| Ingediend | 20 juli 2023 |
|---|---|
| Beantwoord | 12 september 2023 (na 54 dagen) |
| Indiener | Julian Bushoff (PvdA) |
| Beantwoord door | Kuipers |
| Onderwerpen | organisatie en beleid recht staatsrecht zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2023Z13849.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-3616.html |
Ja.
Het is niet aan mij om een oordeel te geven over de rechtmatigheid van de gegevensverwerkingen die hier aan de orde zijn. Dat vergt onder meer een gedegen onderzoek naar de feiten en omstandigheden en hoe die zich verhouden tot het relevante wettelijke kader. Dat is aan de Autoriteit Persoonsgegevens (AP).
Overigens wil ik wel benadrukken dat dataopslag in het digitaliserende zorgveld onvermijdelijk en gebruikelijk is. Daarnaast is dat vaak ook noodzakelijk om het dagelijks werk en de patiëntenzorg goed en effectief uit te kunnen voeren. Immers, door in onderhavige casus de medische dossiers te kopiëren en daarna te verwerken ten behoeve van zorgverzekeraars en regionale samenwerking hoeven huisartsen geen dubbele administratie te voeren. De Algemene verordening gegevensbescherming (AVG) biedt daar ook ruimte voor, mits de desbetreffende verwerkingen in overeenstemming zijn met de overige eisen uit de AVG. De huisarts bepaalt welke gegevens beschikbaar gesteld worden voor uitwisseling. De gegevens die beschikbaar zijn hebben als doel om de patiënt de best passende zorg te bieden. De huisarts is zelf verantwoordelijk voor het rechtmatig verwerken van medische gegevens én moet dat aan betrokkenen en desgevraagd de toezichthouder aantoonbaar kunnen maken.
In mijn Kamerbrief van 4 april 20232 over het Actieplan zorg-ICT-markt heb ik aangegeven dat veel zorgaanbieders leveranciersafhankelijkheid beschouwen als een probleem, maar dat het ontbreekt aan een gezamenlijke strategie om deze afhankelijkheid te doorbreken. Er zijn wel enkele voorbeelden van vraagbundeling en collectieve ICT-inkoop, maar er is nog steeds een groot gebrek aan zakelijke en gecoördineerde vraagarticulatie richting softwareleveranciers, zowel binnen instellingen als sectoren. Daarom ondersteun ik, als onderdeel van het Actieplan zorg-ICT-markt, zorgaanbieders bij de inrichting van (cross)sectoraal leveranciersmanagement. Het doel is om de positie van zorgaanbieders te versterken, zodat zij met kracht eisen aan softwareleveranciers kunnen stellen. De Autoriteit Consument en Markt (ACM) heeft ook aandacht voor zorg-ICT-markten. Buiten haar reguliere toezichthoudende rol, schreef zij bijvoorbeeld een leidraad «Goed werkende markten voor zorg-ICT».
Op grond van de AVG zijn verwerkingsverantwoordelijken (hier: de huisartsen) er zelf verantwoordelijk voor dat zij in overeenstemming met de AVG handelen. Daarnaast zijn huisartsen ook verantwoordelijk voor het melden van een datalek aan de AP én aan de slachtoffers. Het is goed om te beseffen dat softwareleveranciers een gewild doelwit zijn van cyberaanvallen. Zij leveren immers softwarediensten, digitale werkplekken of opslagruimte aan onder andere huisartsen en dat leidt tot een clustering van persoonsgegevens op de servers van deze softwareleveranciers. Op basis van hun rol van verwerkingsverantwoordelijke in de zin van de AVG is het aan de betrokken zorgaanbieders om te boordelen en vast te stellen of de gekozen oplossing – in dit geval Topicus/Calculus – voldoet aan de geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging, dat Topicus/Calculus beschikt over de benodigde certificeringen voor de NEN 7510 en ISO 27001 en voldoet aan de normen van de NEN 7512 en NEN 7513. In dit kader sluit de verwerkingsverantwoordelijke een verwerkersovereenkomst met een softwareleverancier, waarin gezamenlijk afspraken worden gemaakt over de bescherming en beveiliging van persoonsgegevens (artikel 28 AVG).
Zoals afgesproken in het Integraal zorgakkoord (IZA) en vastgelegd in de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) zet ik in op de standaardisatie van taal en techniek en de implementatie van generieke functies. Standaardisatie maakt het mogelijk huidige en nieuwe infrastructuren te verbinden waardoor een landelijk dekkend netwerk voor gegevensuitwisseling in de zorg ontstaat.
Interoperabiliteit is belangrijk om zorgaanbieders, zorgverleners en burgers in vrijheid – rekening houdend met geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging – zelf een keuze te kunnen laten maken tussen verschillende infrastructuren, EPD/ECD-systemen en (generieke) voorzieningen.
De AVG voorziet reeds in een afgewogen juridisch kader. Op basis van die wetgeving dient een huisarts – als verwerkingsverantwoordelijke – zelf te bepalen welke gegevens beschikbaar worden gesteld voor uitwisseling en zich daarbij te vergewissen dat dat in overeenstemming is met wet- en regelgeving. Andere zorgverleners kunnen de gegevens van de patiënt alleen inzien op het moment dat de huisarts samen met de patiënt besluit een consultatie of verwijzing te doen. De AP houdt toezicht op de naleving van de genoemde wetgeving.
Met het Actieplan zorg-ICT-markt probeer ik de markt opener, eerlijker en toekomstgerichter te maken. Hiermee werk ik onder andere aan heldere afspraken en samenwerking tussen softwareleveranciers, zorgaanbieders, koepels en VWS, over rollen en verantwoordelijkheden, met daarbij het centraal stellen van het maatschappelijke belang. Ook wil ik hiermee de onderhandelingspositie van zorgaanbieders verbeteren ten opzichte van softwareleveranciers en werk ik aan voornoemde inrichting van (cross)sectoraal leveranciersmanagement. Meer specifiek wil ik door inrichting van een catalogus van zorg-ICT-systemen zorgaanbieders en ICT-inkopers in staat stellen om ICT-producten en diensten met elkaar te vergelijken, bijvoorbeeld op basis van functionaliteiten of keurmerken. Zo kunnen zorgaanbieders een weloverwogen keuze maken ten aanzien van het samenwerken met softwareleveranciers.
De vragen van het lid Bushoff (PvdA) over het delen en opslaan van medisch dossiers (2023Z13849) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat afstemming ten behoeve van de beantwoording meer tijd vergt. Ik zal u zo spoedig mogelijk de antwoorden op de Kamervragen doen toekomen.