| Ingediend | 13 juli 2015 |
|---|---|
| Beantwoord | 2 september 2015 (na 51 dagen) |
| Indieners | Astrid Oosenbrug (PvdA), Lea Bouwmeester (PvdA) |
| Beantwoord door | Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD), Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (VVD) |
| Onderwerpen | openbare orde en veiligheid organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2015Z14011.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20142015-3279.html |
Ja, ik heb kennis genomen van deze berichten.
De wetswijziging waarop wordt gedoeld is de wet van 4 juni 2015 (Stb. 2015, 230) tot invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken) alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens (CBP) om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens (Wbp) een bestuurlijke boete op te leggen. Deze wet treedt op 1 januari 2016 in werking (inwerkingtredingsbesluit van 1 juli 2015, Stb. 2015, 281). De meldplicht voor datalekken heeft een algemene strekking en is derhalve niet uitsluitend gericht op de zorgsector.
Het is in beginsel aan de zorgsector (net als bij andere sectoren) zelf zich de inhoud van de wet eigen te maken en deze toe te passen in de praktijk. Hierbij kan gebruik worden gemaakt van de beleidsregels in de vorm van richtsnoeren die zullen worden opgesteld door het CBP. Dit najaar zal het CBP een openbare consultatie houden over door hem opgestelde concept-richtsnoeren. Ik verwacht dat de zorgsector ook gebruik maakt van de mogelijkheid om te reageren. Op grond van artikel 67 van de gewijzigde Wbp overlegt het CBP voorafgaand aan het vaststellen van de richtsnoeren voor de meldplicht datalekken met de Staatssecretaris van Veiligheid en Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Daarnaast zal het kabinet, in samenspraak met het CBP, brede bekendheid geven aan de nieuwe regels.
Ik houd geen zicht op de voorbereidingen die zorginstellingen treffen, omdat het aan de zorginstellingen zelf is om aan de regelgeving te voldoen. Ik kan dus ook niet inschatten of de zorgsector voldoende op de hoogte is van de nieuwe regels. Het is uiteindelijk aan het CBP als toezichthouder om dit te controleren.
Voor zover in vraag 2 nog gedoeld wordt op de Europese privacyverordening, wil ik u erop wijzen dat deze verordening nog in ontwikkeling is en er nog geen datum bekend is waarop de verordening tot stand zal komen en in werking treedt. Daarna geldt een implementatietermijn van twee jaar voordat de verordening van toepassing wordt in de lidstaten. Ik verwacht dan ook niet dat de zorgsector reeds van de precieze inhoud van deze verordening op de hoogte is.
Zie antwoord vraag 2.
Ik deel uw mening dat het gedrag van mensen mede bepalend is voor de bescherming van persoonsgegevens. Het is aan de zorgsector zelf invulling te geven aan hetgeen in wet- en regelgeving hieromtrent is geregeld. De koepels van zorgverleners en diverse regionale (ICT-) samenwerkingsverbanden van zorgaanbieders hebben de wettelijke regels rond privacy en beroepsgeheim bij uitwisseling van patiëntgegevens praktisch toepasbaar gemaakt in de Gedragscode elektronische gegevensuitwisseling in de zorg (EGiZ).
In zijn algemeenheid geldt dat uitwisseling van persoonsgegevens moet voldoen aan de bestaande wet- en regelgeving, met name de Wbp. Het CBP ziet hierop toe. Het CBP heeft in februari 2013 richtsnoeren vastgesteld waaraan de beveiliging van persoonsgegevens moet voldoen.
Voor alle systemen voor elektronische gegevensuitwisseling geldt dat ze moeten voldoen aan de bestaande wet- en regelgeving als de Wbp en de Wet geneeskundige behandelovereenkomst (WGBO). Voor gegevensuitwisseling is toestemming van de patiënt nodig (met uitzondering voor waarnemers en rechtstreeks bij de behandeling betrokkenen). Uiteraard geldt daarbij dat elektronische gegevensuitwisseling alleen is toegestaan als er sprake is van passende beveiliging op grond van de Wbp.
Mijn verantwoordelijkheid is de randvoorwaarden te creëren waaronder gegevens veilig kunnen worden uitgewisseld. In aanvulling op de bestaande wet- en regelgeving (WGBO en Wbp) ligt mijn wetvoorstel Cliëntenrechten bij elektronische verwerking van gegevens ter behandeling bij de Eerste Kamer. In een algemene maatregel van bestuur (AMvB) op grond van artikel 26 Wbp worden specifieke functionele, technische en organisatorische eisen gesteld aan elektronische gegevensuitwisseling. In deze AMvB wordt voor de informatiebeveiliging in de zorg dwingend verwezen naar beschikbare normen van het Nederlands Normalisatie-instituut, te weten NEN 7510;2011 (NEN 7510) en de verdere uitwerking van deze algemene norm betreffende informatiebeveiliging in de zorg in NEN 7512 en NEN 7513. Als een zorgaanbieder de in NEN 7510 en overige genoemde normen aangegeven maatregelen heeft getroffen, mag er vanuit worden gegaan dat deze «passende technische en organisatorische maatregelen» heeft getroffen, als bedoeld in artikel 13 van de Wbp.
Het is aan de zorgsector zelf deze regels om te zetten in verantwoord gedrag. Zoals aangegeven bij het antwoord op vraag 4, hebben zorgaanbieders de bestaande wet- en regelgeving rond veilige gegevensuitwisseling «vertaald» in een praktische gedragscode voor zorgaanbieders: de gedragscode Elektronische gegevensuitwisseling in de zorg (EGiZ).
De vragen van de leden Oosenbrug en Bouwmeester (beiden PvdA) aan de Minister van Volksgezondheid, Welzijn en Sport en de Staatssecretaris van Veiligheid en Justitie over de bescherming van persoonsgegevens in de zorg (ingezonden 13 juli 2015) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. Ik streef er naar u zo spoedig mogelijk na het zomerreces de antwoorden op deze Kamervragen te doen toekomen.