Antwoord schriftelijke vragen : Antwoord op vragen van het lid Van Esch over de Corona Opt-In, de wijze waarop mensen hun medische gegevens kunnen beschermen en mogelijk verkeerde antwoorden van de minister
Vragen van het lid Van Esch (PvdD) aan de Ministers voor Medische Zorg en van Volksgezondheid, Welzijn en Sport over de Corona Opt-In, de wijze waarop mensen hun medische gegevens kunnen beschermen en mogelijk verkeerde antwoorden van de Minister (ingezonden 24 februari 2021).
Antwoord van Minister Van Ark (Medische Zorg) (ontvangen 12 april 2021). Zie ook Aanhangsel
Handelingen, vergaderjaar 2020–2021, nr. 2011.
Vraag 1
Kunt u bevestigen dat de Corona Opt-In, de tijdelijke maatregel waarmee 8 miljoen
medische dossiers van mensen die daar nooit toestemming voor hebben gegeven zijn opengesteld,
nog altijd werkzaam is? Bent u nog altijd voornemens deze maatregel vast te leggen
in een algemene maatregel van bestuur (AMvB)?
Antwoord 1
De Corona Opt-in geldt nog. Het maakt het uitsluitend mogelijk voor de zorgverleners
op de Huisartsenpost (HAP) of de afdelingen Spoedeisende Hulp (SEH) om tijdens de
Covid-19 crisis een beperkte set medische informatie bij de huisarts te mogen raadplegen
wanneer zij patiënten in het kader van de behandeling ter plekke toestemming gevraagd
hebben. Op 27 februari jl. hadden 8,2 miljoen mensen hun toestemming geregistreerd
om hun gegevens bij spoed raadpleegbaar te maken voor de HAP. Op 24 februari jl. waren
er 6,5 miljoen mensen die nog geen keuze kenbaar hadden gemaakt. Van al deze mensen
is de relevante set informatie, te weten de Professionele Samenvatting (PS) in het
kader van de coronacrisis tijdelijk te raadplegen op de HAP en SEH onder voornoemde
voorwaarde.
De desbetreffende AMvB is ter advisering voorgelegd aan de Autoriteit Persoonsgegevens
(AP). Momenteel beraad ik mij op de verwerking van het recente advies van de AP. Ik
kom hier in een aparte brief aan de Kamer op terug.
Vraag 2, 3, 16
Vindt u het wenselijk dat zonder dat mensen ervan weten hun medische gegevens in te
zien zijn voor mogelijk duizenden mensen die niets met hun medisch gegevens te maken
hebben?
Kunt u onderbouwen waarom op dit moment geen einde gemaakt kan worden aan deze onwettige
gedoogconstructie en waarom terug naar de wettelijke procedure zoals die bestond vóór
het instellen van de Corona Opt-In niet mogelijk zou zijn?
Antwoord 2, 3, 16
Deze tijdelijke oplossing is nog steeds nodig. De druk op de zorg is onverminderd
groot, vanwege de aanhoudend grote stroom (acute) Covid-patiënten en ook omdat tegelijkertijd
de reguliere acute en geplande zorg zoveel mogelijk doorgang moet vinden. Dit maakt
dat snelle triage en behandeling op de HAP en SEH nog steeds van het grootste belang
is.
Ik vind dat er in het kader van de Corona Opt-in voldoende waarborgen zijn ingebouwd
om de maatregel zolang noodzakelijk in het kader van Covid-19 te laten voortduren.
De medische gegevens die raadpleegbaar zijn via de Corona Opt-in, zijn dat enkel door
geautoriseerde zorgprofessionals bij HAP’s en SEH’s en alleen als zij een behandelrelatie
hebben met de patiënt. Dit zijn allen gekwalificeerde zorgprofessionals die in het
kader van goede zorg en behandeling deze gegevens nodig achten. Voordat zij deze gegevens
raadplegen, dienen zij toestemming te vragen aan de patiënt. Daarbij wordt raadpleging
gelogd, en deze loggegevens zijn ook weer inzichtelijk voor patiënten. Daarnaast houdt
de zorgaanbieder (HAP/SEH) ook een eigen logging bij. De uitwisseling zelf wordt gemonitord
op potentieel misbruik.
Vraag 4
Klopt het dat de medewerkers van huisartsenposten (HAP’s) en de spoedeisende hulpen (SEH’s) een samenvatting van de medische gegevens van deze 8 miljoen
mensen kunnen inzien?
Antwoord 4
Door de Corona Opt-in is van de mensen die nog geen keuze hebben gemaakt potentieel
een beperkte set gegevens beschikbaar (de PS). Deze gegevens zijn enkel door geautoriseerde
zorgprofessionals bij HAP’s en SEH’s inzichtelijk, die in bezit zijn van een UZI-pas
en alleen als het nodig is voor snelle triage en behandeling van de patiënt. Het zijn
allen gekwalificeerde zorgprofessionals die in het kader van goede zorg en behandeling
deze gegevens nodig achten en aanvullend toestemming dienen te vragen voor raadpleging.
Deze werkwijze is opgenomen in de Richtlijn gegevensuitwisseling huisarts – huisartsenpost
– ambulancedienst – afdeling spoedeisende hulp1. Deze richtlijn is door het veld vastgesteld in 2014.
Vraag 5, 6
Klopt het dat de medewerkers van een apotheek een medicatie-overzicht met bijvoorbeeld
informatie over medicijn gebruik en allergieën kunnen inzien?
Kunt u aangeven waarom u in de Kamer zei: «De corona-opt-in zorgt niet voor toegang
tot deze gegevens voor apothekers bijvoorbeeld»?
Antwoord 5, 6
De Corona Opt-in heeft geen betrekking op apotheken maar is uitsluitend van toepassing
op het beschikbaar stellen van de PS voor zorgverleners op de HAP en SEH. De verwijsindex
in het LSP controleert de rolcode van opvragende zorgverlener. Een apotheker heeft
niet de goede rolcode en is dus niet geauthentiseerd om huisartsgegevens te raadplegen.
Dat is nooit mogelijk geweest. Apothekers hebben alleen toegang tot het medicatieoverzicht
van mensen die expliciet toestemming hebben gegeven aan hun apotheek of apotheken
om medicatiegegevens te delen.
Vraag 7
Klopt het dat de website https://www.volgjezorg.nl/corona-opt recent is aangepast en dat de passage waarin stond dat apotheken toegang hadden tot
het medicatie-overzicht geschrapt is? Zo ja, is deze passage geschrapt omdat deze
onjuist was? Of omdat deze informatie niet graag gedeeld wordt?
Antwoord 7
Een dergelijke passage heeft er volgens de beheerder, te weten de Vereniging van Zorgaanbieders
voor Zorgcommunicatie (VZVZ), niet opgestaan.
Vraag 8
Kunt u aangeven hoeveel medewerkers bij de HAP’s, SEH’s en apotheken toegang hebben
tot deze 8 miljoen medische dossiers waarvoor nooit persoonlijke toestemming tot inzage
is gegeven?
Antwoord 8
Apotheken hebben geen toegang. Alleen de behandelende zorgverleners hebben toegang
tot de gegevens op het moment dat een patiënt noodzakelijke zorg nodig heeft en indien
de patiënt daar ter plekke toestemming voor heeft gegeven (daartoe in staat is). Het
is niet precies te zeggen is hoeveel medewerkers toegang hebben op enig moment.
Er zijn in totaal 113 HAP’s (peildatum oktober 2020) en 83 SEH’s (peildatum juli 2020).
Dienstdoende medisch specialisten hebben toegang. Er zijn 582 SEH-artsen geregistreerd
(peildatum 1 jan 2019), waarvan vermoedelijk ca. 97% werkzaam is. En er zijn 2.984
SEH-verpleegkundigen werkzaam (peildatum 1 januari 2020)2.
Vraag 9, 10, 11
Klopt het dat de enige manier waarop het «opengestelde dossier» weer gesloten kan
worden, is wanneer een burger zich fysiek meldt bij zijn huisarts en daar een geprint
formulier inlevert?
Acht u het wenselijk dat mogelijk duizenden of zelfs miljoenen mensen zich gaan melden
bij de huisarts? Hoe verhoudt zich dit tot het ernaar streven om contacten te beperken
en de druk op de zorg te verlichten?
Wat moet iemand doen die én zijn medische gegevens wil beschermen én bijvoorbeeld
uit angst voor het virus geen bezoek wil brengen aan de huisarts?
Antwoord 9, 10, 11
Zoals ook op http://www.volgjezorg.nl staat aangegeven zijn er 3 mogelijkheden voor mensen om aan te geven of zij willen
dat hun gegevens gedeeld worden met de HAP of SEH of niet.
Optie 1: rechtstreeks bij de huisarts melden
Optie 2: het toestemmingsformulier (beschikbaar op volgjezorg.nl)
invullen en aan de huisarts geven
Optie 3: digitaal doorgeven via volgjezorg.nl
Het is uiteraard ook mogelijk om de keuze telefonisch door te geven aan de huisarts
en het toestemmingsformulier per post of per email te versturen. Bovendien werken
veel huisartsen tegenwoordig met een patiëntenportaal waarin ook berichten verstuurd
kunnen worden van patiënt naar huisarts. Er zijn dus meerdere mogelijkheden voor mensen
om hun keuze door te geven zonder fysiek de huisarts te bezoeken.
Vraag 12, 13
Klopt het dat mensen via volgjezorg.nl kunnen controleren of er iemand zonder toestemming
in hun dossier heeft gekeken?
Acht u het waarschijnlijk dat mensen, die nooit toestemming hebben gegeven aan enige
behandelaar om hun medische gegevens in te zien, periodiek gaan kijken op deze website?
Zo ja, waarom?
Antwoord 12, 13
Voor iedereen is het mogelijk om via volgjezorg.nl om – na inloggen in een persoonlijke
omgeving – te zien welke zorgaanbieder gegevens heeft opgevraagd, wanneer dit gebeurd
is en welke gegevens het betreft. Om te voorkomen dat mensen periodiek op deze website
moeten kijken is het tevens mogelijk om een notificatie in te stellen waarbij mensen
automatisch bericht krijgen wanneer een zorgaanbieder informatie uit het dossier heeft
opgevraagd. Voor de patiënten die geen toestemming hebben gegeven wordt op de SEH
en HAP gevraagd of hun gegevens ingezien mogen worden.
Vraag 14
Kunt u bevestigen dat ook aan de zijde van het ziekenhuis het toezicht op onrechtmatige
inzage onvoldoende op orde is, aangezien het OLVG Ziekenhuis daarvoor recent nog tot
een boete van 440.000 euro veroordeeld werd?3
Antwoord 14
Nee. Het incident waarvoor de boete is opgelegd dateert uit de periode 1 januari 2018
tot en met 17 april 2019. De AP constateert: «OLVG heeft inmiddels deze overtreding
beëindigd doordat zij de procedure ten aanzien van de controle op de logging aangescherpt
heeft en de frequentie van de controle op de logging opgevoerd heeft.»
Wel heeft de AP bepaald dat «de overtreding op structurele wijze voor een langere
periode heeft voortgeduurd» en «Gelet op de aard, de ernst, de omvang en de duur van
de inbreuk ziet de AP aanleiding om het basisbedrag van de boete op grond van artikel
7, aanhef en onder a, van de Boetebeleidsregels te verhogen met € 80.000,– tot € 390.000,–.»
Vraag 15
Weet u of andere ziekenhuizen dit toezicht wel op orde hebben? Zo ja, waar blijkt
dat uit?
Antwoord 15
Een belangrijk onderdeel van de gedragscode/het vak van zorgverleners is het zorgvuldig
omgaan met medische gegevens. Het principe is leidend dat enkel patiëntgegevens worden
ingezien indien dit nodig is voor het leveren van goede zorg, er een behandelrelatie
is en er toestemming van de patiënt is.
De Nederlandse Vereniging van Ziekenhuizen (NVZ) heeft een Gedragslijn Toegangsbeveiliging
digitale patiëntendossiers opgesteld waarin ook aandacht wordt besteed aan registreren
van gebeurtenissen (o.a. toegangslogs). Zij hebben de aangesloten ziekenhuizen gevraagd
om zich hierop uiterlijk 31 mei 2021 te laten auditen door onafhankelijke IT auditors.
Het idee daarbij is om alle ziekenhuizen voor een aantal onderdelen van de NEN 7510
– waaronder onderdelen over toegang tot dossiers – op hetzelfde niveau te brengen.
Daarover zullen de NVZ en de Nederlandse Federatie van Universitair Medische centra
(NFU) gezamenlijk rapporteren aan de AP conform gemaakte bestuurlijke afspraken met
de toezichthouder hierover.
Zowel de AP als de Inspectie Gezondheidszorg en Jeugd (IGJ) gebruiken de NEN 7510
als uitgangspunt in hun toezicht. De AP doet dit vanuit het perspectief van gegevensbescherming
en privacy, de IGJ vanuit het oogpunt van continuïteit van zorg.
Vraag 16
Deelt u de mening dat zolang dit niet gegarandeerd kan worden, de toegang van 8 miljoen
medische dossiers niet zonder toestemming opengesteld zou moeten kunnen zijn?
Antwoord 16
Die mening deel ik niet. Zie het antwoord op vraag 2 en 3.
Ondertekenaars
-
Eerste ondertekenaar
T. van Ark, minister voor Medische Zorg
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.