| Ingediend | 22 februari 2016 |
|---|---|
| Beantwoord | 17 maart 2016 (na 24 dagen) |
| Indiener | Pia Dijkstra (D66) |
| Beantwoord door | Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD) |
| Onderwerpen | organisatie en beleid recht staatsrecht zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2016Z03785.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-1904.html |
Ja.
De Autoriteit Persoonsgegevens (AP) is een onafhankelijke toezichthouder, zij richt haar eigen toezicht in en maakt daarbij haar eigen keuzes. De AP prioriteert op basis van een aantal criteria (zoals de ernst van de overtreding en de vraag of het een structurele overtreding is) en op basis van signalen haar werkzaamheden. De AP houdt onder meer toezicht op de verwerking van persoonsgegevens die het gevolg kan zijn van het plaatsen en uitlezen van tracking cookies. Daarnaast ziet de Autoriteit Consument en Markt (ACM) er parallel op toe dat websites of apps die gegevens bij bezoekers plaatsen en/of uitlezen uit de randapparatuur van bezoekers zich aan de regels houden.
Ook IGZ heeft een rol in het toezicht op dit terrein. De AP en IGZ hebben een samenwerkingsprotocol waarin zij wederzijdse afspraken hebben gemaakt over de wijze van samenwerking voor het uitoefenen van toezicht op de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer binnen de gezondheidszorg. Dit protocol is op de websites van beide organisaties gepubliceerd. De IGZ zal zich bij het uitoefenen van haar bevoegdheden primair richten op gevallen waar het zwaartepunt ligt op de kwaliteit van zorgverlening. De AP zal zich bij het uitoefenen van zijn bevoegdheden primair richten op gevallen waar het zwaartepunt in de toepassing van bepalingen van de Wet bescherming persoonsgegevens (Wbp) ligt. Voorts verwijs ik u naar de brief van de Minister van Veiligheid en Justitie aan uw Kamer van 29 febuari jl. naar aanleiding van de berichtgeving over de AP in het NRC van 30 december 2015 (Kamerstuk 32761, nr. 94).
Zie antwoord vraag 2.
Dit onderwerp wordt, in april voor het eerst, besproken in een werkgroep met de leden van het Informatieberaad3, waarbij ook experts op het gebied van «privacy by design» en de AP betrokken zullen worden. Deze werkgroep komt met een voorstel voor aanvullende maatregelen om de privacy van patiënten te beschermen en de informatiebeveiliging van systemen te verhogen. Het Informatieberaad komt vier maal per jaar bij elkaar. In de vergaderingen van april en juni wordt het onderwerp geagendeerd. Het onderwerp is complex, de verwachting is dat het Informatieberaad in september kan komen tot eerste afspraken over mogelijke aanvullende maatregelen.
Bij het maken van nieuw beleid waarbij verwerkingen van persoonsgegevens verwacht worden, is het doen van een Privacy Impact Assessment, waarbij privacy gevolgen in kaart gebracht worden, verplicht. Mijn uitgangspunt is dat daar waar verwerkingen van persoonsgegevens voorkómen of geminimaliseerd kunnen worden zonder dat het behalen van beleidsdoelstellingen in het geding komt, dat dit ook gebeurt. In overige situaties geldt dat een formele wettelijke grondslag aanwezig is voor deze verwerking van persoonsgegevens en voldaan wordt aan de informatieplicht. Als het gaat om tracking voor commerciële doeleinden van bezoekers van medische websites en gebruikers van apps die gezondheidsgegevens verwerken is de enige mogelijke grondslag uit de Wbp dat er toestemming is. Het heimelijk verzamelen, verkopen of gebruiken van persoonsgegevens is in geen enkele situatie toegestaan.
Gezien mijn eHealth ambities zal ik met de leden van het Informatieberaad bespreken of er mogelijkheden zijn om extra waarborgen te realiseren en «privacy by design» te stimuleren.
Ik acht het van groot belang dat alle verwerkingen van alle persoonsgegevens, conform de Wet bescherming persoonsgegevens (Wbp) geschieden. Instanties en organisaties die werken met deze gegevens moeten zich zelf bewust zijn van en zijn ook zelf verantwoordelijk voor het feit dat zij deze gegevens verwerken en daarvoor de juiste maatregelen treffen. Voor het gebruik van cookies gelden wettelijke regels. Dat zijn in de eerste plaats regels uit de Telecommunicatiewet (Tw). De zogenaamde cookiebepaling (artikel 11.7a Telecommunicatiewet (Tw)) bepaalt dat voor het plaatsen en lezen van cookies toestemming nodig is van de betrokkene en dat deze toestemming moet worden verkregen nadat de betrokkene hierover duidelijk en volledig is geïnformeerd.
Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers kan worden gevolgd, geldt het bij amendement Van Bemmel/Van Dam geïntroduceerde rechtsvermoeden dat hierbij sprake is van verwerking van persoonsgegevens. De plaatser van tracking cookies zal dan ook aan de Wbp moeten voldoen, tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt. De plaatser van de cookies is uiteindelijk zelf verantwoordelijk om na te gaan of de wijze waarop hij cookies gebruikt van toestemming is uitgezonderd en anders is ondubbelzinnige toestemming nodig.
De Autoriteit Consument en Markt (ACM) ziet erop toe dat de cookiebepaling wordt nageleefd4. De regels gelden ook voor buitenlandse sites, apps of hulpmiddelen (smart devices) die zich op Nederlandse bezoekers richten. In de tweede plaats zijn het regels uit de Wbp. De Wbp bepaalt dat persoonsgegevens uitsluitend mogen worden verwerkt indien een beroep kan worden gedaan op een van de rechtsgrondslagen in artikel 8 van de Wbp. De AP houdt toezicht op de naleving van de Wbp en de verwerking van persoonsgegevens die het gevolg kan zijn van het plaatsen en het uitlezen van tracking cookies.
Het is de uitdrukkelijke verantwoordelijkheid van partijen zelf om er voor te zorgen dat alle verwerkingen van alle persoonsgegevens, conform de Wet bescherming persoonsgegevens (Wbp) geschieden. Een voorwaarde hiervoor is dat deze instanties en organisaties ook op de hoogte zijn van relevante wet- en regelgeving op dit terrein. Enkele recente casussen laten zien dat het bewustzijn rond de eisen die gelden bij de verwerking van persoonsgegevens in het digitale publieke (gezondheidszorg) domein weleens te kort schiet, vandaar ook dat ik met de leden van het Informatieberaad wil bespreken welke mogelijke extra waarborgen zij kunnen treffen en hoe zij het bewustzijn bij hun achterban kunnen vergroten.