| Ingediend | 2 april 2019 |
|---|---|
| Beantwoord | 25 april 2019 (na 23 dagen) |
| Indiener | Maarten Hijink |
| Beantwoord door | Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
| Onderwerpen | organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z06462.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-2428.html |
Ja, ik ken het bewuste artikel. Ik vind het zorgelijk als medische gegevens van patiënten in verkeerde handen vallen. Patiënten moeten te allen tijde kunnen vertrouwen op veilige uitwisseling van hun gegevens. Zorgaanbieders zijn in de eerste plaats zelf verantwoordelijk voor de veiligheid van persoonsgegevens. Zij moeten passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen en adequaat handelen wanneer een datalek zich voordoet.
De AP heeft mij laten weten deze zaak in onderzoek te hebben genomen.
Het is zorgelijk als medische gegevens van patiënten ingezien kunnen worden door personen die niet bevoegd zijn om die gegevens in te zien. Patiënten moeten er op kunnen vertrouwen dat zorgverleners op de juiste wijze met hun gegevens omgaan.
Het OLVG heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en heeft maatregelen getroffen. De Autoriteit Persoonsgegevens ziet vanuit haar toezichthoudende taak toe of voorgenomen maatregelen met gepaste urgentie worden uitgevoerd om binnen afzienbare tijd tot een passend beveiligingsniveau te komen.
Zoals ik in mijn beantwoording op vraag 1 heb aangegeven is het treffen van informatieveiligheidsmaatregelen een verantwoordelijkheid van ziekenhuizen zelf. Zorgaanbieders moeten zich reeds onder meer houden aan een aantal zorgbrede Nederlandse normen voor informatieveiligheid in de zorg (NEN-normen) en voorschriften van de Algemene Verordening Persoonsgegevens (AVG). Daarnaast moeten datalekken of andere ICT-incidenten worden gemeld bij de Autoriteit Persoonsgegevens (AP).
Op eerder gestelde vragen (Aanhangsel Handelingen, vergaderjaar 2018–2019, nr. 1854) door het Kamerlid Mulder (PVV) over het datalek bij het OLVG heb ik op 13 maart jl. aan uw Kamer gemeld dat het OLVG vrijwel direct na het datalek een melding heeft gemaakt bij de AP en dat het OLVG mij heeft gemeld passende maatregelen te hebben genomen. Het OLVG heeft mij ook gemeld dat het datalek kort daarna direct is opgelost.
Verder heeft het OLVG bevestigd dat er afdoende technische en organisatorische maatregelen zijn getroffen. Zo meldt men de rechten in het systeem te hebben nagelopen en waar nodig beperkt. De blokkades en waarschuwingen zijn aangescherpt.
Ook heeft het OLVG mij laten weten dat het lopende interne onderzoek naar onrechtmatige inzage in dossiers door onbevoegde werkstudenten in een vergevorderd stadium is. Alle privacy- en veiligheidsrisicogebieden zijn onderzocht, de belangrijkste maatregelen op korte termijn zijn genomen, lange termijn verbeteringen zijn in gang gezet. Het OLVG heeft daarnaast aangegeven dat betrokken patiënten en de AP te zijner tijd over de resultaten van het onderzoek zullen worden geïnformeerd.
Het is mij niet bekend bij welke ziekenhuizen sprake is van soortgelijke situaties. Zoals reeds gemeld bij het antwoord op vraag 1 en 4 zijn ziekenhuizen zelf verantwoordelijk voor het leveren van goede en veilige zorg onder alle omstandigheden. De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet hierop toe.
Uit de informatie die ik ontving van de Onderzoeksraad voor Veiligheid (OVV) blijkt dat in het lopende onderzoek naar de digitale veiligheid in de ziekenhuizen vooral wordt gekeken naar hoe ziekenhuizen storingen en misbruik van data en informatietechnologie proberen te voorkomen. Ook wordt gekeken in hoeverre zij voorbereid zijn om de gevolgen daarvan te beperken. Afhankelijk van de uitkomsten van het OVV-onderzoek, dat ik verwacht in het derde kwartaal van dit jaar, bezie ik of en zo ja welke acties nodig zijn om risico’s op ICT-storingen en/of datalekken in ziekenhuizen te mitigeren.
De beveiliging van medische gegevens valt onder de verantwoordelijkheid van de individuele ziekenhuizen zelf. De toezichthouders zien erop toe of persoonsgegevens voldoende worden beschermd. Hoe zij het toezicht inrichten is aan de toezichthouders zelf, uiteraard binnen de kaders die zij hebben meegekregen.