Antwoord op vragen van het lid Edgar Mulder over het data-lek bij het ziekenhuis OLVG waardoor onbevoegde studenten medische dossiers hebben ingezien

14-03-2019

Antwoorden op Kamervragen van het Kamerlid Mulder (PVV) over het data-lek bij het ziekenhuis OLVG waardoor onbevoegde studenten medische dossiers hebben ingezien. Minister Bruins voor Medische zorg & Sport beantwoordt de vragen.

Vraag 1
Bent u bekend met het bericht ‘Patiëntdossiers in te zien door lek bij ziekenhuis OLVG’? [1] Wat is uw reactie hierop?

Vraag 2
Is al bekend hoeveel en welke dossiers het betreft en zijn de betreffende patiënten op de hoogte gesteld? Zo nee, waarom niet?

Vraag 3
Hebben onbevoegde werkstudenten nog steeds toegang of is het datalek inmiddels waterdicht?

Antwoorden 1, 2 en 3
Ja, ik ben bekend met het bewuste artikel. Ik vind het zorgelijk als medische gegevens van patiënten in verkeerde handen vallen. Patiënten moeten te allen tijde kunnen vertrouwen op het veilig beschermen en delen van hun gegevens. Zorgaanbieders zijn in eerste plaats zelf verantwoordelijk voor de informatieveiligheid van hun patiënten. Ze moeten passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen en adequaat handelen wanneer een datalek zich voordoet.

Het OLVG heeft mij als volgt gemeld. Het OLVG heeft melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens (AP) en er zijn maatregelen genomen. Men heeft mij ook gemeld dat de autorisatie van medewerkers tot de EPD-systemen verder is aangescherpt en dat privacy een nadrukkelijker plek in het inwerkprogramma voor werkstudenten en voor alle andere medewerkers binnen het OLVG krijgt. Het OLVG doet onderzoek naar de dossiers die onrechtmatig zijn ingezien door onbevoegde werkstudenten. Betrokken patiënten en de AP zullen over de resultaten van het onderzoek worden geïnformeerd.

Vraag 4
Heeft u al een actieplan klaarliggen om deze en andere datalekken in de zorgsector aan te pakken?

Antwoord 4
Zoals ik in de beantwoording op vragen 1, 2 en 3 heb aangegeven valt informatiebeveiliging in de eerste instantie onder de verantwoordelijkheid van zorgaanbieders zelf. Zorgaanbieders moeten zich reeds onder meer houden aan een aantal zorgbrede Nederlandse normen voor informatieveiligheid in de zorg (NEN-normen) en de voorschriften van de Algemene Verordening Persoonsgegevens (AVG). Datalekken of andere ICT-incidenten moeten worden gemeld bij de AP.

Gezien het belang van informatieveiligheid ondersteunt VWS de zorgsector hierbij in toenemende mate. Zoals ik in mijn Kamerbrief over ‘Elektronische gegevensuitwisseling in de zorg’ van 20 december 2018 jl. heb aangekondigd, wil

ik toewerken naar wettelijke verplichting om onder andere veiligheidsbelemmeringen in elektronische gegevensuitwisseling in de zorg aan te pakken. Daarnaast is met ondersteuning van VWS het Computer

Emergency Response Team (Z-CERT) voor de zorgsector opgezet en in januari 2018 officieel gestart. Deze organisatie helpt aangesloten zorginstellingen bij monitoring, preventie en reparatie van ICT- incidenten. VWS ziet Z-CERT als het cybersecuritycentrum voor de zorg en draagt bij aan de doorontwikkeling ervan.

Ik vind dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie als Z-CERT. Zoals toegezegd op de aangenomen motie Ellemeet onderzoek ik het verplichtstellen van de deelname van zorginstellingen aan Z-CERT zal tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken.[2] Ik zal uw Kamer hierover in de loop van dit jaar informeren.

Tot slot hebben zorgkoepels in samenwerking met VWS een Actieplan Verhoging bewustzijn informatiebeveiliging Patiëntengegevens opgesteld en hiermee de verhoging van bewustwording van informatiebeveiliging zelf opgepakt. Het Actieplan is uitgebreid en verbreed naar alle zorgbranches. Het actieplan wordt geleid door Brancheorganisaties Zorg (BoZ). Voor het zomerreces wordt uw Kamer geïnformeerd over de voortgang van het actieplan.

Vraag 5
Deelt u de mening dat we moeten stoppen met het delen van complete medische dossiers en dit moeten beperken tot een basisset waar de patiënt zelf de regie over voert? Zo nee, waarom niet?

Antwoord 5
Er bestaat niet één basisset van gegevens die op zichzelf voldoet in alle uitwisselingen van informatie die in het kader van behandeling plaatsvinden. Elke overdracht en uitwisseling vereist een andere set gegevens die noodzakelijk is voor de (vervolg)behandeling van een patiënt.

Regie voor de patiënt omarm ik van harte. Ik vind het van groot belang dat patiënten weten waar hun gegevens zich bevinden en weten en mee kunnen bepalen wat ermee gebeurt. In de Wet op de geneeskundige behandelovereenkomst (de WGBO) is geregeld dat gegevens uit een medisch dossier alleen met toestemming van de patiënt aan anderen kunnen worden verstrekt. Uit de WGBO volgt echter ook een aantal uitzonderingen op deze regel. Zo is expliciete toestemming niet nodig voor het verstrekken van noodzakelijke inlichtingen aan degene die rechtstreeks betrokken is bij de behandelrelatie en degene die optreedt als vervanger van de hulpverlener.

[1] Volkskrant, 15 februari 2019
[2]Tweede Kamer, Vergaderjaar 2018-2019, 27 529, nr. 177

Dit artikel is ook te vinden in de dossiers Datalek, Privacy op de werkvloer en Privacy in de zorg

bron: Rijksoverheid

Van onze partners

Cursus: datalekken en cybersecurity

U wilt weten hoe u het beste data kan beveiligen, maar een datalek is vaak het gevolg van menselijk handelen en daarmee niet volledig te voorkomen. Weten hoe te reageren bij een datalek is dus minstens net zo belangrijk als een goed beleid. Deze cursus leert u voorkomen én genezen.

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
paula vrolijk

Paula Vrolijk-de Vries (programmamanager Privacyweb)
tel. 020 - 237 47 01
paula@berghauserpont.nl

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer