Minister: Zorgaanbieders zelf verantwoordelijk voor security patiëntendossiers

Dat schrijft minister Kuipers van Volksgezondheid, Welzijn en Sport in een antwoord op Kamervragen van CDA-Kamerlid Joba van den Berg. Op de website Skipr verscheen in juni een artikel waaruit bleek dat zo’n 160 medewerkers in haar persoonlijke dossier hadden gekeken via het programma User. De organisatie gaat daarom de logging- en monitoring-procedure herzien en het autorisatiebeleid herijken.

Geen actie

Het ministerie onderneemt geen actie naar aanleiding van het voorval. “De IGJ ziet op basis van dit artikel geen aanleiding om nader onderzoek te doen”, schrijft de minister. Hij verwijst naar de Autoriteit Persoonsgegevens (AP), die hiervoor de aangewezen toezichthouder is. “De Inspectie Gezondheidszorg en Jeugd (IGJ) heeft geen rol in het toezicht op de AVG.”

De inspectie heeft wél een rol in het toezicht op informatiebeveiliging, “maar met name als deze de kwaliteit en continuïteit van zorg kan raken. Bijvoorbeeld als het gaat om maatregelen om te voorkomen dat essentiële informatiesystemen langdurig uitvallen”, schrijft Kuipers.

Bewustwording

De IGJ en de AP werken samen en informeren elkaar wanneer situaties elkaars toezicht raken. Kuipers meldt verder dat er vanuit het ministerie doorlopend op verschillende manieren wordt ingezet op bewustwording en verbetering van de naleving op informatiebeveiliging. “Zorgaanbieders worden ondersteund en gefaciliteerd om de informatiebeveiliging en digitale weerbaarheid te verbeteren.”

Uiteindelijk zijn zorgaanbieders in de eerste plaats zelf verantwoordelijk voor de informatiebeveiliging van de patiëntendossiers, aldus Kuipers. “Zij moeten passende maatregelen nemen om ongeoorloofde inzage in patiëntendossiers te voorkomen.”