| Ingediend | 13 juli 2023 |
|---|---|
| Beantwoord | 23 augustus 2023 (na 41 dagen) |
| Indiener | Joba van den Berg-Jansen (CDA) |
| Beantwoord door | Kuipers |
| Onderwerpen | organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2023Z13676.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-3405.html |
Ja.
In het artikel is sprake van een mogelijk onjuist handelen met betrekking tot de bescherming van persoonsgegevens. Hiervoor zijn regels opgenomen in de Algemene Verordening Persoonsgegevens (AVG). De Autoriteit Persoonsgegevens (AP) is hiervoor de aangewezen toezichthouder. De Inspectie Gezondheidszorg en Jeugd (IGJ) heeft geen rol in het toezicht op de AVG.
De IGJ houdt onafhankelijk, risico gestuurd toezicht op kwaliteit en veiligheid van zorg. De IGJ heeft in dat kader ook een rol in het toezicht op informatiebeveiliging, maar met name als deze de kwaliteit en continuïteit van zorg kan raken. Bijvoorbeeld als het gaat om maatregelen om te voorkomen dat essentiële informatiesystemen langdurig uitvallen. Voor zo ver bekend is hier geen sprake van; de IGJ ziet dan ook op basis van dit artikel geen aanleiding om nader onderzoek te doen. De AP en IGJ hebben een samenwerkingsprotocol waarin zij elkaar wederzijds informeren en raadplegen in het geval van aangelegenheden die elkaars toezicht raken.
In algemene zin vind ik het belangrijk dat zorgaanbieders klachten van cliënten serieus nemen en de cliënt goed betrekken bij een eventueel onderzoek wat hieruit volgt. Of dit in dit specifieke geval afdoende is gebeurd kan ik niet beoordelen. Dat is ook niet aan mij.
Blijft het vermoeden van een mogelijke overtreding van de AVG bestaan? Dan staat het de cliënt vrij om een klacht of tip in te dienen bij de Autoriteit Persoonsgegevens.
De IGJ controleert steekproefsgewijs of zorgaanbieders hun informatiebeveiliging inrichten volgens de wettelijke norm NEN 7510. Volgens deze norm moeten zorgaanbieders een managementsysteem voor informatiebeveiliging inrichten. Procedures voor authenticatie, autorisatie en logging zijn hier onderdeel van, naast een groot aantal andere beheersmaatregelen. De IGJ controleert of aantoonbaar sprake is van een werkende kwaliteitscyclus (plan-do-check-act). Specifieke maatregelen op het gebied van de bescherming van persoonsgegevens vallen primair onder het toezicht van de AP.
Het Ministerie van VWS heeft geen zicht op de inrichting van zorginformatiesystemen bij individuele zorginstellingen. Er zijn twee belangrijke informatiebeveiligingsnormen die hier een rol in spelen, de NEN 7510 en 7513. Deze schrijven voor dat zorginstellingen maatregelen moeten nemen op het gebied van autorisatie en logging. Alleen de bevoegde personen mogen toegang hebben tot patiëntendossiers (autorisatie) en acties op deze patiëntendossiers moeten vastgelegd worden (logging). Deze normen gelden voor alle zorginstellingen en de AP ziet hierop toe.
Zorgaanbieders zijn in eerste plaats zelf verantwoordelijk voor de informatiebeveiliging van de patiëntendossiers. Zij moeten passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen. De AP is verantwoordelijk voor het toezicht op de naleving hiervan. Vanuit het ministerie wordt doorlopend op verschillende manieren ingezet op bewustwording en verbetering van de naleving op informatiebeveiliging. Zorgaanbieders worden ondersteund en gefaciliteerd om de informatiebeveiliging en digitale weerbaarheid te verbeteren Zo worden zorgaanbieders onder meer ondersteund door de informatie die te vinden is op de AVG-helpdesk (www.avghelpdeskzorg.nl).
De vragen van het lid Van den Berg (CDA) over medewerkers van GGzE die vrijwel onbeperkt hebben kunnen kijken in dossiers van cliënten (2023Z13676) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat afstemming ten behoeve van de beantwoording meer tijd vergt. Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.