Kamervraag 2020Z24997

Het bericht ‘Brabants ziekenhuis merkte jarenlang datalekken niet op’

Ingediend 15 december 2020
Beantwoord 21 januari 2021 (na 37 dagen)
Indiener Hayke Veldman (VVD)
Beantwoord door Tamara van Ark (VVD)
Onderwerpen organisatie en beleid recht staatsrecht zorg en gezondheid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2020Z24997.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20202021-1406.html
  • Vraag 1
    Bent u bekend met het bericht «Brabants ziekenhuis merkte jarenlang datalekken niet op»?1

    Ja.

  • Vraag 2
    Kunt u aangeven hoe er toezicht wordt gehouden op het gebruik van noodprocedures om medische dossiers te bekijken? Kunt u aangeven waar dit dan in het geval van dit ziekenhuis is misgegaan en hoe dit in de toekomst wordt voorkomen?

    De beveiliging van medische dossiers, waaronder de noodprocedures om dossiers in te kunnen zien, is de verantwoordelijkheid van de zorgaanbieders en de regels zijn streng en duidelijk. Een zorgaanbieder dient van iedere inzage logging te bewaren en deze periodiek te controleren op eventueel misbruik. De zorgaanbieder dient misbruik te melden bij de Autoriteit Persoonsgegevens (AP) en het is aan de AP om hierop toezicht te houden.
    Het Bravis ziekenhuis laat mij weten dat een medewerker misbruik heeft gemaakt van zijn of haar bevoegdheid en van het in die medewerker gestelde vertrouwen. Het ziekenhuis heeft dit in 2018 geconstateerd, de beveiliging van de dossiers gecontroleerd en waar nodig aangescherpt en arbeidsrechtelijke maatregelen genomen tegen deze medewerker. Daarnaast heeft het ziekenhuis de klacht een de betrokken patiënt behandeld en een melding bij de AP gedaan.
    Het Bravis ziekenhuis geeft ook aan sinds 2018 de informatiebeveiliging te verbeteren, onder andere door inzet van nieuwe systemen die hiervoor meer mogelijkheden bieden. Het Bravis ziekenhuis laat haar informatiebeveiliging en privacybescherming in 2021 toetsen door onafhankelijke deskundigen. Ook neemt het Bravis ziekenhuis deel aan een landelijk programma waarbij alle Nederlandse ziekenhuizen zich in 2021 laten auditen op de toegangsbeveiliging van digitale patiëntendossiers.

  • Vraag 3
    Waar kunnen patiënten terecht wanneer zij na willen gaan wie hun medisch dossier heeft bekeken?

    Als iemand wil nagaan wie zijn of haar medisch dossier heeft ingezien, kan hij of zij bij de zorgaanbieder zelf terecht.

  • Vraag 4
    Welke maatregelen worden c.q. kunnen er genomen worden tegen personeel dat onbevoegd dossiers raadpleegde? Deelt u de mening dat hier stevige sancties nodig zijn?

    Onrechtmatige inzage in een medisch dossier vind ik onaanvaardbaar. Alleen personen die direct betrokken zijn bij de behandelovereenkomst mogen het patiëntendossier inzien.
    Als personeel onrechtmatig dossiers raadpleegt, is het aan de werkgever of en welke maatregelen tegen dit personeel genomen worden. Het Bravis ziekenhuis geeft, gezien de privacy van betrokkenen, geen verdere details over de gebeurtenis waar de NRC over schrijft. Het is aan de toezichthouder om te bepalen of en welke sancties van toepassing zijn. Zoals hierboven beantwoord, is er melding gedaan bij de AP.

  • Vraag 5
    Bent u van mening dat het voor patiënten makkelijker zou moeten zijn om na te gaan wie hun medische gegevens bekijkt? Zo ja, welke stappen bent u voornemens hierin te nemen?

    Ik vind het belangrijk dat mensen regie hebben over hun gegevens. Op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) hebben mensen recht op inzage in hun medische gegevens en is er een klachtenmogelijkheid via de Autoriteit Persoonsgegevens (AP). Daarom is het verplicht loggegevens bij te houden.
    Op 1 juli 2020 is artikel 15e van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) in werking getreden. In artikel 15e van de Wabvpz wordt er ingegaan op logging en specifiek welke loggingsinformatie moet worden opgenomen in een afschrift. Op grond van artikel 15e kan een cliënt verzoeken om een overzicht, met daarin opgenomen wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien.
    Via de VIPP-regeling stimuleer ik de ontwikkeling van patiëntportalen om patiënten zelf de regie over hun medische gegevens te kunnen laten voeren. In diverse portalen is het voor een patiënt mogelijk de logging direct online in te zien.
    Samen met het zorgveld werk ik toe naar de juiste zorg op de juiste plek op het juiste moment met de juiste informatie. Elektronische gegevensuitwisseling tussen zorgverleners is daarin essentieel. Landelijke beschikbaarheid van infrastructuren en randvoorwaardelijke voorzieningen kan het elektronisch uitwisselen van gegevens versnellen. Hier werk ik aan. Een van de grondslagen voor elektronisch uitwisselen van gegevens is dat burgers op eenvoudige en eenduidige wijze toestemming moeten kunnen geven om hun eigen patiëntgegevens beschikbaar te maken; zorgverleners hebben de plicht tot geheimhouding – het medisch beroepsgeheim. Deze zaken licht ik nader toe in mijn brief aan uw Kamer, «Prioriteiten elektronische gegevensuitwisseling resterende kabinetsperiode» van 14 december 20202.

  • Vraag 6
    Deelt u de mening dat patiënten meer eigen regie zouden moeten hebben in het bepalen wie hun medische gegevens kan bekijken? Zo ja, welke stappen bent u voornemens hierin te nemen?

    Zie antwoord vraag 5.

  • Mededeling - 6 januari 2021

    De vragen van het lid Veldman (VVD) over het bericht «Brabants ziekenhuis merkte jarenlang datalekken niet op» met kenmerk 2020Z24997 kunnen niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat afstemming ten behoeve van de beantwoording meer tijd vergt. Ik zal u zo spoedig mogelijk de antwoorden op de gestelde vragen sturen.


Kamervraag document nummer: kv-tk-2020Z24997
Volledige titel: Het bericht ‘Brabants ziekenhuis merkte jarenlang datalekken niet op’
Kamerantwoord document nummer: ah-tk-20202021-1406
Volledige titel: Antwoord op vragen van het lid Veldman over het bericht 'Brabants ziekenhuis merkte jarenlang datalekken niet op'