| Ingediend | 2 februari 2016 |
|---|---|
| Beantwoord | 16 maart 2016 (na 43 dagen) |
| Indiener | Renske Leijten |
| Beantwoord door | Ard van der Steur (minister justitie en veiligheid) (VVD), Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD) |
| Onderwerpen | gezondheidsrisico's zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2016Z02078.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-1895.html |
Net als de FBI stelt, kan ik mij voorstellen dat de inhoud van digitale medische dossiers waarde kan hebben voor commerciële doeleinden. Zeker ook in het licht van de steeds verder toenemende mogelijkheden om databestanden met verschillende data slim te combineren tot interessante big data. Dat is ook de reden dat de standaarden van de beveiliging van deze data, op een hoog niveau van beveiliging moeten liggen.
De informatiebeveiliging van patiëntgegevens moet voldoen aan Europese en nationale wettelijke voorschriften. De regels voor bijvoorbeeld de omgang met, de opslag en de beveiliging van persoonsgegevens zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Voor bijzondere persoonsgegevens (zoals gegevens betreffende iemands gezondheid) stelt de Wbp extra eisen. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving en kan dit zo nodig met (bestuursrechtelijke) sancties afdwingen. Op 15 februari heeft de AP in een open brief aan de Raden van Bestuur van zorginstellingen in Nederland nogmaals aandacht gevraagd voor de bescherming van patiëntgegevens.
Ter invulling van de eisen beschrijft de veldnorm NEN 7510 over informatiebeveiliging in de zorg maatregelen die zorginstellingen moeten treffen om via een gecontroleerd proces op adequate wijze met (medische) gegevens om te gaan. De norm is van toepassing op alle organisaties in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Via de AMvB die behoort bij de Wet voor het gebruik van het BSN in de zorg heeft de NEN 7510 een verplichtend karakter gekregen. De AP ziet toe op de naleving van de norm. De Inspectie voor de Gezondheidszorg (IGZ) ziet alleen toe op de naleving van de norm voor zover deze direct verbonden is met de kwaliteit en veiligheid van zorg. De AP en de IGZ hebben een samenwerkingsprotocol waarin zij wederzijdse afspraken hebben gemaakt over de wijze van samenwerking voor het uitoefenen van toezicht op de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer binnen de gezondheidszorg.
Zie antwoord vraag 1.
Zorginstellingen zijn wettelijk verplicht om veilig om te gaan met medische persoonsgegevens. Veilige omgang en informatiebeveiliging van medische persoonsgegevens is daarom ook één van de terugkerende thema’s van het Informatieberaad. Het realiseren van structurele aandacht voor dit onderwerp is voor mij belangrijker dan attendering van zorgpartijen op elke publicatie over dit thema. Dit neemt niet weg dat de AP in een open brief aan de Raden van Bestuur van zorginstellingen nogmaals aandacht heeft gevraagd voor de bescherming van patiëntgegevens. Ook zal de IGZ de Nederlandse Federatie van Universitair Medische Centra en de Nederlandse Vereniging van Ziekenhuizen een brief sturen om ziekenhuizen op hun verantwoordelijkheid te wijzen rond de beveiliging van patiëntgegevens.
In het kader van verbetering van de informatiebeveiliging wordt door leden van het Informatieberaad gewerkt aan de ontwikkeling van een ZORG-Cert, een Computer Emergency Response Team, dat zich richt op het voorkomen en genezen van netwerk gerelateerde veiligheidsincidenten. Dit is één van de uitkomsten van de bespreking in het Informatieberaad om het risico dat gegevens in verkeerde handen komen te beperken.
De informatiebeveiliging van patiëntgegevens moet voldoen aan Europese en nationale wettelijke voorschriften. Ziekenhuizen en zorgverleners zijn hier zelf verantwoordelijk voor en moeten voldoende maatregelen treffen om de veiligheid van medische gegevens te kunnen borgen. De AP ziet toe op de naleving. Zowel de AP als de IGZ zien toe op de veldnorm, de NEN 7510, over informatiebeveiliging in de zorg wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig omgaan met medische persoonsgegevens. Zie ook mijn antwoord op vraag 2.
Ik heb geen inzicht in het aantal zorgorganisaties en ziekenhuizen dat de afgelopen vijf jaar te maken heeft gekregen met problemen in de beveiliging van hun elektronische datasystemen en apparaten, waardoor de privacy en/of de (persoonlijke) gegevens van cliënten en patiënten in gevaar zijn geweest.
Ook navraag bij het Openbaar Ministerie leert dat geen gegevens bekend zijn over persoonlijke medische gegevens die in handen van criminelen terecht gekomen zijn.
In 2013 heeft de AP onderzoek gepubliceerd naar de wijze waarop zorginstellingen aan medewerkers toegang verlenen tot digitale patiëntendossiers. Voor de scope en uitkomsten van het onderzoek verwijs ik naar de website van AP2. Hierin zijn negen uiteenlopende instellingen opgenomen, waarbij de AP aanwijzingen heeft gegeven tot verbeteringen. Tegelijkertijd concludeerde AP dat de problematiek naar verwachting breder speelde. In reactie hierop zijn door de brancheorganisaties handreikingen opgesteld om de beveiliging van medische gegevens te verbeteren.
Sinds 1 januari 2016 geldt er een meldplicht voor datalekken. Organisaties moeten een melding doen bij de AP zodra zij een ernstig datalek hebben en passende maatregelen treffen. De AP registreert de gemelde datalekken in een niet openbaar register. Ook de IGZ houdt geen openbare registratie hiervan bij.
Ook voor de uitwisseling van persoonsgegevens tussen meerdere partijen, via bijvoorbeeld een landelijk schakelpunt, zoals het LSP, gelden de regels over de omgang van persoonsgegevens zoals vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Het is aan de AP om te oordelen in hoeverre praktijksituaties als deze aan wet- en regelgeving voldoen. Daarnaast moeten partijen ook hier voldoen aan de NEN 7510. Verder ligt het Wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens ter behandeling voor in de Eerste Kamer. Dit wetsvoorstel regelt de randvoorwaarden bij elektronische uitwisseling van gegevens tussen zorgaanbieders. In een algemene maatregel van bestuur (AMvB) behorend bij het wetsvoorstel worden op grond van artikel 26 Wbp specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling in zijn algemeenheid vastgelegd. In het hele proces blijft de aan de volgende stap aanleverende partij verantwoordelijk voor het treffen van voldoende maatregelen om te borgen dat de partij waaraan wordt aangeleverd zich aan de afgesproken regels rond beveiliging en geheimhouding houdt en dat de afspraken daarover worden nageleefd.
Ik vind het onwenselijk als (in Belgische gevangenissen) onzorgvuldig met patiëntendossiers is omgaan. Patiënten moeten erop kunnen vertrouwen dat de bescherming van medische informatie voldoende is gegarandeerd door de ziekenhuizen. Deze werkzaamheden laten uitvoeren door Belgische gevangenen zorgt voor onrust en onzekerheid. Ik heb begrepen dat het uitvoeren van deze werkzaamheden in gevangenissen inmiddels niet meer voorkomt. Zie verder ook mijn antwoorden op eerdere vragen over dit onderwerp4.
De Autoriteit Persoonsgegevens (AP) heeft mij laten weten al eerder contact te hebben opgenomen met de Belgische privacytoezichthouder die inmiddels een onderzoek is gestart naar de gang van zaken in de Belgische gevangenissen. Tevens heeft de AP aangegeven dat ze zich door ziekenhuizen zekerheidshalve laat informeren over de afspraken die gemaakt zijn in bewerkersovereenkomsten met derde partijen voor het uitvoeren van werkzaamheden op het gebied van gegevensverwerking.
Overigens zal over dit onderwerp door uw Kamer binnenkort een debat worden gepland, naar aanleiding van de Regeling van werkzaamheden van d.d. 2 maart 2016. Voorafgaand aan dit debat zal ik uw Kamer nog een aparte brief doen toekomen.
Veilige omgang met medische gegevens valt daar als zodanig alleen onder als er een link is met mogelijk lichamelijk of psychisch leed. Overigens ben ik van mening dat veilige omgang met medische gegevens een belangrijk fundament onder vertrouwen van de patiënt in de gezondheidszorg is.
De IGZ is voldoende doordrongen van de ernst van de situatie en heeft mij al aangegeven dat zij toezicht houden op de veldnorm NEN 7510 over informatiebeveiliging in de zorg. Een goed informatiebeveiligingsbeleid houdt ook in dat bewerkersovereenkomsten op een verantwoorde wijze zijn gesloten tussen ziekenhuizen en partijen die gegevens in opdracht van deze ziekenhuizen bewerken. Ook zal de IGZ de Nederlandse Federatie van Universitair Medische Centra en de Nederlandse Vereniging van Ziekenhuizen een brief sturen om ziekenhuizen op hun verantwoordelijkheid te wijzen.
Zorginstellingen moeten voldoen aan de geldende wet- en regelgeving en in eerste plaats zelf ervoor zorgen dat dit niet mogelijk is. De AP en IGZ zien toe op de naleving van de wet- en regelgeving. Het Openbaar Ministerie en de politie treden op indien medische gegevens worden misbruikt voor chantagedoeleinden. Navraag bij het Openbaar Ministerie leert dat er geen gegevens bekend zijn of deze situaties zich in Nederland hebben voorgedaan.
De inspectie voert regelmatig overleg met onder meer het Openbaar Ministerie en de AP. In dit overleg komt ook dit onderwerp aan de orde.
De vragen van het Kamerlid Leijten (SP) over het bericht van de FBI «Health care systems and medical devices at risk for increased cyber intrusions for financial gain» (2016Z02078) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.