Onderzoek garanderen van betere beveiliging van patiëntgegevens binnen zorginstellingen
Begin dit jaar kwam in het nieuws dat patiëntendossiers uit enkele Nederlandse ziekenhuizen door Belgische gedetineerden zijn voorbewerkt. Over de periode van 2009 tot en met februari 2015 hebben Belgische gedetineerden de patiëntendossiers ontdaan van nietjes, paperclips en foto’s, zodat deze konden worden gescand. Negen Nederlandse ziekenhuizen hebben een bewerkersovereenkomst gesloten met het Belgische scanbedrijf iGuana die op haar beurt de Belgische gedetineerden van voornoemde werkzaam...
Leestijd
Auteur artikel
Joanne Houwers
Gepubliceerd
08 april 2016
Laatst gewijzigd
16 april 2018
Begin dit jaar kwam in het nieuws dat patiëntendossiers uit enkele Nederlandse ziekenhuizen door Belgische gedetineerden zijn voorbewerkt. Over de periode van 2009 tot en met februari 2015 hebben Belgische gedetineerden de patiëntendossiers ontdaan van nietjes, paperclips en foto’s, zodat deze konden worden gescand. Negen Nederlandse ziekenhuizen hebben een bewerkersovereenkomst gesloten met het Belgische scanbedrijf iGuana die op haar beurt de Belgische gedetineerden van voornoemde werkzaamheden voorzag. Dit voorval heeft geleid tot Kamervragen en de vraag of dit wel in overeenstemming is met de relevante wet- en regelgeving.
Een zorginstelling behoort als verantwoordelijke voor de gegevensverwerking op grond van artikel 13 Wet bescherming persoonsgegevens (Wbp) ‘passende technische en organisatorische maatregelen op te leggen om zo persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking’. Indien een zorginstelling gezondheidsgegevens laat verwerken door een derde, ook wel bewerker genoemd, dan behoort de zorginstelling de bewerker te verplichten om voldoende waarborgen te treffen ten aanzien van de technische en organisatorische beveiliging. Tevens rust op de zorginstelling de verplichting om toe te zien op de naleving van de genomen maatregelen. De uitvoering van de verwerkingen door een bewerker moet op grond van artikel 14 lid 2 Wbp worden geregeld in een bewerkersovereenkomst. De vraag doet zich voor of de betrokken zorginstellingen als verantwoordelijke in strijd hebben gehandeld met voornoemde bepalingen uit de Wbp.
Volgens minister Schippers is het aan de Autoriteit Persoonsgegevens om te oordelen of de bepalingen uit de Wbp zijn overtreden. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de bepalingen uit de Wbp en kan bestuursrechtelijke en strafrechtelijke sancties opleggen indien zij van oordeel is dat de zorginstelling de Wbp heeft overtreden. Over de vraag of de voorbewerking door de Belgische gedetineerden geoorloofd is in de zin van de Wbp heeft de Autoriteit Persoonsgegevens zich nog niet uitgelaten. De bewerkersovereenkomst die is gesloten tussen iGuana en de betrokken zorginstellingen zal nader worden onderzocht, waarbij er tevens wordt gekeken of de geheimhoudingsplicht is nageleefd. De Inspectie voor de Gezondheidszorg (IGZ) kan daarbij in beeld komen als de kwaliteit van zorg in het geding is gekomen door het onveilig omgaan met medische persoonsgegevens. Bewerkersovereenkomsten die zijn gesloten bij ziekenhuizen die nog in transitie zijn van papieren naar digitale dossiers worden naar aanleiding van voornoemd voorval nader bekeken door de IGZ. Tevens heeft minister Schippers op 16 maart jl. een brief aan de Tweede Kamer toegezonden waaruit blijkt dat op zeer korte termijn de koepels van ziekenhuizen en de geestelijke gezondheidszorg een brief van de IGZ zullen ontvangen waarin zij op hun verantwoordelijkheid worden gewezen om de informatieveiligheid van medische gegevens te borgen. Verder merkt minister Schippers op dat zij na zal gaan of de regelgeving aanscherping behoeft.
Daarnaast volgt uit de brief van minister Schippers dat er verschillende acties zullen worden ondernomen om de bescherming van patiëntengegevens binnen zorginstellingen te garanderen. Hierbij wordt ingegaan op de brief die de Autoriteit Persoonsgegevens aan de Raden van Bestuur van zorginstellingen heeft toegezonden, waarin het verzoek is gedaan om na te gaan of de zorginstellingen
wel aan de eisen uit de Wbp voldoen en indien dat niet het geval is, alsnog gepaste maatregelen te nemen. Uit een onderzoek van de Autoriteit Persoonsgegevens is namelijk gebleken dat het beleid en de praktijk van meerdere zorginstellingen niet in overeenstemming is met de vereisten van artikel 13 Wbp. Zo was er bij de onderzochte instellingen sprake van toekenning van een te ruimte autorisatie aan medewerkers voor toegang tot het instellings-EPD, ontbrak het aan afdoende controle op het gebruik door medewerkers van de hun toegekende toegangsrechten en ontbrak het daardoor ook aan het daadwerkelijk opleggen van sancties bij misbruik van die toegangsrechten.
In het licht van het voorgaande heeft minister Schippers meegedeeld dat zij zelf onderzoek zal laten doen naar de vraag op welke wijze zorginstellingen in de dagelijkse praktijk omgaan met de beveiliging van hun patiëntgegevens en hoe hierin verbetering kan worden aangebracht. Hierbij zal minister Schippers naar eigen zeggen op korte termijn over de exacte onderzoeksvraag in overleg treden met de koepels van de ziekenhuizen en de GGZ-instellingen. In het onderzoek zal specifiek aandacht worden besteed aan de wijze van omgaan met incidenten van schending van de bescherming van patiëntgegevens, situaties waarin gewerkt wordt met onderaannemers en tot slot de bescherming van gegevens die worden gebruikt ten behoeve van wetenschappelijk onderzoek. Eind 2016 wordt de Tweede Kamer geïnformeerd over de uitkomsten van dit onderzoek.
