Antwoord schriftelijke vragen : Antwoord op vragen van het lid Van den Berg over medewerkers van GGzE die vrijwel onbeperkt hebben kunnen kijken in dossiers van cliënten

Antwoord van Minister Kuipers (Volksgezondheid, Welzijn en Sport) (ontvangen 23 augustus
2023). Zie ook Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 3324.

Vraag 1

Heeft u kennisgenomen van het bericht op Skipr waaruit blijkt dat medewerkers van
de specialistische geestelijke gezondheidszorgorganisatie GGzE vrijwel onbeperkt hebben
kunnen kijken in dossiers van cliënten?1

Antwoord 1

Ja.

Vraag 2

Welke maatregelen gaat de Inspectie Gezondheidszorg nemen naar aanleiding van dit
bericht?

Antwoord 2

In het artikel is sprake van een mogelijk onjuist handelen met betrekking tot de bescherming
van persoonsgegevens. Hiervoor zijn regels opgenomen in de Algemene Verordening Persoonsgegevens
(AVG). De Autoriteit Persoonsgegevens (AP) is hiervoor de aangewezen toezichthouder.
De Inspectie Gezondheidszorg en Jeugd (IGJ) heeft geen rol in het toezicht op de AVG.

De IGJ houdt onafhankelijk, risico gestuurd toezicht op kwaliteit en veiligheid van
zorg. De IGJ heeft in dat kader ook een rol in het toezicht op informatiebeveiliging,
maar met name als deze de kwaliteit en continuïteit van zorg kan raken. Bijvoorbeeld
als het gaat om maatregelen om te voorkomen dat essentiële informatiesystemen langdurig
uitvallen. Voor zo ver bekend is hier geen sprake van; de IGJ ziet dan ook op basis
van dit artikel geen aanleiding om nader onderzoek te doen. De AP en IGJ hebben een
samenwerkingsprotocol waarin zij elkaar wederzijds informeren en raadplegen in het
geval van aangelegenheden die elkaars toezicht raken.

Vraag 3

Vindt u het terecht dat de in het artikel genoemde patiënt geen inzage krijgt in het
onderzoek? Hoe wordt voor deze patiënt geborgd dat dit niet meer kan voorkomen?

Antwoord 3

In algemene zin vind ik het belangrijk dat zorgaanbieders klachten van cliënten serieus
nemen en de cliënt goed betrekken bij een eventueel onderzoek wat hieruit volgt. Of
dit in dit specifieke geval afdoende is gebeurd kan ik niet beoordelen. Dat is ook
niet aan mij.

Blijft het vermoeden van een mogelijke overtreding van de AVG bestaan? Dan staat het
de cliënt vrij om een klacht of tip in te dienen bij de Autoriteit Persoonsgegevens.

Vraag 4

Controleert de Inspectie Gezondheidszorg ook steekproefsgewijs of instellingen login
protocollen, een autorisatieprocedure en monitoring daarvan hebben met betrekking
tot systemen die patiëntgegevens bevatten?

Antwoord 4

De IGJ controleert steekproefsgewijs of zorgaanbieders hun informatiebeveiliging inrichten
volgens de wettelijke norm NEN 7510. Volgens deze norm moeten zorgaanbieders een managementsysteem
voor informatiebeveiliging inrichten. Procedures voor authenticatie, autorisatie en
logging zijn hier onderdeel van, naast een groot aantal andere beheersmaatregelen.
De IGJ controleert of aantoonbaar sprake is van een werkende kwaliteitscyclus (plan-do-check-act).
Specifieke maatregelen op het gebied van de bescherming van persoonsgegevens vallen
primair onder het toezicht van de AP.

Vraag 5

Worden er in de zorg patiënt-systemen gebruikt zonder adequate login monitoring en
autorisatie? Zo ja, waarom worden deze niet verboden?

Antwoord 5

Het Ministerie van VWS heeft geen zicht op de inrichting van zorginformatiesystemen
bij individuele zorginstellingen. Er zijn twee belangrijke informatiebeveiligingsnormen
die hier een rol in spelen, de NEN 7510 en 7513. Deze schrijven voor dat zorginstellingen
maatregelen moeten nemen op het gebied van autorisatie en logging. Alleen de bevoegde
personen mogen toegang hebben tot patiëntendossiers (autorisatie) en acties op deze
patiëntendossiers moeten vastgelegd worden (logging). Deze normen gelden voor alle
zorginstellingen en de AP ziet hierop toe.

Vraag 6

Welke acties gaat u nemen naar aanleiding van dit bericht?

Antwoord 6

Zorgaanbieders zijn in eerste plaats zelf verantwoordelijk voor de informatiebeveiliging
van de patiëntendossiers. Zij moeten passende maatregelen nemen om ongeoorloofde inzage
in patiëntendossiers te voorkomen. De AP is verantwoordelijk voor het toezicht op
de naleving hiervan. Vanuit het ministerie wordt doorlopend op verschillende manieren
ingezet op bewustwording en verbetering van de naleving op informatiebeveiliging.
Zorgaanbieders worden ondersteund en gefaciliteerd om de informatiebeveiliging en
digitale weerbaarheid te verbeteren Zo worden zorgaanbieders onder meer ondersteund
door de informatie die te vinden is op de AVG-helpdesk (www.avghelpdeskzorg.nl).