Minister laat beheer EPD, ondanks onrust, bij Amerikaanse leverancier

Array

Minister Schippers van Volksgezondheid heeft er geen bezwaar tegen dat het elektronisch patientendossier wordt gemaakt door een Amerikaans bedrijf CSC. De PVV had er vragen over gesteld. Schippers zegt dat het project door kan gaan. CSC heeft van de Vereniging van Zorgaanbieders voor Zorgcommunicatie(VZVZ) de opdracht gekregen om het EPD te bouwen en te beheren. Amerikaanse bedrijven vallen in principe onder de Patriot Act en soortgelijke wetten, waardoor bedrijven verplicht kunnen worden informatie af te staan aan de Amerikaanse overheid. De VZVZ heeft van CSC een verklaring geeist omtrent de privacy van het EPD. Schippers schrijft dat in die verklaring staat dat het risico is uitgesloten dat de inhoud van medische dossiers wordt verstrekt aan Amerika.

De onrust rond het elektronisch patientendossier begon toen onderzoekers van de UvA bekend maakten dat de Amerikaanse overheid mogelijk meekijken op basis van Amerikaanse anti-terreurwetten. Toen liet Minister Schippers van Volksgezondheid ook al weten dat in Nederland een medisch beroepsgeheim geldt en dat daarom geen sprake van kan zijn dat wie dan ook zonder toestemming in medische gegevens van anderen zit te neuzen. In het contract dat de VZVZ met CSC heeft gesloten staat dat het bedrijf zich altijd aan de Nederlandse wetgeving zal houden en verzoeken uit Amerika voor de Nederlandse rechter zal aanvechten. Daarom is de organisatie achter het EPD gerustgesteld. Bij de aanbesteding van het project was als voorwaarde gesteld dat het EPD moest voldoen aan de Nederlandse privacy-wetgeving. Schippers noemt het ‘niet toelaatbaar’ als Nederlandse wetten niet zouden worden nageleefd. Als er wetten worden overtreden, zal het College Bescherming Persoonsgegevens optreden tegen de verantwoordelijke VZVZ, zo schrijft Schippers.

Maar Joris van Hoboken, onderzoeker aan het Instituut voor Informatierecht aan de UvA, noemt die geruststelling geen garantie. “Naar de Nederlandse rechter stappen kan nou juist niet. Dat is het kenmerk van de Patriot Act. Lokale wetgeving wordt door de Amerikanen niet serieus genomen. De Patriot Act geeft ze vergaande bevoegdheden.De Patriot Act en de FISA Amendment Act maken het mogelijk dat een Amerikaans bedrijf wordt gedwongen om gegevens die zij beheren af te staan. Ook als dit bedrijf een Nederlandse vestiging heeft en als de computers in Nederland staan.”

In juni 2011 sprak de EU al over de gevolgen van de Patriot Act en zei daar het volgende over:

Bij de Amerikaanse USA Patriot Act van 2001 wordt een groot aantal maatregelen ingesteld die de bevoegde autoriteiten van de Verenigde Staten kunnen toepassen bij de strijd tegen terrorisme. Onder meer geeft de USA Patriot Act de rechtshandhavingsinstanties en inlichtingendiensten grotere bevoegdheden om toegang te krijgen tot persoonsgegevens en toezicht uit te oefenen. In dit verband kunnen ten aanzien van in de Verenigde Staten gevestigde rechtspersonen maatregelen worden genomen zoals het uitvaardigen door het Foreign Intelligence Surveillance Court van een gerechtelijk bevel om informatie te verstrekken (Section 215) of de afgifte van een „national security letter” door het Federal Bureau of Investigation (FBI) (Section 505). Op een volgens Amerikaans recht opgerichte rechtspersoon is Amerikaans recht van toepassing, met inbegrip van gerechtelijke bevelen en national security letters waarbij verstrekking wordt geeist van informatie of bewijsmateriaal over specifieke personen of feiten met betrekking tot een welbepaald onderzoek voor terrorismebestrijding.

Volgens internationaal publiekrecht kunnen buitenlandse wetten of rechtsvoorschriften, indien er geen erkende rechtsbevoegdheidsband bestaat, echter niet rechtstreeks wettelijke verplichtingen opleggen aan een in een derde land gevestigde organisatie of onderneming met betrekking tot activiteiten op het grondgebied van dat derde land. Om uitvoering te geven aan de wettelijke verplichtingen die de USA Patriot Act aan in de EU gevestigde rechtspersonen oplegt, zouden deze moeten worden opgelegd door een rechtsinstrument van de EU of van een lidstaat dat in overeenstemming is met de verplichtingen krachtens het EU-recht, met inbegrip van de beginselen inzake gegevensbescherming.

De Commissie hecht het grootste belang aan het fundamentele recht op vrijheid van meningsuiting, eerbiediging van de persoonlijke levenssfeer en het familie- en gezinsleven en bescherming van persoonsgegevens. In de EU worden deze rechten toegepast zonder discriminatie op grond van nationaliteit, burgerschap of woonplaats. In de komende voorstellen van de Commissie voor een hervorming van het EU-kader voor gegevensbescherming zal daarom bijzondere nadruk komen te liggen op de problemen die door mondialisering en moderne technologieen zijn ontstaan.

Maar of  aandienstverleners  door opdrachtgevende overheidsinstellingen een verbod kan worden opgelegd tot het doorgeven van persoonsgegevens van Europese burgers aan de Amerikaanse autoriteiten in het kader van de Amerikaanse Patriot Act, kan ook door de het europarlement geen eenduidig antwoord worden gegegeven. De Commissie is niet in staat uitgebreid te beoordelen of de naleving van deze eis verenigbaar is met het EU-recht of met de verplichtingen uit hoofde van de WTO-overeenkomst inzake overheidsopdrachten (GPA). De Commissie neemt echter waar dat GPA-leveranciers uit de VS geen toegang hebben tot subcentrale aanbestedingen voor diensten in de EU.

Bedrijven die op het EU-grondgebied werkzaam zijn, moeten ongeacht hun hoofdzetel het EU-recht in het algemeen naleven, inclusief de regels inzake gegevensbescherming, en opdrachtgevende instellingen kunnen overeenkomstig de EU-regels inzake overheidsopdrachten verplichtingen opleggen voor aanbestedingen om te zorgen voor de naleving van deze regels.

Volgend op het antwoord op schriftelijke vraag E-006901/2011(1), heeft de Commissie met de VS de verzoeken in het kader van de Amerikaanse „Patriot Act” besproken. De besprekingen gingen over het verkrijgen van gegevens van particuliere bedrijven die in de VS aanwezig en in de EU actief zijn. De Commissie heeft uit deze besprekingen begrepen dat indien de gevraagde gegevens in de EU opgeslagen zijn, de Amerikaanse autoriteiten bijstand aan de betrokken lidstaat zullen vragen. Dit zal via de politionele en justitiele samenwerkingskanalen gebeuren zoals bijvoorbeeld de EU-VS overeenkomsten betreffende wederzijdse rechtshulp.

De Commissie zal de dialoog met de internationale partners, de lidstaten en hun instellingen, waaronder de gegevensbeschermingsautoriteiten voortzetten zodat er een geschikte oplossing wordt gevonden voor de toegang voor rechtshandhavingsautoriteiten tot gegevens buiten hun grondgebied.

________________________________________________________

Antwoorden op kamervragen van het Kamerlid Klever (PVV) over het bericht dat Amerika mogelijk in het EPD (Elektronisch Patiëntendossier) kan kijken . (2012Z21136)

1
Wat is uw reactie op het bericht ‘Amerika heeft mogelijk toegang tot Nederlands EPD’? 1)

1
Ik heb begrepen dat de vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) een verklaring heeft geëist van CSC, het bedrijf dat het LSP heeft gebouwd en beheert, waarin staat dat het risico is uitgesloten dat de inhoud van medische dossiers wordt verstrekt aan Amerika.

2
Gaat u onderzoeken of het EPD onder de Patriot Act of de FISA Amendment Act valt, waardoor het Amerikaanse bedrijf CSC gedwongen kan worden gegevens af te staan?
3
Welke acties gaat u ondernemen als blijkt dat Amerika gegevens uit het EPD kan opvragen?

2 en 3
Zie het antwoord op vraag 1. Ik vind het niet toelaatbaar dat de Nederlandse wet en regelgeving niet wordt toegepast en nageleefd. Ik zal dan ook de uitkomsten van het overleg tussen VZVZ en CSC grondig bestuderen. Daarnaast heeft Nederland met de Verenigde Staten een bilateraal rechtshulpverdrag en heeft de minister van Veiligheid en Justitie gezien de brede gevolgen op basis van de motie Schouw dit op EU-niveau geagendeerd.

4
Wat waren de argumenten om voor het Amerikaanse bedrijf CSC te kiezen?
5
Waarom is er bij de keuze voor dit Amerikaanse bedrijf geen rekening gehouden met de Patriot Act of de FISA Amendment Act?

4 en 5
Uit de Europese aanbesteding onder verantwoordelijkheid van Nictiz, destijds beheerder van het LSP, kwam CSC als beste partij naar voren.
Hierbij is als voorwaarde gesteld het voldoen aan Nederlandse privacywetgeving, waaronder de Wet bescherming persoonsgegevens (Wbp).

6
Deelt u de mening dat regionale systemen voor het uitwisselen van medische gegevens veiliger zijn en beter te beheren, en daarom de voorkeur hebben boven een landelijk EPD?

6
Gezien de diversiteit aan (regionale) systemen is het niet mogelijk een algemeen oordeel te geven over de veiligheid en het beheer. Het is aan de toezichthouders

 

Bron: NOS, Europarlement & Rijksoverheid

Recente artikelen