Antwoord schriftelijke vragen : Antwoord op vragen van het lid Edgar Mulder over het data-lek bij het ziekenhuis OLVG waardoor onbevoegde studenten medische dossiers hebben ingezien

Antwoord van Minister Bruins (Medische Zorg) (ontvangen 14 maart 2019).

Vraag 1

Bent u bekend met het bericht «Patiëntdossiers in te zien door lek bij ziekenhuis
OLVG»?1

Wat is uw reactie hierop?

Vraag 2

Is al bekend hoeveel en welke dossiers het betreft en zijn de betreffende patiënten
op de hoogte gesteld? Zo nee, waarom niet?

Vraag 3

Hebben onbevoegde werkstudenten nog steeds toegang of is het data-lek inmiddels waterdicht?

Antwoord 1, 2 en 3

Ja, ik ben bekend met het bewuste artikel. Ik vind het zorgelijk als medische gegevens
van patiënten in verkeerde handen vallen. Patiënten moeten te allen tijde kunnen vertrouwen
op het veilig beschermen en delen van hun gegevens. Zorgaanbieders zijn in eerste
plaats zelf verantwoordelijk voor de informatieveiligheid van hun patiënten. Ze moeten
passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen
en adequaat handelen wanneer een datalek zich voordoet.

Het OLVG heeft mij als volgt gemeld. Het OLVG heeft melding gemaakt van een datalek
bij de Autoriteit Persoonsgegevens (AP) en er zijn maatregelen genomen. Men heeft
mij ook gemeld dat de autorisatie van medewerkers tot de EPD-systemen verder is aangescherpt
en dat privacy een nadrukkelijker plek in het inwerkprogramma voor werkstudenten en
voor alle andere medewerkers binnen het OLVG krijgt. Het OLVG doet onderzoek naar
de dossiers die onrechtmatig zijn ingezien door onbevoegde werkstudenten. Betrokken
patiënten en de AP zullen over de resultaten van het onderzoek worden geïnformeerd.

Vraag 4

Heeft u al een actieplan klaarliggen om deze en andere data-lekken in de zorgsector
aan te pakken?

Antwoord 4

Zoals ik in de beantwoording op vragen 1, 2 en 3 heb aangegeven valt informatiebeveiliging
in de eerste instantie onder de verantwoordelijkheid van zorgaanbieders zelf. Zorgaanbieders
moeten zich reeds onder meer houden aan een aantal zorgbrede Nederlandse normen voor
informatieveiligheid in de zorg (NEN-normen) en de voorschriften van de Algemene Verordening
Persoonsgegevens (AVG). Datalekken of andere ICT-incidenten moeten worden gemeld bij
de AP.

Gezien het belang van informatieveiligheid ondersteunt VWS de zorgsector hierbij in
toenemende mate. Zoals ik in mijn Kamerbrief over «Elektronische gegevensuitwisseling
in de zorg» van 20 december 2018 jl. heb aangekondigd, wil ik toewerken naar wettelijke
verplichting om onder andere veiligheidsbelemmeringen in elektronische gegevensuitwisseling
in de zorg aan te pakken. Daarnaast is met ondersteuning van VWS het Computer

Emergency Response Team (Z-CERT) voor de zorgsector opgezet en in januari 2018 officieel
gestart. Deze organisatie helpt aangesloten zorginstellingen bij monitoring, preventie
en reparatie van ICT-incidenten. VWS ziet Z-CERT als het cybersecuritycentrum voor
de zorg en draagt bij aan de doorontwikkeling ervan.

Ik vind dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie
als Z-CERT. Zoals toegezegd op de aangenomen motie Ellemeet2 onderzoek ik het verplichtstellen van de deelname van zorginstellingen aan Z-CERT
zal tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken.
Ik zal uw Kamer hierover in de loop van dit jaar informeren.

Tot slot hebben zorgkoepels in samenwerking met VWS een Actieplan Verhoging bewustzijn informatiebeveiliging Patiëntengegevens opgesteld en hiermee de verhoging van bewustwording van informatiebeveiliging zelf
opgepakt. Het Actieplan is uitgebreid en verbreed naar alle zorgbranches. Het actieplan
wordt geleid door Brancheorganisaties Zorg (BoZ). Voor het zomerreces wordt uw Kamer
geïnformeerd over de voortgang van het actieplan.

Vraag 5

Deelt u de mening dat we moeten stoppen met het delen van complete medische dossiers
en dit moeten beperken tot een basisset waar de patiënt zelf de regie over voert?
Zo nee, waarom niet?

Antwoord 5

Er bestaat niet één basisset van gegevens die op zichzelf voldoet in alle uitwisselingen
van informatie die in het kader van behandeling plaatsvinden. Elke overdracht en uitwisseling
vereist een andere set gegevens die noodzakelijk is voor de (vervolg)behandeling van
een patiënt.

Regie voor de patiënt omarm ik van harte. Ik vind het van groot belang dat patiënten
weten waar hun gegevens zich bevinden en weten en mee kunnen bepalen wat ermee gebeurt.
In de Wet op de geneeskundige behandelovereenkomst (de WGBO) is geregeld dat gegevens
uit een medisch dossier alleen met toestemming van de patiënt aan anderen kunnen worden
verstrekt. Uit de WGBO volgt echter ook een aantal uitzonderingen op deze regel. Zo
is expliciete toestemming niet nodig voor het verstrekken van noodzakelijke inlichtingen
aan degene die rechtstreeks betrokken is bij de behandelrelatie en degene die optreedt
als vervanger van de hulpverlener.