Tweede Kamer der Staten-Generaal

Vergelijkbare documenten
De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 15 maart 2016 Betreft Kamervragen. Geachte voorzitter,

Hierbij zend ik u de antwoorden op de vragen van het Kamerlid De Lange (VVD) over Nederlandse patiëntgegevens in Belgische gevangenis (2016Z01580).

Aan de Voorzitter van de. Tweede Kamer der Staten-GeneraalPostbus EA Den Haag

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 26 mei 2016 Betreft Kamervragen. Geachte voorzitter,

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

Elektronische gegevensuitwisseling in de zorg. De Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Nederlandse ontwikkelingen rondom elektronische gegevensuitwisseling. Anton Ekker Symposium Regelgeving rond patiëntgegevens 24 juni 2014

Datum 8 november 2012 Onderwerp Beantwoording kamervragen over de toegang van de VS tot data in de cloud

Tweede Kamer der Staten-Generaal

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Eerste Kamer der Staten-Generaal

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 28 augustus 2013 Betreft Kamervragen. Geachte voorzitter,

Tweede Kamer der Staten-Generaal

nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders

Datum 3 juni 2013 Onderwerp Antwoorden kamervragen over de hack op het Groene Hartziekenhuis

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 4 februari 2016 Betreft Kamervragen. Geachte voorzitter,

Staatsblad van het Koninkrijk der Nederlanden

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

De Voorzitter van de Eerste Kamer der Staten-Generaal Postbus EA Den Haag

Op de voordracht van Onze Minister van Volksgezondheid, Welzijn en Sport, mede namens de Staatssecretaris van Veiligheid en Justitie, ;

BEWERKERSOVEREENKOMST

Beroepsheim: de praktijk is weerbarstig

De Voorzitter van de Eerste Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk. Anton Ekker juridisch adviseur, Nictiz 20 mei 2011

Factsheet juridische informatie MedMij

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 29 juni 2016 Betreft Kamervragen. Geachte voorzitter,

Datum 8 september 2015 Onderwerp Antwoorden Kamervragen over de opslag van DNA data bij onder andere Google en Amazon

Algemene verordening gegevensbescherming (AVG)

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

Privacy en wet- en regelgeving rondom IHE XDS netwerken

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Inleiding. Pagina 1 van 5

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 8 november 2016 Betreft Kamervragen. Geachte voorzitter,

Eerste Kamer der Staten-Generaal

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 31 januari 2017 Betreft Kamervragen. Geachte voorzitter,

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal

Privacyverklaring Stichting Zorgcentra Rivierenland (SZR)

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 9 oktober 2018 Betreft Kamervragen. Geachte voorzitter,

PRIVACYVERKLARING. Januari 2019

PRIVACYREGLEMENT. Praktijk oefentherapie Mensendieck Waddinxveen. Inleiding

Samenwerkingsprotocol CBP-IGZ

Eerste Kamer der Staten-Generaal

In dit privacyreglement wordt aan onderstaande begrippen de navolgende betekenis gegeven: de gegevens die betrekking hebben op een persoon

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Inhoudsopgave Voorwoord... 1 Doel van registratie Doel van de registratie van ouders / verzorgers Doel van de registratie van

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Privacyverklaring. 1. Introductie

Privacyverklaring Praktijk Mondhygiëne Peize

PRIVACYREGLEMENT. Praktijk voor Logopedie en Dyslexie Raemakers

Privacyverklaring voor praktijk voor Mondhygiëne Zwager

PRIVACYREGLEMENT. Meander Medisch Centrum

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Privacyreglement Medewerkers Welzijn Stede Broec

MGH Mondzorg, Praktijk voor mondhygiëne

Wanneer met betrekking tot informatiebeveiliging een incident ontstaat, is het van belang dat dit zo snel mogelijk wordt gemeld en wordt behandeld.

Privacy Reglement CCN

Tweede Kamer der Staten-Generaal

PRIVACYREGLEMENT. Jolien Glas Oefentherapie

PRIVACYVERKLARING. 1. Algemene overwegingen

Privacy wetgeving in een notendop

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 11 januari 2017 Betreft Kamervragen. Geachte voorzitter,

Privacyreglement - Praktijk de Molen

Privacyreglement HAP S. Broens

Position Paper. Voorstel van Wet maatschappelijke ondersteuning 2015 (kamerstukken ) Ingebracht door de KNMG en GGZ Nederland

Tweede Kamer der Staten-Generaal

ICT in de zorg. Over de impact van wet- en regelgeving

Tweede Kamer der Staten-Generaal

Officiële uitgave van het Koninkrijk der Nederlanden sinds Reglement bescherming persoonsgegevens Kansspelautoriteit

Lijst van vragen - totaal

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Privacy verklaring en verantwoording gegevensbescherming

Privacy in Instituut Verbeeten

Tweede Kamer der Staten-Generaal

Gegevensverzameling en gegevensverwerking

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Documentnummer Verkorte inhoud document

het bijhouden van een register van verwerkingsactiviteiten; het (laten) uitvoeren van een veiligheidscontrole van het digitale cliëntendossier.

Privacyverklaring Mondhygiënepraktijk Westerhoff

Hieronder leest u een verdere toelichting van de privacyverklaring (AVG).

1.4 Wie is verantwoordelijk voor uw gegevens? Onze organisatie is (verwerkings)verantwoordelijke voor het verzamelen en gebruiken van uw gegevens.

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

Privacybeleid gemeente Wierden

Functionaris Gegevensbescherming: Drs D. Strauss, praktijkmanager via mail:

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Naam, adres, postcode, woonplaats van de cliënt(en) Geboortedatum van de cliënt(en) Telefoonnummer en van de cliënt(en)

Aanleiding voor dit protocol

Privacyreglement ( ) Huisartsenpraktijk Rozet

1.4 Wie is verantwoordelijk voor uw gegevens? Onze organisatie is (verwerkings)verantwoordelijke voor het verzamelen en gebruiken van uw gegevens.

Transcriptie:

Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2015 2016 Aanhangsel van de Handelingen Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden 1895 Vragen van het lid Leijten (SP) aan de Ministers van Volksgezondheid, Welzijn en Sport en van Veiligheid en Justitie over het bericht van de FBI «Health care systems and medical devices at risk for increased cyber intrusions for financial gain» (ingezonden 2 februari 2016). Antwoord van Minister Schippers (Volksgezondheid, Welzijn en Sport) (ontvangen 16 maart 2016). Zie ook Aanhangsel Handelingen, vergaderjaar 2015 2016, nr. 1557. Vraag 1 en 2 Wat is uw reactie op het bericht «Health care systems and medical devices at risk for increased cyber intrusions for financial gain»? 1 Kende u dit bericht? Onderschrijft u de waarschuwing van de FBI dat medische dossiers waarde hebben voor het criminele circuit? Zo ja, wat gaat u doen om dit risico zo klein mogelijk te maken? Antwoord 1 en 2 Net als de FBI stelt, kan ik mij voorstellen dat de inhoud van digitale medische dossiers waarde kan hebben voor commerciële doeleinden. Zeker ook in het licht van de steeds verder toenemende mogelijkheden om databestanden met verschillende data slim te combineren tot interessante big data. Dat is ook de reden dat de standaarden van de beveiliging van deze data, op een hoog niveau van beveiliging moeten liggen. De informatiebeveiliging van patiëntgegevens moet voldoen aan Europese en nationale wettelijke voorschriften. De regels voor bijvoorbeeld de omgang met, de opslag en de beveiliging van persoonsgegevens zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Voor bijzondere persoonsgegevens (zoals gegevens betreffende iemands gezondheid) stelt de Wbp extra eisen. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving en kan dit zo nodig met (bestuursrechtelijke) sancties afdwingen. Op 15 februari heeft de AP in een open brief aan de Raden van Bestuur van zorginstellingen in Nederland nogmaals aandacht gevraagd voor de bescherming van patiëntgegevens. Ter invulling van de eisen beschrijft de veldnorm NEN 7510 over informatiebeveiliging in de zorg maatregelen die zorginstellingen moeten treffen om via 1 Health care systems and medical devices at risk for increased cyber intrusions for financial gain: http://www.aha.org/content/14/140408--fbipin-healthsyscyberintrud.pdf ah-tk-20152016-1895 ISSN 0921-7398 s-gravenhage 2016 Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 1

een gecontroleerd proces op adequate wijze met (medische) gegevens om te gaan. De norm is van toepassing op alle organisaties in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Via de AMvB die behoort bij de Wet voor het gebruik van het BSN in de zorg heeft de NEN 7510 een verplichtend karakter gekregen. De AP ziet toe op de naleving van de norm. De Inspectie voor de Gezondheidszorg (IGZ) ziet alleen toe op de naleving van de norm voor zover deze direct verbonden is met de kwaliteit en veiligheid van zorg. De AP en de IGZ hebben een samenwerkingsprotocol waarin zij wederzijdse afspraken hebben gemaakt over de wijze van samenwerking voor het uitoefenen van toezicht op de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer binnen de gezondheidszorg. Vraag 3 Heeft u de waarschuwing van de FBI gedeeld met verantwoordelijken voor medische gegevens? Zo nee, gaat u dit alsnog doen? Zo ja, wanneer is dit gebeurd? Antwoord 3 Zorginstellingen zijn wettelijk verplicht om veilig om te gaan met medische persoonsgegevens. Veilige omgang en informatiebeveiliging van medische persoonsgegevens is daarom ook één van de terugkerende thema s van het Informatieberaad. Het realiseren van structurele aandacht voor dit onderwerp is voor mij belangrijker dan attendering van zorgpartijen op elke publicatie over dit thema. Dit neemt niet weg dat de AP in een open brief aan de Raden van Bestuur van zorginstellingen nogmaals aandacht heeft gevraagd voor de bescherming van patiëntgegevens. Ook zal de IGZ de Nederlandse Federatie van Universitair Medische Centra en de Nederlandse Vereniging van Ziekenhuizen een brief sturen om ziekenhuizen op hun verantwoordelijkheid te wijzen rond de beveiliging van patiëntgegevens. In het kader van verbetering van de informatiebeveiliging wordt door leden van het Informatieberaad gewerkt aan de ontwikkeling van een ZORG-Cert, een Computer Emergency Response Team, dat zich richt op het voorkomen en genezen van netwerk gerelateerde veiligheidsincidenten. Dit is één van de uitkomsten van de bespreking in het Informatieberaad om het risico dat gegevens in verkeerde handen komen te beperken. Vraag 4 Is de beveiliging van de computersystemen en elektronische apparaten die gebruikt worden in Nederlandse zorgorganisaties en ziekenhuizen voldoende om de veiligheid van medische gegevens te garanderen? Worden medische en persoonsgegevens van Nederlandse patiënten en cliënten voldoende beveiligd? Antwoord 4 De informatiebeveiliging van patiëntgegevens moet voldoen aan Europese en nationale wettelijke voorschriften. Ziekenhuizen en zorgverleners zijn hier zelf verantwoordelijk voor en moeten voldoende maatregelen treffen om de veiligheid van medische gegevens te kunnen borgen. De AP ziet toe op de naleving. Zowel de AP als de IGZ zien toe op de veldnorm, de NEN 7510, over informatiebeveiliging in de zorg wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig omgaan met medische persoonsgegevens. Zie ook mijn antwoord op vraag 2. Vraag 5 Kunt u een overzicht geven van het aantal zorgorganisaties en ziekenhuizen dat in de afgelopen vijf jaar te maken heeft gekregen met problemen in de beveiliging van hun elektronische datasystemen en apparaten, waardoor de privacy en/of de (persoonlijke) gegevens van cliënten en patiënten in gevaar zijn geweest? Zijn er in die gevallen persoonlijke gegevens in handen van criminelen terecht gekomen? Zo ja, hoe vaak, en is hierop gehandhaafd? Is bekend wat criminelen met deze informatie hebben gedaan? Is hierin een toename te zien over de afgelopen jaren? Zo ja, hoe verklaart u deze toename? Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 2

Antwoord 5 Ik heb geen inzicht in het aantal zorgorganisaties en ziekenhuizen dat de afgelopen vijf jaar te maken heeft gekregen met problemen in de beveiliging van hun elektronische datasystemen en apparaten, waardoor de privacy en/of de (persoonlijke) gegevens van cliënten en patiënten in gevaar zijn geweest. Ook navraag bij het Openbaar Ministerie leert dat geen gegevens bekend zijn over persoonlijke medische gegevens die in handen van criminelen terecht gekomen zijn. In 2013 heeft de AP onderzoek gepubliceerd naar de wijze waarop zorginstellingen aan medewerkers toegang verlenen tot digitale patiëntendossiers. Voor de scope en uitkomsten van het onderzoek verwijs ik naar de website van AP 2. Hierin zijn negen uiteenlopende instellingen opgenomen, waarbij de AP aanwijzingen heeft gegeven tot verbeteringen. Tegelijkertijd concludeerde AP dat de problematiek naar verwachting breder speelde. In reactie hierop zijn door de brancheorganisaties handreikingen opgesteld om de beveiliging van medische gegevens te verbeteren. Sinds 1 januari 2016 geldt er een meldplicht voor datalekken. Organisaties moeten een melding doen bij de AP zodra zij een ernstig datalek hebben en passende maatregelen treffen. De AP registreert de gemelde datalekken in een niet openbaar register. Ook de IGZ houdt geen openbare registratie hiervan bij. Vraag 6 Hoe versterken of verzwakken de door u gewenste invoering van een landelijk schakelpunt (LSP), en de uitwisseling van persoonlijke gegevens binnen dat systeem, de veiligheid van medische gegevens? Kunt u uw antwoord toelichten? Antwoord 6 Ook voor de uitwisseling van persoonsgegevens tussen meerdere partijen, via bijvoorbeeld een landelijk schakelpunt, zoals het LSP, gelden de regels over de omgang van persoonsgegevens zoals vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Het is aan de AP om te oordelen in hoeverre praktijksituaties als deze aan wet- en regelgeving voldoen. Daarnaast moeten partijen ook hier voldoen aan de NEN 7510. Verder ligt het Wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens ter behandeling voor in de Eerste Kamer. Dit wetsvoorstel regelt de randvoorwaarden bij elektronische uitwisseling van gegevens tussen zorgaanbieders. In een algemene maatregel van bestuur (AMvB) behorend bij het wetsvoorstel worden op grond van artikel 26 Wbp specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling in zijn algemeenheid vastgelegd. In het hele proces blijft de aan de volgende stap aanleverende partij verantwoordelijk voor het treffen van voldoende maatregelen om te borgen dat de partij waaraan wordt aangeleverd zich aan de afgesproken regels rond beveiliging en geheimhouding houdt en dat de afspraken daarover worden nageleefd. Vraag 7 Wat is uw reactie op de tv-uitzending van omroep Max waaruit blijkt dat Belgische gevangenen medische dossiers ongemerkt laten verdwijnen, omdat zij per kilo verwerkt papier krijgen betaald? 3 Antwoord 7 Ik vind het onwenselijk als (in Belgische gevangenissen) onzorgvuldig met patiëntendossiers is omgaan. Patiënten moeten erop kunnen vertrouwen dat de bescherming van medische informatie voldoende is gegarandeerd door de ziekenhuizen. Deze werkzaamheden laten uitvoeren door Belgische gevangenen zorgt voor onrust en onzekerheid. Ik heb begrepen dat het uitvoeren van 2 https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/mijn_privacy/rap_2013- patientendossiers-binnen-zorginstellingen.pdf 3 Zie http://www.uitzendinggemist.net/aflevering/343762/meldpunt.html Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 3

deze werkzaamheden in gevangenissen inmiddels niet meer voorkomt. Zie verder ook mijn antwoorden op eerdere vragen over dit onderwerp 4. De Autoriteit Persoonsgegevens (AP) heeft mij laten weten al eerder contact te hebben opgenomen met de Belgische privacytoezichthouder die inmiddels een onderzoek is gestart naar de gang van zaken in de Belgische gevangenissen. Tevens heeft de AP aangegeven dat ze zich door ziekenhuizen zekerheidshalve laat informeren over de afspraken die gemaakt zijn in bewerkersovereenkomsten met derde partijen voor het uitvoeren van werkzaamheden op het gebied van gegevensverwerking. Overigens zal over dit onderwerp door uw Kamer binnenkort een debat worden gepland, naar aanleiding van de Regeling van werkzaamheden van d.d. 2 maart 2016. Voorafgaand aan dit debat zal ik uw Kamer nog een aparte brief doen toekomen. Vraag 8 Erkent u dat veilige omgang met medische gegevens, dus ook opslag, het digitaliseringsproces en vernietiging na verstrijken van de bewaartermijn, integraal onderdeel zijn van de patiëntveiligheid? Zo nee, waarom niet? Zo ja, op welke wijze wilt u goede omgang met medische gegevens door zorgorganisaties en zorgverleners versterken? Antwoord 8 Veilige omgang met medische gegevens valt daar als zodanig alleen onder als er een link is met mogelijk lichamelijk of psychisch leed. Overigens ben ik van mening dat veilige omgang met medische gegevens een belangrijk fundament onder vertrouwen van de patiënt in de gezondheidszorg is. Vraag 9 Is de Inspectie voor de Gezondheidszorg (IGZ), gelet op de lauwe reactie op de recente onthullingen, voldoende doordrongen van de ernst van de situatie? Kunt u uw antwoord toelichten? Antwoord 9 De IGZ is voldoende doordrongen van de ernst van de situatie en heeft mij al aangegeven dat zij toezicht houden op de veldnorm NEN 7510 over informatiebeveiliging in de zorg. Een goed informatiebeveiligingsbeleid houdt ook in dat bewerkersovereenkomsten op een verantwoorde wijze zijn gesloten tussen ziekenhuizen en partijen die gegevens in opdracht van deze ziekenhuizen bewerken. Ook zal de IGZ de Nederlandse Federatie van Universitair Medische Centra en de Nederlandse Vereniging van Ziekenhuizen een brief sturen om ziekenhuizen op hun verantwoordelijkheid te wijzen. Vraag 10 Hoe voorkomt de IGZ dat gevoelige medische gegevens, over bijvoorbeeld bekende Nederlanders, in handen komen van criminelen die dit mogelijk kunnen gebruiken voor chantagedoeleinden? Is dit al wel eens eerder voorgekomen, voor zover u weet? Antwoord 10 Zorginstellingen moeten voldoen aan de geldende wet- en regelgeving en in eerste plaats zelf ervoor zorgen dat dit niet mogelijk is. De AP en IGZ zien toe op de naleving van de wet- en regelgeving. Het Openbaar Ministerie en de politie treden op indien medische gegevens worden misbruikt voor chantagedoeleinden. Navraag bij het Openbaar Ministerie leert dat er geen gegevens bekend zijn of deze situaties zich in Nederland hebben voorgedaan. Vraag 11 Heeft de IGZ, die toeziet op naleving van het medisch beroepsgeheim, geregeld overleg over dit onderwerp met (bijzondere) opsporingsdiensten, zoals de politie of de Inspectie SZW? Zo nee, is het daar volgens u dan niet de hoogste tijd voor? 4 Eerdere vragen terzake van de leden Klever (PVV), ingezonden 26 januari 2016 (vraagnummer 2016Z01443), De Lange (VVD), ingezonden 27 januari 2016 (vraagnummer 2016Z01580) en Oosenbrug (PvdA), ingezonden 27 januari 2016 (vraagnummer 2016Z01560). Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 4

Antwoord 11 De inspectie voert regelmatig overleg met onder meer het Openbaar Ministerie en de AP. In dit overleg komt ook dit onderwerp aan de orde. Tweede Kamer, vergaderjaar 2015 2016, Aanhangsel 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback