Antwoord op vragen van het lid Veldman over het bericht 'Brabants ziekenhuis merkte jarenlang datalekken niet op'

Tweede Kamer der Staten-Generaal 2

Vergaderjaar 2020–2021

Aanhangsel van de Handelingen

Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden

1406

Vragen van het lid Veldman (VVD) aan de Minister voor Medische Zorg over het bericht «Brabants ziekenhuis merkte jarenlang datalekken niet op» (ingezonden 15 december 2020).

Antwoord van Minister Van Ark (Medische Zorg) (ontvangen 21 januari 2021). Zie ook Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 1235.

Vraag 1
Bent u bekend met het bericht «Brabants ziekenhuis merkte jarenlang datalekken niet op»?1

Antwoord 1 Ja.

Vraag 2
Kunt u aangeven hoe er toezicht wordt gehouden op het gebruik van noodprocedures om medische dossiers te bekijken? Kunt u aangeven waar dit dan in het geval van dit ziekenhuis is misgegaan en hoe dit in de toekomst wordt voorkomen?

Antwoord 2
De beveiliging van medische dossiers, waaronder de noodprocedures om dossiers in te kunnen zien, is de verantwoordelijkheid van de zorgaanbieders en de regels zijn streng en duidelijk. Een zorgaanbieder dient van iedere inzage logging te bewaren en deze periodiek te controleren op eventueel misbruik. De zorgaanbieder dient misbruik te melden bij de Autoriteit Persoonsgegevens (AP) en het is aan de AP om hierop toezicht te houden. Het Bravis ziekenhuis laat mij weten dat een medewerker misbruik heeft gemaakt van zijn of haar bevoegdheid en van het in die medewerker gestelde vertrouwen. Het ziekenhuis heeft dit in 2018 geconstateerd, de beveiliging van de dossiers gecontroleerd en waar nodig aangescherpt en arbeidsrechte- lijke maatregelen genomen tegen deze medewerker. Daarnaast heeft het ziekenhuis de klacht een de betrokken patiënt behandeld en een melding bij de AP gedaan.

1 NRC, 6 december 2020, «Brabants ziekenhuis merkte jarenlang datalekken niet op» (https:// www.nrc.nl/nieuws/2020/12/06/brabants-ziekenhuis-merkte-jarenlang-datalekken-niet-op- a4022838).

Tweede Kamer, vergaderjaar 2020–2021, Aanhangsel 1

ah-tk-20202021-1406 ISSN 0921 - 7398 ’s-Gravenhage 2021

Het Bravis ziekenhuis geeft ook aan sinds 2018 de informatiebeveiliging te verbeteren, onder andere door inzet van nieuwe systemen die hiervoor meer mogelijkheden bieden. Het Bravis ziekenhuis laat haar informatiebeveiliging en privacybescherming in 2021 toetsen door onafhankelijke deskundigen. Ook neemt het Bravis ziekenhuis deel aan een landelijk programma waarbij alle Nederlandse ziekenhuizen zich in 2021 laten auditen op de toegangsbeveili- ging van digitale patiëntendossiers.

Vraag 3
Waar kunnen patiënten terecht wanneer zij na willen gaan wie hun medisch dossier heeft bekeken?

Antwoord 3
Als iemand wil nagaan wie zijn of haar medisch dossier heeft ingezien, kan hij of zij bij de zorgaanbieder zelf terecht.

Vraag 4
Welke maatregelen worden c.q. kunnen er genomen worden tegen personeel dat onbevoegd dossiers raadpleegde? Deelt u de mening dat hier stevige sancties nodig zijn?

Antwoord 4
Onrechtmatige inzage in een medisch dossier vind ik onaanvaardbaar. Alleen personen die direct betrokken zijn bij de behandelovereenkomst mogen het patiëntendossier inzien.
Als personeel onrechtmatig dossiers raadpleegt, is het aan de werkgever of en welke maatregelen tegen dit personeel genomen worden. Het Bravis ziekenhuis geeft, gezien de privacy van betrokkenen, geen verdere details over de gebeurtenis waar de NRC over schrijft. Het is aan de toezichthouder om te bepalen of en welke sancties van toepassing zijn. Zoals hierboven beantwoord, is er melding gedaan bij de AP.

Vraag 5 en 6
Bent u van mening dat het voor patiënten makkelijker zou moeten zijn om na te gaan wie hun medische gegevens bekijkt? Zo ja, welke stappen bent u voornemens hierin te nemen?
Deelt u de mening dat patiënten meer eigen regie zouden moeten hebben in het bepalen wie hun medische gegevens kan bekijken? Zo ja, welke stappen bent u voornemens hierin te nemen?

Antwoord 5 en 6
Ik vind het belangrijk dat mensen regie hebben over hun gegevens. Op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) hebben mensen recht op inzage in hun medische gegevens en is er een klachtenmogelijkheid via de Autoriteit Persoonsgegevens (AP). Daarom is het verplicht loggegevens bij te houden.
Op 1 juli 2020 is artikel 15e van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) in werking getreden. In artikel 15e van de Wabvpz wordt er ingegaan op logging en specifiek welke loggingsin- formatie moet worden opgenomen in een afschrift. Op grond van artikel 15e kan een cliënt verzoeken om een overzicht, met daarin opgenomen wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien.
Via de VIPP-regeling stimuleer ik de ontwikkeling van patiëntportalen om patiënten zelf de regie over hun medische gegevens te kunnen laten voeren. In diverse portalen is het voor een patiënt mogelijk de logging direct online in te zien.
Samen met het zorgveld werk ik toe naar de juiste zorg op de juiste plek op het juiste moment met de juiste informatie. Elektronische gegevensuitwisse- ling tussen zorgverleners is daarin essentieel. Landelijke beschikbaarheid van infrastructuren en randvoorwaardelijke voorzieningen kan het elektronisch uitwisselen van gegevens versnellen. Hier werk ik aan. Een van de grondsla- gen voor elektronisch uitwisselen van gegevens is dat burgers op eenvoudige en eenduidige wijze toestemming moeten kunnen geven om hun eigen patiëntgegevens beschikbaar te maken; zorgverleners hebben de plicht tot geheimhouding – het medisch beroepsgeheim. Deze zaken licht ik nader toe

Tweede Kamer, vergaderjaar 2020–2021, Aanhangsel 2

in mijn brief aan uw Kamer, «Prioriteiten elektronische gegevensuitwisseling resterende kabinetsperiode» van 14 december 20202.

2 Kamerstuk 27 529, nummer 230.

Tweede Kamer, vergaderjaar 2020–2021, Aanhangsel 3

Indiener(s)