Antwoorden op Kamervragen van het Kamerlid Hijink (SP) over het bericht ‘Patiëntdossiers in te zien door lek bij ziekenhuis OLVG’. (2019Z06462)

Vraag 1

Kent u het bericht ‘Patiëntdossier in te zien door lek bij ziekenhuis OLVG’? Wat is uw reactie daarop?

Antwoord op vraag 1

Ja, ik ken het bewuste artikel. Ik vind het zorgelijk als medische gegevens van patiënten in verkeerde handen vallen. Patiënten moeten te allen tijde kunnen vertrouwen op veilige uitwisseling van hun gegevens. Zorgaanbieders zijn in de eerste plaats zelf verantwoordelijk voor de veiligheid van persoonsgegevens. Zij moeten passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen en adequaat handelen wanneer een datalek zich voordoet.

Vraag 2

Wat heeft de Autoriteit Persoonsgegevens ondernomen naar aanleiding van de melding van een datalek door het OLVG? Wat was het oordeel van de Autoriteit Persoonsgegevens met betrekking tot de gedane melding?

Antwoord op vraag 2

De AP heeft mij laten weten deze zaak in onderzoek te hebben genomen.

Vraag 3

Deelt u de mening van gezondheidsjurist de heer Hooghiemstra dat het hier om een zeer ernstige zaak gaat waarbij het gevoel van urgentie volstrekt ontbreekt?

Antwoord op vraag 3

Het is zorgelijk als medische gegevens van patiënten ingezien kunnen worden door personen die niet bevoegd zijn om die gegevens in te zien. Patiënten moeten er op kunnen vertrouwen dat zorgverleners op de juiste wijze met hun gegevens omgaan.

Het OLVG heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en heeft maatregelen getroffen. De Autoriteit Persoonsgegevens ziet vanuit haar toezichthoudende taak toe of voorgenomen maatregelen met gepaste urgentie worden uitgevoerd om binnen afzienbare tijd tot een passend beveiligingsniveau te komen.

Vraag 4

Bent u van mening dat het OLVG voldoende en voldoende tijdige maatregelen heeft getroffen om dergelijke problemen in de toekomst te voorkomen?

Antwoord op vraag 4

Zoals ik in mijn beantwoording op vraag 1 heb aangegeven is het treffen van informatieveiligheidsmaatregelen een verantwoordelijkheid van ziekenhuizen zelf. Zorgaanbieders moeten zich reeds onder meer houden aan een aantal zorgbrede Nederlandse normen voor informatieveiligheid in de zorg (NEN-normen) en voorschriften van de Algemene Verordening Persoonsgegevens (AVG). Daarnaast moeten datalekken of andere ICT-incidenten worden gemeld bij de Autoriteit Persoonsgegevens (AP).

Op eerder gestelde vragen (Kamerstuk: 2019Z03123) door het Kamerlid Mulder (PVV) over het datalek bij het OLVG heb ik op 13 maart jl. aan uw Kamer gemeld dat het OLVG vrijwel direct na het datalek een melding heeft gemaakt bij de AP en dat het OLVG mij heeft gemeld passende maatregelen te hebben genomen. Het OLVG heeft mij ook gemeld dat het datalek kort daarna direct is opgelost.

Verder heeft het OLVG bevestigd dat er afdoende technische en organisatorische maatregelen zijn getroffen. Zo meldt men de rechten in het systeem te hebben nagelopen en waar nodig beperkt. De blokkades en waarschuwingen zijn aangescherpt.

Ook heeft het OLVG mij laten weten dat het lopende interne onderzoek naar onrechtmatige inzage in dossiers door onbevoegde werkstudenten in een vergevorderd stadium is. Alle privacy- en veiligheidsrisicogebieden zijn onderzocht, de belangrijkste maatregelen op korte termijn zijn genomen, lange termijn verbeteringen zijn in gang gezet. Het OLVG heeft daarnaast aangegeven dat betrokken patiënten en de AP te zijner tijd over de resultaten van het onderzoek zullen worden geïnformeerd.

Vraag 5

Is bekend of een dergelijke situatie zich ook bij andere ziekenhuizen heeft voorgedaan of kan voordoen? Indien dit niet bekend is, bent u bereid hier onderzoek naar te doen?

Antwoord op vraag 5

Het is mij niet bekend bij welke ziekenhuizen sprake is van soortgelijke situaties. Zoals reeds gemeld bij het antwoord op vraag 1 en 4 zijn ziekenhuizen zelf verantwoordelijk voor het leveren van goede en veilige zorg onder alle omstandigheden. De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet hierop toe.

Uit de informatie die ik ontving van de Onderzoeksraad voor Veiligheid (OVV) blijkt dat in het lopende onderzoek naar de digitale veiligheid in de ziekenhuizen vooral wordt gekeken naar hoe ziekenhuizen storingen en misbruik van data en informatietechnologie proberen te voorkomen. Ook wordt gekeken in hoeverre zij voorbereid zijn om de gevolgen daarvan te beperken. Afhankelijk van de uitkomsten van het OVV-onderzoek, dat ik verwacht in het derde kwartaal van dit jaar, bezie ik of en zo ja welke acties nodig zijn om risico’s op ICT-storingen en/of datalekken in ziekenhuizen te mitigeren.

Vraag 6

Deelt u de mening van gezondheidsjurist de heer Hooghiemstra dat het probleem om een diametraal andere aanpak vraagt, om te beginnen met veel meer feitelijk onderzoek ter plekke door de toezichthouders, de Autoriteit Persoonsgegevens, de Inspectie en de functionarissen gegevensbescherming?

Antwoord op vraag 6

De beveiliging van medische gegevens valt onder de verantwoordelijkheid van de individuele ziekenhuizen zelf. De toezichthouders zien erop toe of persoonsgegevens voldoende worden beschermd. Hoe zij het toezicht inrichten is aan de toezichthouders zelf, uiteraard binnen de kaders die zij hebben meegekregen.

1) https://www.volkskrant.nl/nieuws-achtergrond/patientdossiers-in-te-zien-door-lek-bij-ziekenhuis-olvg~bab966c4/

2) Zorgvisie maart 2019 ‘Kritiek op aanpak datalek OLVG