[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Antwoord op vragen van het lid Edgar Mulder over het data-lek bij het ziekenhuis OLVG waardoor onbevoegde studenten medische dossiers hebben ingezien

Antwoord schriftelijke vragen

Nummer: 2019D10350, datum: 2019-03-14, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (ah-tk-20182019-1854).

Gerelateerde personen:

Onderdeel van zaak 2019Z03123:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2018-2019 Aanhangsel van de Handelingen
Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden

1854

Vragen van het lid EdgarMulder (PVV) aan de Minister voor Medische Zorg over het data-lek bij het ziekenhuis OLVG waardoor onbevoegde studenten medische dossiers hebben ingezien (ingezonden 18 februari 2019).

Antwoord van Minister Bruins (Medische Zorg) (ontvangen 14 maart 2019).

Vraag 1

Bent u bekend met het bericht «Patiëntdossiers in te zien door lek bij ziekenhuis OLVG»?1

Wat is uw reactie hierop?

Vraag 2

Is al bekend hoeveel en welke dossiers het betreft en zijn de betreffende patiënten op de hoogte gesteld? Zo nee, waarom niet?

Vraag 3

Hebben onbevoegde werkstudenten nog steeds toegang of is het data-lek inmiddels waterdicht?

Antwoord 1, 2 en 3

Ja, ik ben bekend met het bewuste artikel. Ik vind het zorgelijk als medische gegevens van patiënten in verkeerde handen vallen. Patiënten moeten te allen tijde kunnen vertrouwen op het veilig beschermen en delen van hun gegevens. Zorgaanbieders zijn in eerste plaats zelf verantwoordelijk voor de informatieveiligheid van hun patiënten. Ze moeten passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen en adequaat handelen wanneer een datalek zich voordoet.

Het OLVG heeft mij als volgt gemeld. Het OLVG heeft melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens (AP) en er zijn maatregelen genomen. Men heeft mij ook gemeld dat de autorisatie van medewerkers tot de EPD-systemen verder is aangescherpt en dat privacy een nadrukkelijker plek in het inwerkprogramma voor werkstudenten en voor alle andere medewerkers binnen het OLVG krijgt. Het OLVG doet onderzoek naar de dossiers die onrechtmatig zijn ingezien door onbevoegde werkstudenten. Betrokken patiënten en de AP zullen over de resultaten van het onderzoek worden geïnformeerd.

Vraag 4

Heeft u al een actieplan klaarliggen om deze en andere data-lekken in de zorgsector aan te pakken?

Antwoord 4

Zoals ik in de beantwoording op vragen 1, 2 en 3 heb aangegeven valt informatiebeveiliging in de eerste instantie onder de verantwoordelijkheid van zorgaanbieders zelf. Zorgaanbieders moeten zich reeds onder meer houden aan een aantal zorgbrede Nederlandse normen voor informatieveiligheid in de zorg (NEN-normen) en de voorschriften van de Algemene Verordening Persoonsgegevens (AVG). Datalekken of andere ICT-incidenten moeten worden gemeld bij de AP.

Gezien het belang van informatieveiligheid ondersteunt VWS de zorgsector hierbij in toenemende mate. Zoals ik in mijn Kamerbrief over «Elektronische gegevensuitwisseling in de zorg» van 20 december 2018 jl. heb aangekondigd, wil ik toewerken naar wettelijke verplichting om onder andere veiligheidsbelemmeringen in elektronische gegevensuitwisseling in de zorg aan te pakken. Daarnaast is met ondersteuning van VWS het Computer

Emergency Response Team (Z-CERT) voor de zorgsector opgezet en in januari 2018 officieel gestart. Deze organisatie helpt aangesloten zorginstellingen bij monitoring, preventie en reparatie van ICT-incidenten. VWS ziet Z-CERT als het cybersecuritycentrum voor de zorg en draagt bij aan de doorontwikkeling ervan.

Ik vind dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie als Z-CERT. Zoals toegezegd op de aangenomen motie Ellemeet2 onderzoek ik het verplichtstellen van de deelname van zorginstellingen aan Z-CERT zal tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken. Ik zal uw Kamer hierover in de loop van dit jaar informeren.

Tot slot hebben zorgkoepels in samenwerking met VWS een Actieplan Verhoging bewustzijn informatiebeveiliging Patiëntengegevens opgesteld en hiermee de verhoging van bewustwording van informatiebeveiliging zelf opgepakt. Het Actieplan is uitgebreid en verbreed naar alle zorgbranches. Het actieplan wordt geleid door Brancheorganisaties Zorg (BoZ). Voor het zomerreces wordt uw Kamer geïnformeerd over de voortgang van het actieplan.

Vraag 5

Deelt u de mening dat we moeten stoppen met het delen van complete medische dossiers en dit moeten beperken tot een basisset waar de patiënt zelf de regie over voert? Zo nee, waarom niet?

Antwoord 5

Er bestaat niet één basisset van gegevens die op zichzelf voldoet in alle uitwisselingen van informatie die in het kader van behandeling plaatsvinden. Elke overdracht en uitwisseling vereist een andere set gegevens die noodzakelijk is voor de (vervolg)behandeling van een patiënt.

Regie voor de patiënt omarm ik van harte. Ik vind het van groot belang dat patiënten weten waar hun gegevens zich bevinden en weten en mee kunnen bepalen wat ermee gebeurt. In de Wet op de geneeskundige behandelovereenkomst (de WGBO) is geregeld dat gegevens uit een medisch dossier alleen met toestemming van de patiënt aan anderen kunnen worden verstrekt. Uit de WGBO volgt echter ook een aantal uitzonderingen op deze regel. Zo is expliciete toestemming niet nodig voor het verstrekken van noodzakelijke inlichtingen aan degene die rechtstreeks betrokken is bij de behandelrelatie en degene die optreedt als vervanger van de hulpverlener.


  1. Volkskrant, 15 februari 2019; https://www.volkskrant.nl/nieuws-achtergrond/patientdossiers-in-te-zien-door-lek-bij-ziekenhuis-olvg-~bab966c4/↩︎

  2. Kamerstuk 27 529, nr. 177↩︎