Bent u bekend met het artikel «Zonder hun medeweten worden de medische dossiers van miljoenen Nederlanders gekopieerd en «ergens» opgeslagen»?1
Deelt u de zorgen dat het systeem dat huisartsen gebruiken voor het delen van data voor ketenzorg geen onderscheid maakt tussen data die daadwerkelijk nodig is voor de ketenzorg en data die niet gedeeld hoeft te worden voor de ketenzorg?
Het is niet aan mij om een oordeel te geven over de rechtmatigheid van de gegevensverwerkingen die hier aan de orde zijn. Dat vergt onder meer een gedegen onderzoek naar de feiten en omstandigheden en hoe die zich verhouden tot het relevante wettelijke kader. Dat is aan de Autoriteit Persoonsgegevens (AP).
Overigens wil ik wel benadrukken dat dataopslag in het digitaliserende zorgveld onvermijdelijk en gebruikelijk is. Daarnaast is dat vaak ook noodzakelijk om het dagelijks werk en de patiëntenzorg goed en effectief uit te kunnen voeren. Immers, door in onderhavige casus de medische dossiers te kopiëren en daarna te verwerken ten behoeve van zorgverzekeraars en regionale samenwerking hoeven huisartsen geen dubbele administratie te voeren. De Algemene verordening gegevensbescherming (AVG) biedt daar ook ruimte voor, mits de desbetreffende verwerkingen in overeenstemming zijn met de overige eisen uit de AVG. De huisarts bepaalt welke gegevens beschikbaar gesteld worden voor uitwisseling. De gegevens die beschikbaar zijn hebben als doel om de patiënt de best passende zorg te bieden. De huisarts is zelf verantwoordelijk voor het rechtmatig verwerken van medische gegevens én moet dat aan betrokkenen en desgevraagd de toezichthouder aantoonbaar kunnen maken.
Vindt u het onwenselijk dat artsen afhankelijk zijn van één markt dominerend commercieel softwarebedrijf en daardoor moeilijk eisen kunnen stellen aan de leveranciers?
In mijn Kamerbrief van 4 april 20232 over het Actieplan zorg-ICT-markt heb ik aangegeven dat veel zorgaanbieders leveranciersafhankelijkheid beschouwen als een probleem, maar dat het ontbreekt aan een gezamenlijke strategie om deze afhankelijkheid te doorbreken. Er zijn wel enkele voorbeelden van vraagbundeling en collectieve ICT-inkoop, maar er is nog steeds een groot gebrek aan zakelijke en gecoördineerde vraagarticulatie richting softwareleveranciers, zowel binnen instellingen als sectoren. Daarom ondersteun ik, als onderdeel van het Actieplan zorg-ICT-markt, zorgaanbieders bij de inrichting van (cross)sectoraal leveranciersmanagement. Het doel is om de positie van zorgaanbieders te versterken, zodat zij met kracht eisen aan softwareleveranciers kunnen stellen. De Autoriteit Consument en Markt (ACM) heeft ook aandacht voor zorg-ICT-markten. Buiten haar reguliere toezichthoudende rol, schreef zij bijvoorbeeld een leidraad «Goed werkende markten voor zorg-ICT».
Hoe moeten huisartsen omgaan met hun verantwoordelijkheid voor het bewaken van het medisch dossier in deze markt?
Op grond van de AVG zijn verwerkingsverantwoordelijken (hier: de huisartsen) er zelf verantwoordelijk voor dat zij in overeenstemming met de AVG handelen. Daarnaast zijn huisartsen ook verantwoordelijk voor het melden van een datalek aan de AP én aan de slachtoffers. Het is goed om te beseffen dat softwareleveranciers een gewild doelwit zijn van cyberaanvallen. Zij leveren immers softwarediensten, digitale werkplekken of opslagruimte aan onder andere huisartsen en dat leidt tot een clustering van persoonsgegevens op de servers van deze softwareleveranciers. Op basis van hun rol van verwerkingsverantwoordelijke in de zin van de AVG is het aan de betrokken zorgaanbieders om te boordelen en vast te stellen of de gekozen oplossing – in dit geval Topicus/Calculus – voldoet aan de geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging, dat Topicus/Calculus beschikt over de benodigde certificeringen voor de NEN 7510 en ISO 27001 en voldoet aan de normen van de NEN 7512 en NEN 7513. In dit kader sluit de verwerkingsverantwoordelijke een verwerkersovereenkomst met een softwareleverancier, waarin gezamenlijk afspraken worden gemaakt over de bescherming en beveiliging van persoonsgegevens (artikel 28 AVG).
Hoe verhoudt deze casus zich tot de ambitie voor een landelijk dekkend netwerk voor gegevensuitwisseling in de zorg?
Zoals afgesproken in het Integraal zorgakkoord (IZA) en vastgelegd in de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) zet ik in op de standaardisatie van taal en techniek en de implementatie van generieke functies. Standaardisatie maakt het mogelijk huidige en nieuwe infrastructuren te verbinden waardoor een landelijk dekkend netwerk voor gegevensuitwisseling in de zorg ontstaat.
Interoperabiliteit is belangrijk om zorgaanbieders, zorgverleners en burgers in vrijheid – rekening houdend met geldende wetgeving en normen ten aanzien van de AVG en informatiebeveiliging – zelf een keuze te kunnen laten maken tussen verschillende infrastructuren, EPD/ECD-systemen en (generieke) voorzieningen.
Is het naar uw oordeel voldoende geborgd dat data die softwarebedrijven verzamelen voor data-uitwisseling tussen zorgverleners niet voor commerciële doeleinden wordt gebruikt en patiënten zeggenschap behouden over hun gegevens?
De AVG voorziet reeds in een afgewogen juridisch kader. Op basis van die wetgeving dient een huisarts – als verwerkingsverantwoordelijke – zelf te bepalen welke gegevens beschikbaar worden gesteld voor uitwisseling en zich daarbij te vergewissen dat dat in overeenstemming is met wet- en regelgeving. Andere zorgverleners kunnen de gegevens van de patiënt alleen inzien op het moment dat de huisarts samen met de patiënt besluit een consultatie of verwijzing te doen. De AP houdt toezicht op de naleving van de genoemde wetgeving.
Met het Actieplan zorg-ICT-markt probeer ik de markt opener, eerlijker en toekomstgerichter te maken. Hiermee werk ik onder andere aan heldere afspraken en samenwerking tussen softwareleveranciers, zorgaanbieders, koepels en VWS, over rollen en verantwoordelijkheden, met daarbij het centraal stellen van het maatschappelijke belang. Ook wil ik hiermee de onderhandelingspositie van zorgaanbieders verbeteren ten opzichte van softwareleveranciers en werk ik aan voornoemde inrichting van (cross)sectoraal leveranciersmanagement. Meer specifiek wil ik door inrichting van een catalogus van zorg-ICT-systemen zorgaanbieders en ICT-inkopers in staat stellen om ICT-producten en diensten met elkaar te vergelijken, bijvoorbeeld op basis van functionaliteiten of keurmerken. Zo kunnen zorgaanbieders een weloverwogen keuze maken ten aanzien van het samenwerken met softwareleveranciers.
NRC, 18 juli 2023, «Zonder hun medeweten worden de medische dossiers van miljoenen Nederlanders gekopieerd en «ergens» opgeslagen» (https://www.nrc.nl/nieuws/2023/07/18/zonder-hun-toestemming-worden-de-medische-dossiers-van-miljoenen-nederlanders-gekopieerd-en-ergens-opgeslagen-a4170063).
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20222023-3616.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.