Kamervraag 2019Z03123

Het data-lek bij het ziekenhuis OLVG waardoor onbevoegde studenten medische dossiers hebben ingezien

Ingediend 18 februari 2019
Beantwoord 14 maart 2019 (na 24 dagen)
Indiener Edgar Mulder (PVV)
Beantwoord door Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD)
Onderwerpen organisatie en beleid recht staatsrecht zorg en gezondheid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2019Z03123.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20182019-1854.html
  • Vraag 1
    Bent u bekend met het bericht «Patiëntdossiers in te zien door lek bij ziekenhuis OLVG»?1 Wat is uw reactie hierop?

    Ja, ik ben bekend met het bewuste artikel. Ik vind het zorgelijk als medische gegevens van patiënten in verkeerde handen vallen. Patiënten moeten te allen tijde kunnen vertrouwen op het veilig beschermen en delen van hun gegevens. Zorgaanbieders zijn in eerste plaats zelf verantwoordelijk voor de informatieveiligheid van hun patiënten. Ze moeten passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen en adequaat handelen wanneer een datalek zich voordoet.
    Het OLVG heeft mij als volgt gemeld. Het OLVG heeft melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens (AP) en er zijn maatregelen genomen. Men heeft mij ook gemeld dat de autorisatie van medewerkers tot de EPD-systemen verder is aangescherpt en dat privacy een nadrukkelijker plek in het inwerkprogramma voor werkstudenten en voor alle andere medewerkers binnen het OLVG krijgt. Het OLVG doet onderzoek naar de dossiers die onrechtmatig zijn ingezien door onbevoegde werkstudenten. Betrokken patiënten en de AP zullen over de resultaten van het onderzoek worden geïnformeerd.

  • Vraag 2
    Is al bekend hoeveel en welke dossiers het betreft en zijn de betreffende patiënten op de hoogte gesteld? Zo nee, waarom niet?

    Zie antwoord vraag 1.

  • Vraag 3
    Hebben onbevoegde werkstudenten nog steeds toegang of is het data-lek inmiddels waterdicht?

    Zie antwoord vraag 1.

  • Vraag 4
    Heeft u al een actieplan klaarliggen om deze en andere data-lekken in de zorgsector aan te pakken?

    Zoals ik in de beantwoording op vragen 1, 2 en 3 heb aangegeven valt informatiebeveiliging in de eerste instantie onder de verantwoordelijkheid van zorgaanbieders zelf. Zorgaanbieders moeten zich reeds onder meer houden aan een aantal zorgbrede Nederlandse normen voor informatieveiligheid in de zorg (NEN-normen) en de voorschriften van de Algemene Verordening Persoonsgegevens (AVG). Datalekken of andere ICT-incidenten moeten worden gemeld bij de AP.
    Gezien het belang van informatieveiligheid ondersteunt VWS de zorgsector hierbij in toenemende mate. Zoals ik in mijn Kamerbrief over «Elektronische gegevensuitwisseling in de zorg» van 20 december 2018 jl. heb aangekondigd, wil ik toewerken naar wettelijke verplichting om onder andere veiligheidsbelemmeringen in elektronische gegevensuitwisseling in de zorg aan te pakken. Daarnaast is met ondersteuning van VWS het Computer
    Emergency Response Team (Z-CERT) voor de zorgsector opgezet en in januari 2018 officieel gestart. Deze organisatie helpt aangesloten zorginstellingen bij monitoring, preventie en reparatie van ICT-incidenten. VWS ziet Z-CERT als het cybersecuritycentrum voor de zorg en draagt bij aan de doorontwikkeling ervan.
    Ik vind dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie als Z-CERT. Zoals toegezegd op de aangenomen motie Ellemeet2 onderzoek ik het verplichtstellen van de deelname van zorginstellingen aan Z-CERT zal tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken. Ik zal uw Kamer hierover in de loop van dit jaar informeren.
    Tot slot hebben zorgkoepels in samenwerking met VWS een Actieplan Verhoging bewustzijn informatiebeveiliging Patiëntengegevens opgesteld en hiermee de verhoging van bewustwording van informatiebeveiliging zelf opgepakt. Het Actieplan is uitgebreid en verbreed naar alle zorgbranches. Het actieplan wordt geleid door Brancheorganisaties Zorg (BoZ). Voor het zomerreces wordt uw Kamer geïnformeerd over de voortgang van het actieplan.

  • Vraag 5
    Deelt u de mening dat we moeten stoppen met het delen van complete medische dossiers en dit moeten beperken tot een basisset waar de patiënt zelf de regie over voert? Zo nee, waarom niet?

    Er bestaat niet één basisset van gegevens die op zichzelf voldoet in alle uitwisselingen van informatie die in het kader van behandeling plaatsvinden. Elke overdracht en uitwisseling vereist een andere set gegevens die noodzakelijk is voor de (vervolg)behandeling van een patiënt.
    Regie voor de patiënt omarm ik van harte. Ik vind het van groot belang dat patiënten weten waar hun gegevens zich bevinden en weten en mee kunnen bepalen wat ermee gebeurt. In de Wet op de geneeskundige behandelovereenkomst (de WGBO) is geregeld dat gegevens uit een medisch dossier alleen met toestemming van de patiënt aan anderen kunnen worden verstrekt. Uit de WGBO volgt echter ook een aantal uitzonderingen op deze regel. Zo is expliciete toestemming niet nodig voor het verstrekken van noodzakelijke inlichtingen aan degene die rechtstreeks betrokken is bij de behandelrelatie en degene die optreedt als vervanger van de hulpverlener.


Kamervraag document nummer: kv-tk-2019Z03123
Volledige titel: Het data-lek bij het ziekenhuis OLVG waardoor onbevoegde studenten medische dossiers hebben ingezien
Kamerantwoord document nummer: ah-tk-20182019-1854
Volledige titel: Antwoord op vragen van het lid Edgar Mulder over het data-lek bij het ziekenhuis OLVG waardoor onbevoegde studenten medische dossiers hebben ingezien