Vragen van het lid Van Esch (PvdD) aan de Ministers voor Medische Zorg en van Volksgezondheid, Welzijn en Sport over de Corona Opt-In, de wijze waarop mensen hun medische gegevens kunnen beschermen en mogelijk verkeerde antwoorden van de Minister (ingezonden 24 februari 2021).
Antwoord van Minister Van Ark (Medische Zorg) (ontvangen 12 april 2021). Zie ook Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 2011.
Vraag 1
Kunt u bevestigen dat de Corona Opt-In, de tijdelijke maatregel waarmee 8 miljoen medische dossiers van mensen die daar nooit toestemming voor hebben gegeven zijn opengesteld, nog altijd werkzaam is? Bent u nog altijd voornemens deze maatregel vast te leggen in een algemene maatregel van bestuur (AMvB)?
Antwoord 1
De Corona Opt-in geldt nog. Het maakt het uitsluitend mogelijk voor de zorgverleners op de Huisartsenpost (HAP) of de afdelingen Spoedeisende Hulp (SEH) om tijdens de Covid-19 crisis een beperkte set medische informatie bij de huisarts te mogen raadplegen wanneer zij patiënten in het kader van de behandeling ter plekke toestemming gevraagd hebben. Op 27 februari jl. hadden 8,2 miljoen mensen hun toestemming geregistreerd om hun gegevens bij spoed raadpleegbaar te maken voor de HAP. Op 24 februari jl. waren er 6,5 miljoen mensen die nog geen keuze kenbaar hadden gemaakt. Van al deze mensen is de relevante set informatie, te weten de Professionele Samenvatting (PS) in het kader van de coronacrisis tijdelijk te raadplegen op de HAP en SEH onder voornoemde voorwaarde.
De desbetreffende AMvB is ter advisering voorgelegd aan de Autoriteit Persoonsgegevens (AP). Momenteel beraad ik mij op de verwerking van het recente advies van de AP. Ik kom hier in een aparte brief aan de Kamer op terug.
Vraag 2, 3, 16
Vindt u het wenselijk dat zonder dat mensen ervan weten hun medische gegevens in te zien zijn voor mogelijk duizenden mensen die niets met hun medisch gegevens te maken hebben?
Kunt u onderbouwen waarom op dit moment geen einde gemaakt kan worden aan deze onwettige gedoogconstructie en waarom terug naar de wettelijke procedure zoals die bestond vóór het instellen van de Corona Opt-In niet mogelijk zou zijn?
Antwoord 2, 3, 16
Deze tijdelijke oplossing is nog steeds nodig. De druk op de zorg is onverminderd groot, vanwege de aanhoudend grote stroom (acute) Covid-patiënten en ook omdat tegelijkertijd de reguliere acute en geplande zorg zoveel mogelijk doorgang moet vinden. Dit maakt dat snelle triage en behandeling op de HAP en SEH nog steeds van het grootste belang is.
Ik vind dat er in het kader van de Corona Opt-in voldoende waarborgen zijn ingebouwd om de maatregel zolang noodzakelijk in het kader van Covid-19 te laten voortduren. De medische gegevens die raadpleegbaar zijn via de Corona Opt-in, zijn dat enkel door geautoriseerde zorgprofessionals bij HAP’s en SEH’s en alleen als zij een behandelrelatie hebben met de patiënt. Dit zijn allen gekwalificeerde zorgprofessionals die in het kader van goede zorg en behandeling deze gegevens nodig achten. Voordat zij deze gegevens raadplegen, dienen zij toestemming te vragen aan de patiënt. Daarbij wordt raadpleging gelogd, en deze loggegevens zijn ook weer inzichtelijk voor patiënten. Daarnaast houdt de zorgaanbieder (HAP/SEH) ook een eigen logging bij. De uitwisseling zelf wordt gemonitord op potentieel misbruik.
Vraag 4
Klopt het dat de medewerkers van huisartsenposten (HAP’s) en de spoedeisende hulpen (SEH’s) een samenvatting van de medische gegevens van deze 8 miljoen mensen kunnen inzien?
Antwoord 4
Door de Corona Opt-in is van de mensen die nog geen keuze hebben gemaakt potentieel een beperkte set gegevens beschikbaar (de PS). Deze gegevens zijn enkel door geautoriseerde zorgprofessionals bij HAP’s en SEH’s inzichtelijk, die in bezit zijn van een UZI-pas en alleen als het nodig is voor snelle triage en behandeling van de patiënt. Het zijn allen gekwalificeerde zorgprofessionals die in het kader van goede zorg en behandeling deze gegevens nodig achten en aanvullend toestemming dienen te vragen voor raadpleging. Deze werkwijze is opgenomen in de Richtlijn gegevensuitwisseling huisarts – huisartsenpost – ambulancedienst – afdeling spoedeisende hulp1. Deze richtlijn is door het veld vastgesteld in 2014.
Vraag 5, 6
Klopt het dat de medewerkers van een apotheek een medicatie-overzicht met bijvoorbeeld informatie over medicijn gebruik en allergieën kunnen inzien?
Kunt u aangeven waarom u in de Kamer zei: «De corona-opt-in zorgt niet voor toegang tot deze gegevens voor apothekers bijvoorbeeld»?
Antwoord 5, 6
De Corona Opt-in heeft geen betrekking op apotheken maar is uitsluitend van toepassing op het beschikbaar stellen van de PS voor zorgverleners op de HAP en SEH. De verwijsindex in het LSP controleert de rolcode van opvragende zorgverlener. Een apotheker heeft niet de goede rolcode en is dus niet geauthentiseerd om huisartsgegevens te raadplegen. Dat is nooit mogelijk geweest. Apothekers hebben alleen toegang tot het medicatieoverzicht van mensen die expliciet toestemming hebben gegeven aan hun apotheek of apotheken om medicatiegegevens te delen.
Vraag 7
Klopt het dat de website https://www.volgjezorg.nl/corona-opt recent is aangepast en dat de passage waarin stond dat apotheken toegang hadden tot het medicatie-overzicht geschrapt is? Zo ja, is deze passage geschrapt omdat deze onjuist was? Of omdat deze informatie niet graag gedeeld wordt?
Antwoord 7
Een dergelijke passage heeft er volgens de beheerder, te weten de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), niet opgestaan.
Vraag 8
Kunt u aangeven hoeveel medewerkers bij de HAP’s, SEH’s en apotheken toegang hebben tot deze 8 miljoen medische dossiers waarvoor nooit persoonlijke toestemming tot inzage is gegeven?
Antwoord 8
Apotheken hebben geen toegang. Alleen de behandelende zorgverleners hebben toegang tot de gegevens op het moment dat een patiënt noodzakelijke zorg nodig heeft en indien de patiënt daar ter plekke toestemming voor heeft gegeven (daartoe in staat is). Het is niet precies te zeggen is hoeveel medewerkers toegang hebben op enig moment.
Er zijn in totaal 113 HAP’s (peildatum oktober 2020) en 83 SEH’s (peildatum juli 2020). Dienstdoende medisch specialisten hebben toegang. Er zijn 582 SEH-artsen geregistreerd (peildatum 1 jan 2019), waarvan vermoedelijk ca. 97% werkzaam is. En er zijn 2.984 SEH-verpleegkundigen werkzaam (peildatum 1 januari 2020)2.
Vraag 9, 10, 11
Klopt het dat de enige manier waarop het «opengestelde dossier» weer gesloten kan worden, is wanneer een burger zich fysiek meldt bij zijn huisarts en daar een geprint formulier inlevert?
Acht u het wenselijk dat mogelijk duizenden of zelfs miljoenen mensen zich gaan melden bij de huisarts? Hoe verhoudt zich dit tot het ernaar streven om contacten te beperken en de druk op de zorg te verlichten?
Wat moet iemand doen die én zijn medische gegevens wil beschermen én bijvoorbeeld uit angst voor het virus geen bezoek wil brengen aan de huisarts?
Antwoord 9, 10, 11
Zoals ook op http://www.volgjezorg.nl staat aangegeven zijn er 3 mogelijkheden voor mensen om aan te geven of zij willen dat hun gegevens gedeeld worden met de HAP of SEH of niet.
Optie 1: rechtstreeks bij de huisarts melden
Optie 2: het toestemmingsformulier (beschikbaar op volgjezorg.nl)
invullen en aan de huisarts geven
Optie 3: digitaal doorgeven via volgjezorg.nl
Het is uiteraard ook mogelijk om de keuze telefonisch door te geven aan de huisarts en het toestemmingsformulier per post of per email te versturen. Bovendien werken veel huisartsen tegenwoordig met een patiëntenportaal waarin ook berichten verstuurd kunnen worden van patiënt naar huisarts. Er zijn dus meerdere mogelijkheden voor mensen om hun keuze door te geven zonder fysiek de huisarts te bezoeken.
Vraag 12, 13
Klopt het dat mensen via volgjezorg.nl kunnen controleren of er iemand zonder toestemming in hun dossier heeft gekeken?
Acht u het waarschijnlijk dat mensen, die nooit toestemming hebben gegeven aan enige behandelaar om hun medische gegevens in te zien, periodiek gaan kijken op deze website? Zo ja, waarom?
Antwoord 12, 13
Voor iedereen is het mogelijk om via volgjezorg.nl om – na inloggen in een persoonlijke omgeving – te zien welke zorgaanbieder gegevens heeft opgevraagd, wanneer dit gebeurd is en welke gegevens het betreft. Om te voorkomen dat mensen periodiek op deze website moeten kijken is het tevens mogelijk om een notificatie in te stellen waarbij mensen automatisch bericht krijgen wanneer een zorgaanbieder informatie uit het dossier heeft opgevraagd. Voor de patiënten die geen toestemming hebben gegeven wordt op de SEH en HAP gevraagd of hun gegevens ingezien mogen worden.
Vraag 14
Kunt u bevestigen dat ook aan de zijde van het ziekenhuis het toezicht op onrechtmatige inzage onvoldoende op orde is, aangezien het OLVG Ziekenhuis daarvoor recent nog tot een boete van 440.000 euro veroordeeld werd?3
Antwoord 14
Nee. Het incident waarvoor de boete is opgelegd dateert uit de periode 1 januari 2018 tot en met 17 april 2019. De AP constateert: «OLVG heeft inmiddels deze overtreding beëindigd doordat zij de procedure ten aanzien van de controle op de logging aangescherpt heeft en de frequentie van de controle op de logging opgevoerd heeft.»
Wel heeft de AP bepaald dat «de overtreding op structurele wijze voor een langere periode heeft voortgeduurd» en «Gelet op de aard, de ernst, de omvang en de duur van de inbreuk ziet de AP aanleiding om het basisbedrag van de boete op grond van artikel 7, aanhef en onder a, van de Boetebeleidsregels te verhogen met € 80.000,– tot € 390.000,–.»
Antwoord 15
Een belangrijk onderdeel van de gedragscode/het vak van zorgverleners is het zorgvuldig omgaan met medische gegevens. Het principe is leidend dat enkel patiëntgegevens worden ingezien indien dit nodig is voor het leveren van goede zorg, er een behandelrelatie is en er toestemming van de patiënt is.
De Nederlandse Vereniging van Ziekenhuizen (NVZ) heeft een Gedragslijn Toegangsbeveiliging digitale patiëntendossiers opgesteld waarin ook aandacht wordt besteed aan registreren van gebeurtenissen (o.a. toegangslogs). Zij hebben de aangesloten ziekenhuizen gevraagd om zich hierop uiterlijk 31 mei 2021 te laten auditen door onafhankelijke IT auditors. Het idee daarbij is om alle ziekenhuizen voor een aantal onderdelen van de NEN 7510 – waaronder onderdelen over toegang tot dossiers – op hetzelfde niveau te brengen. Daarover zullen de NVZ en de Nederlandse Federatie van Universitair Medische centra (NFU) gezamenlijk rapporteren aan de AP conform gemaakte bestuurlijke afspraken met de toezichthouder hierover.
Zowel de AP als de Inspectie Gezondheidszorg en Jeugd (IGJ) gebruiken de NEN 7510 als uitgangspunt in hun toezicht. De AP doet dit vanuit het perspectief van gegevensbescherming en privacy, de IGJ vanuit het oogpunt van continuïteit van zorg.
Vraag 16
Deelt u de mening dat zolang dit niet gegarandeerd kan worden, de toegang van 8 miljoen medische dossiers niet zonder toestemming opengesteld zou moeten kunnen zijn?
X Noot
2Bron Capaciteitsorgaan – capaciteitsplan 2018–2021 (https://capaciteitsorgaan.nl/publicaties/capaciteitsplan-2018–2021-fzo-beroepen-ambulanceverpleegkundigen/ en De Monitor acute zorg, NZa https://puc.overheid.nl/nza/doc/PUC_301126_22/1/
X Noot
3NOS, 11 februari 2021, «440.000 euro boete voor OLVG vanwege onvoldoende beveiliging medische dossiers» (https://nos.nl/artikel/2368185-440-000-euro-boete-voor-olvg-vanwege-onvoldoende-beveiliging-medische-dossiers.html)
