• Vraag 1

  Wat is uw reactie op de tv-uitzending over patiëntengegevens die op straat liggen (deel 2)?1
  
  

  In mijn eerdere antwoorden op verschillende Kamervragen heb ik reeds aangegeven, dat ik uitvoering van deze werkzaamheden door Belgische gevangenen, hoewel in principe legaal, een onwenselijke situatie vind. Zie voor een uitgebreide reactie mijn brief van 16 maart 2016 over dit zelfde onderwerp2.
  De Autoriteit Persoonsgegevens (AP) laat zich over de gang van zaken in de Belgische gevangenis (specifiek inzake de zogenoemde bewerkersovereenkomsten) nader informeren om te bezien of er sprake is van overtredingen. De AP heeft ook contact gehad met de Belgische toezichthouder, die eerder al een onderzoek startte.
  

• Vraag 2

  Kunt u, wanneer alle ziekenhuizen hun onderzoek hebben afgerond, aangeven van hoeveel ziekenhuizen de patiëntendossiers door gevangenen zijn verwerkt, en welke ziekenhuizen het betreft? Kunt u daarbij ook aangeven welke ziekenhuizen ervan op de hoogte waren dat hun dossiers door gevangenen zouden worden verwerkt, en of dat puur was om de profiteren van de lage prijs?
  
  

  Zoals ik in mijn brief van 16 maart jl. heb aangekondigd, moet dit nader onderzocht worden.
  

• Vraag 3

  Is inzichtelijk hoeveel dossiers of stukken van dossiers er exact zijn verdwenen? Is duidelijk waar de 9 (delen van) dossiers nu zijn? Gaat het inderdaad om zo’n 900.000 medische dossiers?
  
  

  Zie antwoord vraag 2.

• Vraag 4

  Wat vindt u ervan dat gevangenen medische dossiers hebben behandeld? Deelt u de mening dat dit geen taak is die we aan gevangenen over zouden moeten laten, ook al staat wellicht niet expliciet in de wet dat dit niet is toegestaan?
  
  

  Zie mijn antwoord op vraag 1.
  

• Vraag 5

  Wat vindt u ervan dat bij de verwerking van de dossiers regels met betrekking tot privacy en medische geheimhouding zijn geschonden? Het is toch wettelijk verplicht dat iedereen die deze taken vervult een verklaring van geheimhouding ondertekent? Het is toch vervolgens zo dat de gevangenen een dergelijke verklaring niet hebben ondertekend? Wat vindt u hiervan? Hoe heeft dit kunnen gebeuren? Gaat u, of de Autoriteit Persoonsgegevens, hierop actie ondernemen?
  
  

  Zie antwoord vraag 4.

• Vraag 6

  Waren er naast commerciële redenen nog andere redenen om gevangenen de medische dossiers te laten verwerken?
  
  

  Zoals ik in mijn brief van 16 maart jl. heb aangekondigd, moet dit nader onderzocht worden.
  

• Vraag 7

  Is het bedrijf Iguana volgens u, of de Autoriteit Persoonsgegevens, in gebreke gebleven? Kunt u uw antwoord toelichten?
  
  

  Zie antwoord vraag 6.

• Vraag 8

  Zijn de mensen van wie de dossiers door gevangenen zijn verwerkt hiervan op de hoogte gesteld? Zo nee, zullen zij hier alsnog van op de hoogte worden gesteld? Zo ja, is hun excuses en uitleg aangeboden?
  
  

  Zorgaanbieders moeten op de hoogte zijn door wie en op welke wijze werkzaamheden door derde partijen worden uitgevoerd. Dit moet vastgelegd zijn in een bewerkersovereenkomst. Patiënten moeten er op kunnen vertrouwen dat de bescherming van medische informatie is gegarandeerd door de ziekenhuizen. Indien de geheimhouding is geschonden, is het aan zorgaanbieders om patiënten hierover te informeren. Daarnaast geldt ook de meldplicht datalekken die sinds 1 januari jl. van kracht is.
  

• Vraag 9

  Gaat u ervoor zorgen dat medische dossiers nooit meer behandeld worden door mensen die geen geheimhoudingsplicht hebben ondertekend?
  
  

  Zoals ik in mijn brief van 16 maart jl. aangeef zal ik bezien of de regelgeving ter zake aanscherping behoeft. Bewerking van de dossiers door gevangenen acht ik onwenselijk.
  

• Vraag 10

  Deelt u de mening dat er de laatste tijd wel erg vaak berichten naar buiten komen over ziekenhuizen die onvoorzichtig omgaan met de privacy en de medische dossiers van patiënten? Leren ziekenhuizen wel van hun eigen en elkaars fouten op dit terrein? Zo nee, wat gaat u hieraan doen?2
  
  

  Zoals ik in mijn brief van 16 maart jl. aangeef, zal ik om het grote belang van de zorgvuldige omgang met persoonsgegevens te benadrukken en om zaken (verder) te verbeteren, zelf ook onderzoek laten doen naar de vraag op welke wijze zorginstellingen (ziekenhuizen en instellingen voor geestelijke gezondheidszorg) in de dagelijkse praktijk omgaan met de beveiliging van hun patiëntgegevens en hoe hierin verbetering kan worden aangebracht. Ik zal zeer binnenkort overleggen met de koepels van de ziekenhuizen en GGZ-instellingen over welke exacte onderzoeksvraag het meest behulpzaam zal zijn om het doel te realiseren. De onderzoeksvraag zal aansluiten op de resultaten uit de campagne van de Nederlandse Vereniging van Ziekenhuizen (NVZ) die liep van 26 oktober tot 6 november 2015. De NVZ-campagne met de naam ZEKER stimuleerde bewustwording en eigen verantwoordelijkheid bij het omgaan met gevoelige informatie. In ieder geval vind ik het belangrijk dat in het onderzoek specifiek aandacht wordt besteed aan de wijze van omgaan met incidenten van schending van de bescherming van patiëntgegevens, die zich nu eenmaal altijd onverhoopt voor kunnen doen. Ook zal -naar aanleiding van de specifieke berichtgeving- aandacht geschonken worden aan de situaties waarin gewerkt wordt met onderaannemers, bijvoorbeeld voor het digitaliseren van patiëntgegevens, en aan de bescherming van gegevens die worden gebruikt ten bate van wetenschappelijk onderzoek. Ik zal uw Kamer over de uitkomsten van dit onderzoek eind 2016 informeren.
  Om het onderwerp zorgbreed onder de aandacht te brengen worden de waarborgen rond de bescherming van patiëntgegegevens besproken in een werkgroep met de leden van het Informatieberaad4.
  

• Vraag 11

  Wat vindt u, in het licht van alle berichten over de geschonden privacy van patiënten en het niet goed omgaan met medische dossiers door ziekenhuizen, van het plan dat elke Nederlander over een paar jaar een eigen profielpagina op internet moet hebben waar allerlei informatie over de gezondheid van een persoon verzameld moet worden?3
  
  

  Ik zie geen directe relatie tussen de wijze waarop ziekenhuizen nu de digitalisering van hun papieren administratie hebben vormgegeven en het streven om Nederlanders in de toekomst meer regie te geven door hen toegang te geven tot hun gezondheidsinformatie via een Persoonlijke Gezondheidsdossier (PGD). Deze ontwikkeling ondersteun ik juist van harte. Dat ziekenhuizen – zorgaanbieders in zijn algemeenheid – zorgvuldig omgaan met beveiliging en privacy van gegevens is een cruciale randvoorwaarde om stappen te kunnen zetten richting een geïnformeerde patiënt die een actieve regierol heeft over eigen gezondheid en zorgproces. Hiertoe dient het zorgveld met leveranciers afspraken te maken over zaken als privacy, beveiliging en interoperabiliteit. De wet op elektronische gegevensuitwisseling die ter behandeling in de Eerste Kamer ligt, scherpt beschermings- en beveiligingseisen van elektronische medische gegevens fors aan en verhoogt de boetes, als die eisen worden overtreden, sterk.
  

Kamervraag document nummer: kv-tk-2016Z05221

Volledige titel: Het bericht ‘Patiëntgegevens op straat deel II’

Kamerantwoord document nummer: ah-tk-20152016-2172

Volledige titel: Antwoord op vragen van het lid Leijten over het bericht ‘Patiëntgegevens op straat deel II’