Ingediend | 8 juli 2022 |
---|---|
Beantwoord | 12 september 2022 (na 66 dagen) |
Indieners | Judith Tielen (VVD), Queeny Rajkowski (VVD) |
Beantwoord door | Kuipers , Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
Onderwerpen | openbare orde en veiligheid organisatie en beleid zorg en gezondheid |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z14796.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-3969.html |
Ja.
De casus is bekend bij het Ministerie van Volksgezondheid, Welzijn en Sport (VWS), de melder heeft contact opgenomen met het Ministerie. De Beveiligingsambtenaar (BVA) van VWS heeft o.a. samen met de melder gezocht naar het geschikte loket om deze melding te doen, bv. bij een officier van justitie of het huis voor de klokkenluiders. Daarnaast is de informatie die het Ministerie van VWS ontvangen heeft, gedeeld met relevante externe partners, waaronder de Nederlandse Vereniging van Huisartsen.
De melder heeft aan de BVA van het Ministerie van VWS aangegeven zelf de melding bij de AP te hebben gedaan. Over individuele meldingen en zaken doet de AP in het kader van eventueel onderzoek in principe geen uitspraken. De AP beoordeelt of er op een juiste wijze invulling is gegeven aan de meldplicht van art. 33 en art. 34 van de Algemene verordening gegevensbescherming (AVG).
Over individuele meldingen en zaken doet de AP in het kader van eventueel onderzoek in principe geen uitspraken. Van belang om aan te geven is dat organisaties, zoals ziekenhuizen, zelf een verantwoordingsplicht hebben om aan te tonen dat ze aan de AVG voldoen. Dit geldt ook wanneer (commerciële) organisaties (een deel van) de gegevens verwerken.
Dat deze zaak niet op zichzelf staat, kan worden opgemaakt uit de Datalekkenrapportage 2021 van de AP. De rapportage geeft aan dat van de 24.866 datalekmeldingen in 2021, 37% afkomstig was uit de sector gezondheid en welzijn.
Bij iedere melding gaat de AP na of betrokkenen zijn geïnformeerd over het datalek en of er voldoende beveiligingsmaatregelen zijn genomen om het datalek te beëindigen en nieuwe datalekken te voorkomen. Het toezicht op de meldplicht datalekken is risicogestuurd, wat betekent dat de intensiteit van het toezicht toeneemt naarmate het datalek grotere risico’s voor de betrokkenen met zich meebrengt. Ook wordt de AP periodiek geïnformeerd door brancheorganisaties NVZ (Nederlandse Vereniging van Ziekenhuizen) en NFU (Nederlandse Federatie van Universitair Medische Centra) over de implementatie, verbetering en naleving van gegevensbescherming en informatiebeveiliging normen van aangesloten ziekenhuizen. Bovendien beoogt de AP via onder andere de jaarlijkse datalekkenrapportage, maar ook de privacyverhalen op de AP website gebaseerd op echte meldingen, het bewustzijn rond de beveiliging van persoonsgegevens te vergroten. Tot slot heeft de Inspectie Gezondheid en Jeugd (IGJ) de bevoegdheid om in het geval van onvoldoende kwaliteit van zorgverlening of wanneer de kans op vermijdbare schade te groot is, door zwakke plekken in het zorgproces, in te grijpen.
In internationale en nationale wetgeving staan regels die betrekking hebben op het beschermen van (medische) gegevens, zoals ook het opslaan en delen van medische gegevens. Zo volgt uit de AVG dat er een grondslag moet zijn voor het verwerken van persoonsgegevens en een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens, zoals gegevens over gezondheid, te verwerken. Ook bepaalt de AVG dat er passende technische en organisatorische waarborgen moeten worden getroffen, zodat de gegevens zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit laatste is in nationale wetgeving nader ingevuld: zorgaanbieders moeten voldoen aan de informatiebeveiligingsnormen NEN 7510, NEN 7512 en NEN 7513. De AP houdt toezicht op de naleving van de AVG.
Daarnaast geldt het medisch beroepsgeheim, dat met zich mee brengt dat een hulpverlener in beginsel moet zwijgen over alles dat aan hem door de patiënt wordt toevertrouwd. Voor degenen die geen medisch beroepsgeheim hebben, maar wel beroepsmatig op de hoogte raken van behandelgegevens van de patiënt, zoal ICT-ers, geldt overigens een afgeleid medisch beroepsgeheim. Dat betekent dat voor hen dezelfde regels gelden als voor hulpverleners.
De AP heeft mij laten weten eerst te moeten vaststellen wat er in deze zaak is gebeurd voor ze kan bepalen welke vervolgstappen het meest geschikt zijn. Om deze reden heeft de AP vragen gesteld aan Medworq.
Op basis van de beschikbare informatie gaan wij ervan uit dat Medworq de gegevens enkel feitelijk beheerde voor de zorgaanbieders en niet zelf verwerkingsverantwoordelijk was voor de gegevens. In die situatie blijven de zorgaanbieders verantwoordelijk voor verwerking van de persoonsgegevens en dient in de verwerkingsovereenkomst met de verwerker (in casu de software-leverancier Medworq) afgesproken te worden wat de verwerker wel of niet met de gegevens mag doen.
De Staatssecretaris van BZK en ik betreuren dat dit heeft plaatsgevonden en zetten ons in om bijzondere persoonsgegevens goed te (blijven) beschermen. Het is primair aan zorgaanbieders zelf om te zorgen dat voldaan wordt aan de wet- en regelgeving en daar goede voorzieningen voor te treffen. Daar is goede controle op de naleving van de regels noodzakelijk.
Verder zetten wij ons op verschillende manieren in om bewustwording en verbetering van de naleving. Zo ondersteunen wij zorgaanbieders onder meer door de informatie die te vinden is op de AVG-helpdesk (www.avghelpdeskzorg.nl). Daarnaast helpen wij zorgaanbiedersom de informatiebeveiliging en digitale weerbaarheid te verbeteren. Gezamenlijk met de zorgkoepels werken wij aan een Actieplan Informatieveilig gedrag met als doel om het bewustzijn van informatiebeveiliging in de zorg te verhogen.
Bij ICT-incidenten kunnen aangesloten zorginstellingen rekenen op hulp van Z-CERT. Deze organisatie helpt zorginstellingen bij het bestrijden van dit soort incidenten. Verder wordt met het project «toekomstbestendig maken UZI» ingezet of verbetering van de manier waarop zorgverleners en zorgaanbieders zich identificeren, authentiseren en autoriseren voor het uitwisselen van medische gegevens. Daarnaast wordt onderzocht of de toezicht- en handhavingsbevoegdheden van de IGJ van de eerder genoemde informatiebeveiligingsnormen verduidelijking behoeven.
Het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens worden dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als er geen verwerkingsgrondslag als bedoeld in de AVG is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is.
En bij de gegevensuitwisseling dient altijd voldaan te worden aan de waarborgen die gelden op grond van die kaders. Die regelgeving moet natuurlijk goed worden toegepast. Daarom zullen wij bij de ontwikkeling van NEN-normen, waar de Wegiz naar verwijst, benadrukken dat de norm moet verzekeren dat cliënten hun rechten onder de AVG kunnen uitoefenen en informatietechnologieproducten- en diensten aan de AVG voldoen.
De vragen van de leden Tielen en Rajkowski (beiden VVD) over het bericht over «Commercieel softwarebedrijf schendt jarenlang de privacy van tienduizenden patiënten» (2022Z14796) (ingezonden op 8 juli 2022) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat afstemming ten behoeve van de beantwoording meer tijd vergt. Ik streef er naar u zo spoedig mogelijk na het zomerreces de antwoorden op deze Kamervragen te doen toekomen.