Antwoord schriftelijke vragen : Antwoord op vragen van de leden Ploumen en Kerstens over het gebrekkige toezicht op de data van patiënten

Antwoord van Minister Bruins (Medische Zorg), mede namens de Ministers van Binnenlandse
Zaken en Koninkrijksrelaties en van Volksgezondheid, Welzijn en Sport (ontvangen 6 september
2019). Zie ook Aanhangsel Handelingen, vergaderjaar 2018–2019, nr. 3569.

Vraag 1

Heeft u kennisgenomen van het bericht in NRC Handelsblad: «Patiëntendata hebben strenger
toezicht nodig»?1

Antwoord 1

Ja.

Vraag 2, 3, 6

Wat is uw reactie op dit bericht?

Deelt u de mening dat patiënten er zeker van moeten kunnen zijn dat hun gegevens beschermd
worden?

Welke verantwoordelijkheid heeft u ambtshalve in het beschermen van deze gegevens
en welke maatregelen kunt u treffen?

Indien uw informatiepositie u niet in staat stelt vraag 3 en 4 diepgaand te beantwoorden,
vindt u dan dat u hier onderzoek naar zou moeten doen om de persoonlijke levenssfeer
van patiënten te garanderen?

Antwoord 2, 3, 6

Ik hecht bij de verwerking van medische gegevens het grootste belang aan informatiebeveiliging
en privacybescherming. Patiënten moeten kunnen vertrouwen op een veilige bescherming
van hun gegevens zoals vastgelegd in wet- en regelgeving, waaronder de Algemene Verordening
Gegevensbescherming (AVG) en de Wet op de geneeskundige behandelovereenkomst (Wgbo).
De verantwoordelijkheid hiervoor ligt in de eerste plaats bij de zorgaanbieders. Zij
moeten zorgen voor organisatorische en technische maatregelen om voldoende waarborgen
te bieden bij het verwerken en opslaan van patiëntgegevens. Sinds 1 januari 2018 is
het werken volgens en voldoen aan de NEN-normen 7510, 7512 en 7513 verplicht gesteld
in het Besluit Elektronische Gegevensverwerking Zorgaanbieders. Het is goed dat zorgverleners
zich daar bewust van zijn. Mijn doel is er aan bij te dragen dat de Nederlandse zorg,
lerend van de praktijk, tot steeds betere uitkomsten kan komen met behoud van informatiebeveiliging
en privacybescherming. Het anonimiseren van herleidbare persoonsgegevens tot geanonimiseerde
niet herleidbare gegevens is één van de vele maatregelen die kunnen worden genomen
om de privacy van de patiënt te beschermen. De AVG is dan niet meer van toepassing
(Grond 26 van de AVG).

Ik zal uw Kamer op verschillende momenten informeren over het borgen van de persoonlijke
levenssfeer van patiënten:

– Voor het AO Gegevensuitwisseling op 9 oktober 2019 zal ik uw Kamer nader zal informeren
over mijn beleid ten aanzien van informatiebeveiliging in de zorg. Hierin zal ik ook
de uitkomsten meenemen van het onafhankelijke onderzoek naar de wenselijkheid van
het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata naar aanleiding
van Kamervragen over Medische gegevens duizenden Nederlanders verplaatst naar Google (Aanhangsel Handelingen, vergaderjaar 2018–2019, nr. 2457).

– Op uw verzoek stuur ik voor het AO Gegevensuitwisseling op 9 oktober 2019 mijn reactie
op het voorstel van de Patiëntenfederatie Nederland voor het instellen van een patiëntgeheim.
Deze reactie bevat ook een nadere analyse van de wijze waarop de bescherming van patiëntgegevens
geregeld is.

– Aan het einde van dit jaar zal ik u een update geven van mijn brief Data laten werken voor gezondheid (Kamerstuk 27 529, nr. 164) waarin ik aangeef dat data alleen kan werken voor gezondheid als er voldoende vertrouwen
is in het gebruik daarvan.

Vraag 4, 5

Kunt u bevestigen dat het Amerikaanse bedrijf Epic, dat achter de patiëntenbeheer-software
zit, toegang heeft tot geanonimiseerde patiëntendata? Hoe lang weet u dit al?

Van welke software maken de overige ziekenhuizen in Nederland gebruik voor hun patiëntenbeheer?
Geldt hiervoor eveneens dat het bedrijf achter de software de data van patiënten kan
gebruiken?

Antwoord 4, 5

Naar aanleiding van het NRC artikel en uw vragen heb ik contact gezocht met het Amerikaanse
bedrijf en het Amsterdam UMC. Het bedrijf geeft aan dat het systeem waarnaar in het
NRC artikel wordt verwezen niet wordt aangeboden in Nederland. Het Amsterdam UMC geeft
ook aan dat zij en de ziekenhuizen die met dezelfde software leverancier werken dit
systeem niet gebruiken.

Ziekenhuizen dragen zelf de verantwoordelijkheid voor hun software voor patiëntenbeheer
en hetgeen ze afspreken met de leveranciers in hun contracten. Uiteraard moeten zij
hierbij voldoen aan de geldende wet- en regelgeving. Elk ziekenhuis gebruikt software
van verschillende leveranciers, bijvoorbeeld voor de verwerking van dossiers, labuitslagen,
genetica en beeldmateriaal. Het gaat dan ook te ver om die systemen individueel te
benoemen.

Vraag 7

Wat vindt u ervan dat patiëntendata voor digitale toepassingen minder goed beschermd
worden dan patiëntendata die wordt gebruikt voor «analoge onderzoeken»?

Antwoord 7

De bescherming die de AVG biedt, maakt geen onderscheid tussen digitaal of analoog.
Die is voor beide categorieën van toepassing.

Vraag 8

Welke aanvullende maatregelen kunt u mogelijk treffen om patiëntendata voor digitale
toepassingen beter te beschermen?

Antwoord 8

In de beantwoording van de vorige vragen heb ik aangegeven dat er al veel wettelijk
geregeld is. Zoals eerder aangeven in de beantwoording van vraag 6 kom ik nog dit
jaar bij u terug op de bescherming van patientendata voor digitale toepassingen.

Vraag 9

Wat vindt u ervan dat patiënten er niet over worden geïnformeerd dat hun data voor
grootschalig onderzoek worden gebruikt? Bent u van mening dat dit wel zou moeten en
dat patiënten de keuze tot deelname voorgelegd zouden moeten krijgen?

Antwoord 9

In de situatie bij het Amsterdam UMC die u aanhaalt hebben betrokken partijen mij
gemeld dat er geen sprake is van het delen van data.

Voor wetenschappelijk onderzoek moet voor zover mogelijk gebruik gemaakt worden van
geanonimiseerde niet herleidbare gegevens of van toestemming van de betreffende patiënten.
Bij geanonimiseerde data is de AVG niet van toepassing (Grond 26 van de AVG). De AVG
en de WGBO bieden de mogelijkheid om onder strikte voorwaarden onderzoek te doen zonder
toestemming. Hier hoort onder andere bij dat de gevraagde gegevens noodzakelijk en
passend moeten zijn voor het doel waarvoor deze gevraagd worden, dat de patiënt geïnformeerd
moet worden over het gebruik van de eigen data, en dat voldaan wordt aan andere voorwaarden
die door wet- en regelgeving worden gesteld.

Vraag 10, 11

Welke mogelijke risico’s voor de toegankelijkheid tot de zorg ziet u indien enkele
bedrijven in de toekomst een monopolie hebben op belangrijke digitale zorgtoepassingen?

Vindt u dat de Nederlandse overheid beleid zou moeten maken om ervoor te zorgen dat
van deze monopoliepositie geen misbruik kan worden gemaakt? Welke mogelijkheden ziet
u daartoe?

Antwoord 10, 11

Ik vind het belangrijk dat zorgaanbieders en hun toeleveranciers zich onderscheiden
op toegevoegde waarde en slimme diensten voor de patiënt en niet op het bezit van
data.

Ik vind het dan ook mooi om te zien dat het bedrijfsleven, patiënten, zorgverzekeraars
en de zorgverleners de handen in een slaan om digitale gegevensuitwisseling in de
zorg te bevorderen en het manifest Samen Vooruit: een ambitie voor gegevensuitwisseling in de zorg2
hebben opgesteld.

Verder heb ik in de derde brief elektronische gegevensuitwisseling in de zorg (Kamerstukken II, vergaderjaar 2018–2019, 27 529, nr. 189) aangegeven dat ik stap voor stap voor steeds meer gegevensuitwisselingen in de zorg
wettelijk verplicht wil stellen dat deze digitaal plaatsvindt. Dit zal aangewezen
zorgaanbieders verplichten om gezondheidsdata volgens een vast format te delen met
anderen en daarmee zal het risico op een monopoliepositie worden verkleind.

Tot slot is in Nederland reeds de, op Europese wetgeving gebaseerde, Mededingingswet
van kracht. Hierin is onder meer een verbod op misbruik van een economische machtspositie
opgenomen. De ACM ziet hier als onafhankelijke toezichthouder op toe.