Antwoord schriftelijke vragen : Antwoord op vragen van het lid Hijink over het bericht ‘Patiëntdossiers in te zien door lek bij ziekenhuis OLVG’
Vragen van het lid Hijink (SP) aan de Minister voor Medische Zorg over het bericht «Patiëntdossiers in te zien door lek bij ziekenhuis OLVG» (ingezonden 2 april 2019).
Antwoord van Minister Bruins (Medische Zorg) (ontvangen 25 april 2019).
Vraag 1
Kent u het bericht «Patiëntdossier in te zien door lek bij ziekenhuis OLVG»?1 Wat is uw reactie daarop?
Antwoord 1
Ja, ik ken het bewuste artikel. Ik vind het zorgelijk als medische gegevens van patiënten
in verkeerde handen vallen. Patiënten moeten te allen tijde kunnen vertrouwen op veilige
uitwisseling van hun gegevens. Zorgaanbieders zijn in de eerste plaats zelf verantwoordelijk
voor de veiligheid van persoonsgegevens. Zij moeten passende maatregelen nemen om
ongeoorloofde inzage in patiëntendossiers te voorkomen en adequaat handelen wanneer
een datalek zich voordoet.
Vraag 2
Wat heeft de Autoriteit Persoonsgegevens ondernomen naar aanleiding van de melding
van een datalek door het OLVG? Wat was het oordeel van de Autoriteit Persoonsgegevens
met betrekking tot de gedane melding?
Antwoord 2
De AP heeft mij laten weten deze zaak in onderzoek te hebben genomen.
Vraag 3
Deelt u de mening van gezondheidsjurist de heer Hooghiemstra dat het hier om een zeer
ernstige zaak gaat waarbij het gevoel van urgentie volstrekt ontbreekt?2
Antwoord 3
Het is zorgelijk als medische gegevens van patiënten ingezien kunnen worden door personen
die niet bevoegd zijn om die gegevens in te zien. Patiënten moeten er op kunnen vertrouwen
dat zorgverleners op de juiste wijze met hun gegevens omgaan.
Het OLVG heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en heeft maatregelen
getroffen. De Autoriteit Persoonsgegevens ziet vanuit haar toezichthoudende taak toe
of voorgenomen maatregelen met gepaste urgentie worden uitgevoerd om binnen afzienbare
tijd tot een passend beveiligingsniveau te komen.
Vraag 4
Bent u van mening dat het OLVG voldoende en voldoende tijdige maatregelen heeft getroffen
om dergelijke problemen in de toekomst te voorkomen?
Antwoord 4
Zoals ik in mijn beantwoording op vraag 1 heb aangegeven is het treffen van informatieveiligheidsmaatregelen
een verantwoordelijkheid van ziekenhuizen zelf. Zorgaanbieders moeten zich reeds onder
meer houden aan een aantal zorgbrede Nederlandse normen voor informatieveiligheid
in de zorg (NEN-normen) en voorschriften van de Algemene Verordening Persoonsgegevens
(AVG). Daarnaast moeten datalekken of andere ICT-incidenten worden gemeld bij de Autoriteit
Persoonsgegevens (AP).
Op eerder gestelde vragen (Aanhangsel Handelingen, vergaderjaar 2018–2019, nr. 1854) door het Kamerlid Mulder (PVV) over het datalek bij het OLVG heb ik op 13 maart
jl. aan uw Kamer gemeld dat het OLVG vrijwel direct na het datalek een melding heeft
gemaakt bij de AP en dat het OLVG mij heeft gemeld passende maatregelen te hebben
genomen. Het OLVG heeft mij ook gemeld dat het datalek kort daarna direct is opgelost.
Verder heeft het OLVG bevestigd dat er afdoende technische en organisatorische maatregelen
zijn getroffen. Zo meldt men de rechten in het systeem te hebben nagelopen en waar
nodig beperkt. De blokkades en waarschuwingen zijn aangescherpt.
Ook heeft het OLVG mij laten weten dat het lopende interne onderzoek naar onrechtmatige
inzage in dossiers door onbevoegde werkstudenten in een vergevorderd stadium is. Alle
privacy- en veiligheidsrisicogebieden zijn onderzocht, de belangrijkste maatregelen
op korte termijn zijn genomen, lange termijn verbeteringen zijn in gang gezet. Het
OLVG heeft daarnaast aangegeven dat betrokken patiënten en de AP te zijner tijd over
de resultaten van het onderzoek zullen worden geïnformeerd.
Vraag 5
Is bekend of een dergelijke situatie zich ook bij andere ziekenhuizen heeft voorgedaan
of kan voordoen? Indien dit niet bekend is, bent u bereid hier onderzoek naar te doen?
Antwoord 5
Het is mij niet bekend bij welke ziekenhuizen sprake is van soortgelijke situaties.
Zoals reeds gemeld bij het antwoord op vraag 1 en 4 zijn ziekenhuizen zelf verantwoordelijk
voor het leveren van goede en veilige zorg onder alle omstandigheden. De Inspectie
Gezondheidszorg en Jeugd (IGJ) ziet hierop toe.
Uit de informatie die ik ontving van de Onderzoeksraad voor Veiligheid (OVV) blijkt
dat in het lopende onderzoek naar de digitale veiligheid in de ziekenhuizen vooral
wordt gekeken naar hoe ziekenhuizen storingen en misbruik van data en informatietechnologie
proberen te voorkomen. Ook wordt gekeken in hoeverre zij voorbereid zijn om de gevolgen
daarvan te beperken. Afhankelijk van de uitkomsten van het OVV-onderzoek, dat ik verwacht
in het derde kwartaal van dit jaar, bezie ik of en zo ja welke acties nodig zijn om
risico’s op ICT-storingen en/of datalekken in ziekenhuizen te mitigeren.
Vraag 6
Deelt u de mening van gezondheidsjurist de heer Hooghiemstra dat het probleem om een
diametraal andere aanpak vraagt, om te beginnen met veel meer feitelijk onderzoek
ter plekke door de toezichthouders, de Autoriteit Persoonsgegevens, de Inspectie en
de functionarissen gegevensbescherming?
Antwoord 6
De beveiliging van medische gegevens valt onder de verantwoordelijkheid van de individuele
ziekenhuizen zelf. De toezichthouders zien erop toe of persoonsgegevens voldoende
worden beschermd. Hoe zij het toezicht inrichten is aan de toezichthouders zelf, uiteraard
binnen de kaders die zij hebben meegekregen.
Ondertekenaars
-
Eerste ondertekenaar
B.J. Bruins, minister voor Medische Zorg
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.