Reactie op verzoek commissie over het bericht in de NRC ‘Zonder hun toestemming worden de medische dossiers van miljoenen Nederlanders gekopieerd en ‘ergens’ opgeslagen’

Informatie- en Communicatietechnologie (ICT) in de Zorg

Brief regering

Nummer: 2023D43281, datum: 2023-10-19, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-27529-305).

Gerelateerde personen:

Eerste ondertekenaar: E.J. Kuipers, minister van Volksgezondheid, Welzijn en Sport

Bijlagen:

Beslisnota inzake Reactie op verzoek commissie over het bericht in de NRC ‘Zonder hun toestemming worden de medische dossiers van miljoenen Nederlanders gekopieerd en ‘ergens’ opgeslagen’

Onderdeel van kamerstukdossier 27529 -305 Informatie- en Communicatietechnologie (ICT) in de Zorg.

Onderdeel van zaak 2023Z17917:

Indiener: E.J. Kuipers, minister van Volksgezondheid, Welzijn en Sport
Voortouwcommissie: vaste commissie voor Volksgezondheid, Welzijn en Sport

Onderdeel van activiteiten:

: Digitale ontwikkelingen in de zorg (Commissiedebat), vaste commissie voor Volksgezondheid, Welzijn en Sport
2023-10-24 16:30: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
2023-10-25 10:15: Procedurevergadering VWS (Procedurevergadering), vaste commissie voor Volksgezondheid, Welzijn en Sport

Preview document (🔗 origineel)

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2023-2024

27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg

Nr. 305 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 oktober 2023

Naar aanleiding van het verzoek van de vaste commissie voor Volksgezondheid, Welzijn en Sport om te reageren op het bericht in de NRC «Zonder hun toestemming worden de medische dossiers van miljoenen Nederlanders gekopieerd en «ergens» opgeslagen», zend ik u hierbij mij reactie.¹

De Minister van Volksgezondheid, Welzijn en Sport,
E.J. Kuipers

Reactie op het bericht «Zonder hun toestemming worden de medische dossiers van miljoenen Nederlanders gekopieerd en «ergens» opgeslagen»

Inleiding

Op 18 juli jl. publiceerde de NRC het artikel «Zonder hun toestemming worden de medische dossiers van miljoenen Nederlanders gekopieerd en «ergens» opgeslagen». Dit artikel gaat in op de inzet van een commerciële softwareleverancier bij de verwerking van gedigitaliseerde medische gegevens, teneinde de huisartsenzorg te vereenvoudigen (lees: een daling van de administratieve lasten te bewerkstelligen). De software wordt door veel huisartsen gebruikt voor het beheren van de zorg voor patiënten met chronische aandoeningen, zoals diabetes. In het artikel is beschreven dat enkele huisartsen zich zorgen maken over de inzet van de betreffende softwareleverancier en daarmee samenhangend de positie van een huisarts ten opzichte van de commerciële softwareleverancier.

Naar aanleiding van het NRC-artikel hebben de Kamerleden Van Haga (Groep Van Haga) en Bushoff (PvdA) vragen gesteld. Deze vragen heb ik op dinsdag 12 september jl. van antwoord voorzien.² Vervolgens heeft de vaste Commissie voor Volksgezondheid, Welzijn en Sport om een (algemene) reactie gevraagd op het NRC-artikel. Deze brief is gebaseerd op de eerder verstuurde antwoorden. Mijn reactie op het NRC-artikel ziet derhalve op het juridische kader met betrekking tot de bescherming van persoonsgegevens, de rol van de Autoriteit Persoonsgegevens (AP), de uitdagingen op de zorg-ICT-markt, informatieveiligheid en alternatieve methoden om gegevens uit te wisselen.

Juridisch kader ter bescherming van persoonsgegevens

Er is thans wet- en regelgeving die vereist dat medische gegevens goed worden beschermd. Zo is er de AVG en de Uitvoeringswet AVG (UAVG), op basis waarvan gezondheidsgegevens niet zomaar mogen worden verwerkt en waarin is geregeld dat betrokkenen in beginsel op de hoogte moeten worden gehouden van de verwerking van hun persoonsgegevens. Daarnaast stelt genoemde wetgeving eisen aan de verwerking van persoonsgegevens, zoals dat de verwerking rechtmatig, behoorlijk en transparant moet zijn.³ De AVG bepaalt ook dat passende technische en organisatorische maatregelen moeten worden genomen om gegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking, evenals tegen onbedoeld verlies, vernietiging of beschadiging. Aanvullende voorschriften op nationaal niveau specificeren dit verder, zoals het Besluit elektronische gegevensverwerking door zorgaanbieders, dat vereist dat zorgaanbieders voldoen aan informatiebeveiligingsnormen zoals NEN 7510, NEN 7512 en NEN 7513.

Daarnaast geldt het medisch beroepsgeheim, dat met zich brengt dat een hulpverlener in beginsel moet zwijgen over alles dat aan hem door de patiënt wordt toevertrouwd. Het belang van het wettelijk beroepsgeheim wordt benadrukt door de strafbaarstelling van schending ervan. Voor softwareleveranciers die als verwerker ten behoeve van de zorgaanbieder persoonsgegevens verwerken, geldt een afgeleid medisch beroepsgeheim. Dat betekent dat voor hen dezelfde (geheimhoudings)regels gelden als voor hulpverleners. Al deze regels borgen dat commercieel gebruik van medische gegevens niet zomaar is toegestaan.

Het is primair aan zorgaanbieders om te zorgen dat voldaan wordt aan de internationale en nationale wet- en regelgeving en daar de nodige voorzieningen voor te treffen. Daarbij maak ik mij hard voor informatieveiligheid. Dit doe ik onder andere met de ondersteuning van het Computer Emergency Response Team voor de zorg (Z-CERT) en het programma «Informatieveilig gedrag». Dit programma heeft als doel dat veel meer zorgorganisaties effectieve interventies kiezen om gedragsverandering bij zorgprofessionals te bereiken op het gebied van informatieveiligheid. Naast toezicht vanuit de IGJ hierop is het uiteraard de Autoriteit Persoonsgegevens (AP) die – ook in onderhavige geval – toezicht houdt op de naleving van de AVG en andere privacywetten in Nederland.

Onderzoek AP

In 2018 deed de AP onderzoek naar de onderhavige casus. De AP zag destijds geen aanleiding tot vervolgonderzoek. De AP heeft daar de volgende redenen voor gegeven. Allereerst worden de geëxtraheerde gegevens meteen automatisch versleuteld en zijn deze gegevens alleen toegankelijk voor de huisarts (die de sleutel heeft). De softwareleverancier en de ketenzorggroep hebben geen sleutel. Als tweede reden gaf de AP aan dat medische gegevens niet met externen worden gedeeld, voor bijvoorbeeld wetenschappelijk onderzoek of statistiek.

De AP is een onafhankelijk toezichthouder. De observaties en adviezen van de AP worden niet door mij gestuurd of beïnvloedt; het is nadrukkelijk niet aan mij om de AP te bewegen om verder vervolgonderzoek te doen. Verder is het ook niet aan mij om een oordeel te geven over de rechtmatigheid van de gegevensverwerkingen die hier aan de orde zijn. Dat vergt onder meer een gedegen onderzoek naar de feiten en omstandigheden en het van toepassing zijnde wettelijke kader. Dit is ook aan de AP.

Wel geef ik u een aantal overwegingen mee die zien op alternatieve methoden om gegevens uit te wisselen en de uitdagingen op de zorg-ICT-markt.

Alternatieven methoden voor gegevensdeling (nationale visie en strategie op het gezondheidsinformatiestelsel)

In de moderne en «digitale» huisartspraktijk van nu is het digitaal werken en de bijbehorende centrale opslag van data nodig om het dagelijks werk en de patiëntenzorg goed en effectief uit te voeren. Dagelijks zijn zorgverleners zich bewust van het belang van zorgvuldig omgaan met en het gebruik van medische gegevens.

Binnen de ketenzorg werken meerdere zorgverleners vanuit verschillende organisaties samen aan de behandeling van één patiënt. Iedere organisatie heeft een eigen informatiesysteem, maar voor een integraal patiëntbeeld moet men ook de informatie van elkaar hebben. Er zijn verschillende methoden om medische gegevens te delen met andere behandelaars. Op basis van hun rol van verwerkingsverantwoordelijke in de zin van de AVG is het aan de betrokken zorgaanbieders om te boordelen en vast te stellen of de gekozen oplossing voldoet aan de geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging.

In de nationale visie is vastgesteld dat we naar een integraal georganiseerd gezondheidsinformatiestelsel moeten groeien, waarin data beschikbaar, bereikbaar en bruikbaar moet zijn voor preventie, het primaire zorgproces en secundair datagebruik. Daarvoor moeten burgers, zorgverleners, zorgaanbieders, onderzoekers en beleidsmakers vertrouwen hebben in elkaar en in het zorgvuldig gebruik van data. Om dat vertrouwen een rotsvaste basis te geven is regie vanuit VWS nodig. Om deze basis te creëren zet ik in op de standaardisatie van taal en techniek en de implementatie van generieke functies. Standaardisatie maakt het mogelijk de huidige en nieuwe infrastructuren te verbinden waardoor een landelijk dekkend netwerk ontstaat. Voor een uitgebreide uiteenzetting van mijn beleidslijn om te komen tot een landelijk dekkend netwerk van infrastructuren verwijs ik u graag naar mijn Kamerbrief van 13 april 2023 «Landelijk dekkend netwerk van infrastructuren».⁴

Zorg-ICT-markt en het bijbehorende Actieplan

In Nederland is bewust gekozen voor een vrije markt, zodoende ook in de zorg-ICT. Ik ben van mening dat dit de ontwikkeling van innovatieve oplossingen ten goede komt. Zonder commerciële partijen zou het nodige ontwikkel- en innovatieklimaat niet bestaan. Over het algemeen is het acceptabel dat zorgaanbieders (vanuit hun eigen verantwoordelijkheid) commerciële softwareleveranciers – als verwerkers in de zin van de AVG – inschakelen die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerken. In dat kader moeten verwerkersovereenkomsten met de softwareleveranciers worden gesloten, waarin gezamenlijk afspraken worden gemaakt over de bescherming en beveiliging van persoonsgegevens (artikel 28 AVG). Uiteraard geldt daarbij ook dat verwerkers zich moeten houden aan de AVG.

Met het Actieplan zorg-ICT-markt probeer ik de markt opener, eerlijker en toekomstgericht te maken. Meer specifiek wil ik door inrichting van een catalogus van zorg-ICT-systemen, zorgaanbieders en ICT-inkopers in staat stellen om ICT-producten en diensten met elkaar te vergelijken, bijvoorbeeld op basis van functionaliteiten of keurmerken. Zo kunnen zorgaanbieders een weloverwogen keuze maken ten aanzien van het samenwerken met softwareleveranciers.

Ook wil ik met het Actieplan de onderhandelingspositie van zorgaanbieders verbeteren ten opzichte van softwareleveranciers en werk ik aan voornoemde inrichting van (cross)sectoraal leveranciersmanagement.

Conclusie en staande toezegging

Het NRC-artikel laat zien dat het delen van medische gegevens en toestemming daarvoor een gevoelig onderwerp is en dat dit zo blijft, vooral als commerciële softwarebedrijven erbij betrokken zijn.

Ten aanzien van de rechtmatigheidsbeoordeling van de gegevensuitwisseling en het doen van vervolgonderzoek naar onderhavige casus zal de AP als onafhankelijk toezichthouder bepalen of vervolgonderzoek nodig is. Daarnaast hebben huisartsen een grote eigen verantwoordelijkheid als het gaat om het delen van medische gegevens en het informeren van patiënten, en ondersteun ik het zorgveld op informatieveiligheid. Verder werk ik met het Actieplan Zorg-ICT-markt aan een opener, eerlijker en toekomstgerichte zorg-ICT-markt.

Zoals ook al benoemd in mijn antwoorden op de vragen van de Leden Van Haga (Groep Van Haga) en Bushoff (PvdA) zal ik bij brancheorganisaties NHG en InEen vragen om de opslag en uitwisseling van elektronische patiëntgegevens bij hun achterban onder de aandacht te brengen.

NRC, 18 juli 2023, «Zonder hun medeweten worden de medische dossiers van miljoenen Nederlanders gekopieerd en «ergens» opgeslagen» (https://www.nrc.nl/nieuws/2023/07/18/zonder-hun-toestemming-worden-de-medische-dossiers-van-miljoenen-nederlanders-gekopieerd-en-ergens-opgeslagen-a4170063).↩︎
Aanhangsel Handelingen II 2022/23, nrs. 3617 en 3616.↩︎
Uitzonderingen op art. 9 AVG (verbod op verwerking bijzondere persoonsgegevens) zijn te vinden in art. 24 en art. 30 UAVG.↩︎
Kamerstuk 27 529, nr. 293.↩︎