Antwoorden op Kamervragen van de Kamerleden Ploumen en Kerstens over het gebrekkige toezicht op de data van patiënten

09-09-2019

Hierbij zend ik u, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties en minister van Volksgezondheid, Welzijn en Sport, de antwoorden op de vragen van de Kamerleden Ploumen (PvdA) en Kerstens (PvdA) over het gebrekkige toezicht op de data van patiënten (2019Z15312).

Vraag 1
Heeft u kennisgenomen van het bericht in NRC Handelsblad: ‘Patiëntendata
hebben strenger toezicht nodig'?

Antwoord 1
Ja.

Vraag 2
Wat is uw reactie op dit bericht?

Vraag 3
Deelt u de mening dat patiënten er zeker van moeten kunnen zijn dat hun
gegevens beschermd worden?
Welke verantwoordelijkheid heeft u ambtshalve in het beschermen van deze
gegevens en welke maatregelen kunt u treffen?

Vraag 6
Indien uw informatiepositie u niet in staat stelt vraag 3 en 4 diepgaand te
beantwoorden, vindt u dan dat u
hier onderzoek naar zou moeten doen om de persoonlijke levenssfeer van
patiënten te garanderen?

Antwoord 2, 3 en 6
Ik hecht bij de verwerking van medische gegevens het grootste belang aan
informatiebeveiliging en privacybescherming. Patiënten moeten kunnen
vertrouwen op een veilige bescherming van hun gegevens zoals vastgelegd in
wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming
(AVG) en de Wet op de geneeskundige behandelovereenkomst (Wgbo). De
verantwoordelijkheid hiervoor ligt in de eerste plaats bij de zorgaanbieders. Zij
moeten zorgen voor organisatorische en technische maatregelen om voldoende
waarborgen te bieden bij het verwerken en opslaan van patiëntgegevens. Sinds 1
januari 2018 is het werken volgens en voldoen aan de NEN-normen 7510, 7512
en 7513 verplicht gesteld in het Besluit Elektronische Gegevensverwerking
Zorgaanbieders. Het is goed dat zorgverleners zich daar bewust van zijn. Mijn doel
is er aan bij te dragen dat de Nederlandse zorg, lerend van de praktijk, tot steeds
betere uitkomsten kan komen met behoud van informatiebeveiliging en
privacybescherming. Het anonimiseren van herleidbare persoonsgegevens tot
geanonimiseerde niet herleidbare gegevens is één van de vele maatregelen die
kunnen worden genomen om de privacy van de patiënt te beschermen. De AVG is
dan niet meer van toepassing (Grond 26 van de AVG).

Ik zal uw Kamer op verschillende momenten informeren over het borgen van de
persoonlijke levenssfeer van patiënten:

  • Voor het AO Gegevensuitwisseling op 9 oktober 2019 zal ik uw Kamer nader zal informeren over mijn beleid ten aanzien van informatiebeveiliging in de zorg. Hierin zal ik ook de uitkomsten meenemen van het onafhankelijke onderzoek naar de wenselijkheid van het gebruik van niet-Europese Cloud platforms voor het opslaan van zorgdata naar aanleiding van Kamervragen over Medische gegevens duizenden Nederlanders verplaatst naar Google (Kamerstukken (Aanhangsel) 2018-2019, nr 2457).
  • Op uw verzoek stuur ik voor het AO Gegevensuitwisseling op 9 oktober 2019 mijn reactie op het voorstel van de Patiëntenfederatie Nederland voor het instellen van een patiëntgeheim. Deze reactie bevat ook een nadere analyse van de wijze waarop de bescherming van patiëntgegevens geregeld is.
  • Aan het einde van dit jaar zal ik u een update geven van mijn brief Data laten werken voor gezondheid (Kamerstukken II Vergaderjaar 2018-2019, 27 529, nr. 164) waarin ik aangeef dat data alleen kan werken voor gezondheid als er voldoende vertrouwen is in het gebruik daarvan.

Vraag 4
Kunt u bevestigen dat het Amerikaanse bedrijf Epic, dat achter de
patiëntenbeheer-software zit, toegang heeft tot geanonimiseerde patiëntendata?
Hoe lang weet u dit al?

Vraag 5
Van welke software maken de overige ziekenhuizen in Nederland gebruik voor hun
patiëntenbeheer? Geldt hiervoor eveneens dat het bedrijf achter de software de
data van patiënten kan gebruiken?

Antwoord 4 en 5
Naar aanleiding van het NRC artikel en uw vragen heb ik contact gezocht met het
Amerikaanse bedrijf en het Amsterdam UMC. Het bedrijf geeft aan dat het
systeem waarnaar in het NRC artikel wordt verwezen niet wordt aangeboden in
Nederland. Het Amsterdam UMC geeft ook aan dat zij en de ziekenhuizen die met
dezelfde software leverancier werken dit systeem niet gebruiken.

Ziekenhuizen dragen zelf de verantwoordelijkheid voor hun software voor
patiëntenbeheer en hetgeen ze afspreken met de leveranciers in hun contracten.
Uiteraard moeten zij hierbij voldoen aan de geldende wet- en regelgeving. Elk
ziekenhuis gebruikt software van verschillende leveranciers, bijvoorbeeld voor de
verwerking van dossiers, labuitslagen, genetica en beeldmateriaal. Het gaat dan
ook te ver om die systemen individueel te benoemen.

Vraag 7
Wat vindt u ervan dat patiëntendata voor digitale toepassingen minder goed
beschermd worden dan patiëntendata die wordt gebruikt voor ‘analoge
onderzoeken’?

Antwoord 7
De bescherming die de AVG biedt, maakt geen onderscheid tussen digitaal of
analoog. Die is voor beide categorieën van toepassing.

Vraag 8
Welke aanvullende maatregelen kunt u mogelijk treffen om patiëntendata voor
digitale toepassingen beter te beschermen?

Antwoord 8
In de beantwoording van de vorige vragen heb ik aangegeven dat er al veel
wettelijk geregeld is. Zoals eerder aangeven in de beantwoording van vraag 6
kom ik nog dit jaar bij u terug op de bescherming van patientendata voor digitale
toepassingen.

Vraag 9
Wat vindt u ervan dat patiënten er niet over worden geïnformeerd dat hun data
voor grootschalig onderzoek worden gebruikt? Bent u van mening dat dit wel zou
moeten en dat patiënten de keuze tot deelname voorgelegd zouden moeten
krijgen?

Antwoord 9
In de situatie bij het Amsterdam UMC die u aanhaalt hebben betrokken partijen
mij gemeld dat er geen sprake is van het delen van data.

Voor wetenschappelijk onderzoek moet voor zover mogelijk gebruik gemaakt
worden van geanonimiseerde niet herleidbare gegevens of van toestemming van
de betreffende patiënten. Bij geanonimiseerde data is de AVG niet van toepassing
(Grond 26 van de AVG). De AVG en de WGBO bieden de mogelijkheid om onder
strikte voorwaarden onderzoek te doen zonder toestemming. Hier hoort onder
andere bij dat de gevraagde gegevens noodzakelijk en passend moeten zijn voor
het doel waarvoor deze gevraagd worden, dat de patiënt geïnformeerd moet
worden over het gebruik van de eigen data, en dat voldaan wordt aan andere
voorwaarden die door wet- en regelgeving worden gesteld.

Vraag 10
Welke mogelijke risico’s voor de toegankelijkheid tot de zorg ziet u indien enkele
bedrijven in de toekomst een monopolie hebben op belangrijke digitale
zorgtoepassingen?

Vraag 11
Vindt u dat de Nederlandse overheid beleid zou moeten maken om ervoor te
zorgen dat van deze monopoliepositie geen misbruik kan worden gemaakt? Welke
mogelijkheden ziet u daartoe?

Antwoord 10 en 11
Ik vind het belangrijk dat zorgaanbieders en hun toeleveranciers zich
onderscheiden op toegevoegde waarde en slimme diensten voor de patiënt en niet
op het bezit van data.

Ik vind het dan ook mooi om te zien dat het bedrijfsleven, patiënten,
zorgverzekeraars en de zorgverleners de handen in een slaan om digitale
gegevensuitwisseling in de zorg te bevorderen en het manifest Samen Vooruit:
een ambitie voor gegevensuitwisseling in de zorg [1] hebben opgesteld.

Verder heb ik in de derde brief elektronische gegevensuitwisseling in de zorg
(Kamerstukken II Vergaderjaar 2018-2019, 27 529, nr. 189) aangegeven dat ik
stap voor stap voor steeds meer gegevensuitwisselingen in de zorg wettelijk
verplicht wil stellen dat deze digitaal plaatsvindt. Dit zal aangewezen
zorgaanbieders verplichten om gezondheidsdata volgens een vast format te delen
met anderen en daarmee zal het risico op een monopoliepositie worden verkleind.

Tot slot is in Nederland reeds de, op Europese wetgeving gebaseerde,
Mededingingswet van kracht. Hierin is onder meer een verbod op misbruik van
een economische machtspositie opgenomen. De ACM ziet hier als onafhankelijke
toezichthouder op toe.

Hoogachtend,

de minister voor Medische Zorg en Sport,

Bruno Bruins

[1] https://www.vnoncw.nl/sites/default/files/nln19085_manifest_samen_vooruit_05.pdf


Dit nieuwsbericht is ook te vinden in de dossiers AVG en Privacy in de zorg

bron: Rijksoverheid.nl

Van onze partners

Examentraining CIPM / Certified Information Privacy Manager

→ Lees meer

Magazine: Eén jaar AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer