Antwoorden op Kamervragen van de Kamerleden Ploumen (PvdA) en Kerstens (PvdA) over het gebrekkige toezicht op de data van patiënten (2019Z15312).

1.

Heeft u kennisgenomen van het bericht in NRC Handelsblad: ‘Patiëntendata hebben strenger toezicht nodig’?

Antwoord 1

Ja.

2.

Wat is uw reactie op dit bericht?

3.

Deelt u de mening dat patiënten er zeker van moeten kunnen zijn dat hun gegevens beschermd worden?

Welke verantwoordelijkheid heeft u ambtshalve in het beschermen van deze gegevens en welke maatregelen kunt u treffen?

6.

Indien uw informatiepositie u niet in staat stelt vraag 3 en 4 diepgaand te beantwoorden, vindt u dan dat u

hier onderzoek naar zou moeten doen om de persoonlijke levenssfeer van patiënten te garanderen?

Antwoord 2, 3 en 6

Ik hecht bij de verwerking van medische gegevens het grootste belang aan informatiebeveiliging en privacybescherming. Patiënten moeten kunnen vertrouwen op een veilige bescherming van hun gegevens zoals vastgelegd in wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG) en de Wet op de geneeskundige behandelovereenkomst (Wgbo). De verantwoordelijkheid hiervoor ligt in de eerste plaats bij de zorgaanbieders. Zij moeten zorgen voor organisatorische en technische maatregelen om voldoende waarborgen te bieden bij het verwerken en opslaan van patiëntgegevens. Sinds 1 januari 2018 is het werken volgens en voldoen aan de NEN-normen 7510, 7512 en 7513 verplicht gesteld in het Besluit Elektronische Gegevensverwerking Zorgaanbieders. Het is goed dat zorgverleners zich daar bewust van zijn. Mijn doel is er aan bij te dragen dat de Nederlandse zorg, lerend van de praktijk, tot steeds betere uitkomsten kan komen met behoud van informatiebeveiliging en privacybescherming. Het anonimiseren van herleidbare persoonsgegevens tot geanonimiseerde niet herleidbare gegevens is één van de vele maatregelen die kunnen worden genomen om de privacy van de patiënt te beschermen. De AVG is dan niet meer van toepassing (Grond 26 van de AVG).

Ik zal uw Kamer op verschillende momenten informeren over het borgen van de persoonlijke levenssfeer van patiënten:

- Voor het AO Gegevensuitwisseling op 9 oktober 2019 zal ik uw Kamer nader zal informeren over mijn beleid ten aanzien van informatiebeveiliging in de zorg. Hierin zal ik ook de uitkomsten meenemen van het onafhankelijke onderzoek naar de wenselijkheid van het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata naar aanleiding van Kamervragen over Medische gegevens duizenden Nederlanders verplaatst naar Google (Kamerstukken (Aanhangsel) 2018-2019, nr 2457).

- Op uw verzoek stuur ik voor het AO Gegevensuitwisseling op 9 oktober 2019 mijn reactie op het voorstel van de Patiëntenfederatie Nederland voor het instellen van een patiëntgeheim. Deze reactie bevat ook een nadere analyse van de wijze waarop de bescherming van patiëntgegevens geregeld is.

- Aan het einde van dit jaar zal ik u een update geven van mijn brief Data laten werken voor gezondheid (Kamerstukken II Vergaderjaar 2018-2019, 27 529, nr. 164) waarin ik aangeef dat data alleen kan werken voor gezondheid als er voldoende vertrouwen is in het gebruik daarvan.

4.

Kunt u bevestigen dat het Amerikaanse bedrijf Epic, dat achter de patiëntenbeheer-software zit, toegang heeft tot geanonimiseerde patiëntendata? Hoe lang weet u dit al?

5.

Van welke software maken de overige ziekenhuizen in Nederland gebruik voor hun patiëntenbeheer? Geldt hiervoor eveneens dat het bedrijf achter de software de data van patiënten kan gebruiken?

Antwoord 4 en 5

Naar aanleiding van het NRC artikel en uw vragen heb ik contact gezocht met het Amerikaanse bedrijf en het Amsterdam UMC. Het bedrijf geeft aan dat het systeem waarnaar in het NRC artikel wordt verwezen niet wordt aangeboden in Nederland. Het Amsterdam UMC geeft ook aan dat zij en de ziekenhuizen die met dezelfde software leverancier werken dit systeem niet gebruiken.

Ziekenhuizen dragen zelf de verantwoordelijkheid voor hun software voor patiëntenbeheer en hetgeen ze afspreken met de leveranciers in hun contracten. Uiteraard moeten zij hierbij voldoen aan de geldende wet- en regelgeving. Elk ziekenhuis gebruikt software van verschillende leveranciers, bijvoorbeeld voor de verwerking van dossiers, labuitslagen, genetica en beeldmateriaal. Het gaat dan ook te ver om die systemen individueel te benoemen.

7.

Wat vindt u ervan dat patiëntendata voor digitale toepassingen minder goed beschermd worden dan patiëntendata die wordt gebruikt voor ‘analoge onderzoeken’?

Antwoord 7

De bescherming die de AVG biedt, maakt geen onderscheid tussen digitaal of analoog. Die is voor beide categorieën van toepassing.

8. Welke aanvullende maatregelen kunt u mogelijk treffen om patiëntendata voor digitale toepassingen beter te beschermen?

Antwoord 8

In de beantwoording van de vorige vragen heb ik aangegeven dat er al veel wettelijk geregeld is. Zoals eerder aangeven in de beantwoording van vraag 6 kom ik nog dit jaar bij u terug op de bescherming van patientendata voor digitale toepassingen.

9.

Wat vindt u ervan dat patiënten er niet over worden geïnformeerd dat hun data voor grootschalig onderzoek worden gebruikt? Bent u van mening dat dit wel zou moeten en dat patiënten de keuze tot deelname voorgelegd zouden moeten krijgen?

Antwoord 9

In de situatie bij het Amsterdam UMC die u aanhaalt hebben betrokken partijen mij gemeld dat er geen sprake is van het delen van data.

Voor wetenschappelijk onderzoek moet voor zover mogelijk gebruik gemaakt worden van geanonimiseerde niet herleidbare gegevens of van toestemming van de betreffende patiënten. Bij geanonimiseerde data is de AVG niet van toepassing (Grond 26 van de AVG). De AVG en de WGBO bieden de mogelijkheid om onder strikte voorwaarden onderzoek te doen zonder toestemming. Hier hoort onder andere bij dat de gevraagde gegevens noodzakelijk en passend moeten zijn voor het doel waarvoor deze gevraagd worden, dat de patiënt geïnformeerd moet worden over het gebruik van de eigen data, en dat voldaan wordt aan andere voorwaarden die door wet- en regelgeving worden gesteld.

10.

Welke mogelijke risico’s voor de toegankelijkheid tot de zorg ziet u indien enkele bedrijven in de toekomst een monopolie hebben op belangrijke digitale zorgtoepassingen?

11.

Vindt u dat de Nederlandse overheid beleid zou moeten maken om ervoor te zorgen dat van deze monopoliepositie geen misbruik kan worden gemaakt? Welke mogelijkheden ziet u daartoe?

Antwoord 10 en 11

Ik vind het belangrijk dat zorgaanbieders en hun toeleveranciers zich onderscheiden op toegevoegde waarde en slimme diensten voor de patiënt en niet op het bezit van data.

Ik vind het dan ook mooi om te zien dat het bedrijfsleven, patiënten, zorgverzekeraars en de zorgverleners de handen in een slaan om digitale gegevensuitwisseling in de zorg te bevorderen en het manifest Samen Vooruit: een ambitie voor gegevensuitwisseling in de zorg ^[1] hebben opgesteld.

Verder heb ik in de derde brief elektronische gegevensuitwisseling in de zorg (Kamerstukken II Vergaderjaar 2018-2019, 27 529, nr. 189) aangegeven dat ik stap voor stap voor steeds meer gegevensuitwisselingen in de zorg wettelijk verplicht wil stellen dat deze digitaal plaatsvindt. Dit zal aangewezen zorgaanbieders verplichten om gezondheidsdata volgens een vast format te delen met anderen en daarmee zal het risico op een monopoliepositie worden verkleind.

Tot slot is in Nederland reeds de, op Europese wetgeving gebaseerde, Mededingingswet van kracht. Hierin is onder meer een verbod op misbruik van een economische machtspositie opgenomen. De ACM ziet hier als onafhankelijke toezichthouder op toe.

1) https://www.nrc.nl/nieuws/2019/07/17/patientendata-hebben-strenger-toezicht-nodig-a3967430