Brief regering : Reactie op verzoek commissie over het bericht in de NRC ‘Zonder hun toestemming worden de medische dossiers van miljoenen Nederlanders gekopieerd en ‘ergens’ opgeslagen’

Nr. 305
BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 oktober 2023

Naar aanleiding van het verzoek van de vaste commissie voor Volksgezondheid, Welzijn
en Sport om te reageren op het bericht in de NRC «Zonder hun toestemming worden de
medische dossiers van miljoenen Nederlanders gekopieerd en «ergens» opgeslagen», zend
ik u hierbij mij reactie.1

De Minister van Volksgezondheid, Welzijn en Sport,
E.J. Kuipers

Reactie op het bericht «Zonder hun toestemming worden de medische dossiers van miljoenen
Nederlanders gekopieerd en «ergens» opgeslagen»

Inleiding

Op 18 juli jl. publiceerde de NRC het artikel «Zonder hun toestemming worden de medische dossiers van miljoenen Nederlanders gekopieerd
en «ergens» opgeslagen». Dit artikel gaat in op de inzet van een commerciële softwareleverancier bij de verwerking
van gedigitaliseerde medische gegevens, teneinde de huisartsenzorg te vereenvoudigen
(lees: een daling van de administratieve lasten te bewerkstelligen). De software wordt
door veel huisartsen gebruikt voor het beheren van de zorg voor patiënten met chronische
aandoeningen, zoals diabetes. In het artikel is beschreven dat enkele huisartsen zich
zorgen maken over de inzet van de betreffende softwareleverancier en daarmee samenhangend
de positie van een huisarts ten opzichte van de commerciële softwareleverancier.

Naar aanleiding van het NRC-artikel hebben de Kamerleden Van Haga (Groep Van Haga)
en Bushoff (PvdA) vragen gesteld. Deze vragen heb ik op dinsdag 12 september jl. van
antwoord voorzien.2 Vervolgens heeft de vaste Commissie voor Volksgezondheid, Welzijn en Sport om een
(algemene) reactie gevraagd op het NRC-artikel. Deze brief is gebaseerd op de eerder
verstuurde antwoorden. Mijn reactie op het NRC-artikel ziet derhalve op het juridische
kader met betrekking tot de bescherming van persoonsgegevens, de rol van de Autoriteit
Persoonsgegevens (AP), de uitdagingen op de zorg-ICT-markt, informatieveiligheid en
alternatieve methoden om gegevens uit te wisselen.

Juridisch kader ter bescherming van persoonsgegevens

Er is thans wet- en regelgeving die vereist dat medische gegevens goed worden beschermd.
Zo is er de AVG en de Uitvoeringswet AVG (UAVG), op basis waarvan gezondheidsgegevens
niet zomaar mogen worden verwerkt en waarin is geregeld dat betrokkenen in beginsel
op de hoogte moeten worden gehouden van de verwerking van hun persoonsgegevens. Daarnaast
stelt genoemde wetgeving eisen aan de verwerking van persoonsgegevens, zoals dat de
verwerking rechtmatig, behoorlijk en transparant moet zijn.3 De AVG bepaalt ook dat passende technische en organisatorische maatregelen moeten
worden genomen om gegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking,
evenals tegen onbedoeld verlies, vernietiging of beschadiging. Aanvullende voorschriften
op nationaal niveau specificeren dit verder, zoals het Besluit elektronische gegevensverwerking
door zorgaanbieders, dat vereist dat zorgaanbieders voldoen aan informatiebeveiligingsnormen
zoals NEN 7510, NEN 7512 en NEN 7513.

Daarnaast geldt het medisch beroepsgeheim, dat met zich brengt dat een hulpverlener
in beginsel moet zwijgen over alles dat aan hem door de patiënt wordt toevertrouwd.
Het belang van het wettelijk beroepsgeheim wordt benadrukt door de strafbaarstelling
van schending ervan. Voor softwareleveranciers die als verwerker ten behoeve van de
zorgaanbieder persoonsgegevens verwerken, geldt een afgeleid medisch beroepsgeheim.
Dat betekent dat voor hen dezelfde (geheimhoudings)regels gelden als voor hulpverleners.
Al deze regels borgen dat commercieel gebruik van medische gegevens niet zomaar is
toegestaan.

Het is primair aan zorgaanbieders om te zorgen dat voldaan wordt aan de internationale
en nationale wet- en regelgeving en daar de nodige voorzieningen voor te treffen.
Daarbij maak ik mij hard voor informatieveiligheid. Dit doe ik onder andere met de
ondersteuning van het Computer Emergency Response Team voor de zorg (Z-CERT) en het
programma «Informatieveilig gedrag». Dit programma heeft als doel dat veel meer zorgorganisaties
effectieve interventies kiezen om gedragsverandering bij zorgprofessionals te bereiken
op het gebied van informatieveiligheid. Naast toezicht vanuit de IGJ hierop is het
uiteraard de Autoriteit Persoonsgegevens (AP) die – ook in onderhavige geval – toezicht
houdt op de naleving van de AVG en andere privacywetten in Nederland.

Onderzoek AP

In 2018 deed de AP onderzoek naar de onderhavige casus. De AP zag destijds geen aanleiding
tot vervolgonderzoek. De AP heeft daar de volgende redenen voor gegeven. Allereerst
worden de geëxtraheerde gegevens meteen automatisch versleuteld en zijn deze gegevens
alleen toegankelijk voor de huisarts (die de sleutel heeft). De softwareleverancier
en de ketenzorggroep hebben geen sleutel. Als tweede reden gaf de AP aan dat medische
gegevens niet met externen worden gedeeld, voor bijvoorbeeld wetenschappelijk onderzoek
of statistiek.

De AP is een onafhankelijk toezichthouder. De observaties en adviezen van de AP worden
niet door mij gestuurd of beïnvloedt; het is nadrukkelijk niet aan mij om de AP te
bewegen om verder vervolgonderzoek te doen. Verder is het ook niet aan mij om een
oordeel te geven over de rechtmatigheid van de gegevensverwerkingen die hier aan de
orde zijn. Dat vergt onder meer een gedegen onderzoek naar de feiten en omstandigheden
en het van toepassing zijnde wettelijke kader. Dit is ook aan de AP.

Wel geef ik u een aantal overwegingen mee die zien op alternatieve methoden om gegevens
uit te wisselen en de uitdagingen op de zorg-ICT-markt.

Alternatieven methoden voor gegevensdeling (nationale visie en strategie op het gezondheidsinformatiestelsel)

In de moderne en «digitale» huisartspraktijk van nu is het digitaal werken en de bijbehorende
centrale opslag van data nodig om het dagelijks werk en de patiëntenzorg goed en effectief
uit te voeren. Dagelijks zijn zorgverleners zich bewust van het belang van zorgvuldig
omgaan met en het gebruik van medische gegevens.

Binnen de ketenzorg werken meerdere zorgverleners vanuit verschillende organisaties
samen aan de behandeling van één patiënt. Iedere organisatie heeft een eigen informatiesysteem,
maar voor een integraal patiëntbeeld moet men ook de informatie van elkaar hebben.
Er zijn verschillende methoden om medische gegevens te delen met andere behandelaars.
Op basis van hun rol van verwerkingsverantwoordelijke in de zin van de AVG is het
aan de betrokken zorgaanbieders om te boordelen en vast te stellen of de gekozen oplossing
voldoet aan de geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging.

In de nationale visie is vastgesteld dat we naar een integraal georganiseerd gezondheidsinformatiestelsel
moeten groeien, waarin data beschikbaar, bereikbaar en bruikbaar moet zijn voor preventie,
het primaire zorgproces en secundair datagebruik. Daarvoor moeten burgers, zorgverleners,
zorgaanbieders, onderzoekers en beleidsmakers vertrouwen hebben in elkaar en in het
zorgvuldig gebruik van data. Om dat vertrouwen een rotsvaste basis te geven is regie
vanuit VWS nodig. Om deze basis te creëren zet ik in op de standaardisatie van taal
en techniek en de implementatie van generieke functies. Standaardisatie maakt het
mogelijk de huidige en nieuwe infrastructuren te verbinden waardoor een landelijk
dekkend netwerk ontstaat. Voor een uitgebreide uiteenzetting van mijn beleidslijn
om te komen tot een landelijk dekkend netwerk van infrastructuren verwijs ik u graag
naar mijn Kamerbrief van 13 april 2023 «Landelijk dekkend netwerk van infrastructuren».4

Zorg-ICT-markt en het bijbehorende Actieplan

In Nederland is bewust gekozen voor een vrije markt, zodoende ook in de zorg-ICT.
Ik ben van mening dat dit de ontwikkeling van innovatieve oplossingen ten goede komt.
Zonder commerciële partijen zou het nodige ontwikkel- en innovatieklimaat niet bestaan.
Over het algemeen is het acceptabel dat zorgaanbieders (vanuit hun eigen verantwoordelijkheid)
commerciële softwareleveranciers – als verwerkers in de zin van de AVG – inschakelen
die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerken. In
dat kader moeten verwerkersovereenkomsten met de softwareleveranciers worden gesloten,
waarin gezamenlijk afspraken worden gemaakt over de bescherming en beveiliging van
persoonsgegevens (artikel 28 AVG). Uiteraard geldt daarbij ook dat verwerkers zich
moeten houden aan de AVG.

Met het Actieplan zorg-ICT-markt probeer ik de markt opener, eerlijker en toekomstgericht
te maken. Meer specifiek wil ik door inrichting van een catalogus van zorg-ICT-systemen,
zorgaanbieders en ICT-inkopers in staat stellen om ICT-producten en diensten met elkaar
te vergelijken, bijvoorbeeld op basis van functionaliteiten of keurmerken. Zo kunnen
zorgaanbieders een weloverwogen keuze maken ten aanzien van het samenwerken met softwareleveranciers.

Ook wil ik met het Actieplan de onderhandelingspositie van zorgaanbieders verbeteren
ten opzichte van softwareleveranciers en werk ik aan voornoemde inrichting van (cross)sectoraal
leveranciersmanagement.

Conclusie en staande toezegging

Het NRC-artikel laat zien dat het delen van medische gegevens en toestemming daarvoor
een gevoelig onderwerp is en dat dit zo blijft, vooral als commerciële softwarebedrijven
erbij betrokken zijn.

Ten aanzien van de rechtmatigheidsbeoordeling van de gegevensuitwisseling en het doen
van vervolgonderzoek naar onderhavige casus zal de AP als onafhankelijk toezichthouder
bepalen of vervolgonderzoek nodig is. Daarnaast hebben huisartsen een grote eigen
verantwoordelijkheid als het gaat om het delen van medische gegevens en het informeren
van patiënten, en ondersteun ik het zorgveld op informatieveiligheid. Verder werk
ik met het Actieplan Zorg-ICT-markt aan een opener, eerlijker en toekomstgerichte
zorg-ICT-markt.

Zoals ook al benoemd in mijn antwoorden op de vragen van de Leden Van Haga (Groep
Van Haga) en Bushoff (PvdA) zal ik bij brancheorganisaties NHG en InEen vragen om
de opslag en uitwisseling van elektronische patiëntgegevens bij hun achterban onder
de aandacht te brengen.