31 765 Kwaliteit van zorg

Nr. 211 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 21 juni 2016

U heeft mij gevraagd uitgebreid te reageren op het artikel van de NPO van 17 mei 2016 over het bericht dat de Privacywaakhond ziekenhuizen op de vingers tikt. De aanleiding voor het door Autoriteit Persoonsgegevens (AP) verrichte onderzoek waren de diverse berichten in de media en de vele Kamervragen over de werkzaamheden rond het digitaliseren van patiëntendossiers van ziekenhuizen, uitgevoerd door Belgische gevangenen in de gevangenis van Leuven. Hierover heb ik u, naast de antwoorden op Kamervragen, op 16 maart jongstleden een brief gestuurd (Kamerstuk 31 765, nr. 196). Daarin heb ik aangegeven dat vertrouwelijkheid van medische gegevens een kernwaarde en een wettelijk recht is in de zorg die niet ter discussie mag staan. Als deze kernwaarde wordt aangetast, dan wordt het vertrouwen van patiënten ernstig geschaad, raakt het de reputatie van zorgaanbieders en bovenal raakt het direct het vertrouwen van de samenleving in de gezondheidszorg. Het waarborgen van de vertrouwelijkheid is in eerste plaats de verantwoordelijkheid van de bestuurders zelf. Het is terecht dat de AP hier scherp op toeziet. En ook ikzelf onderneem actie om deze kernwaarde te beschermen en ben daarom gestart met een eigen onderzoek naar het gedrag en de cultuur rond de bescherming van patiëntgegevens waarover ik u voor eind van dit jaar informeer.

Ik ben over de uitkomsten van het onderzoek van de AP op 12 mei jongstleden door de vicevoorzitter van de AP Mr. W.B.M. Tomesen schriftelijk op de hoogte gesteld. U ontvangt deze brief van de AP als bijlage bij mijn reactie1. In deze brief staan de uitkomsten van het onderzoek naar het gebruik van bewerkersovereenkomsten die de ziekenhuizen hebben afgesloten met softwarebedrijf iGuana. Helaas moet ik constateren dat de AP concludeert dat niet ieder aangeschreven ziekenhuis een bewerkersovereenkomst had gesloten. Voor zover er wel bewerkersovereenkomsten waren gesloten, voldeden deze bij eerste beschouwing niet (volledig) aan de minimaal te stellen eisen die voortvloeien uit artikel 14 Wet bescherming persoonsgegevens. Dit is uiteraard niet acceptabel.

De AP heeft de aangeschreven ziekenhuizen gemaand om, voor zover nog sprake is van uitbesteding van de verwerking van persoonsgegevens, een bewerkersovereenkomst op te stellen die voldoet aan deze eisen. De AP beziet op dit moment of de reacties van de ziekenhuizen voldoen of dat verdere actie noodzakelijk is.

De Nederlandse Vereniging van Ziekenhuizen (NVZ) is over bevindingen door de AP zelf geïnformeerd, met het verzoek om deze bevindingen nogmaals onder aandacht van de leden te brengen. Verschillende ziekenhuizen hebben inmiddels op hun website een bericht geplaatst waar patiënten informatie kunnen opvragen over de gang van zaken.

Zoals ik in mijn eerdere reacties heb aangegeven, moeten zorginstellingen echt beter aan de slag met het borgen van de vertrouwelijkheid van patiëntgegevens. Ook al vinden de werkzaamheden in de Belgische gevangenis niet meer plaats, voorkomen moet worden dat andere privacyschendingen optreden. Zorgaanbieders moeten op de hoogte zijn door wie en op welke wijze werkzaamheden door derde partijen worden uitgevoerd. Dit moet conform wettelijke eisen vastgelegd zijn in een bewerkersovereenkomst. Patiënten moeten er op kunnen vertrouwen dat de bescherming van medische informatie is gegarandeerd door de ziekenhuizen. Ziekenhuizen en zorgverleners zijn hier in de eerste plaats zelf voor verantwoordelijk en moeten voldoende maatregelen treffen om de veiligheid van medische gegevens te kunnen garanderen en voldoen aan de wettelijke normen die gelden voor de verwerking van persoonsgegevens. De Inspectie voor de Gezondheidszorg heeft inmiddels een brief aan koepels van ziekenhuizen en voor de geestelijke gezondheidszorg gestuurd waarin de Inspectie hen nadrukkelijk op hun verantwoordelijkheid wijst, en tevens aandacht vraagt voor de voorgeschreven handelwijze bij een schending van vertrouwelijkheid van medische informatie. De Inspectie betrekt daarnaast risico’s voor kwaliteit en veiligheid van zorg die samenhangen met de overgang van papieren naar elektronische patiëntendossiers in haar risicogestuurde toezicht.

Om het grote belang van de zorgvuldige omgang met persoonsgegevens te benadrukken en om zaken (verder) te verbeteren, zal ik – zoals eerder aangekondigd – ook zelf onderzoek laten doen naar de vraag op welke wijze zorginstellingen (ziekenhuizen en instellingen voor geestelijke gezondheidszorg) in de dagelijkse praktijk omgaan met de beveiliging van hun patiëntgegevens en hoe hierin verbetering kan worden aangebracht. Mijn onderzoek is gericht op het verankeren van de bescherming van patiëntgegevens in de praktijk van de zorginstelling, in het gedrag van leidinggevenden en medewerkers én in de (aanspreek) cultuur in de zorginstellingen. Het onderzoek schenkt specifiek aandacht aan situaties waarin gewerkt wordt met onderaannemers, bijvoorbeeld voor het digitaliseren van patiëntgegevens waarbij gebruik wordt gemaakt van bewerkersovereenkomsten. Onderdeel van de onderzoeksvraag is of er wijzigingen in wet- en regelgeving noodzakelijk zijn. Het onderzoek zal geen oordeel vellen of individuele instellingen voldoen aan de wettelijke eisen. Dit is de bevoegdheid van de AP. Voor het eind van het jaar zal ik u nader informeren over de uitkomsten van dit onderzoek.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers

X Noot
1

Raadpleegbaar via www.tweedekamer.nl

Naar boven