31 765 Kwaliteit van zorg

Nr. 196 SBRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 maart 2016

In de Regeling van Werkzaamheden van 2 maart jongstleden (Handelingen II 2015/16, nr. 59, Regeling van Werkzaamheden) heeft u mij gevraagd u nader te informeren over de wijze waarop de bescherming van patiëntgegevens wordt geborgd.

De afgelopen maanden zijn er diverse berichten in de media verschenen over het onzorgvuldig omgaan met privacygevoelige gegevens van patiënten binnen, of door ziekenhuisorganisaties. De vertrouwelijkheid van medische informatie en de vertrouwelijke omgang met patiëntgegevens is in de gezondheidszorg essentieel en is een kernwaarde voor zowel patiënten als zorgaanbieders. Ziekenhuizen en zorgverleners zijn hier in eerste plaats zelf voor verantwoordelijk en moeten voldoen aan Europese en nationale wettelijke voorschriften. Ze moeten voldoende maatregelen treffen om de veiligheid van medische gegevens te kunnen garanderen en voldoen aan de wettelijke normen die gelden voor de verwerking van persoonsgegevens. Als deze kernwaarden worden aangetast, dan wordt het vertrouwen van patiënten ernstig geschaad en bovenal raakt het direct het vertrouwen van de samenleving in de gezondheidszorg. Overigens zal het ook een negatieve weerslag op de reputatie van de zorgaanbieders hebben. Daarom vraagt bescherming van patiëntgegevens binnen zorginstellingen nauwgezette en doorlopende aandacht. In deze brief beschrijf ik welke acties op dit punt ingezet zullen worden.

Zoals gezegd vind ik de vertrouwelijkheid van medische gegevens een kernwaarde in zorg die niet ter discussie mag staan.

De Autoriteit Persoonsgegevens (AP) is ter zake de toezichthouder en heeft op 16 februari 2016 nog een brief aan de Raden van Bestuur van zorginstellingen gestuurd waarin zij worden gevraagd zich te beraden op de stand van zaken van de beveiliging van patiëntgegevens en daar waar nodig gepaste maatregelen te nemen. Deze brief werd gestuurd naar aanleiding van een diepgaand onderzoek dat de AP eerder deed bij zorginstellingen naar de toegang tot de gegevens van patiënten in elektronische patiëntendossiers. De AP constateerde destijds dat de technische en organisatorische maatregelen bij de onderzochte instellingen onvoldoende waren, waardoor veel meer mensen dan alleen de bevoegde medewerkers toegang hadden tot digitale patiëntendossiers. Er bleken bij deze instellingen intensieve verbetertrajecten nodig om de overtredingen te beëindigen.

Om het grote belang de zorgvuldige omgang met persoonsgegevens te benadrukken en om zaken (verder) te verbeteren, zal ik ook zelf onderzoek laten doen naar de vraag op welke wijze zorginstellingen (ziekenhuizen en instellingen voor geestelijke gezondheidszorg) in de dagelijkse praktijk omgaan met de beveiliging van hun patiëntgegevens en hoe hierin verbetering kan worden aangebracht. Het is mijns inziens vooral de kunst om het belang van de bescherming van patiëntgegevens verankerd te krijgen in de praktijk van de zorginstelling, in het gedrag van leidinggevenden en medewerkers én in de (aanspreek) cultuur in de zorginstellingen. Ik zal zeer binnenkort overleggen met de koepels van de ziekenhuizen en GGZ-instellingen over welke exacte onderzoeksvraag het meest behulpzaam zal zijn om het doel te realiseren. De onderzoeksvraag zal aansluiten op de resultaten uit de campagne van de Nederlandse Vereniging van Ziekenhuizen (NVZ) die liep van 26 oktober tot 6 november 2015. De NVZ-campagne met de naam ZEKER stimuleerde bewustwording en eigen verantwoordelijkheid bij het omgaan met gevoelige informatie. In ieder geval vind ik het belangrijk dat in het onderzoek specifiek aandacht wordt besteed aan de wijze van omgaan met incidenten van schending van de bescherming van patiëntgegevens, die zich nu eenmaal altijd onverhoopt voor kunnen doen. In dit verband noem ik ook de meldplicht datalekken die sinds 1 januari jl. van kracht is. En ook zal -naar aanleiding van de specifieke berichtgeving- aandacht geschonken worden aan de situaties waarin gewerkt wordt met onderaannemers, bijvoorbeeld voor het digitaliseren van patiëntgegevens, en aan de bescherming van gegevens die worden gebruikt ten bate van wetenschappelijk onderzoek. Ik zal uw Kamer over de uitkomsten van dit onderzoek eind 2016 informeren.

Meer specifiek heeft uw Kamer gevraagd om informatie over de werkzaamheden rond het digitaliseren van patiëntendossiers van ziekenhuizen, uitgevoerd door Belgische gevangenen in de gevangenis van Leuven. Zoals ik in mijn eerdere antwoorden op verschillende Kamervragen reeds heb aangegeven, vind ik uitvoering van deze werkzaamheden door Belgische gevangenen, hoewel in principe legaal, een onwenselijke situatie. De onduidelijkheid van de al dan niet zorgvuldige omgang met patiëntgegevens vraagt om opheldering. Zorgaanbieders moeten op de hoogte zijn door wie en op welke wijze werkzaamheden door derde partijen worden uitgevoerd. Dit moet vastgelegd zijn in een bewerkersovereenkomst. Patiënten moeten er op kunnen vertrouwen dat de bescherming van medische informatie is gegarandeerd door de ziekenhuizen.

Navraag bij verschillende partijen leert dat het uitvoeren van deze werkzaamheden in gevangenissen momenteel niet meer voorkomt. De werkzaamheden die in de gevangenis zijn uitgevoerd, betroffen het verwijderen van nietjes, paperclips en omslagen. Het scannen zelf gebeurde niet in de gevangenis. Deze werkzaamheden zijn uitgevoerd vanaf 2009 tot en met februari 2015. In de periode dat dossiers in de gevangenis van Leuven werden voorbereid, zijn er opdrachten verricht voor in totaal negen Nederlandse ziekenhuizen. Het scanklaar maken van de dossiers in de gevangenis, viel deels onder de verantwoordelijkheid van de Belgische overheid. Het bedrijf dat verantwoordelijk is voor de werkzaamheden geeft aan hiervoor gecertificeerd te zijn. Deze certificering gold ook voor de werkprocessen in de gevangenis.

De regels voor de omgang met en opslag van bijzondere persoonsgegevens, zoals medische gegevens van patiënten, zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving en kan dit zo nodig met (bestuursrechtelijke) sancties afdwingen. De AP laat zich over de gang van zaken in de Belgische gevangenis (specifiek inzake de zogenoemde bewerkersovereenkomsten) nader informeren om te bezien of er sprake is van overtredingen. De AP heeft ook contact gehad met de Belgische toezichthouder, die eerder al een onderzoek startte.

De Inspectie voor de Gezondheidszorg (IGZ) ziet toe op de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging in de zorg, voor zover die raakt aan kwaliteit en veiligheid van zorg. Het gaat hierbij om:

  • De Wet Kwaliteit, Klachten en Geschillen Zorg (Wkkgz). Dit is het raamwerk dat voorschrijft dat zorgaanbieders gehouden zijn goede zorg te leveren.

  • NEN 7510 – dit is de leidraad voor veilige omgang met informatie in de gezondheidszorg.

  • NEN 7512 – dit is de leidraad voor gegevensuitwisseling.

  • NEN 7513 – dit is de leidraad voor het vastleggen van acties op elektronische patiëntdossiers.

De Inspectie is dientengevolge niet bevoegd om toezicht te houden op de Wbp, maar heeft wel een samenwerkingsprotocol met de AP waarin zij wederzijdse afspraken hebben gemaakt over de wijze van samenwerking voor het uitoefenen van toezicht op de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer binnen de gezondheidszorg. In dat kader zal de Inspectie nadrukkelijk aandacht vragen om de informatieveiligheid van medische gegevens te borgen en de naleving van de genoemde relevante wet- en regelgeving. De Inspectie stuurt in dat kader op zeer korte termijn een brief aan koepels van ziekenhuizen en voor de geestelijke gezondheidszorg waarin zij nadrukkelijk op hun verantwoordelijkheid worden gewezen, en tevens aandacht wordt gevraagd voor de voorgeschreven handelwijze bij een schending van vertrouwelijkheid van medische informatie. De Inspectie betrekt risico’s voor kwaliteit en veiligheid van zorg die samenhangen met de overgang van papieren naar elektronische patiëntendossiers in haar risicogestuurde toezicht.

Ik zal tenslotte bezien of de regelgeving ter zake aanscherping behoeft. Bewerking van de dossiers door gevangenen acht ik onwenselijk, maar kan zoals gezegd legaal zijn. Ik ben van mening dat we dit in de toekomst moeten voorkomen en zal bezien op welke wijze dit het beste kan.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers

Naar boven