Vragen van het lid Slootweg (CDA) aan de Ministers van Volksgezondheid, Welzijn en Sport en van Binnenlandse Zaken en Koninkrijksrelaties over het bericht dat de IRMA-app wordt gebruikt in een huisartsenpost (ingezonden 12 november 2019).

Vraag 1

Heeft u kennisgenomen van het bericht «Medipark Uden gaat live met HiX»?1

Vraag 2

Klopt het bericht dat patiënten van Medipark Uden via het geïntegreerde online Zorgportaal eenvoudig en veilig hun herhaalmedicatie kunnen aanvragen op basis van de actuele medicatie van de patiënt?

Vraag 3

Klopt het dat de patiënten van Medipark Uden dit doen door in te loggen via I Reveal My Attributes (IRMA) op het online portaal?

Vraag 4

Klopt het dat IRMA een applicatie is die patiënten in staat stelt om zelf online aan te geven welke gegevens zij wel en niet willen delen, een methode die de privacy beschermt door «privacy by design»?

Vraag 5

Klopt het dat in de meest recente nationale en Europese wetgeving «privacy by design» wordt vereist voor nieuwe ICT-systemen?

Vraag 6

Is het juist dat Medipark Uden te horen heeft gekregen dat gebruik van IRMA in strijd is met artikel 87 van de Algemene Verordening Gegevensbescherming (AVG), artikel 46 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) en de wet Elektronisch Berichtenverkeer (wet EBV)?

Vraag 7

Klopt het dat op basis van de huidige wetgeving patiënten van Medipark Uden eigenlijk alleen via DigiD mogen inloggen?

Vraag 8

Klopt het dat wanneer Medipark Uden DigiD zou gebruiken voor elektronische identificatie, zij 14 eurocent zou moeten betalen voor elke succesvolle inlog?2

Vraag 9

Klopt het dat deze 14 eurocent per inlog gaan naar het bedrijf Logius, dat dan de beheerder is van de gegevens van de burger?

Vraag 10

Klopt het dat de AVG, de UAVG en de wet EBV alleen toestemming verlenen aan DigiD omdat de firma Logius, als beheerder van de gegevens van de burger, als enige toestemming heeft om Burger Service Nummers (BSN) van burgers te verwerken?

Vraag 11

Overtreden lokale overheden of – zoals in het geval van Medipark – zorgaanbieders de wet wanneer een burger zich middels de IRMA-app identificeert?

Vraag 12

Kunt u uitleggen op welke wijze de stichting achter IRMA het BSN verwerkt?

Vraag 13

Wat is uw opvatting over attribuut gebaseerde authenticatie als wijze van elektronische identificatie?

Vraag 14

Kunt u voorbeelden geven van een app die een rechtspersoon of een natuurlijk persoon is?

Vraag 15

Wanneer iemand een BSN intypt op een tekstverwerker en diegene gebruikmaakt van Microsoft, dient Microsoft als verwerker van het BSN dan ook een wettelijke grondslag te hebben?

Vraag 16

Waarom zijn volgens u de gegevens van de burger, die nu in handen zijn van het overheidsbedrijf Logius (door het gebruik van DigiD), veiliger en betrouwbaarder belegd dan wanneer ze in handen van de burger zelf blijven, wanneer hij of zij zich elektronisch identificeert via het gebruik van de persoonlijke kluis van IRMA?

Vraag 17

Heeft u, mede in het licht van de Wet Digitale Overheid, bezwaar tegen het gebruik van IRMA in de zorg, zoals nu bijvoorbeeld gerealiseerd door Medipark Uden? Zo ja, hoe gaat u vormgeven aan uw bezwaar?

X Noot
1

ICT & health, 3 oktober 2019, «Medipark Uden gaat live met HiX» (https://www.icthealth.nl/nieuws/medipark-uden-gaat-live-met-hix/).

X Noot
2

Volkskrant, 24 september 2017, «DigiD gaat geld vragen aan gebruikers – dat gaat pensioenfondsen 2 miljoen euro extra kosten» (https://www.volkskrant.nl/economie/digid-gaat-geld-vragen-aan-gebruikers-dat-gaat-pensioenfondsen-2-miljoen-euro-extra-kosten~b8528cc3/).

Naar boven