Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 14 december 2020

Op 4 oktober 2016 heeft de Eerste Kamer de Wet cliëntrechten bij elektronische verwerking van gegevens in de zorg1 aangenomen. Hierbij is toegezegd dat beide Kamers jaarlijks geïnformeerd zullen worden over de voortgang van de wet. De eerste voortgangsrapportage stuurde ik op 12 december 2017 naar uw Kamer (Kamerstuk 27 529, nr. 152), de tweede voortgangsrapportage ontving uw Kamer op 20 december 2018 (Kamerstuk 27 529, nr. 167) en de derde in deze reeks van voortgangsrapportages ontving uw Kamer op 13 december 2019 (Kamerstuk 27 529, nr. 209). Deze brief vormt de vierde en laatste voortgangsrapportage en betreft de periode december 2019 tot en met begin december 2020.

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) omvat waarborgen voor cliënten bij elektronische gegevensuitwisseling. Een deel van de wettelijke bepalingen is per 1 juli 2017 in werking getreden. Voor de inwerkingtreding van de bepalingen rondom elektronische afschrift/inzage en logging is een groeimodel afgesproken. Op deze manier kregen zorgaanbieders de tijd zich hierop voor te bereiden. De bepalingen in onder andere artikel 15e zijn op 1 juli jongstleden in werking getreden.

In artikel 15e van de Wabvpz wordt er ingegaan op logging en specifiek welke loggingsinformatie moet worden opgenomen in een afschrift. Op grond van art. 15e kan een cliënt verzoeken om een overzicht met daarin opgenomen wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien. In aanvulling op art. 15e van de Wabvpz moet de logging voldoen aan de eisen van NEN 75132.

In mijn vorige rapportage heb ik een aantal toezeggingen gedaan met betrekking tot gegevensuitwisseling in de zorg. Over de voortgang van een deel hiervan bent u separaat geïnformeerd3. Daarnaast heb ik uw Kamer gemeld dat bij de inwerkingtreding van de artikelen 15d (recht op kosteloze elektronische inzage en afschrift van het dossier) en 15e (recht op elektronische inzage in de loggegevens) van de Wabvpz in het eerste halfjaar van 2020 aanvullende informatie zou worden gegeven aan het zorgveld. Dit is gebeurd in de vorm van een juridische factsheet4. De factsheet is verspreid met behulp van de AVG Helpdesk5 en is tevens terug te vinden op de website van de rijksoverheid en die van verschillende brancheorganisaties.

In deze voortgangsrapportage ga ik in op de onderwerpen waar ontwikkelingen te melden zijn: de implementatie van de norm NEN 7513 – welke betrekking heeft op artikel 15e van de Wabvpz – en de revisie van desbetreffende norm. Tevens ga ik hiermee in op de vraag van Kamerlid Raemakers met betrekking tot het bewustzijn en gebruik van het elektronisch ontsluiten van logginggegevens6.

Logging en elektronisch ontsluiten logginggegevens

Op grond van de AVG is logging in de meeste gevallen al een noodzakelijke beveiligingsmethode. Ook onder de Wbn (de voorganger van de AVG) was logging al verplicht. Voor de medische gegevens die beschikbaar zijn via een elektronisch uitwisselingssysteem is van belang dat volstrekt helder is wat de herkomst van de gegevens is, en tevens dat kenbaar is wie bepaalde informatie heeft ingezien en op welk moment. Daarom is in artikel 15e van de Wabvpz bepaalt welke gegevens uit logging moeten blijken. Daarnaast schrijft het Besluit elektronische gegevensuitwisseling door zorgaanbieders via NEN 7513 voor waar logging aan moet voldoen.

NEN 7513 is een norm van het Koninklijk Nederlands Normalisatie Instituut. Het geeft aanwijzingen over de te gebruiken templates van de logging voor cliënten en zorgaanbieders, conform wettelijke kaders. Zo stelt de norm eisen aan de registratie van gegevens rond de toegang tot de totale verzameling van alle elektronisch vastgelegde persoonlijke gezondheidsinformatie. Het beschrijft de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot het elektronisch opgeslagen patiëntdossier die controle van de rechtmatigheid ervan mogelijk maakt. Het specificeert de gebeurtenissen die worden gelogd en de loggegevens die bij een gebeurtenis in een logregel worden vastgelegd. De gebeurtenissen betreffen toegang tot patiëntgegevens, toegang tot de logging en gebeurtenissen die invloed kunnen hebben op de betekenis of de betrouwbaarheid van de logging. Daarnaast specificeert de norm het detailniveau waarmee de acties worden gelogd die bij een gebeurtenis plaatsvinden. Als er bijvoorbeeld gegevens zijn toegevoegd in een patiëntdossier zal dat als feit worden gelogd. De toegevoegde gegevens zelf staan dan in het patiëntdossier, niet in de logging.

In het Algemeen Overleg met de vaste commissie van VWS in uw Kamer, gehouden op 8 oktober 2020, over Gegevensuitwisseling/Gegevensbescherming/ICT/E-health/Slimme zorg/Administratieve lasten heb ik toegezegd om in de vierde voortgangsrapportage in te gaan op de vraag of patiënten de weg tot het verkrijgen van inzicht in hun loggegevens voldoende kennen.

Op grond van de AVG hebben patiënten al het recht om inzage in hun medische gegevens (en dus ook de loggegevens) te vragen. Vanaf 1 juli 2020 hebben patiënten op grond van de Wabvpz ook recht op elektronische inzage in hun medische gegevens en recht op elektronische inzage in de loggegevens. Op het generieke inzagerecht uit de AVG wordt de patiënt voldoende gewezen door zorgaanbieders.

Eerder is aan de Tweede Kamer gemeld dat ik vooral wil inzetten op bewustwording om patiënten beter bekend te maken met hun rechten ten aanzien van het gebruik van hun gezondheidsgegevens. Dit gebeurt op dit moment in verschillende programma’s, waar ik zoveel mogelijk bij aansluit.

Ik ben op dit moment aan het bekijken wat er nog meer nodig is aan gerichte acties bovenop de bewustwordingscampagnes die al lopen om patiënten beter te informeren over wat wel en niet van ze gevraagd mag worden in het kader van de uitwisseling van gezondheidsgegevens. Ik zal daarbij ook bezien wat er nog nodig is om patiënten te informeren over hun recht op inzage van logginggegevens. Daarnaast wil ik aanvullend inzicht krijgen in de mate waarop daadwerkelijk gebruik wordt gemaakt van dit recht.

Daarnaast is de Autoriteit Persoonsgegevens gevraagd of er klachten binnen zijn gekomen over digitale inzage in loggegevens en de implementatie hiervan. De AP heeft laten weten dat er slechts enkele klachten en signalen binnen zijn gekomen. Deze klachten en signalen vormden voor de AP geen aanleiding om nader controlerend onderzoek in te stellen.

De IGJ ziet er, op basis van de Wet Kwaliteit, klachten en geschillen zorg (Wkkgz), op toe dat zorgaanbieders voldoen aan de juiste randvoorwaarden voor de inzet van ICT, zodat de kwaliteit en veiligheid van de zorg daardoor niet in het geding komen. Het onderwerp informatiebeveiliging is onderdeel van het toetsingskader van de IGJ, voor zover dit invloed heeft op de continuïteit van de informatiesystemen. De IGJ en het AP hebben een samenwerkingsprotocol over de wijze van samenwerking bij het toezicht opgesteld7. Daarin is afgesproken dat het toezicht op de privacyaspecten van informatiebeveiliging, waaronder dus ook de deze specifieke norm valt, primair is belegd bij de AP.

Vooralsnog zie ik geen reden om aan te nemen dat patiënten het recht op elektronische inzage/afschrift en de manier waarop zij dit kunnen ontsluiten niet kennen. Dit geldt ook voor de implementatie van de desbetreffende norm (NEN 7513). Ik vertrouw erop dat ik hiermee de vraag van de heer Raemakers voldoende heb beantwoord.

Revisie NEN 7513

Vanuit het programma Elektronische Gegevensuitwisseling in de Zorg onderzoekt het Ministerie van VWS samen met NEN en de zorgsector of een revisie van de NEN 7513 noodzakelijk is. Bij de revisie van andere normen (NTA 7516, NEN 7503) wordt onderscheid gemaakt in rollen en verantwoordelijkheden voor zorgaanbieders en leveranciers. Mogelijk is een dergelijke aanvulling ook relevant voor NEN 7513. Leveranciers van logging software geven volgens NEN aan dat de norm te veel vrijheden geeft. De internationale norm ISO 27789 «Audit trails for electronic health records» wordt momenteel herzien en zoekt deze een betere aansluiting bij de HL7 standaarden. De norm heeft dezelfde scope als NEN 7513, waardoor eventuele veranderingen ook relevant zijn voor NEN 7513.

Bij normontwikkeling is het belangrijk dat alle belanghebbende partijen deel kunnen nemen. NEN heeft dan ook een oproep gedaan aan alle zorgaanbieders, zorggebruikers- en patiëntenorganisaties, zorgverzekeraars, ICT-leveranciers, adviesbureaus en certificerende instellingen om deel te nemen aan de informatiebijeenkomst van 2 december 2020. Tijdens deze bijeenkomst is gebleken dat de aanwezige partijen de behoefte hebben aan een revisie. Een van de voornaamste redenen hiervoor is dat de ontwikkelingen met betrekking tot de revisie ISO 27789 relevant zijn voor NEN 7513, waardoor deze ook moeten worden doorgevoerd. Daarnaast gaven zorgaanbieders aan dat er behoefte is aan een verduidelijking van de eisen die de norm stelt en bij wie de verantwoordelijkheid voor het implementeren van de norm ligt – de ICT-leveranciers of de zorgaanbieders zelf.

Ik vertrouw erop u hiermee voldoende geïnformeerd te hebben over de implementatie van NEN 7513 en (het bewust zijn onder patiënten over) het ontsluiten van zowel logginggegevens als elektronische inzage/afschrift.

De Minister voor Medische Zorg, T. van Ark