP daarin geen aanleiding gezien tot het maken van opmerkingen.

Van de VZVZ heb ik begrepen dat in het lopende contract de naleving van de Nederlandse (privacy) wet- en regelgeving voldoende is geborgd, doordat dit als voorwaarde is gesteld. CSC heeft zich hiermee verplicht te voldoen aan onder andere de Wbp bij het beheer van het landelijk Schakelpunt (LSP). Overtreding van de Wbp wordt in het contract aangemerkt als wanprestatie en is reden voor ontbinding van het contract en schadeloosstelling.

Het feit dat de VZVZ de contractuele afspraken met CSC heeft getoetst op het voldoen aan de verplichtingen van onder andere de Wbp toont mijns inziens aan dat de VZVZ zich bewust is van haar verantwoordelijkheid en hier passend invulling aan geeft. De verantwoordelijken van elektronische uitwisselingssystemen, waar de VZVZ als beheerder van het LSP er één van is, moeten voldoen aan de Wbp waarin is bepaald wanneer gegevens mogen worden verstrekt.

Indien de VZVZ een verzoek krijgt om gegevens te verstrekken moet de VZVZ dit verzoek toetsen aan Nederlandse wet- en regelgeving. Er hoeft op grond van de Wbp geen toestemming te worden gevraagd aan het CBP. Overigens heb ik van de VZVZ begrepen dat zij nog nooit een dergelijk verzoek hebben ontvangen.

Het LSP

De leden van SP-fractie vragen wat de inschrijvingen voor het LSP nu zijn. Van de VZVZ heb ik begrepen dat het aantal aangesloten zorgverleners per week 41 is:

Aangesloten huisartsenpraktijken

2.749

(67% van het totaal aantal huisartsenpraktijken)

Aangesloten apotheken

1.507

(75% van het totaal aantal apotheken)

Aangesloten huisartsenposten

103

(80% van het totaal aantal huisartsenposten)

Aangesloten ziekenhuizen

17

(19% van het totaal aantal ziekenhuizen)

Tevens willen deze leden weten wat het totale aantal dossiers is dat nu is opgeslagen in het LSP. Het LSP bevat alleen een BSN van de patiënt en geen dossiers. Op dit moment zijn er ongeveer 856.059 huisartsgegevens raadpleegbaar en 450.590 medicatiegegevens.

In totaal hebben 1.156.010 burgers toestemming gegeven aan hun huisarts en/of apotheker om deze gegevens beschikbaar te stellen.

Op grond van de huidige wet- en regelgeving kan ik het verzoek van de leden van de PVV-fractie de doorstart van het EPD te beëindigen niet honoreren. Als zou blijken dat het gebruik van het LSP, niet voldoet aan de geldende wet- en regelgeving is het aan de toezichthouder, het CBP, hierop actie te ondernemen. Overigens geldt dit voor alle vormen van elektronische informatie-uitwisseling in de zorg.


X Noot
1

«Cloud diensten in hoger onderwijs en onderzoek en de USA Patriot Act», Instituut voor Informatierecht, 2012.

X Noot
2

Toegang tot digitale patiëntendossier binnen zorginstellingen, juni 2013.

X Noot
3

Ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.

Naar boven