| Ingediend | 29 juni 2022 |
|---|---|
| Beantwoord | 12 september 2022 (na 75 dagen) |
| Indieners | Renske Leijten (SP), Maarten Hijink (SP) |
| Beantwoord door | Kuipers , Hanke Bruins Slot (minister binnenlandse zaken en koninkrijksrelaties) (CDA), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z13503.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-3985.html |
Medworq verwerkte data in opdracht van huisartsen en heeft haar informatiebeveiliging ingericht conform de geldende normen en is hiervoor ISO27001 en NEN7510 gecertificeerd. Een oud-medewerker heeft in de rol van Information Security Officer (ISO) tijdens zijn interne controlewerkzaamheden data ontvreemd, aldus Medworq. In 2020 bleek volgens Medworq dat de oud-medewerker data had ontvreemd en zijn geheimhoudingsplicht had geschonden. Lopende het strafproces heeft de oud-medewerker de data aan journalistiek platform Follow The Money (FTM) overhandigd. De betreffende data zijn volgens FTM en de oud-medewerker nooit verder verspreid.
In een brief van 6 juli jl. geeft Medworq aan dat in samenwerking met Openbaar Ministerie (OM) is bewerkstelligd dat de ontvreemde data door de ex-medewerker is overhandigd aan een notaris, en dat alle kopieën van de betreffende data zijn gewist. Ook FTM heeft verklaard dat zij alle data die door de oud medewerker aan hen is verstrekt heeft gewist.
Voorop staat dat gegevens over de gezondheid van personen tot de meest gevoelige gegevens behoren en dat deze gegevens op uitermate zorgvuldige wijze bewaard moeten worden en dat effectieve maatregelen getroffen moeten worden om te voorkomen dat zij uitlekken. De Staatssecretaris van BZK en ik betreuren dat dit heeft plaatsgevonden en zetten ons in om bijzondere persoonsgegevens goed te (blijven) beschermen. Het is primair aan zorgaanbieders zelf om te zorgen dat voldaan wordt aan de wet- en regelgeving en daar goede voorzieningen voor te treffen. Daarnaast is goede controle op de naleving van deze regels noodzakelijk. Wij vinden het echter niet per definitie onwenselijk dat commerciële bedrijven medische apps ontwikkelen. Dit wordt ook al veel gedaan. Gedacht kan worden aan bijvoorbeeld gezondheidsapps (bijvoorbeeld apps die stappen tellen) en draagbare technologie (wearables; zoals horloges waarmee de bloeddruk wordt gemeten). Hierdoor krijgen mensen steeds vaker binnen en buiten de zorgcontext meer gegevens over hun eigen gezondheid. Dit versterkt hun positie en maakt dat zij meer grip krijgen op hun gezondheid. Ook vinden wij het niet per se onwenselijk dat zorgaanbieders gebruik maken van software – zoals een zorginformatiesysteem – die is ontwikkeld en feitelijk beheerd wordt door een softwareleverancier. Immers, ICT-aanbieders hebben de kennis en kunde om ICT te ontwikkelen die aansluit bij de wensen van het veld. Gegevens over de gezondheid vallen onder de bijzondere categorieën persoonsgegevens die onder de AVG extra bescherming genieten. Het uitgangspunt daarbij is dat de verwerking van gezondheidsgegevens verboden is, behalve in een aantal uitzonderingsgevallen. Een van die uitzonderingen is dat de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking van deze gegevens voor specifieke doelen. Als dit wordt vertaald naar de context van een gezondheidsapp, betekent het vooraf voor de gebruiker van de app duidelijk moet zijn welke gegevens er op welke wijze verwerkt gaan worden en voor welke specifieke doeleinden dit gebeurt. De gebruiker moet hier expliciet toestemming voor geven voordat de gegevensverwerking plaatsvindt. Verder dient de verwerking van de gegevens zorgvuldig te gebeuren, wat onder meer inhoudt dat er niet meer gegevens worden verwerkt dan noodzakelijk en dat passende technische en organisatorische maatregelen worden genomen om de gegevens te beschermen. Dit laatste is in nationale wetgeving nader ingevuld: zorgaanbieders moeten voldoen aan de informatiebeveiligingsnormen NEN 7510, NEN 7512 en NEN 7513.
Daarnaast geldt het medisch beroepsgeheim, dat met zich brengt dat een hulpverlener in beginsel moet zwijgen over alles dat aan hem door de patiënt wordt toevertrouwd. Het belang van het wettelijk beroepsgeheim wordt onderstreept door de strafbaarstelling van schending ervan. Voor degenen die geen medisch beroepsgeheim hebben, maar wel beroepsmatig op de hoogte raken van behandelgegevens van de patiënt, zoal ICT-ers, geldt overigens een afgeleid medisch beroepsgeheim. Dat betekent dat voor hen dezelfde regels gelden als voor hulpverleners.
Deze kaders bieden, mits zij goed worden toegepast, robuuste waarborgen voor de verwerking van gezondheidsgegevens door medische apps. Het is primair aan zorgaanbieders zelf om te zorgen dat voldaan wordt aan de wet- en regelgeving en daar goede voorzieningen voor te treffen.
Wat de AVG betreft, is de Autoriteit Persoonsgegevens verantwoordelijk voor het toezicht op de naleving, ook in het digitale domein. Het verwerken van medische gegevens door apps is een onderwerp dat volop in beweging is en vraagt om een stevige vinger aan de pols. Dit heeft zowel onze aandacht, als de aandacht van de toezichthouder.3 Verder wordt op verschillende manieren ingezet op bewustwording en verbetering van de naleving. Zo worden zorgaanbieders onder meer ondersteund door de informatie die te vinden is op de AVG-helpdesk (www.avghelpdeskzorg.nl). Daarnaast worden zorgaanbieders ondersteund en gefaciliteerd om de informatiebeveiliging en digitale weerbaarheid te verbeteren. Er wordt gezamenlijk met de zorgkoepels gewerkt aan het Actieplan Informatieveilig gedrag met als doel om het bewustzijn van informatiebeveiliging in de zorg te verhogen. Bij ICT-incidenten kunnen aangesloten zorginstellingen rekenen op hulp van Z-CERT. Deze organisatie helpt zorginstellingen bij het bestrijden van dit soort incidenten. Verder wordt met het project «toekomstbestendig maken UZI» ingezet of verbetering van de manier waarop zorgverleners en zorgaanbieders zich identificeren, authentiseren en autoriseren voor het uitwisselen van medische gegevens. Daarnaast wordt onderzocht of de toezicht- en handhavingsbevoegdheden van de Inspectie Gezondheid en Jeugd (IGJ) van de eerder genoemde informatiebeveiligingsnormen verduidelijking behoeven.
Het is niet aan de Minister van VWS om dit soort meldingen te onderzoeken. Dit laat onverlet dat de melder door mij zeer serieus is genomen. De Beveiligingsautoriteit van VWS heeft o.a. samen met de melder gezocht naar het geschikte loket om deze melding te doen, zoals bij een officier van justitie of het huis voor de klokkenluiders zodat de noodzakelijke data verstrekt kon worden en een onderzoek mogelijk was. De melder heeft echter ervoor gekozen daarvan geen gebruik te maken. De melder heeft aan de BVA van het Ministerie van VWS aangegeven zelf de melding bij de AP te hebben gedaan.
Over werkwijzen en onderzoeken van de AIVD en MIVD worden in het openbaar geen mededelingen gedaan. Wel kunnen wij t.a.v. deze casus meedelen dat bij het Ministerie van Defensie een anonieme melding is binnengekomen van een potentieel datalek van medische gegevens. Deze melding is onderzocht en naar aanleiding daarvan is contact opgenomen met het bedrijf. De onderzoeksresultaten zijn vervolgens overgedragen aan de politie.
Zie antwoord vraag 4.
Bedrijven zijn zelf verantwoordelijk voor hun eigen informatiebeveiliging. In zijn algemeenheid heeft de AIVD in het kader van de Wet op de inlichtingen- en veiligheidsdiensten 2017 een taak om veiligheidsmaatregelen te bevorderen tegen concrete of voorstelbare dreigingen bij vitale instanties – van overheid tot bedrijfsleven – die van essentieel belang zijn voor het maatschappelijke leven. Indien bij een concrete of voorstelbare dreiging een mogelijk gevolg van deze dreiging datalekken zijn, dan kan de AIVD in samenwerking met andere partners zoals het Nationaal Cybersecurity Centrum betreffende bedrijven benaderen. De MIVD heeft in het kader van de Wiv2017 de taak om veiligheidsmaatregelen te bevorderen tegen concrete of voorstelbare dreigingen bij defensieorderbedrijven.
Over individuele meldingen en zaken doet de AP in het kader van eventueel onderzoek in principe geen uitspraken. De AP beoordeelt of er op een juiste wijze invulling is gegeven aan de meldplicht van art. 33 en art. 34 van de AVG.
Het is aan verwerkingsverantwoordelijken om te beoordelen of een datalek moet worden gemeld aan betrokkenen en de AP. De AP beoordeelt als onafhankelijke toezichthouder of hieraan op een juiste wijze invulling is gegeven.
Medische informatie is zeer gevoelige informatie en dient goed beschermd te worden. En dat gebeurt ook: medische informatie wordt beschermd in internationale en nationale regelgeving.
In ons antwoord op vraag 2 zijn wij al op deze regelgeving ervan ingegaan. Deze regelgeving moet goed worden uitgevoerd. Daarnaast zetten wij ons op verschillende manieren in om bewustwording en verbetering van de naleving. In ons antwoord op vraag 2 zijn meerdere voorbeelden genoemd hoe daarop ingezet wordt.
Er is reeds internationale en nationale wetgeving waarin is geborgd dat commercieel gebruik van medische informatie niet zomaar is toegestaan. Deze regelgeving moet goed worden uitgevoerd en gehandhaafd. Daarom zetten wij ons, zoals in het antwoord op vraag 2 toegelicht, op verschillende manieren in om bewustwording van de regelgeving en op het verbeteren van de naleving.