Antwoord schriftelijke vragen : Antwoord op vragen van het lid Veldman over het bericht 'Brabants ziekenhuis merkte jarenlang datalekken niet op'
Vragen van het lid Veldman (VVD) aan de Minister voor Medische Zorg over het bericht «Brabants ziekenhuis merkte jarenlang datalekken niet op» (ingezonden 15 december 2020).
Antwoord van Minister Van Ark (Medische Zorg) (ontvangen 21 januari 2021). Zie ook
Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 1235.
Vraag 1
Bent u bekend met het bericht «Brabants ziekenhuis merkte jarenlang datalekken niet
op»?1
Antwoord 1
Ja.
Vraag 2
Kunt u aangeven hoe er toezicht wordt gehouden op het gebruik van noodprocedures om
medische dossiers te bekijken? Kunt u aangeven waar dit dan in het geval van dit ziekenhuis
is misgegaan en hoe dit in de toekomst wordt voorkomen?
Antwoord 2
De beveiliging van medische dossiers, waaronder de noodprocedures om dossiers in te
kunnen zien, is de verantwoordelijkheid van de zorgaanbieders en de regels zijn streng
en duidelijk. Een zorgaanbieder dient van iedere inzage logging te bewaren en deze
periodiek te controleren op eventueel misbruik. De zorgaanbieder dient misbruik te
melden bij de Autoriteit Persoonsgegevens (AP) en het is aan de AP om hierop toezicht
te houden.
Het Bravis ziekenhuis laat mij weten dat een medewerker misbruik heeft gemaakt van
zijn of haar bevoegdheid en van het in die medewerker gestelde vertrouwen. Het ziekenhuis
heeft dit in 2018 geconstateerd, de beveiliging van de dossiers gecontroleerd en waar
nodig aangescherpt en arbeidsrechtelijke maatregelen genomen tegen deze medewerker.
Daarnaast heeft het ziekenhuis de klacht een de betrokken patiënt behandeld en een
melding bij de AP gedaan.
Het Bravis ziekenhuis geeft ook aan sinds 2018 de informatiebeveiliging te verbeteren,
onder andere door inzet van nieuwe systemen die hiervoor meer mogelijkheden bieden.
Het Bravis ziekenhuis laat haar informatiebeveiliging en privacybescherming in 2021
toetsen door onafhankelijke deskundigen. Ook neemt het Bravis ziekenhuis deel aan
een landelijk programma waarbij alle Nederlandse ziekenhuizen zich in 2021 laten auditen
op de toegangsbeveiliging van digitale patiëntendossiers.
Vraag 3
Waar kunnen patiënten terecht wanneer zij na willen gaan wie hun medisch dossier heeft
bekeken?
Antwoord 3
Als iemand wil nagaan wie zijn of haar medisch dossier heeft ingezien, kan hij of
zij bij de zorgaanbieder zelf terecht.
Vraag 4
Welke maatregelen worden c.q. kunnen er genomen worden tegen personeel dat onbevoegd
dossiers raadpleegde? Deelt u de mening dat hier stevige sancties nodig zijn?
Antwoord 4
Onrechtmatige inzage in een medisch dossier vind ik onaanvaardbaar. Alleen personen
die direct betrokken zijn bij de behandelovereenkomst mogen het patiëntendossier inzien.
Als personeel onrechtmatig dossiers raadpleegt, is het aan de werkgever of en welke
maatregelen tegen dit personeel genomen worden. Het Bravis ziekenhuis geeft, gezien
de privacy van betrokkenen, geen verdere details over de gebeurtenis waar de NRC over
schrijft. Het is aan de toezichthouder om te bepalen of en welke sancties van toepassing
zijn. Zoals hierboven beantwoord, is er melding gedaan bij de AP.
Vraag 5 en 6
Bent u van mening dat het voor patiënten makkelijker zou moeten zijn om na te gaan
wie hun medische gegevens bekijkt? Zo ja, welke stappen bent u voornemens hierin te
nemen?
Deelt u de mening dat patiënten meer eigen regie zouden moeten hebben in het bepalen
wie hun medische gegevens kan bekijken? Zo ja, welke stappen bent u voornemens hierin
te nemen?
Antwoord 5 en 6
Ik vind het belangrijk dat mensen regie hebben over hun gegevens. Op grond van artikel
15 van de Algemene Verordening Gegevensbescherming (AVG) hebben mensen recht op inzage
in hun medische gegevens en is er een klachtenmogelijkheid via de Autoriteit Persoonsgegevens
(AP). Daarom is het verplicht loggegevens bij te houden.
Op 1 juli 2020 is artikel 15e van de Wet aanvullende bepalingen verwerking persoonsgegevens
in de zorg (Wabvpz) in werking getreden. In artikel 15e van de Wabvpz wordt er ingegaan
op logging en specifiek welke loggingsinformatie moet worden opgenomen in een afschrift.
Op grond van artikel 15e kan een cliënt verzoeken om een overzicht, met daarin opgenomen
wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde
informatie heeft ingezien.
Via de VIPP-regeling stimuleer ik de ontwikkeling van patiëntportalen om patiënten
zelf de regie over hun medische gegevens te kunnen laten voeren. In diverse portalen
is het voor een patiënt mogelijk de logging direct online in te zien.
Samen met het zorgveld werk ik toe naar de juiste zorg op de juiste plek op het juiste
moment met de juiste informatie. Elektronische gegevensuitwisseling tussen zorgverleners
is daarin essentieel. Landelijke beschikbaarheid van infrastructuren en randvoorwaardelijke
voorzieningen kan het elektronisch uitwisselen van gegevens versnellen. Hier werk
ik aan. Een van de grondslagen voor elektronisch uitwisselen van gegevens is dat burgers
op eenvoudige en eenduidige wijze toestemming moeten kunnen geven om hun eigen patiëntgegevens
beschikbaar te maken; zorgverleners hebben de plicht tot geheimhouding – het medisch
beroepsgeheim. Deze zaken licht ik nader toe in mijn brief aan uw Kamer, «Prioriteiten
elektronische gegevensuitwisseling resterende kabinetsperiode» van 14 december 20202.
Ondertekenaars
-
Eerste ondertekenaar
T. van Ark, minister voor Medische Zorg
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.