32 546 Wijziging van de Kaderwet elektronische zorginformatieuitwisseling in verband met de uitbreiding van de mogelijkheden tot handhaving bij misbruik van het EPD

Nr. 3 MEMORIE VAN TOELICHTING

I Algemeen deel

Inleiding

Met het onderhavige wetsvoorstel wordt de Kaderwet elektronische zorginformatieuitwisseling (hierna: de wet) gewijzigd op een aantal punten.

Allereerst worden de artikelen 13h en 13ha van de wet zodanig gewijzigd dat er een algeheel verbod komt te bestaan voor zorgverzekeraars, verzekeringsartsen, bedrijfsartsen en keuringsartsen op toegang tot het LSP en de regionale netwerken en daarmee samenhangend het verwerken van gegevens in het EPD en voornoemde netwerken. Deze wijziging is ingegeven door de adviezen van het College bescherming persoonsgegevens en de Raad van State met betrekking tot het concept-besluit tot wijziging van het Besluit gebruik burgerservicenummer in de zorg en ziet op een tweetal bepalingen in de wet die er middels een aantal amendementen door de Tweede Kamer zijn ingebracht.

Daarnaast wordt in de wet een artikel opgenomen dat het mogelijk maakt voor de strafrechter om een beroepsbeoefenaar die zich schuldig maakt aan computervredebreuk of schending van de geheimhoudingsplicht, voor zover deze gedraging betrekking heeft op patiëntgegevens, van het recht te ontzetten het beroep uit te oefenen waarin deze feiten zijn begaan.

Ook wordt in de wet een bepaling geïntroduceerd waarmee het mogelijk wordt om ook aan de beroepbeoefenaar die zijn beroep uitoefent in het kader van een instelling een bestuurlijke boete op te leggen voor het onrechtmatig opvragen, openbaar maken, verspreiden of verstrekken van een gegeven uit een elektronisch patiëntendossier.

Verder wordt er een bepaling in de wet opgenomen die het mogelijk maakt om vooruitlopend op de verplichting tot aansluiting op het LSP en het verwerken van gegevens in het EPD en de daarbij behorende verplichtingen met betrekking tot de inrichting en het beheer van de bij de gegevensverwerkingen te gebruiken zorginformatiesystemen, deze laatste verplichtingen al te doen gelden voor zorgaanbieders bij vrijwillige aansluiting op het LSP en het vrijwillig verwerken van gegevens in het EPD en wordt er een wijziging opgenomen die regelt dat de weigering tot aansluiting op en de afsluiting van het landelijk schakelpunt (hierna: LSP) besluiten zijn in de zin van de Awb die genomen worden door de minister.

Tot slot wordt voorzien in een aantal samenloopbepalingen met het voorstel van wet houdende de Wet cliëntenrechten zorg (Kamerstukken II 2009/10, 32 402, nr. 2) en het voorstel van wetvan de leden Ten Hoopen, Slob en Van der Burg tot wijziging van het Wetboek van Strafrecht, de Leegstandwet, en enige andere wetten in verband met het verder terugdringen van kraken en leegstand (Wet kraken en leegstand) (Kamerstukken II 2007/08, 31 560, nr. 2).

Advies College bescherming persoonsgegevens

Het College bescherming persoonsgegevens (CBP) heeft op 25 juni 20091 advies uitgebracht over het onderhavige wetsvoorstel.

In het wetsvoorstel zoals dit is voorgelegd aan het CBP en de Raad van State werd ingevolge een toevoeging aan onderdeel e van artikel 13f, de zorgaanbieder die, op verzoek van de patiënt, gegevens verwijdert uit het EPD, verplicht een melding te maken in het EPD dat het dossier van die patiënt onvolledig is, zodat een volgende zorgaanbieder daar dan bij het verrichten van zijn onderzoek rekening mee kon houden. Met betrekking tot de toevoeging aan dit artikel heeft het CBP twee zaken opgemerkt. Allereerst constateert het CBP dat in het betreffende artikel sprake is van op verzoek van de patiënt uit het EPD verwijderde gegevens, terwijl in de toelichting ook de situatie beschreven werd waarin de patiënt de zorgverlener verzoekt bepaalde gegevens niet uit te wisselen via het EPD. Het CBP waarschuwt voor misverstanden op dit punt, nu «niet uitwisselen» geen synoniem en geen subcategorie van «verwijderen» is. Het CBP gaat er dan ook van uit dat de toevoeging aan artikel 13f, eerste lid, onderdeel e, alleen betrekking heeft op de situatie dat op verzoek van de patiënt patiëntgegevens zijn verwijderd uit dat deel van het EPD dat in het zorginformatiesysteem van de zorgverlener staat.

Het CBP heeft verder opmerkingen gemaakt over de verhouding tussen de toevoeging aan artikel 13f, eerste lid, onderdeel e, en artikel 9, eerste lid, van de Wet bescherming persoonsgegevens (Wbp). Het CBP is van mening dat het gewijzigde artikel 13f, eerste lid, onder e, op gespannen voet staat met artikel 9, eerste lid, van de Wbp. Artikel 9, eerste lid, van de Wbp stelt dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Het gegeven dat gedeelten van het EPD zijn verwijderd, is oorspronkelijk verkregen als gevolg van de uitoefening van het recht van de patiënt op grond van artikel 455, eerste lid, van boek 7 van het Burgerlijk Wetboek op verwijdering van (onderdelen) van het patiëntendossier. Met de melding van dit gegeven aan een volgende zorgverlener vindt verdere verwerking plaats. Ingevolge het tweede lid van artikel 9, moet bij de beoordeling of een verwerking onverenigbaar is, onder andere rekening gehouden worden met de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen en de gevolgen van de beoogde verwerking voor de betrokkene. Op grond van artikel 43 van de Wbp kan een uitzondering gemaakt worden op artikel 9, eerste lid, van de Wbp, onder andere voor zover dit noodzakelijk is in het belang van de bescherming van de betrokkenen of van de rechten en vrijheden van anderen. Hierbij moet, aldus het CBP, aannemelijk gemaakt worden dat de «melding onvolledig EPD» bijdraagt aan een betere zorgverlening, zonder dat het negatieve effect optreedt van het «doorvragen» van de zorgverlener naar medische feiten die de patiënt juist niet kenbaar wil maken.

Hoewel de voorgestelde wijziging van de wet was uitgevoerd conform de wens van de Tweede Kamer, deze wijziging was immers in eerste instantie door het lid Zijlstra van de VVD bij de behandeling van het wetsvoorstel tot wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg als amendement ingediend doch niet in stemming gebracht (Kamerstukken II 2007/08, 31 466, nr. 45), is er naar aanleiding van het advies van het CBP en het advies van de Raad van State toch voor gekozen om deze bepaling te schrappen uit het wetsvoorstel. Gekozen is om het belang van de patiënt die bepaalde gegevens uit zijn EPD heeft laten verwijderen te laten prevaleren boven het belang van de opvragende zorgaanbieder om te weten of er al dan niet gegevens uit het dossier zijn verwijderd.

In het wetsvoorstel zoals dit is voorgelegd aan het CBP was daarnaast een strafrechtelijke bepaling opgenomen, die het opzettelijk wederrechtelijk opvragen, openbaar maken, verspreiden of verstrekken van een gegeven uit het elektronisch patiëntendossier strafbaar stelde en het mogelijk maakte voor de strafrechter om, naast het opleggen van een gevangenisstraf en een boete, een beroepsbeoefenaar bij overtreding van deze bepaling te ontzetten van het recht het betrokken beroep uit te oefenen. Met betrekking tot dit artikel heeft het CBP opgemerkt dat het op zich geen bezwaar heeft tegen de uitbreiding van het sanctiearsenaal, indien en voor zover dit bijdraagt aan een betere naleving van de wettelijke normen ten aanzien van de verwerking van persoonsgegevens in het EPD. Het plaatst daarbij echter wel de kanttekening dat het op dit moment nog onvoldoende zekerheid heeft dat het toezicht adequaat wordt vormgegeven en dat de vraag dan is wat een extra sanctie toevoegt als het toezicht niet op orde is. De Raad van State heeft aangegeven aan de toegevoegde waarde van de strafbepaling te twijfelen, gezien de reeds bestaande sanctiemogelijkheden.

Het CBP heeft terecht opgemerkt dat het van belang is dat het toezicht op orde is. Het toezicht op het EPD ligt bij drie verschillende toezichthouders te weten het CBP, de IGZ en de NZA. Deze toezichthouders hebben onderling zodanige afspraken gemaakt over het uitvoeren van het toezicht dat het toezicht op het EPD over de gehele linie is afgedekt. Verder zullen de toezichthouders via de beheerder van het LSP relevante informatie aangeleverd krijgen uit de registraties van het LSP, zodat misbruik van het LSP dan wel onjuist gebruik gesignaleerd wordt. Daarbij zal ook de beheerder zelf een grote rol vervullen bij het zorgdragen voor een rechtmatige gegevensverwerking.

Naar aanleiding van het advies van het CBP en de Raad van State is besloten tot aanpassing van artikel 16b van het onderhavige wetsvoorstel. Verwezen wordt naar de toelichting op artikel I, onderdeel F.

Als laatste pleit het CBP, in verband met haar functie als gespecialiseerd toezichthouder bij privacydelicten, voor uitbreiding van de boetebepalingen in de Wbp. Het CBP vraagt zich af of het strafrecht bij «privacydelicten» niet het sluitstuk zou moeten zijn en het CBP als gespecialiseerd toezichthouder de eerst aangewezene is om misbruik van het EPD te controleren en sanctioneren.

Het CBP constateert terecht dat het bij privacydelicten de eerst aangewezene is om misbruik te controleren en te sanctioneren. Gelet op de grote maatschappelijke schade die misbruik van het EPD veroorzaakt, is het echter tevens belangrijk daar een passende strafsanctie voor te hebben, dat is met dit wetsvoorstel geregeld. Op het onrechtmatig verwerken van gegevens uit het EPD door een zorgverlener, staan op dit moment reeds meerdere sancties. Niet alleen kan de zorgverlener een bestuurlijke boete op basis van de wet opgelegd krijgen, er kan tevens sprake zijn van computervredebreuk, en als de beroepsbeoefenaar de gegevens ook nog eens aan een derde zou doorgeven is ook sprake van schending van de geheimhoudingsplicht. Deze beide overtredingen zijn in het strafrecht strafbaar gesteld met een gevangenisstraf van één tot vier jaar en een geldboete van € 18 500,-. Daarnaast kan de beroepsbeoefenaar die is geregistreerd in de zin van artikel 3 van de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) tuchtrechtelijk worden vervolgd.

Gelet op de grote privacy- en maatschappelijke schade die misbruik van het EPD door een zorgverlener kan veroorzaken heb ik echter gemeend hieraan een sanctie toe te moeten voegen. Ook de Tweede Kamer heeft tijdens de behandeling van het wetsvoorstel de wens geuit dat misbuik van het EPD via het strafrecht moet kunnen leiden tot schrapping uit het BIG-register. Met dit wetsvoorstel wordt het daarom mogelijk gemaakt voor de strafrechter om bij overtreding van de artikelen inzake computervredebreuk en de geheimhoudingsplicht door een beroepsbeoefenaar, deze beroepsbeoefenaar als bijkomende straf uit het recht op de uitoefening van zijn beroep te ontzetten. Een rechterlijke uitspraak tot ontzetting van het recht het beroep uit te oefenen, leidt op grond van artikel 7 van de Wet BIG tot een schorsing of een doorhaling van de inschrijving van betrokkene in het BIG-register. Betrokkene is hiermee niet langer beroepsbeoefenaar in de zin van de wet en mag dus niet langer gegevens verwerken voor de zorgaanbieder in het EPD. Omdat hij ook niet langer aan de eisen met betrekking tot de verstrekking en het gebruik van het toegangsmiddel tot het LSP en het EPD, de UZI-pas, voldoet, zal dit toegangsmiddel worden ingetrokken. Indien sprake is van een individuele beroepsbeoefenaar die niet in het kader van een instelling werkt, en derhalve zelf als zorgaanbieder kan worden gekwalificeerd, zal schorsing of doorhaling in het BIG-register op haar beurt bovendien leiden tot schorsing of doorhaling in het register van zorgaanbieders. Het gevolg hiervan is dat deze zorgaanbieder niet langer toegang zal krijgen tot zowel de SBV-Z als het LSP en het EPD.

Met betrekking tot de door het CBP voorgestelde uitbreiding van de bestuurlijke boetebepalingen in de Wbp dient het volgende in ogenschouw te worden genomen. De Wbp heeft een veel breder bereik dan sec het EPD. Een uitbreiding van de boetebepalingen zou dan ook bredere implicaties hebben dan voor het EPD alleen. De vraag ten aanzien van de mogelijkheid tot het opleggen van bestuurlijke boetes door het CBP zal dan ook in breder verband moeten worden beschouwd. Hierop zal worden teruggekomen bij gelegenheid van het kabinetsstandpunt bij het advies van de Commissie veiligheid en persoonlijke levenssfeer.

Wel is in het wetsvoorstel naar aanleiding van de adviezen van het CBP en de Raad van State, in aanvulling op hetgeen al is geregeld in artikel 16a van de wet een specifieke bepaling in het wetsvoorstel opgenomen waarbij ook aan de beroepsbeoefenaar die in het kader van een instelling werkt een bestuurlijke boete opgelegd kan worden voor misbruik van het EPD.

Adviezen Raad voor de Rechtspraak en Openbaar Ministerie

Het voorstel is tevens voor advies voorgelegd aan de Raad voor de Rechtspraak en aan het College van procureurs-generaal.

De Raad voor de Rechtspraak heeft bij brief van 13 juli 20091 laten weten dat het voorstel niet noopt tot het maken van nadere inhoudelijke op- en aanmerkingen. Het wetsvoorstel zal naar de mening van de Raad evenmin leiden tot noemenswaardige werklasteffecten voor de rechtspraak. Ook het College van procureurs-generaal heeft laten weten dat het kan instemmen met het voorstel om een strafbepaling op te nemen.

II. Artikelsgewijze toelichting

Artikel I, onderdeel A

NICTIZ draagt er ingevolge artikel 13d van de wet zorg voor, dat het LSP zo ingericht is dat een zorgaanbieder zijn zorginformatiesysteem, kan aansluiten op het LSP. Voordat de zorgaanbieder aangesloten wordt op het LSP, zal echter worden gekeken of voldaan wordt aan de eisen van een goed beheerd zorgsysteem en of de aansluiting zal plaatsvinden via het datacommunicatienetwerk van een gekwalificeerde zorgserviceprovider. Indien hieraan niet wordt voldaan, kan de minister weigeren een zorgaanbieder aan te sluiten op het LSP. Hiermee wordt voorkomen dat het LSP zelf anders niet langer zou voldoen aan de voor het LSP geldende programma van eisen en de eisen rondom de beveiliging en hierdoor de privacy van persoonsgegevens in gevaar komt.

Een zorgserviceprovider of een zorgaanbieder kan ook afgesloten worden van het LSP indien dit noodzakelijk geacht wordt. Hierbij kan gedacht worden aan gevallen waarin het functioneren of de integriteit van het LSP zodanig aangetast wordt of dreigt te worden dat de beveiliging van het systeem in gevaar brengt. Ook calamiteiten, zoals een infectie van het computersysteem met een virus, kunnen de veiligheid van het systeem in gevaar brengen. Daarnaast zou nog gedacht kunnen worden aan afsluiting van de zorgaanbieder in gevallen waarbij sprake is van schorsing of doorhaling in het BIG-register van de individuele beroepsbeoefenaar die niet in het kader van een instelling werkt. In al dit soort gevallen kan de minister besluiten tot het afsluiten van een zorgaanbieder van het LSP.

De weigering tot aansluiting op en de afsluiting van het LSP zijn besluiten in de zin van de Awb die genomen worden door de minister. Hiertegen staan bezwaar en beroep open.

Artikel I, onderdelen B en C en artikel II

Artikel 13ha van de wet, dat bij amendement van het lid Omtzigt c.s. aan de wet is toegevoegd (Kamerstukken II 2008/09, 31 466, nr. 49), bevat een aantal verboden voor zorgverzekeraars ten aanzien van het EPD. Allereerst is bepaald dat zorgverzekeraars geen toegang hebben tot het LSP en zorginformatiesystemen die, anders dan via het landelijk schakelpunt, op elkaar zijn aangesloten of waarvan meer dan één zorgaanbieder gebruik kan maken, zoals de regionale systemen. Onder zorgverzekeraar wordt in dit geval, ingevolge de definitie in artikel 1, onderdeel e, zowel de zorgverzekeraar als bedoeld in artikel 1, eerste lid, onder b, van de Algemene Wet Bijzondere Ziektekosten (hierna: AWBZ), de zorgverzekeraar als bedoeld in artikel 1, onder b, van de Zorgverzekeringswet (hierna: Zvw), als de aanvullende ziektekostenverzekeraar verstaan. Daarnaast is bepaald dat zij niet alleen geen toegang hebben tot, maar ook geen gegevens mogen verwerken uit het EPD of uit de hiervoor bedoelde zorginformatiesystemen.

Om te voorkomen dat in die gevallen waarin een zorgaanbieder die tevens zorgverzekeraar is ook geen toegang tot het EPD zou mogen zoeken – hiervan kan sprake zijn bij een naturaverzekering, waarbij de zorgverzekeraar zelf de gecontracteerde zorg levert door middel van bij hem in dienst zijnde zorgverleners; de bij de verzekeraar werkzame zorgaanbieder is dan juridisch gezien de verzekeraar – en hierdoor zijn zorgverzekeringen of zijn wettelijke taak niet goed meer zou kunnen uitvoeren, was een uitzondering gemaakt op de bovengenoemde verboden voor die zorgverzekeraars die tevens zorgaanbieder zijn. Deze uitzondering gold alleen voor zover dit noodzakelijk was voor de uitvoering van hun zorgverzekeringen of hun wettelijke taak, te weten de uitvoering van de AWBZ. Het tweede lid van artikel 13ha, van de wet, regelde vervolgens dat bij algemene maatregel van bestuur moest worden bepaald welke gegevens voor de uitvoering van de zorgverzekeringen of onderdelen daarvan noodzakelijk zijn.

In het concept-besluit tot wijziging van het Besluit gebruik burgerservicenummer in de zorg werd in eerste instantie voorgesteld om van de uitzonderingsmogelijkheid gebruik te maken in die zin, dat geregeld zou worden dat een zorgverzekeraar wel toegang tot het LSP zouden hebben en gegevens mocht verwerken in het EPD voor zover hij opereerde als zorgaanbieder en een bij hem voor het verlenen van zorg in dienst zijnde arts of apotheker deze toegang nodig had voor het kunnen leveren van verantwoorde zorg. Tevens werd geregeld dat de op deze manier verkregen gegevens binnen de zorgverzekeraar niet verder mochten worden verwerkt. Zo mochten de gegevens dus niet gebruikt worden voor het beoordelen van een vraag voor een toestemming voor een dure operatie, of voor het acceptatiebeleid voor aanvullende verzekeringen.

Op 14 juli 2009 heeft het Cbp advies uitgebracht met betrekking tot vorengenoemde wijziging van het Besluit gebruik burgerservicenummer in de zorg, ter uitvoering van artikel 13ha van de wet. Het CBP heeft aangegeven fundamentele bezwaren te hebben tegen de in het besluit geformuleerde mogelijkheden voor toegang door zorgverzekeraars tot gegevens in het EPD en kan het zelfs met de beperkte invulling in het concept-besluit niet eens te zijn. Het CBP acht het verlenen van (rechtstreekse) toegang van zorgverzekeraars tot het EPD in strijd met de uitgangspunten en de systematiek van het landelijk EPD dat is opgezet, uitgewerkt en gelegitimeerd als een systeem waarmee hulpverleners voor hulpverleningsdoeleinden toegang over gegevens tot cliënten kunnen verkrijgen. Toegang voor anderen dan hulpverleners en met andere doeleinden is verdraagt zich, zo merkt het CBP op, noch met de opzet van dat systeem noch met de juridische legitimatie daarvoor. Het CBP adviseert dan ook niet alleen om het betreffende artikel uit het concept-besluit te schrappen, maar ook om de uitzondering in artikel 13ha van de wet te schrappen.

Op 5 januari 2010 heeft de Raad van State advies uitgebracht over het concept-besluit tot wijziging van het Besluit gebruik burgerservicenummer in de zorg. De Raad onderschrijft het standpunt van het CBP dat aan een zorgverzekeraar geen toegang moet worden geboden tot het EPD. Hij meent dat zelfs het vermoeden dat dit wel zou kunnen, het vertrouwen dat cliënten en beroepsbeoefenaren in het EPD moeten kunnen hebben, schaadt.

Met artikel I, onderdeel C, worden de adviezen van het CBP en de Raad van State opgevolgd en wordt de uitzondering in artikel 13ha geschrapt. Hierdoor wordt het voor alle zorgverzekeraars verboden om aan te sluiten op het LSP en zorginformatiesystemen die, anders dan via het landelijk schakelpunt, op elkaar zijn aangesloten of waarvan meer dan één zorgaanbieder gebruik kan maken, zoals de regionale systemen. Daarnaast wordt het verboden om gegevens te verwerken in het EPD of in de hiervoor bedoelde systemen.

Als gevolg van dit verbod wordt de hiervoor beschreven vorm van verticale integratie – waarbij de zorgverzekeraar zelf zorg verleent aan zijn cliënten door middel van zorgverleners in eigen dienst – onmogelijk. Het is voor deze zorgaanbieders immers niet langer mogelijk verantwoorde zorg te bieden nu zij geen toegang hebben tot het LSP en geen gegevens mogen verwerken in het EPD. Wel mogelijk blijft de vorm van verticale integratie waarbij de zorgverzekeraar en zorgaanbieder twee aparte juridische entiteiten zijn of de vorm waarbij de zorgverzekeraar bestuurlijk en/of financieel deelneemt in de zorgaanbieder.

Navraag heeft geleerd dat er op dit moment geen zorgverzekeraars zijn die zorgverleners in dienst hebben van dezelfde rechtspersoon die de verzekeringen doet. Praktisch gezien vloeien er op dit moment daarom geen consequenties voort uit het wetsvoorstel. Voor de toekomst zullen verzekeraars die zelf zorg willen blijven leveren, de zorgaanbiedersafdeling in een aparte juridische entiteit onder moeten brengen.

Naast artikel 13ha van de wet zijn bij een tweetal amendementen respectievelijk van het lid Omtzigt c.s. (Kamerstukken II 2008/09, 31 466, nr. 47) en de leden Omtzigt en Vermeij (Kamerstukken II 2008/09, 31 466, nr. 46) twee leden aan artikel 13h van de wet toegevoegd die bepalen dat een beroepsbeoefenaar voor zover deze werkzaamheden verricht als bedrijfsarts, dan wel verzekeringsarts, dan wel als keurend arts voor keuringen, als bedoeld in de Wet op de medische keuringen, geen toegang heeft tot het LSP of zorginformatiesystemen die, anders dan via het landelijk schakelpunt, op elkaar zijn aangesloten of waarvan meer dan één zorgaanbieder gebruik kan maken, zoals de regionale systemen en geen gegevens mag verwerken uit het EPD of uit de hiervoor bedoelde zorginformatiesystemen. Ook bij deze artikelleden is een uitzondering gemaakt op de bovengenoemde verboden voor zover dit noodzakelijk is voor de uitvoering van zorgverzekeringen of zijn wettelijke taak, te weten de uitvoering van de AWBZ.

De Raad van State heeft in zijn advies over het concept-besluit tot wijziging van het Besluit gebruik burgerservicenummer in de zorg met betrekking tot het derde en vierde lid van artikel 13h opgemerkt, dat ook hier een uitzondering op het verbod ongewenst is. Deze is naar de mening van de Raad bovendien niet noodzakelijk nu, indien bedrijfsartsen en militaire artsen zorg verlenen als bedoeld in de Zorgverzekeringswet en de AWBZ, zij optreden als beroepsbeoefenaar als bedoeld in artikel 13h, eerste lid, van de wet en dientengevolge de bepalingen van de wet en die van het ontwerpbesluit die daarmee samenhangen, onverkort op hen van toepassing zijn. Deze redenering volgend zijn ook de uitzonderingen in artikel 13h, derde en vierde lid, van de wet en artikel 2a van de Wet op de medische keuringen geschrapt.

Artikel I, onderdeel D

Het is wenselijk om, ook als de verplichting tot aansluiting op het LSP voor de zorgaanbieder nog niet in werking is getreden, wel al eisen aan de vrijwillige aansluiting, met inbegrip van de eisen met betrekking tot de beveiliging, de verwerking van gegevens alsmede het toezicht en de handhaving van toepassing te laten zijn. Met het onderhavige artikel wordt hiervoor een basis gecreëerd.

Artikel I, onderdeel E

De Raad van State heeft in haar advies over het onderhavige wetsvoorstel opgemerkt dat het huidige samenstel van sancties met betrekking tot het EPD niet de mogelijkheid bevat om de beroepsbeoefenaar die in het kader van een instelling werkt, een bestuurlijke boete op te leggen in verband met overtreding van de regels met betrekking tot de verwerking van gegevens inzake het EPD. Deze individuele beroepsbeoefenaar kan alleen gestraft worden door middel van het tuchtrecht en het strafrecht. Nu de individuele beroepsbeoefenaar een sleutelpositie bekleedt bij de feitelijke verwerking van de gegevens, adviseerde de Raad om, in aanvulling op de vraag van het CBP om uitbreiding van de boetebepalingen in de Wbp, te onderzoeken of in de wet een bepaling kan worden opgenomen waarbij ook aan individuele beroepsbeoefenaren een boete kan worden opgelegd voor misbruik van het EPD.

Met het onderhavige artikel wordt een dergelijke bepaling geïntroduceerd. Op grond van deze bepaling kan de individuele beroepsbeoefenaar die zijn beroep uitoefent in het kader van een instelling als bedoeld in artikel 1 van de Kwaliteitswet zorginstellingen (Kzi) ook een bestuurlijke boete worden opgelegd voor het onrechtmatig opvragen, openbaar maken, verstrekken of verspreiden van een gegeven uit het EPD, dan wel uit een regionaal elektronisch patiëntendossier. Deze mogelijkheid bestond voorheen alleen met betrekking tot de zorgaanbieder. De mogelijkheden tot het opleggen van een boete voor misbruik van het EPD aan een beroepsbeoefenaar die zijn beroep niet in het kader van een instelling uitoefent maar als zelfstandige werkt, wordt hierdoor gelijkgetrokken met die voor de beroepsbeoefenaar die zijn beroep wel in het kader van een instelling uitoefent.

Artikel I, onderdeel F

Misbruik van het EPD kan onder de huidige wetgeving op verschillende wijzen gesanctioneerd worden, te weten:

  • middels het opleggen van een bestuurlijke boete; voor de overtreding van de bepalingen van de onderhavige wet kan een bestuurlijke boete opgelegd worden van maximaal € 6 700 aan een natuurlijk persoon als zorgaanbieder, en € 33 500 aan een instelling als zorgaanbieder;

  • middels bestuursdwang; om een schending van de Wet bescherming persoonsgegevens een halt toe te roepen kan het College bescherming persoonsgegevens bestuursdwang toepassen;

  • middels het strafrecht; voor schending van het beroepsgeheim en computervredebreuk, respectievelijk de artt. 272 en 138a Wetboek van Strafrecht kan een boete opgelegd worden van € 18 500 en een gevangenisstraf van één tot vier jaar;

  • middels het tuchtrecht; misbruik van het EPD valt onder de tuchtnormen van art. 47, eerste lid, van de Wet BIG voor degenen die in een der in het tweede lid van artikel 47 vermelde hoedanigheden in een register staan ingeschreven. Aan een geregistreerde beroepsbeoefenaar kan door de tuchtrechter als maximale tuchtmaatregel de doorhaling van de inschrijving in het register opgelegd worden.

Niettemin is het wenselijk daarnaast ook aan de strafrechter de mogelijkheid te geven om een beroepsbeoefenaar bij overtreding van één van de artikelen 138a en 272 van het Wetboek van Strafrecht, voor zover deze gedraging betrekking heeft op patiëntgegevens, van het recht te ontzetten om het beroep waarin hij deze feiten heeft begaan, uit te oefenen, en wel om de volgende redenen.

Misbruik van het EPD moet gezien worden als een ernstig vergrijp. Niet alleen wordt hiermee de privacy van een persoon geschaad en kan hieruit voor de desbetreffende persoon schade voortvloeien, ook het vertrouwen in het EPD als middel om snel, efficiënt en betrouwbaar gegevens uit te wisselen tussen zorgaanbieders kan in ernstige mate geschaad worden. Op beroepsbeoefenaren rust een bijzondere plicht om geen misbruik van het EPD te maken. Daarom is het gewenst dat als extra sanctie wordt voorzien in de bijkomende straf van ontzetting van het recht het beroep uit te oefenen waarin de feiten zijn begaan.

Daarbij is mede een overweging dat het tuchtrecht geen mogelijkheden biedt om beroepsbeoefenaren die niet geregistreerd zijn ingevolge artikel 3 van de Wet BIG, maar die ingevolge artikel 34 van de Wet BIG wel een beschermde titel hebben, tuchtrechtelijk ter verantwoording te roepen voor misbruik van het EPD. Zij vallen immers niet onder de reikwijdte van het tuchtrecht. Dat is namelijk alleen van toepassing op beroepsbeoefenaren die ingevolge artikel 3 van de Wet BIG in het BIG-register geregistreerd zijn. Zij kunnen door de tuchtrechter dan ook niet uit hun beroep worden ontzet. Door het mogelijk te maken dat ook de strafrechter een beroepsbeoefenaar bij misbruik van het EPD uit zijn beroep kan ontzetten, kunnen ook deze beroepsbeoefenaren voldoende streng worden bestraft.

Vormen van misbruik

Misbruik van het EPD kan strafrechtelijk vervolgd worden op grond van schending van het beroepsgeheim en op grond van computervredebreuk, respectievelijk de artikelen 272 en 138a van het Wetboek van Strafrecht. Artikel 138a ziet daarbij op misbruik door eenieder, terwijl artikel 272 alleen ziet op diegenen die vanuit hun ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht opgelegd hebben gekregen.

Het misbruik van het EPD specifiek door een beroepsbeoefenaar valt uiteen in twee verschillende vormen. Als eerste is er het opvragen van gegevens uit het EPD door een beroepsbeoefenaar die geen behandelrelatie heeft met een cliënt. Hieronder valt bijvoorbeeld het door een beroepsbeoefenaar opvragen van gegevens uit het EPD van iemand die niet zijn patiënt is. Hierbij zou bijvoorbeeld gedacht kunnen worden aan het inzien van een dossier van een bekende Nederlander uit nieuwsgierigheid. Deze vorm van misbruik vormt een overtreding van artikel 138a van het Wetboek van Strafrecht inzake computervredebreuk. Om toegang te krijgen tot de gegevens in het EPD van een cliënt, moet de beroepsbeoefenaar gebruik maken van de zogenaamde UZI-pas, de unieke zorgverlenerspas. De UZI-pas is een pas die alleen uitgereikt wordt aan beroepsbeoefenaren. De uitreiking vindt plaats op persoonlijke titel. Doordat de UZI-pas gekoppeld is aan de indviduele zorgverlener, geeft deze op basis van de functie van de zorgverlener slechts toegang geeft tot de specifiek voor die functie benodigde gegevens. De hulpverlener dient daarnaast een behandelrelatie met de cliënt hebben. Het systeem controleert hiertoe of de cliënt ingeschreven staat in de patiëntenadministratie van de zorgaanbieder. Is dit niet geval wordt er geen toegang verleend. Is dat wel het geval, moet de zorgverlener aangeven dat hij een behandelrelatie met de patiënt heeft. Heeft de zorgverlener derhalve geen UZI-pas, dan zal hij in de zin van artikel 138a, eerste lid, onderdeel c, van het Wetboek van Strafrecht een valse sleutel moeten gebruiken om toegang te krijgen tot het EPD. Heeft de zorgverlener geen behandelrelatie met de cliënt zal hij een behandelrelatie met de cliënt moeten veinzen. Dit levert een valse hoedanigheid op, namelijk het zich voordoen als arts met een behandelrelatie, in de zin van artikel 138a, eerste lid, onderdeel d, van het Wetboek van Strafrecht.

Ten tweede is er sprake van misbruik van het EPD door een beroepsbeoefenaar als deze zijn geheimhoudingsplicht schendt. Dit kan zich voordoen als de beroepsbeoefenaar weliswaar een behandelrelatie met de patiënt heeft en in die hoedanigheid gerechtigd is om gegevens van zijn cliënt te verwerken, maar vervolgens zonder toestemming van die cliënt gegevens uit het EPD openbaar maakt, verspreidt of verstrekt aan een ander dan die cliënt. Hierbij kan gedacht worden aan het verstrekken van gegevens uit het EPD aan een derde, bijvoorbeeld een levensverzekeraar of een roddelblad. Deze vorm van misbruik vormt een overtreding van artikel 272 van het Wetboek van Strafrecht inzake de geheimhoudingsplicht.

Uiteraard valt de beroepsbeoefenaar die in het kader van een zorgvuldige zorgverlening aan zijn cliënt het EPD raadpleegt, gegevens uit het EPD verwerkt of in het kader van een consult bij een andere arts gegevens opvraagt of verzendt, niet onder de genoemde strafbepalingen. Ook de verstrekking van een afschrift van de persoonsgegevens in het EPD door de zorgaanbieder aan de zorgverzekeraar, voor zover deze zorgverzekeraar die gegevens nodig heeft ter uitvoering van zijn zorgverzekeringen of zijn wettelijke taak valt er niet onder. Doordat hiertoe een wettelijke verplichting is opgenomen in artikel 87 van de Zorgverzekeringswet, is immers geen sprake van wederrechtelijkheid.

Met de in het onderhavige artikel opgenomen aanvulling op de bestaande strafrechtelijke bepalingen inzake computervredebreuk en schending van de geheimhoudingsplicht kan de strafrechter als bijkomende straf de beroepsbeoefenaar van de uitoefening van het beroep waarin deze feiten zijn begaan, ontzetten. Hiermee wordt het, anders dan in het tuchtrecht, ook mogelijk om beroepsbeoefenaren die niet geregistreerd zijn ingevolge artikel 3 van de Wet BIG, maar die ingevolge artikel 34 van de Wet BIG wel een beschermde opleidingstitel hebben, uit hun beroep te ontzetten. Met betrekking tot beroepsbeoefenaren die wel geregistreerd zijn ingevolge artikel 3 van de Wet BIG, biedt deze bepaling bovendien de mogelijkheid om een beroepsbeoefenaar op non-actief te stellen, zonder dat de uitkomst van een (eventuele) tuchtprocedure hoeft te worden afgewacht. Dit sluit overigens niet uit dat er alsnog een tuchtprocedure volgt. Op grond van artikel 31 van het Wetboek van Strafrecht bepaalt de strafrechter bij het opleggen van deze bijkomende maatregel tevens de duur van de ontzetting.

Een schending van de artikelen 138a en 272 van het Wetboek van Strafrecht met betrekking tot patiëntgegevens ziet zowel op het landelijke EPD als op de regionale systemen.

Doordat de bepaling, wat betreft de schending van de geheimhoudingsplicht, techniekonafhankelijk is geformuleerd, ziet deze bovendien zowel op gegevens uit papieren dossiers als gegevens uit elektronische dossiers. Het met schending van de geheimhoudingsplicht verstrekken van gegevens uit een papieren dossier is immers net zo ongewenst als het verstrekken van zulke gegevens uit een elektronisch dossier. Ook bij verstrekken van patiëntgegevens uit een papieren dossier is de mogelijkheid van oplegging van de bijkomende straf van ontzetting van de uitoefening van het beroep waarin het feit is begaan, wenselijk. Bovendien wordt daarmee voorkomen dat, indien iemand vervolgd wordt voor het schenden van de geheimhoudingsplicht en oplegging van de bijkomende straf van de ontzetting is geïndiceerd, hij als verweer kan voeren dat de gegevens niet uit het EPD, maar uit het papieren dossier zijn verstrekt.

Ingeval de ontzetting een beroepsbeoefenaar betreft die is ingeschreven in een van de registers als genoemd in artikel 3 van de Wet BIG, zal dit leiden tot de doorhaling uit een van deze registers. Ontzetting uit het recht tot uitoefening van het basisberoep leidt tot doorhaling uit het BIG-register, hetgeen ook leidt tot doorhaling uit het specialistenregister.

Voor beroepsbeoefenaren die vallen onder artikel 34 van de Wet BIG geldt dat zij niet zijn opgenomen in een register, doch dat zij een beroep uitoefenen waarvan de opleiding daartoe bij algemene maatregel van bestuur is geregeld of aangewezen, de deskundigheidseisen zijn omschreven en de opleidingstitel beschermd is. Indien de strafrechter een dergelijke beroepsbeoefenaar van het recht ontzet om zijn beroep uit te oefenen kan dit derhalve geen schrapping uit een register tot gevolg hebben. Instellingen hebben echter ingevolge artikel 2 van de Kzi de plicht om verantwoorde zorg te leveren. Ingevolge artikel 3 van de Kzi moeten zij daarom hun zorgverlening op zodanige wijze organiseren en de instelling van zodanig kwalitatief en kwantitatief materieel en personeel voorzien, dat dit leidt tot verantwoorde zorg. Hierdoor hebben zij de plicht zich ervan te verzekeren, dat de voor hen werkende beroepsbeoefenaren die vallen onder artikel 34 van de Wet BIG niet door de strafrechter van het recht tot uitoefening van hun beroep zijn ontzet. Het moeten overleggen van een verklaring omtrent het gedrag (VOG) kan daarbij behulpzaam zijn.

Momenteel kent de gezondheidszorg in tegenstelling tot bijvoorbeeld het onderwijs vanuit de overheid geen verplichting tot het overleggen van een VOG. Instellingen zelf hebben wel de mogelijkheid om nieuwe beroepskrachten bij hun aanstelling te verzoeken een VOG te overleggen. De intentie is om in de toekomst een VOG te verplichten bij de artikel 3 beroepen bij het inschrijven in een register en/of herregistratie. Hiervoor moet een wijziging van de Wet BIG plaatsvinden. In dit traject, dat onlangs is opgestart, zal tevens worden bezien in hoeverre een VOG ook bij niet BIG-geregistreerde hulpverleners, waaronder in ieder geval de hulpverleners, bedoeld bij en krachtens artikel 34 van de Wet BIG, wettelijk verplicht gesteld zou kunnen worden.

Als de strafrechter als bijkomende straf de beroepsbeoefenaar ontzet van het recht om diens beroep uit te oefenen, volgt hieruit ingevolge artikel 7 in samenhang met artikel 6 van de Wet BIG, voor een beroepsbeoefenaar die valt onder artikel 3 van de Wet BIG, dat deze geschrapt wordt uit het BIG-register. Dit leidt, zoals opgemerkt in het algemene deel van de toelichting, niet alleen tot het intrekken van het toegangsmiddel tot het LSP en het EPD, maar geeft de Inspectie als toezichthouder in de zin van de Wet BIG bovendien de mogelijkheid om toezicht te houden op de naleving van het vonnis. Voor beroepsbeoefenaren die vallen onder artikel 34 van de Wet BIG geldt dat zij niet zijn opgenomen in een register, doch dat zij een beroep uitoefenen waarvan de opleiding daartoe bij algemene maatregel van bestuur is geregeld of aangewezen, de deskundigheidseisen zijn omschreven en de opleidingstitel beschermd is. Ook als deze beroepsbeoefenaren door de strafrechter worden ontzet van het recht om hun beroep uit te oefenen, moet de Inspectie hierop echter toezicht kunnen houden; de uitoefening van zijn beroep door een beroepsbeoefenaar die door de strafrechter van dit recht is ontzet, zal immers per definitie geen verantwoorde zorg in de zin van artikel 40 van de Wet BIG zijn. Om dit toezicht mogelijk te maken, moeten de gegevens omtrent de beslissing van de strafrechter tot ontzetting van het recht om het beroep uit te oefenen, kunnen worden verstrekt aan de Inspectie. Deze gegevens vallen onder de reikwijdte van de Wet justitiële en strafvorderlijke gegevens. Om de verstrekking van deze justitiële gegevens aan de Inspectie, in het kader van haar functie als toezichthouder in de zin van de Wet BIG, mogelijk te maken, zal het Besluit justitiële gegevens worden aangepast. Deze aanpassing zal bij de eerstvolgende aanpassing van het Besluit justitiële gegevens plaatsvinden

Artikel III en IV

De artikelen III en IV bevatten een aantal regels met betrekking tot de samenloop van dit wetsvoorstel met het wetsvoorstel cliëntenrechten zorg (hierna: Wcz) (Kamerstukken II 2009/10, 32 402, nr. 2). Artikel III ziet op de situatie dat de Wcz eerder in werking treedt dan dit wetsvoorstel. In dat geval moet dit wetsvoorstel op één punt gewijzigd worden. Met de inwerkingtreding van de Wcz zal onder meer de Kzi worden ingetrokken. Als de Wcz eerder in werking treedt dan dit wetsvoorstel zal daarom in dit wetsvoorstel niet langer verwezen kunnen worden naar de Kzi. In de Wcz is daarom een bepaling opgenomen waarmee in de Kaderwet elektronische zorginformatieuitwisseling een zelfstandige definitie van het begrip zorgaanbieder wordt opgenomen. In dit wetsvoorstel kan naar deze definitie in plaats van die uit de Kzi verwezen worden.

Artikel IV ziet op de situatie dat dit wetsvoorstel eerder in werking treedt dan de Wcz. In dat geval dient de Wcz op een aantal punten aangepast te worden. Als eerste was in het wetsvoorstel tot wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg was een artikel opgenomen waarmee artikel 456 van Boek 7 van het Burgerlijk Wetboek werd gewijzigd. Met de invoering van de Wcz zal deze bepaling uit het Burgerlijk Wetboek echter komen te vervallen. In artikel IV, onderdeel A, wordt door de toevoeging van een derde lid aan artikel 22 van de Wcz, een soortgelijke bepaling opgenomen in die wet. Als tweede wordt artikel 65 van de Wcz gewijzigd. In dit artikel wordt de Wet gebruik burgerservicenummer in de zorg gewijzigd. Na de wijziging van deze wet in verband met de invoering van het EPD is deze wet echter anders gaan heten, namelijk de Kaderwet elektronische zorginformatieuitwisseling. Artikel 65 is daarop aangepast.

Artikel V

Dit artikel bevat een samenloopbepaling met het voorstel van wet van de leden Ten Hoopen, Slob en Van der Burg tot wijziging van het Wetboek van Strafrecht, de Leegstandwet, en enige andere wetten in verband met het verder terugdringen van kraken en leegstand (Wet kraken en leegstand) (31 560). In dat wetsvoorstel wordt artikel 138a van het Wetboek van Strafrecht vernummerd tot 138ab. Bepaald wordt dat als bovengenoemd wetsvoorstel eerder tot wet wordt verheven en in werking treedt dan dit wetsvoorstel, in artikel 16b van dit wetsvoorstel dan niet langer verwezen wordt naar artikel 138a van het Wetboek van Strafrecht, maar naar artikel 138ab.

De minister van Volksgezondheid, Welzijn en Sport,

A. Klink


XNoot
1

Ter inzage gelegd bij het Centraal Informatiepunt van de Tweede Kamer der Staten-Generaal.

Naar boven