| Ingediend | 25 november 2016 |
|---|---|
| Beantwoord | 22 december 2016 (na 27 dagen) |
| Indieners | Astrid Oosenbrug (PvdA), Lea Bouwmeester (PvdA) |
| Beantwoord door | Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD), Ard van der Steur (minister justitie en veiligheid) (VVD) |
| Onderwerpen | openbare orde en veiligheid organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2016Z22254.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20162017-849.html |
Ja.
De Autoriteit Persoonsgegevens (AP) ziet in het algemeen, en dus niet alleen bij ziekenhuizen, tot op heden vooral de volgende soorten datalekken:
Er zijn verschillende potentiële oorzaken te benoemen voor het ontstaan van datalekken. Het gebruik van onbeveiligde verbindingen en menselijke fouten zijn er hier twee van.
Eerder dit jaar hebben de AP en de Inspectie voor de Gezondheidszorg (IGZ) per brief gewezen op de meldplicht datalekken2 bij de brancheorganisaties Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU), Zelfstandige Klinieken Nederland (ZKN), GGZ Nederland en Revalidatie Nederland (RN) en hun leden. In mei heeft de AP daarnaast een presentatie gehouden voor de koepels van zorginstellingen om hen te informeren over de meldplicht en deze uitgebreid toe te lichten. In reactie daarop hebben de koepels ook acties in gang gezet om de awareness te vergroten.
De Zeker-campagne van de NVZ3 dit najaar was gericht op het vergroten van het bewustzijn over informatiebeveiliging en specifiek datalekken. Daardoor is de alertheid bij ziekenhuizen en de bereidheid om te melden mogelijk extra groot en mogelijk verklaart dit mede ook het aantal meldingen, waarover AP rapporteert. Omdat de meldplicht nieuw is, is het niet mogelijk goed te duiden hoe de meldingen uit de zorg zich verhouden tot de meldingen in andere sectoren.
Indien er sprake is van een datalek, waarbij persoonsgegevens zijn gelekt, is het zaak dat het lek zo snel mogelijk gedicht wordt. Bij melding aan de AP wordt de melder ook gevraagd om verbeteracties te benoemen.
Het is mij niet bekend of er bij de gemelde datalekken sprake was van zodanige lekken van patiëntgegevens dat de betrokkenen hierover geïnformeerd dienden te worden. De AP heeft beleidsregels gepubliceerd met daarin informatie over de meldplicht datalekken en handvatten om te beoordelen wanneer betrokkenen geïnformeerd moeten worden over een lek.4 Wanneer patiënten geïnformeerd behoorden te worden, dan maakt dit onderdeel uit van het opvolgingsplan van het datalek, waarop de AP kan toetsen.
De AP heeft tot op heden geen boetes opgelegd vanwege het niet tijdig melden van een datalek. Dit betekent niet automatisch dat datalekken steeds op tijd zijn gemeld. De AP heeft overigens meerdere instrumenten wat betreft het opleggen van sancties en maakt hierin als onafhankelijke toezichthouder zelf een keuze.
De afgelopen maanden heeft de Minister van VWS een onderzoek laten uitvoeren door PBLQ naar de beveiliging van patiëntgegevens en heeft het RIVM in opdracht van de IGZ ook onderzoek gedaan naar de omgang met privacy en informatiebeveiliging in de curatieve zorg en GGZ. Het PBLQ-rapport en het RIVM-onderzoek zijn op 15 december jl. met een beleidsreactie aan uw Kamer gestuurd.5 Ook in deze onderzoeken komen de voorbeelden die Women in Cybersecurity noemt naar voren. In de beleidsreactie op het PBLQ-rapport heeft de Minister van VWS aangekondigd om op basis van de aanbevelingen met het veld een «Actieplan (informatie)beveiliging patiëntgegevens» op te zetten. Hierbij zal een belangrijke rol zijn weggelegd voor de koepels van ziekenhuizen, zelfstandige klinieken, GGZ-instellingen en de Patiëntenfederatie, als ook voor VWS en de toezichthouders. Op korte termijn neemt de Minister van VWS het initiatief om met de genoemde organisaties te starten met het Actieplan. Daarbij zullen mogelijk op een later moment ook koepels uit de andere sectoren betrokken worden. De Minister van VWS streeft ernaar dat het Actieplan in het voorjaar van 2017 gereed is, waarna de implementatie direct kan starten voor zover dat nog niet is gebeurd. Naar verwachting zal het Actieplan een meerjarig karakter zal hebben.
Ik heb geen inzicht in de aard en omvang van het verhandelen van patiëntgegevens op online zwarte markten. Wel acht ik het in alle gevallen zeer onwenselijk dat persoonsgegevens, en in het bijzonder medische persoonsgegevens, verhandeld worden en voor commerciële doeleinden gebruikt worden met consequenties voor patiënten zonder dat deze daar weet van hebben. In het Cyber Security Beeld Nederland6 (CSBN) wordt het risico genoemd dat bijvoorbeeld vanuit zorginstellingen of zorg-gerelateerde websites inloggegevens bemachtigd worden, die vervolgens misbruikt worden voor financieel gewin. Dat maakt ook dat ik het van groot belang vindt dat zorginstellingen preventieve maatregelen nemen op het terrein van informatiebeveiliging en privacybewustzijn om informatiebeveiligingsincidenten en datalekken te voorkomen. De eerste verantwoordelijkheid daarvoor ligt bij de instellingen zelf.
Hierbij bericht ik u, mede namens de Minister van Volksgezondheid, Welzijn en Sport, dat de schriftelijke vragen van het de leden Oosenbrug en Bouwmeester (beiden PvdA) over datalekken bij ziekenhuizen (ingezonden 25 november 2016) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.