• Vraag 1

  Wat is uw reactie op het bericht «Nog veel datalekken in ziekenhuizen»?1
  
  

  Patiënten moeten er op kunnen vertrouwen dat de bescherming van medische informatie is gewaarborgd door de zorginstellingen. Ziekenhuizen dienen zelf zorg te dragen voor passende technische en organisatorische maatregelen om datalekken te voorkomen. Naar aanleiding van het PBLQ rapport2 over beveiliging van patiëntgegevens ben ik gestart met het opstellen van een «Actieplan (informatie)beveiliging patiëntgegevens» (zoals aangegeven in mijn brief van 15 december 20163). VWS stelt samen met de Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU), GGZ Nederland en Zelfstandige Klinieken Nederland (ZKN) dit actieplan op. De activiteiten uit het plan moeten leiden tot een structurele verbeteringen in de dagelijkse werkpraktijk bij ziekenhuizen voor wat betreft informatiebeveiliging en privacybescherming daadwerkelijk verbeteren. Het streven is om het actieplan voor de zomer naar de Tweede Kamer te verzenden. Informatiebeveiliging is een doorlopend punt van aandacht en is een onderwerp waar alle partijen zich voor moeten blijven inzetten.
  

• Vraag 2

  Hoe verklaart u de verdubbeling van het aantal datalekken bij ziekenhuizen?
  
  

  Ik heb begrepen dat de Autoriteit Persoonsgegevens in 2016 in totaal 451 meldingen van datalekken bij ziekenhuizen heeft ontvangen. In het eerste kwartaal van 2017 kreeg de Autoriteit Persoonsgegevens 161 meldingen van ziekenhuizen. Het is aan de Autoriteit Persoonsgegevens om te verklaren wat de oorzaken zijn van de groei van het aantal datalekken.
  Overigens hebben om de awareness te vergroten de Autoriteit Persoonsgegevens en de Inspectie voor de Gezondheidszorg (IGZ) in maart 2016 per brief4 en later ook in verschillende gesprekken de ziekenhuizen geïnformeerd over en geattendeerd op de meldplicht datalekken. Ook hebben de Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU) en de Zelfstandige Klinieken Nederland (ZKN) met verschillende communicatiemiddelen hun leden gewezen op de meldplicht datalekken.
  

• Vraag 3

  Deelt u de mening dat medische gegevens uiterst gevoelige informatie bevatten die nooit in verkeerde handen mogen vallen?
  
  

  Zie antwoord vraag 1.

• Vraag 4

  Hoe gaat u optreden tegen menselijke fouten, nonchalance en nalatigheid, waarover de meeste meldingen gaan?
  
  

  Zie antwoord vraag 1.

• Vraag 5

  Valt het verliezen van een usb-stick met medische gegevens of het sturen van een medisch dossier naar een verkeerd adres onder ernstige nalatigheid? Zo nee, waarom niet?
  
  

  Onder «het gevolg van ernstig verwijtbare nalatigheid» wordt verstaan (Kamerstuk 33 662, nr. 16): de overtreding is het gevolg van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen.
  Of er bij verlies van een USB-stick of het sturen van een medisch dossier naar een verkeerd adres hiervan sprake is hangt af van de feiten en omstandigheden van het geval en is aan de beoordeling van de Autoriteit Persoonsgegevens.
  

• Vraag 6

  Kunt u de mededeling van de voorzitter van de Autoriteit Persoonsgegevens toelichten dat er alleen waarschuwingen kunnen worden gegeven als er medische gegevens op straat komen te liggen?
  
  

  De AP is een onafhankelijke toezichthouder. Het is niet aan mij om een toelichting te geven op de uitspraken van de voorzitter van de AP.
  Na een datalek kan de AP een waarschuwing geven, daarnaast heeft de AP op basis van de Wet bescherming persoonsgegevens (Wbp) de bevoegdheid een boete of een last onder dwangsom opleggen, dit geldt voor alle persoonsgegevens. Voor het opleggen van een boete moet eerst opzet of ernstig verwijtbare nalatigheid worden aangetoond.
  

• Vraag 7

  Wat is het nut van de verhoging van de boetebevoegdheid van de Autoriteit Persoonsgegevens vorig jaar naar maximaal 900.000 euro, als van deze boetebevoegdheid geen gebruik gemaakt wordt?
  
  

  Vorig jaar is de boetebevoegdheid van de Autoriteit Persoonsgegevens verhoogd voor telecombedrijven, voor de overige organisaties is dit onveranderd en maximaal € 820.000,–. Het is aan de Autoriteit Persoonsgegevens om te beslissen wanneer deze haar bevoegdheden, waaronder de boetebevoegdheid, inzet.
  

• Vraag 8

  Welke maatregelen gaat u treffen om het aantal datalekken nog dit jaar drastisch terug te dringen?
  
  

  Zorgaanbieders zijn op basis van de Wet bescherming persoonsgegevens zelf verantwoordelijk voor het voldoende nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
  Ik ben bereid initiatieven op dit terrein te ondersteunen, zoals ik al doe met het bij vraag 1, 3 en 4 genoemde actieplan (informatie)beveiliging patiëntgegevens en met het ondersteunen van de oprichting van de sectorale CERT (Computer Emergency Response Team) voor de zorg, de stichting Z-CERT. De Zorg-CERT is een voorziening om bij cyberincidenten snel in actie te kunnen komen, om detectie te versnellen en kennisdeling over informatiebeveiligingsincidenten te vergroten en hiermee de impact van dergelijke incidenten te beperken.
  

• Mededeling - 6 juni 2017

  De vragen van het Kamerlid Gerbrands (PVV) over de verdubbeling van het aantal datalekken door ziekenhuizen (2017Z06286) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.

Kamervraag document nummer: kv-tk-2017Z06286

Volledige titel: De verdubbeling van het aantal datalekken door ziekenhuizen

Kamerantwoord document nummer: ah-tk-20162017-2143

Volledige titel: Antwoord op vragen van het lid Gerbrands over de verdubbeling van het aantal datalekken door ziekenhuizen