| Ingediend | 20 juli 2023 |
|---|---|
| Beantwoord | 12 september 2023 (na 54 dagen) |
| Indiener | Wybren van Haga (BVNL) |
| Beantwoord door | Kuipers |
| Onderwerpen | organisatie en beleid recht staatsrecht zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2023Z13847.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-3617.html |
Ja.
Ik ben ervan op de hoogte dat de Autoriteit Persoonsgegevens (AP) in 2018 een vooronderzoek heeft uitgevoerd. De AP zag destijds geen aanleiding tot vervolgonderzoek. De reden om geen vervolgonderzoek te doen was tweeledig. De AP constateerde dat de geëxtraheerde gegevens meteen automatisch worden versleuteld en alleen toegankelijk zijn voor de huisarts (die de sleutel heeft). De softwareleverancier en de ketenzorggroep hebben geen sleutel. Daarnaast worden medische gegevens niet met externen gedeeld, voor bijvoorbeeld wetenschappelijk onderzoek of statistiek.
Ten aanzien van het geven van ruchtbaarheid ligt de verantwoordelijkheid voor het informeren van betrokkenen over gegevensverwerkingen – in het algemeen en in deze casus – bij de betrokken huisartsen. Zij zijn verwerkingsverantwoordelijken in de zin van de Algemene verordening gegevensbescherming (AVG). Verwerkingsverantwoordelijken moeten richting betrokkenen en desgevraagd aan de AP – als onafhankelijke toezichthouder op de naleving van het gegevensbeschermingsrecht – kunnen aantonen dat zij in overeenstemming met de AVG persoonsgegevens verwerken.
De AP is een onafhankelijk zelfstandig bestuursorgaan (ZBO) en dat betekent onder meer dat zij niet verplicht is om mij te informeren over bepaalde gegevensverwerkingen waarnaar al dan niet onderzoek wordt verricht. Daarnaast gaat de AP zelf over de openbaarmaking van bij haar berustende informatie over bijvoorbeeld onderzoeken die naar bepaalde verwerkingen plaatsvinden.
De Nederlandse zorgsector is gefragmenteerd, waardoor ook de zorg-ICT-markten gefragmenteerd zijn. Mede hierdoor is een beperkt aantal leveranciers actief op de markt voor EPD/ECD-systemen in de eerstelijnszorg. Bovendien komen patiënten in hun zorgpad vaak veel verschillende zorgverleners tegen. Dit vereist dat artsen en zorgverleners de nodige patiëntgegevens makkelijk met elkaar kunnen delen en uitwisselen, iets wat in veel van hun ICT-systemen (nog) niet mogelijk is. Daarom kiezen steeds meer regionale samenwerkingsverbanden van huisartsen gezamenlijk voor VIPLive, een ICT-systeem dat informatie automatisch en eenvoudig uitwisselt, wat bovendien ook de administratieve lasten voor huisartsen verlaagt. De AP houdt als onafhankelijk toezichthouder toezicht op hoe VIPLive patiëntgegevens opslaat en deelt. Het is niet aan mij om te beoordelen of onderhavige gegevensdeling onrechtmatig is.
Binnen de ketenzorg werken meerdere zorgverleners vanuit verschillende organisaties samen aan de behandeling van één patiënt (bijvoorbeeld voor diabetes en COPD). Iedere organisatie heeft een eigen informatiesysteem, maar voor een integraal patiëntbeeld moet men ook de informatie van elkaar hebben. Er zijn verschillende methoden om medische gegevens te delen met andere behandelaars.
Regionaal en sectoraal zijn daardoor in de afgelopen jaren verschillende zorginfrastructuren ontstaan, waarbinnen medische gegevens worden uitgewisseld en opgeslagen. Deze zorginfrastructuren hebben zelf afspraken gemaakt over de wijze waarop de wet- en regelgeving wordt ingevuld. Op basis van hun rol van verwerkingsverantwoordelijke in de zin van de AVG is het aan de betrokken zorgaanbieders om te boordelen en vast te stellen of de gekozen oplossing – in dit geval Topicus/Calculus – voldoet aan de geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging, dat Topicus/Calculus beschikt over de benodigde certificeringen voor de NEN 7510 en ISO 27001 en voldoet aan de normen van de NEN 7512 en NEN 7513.
In het NRC-artikel wordt benoemd dat de patiëntgegevens uit VIPLive worden gekopieerd. In de moderne en «digitale» huisartspraktijk van nu is het digitaal werken en de bijbehorende centrale opslag van data nodig om het dagelijks werk en de patiëntenzorg goed en effectief uit te voeren. De nodige zorgvuldigheid in de omgang en het gebruik van patiëntengegevens is een aspect waar medewerkers in de zorg en ik ons dagelijks bewust van zijn. De desbetreffende data wordt opgeslagen in verschillende datacenters binnen de Europese Economische Ruimte (EER). Daarbij wordt data per praktijk strikt gescheiden opgeslagen.
Het is niet aan mij om te beoordelen of Topicus/Calculus voldoet aan de geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging. Dit oordeel behoort toe aan de AP (en eventueel aan de rechter).
Nederlandse zorginstellingen zijn wettelijk verplicht om te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. De NEN 7510 geeft richtlijnen voor controlemaatregelen en stelt eisen aan het informatiebeveiligingssystemen. Bij de inzet van ICT-producten die medische gegevens verwerken, eisen zorgaanbieders van de softwareleveranciers van deze ICT-producten dat ook zij voldoen aan de NEN 7510 en de AVG. Voor de NEN 7510 dienen softwareleveranciers dit aan te tonen door middel van het hebben van een certificaat. Aan het voldoen aan de eisen van de AVG wordt invulling gegeven door het sluiten van een verwerkersovereenkomst, waarin duidelijk gezamenlijk is vastgelegd hoe de softwareleverancier de medische gegevens verwerkt en dat deze verwerking voldoet aan de AVG. De Inspectie Gezondheidszorg en Jeugd (IGJ) en de AP houden hier toezicht op.
Over het algemeen is het acceptabel dat zorgaanbieders commerciële softwareleveranciers – als verwerkers in de zin van de AVG – inschakelen die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerken. In dat kader moeten verwerkersovereenkomsten met de softwareleveranciers worden gesloten, waarin gezamenlijk afspraken worden gemaakt over de bescherming en beveiliging van persoonsgegevens (artikel 28 AVG). Uiteraard geldt daarbij ook dat verwerkers zich moeten houden aan de AVG. Dat betekent onder meer dat verwerkers (hier: de softwareleveranciers) de persoonsgegevens niet voor eigen/andere doeleinden mogen gebruiken. Op grond van de AVG blijft de arts – als verwerkingsverantwoordelijke – de zeggenschap houden over de wijze waarop de verwerking plaatsvindt.
Het is niet aan mij om een oordeel te geven over de rechtmatigheid van de gegevensverwerkingen die hier aan de orde zijn. Dat vergt onder meer een gedegen onderzoek naar de feiten en omstandigheden en hoe die zich verhouden tot het relevante wettelijke kader. Dat is aan de AP, als onafhankelijke toezichthouder op de naleving van het gegevensbeschermingsrecht.
In Nederland is bewust gekozen voor een vrije markt, zodoende ook in de zorg-ICT. Ik ben van mening dat dit de ontwikkeling van innovatieve oplossingen ten goede komt. Zonder commerciële partijen zou het nodige ontwikkel- en innovatieklimaat niet bestaan. De commerciële softwareleveranciers zijn – net als niet-commerciële partijen – gebonden aan privacywetgeving. Ten aanzien van de inspraak die de patiënt behoort te hebben, is vastgelegd dat zorgverleners hun patiënten informeren dat hun medische gegevens worden opgeslagen en moeten zij hier tevens toestemming aan de patiënt voor vragen.
In de nationale visie is vastgesteld dat we naar een integraal georganiseerd gezondheidsinformatiestelsel moeten groeien, waarin data beschikbaar, bereikbaar en bruikbaar moet zijn voor preventie, het primaire zorgproces en secundair datagebruik. Daarvoor moeten burgers, zorgverleners, zorgaanbieders, onderzoekers en beleidsmakers vertrouwen hebben in elkaar en in het zorgvuldig gebruik van data. Om dat vertrouwen een rotsvaste basis te geven is regie vanuit VWS nodig.
Om deze basis te creëren zet ik in op de standaardisatie van taal en techniek en de implementatie van generieke functies. Standaardisatie maakt het mogelijk de huidige en nieuwe infrastructuren te verbinden waardoor een landelijk dekkend netwerk ontstaat. Voor een uitgebreide uiteenzetting van mijn beleidslijn om te
komen tot een landelijk dekkend netwerk van infrastructuren verwijs ik u graag naar mijn Kamerbrief van 13 april 2023 «Landelijk dekkend netwerk van infrastructuren».2
De AP heeft in 2018 een vooronderzoek uitgevoerd. De AP zag destijds geen aanleiding tot verder onderzoek. De redenen hiervoor zijn in de beantwoording al eerder door mij benoemd. Het is uitdrukkelijk niet aan mij om aanvullend onderzoek te doen naar de rechtmatigheid van de gegevensverwerkingen die hier aan de orde zijn. Dat is aan de AP. Ik kan de AP ook niet vragen om dat onderzoek te doen, omdat de AP als onafhankelijke toezichthouder zelf beslist of zij al dan niet onderzoek doet naar bepaalde gegevensverwerkingen.
Ten aanzien van het geven van ruchtbaarheid ligt de verantwoordelijkheid voor het informeren van betrokkenen over gegevensverwerkingen – in het algemeen en in deze casus – bij de betrokken huisartsen. Zij zijn verwerkingsverantwoordelijken in de zin van de AVG. Verwerkingsverantwoordelijken moeten richting betrokkenen en desgevraagd aan de AP – als onafhankelijke toezichthouder op de naleving van het gegevensbeschermingsrecht – kunnen aantonen dat zij in overeenstemming met de AVG persoonsgegevens verwerken.
Er is al wet- en regelgeving die vereist dat medische gegevens goed worden beschermd. Zo is er de AVG en de Uitvoeringswet AVG (UAVG), op basis waarvan gezondheidsgegevens niet zomaar mogen worden verwerkt en waarin is geregeld dat betrokkenen in beginsel op de hoogte moeten worden gehouden van de verwerking van hun persoonsgegevens. Daarnaast stelt genoemde wetgeving eisen aan de verwerking van persoonsgegevens, zoals dat de verwerking rechtmatig, behoorlijk en transparant moet zijn.3 Ook bepaalt de AVG dat er passende technische en organisatorische waarborgen moeten worden getroffen, zodat de gegevens zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit laatste is in nationale wet- en regelgeving nader ingevuld. Zo is in het Besluit elektronische gegevensverwerking door zorgaanbieders bepaald dat zorgaanbieders moeten voldoen aan de informatiebeveiligingsnormen NEN 7510, NEN 7512 en NEN 7513. De AP houdt toezicht op de naleving van de AVG en andere (nationale) privacywetgeving in Nederland.
Daarnaast geldt het medisch beroepsgeheim, dat met zich brengt dat een hulpverlener in beginsel moet zwijgen over alles dat aan hem door de patiënt wordt toevertrouwd. Het belang van het wettelijk beroepsgeheim wordt benadrukt door de strafbaarstelling van schending ervan. Voor softwareleveranciers die als verwerker ten behoeve van de zorgaanbieder persoonsgegevens verwerken, geldt een afgeleid medisch beroepsgeheim. Dat betekent dat voor hen dezelfde (geheimhoudings)regels gelden als voor hulpverleners. Al deze regels borgen dat commercieel gebruik van medische gegevens niet zomaar is toegestaan.
Deze regels moeten worden nageleefd. Het is primair aan zorgaanbieders om te zorgen dat voldaan wordt aan de internationale en nationale wet- en regelgeving en daar de nodige voorzieningen voor te treffen.
Dat is niet aan mij. Of een huisarts tuchtrechtelijk en/of civielrechtelijk of uit anderen hoofde aansprakelijk of aanspreekbaar is vanwege overtreding van bepaalde wet- en regelgeving, hangt af van de relevante wet- en regelgeving en de concrete feiten en omstandigheden. Daarin kan ik niet treden.
Overigens maak ik mij wel hard voor informatieveiligheid. Dit doe ik onder andere met het programma «Informatieveilig gedrag». Dit programma heeft als doel dat veel meer zorgorganisaties effectieve interventies kiezen om gedragsverandering bij zorgprofessionals te bereiken op het gebied van informatieveiligheid.
Huisartsen zijn zelf verantwoordelijk voor welke ICT-systemen zij gebruikmaken. Ook zijn huisartsen verantwoordelijk voor het bewaren en beschermen van medische gegevens van hun patiënten. Overstappen naar een andere softwareleverancier is voor zorgaanbieders bovendien altijd ingrijpend. Met het Actieplan zorg-ICT-markt probeer ik de markt opener, eerlijker en toekomstgericht te maken. Meer specifiek wil ik door inrichting van een catalogus van zorg-ICT-systemen, zorgaanbieders en ICT-inkopers in staat stellen om ICT-producten en diensten met elkaar te vergelijken, bijvoorbeeld op basis van functionaliteiten of keurmerken. Bovendien zal ik brancheorganisaties als NHG en InEen vragen om opslag en uitwisseling van elektronische patiëntgegevens en ICT-inkoopbeslissingen bij hun achterban onder de aandacht te brengen.
Dat er sprake is van overtreding van privacywetgeving staat niet vast, zolang de AP – als onafhankelijke toezichthouder – geen onderzoek heeft gedaan naar de relevante feiten en hoe die zich verhouden tot wet- en regelgeving inzake het gegevensbeschermingsrecht. Het verbinden van consequenties door mij is dan ook niet aan de orde. Als er sprake zou zijn van overtreding van privacywetgeving, dan is het aan de AP om al dan niet onderzoek in te stellen en/of eventueel handhavingsmaatregelen op te leggen.
Het maken van risicoanalyses en het eventueel treffen van risicomitigerende maatregelen is aan de organisatie die verantwoordelijk is voor de grootschalige verwerking van patiëntgegevens (de verwerkingsverantwoordelijke) en/of de verwerker zelf. Deze organisaties zijn onder omstandigheden verplicht hiertoe een gegevensbeschermingseffectbeoordeling (DPIA) te verrichten. Hierin moeten de risico’s van de gegevensverwerking worden geïdentificeerd, evenals de maatregelen die moeten worden getroffen om die risico’s weg te nemen.
De gevolgen van een datalek kunnen ernstig zijn.4 Een gevolg hiervan kan financiële schade voor betrokkenen zijn, zoals identiteitsfraude en oplichting. Daarnaast kan een betrokkene als gevolg van een datalek immateriële schade lijden, wanneer gevoelige informatie over (mentale) gezondheid of problemen in de thuissituatie zijn gelekt.
Met betrekking tot het algemene dreigingsbeeld voor de zorgsector publiceert Z-CERT, het Computer Emergency Response Team voor de zorg, jaarlijks een cybersecurity dreigingsbeeld. In dit dreigingsbeeld worden trends, dreigingen en risico’s voor de Nederlandse zorgsector beschreven5. In het laatst gepubliceerde dreigingsniveau typeert Z-CERT het risico op een datalek als «medium». Het risico op een hack wordt aangemerkt als «hoog». Zorginstellingen zijn in de eerste plaats zelf verantwoordelijk om deze risico’s te beperken en de impact van incidenten te mitigeren. Dit neemt echter niet weg dat ik me ook inzet op het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording, duidelijke normen en kaders, en het ondersteunen van Z-CERT.
De softwareleveranciers van deze systemen zijn zelf verantwoordelijk voor de eigenschappen van het systeem voor wat betreft de informatiebeveiliging. Zij kunnen desgewenst hun systemen onafhankelijk laten toetsen aan gangbare normen op het gebied van informatiebeveiliging, zoals de ISO 27001 en de NEN 7510. Ook kunnen zij hiervoor desgewenst certificaten behalen, zodat zij kunnen aantonen dat zij volgens deze normen werken. Een certificering is niet verplicht. De certificerende partij moet daarvoor geaccrediteerd zijn door de Raad voor de Accreditatie, een private stichting.
Zorgaanbieders zijn zelf verantwoordelijk om te voldoen aan wet- en regelgeving op het gebied van gegevensbescherming (AVG) en informatiebeveiliging (o.a. de NEN 7510). De NEN 7510 stelt regels over informatiebeveiliging in leveranciersrelaties: alle relevante informatiebeveiligingseisen moeten worden vastgesteld en overeengekomen met elke softwareleverancier die informatie van de organisatie verwerkt en/of opslaat. De zorgaanbieder kan daarbij bijvoorbeeld eisen van een softwareleverancier dat een certificaat aanwezig is.
De AP ziet toe op de naleving van de AVG. De AP en de IGJ houden beide toezicht op informatiebeveiliging bij zorgaanbieders en gaan daarbij uit van de norm NEN 7510. De AP richt zich daarbij primair op gevallen waar het zwaartepunt op de verwerking van persoonsgegevens ligt. De IGJ richt zich primair op gevallen waar het zwaartepunt op de kwaliteit van zorgverlening ligt. De AP en de IGJ hebben samenwerkingsafspraken gemaakt en vastgelegd in een Samenwerkingsprotocol6.
Ik ben niet direct betrokken bij de behandeling van klachten aan het adres van zorgaanbieders. Klachten dienen betrokkenen direct in bij een zorgaanbieder of diens klachtenfunctionaris of functionaris voor gegevensbescherming. Daarnaast kunnen betrokkenen klachten indien bij de AP.
Verder zijn huisartsen en andere zorgverleners zelf verantwoordelijk voor de keuze voor en inkoop van ICT-systemen en horen daarom afwegingen te maken hoe en waar de elektronische patiëntgegevens op worden geslagen. Zoals eerder ook al benoemd zal ik bij brancheorganisaties als NHG en InEen vragen om de opslag en uitwisseling van elektronische patiëntgegevens bij hun achterban onder de aandacht te brengen.
De vragen van het lid Van Haga (Groep Van Haga) over het opslaan van medische gegevens van Nederlanders door externe softwareleveranciers (2023Z13847) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat afstemming ten behoeve van de beantwoording meer tijd vergt. Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.