Beveiligingsproblematiek ziekenhuisgegevens - Mondelinge vraag aan minister Vandenbroucke

Commissie Gezondheid 8 maart 2022:

05.01 Frieda Gijbels (N-VA): 

Mijnheer de minister, eind 2021 zou de Orde der artsen u in gebreke hebben gesteld, omdat patiëntengegevens in ziekenhuizen niet altijd conform de Europese en GDPR-richtlijnen worden verwerkt. De systemen van 3M, die ook voor benchmarking worden gebruikt, zouden namelijk onvoldoende beveiligd zijn en herkenbare persoonsgegevens in de Verenigde Staten en Rusland laten verwerken. Het basiscontract zou destijds zijn gesloten tussen de toenmalige minister van volksgezondheid en 3M. 
Ik krijg graag een update over de situatie. Welke potentiële beveiligingsproblemen zijn er precies? Werd nagekeken of er patiëntengegevens in verkeerde handen zijn terechtgekomen? Indien ja, wat is daarvan de uitkomst? Welke stappen werden gezet om de problemen te verhelpen? Zijn de problemen ondertussen opgelost? Indien ja, op welke wijze? Indien niet, wat moet er nog worden ondernomen? 
Aan welke voorwaarden moeten dergelijke systemen voldoen? Werden de systemen die patiëntgegevens verwerken, allemaal in kaart gebracht? Op welke manier worden die systemen gecontroleerd? Werden er ook andere problemen vastgesteld? Indien ja, welke? 

05.02 Minister Frank Vandenbroucke: 

Mevrouw Gijbels, ik heb inderdaad een schrijven ontvangen van de Orde der artsen over de systemen van 3M en meer bepaald over het tool voor benchmarking van 3M. Ik heb de Orde der artsen dan ook uitgebreid geantwoord. 
U vraagt welke problemen ik zie. Het gebruik van een benchmarkingtool enerzijds en van 3M als leverancier daarvan anderzijds is een beslissing van een individueel ziekenhuis als een private onderneming. In principe kan benchmarking ook worden aangeboden door andere firma's dan 3M of door netwerken waartoe de ziekenhuizen behoren. 
Daarbij behoort het goed en verantwoord gebruik van medische persoonsgegevens in het ziekenhuis volledig tot de verantwoordelijkheid van het ziekenhuis zelf en dus moet een data protection officer van het ziekenhuis erop toezien dat het gebruik van gevoelige persoonsgegevens conform de geldende Europese en Belgische privacywetgevingen gebeurt. 
Zo moet het ziekenhuis erop toezien hoe en in welke mate de medische persoonsgegevens van zijn patiënten in België worden gebruikt voor wetenschappelijk onderzoek en andere benchmarkinginitiatieven. Ik begrijp uw bezorgdheid omtrent het hergebruik van Belgische gezondheidsgegevens voor allerlei doeleinden. Ik deel die bezorgdheid, maar in België hebben wij de Gegevensbeschermingsautoriteit, die sanctionerend moet optreden in geval van overtreding van de toepasselijke wetgeving. 
Ter zake heeft 3M ook een advies gevraagd aan de GBA, die tevreden was met de duiding en de bijkomende informatie die zij daarbij had ontvangen. 
U vraagt aan welke voorwaarden dergelijke systemen moeten voldoen. Ik verwijs daarvoor graag naar het advies van Zorgnet Icuro, dat het heeft besteld bij Ernst & Young. Ter zake zijn een aantal concrete aanbevelingen geformuleerd over het dienstencontract, de verwerkerovereenkomst, de dataminimalisatie en de proportionaliteit van het gegevensgebruik, waarbij geen blokkerende issues zijn gedetecteerd. 3M heeft zich naar die adviezen geschikt. 

05.03 Frieda Gijbels (N-VA): 

Mijnheer de minister, ik dank u voor uw antwoorden. 
De vraag is ondertussen actueler geworden dan toen ik ze heb ingediend. Er zou immers sprake zijn van dat herkenbare persoonsgegevens in Rusland zouden worden verwerkt. 
Ik begrijp dat het de verantwoordelijkheid is van de artsen. Anderzijds is het de taak van de overheid om burgers en dus patiënten te beschermen. Zij hebben zelf geen zicht op wat met hun gegevens gebeurt. Artsen hebben ook niet altijd een volledig zicht op waar de gegevens naartoe gaan. 
U geeft ook aan dat de Gegevensbeschermingsautoriteit ter zake een rol speelt. 
Ik heb u in 2021 ook een schriftelijke vraag gesteld over cybersecurity en ziekenhuizen. Ik had toen begrepen dat een bepaalde som zou worden gereserveerd in het relanceplan voor onder andere de cybersecurity van ziekenhuizen. 
Ik begrijp evenwel dat er op dat vlak nog een lange weg te gaan is en dat een en ander nog niet voor morgen is. 
U had het ook over de nieuwe NIS-richtlijn, die wordt opgesteld. De bescherming van de diensten die ziekenhuizen via het internet aanbieden, zouden worden geverifieerd via een project bij het RIZIV. Ik heb echter de indruk dat een en ander nog niet op punt staat en nog niet is waar het moet zijn. Wij moeten daarvoor nu zeker aandacht hebben. Ziekenhuizen kunnen ook een strategisch doelwit zijn, onder andere voor landen als Rusland. 
Ik zou er dus op willen aandringen om daarop in te zetten en de middelen zo snel mogelijk daar nuttig voor aan te wenden. De ziekenhuizen konden tot nu toe op vrij weinig ondersteuning bij hun digitale diensten rekenen. Ook in uw plannen voor de hervorming van de ziekenhuizen wil u veeleer kostendekkend werken, hoewel de ziekenhuizen op het moment de winsten die zij kunnen realiseren, vaak inzetten voor hun digitale services en hun digitalisering. 
Ik dring er dus op aan om de ziekenhuizen meer dan vandaag het geval is daarin te ondersteunen. 

05.04 Minister Frank Vandenbroucke:

Ter aanvulling, u maakt inderdaad een terechte opmerking. Wij maken de komende jaren 126 miljoen euro vrijmaken voor de digitalisering in de Belgische gezondheidszorg. Dat is vooral federaal geld, alsook Europees geld dat we federaal mobiliseren in het kader van het Europese Restartprogramma. Een deel van dat geld gaat rechtstreeks naar de ziekenhuizen. Er is ook een deel dat buiten de ziekenhuizen zit. Het is wel een zeer grote investering die, volgens mij, onder meer moet bijdragen aan meer cybersecurity. Dat is, zoals u zegt, inderdaad een grote zorg. De middelen zijn nu voorhanden. Het zal wel een paar jaren duren vooraleer we een aantal projecten kunnen voltooien. Ik denk dat we hoe dan ook op het moment een zeer grote investering ter zake doen. 

05.05 Frieda Gijbels (N-VA): 

Ik zal het mee opvolgen, bedankt.