Antwoord schriftelijke vragen : Antwoord op vragen van het lid Bushoff over het delen en opslaan van medisch dossiers

Antwoord van Minister Kuipers (Volksgezondheid, Welzijn en Sport) (ontvangen 12 september
2023). Zie ook Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 3342.

Vraag 1

Bent u bekend met het artikel «Zonder hun medeweten worden de medische dossiers van
miljoenen Nederlanders gekopieerd en «ergens» opgeslagen»?1

Antwoord 1

Ja.

Vraag 2

Deelt u de zorgen dat het systeem dat huisartsen gebruiken voor het delen van data
voor ketenzorg geen onderscheid maakt tussen data die daadwerkelijk nodig is voor
de ketenzorg en data die niet gedeeld hoeft te worden voor de ketenzorg?

Antwoord 2

Het is niet aan mij om een oordeel te geven over de rechtmatigheid van de gegevensverwerkingen
die hier aan de orde zijn. Dat vergt onder meer een gedegen onderzoek naar de feiten
en omstandigheden en hoe die zich verhouden tot het relevante wettelijke kader. Dat
is aan de Autoriteit Persoonsgegevens (AP).

Overigens wil ik wel benadrukken dat dataopslag in het digitaliserende zorgveld onvermijdelijk
en gebruikelijk is. Daarnaast is dat vaak ook noodzakelijk om het dagelijks werk en
de patiëntenzorg goed en effectief uit te kunnen voeren. Immers, door in onderhavige
casus de medische dossiers te kopiëren en daarna te verwerken ten behoeve van zorgverzekeraars
en regionale samenwerking hoeven huisartsen geen dubbele administratie te voeren.
De Algemene verordening gegevensbescherming (AVG) biedt daar ook ruimte voor, mits
de desbetreffende verwerkingen in overeenstemming zijn met de overige eisen uit de
AVG. De huisarts bepaalt welke gegevens beschikbaar gesteld worden voor uitwisseling.
De gegevens die beschikbaar zijn hebben als doel om de patiënt de best passende zorg
te bieden. De huisarts is zelf verantwoordelijk voor het rechtmatig verwerken van
medische gegevens én moet dat aan betrokkenen en desgevraagd de toezichthouder aantoonbaar
kunnen maken.

Vraag 3

Vindt u het onwenselijk dat artsen afhankelijk zijn van één markt dominerend commercieel
softwarebedrijf en daardoor moeilijk eisen kunnen stellen aan de leveranciers?

Antwoord 3

In mijn Kamerbrief van 4 april 20232 over het Actieplan zorg-ICT-markt heb ik aangegeven dat veel zorgaanbieders leveranciersafhankelijkheid
beschouwen als een probleem, maar dat het ontbreekt aan een gezamenlijke strategie
om deze afhankelijkheid te doorbreken. Er zijn wel enkele voorbeelden van vraagbundeling
en collectieve ICT-inkoop, maar er is nog steeds een groot gebrek aan zakelijke en
gecoördineerde vraagarticulatie richting softwareleveranciers, zowel binnen instellingen
als sectoren. Daarom ondersteun ik, als onderdeel van het Actieplan zorg-ICT-markt,
zorgaanbieders bij de inrichting van (cross)sectoraal leveranciersmanagement. Het
doel is om de positie van zorgaanbieders te versterken, zodat zij met kracht eisen
aan softwareleveranciers kunnen stellen. De Autoriteit Consument en Markt (ACM) heeft
ook aandacht voor zorg-ICT-markten. Buiten haar reguliere toezichthoudende rol, schreef
zij bijvoorbeeld een leidraad «Goed werkende markten voor zorg-ICT».

Vraag 4

Hoe moeten huisartsen omgaan met hun verantwoordelijkheid voor het bewaken van het
medisch dossier in deze markt?

Antwoord 4

Op grond van de AVG zijn verwerkingsverantwoordelijken (hier: de huisartsen) er zelf
verantwoordelijk voor dat zij in overeenstemming met de AVG handelen. Daarnaast zijn
huisartsen ook verantwoordelijk voor het melden van een datalek aan de AP én aan de
slachtoffers. Het is goed om te beseffen dat softwareleveranciers een gewild doelwit
zijn van cyberaanvallen. Zij leveren immers softwarediensten, digitale werkplekken
of opslagruimte aan onder andere huisartsen en dat leidt tot een clustering van persoonsgegevens
op de servers van deze softwareleveranciers. Op basis van hun rol van verwerkingsverantwoordelijke
in de zin van de AVG is het aan de betrokken zorgaanbieders om te boordelen en vast
te stellen of de gekozen oplossing – in dit geval Topicus/Calculus – voldoet aan de
geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging, dat
Topicus/Calculus beschikt over de benodigde certificeringen voor de NEN 7510 en ISO
27001 en voldoet aan de normen van de NEN 7512 en NEN 7513. In dit kader sluit de
verwerkingsverantwoordelijke een verwerkersovereenkomst met een softwareleverancier,
waarin gezamenlijk afspraken worden gemaakt over de bescherming en beveiliging van
persoonsgegevens (artikel 28 AVG).

Vraag 5

Hoe verhoudt deze casus zich tot de ambitie voor een landelijk dekkend netwerk voor
gegevensuitwisseling in de zorg?

Antwoord 5

Zoals afgesproken in het Integraal zorgakkoord (IZA) en vastgelegd in de Wet elektronische
gegevensuitwisseling in de zorg (Wegiz) zet ik in op de standaardisatie van taal en
techniek en de implementatie van generieke functies. Standaardisatie maakt het mogelijk
huidige en nieuwe infrastructuren te verbinden waardoor een landelijk dekkend netwerk
voor gegevensuitwisseling in de zorg ontstaat.

Interoperabiliteit is belangrijk om zorgaanbieders, zorgverleners en burgers in vrijheid
– rekening houdend met geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging –
zelf een keuze te kunnen laten maken tussen verschillende infrastructuren, EPD/ECD-systemen
en (generieke) voorzieningen.

Vraag 6

Is het naar uw oordeel voldoende geborgd dat data die softwarebedrijven verzamelen
voor data-uitwisseling tussen zorgverleners niet voor commerciële doeleinden wordt
gebruikt en patiënten zeggenschap behouden over hun gegevens?

Antwoord 6

De AVG voorziet reeds in een afgewogen juridisch kader. Op basis van die wetgeving
dient een huisarts – als verwerkingsverantwoordelijke – zelf te bepalen welke gegevens
beschikbaar worden gesteld voor uitwisseling en zich daarbij te vergewissen dat dat
in overeenstemming is met wet- en regelgeving. Andere zorgverleners kunnen de gegevens
van de patiënt alleen inzien op het moment dat de huisarts samen met de patiënt besluit
een consultatie of verwijzing te doen. De AP houdt toezicht op de naleving van de
genoemde wetgeving.

Vraag 7

Op welke manier kan het actieplan voor de zorg-ICT-markt dit probleem oplossen

Antwoord 7

Met het Actieplan zorg-ICT-markt probeer ik de markt opener, eerlijker en toekomstgerichter
te maken. Hiermee werk ik onder andere aan heldere afspraken en samenwerking tussen
softwareleveranciers, zorgaanbieders, koepels en VWS, over rollen en verantwoordelijkheden,
met daarbij het centraal stellen van het maatschappelijke belang. Ook wil ik hiermee
de onderhandelingspositie van zorgaanbieders verbeteren ten opzichte van softwareleveranciers
en werk ik aan voornoemde inrichting van (cross)sectoraal leveranciersmanagement.
Meer specifiek wil ik door inrichting van een catalogus van zorg-ICT-systemen zorgaanbieders
en ICT-inkopers in staat stellen om ICT-producten en diensten met elkaar te vergelijken,
bijvoorbeeld op basis van functionaliteiten of keurmerken. Zo kunnen zorgaanbieders
een weloverwogen keuze maken ten aanzien van het samenwerken met softwareleveranciers.