Staatscourant van het Koninkrijk der Nederlanden
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Ministerie van Volksgezondheid, Welzijn en Sport | Staatscourant 2021, 22996 | Adviezen Raad van State |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Ministerie van Volksgezondheid, Welzijn en Sport | Staatscourant 2021, 22996 | Adviezen Raad van State |
26 april 2021
2344579-1006204-WJZ
Directie Wetgeving en Juridische Zaken
Aan de Koning
Nader rapport inzake het voorstel van wet, houdende regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg)
Blijkens de mededeling van de Directeur van Uw Kabinet van 5 november 2020, no. 2020002254, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 24 februari 2021, no. W13.20.0398/III, bied ik U hierbij aan.
Het wetsvoorstel regelt dat zorgverleners kunnen worden verplicht om aangewezen gegevensuitwisselingen (ten minste) elektronisch te laten plaatsvinden. Ook kunnen eisen worden gesteld aan, onder meer, taal en techniek om interoperabiliteit tussen de systemen van de zorgverleners te realiseren.
De minister stelt een meerjarenagenda op voor het aanwijzen van prioritaire gegevensuitwisselingen. De betrokken partijen in het veld dragen echter in belangrijke mate verantwoordelijkheid voor de realisatie van de elektronische gegevensuitwisseling. Als sluitstuk kan de minister bij algemene maatregel van bestuur (amvb) uiteindelijk de gegevensuitwisselingen aanwijzen die ten minste elektronisch zullen moeten plaatsvinden, eventueel op een nader voorgeschreven wijze. Daarmee wordt elektronische gegevensuitwisseling verplicht. Het wetsvoorstel regelt verder geen nieuwe grondslagen voor gegevensuitwisseling tussen zorgverleners.
De Afdeling advisering van de Raad van State acht het aangewezen dat de toelichting nadrukkelijker aandacht besteedt aan de gevolgen van het wetsvoorstel voor de patiënt en de wijze waarop patiënten worden voorgelicht over de inwerkingtreding van het voorstel. Het is van belang dat patiënten op een laagdrempelige en transparante wijze inzicht krijgen in de manier waarop gegevens worden uitgewisseld en bij wie zij terecht kunnen om hun gegevens te kunnen controleren en eventuele fouten te kunnen herstellen.
De Afdeling constateert verder dat de voorgestelde aanpak vooral beoogt een balans te vinden tussen versterking van de regierol van de minister en realisatie door het zorgveld en de ICT-leveranciers. De Afdeling acht het echter een risico voor het bereiken van volledige interoperabiliteit dat de invulling van de regierol van de minister in belangrijke mate wordt begrensd door de benodigde medewerking van betrokken partijen en het bestaande draagvlak. Het zorgveld en de ICT-leveranciers zijn er immers tot op heden nog onvoldoende in geslaagd om interoperabiliteit tot stand te brengen en bovendien zullen de kosten ten laste komen van de bedrijfsvoering van zorgaanbieders.
Ten slotte roept de beoogde ontwikkeling van de NEN-normen een aantal vragen op, die onder meer zien op de volgtijdelijkheid en onderlinge aansluiting van de verschillende NEN-normen en de normering op het niveau van de wet.
De Afdeling advisering adviseert het voorstel en de toelichting op de bovengenoemde punten aan te passen.
Zorgverleners maken momenteel gebruik van verschillende methoden om gegevens over patiënten met andere zorgverleners uit te wisselen.1 Er worden zowel elektronische, als niet elektronische methoden gebruikt om gegevens te bewaren en uit te wisselen. Daar waar gegevens al wel via de elektronische weg worden uitgewisseld is niet altijd sprake van een eenheid in taal en techniek. Dit kan betekenen dat informatie niet, of niet tijdig wordt uitgewisseld tussen zorgverleners, en ook dat er onjuiste gegevens worden uitgewisseld. Gevolg daarvan kan zijn dat extra administratieve lasten ontstaan, extra onderzoeken moeten worden verricht en een vergroot risico bestaat op vermijdbare medische fouten.2
Als reden voor het gebrek aan eenheid in taal en techniek wordt aangevoerd dat een integrale aanpak ontbreekt en de verschillende betrokken partijen uiteenlopende belangen hebben. Zorgaanbieders, zorgverleners en aanbieders van informatieproducten of -diensten werken parallel en in decentrale verbanden aan digitalisering van gegevensuitwisselingen. Er is daardoor geen zorgbrede focus op welke gegevensuitwisselingen als eerste elektronisch moeten verlopen, wat tot gevolg heeft dat er geen zorgbrede afspraken worden gemaakt op het gebied van taal en techniek.3 Dit wordt versterkt doordat aanbieders van informatietechnologieproducten of -diensten graag investeren in landelijke schaalbare oplossingen en niet in maatwerkoplossingen, aldus de toelichting.4
De Tweede Kamer en organisaties die betrokken zijn bij het Informatieberaad Zorg hebben daarom gevraagd om meer regie van de minister voor Medische Zorg en Sport (hierna: de minister) om te komen tot elektronische gegevensuitwisseling tussen zorgverleners.5 Het wetsvoorstel beoogt daaraan tegemoet te komen.
Eerder is een wetsvoorstel inzake een landelijk elektronisch patiëntendossier (EPD) voorbereid en bij de Tweede en Eerste Kamer in behandeling geweest.6 Het EPD was een digitaal systeem waarmee de uitwisseling van gegevens van patiënten tussen zorgverleners onderling ook mogelijk werd gemaakt. Het systeem bevatte de verwijzingen naar individuele gedigitaliseerde dossiers waarin de gegevens van de patiënten te vinden waren. Het EPD bevatte zelf geen medische gegevens, maar via een landelijk schakelpunt (LSP) konden de dossiers beschikbaar worden gesteld zodat uitwisseling en inzage mogelijk werd. Zorgverleners werden verplicht om hieraan deel te nemen. In 2011 heeft de Eerste Kamer het voorstel verworpen vanwege bezwaren omtrent de bescherming van de rechten van patiënten, en het recht op eerbiediging van het privéleven.
Nadien is met het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens bepaald dat als een zorgverlener gegevens van een patiënt beschikbaar stelt via een elektronisch uitwisselingssysteem, hij daarvoor dan expliciet toestemming moet vragen aan de patiënt.7 Nadere regels over de elektronische gegevensuitwisseling in de zorg zijn opgenomen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabpz). Hierin is ook bepaald dat een patiënt het recht heeft om kosteloos en elektronisch afschrift te krijgen van wie bepaalde informatie heeft ingezien en op welk moment (logging).8 De bepaling van de Wabpz over het recht van de patiënt om bij het verlenen van toestemming voor de gegevensuitwisseling te kunnen kiezen voor alle of slechts bepaalde gegevens (gespecificeerde toestemming), is nog niet in werking getreden, omdat er nog gezocht wordt naar een werkbare manier om aan dat recht invulling te geven.9
In de praktijk wordt al gewerkt met onder meer een persoonlijke gezondheidsomgeving (PGO), om de elektronische uitwisseling van gegevens tussen zorgverleners en patiënt mogelijk te maken. Ook wordt op beperkte schaal gewerkt met een landelijk schakelpunt waardoor bepaalde zorgverleners gegevens over patiënten onderling kunnen uitwisselen.10
Het wetsvoorstel beoogt om volledige interoperabiliteit bij de elektronische gegevensuitwisseling tussen zorgverleners te bereiken. In meer algemene zin beoogt het voorstel om daarmee de verlening van ‘goede zorg’ te bevorderen.11 Dit moet worden bereikt door het verplicht stellen van het (ten minste) elektronisch uitwisselen van gegevens, waarbij uiteindelijk wordt gestreefd naar normalisatie van eisen aan taal en techniek. Bij amvb worden bepaalde gegevensuitwisselingen aangewezen die ten minste elektronisch zullen moeten gaan plaatsvinden. Daarnaast bevat het voorstel een grondslag om bij amvb nadere eisen te kunnen stellen aan de functionele, technische of organisatorische wijze waarop gegevensuitwisseling tussen zorgverleners plaatsvindt, en aan de te gebruiken ‘taal en techniek’ waardoor de gegevensuitwisseling interoperabel wordt (normalisatie).12
Het voorstel bevat een verplichting voor de minister om de Tweede Kamer te informeren over de gegevensuitwisselingen die aangewezen kunnen gaan worden, de zogeheten Meerjarenagenda Wegiz.13 De minister houdt deze agenda bij en bepaalt – in overleg met het zorgveld – welke gegevensuitwisselingen hij prioritair acht. Het zorgveld kan daarvoor ook bepaalde gegevensuitwisselingen aandragen.
Relevante criteria om een gegevensuitwisseling aan de meerjarenagenda toe te voegen zijn, blijkens het voorstel14 en de toelichting15:
– Toegevoegde waarde voor het verlenen van goede zorg: het risico op vermijdbare fouten moet merkbaar kleiner worden en relevant is verder hoeveel patiënten direct gezondheidsvoordeel hebben van een wettelijke verplichting.
– De realiseerbaarheid: Duidelijk moet zijn welke gegevens verplicht uitgewisseld moeten worden. Dat wil zeggen dat deze in een kwaliteitsstandaard moeten zijn beschreven. Deze kwaliteitsstandaard moet door betrokken partijen zelf worden opgesteld. Daarnaast kan de minister het Zorginstituut Nederland (Zin) vragen een kwaliteitsstandaard op de meerjarenagenda van het Zin te plaatsen. Het Zin kan zo nodig gebruik maken van de doorzettingsmacht. Verder zal het Zin toetsen of de kwaliteitsstandaard sectoroverstijgende gegevensuitwisseling mogelijk maakt. Daarnaast moet het technisch mogelijk zijn dat de gegevens worden uitgewisseld, bijvoorbeeld door landelijke dekking van onderling verbonden infrastructuren.
– Ten slotte geldt in beginsel dat voor het plaatsen van een gegevensuitwisseling op de meerjarenagenda er voldoende draagvlak moet zijn bij het veld.
In totaal heeft de minister inmiddels dertien gegevensuitwisselingen als prioritair aangewezen.16 De minister heeft aangekondigd om als eerste, bij amvb, de elektronische gegevensuitwisseling verplicht te stellen voor het digitaal receptenverkeer, basisgegevensset zorg ziekenhuis, beelduitwisseling en verpleegkundige overdracht.17
Zoals verder uit de toelichting, en uit verschillende brieven aan de Tweede Kamer blijkt, is het de bedoeling om elektronische gegevensuitwisseling zo nodig in fases in te voeren. Daarbij worden twee ‘sporen’ voorgesteld.
Spoor 1 houdt in dat een verplichting tot elektronische gegevensuitwisseling wordt ingevoerd, waaraan eventueel ook algemene technische eisen kunnen worden gesteld.
In spoor 2 worden bij amvb eisen gesteld die zien op het op genormaliseerde wijze uitwisselen van specifieke gegevens (de eisen voor taal en techniek) en op de functionele, technische of organisatorische wijze waarop gegevensuitwisseling moet plaatsvinden.18 In de amvb zal (statisch) worden verwezen naar de normen waarin die eisen staan. Daarbij kan het alleen gaan om NEN-normen. Per gegevensuitwisseling wordt slechts één NEN-norm aangewezen.19 Alle normen waarnaar verwezen wordt, worden opgesteld in opdracht van de minister. Bij de ontwikkeling van NEN-normen per gegevensuitwisseling geeft de minister richtinggevende kaders mee, zodat de NEN‑normen onderling op elkaar en op het regeringsbeleid aansluiten.20 Als de ontwikkelde norm niet voldoet aan de richtinggevende criteria van de minister kan dat ertoe leiden dat de norm niet wordt aangewezen bij Amvb.
Het voorstel bevat verder bepalingen over (het proces van) certificering van de aanbieders van informatietechnologie- product en diensten. Degene die een informatietechnologieproduct of -dienst aanbiedt aan een zorgaanbieder of een informatietechnologieproduct of -dienst ondersteunt, dient voor de desbetreffende producten of diensten op grond van het voorstel over een certificaat te beschikken.21 De minister wijst de certificerende instellingen aan.
Het is aan de zorgaanbieders om, zodra aanwijzing bij amvb plaatsvindt, erop toe te zien dat zorgverleners ten minister op elektronische wijze gegevens uitwisselen, en dat de eisen die bij amvb aan deze gegevensuitwisselingen zijn gesteld, worden nageleefd.22 Bovendien zal de elektronische uitwisseling van aangewezen gegevens als randvoorwaarde gelden voor het verlenen van goede zorg. Ten slotte bevat het voorstel een aantal bepalingen over het toezicht en de handhaving op de naleving van de verplichtingen.23
Het voorstel heeft voornamelijk tot doel elektronische gegevensuitwisseling tussen zorgverleners te bewerkstelligen. Het bevat daarom geen voorschriften voor de gegevensuitwisseling tussen zorgverleners en patiënten. Evenmin regelt het voorstel dat zorgverleners in meer of andere situaties gegevens van de patiënt mogen uitwisselen. Aan de bestaande grondslagen voor gegevensuitwisseling, alsmede de uitoefening van de rechten van betrokkenen die zijn opgenomen in de Algemene Verordening Gegevensbescherming (AVG), wordt niet getornd.24 Dat neemt niet weg dat wanneer volledige interoperabiliteit wordt bereikt, de verandering in de gegevensuitwisseling voor patiënten merkbaar zal zijn.
De Afdeling onderschrijft dat het digitaal beschikbaar maken van gegevens voordelen met zich kan brengen, voor zorgverleners, maar ook voor patiënten. Het kan er uiteindelijk aan bijdragen dat een meer doelmatige, betere en ook snellere zorgverlening wordt geboden. Volgens de toelichting is de verwachting dat, als gevolg van het voorstel, het risico op vermijdbare fouten en de (administratieve) lasten voor patiënten worden verkleind.25 Minder gegevens hoeven bij de patiënt te worden uitgevraagd en er hoeven minder onnodige onderzoeken – met mogelijke verkeerde behandelingen tot gevolg – te worden verricht. Verder stelt de toelichting dat het makkelijker zal worden om de elektronische gegevens met patiënten uit te wisselen, omdat gegevens als gevolg van dit voorstel elektronisch beschikbaar worden.
Naast voordelen zijn er echter ook risico’s verbonden aan de digitalisering van patiëntendossiers en de uitwisseling van deze gegevens.26 Wanneer gegevens als gevolg van de interoperabiliteit digitaal beschikbaar worden, wordt het gemakkelijker om deze gegevens te raadplegen, te bewerken en te bewaren, ook op meer systematische wijze en in grotere hoeveelheden. Daarmee beoogt het wetsvoorstel de slagkracht van de gegevensuitwisseling en -verwerking te vergroten. Dit betekent echter ook dat eventuele fouten, dan wel onjuiste of onbevoegde gegevensuitwisseling voor patiënten, grotere gevolgen kunnen hebben.
De Afdeling meent dat de toelichting hieraan ten onrechte nauwelijks aandacht besteedt en volstaat met een beknopte verwijzing naar de bestaande wet -en regelgeving voor de wijze waarop patiënten hun dossier in kunnen zien, hun gegevens kunnen controleren en eventuele fouten kunnen herstellen en bij wie ze daarvoor terecht kunnen. Evenmin wordt uit de toelichting duidelijk wanneer en op welke wijze is voorzien dat patiënten worden geïnformeerd over de gevolgen die het wetsvoorstel voor hen heeft. Patiënten moeten er op kunnen vertrouwen dat wanneer zorgverleners hun medische gegevens uitwisselen, dit op een zorgvuldige wijze gebeurt. Dat wil zeggen; dat niet meer, of andere gegevens dan noodzakelijk worden uitgewisseld en dat dit niet door onbevoegde personen gebeurt. Ook met het oog op het maatschappelijk draagvlak van de met het wetsvoorstel beoogde omslag is dat essentieel.
De Afdeling acht een nadere, en meer precieze toelichting over de gevolgen van het voorstel voor burgers ook geboden gelet op een aantal verplichtingen die in de AVG zijn opgenomen. Zorgaanbieders blijven als ‘verwerkingsverantwoordelijken’ gebonden aan de beginselen van, onder andere, rechtmatigheid, dataminimalisatie, juistheid, integriteit en vertrouwelijkheid. Op hen rusten op grond van de AVG verschillende verplichtingen. Zo bestaat onder meer de verplichting om volgens principes van privacy by design te werken. Dit houdt in dat al bij de ontwerpfase van nieuwe producten en diensten moeten worden nagedacht hoe aan de beginselen van de AVG op een doeltreffende wijze kan worden voldaan. Er dienen waarborgen te worden ingebouwd om aan de voorschriften van de AVG te voldoen en de uitoefening van de rechten van betrokkenen mogelijk te maken.27
Voorkomen moet worden dat er kwaliteitsstandaarden en NEN-normen tot stand worden gebracht die ieder afzonderlijk wel in overeenstemming zijn met de geldende regels voor gegevensbescherming, maar dat er door een combinatie van factoren risico’s ontstaan wanneer op enig moment volledige interoperabiliteit wordt gerealiseerd. Zo dient ook verzekerd te worden dat wanneer een patiënt zijn of haar rechten onder de AVG wil effectueren – zoals het recht op inzage, rectificatie of gegevenswissing – daar ook in een interoperabel systeem van gegevensuitwisseling, op effectieve wijze gevolg aan kan worden gegeven. De toelichting gaat hierop niet in.
De Afdeling adviseert, gelet op het voorgaande, in de toelichting nadrukkelijk aandacht te besteden aan de concrete gevolgen van het voorstel voor de patiënt en de wijze waarop patiënten daarover na inwerkingtreding van de wet worden voorgelicht. In dat kader dient de toelichting in het bijzonder ook in te gaan op de wijze waarop elementaire onderdelen van de AVG (met name de algemene beginselen en de rechten van betrokkenen), bij het ontwerpen en verder ontwikkelen van de elektronische gegevensuitwisseling op grond van het voorstel in de praktijk zullen worden gewaarborgd en geïmplementeerd.
Dit wetsvoorstel beoogt goede en tijdige elektronische gegevensuitwisseling te realiseren. Goede en tijdige elektronische gegevensuitwisseling is een essentiële randvoorwaarde voor kwalitatief goede, veilige, toegankelijke, toekomstbestendige en betaalbare zorg. Elektronische gegevensuitwisseling verbetert daarmee de zorg aan de cliënt. Het is verheugend dat de Afdeling onderschrijft dat het wetsvoorstel – alhoewel het zich richt tot de gegevensuitwisseling tussen zorgverleners – voordelen met zich meebrengt voor cliënten.
De Afdeling constateert daarnaast dat aan het elektronisch uitwisselen van gegevens bepaalde risico’s verbonden kunnen zijn, en merkt terecht op dat het van belang is daar in de toelichting nadrukkelijk aandacht aan te besteden. Naar aanleiding van het advies van de Afdeling is de memorie van toelichting hierop aangevuld. Hierbij wordt wel opgemerkt dat de concrete gevolgen van het wetsvoorstel voor cliënten pas inzichtelijk kunnen worden gemaakt op het moment dat gegevensuitwisselingen op grond van het wetsvoorstel worden aangewezen bij algemene maatregel van bestuur (hierna: AMvB). Dit maakt dat pas in de nota van toelichting bij een AMvB concreet ingegaan kan worden op de specifieke risico’s die bij de aangewezen gegevensuitwisseling gelden.
In paragraaf 8.3 van de memorie van toelichting is – in aanvulling op de tekst waarin ingegaan wordt op de rechten van cliënten – aangegeven wat de Algemene Verordening Gegevensbescherming (hierna: AVG) voor betekenis heeft voor zorgaanbieders als ‘verwerkingsverantwoordelijken’. Van belang hierbij is wel dat in het geval van een spoor 2 aanwijzing het de verantwoordelijkheid is van ICT-leveranciers om te voldoen aan de verplichtingen die uit de AVG volgen voor het ontwikkelen en beheren van informatietechnologieproducten en -diensten (zoals de verplichting om volgens principes van privacy by design te werken). Wanneer een zorgaanbieder een gecertificeerd informatietechnologieproduct of -dienst gebruikt zoals is bedoeld, moet hij er van uit kunnen gaan dat het product of de dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat hij aan zijn verplichtingen uit de AVG kan voldoen. Dit wordt geborgd door dit bij de ontwikkeling van een NEN-norm als richtinggevend kader mee te geven. Dit is in paragraaf 3.5.4 van de memorie van toelichting toegevoegd.
Ook zal als richtinggevend kader worden meegegeven dat de NEN-norm moet verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren. Ook dit is in paragraaf 3.5.4 van de memorie van toelichting toegevoegd. Overigens kan een zorgaanbieder die een gecertificeerd informatietechnologieproduct of -dienst afneemt uiteraard ook nog contractueel bedingen dat het product of de dienst voldoet aan de AVG eisen en dat het product of de dienst het mogelijk maakt dat de cliënt zijn rechten kan effectueren.
Het is logisch dat een ICT-leverancier ook kijkt naar de meest doelmatige manier waarop kan worden bereikt dat een zorgaanbieder met het product of de dienst kan voldoen aan de AVG-verplichtingen. Het is echter niet aan de Minister om voor te schrijven hoe een informatietechnologieproduct- of dienst vormgegeven moet worden, zolang voldaan wordt en kan worden aan de AVG-verplichtingen. Het is uiteindelijk aan de zorgaanbieder om te bepalen welk gecertificeerd informatietechnologieproduct- of dienst hij het meest geschikt acht. Voor zover de zorgaanbieder eisen wil stellen die niet direct uit de AVG volgen, kan dit mogelijk contractueel bedongen worden of voor een ander product of andere dienst worden gekozen.
In paragraaf 8.3 van de memorie van toelichting is ook aangegeven dat de concrete gevolgen die het aanwijzen van een gegevensuitwisseling met zich meebrengt voor cliënten zullen worden toegelicht in de nota van toelichting bij de AMvB. Dit betekent dat bij elke aanwijzing zal worden toegelicht op welke wijze in de praktijk zal worden voorzien hoe cliënten worden geïnformeerd over de gevolgen die het elektronisch uitwisselen van gegevens voor hen heeft. Hierbij zal aandacht worden besteed aan de manier waarop cliënten in een interoperabel systeem hun dossier in kunnen zien, hun gegevens kunnen controleren en eventuele fouten kunnen herstellen en bij wie ze daarvoor terecht kunnen.
In paragrafen 3.5.4 en 8.3 van de memorie van toelichting is verder nog toegevoegd dat bij de opdracht om een NEN-norm op te stellen als richtinggevende kaders zal worden meegegeven dat het mogelijk moet zijn om onjuist ingevoerde gegevens (met terugwerkende kracht) te kunnen wijzigen om te voorkomen dat dergelijke foutieve gegevens verderop in de keten gebruikt blijven worden.
Het wetsvoorstel beoogt tegemoet te komen aan het verzoek om meer regie van de minister om elektronische gegevensuitwisseling tussen zorgverleners mogelijk te maken. Tegelijkertijd beoogt het voorstel ook het initiatief en de verantwoordelijkheid voor het vaststellen van het wat en hoe van de gegevensuitwisseling zoveel mogelijk bij de betrokken partijen te laten. Kortgezegd bestaat de regierol van de minister uit:
− het opstellen van een lijst prioritaire gegevensuitwisselingen (meerjarenagenda);
− de mogelijkheid om zo nodig het Zin te vragen een kwaliteitsstandaard op een meerjarenagenda van het Zin te plaatsen. Het Zin heeft vervolgens doorzettingsmacht voor totstandkoming van een kwaliteitsstandaard als betrokken partijen daarin niet slagen;
− het opdracht geven voor het ontwikkelen van een NEN-norm en daaraan eisen stellen;
− het aanwijzen van certificerende instellingen en in een uiterste geval zelf certificaten verstrekken; en
− het uiteindelijke beoordelen of een gegevensuitwisseling ver genoeg is voor het vastleggen in een Amvb, waarvan de naleving afdwingbaar is.
De vraag of een gegevensuitwisseling door de minister wordt aangewezen bij amvb is onder meer afhankelijk van de realiseerbaarheid en het draagvlak bij het zorgveld. Of aanwijzing van een gegevensuitwisseling realiseerbaar is, is afhankelijk van de mate waarin het zorgveld heeft geformuleerd welke gegevens moeten worden uitgewisseld en in hoeverre het al technisch mogelijk is om gegevens uit te wisselen. Is daarvan nog onvoldoende sprake dan kan de consequentie zijn dat een gegevensuitwisseling niet wordt aangewezen bij amvb. Dit kan ook het geval zijn als partijen er niet in slagen een NEN-norm te ontwikkelen of geen enkele certificerende instelling bereid is om deel te nemen aan het stelsel. Aldus is de aanwijzing van een gegevensuitwisseling bij Amvb, en daarmee de afdwingbaarheid van elektronische gegevensuitwisseling, op belangrijke onderdelen afhankelijk van de realisatie door het zorgveld en ICT-leveranciers.
Met deze aanpak is ervoor gekozen om een omvangrijk ICT-traject als dit gefaseerd en van onderop vorm te geven. De ervaring van de overheid met grootschalige ICT-trajecten heeft geleerd dat een landelijke, uniforme aanpak geen garantie is voor succes. Bovendien is in de zorgsector sprake van zeer verschillende typen zorgaanbieders; van grote academische ziekenhuizen tot kleine zorgaanbieders met een beperkt aantal patiënten. Zo bezien kan de keuze voor een gefaseerde aanpak van onderop logisch worden genoemd.28
Tegelijkertijd is een van de redenen voor het verzoek om meer regie juist dat partijen tot op heden onvoldoende in staat zijn gebleken om zelf te komen tot voldoende interoperabiliteit en eenheid van taal en techniek, terwijl de noodzaak daartoe al langer wordt onderkend. Er is sprake van fragmentatie bij de realisatie van elektronische gegevensuitwisseling, onvoldoende focus en uiteenlopende belangen van zorgsector en ICT-leveranciers, aldus de toelichting.29
De Afdeling wijst erop dat de gekozen aanpak de regierol van de minister begrenst, omdat een gegevensuitwisseling niet wordt aangewezen bij Amvb als sprake is van onvoldoende draagvlak in het zorgveld of onvoldoende realiseerbaarheid.
De Afdeling acht dit een risico voor de daadwerkelijke totstandkoming van eenheid van taal en techniek en interoperabiliteit. De vraag is bovendien welke betekenis toekomt aan het plaatsen van gegevensuitwisselingen op de prioriteringslijst, nu dit niet zonder meer leidt tot aanwijzing van een gegevensuitwisseling bij amvb.
Een alternatieve benadering, waarbij plaatsing op de prioriteringslijst op een nader te bepalen moment zonder meer leidt tot aanwijzing bij amvb ligt zo mogelijk meer voor de hand vanuit het oogpunt van versterking van regie door de minister. Dit hoeft bovendien een gefaseerde aanpak van onderop niet in de weg te staan. Gelet op het voorgaande acht de Afdeling het bovendien van belang om goed zicht te houden op de voortgang in de realisering van de gestelde doelen van het voorstel, en om tijdig de doeltreffendheid en effecten van het voorstel in de praktijk te evalueren.30
De Afdeling adviseert hierop in de toelichting nader in te gaan.
De Afdeling stelt dat de regierol van de Minister begrensd is en zij dit een risico acht voor de daadwerkelijk totstandkoming van eenheid van taal en techniek en interoperabiliteit. Hieromtrent het volgende.
Om tot volledige interoperabiliteit te komen is de totstandkoming van een norm noodzakelijk. Alleen een nationale, Europese of internationale norm kan bepalen aan welke eisen moet worden voldaan om interoperabiliteit te bereiken. Als er geen bestaande norm beschikbaar is die bij AMvB kan worden aangewezen zal de Minister de opdracht geven om een NEN-norm te ontwikkelen. Deze NEN-norm kan alleen tot stand komen met medewerking en inbreng van het zorgveld, ICT-leveranciers, patiëntvertegenwoordigers en andere direct betrokkenen. Daarmee is zoals de Afdeling terecht opmerkt de regierol van de Minister ten aanzien van de totstandkoming van een spoor 2-aanwijzing inderdaad begrensd.
Hiervoor is evenwel bewust gekozen. Zoals ook wordt opgemerkt in de memorie van toelichting in paragraaf 3.5.2. beschikken de zorgpartijen en de leveranciers bij uitstek over de deskundigheid om adequate eisen inzake taal en techniek op te stellen. De Minister maakt gebruik van deze deskundigheid via structuren die uitermate geschikt zijn om hiervoor te dienen, namelijk normalisatie.
De verwachting is niet dat de beperkte regierol van de Minister ten aanzien van spoor 2 ertoe leidt dat er geen eenheid van taal en techniek of interoperabiliteit tot stand komt.
Het zorgveld heeft zelf aangegeven stappen te willen zetten in het verder brengen van elektronische gegevensuitwisseling in de zorg. Aangenomen wordt dan ook dat de zorgpartijen een actieve rol zullen willen spelen bij de ontwikkeling van een NEN-norm.
Terecht wijst de Afdeling er op dat ook op dit moment het veld wel de wens heeft om tot elektronische gegevensuitwisseling te komen, maar dat dit desondanks niet altijd lukt. De verwachting is echter dat het transparante en herhaalbare proces bijdraagt aan de realiseerbaarheid van de ontwikkeling van de norm.
Immers, door middel van de Meerjarenagenda Wegiz wordt focus aangebracht en de NEN heeft ervaring met het ontwikkelen van normen met een breed scala aan partijen.
Daarnaast helpt de aanpak voor het ontwikkelen van NEN-normen naar verwachting mee aan de realiseerbaarheid. Alle partijen met inhoudelijke kennis nemen deel aan het ontwikkelen van de NEN-norm. Eerst worden de functionele eisen en wensen vanuit de gebruikers uitgewerkt, waarna ze worden vertaald in technische eisen waarbij gekeken wordt wat nu haalbaar is en wat nog gerealiseerd zal gaan worden. Waar nog geen voldoende (technische) oplossingen haalbaar zijn kunnen alvast de kaders en de haalbare afspraken in de norm worden opgenomen. Hierdoor ontstaat focus op wat er in de NEN-norm komt te staan en wat gezamenlijk nog ontwikkeld moet worden.
Wat ook naar verwachting zal bijdragen aan de realiseerbaarheid van de NEN-normen, zijn de richtinggevende kaders die de Minister meegeeft, waardoor aan de voorkant al veel helderder is waar geen aandacht meer aan hoeft te worden besteed bij de ontwikkeling van de NEN-norm.
Ten slotte gaat naar verwachting de ontwikkeling van generieke functies die herhaald gebruikt kunnen worden in de te ontwikkelen NEN-normen aan de realiseerbaarheid bijdragen, aangezien de focus dan gelegd kan worden op die aspecten van een gegevensuitwisseling die nodig is om volledige interoperabiliteit te bereiken.
Naar aanleiding van de opmerking van de Afdeling is in paragraaf 10.1 van de memorie van toelichting uitdrukkelijk toegevoegd dat de regierol van de Minister ten aanzien van een spoor 2-aanwijzing en de beleidskeuze om interoperabiliteit alleen tot stand te laten komen via een normalisatie-traject, onderdeel is van de evaluatie van het wetsvoorstel.
De beperkte rol van de Minister geldt bovendien niet voor een spoor 1 aanwijzing. Wanneer een gegevensuitwisseling geplaatst is op de Meerjarenagenda Wegiz – op voorzet van het zorgveld of de Minister zelf – kan de Minister, ook zonder medewerking van het zorgveld, uiteindelijk overgaan tot een aanwijzing van die gegevensuitwisseling bij AMvB in spoor 1. Naar aanleiding van het advies van de Afdeling is een nieuwe paragraaf toegevoegd in de memorie van toelichting waarin is beschreven op welke momenten de Minister initiatief kan nemen indien dat noodzakelijk wordt geacht, en wat de gevolgen daarvan kunnen zijn (zie paragraaf 3.6 van de memorie van toelichting bij onderhavig wetsvoorstel).
Volledigheidshalve wordt opgemerkt dat de regierol van de Minister uiteraard niet is beperkt tot de wettelijk vastgelegde taken en bevoegdheden. De Minister kan immers ook regie nemen door bijvoorbeeld te sturen op een prominente plek van gestandaardiseerde elektronische gegevensuitwisseling in convenanten zoals Hoofdlijnenakkoorden en door gebruik te maken van versnellingsprogramma’s.
Ten aanzien van de alternatieve benadering van de Afdeling inzake de gevolgen van de prioriteringslijst, het volgende. De Meerjarenagenda is een beleidsvoornemen om met een gegevensuitwisseling aan de slag de gaan. Voordat besloten kan worden of een gegevensuitwisseling definitieve kan worden aangewezen bij AMvB, moeten nog stappen gezet worden. Zoals het uitvoeren van een MKBA of een volwassenheidsscan.
Daarna kan pas een definitieve oordeel worden gegeven of aanwijzing plaats kan vinden en of een spoor 2 aanwijzing opportuun is of dat (voorlopig) voor een spoor 1 aanwijzing wordt gekozen. De betekenis van de Meerjarenagenda Wegiz is de transparantie voor het veld en de aanspreekbaarheid van de Minister om stappen te zetten, om te komen tot een aangewezen gegevensuitwisseling waarvoor de wettelijke verplichtingen gaan gelden.
De Afdeling geeft tot slot aan het van belang te achten dat goed zicht wordt gehouden op de voortgang in de realisering van de gestelde doelen van het voorstel, en om tijdig de doeltreffendheid en effecten van het voorstel in de praktijk te evalueren. Dit belang wordt gedeeld. Gezien het advies van de Afdeling, is in het wetsvoorstel een artikel toegevoegd (artikel 5.1) dat het mogelijk maakt om nadere eisen te stellen over verwerking van informatie die noodzakelijk is voor de uitvoering van de wettelijke taken (zoals de al in het wetsvoorstel opgenomen plicht om binnen 5 jaar na inwerkingtreding een evaluatie uit te voeren over de doeltreffendheid en de effecten van deze wet) of beleidsvorming. De bepaling biedt bijvoorbeeld de mogelijkheid om nadere regels te stellen over het regulier verstrekken van informatie door gecertificeerde instellingen of de Raad van Accreditatie, zodat het beleid waar nodig aangepast kan worden. Dit artikel maakt het dus beter mogelijk om zicht te houden op de werking van het wetsvoorstel.
De nieuwe grondslag om nadere regels te stellen is dusdanig breed, dat het de grondslag in artikel 3.3, eerste lid, onder d, (oud) om nadere regels te kunnen stellen inzake de uitwisseling van informatie tussen certificerende instellingen onderling en met Onze Minister in het kader van toezicht en handhaving, overbodig maakt. Deze mogelijkheid valt onder de nieuwe bepaling in artikel 5.1.
Het wetsvoorstel regelt dat gegevensuitwisselingen steeds afzonderlijk zullen worden aangewezen bij amvb. Per gegevensuitwisseling zal één NEN-norm worden aangewezen.31 De minister kan bij de ontwikkeling van de NEN-normen richtinggevende kaders meegeven, zodat de NEN-normen onderling op elkaar aansluiten en aansluiten bij het regeringsbeleid. De Afdeling acht onderlinge aansluiting van de NEN-normen van belang om de beoogde volledige interoperabiliteit te kunnen realiseren. Uit de toelichting wordt echter niet duidelijk of met richtinggevende kaders nog andere kaders worden bedoeld dan de benodigde onderlinge aansluiting, of de eveneens in de toelichting opgenomen opsomming van algemene criteria waaraan een te ontwikkelen NEN-norm in ieder geval zal moeten voldoen.32
De Afdeling acht een verduidelijking aangewezen wat deze richtinggevende kaders nog anders kunnen inhouden. Voor zover het gaat om normatieve elementen is het de Afdeling zonder nadere motivering niet duidelijk waarom deze richtinggevende kaders niet in de wettekst kunnen worden opgenomen, zodat parlementaire betrokkenheid is geborgd.33 De Afdeling adviseert in de toelichting op het voorgaande in te gaan en zo nodig het wetsvoorstel aan te passen.
De richtinggevende kaders die de Minister bij de opdrachtverlening voor de ontwikkeling van een NEN-norm meegeeft zullen steeds bestaan uit algemene kaders die in beginsel voor alle aan te wijzen gegevensuitwisselingen in spoor 2 relevant zullen zijn, en meer specifieke kaders voor de te ontwikkelen NEN-norm voor een beoogde aangewezen gegevensuitwisseling. In de memorie van toelichting is in paragraaf 3.5.4 een niet-limitatieve opsomming van algemene richtinggevende kaders opgenomen.
Naar aanleiding van de geconstateerde onduidelijkheid door de Afdeling is in paragraaf 3.5.4 van de memorie verduidelijkt dat de opsomming van eisen richtinggevende kaders betreffen. De term criteria is komen te vervallen.
De Afdeling vraagt terecht aandacht voor de onderlinge aansluiting van de NEN-normen. Bij de ontwikkeling van een NEN-norm wordt rekening gehouden met eerder verplicht gestelde NEN-normen voor eerder aangewezen gegevensuitwisselingen. Dit kan er bijvoorbeeld ook toe leiden dat een eerder tot stand gekomen NEN-norm gereviseerd zal moeten worden, om aan te sluiten bij later tot stand gekomen NEN-normen. Door de NEN is de normencommissie Informatievoorziening in de zorg 34 ingericht die elke norm op dit terrein beoordeeld op aansluiting bij en onderlinge samenhang van normen.
De Afdeling vraagt verder waarom normatieve elementen die onderdeel vormen van richtinggevende kaders niet in de wettekst zijn opgenomen, zodat parlementaire betrokkenheid is geborgd. Hierover het volgende. De enige normatieve eis die vanuit het wetsvoorstel gesteld wordt aan een aan te wijzen gegevensuitwisselingen is dat de norm moet leiden tot interoperabiliteit. Hiervoor is bewust gekozen. Zoals hierboven al is aangegeven, wordt met dit wetsvoorstel aangesloten bij de kennis en expertise van het zorg- en ICT-veld. Zo wordt voorkomen dat de wetgever eisen stelt aan een gegevensuitwisseling waaraan niet kan worden voldaan.
Het belang van het meegeven van richtinggevende kaders is om te voorkomen dat een NEN-norm tot stand komt die uiteindelijk niet zou kunnen worden aangewezen onder het wetsvoorstel. Maar het zijn met nadruk richtinggevende kaders vóóraf, waarbij nog niet voldoende zicht is op de beoogde inhoud van de NEN-norm. Er kunnen gedurende het NEN-traject goede redenen zijn waarom voor die specifieke gegevensuitwisseling voor een andere (technische) benadering wordt gekozen dan vooraf bij het startdocument van het normeringstraject werd voorzien.
De betrokkenheid van het parlement is geborgd doordat in artikel 6.1 een voorhangprocedure is opgenomen bij de uitwerking van de normstelling.
In paragraaf 3.5.4 van de memorie van toelichting is duidelijker gemaakt wat de betekenis is van de richtinggevende kaders.
Ten aanzien van de verwijzing door de Afdeling in de voetnoot naar Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (codificatie) (PbEU 2015, L 241) (ook bekend als de notificatierichtlijn) kan worden opgemerkt dat wanneer in een AMvB exclusief en dwingend verwezen wordt naar een NEN-norm die technische voorschriften stelt aan producten en diensten, de AMvB genotificeerd zal worden op grond van de door de Afdeling aangehaalde Europese richtlijn. Dit staat echter los van de richtinggevende kaders.
Het wetsvoorstel stelt een gefaseerde aanpak voor. Dit houdt in dat gegevensuitwisselingen die nog niet ver genoeg zijn om te kunnen worden aangewezen voor spoor 2, zo mogelijk wel kunnen worden aangewezen voor spoor 1. In spoor 1 kunnen generieke eisen worden gesteld aan deze gegevensuitwisseling. Hierbij gaat het om eisen aan de functionele, technische of organisatorische wijze waarop gegevensuitwisselingen moeten plaatsvinden. Het gaat daarbij om eisen die niet specifiek voor één gegevensuitwisseling, maar breder kunnen gelden. Deze eisen kunnen in de amvb worden opgenomen, maar er kan ook worden verwezen naar een NEN-norm, aldus de toelichting.35 Het is altijd de ambitie van spoor 1 naar spoor 2 te komen.
De Afdeling wijst erop dat voornoemde ambitie vereist dat de eisen die in spoor 1 aan de gegevensuitwisseling zullen worden gesteld, de ontwikkeling naar spoor 2 niet in de weg staan. Bovendien moet voorkomen worden dat zorgaanbieders die in eerste instantie moeten voldoen aan spoor 1, keuzes maken en investeringen doen die niet aansluiten bij de ontwikkeling naar spoor 2. De toelichting stelt dat dit risico kan worden voorkomen doordat het zorgveld is betrokken bij de totstandkoming van de NEN-normen.36 Daaruit spreekt de verwachting dat het zorgveld bij het formuleren van de eisen voor spoor 1 rekening zal houden met de eisen die nodig zijn voor spoor 2. De vraag is echter of deze verwachting reëel is nu de ontwikkeling van de gegevensuitwisseling door het zorgveld juist nog niet ver genoeg was om te worden aangewezen voor spoor 2. Of sprake zal zijn van desinvesteringen is te meer van belang omdat de investeringskosten voor de implementatie van de wettelijk verplichte gegevensuitwisseling moeten worden opgebracht uit de bedrijfsvoeringmiddelen van de zorgaanbieders.37 De Afdeling adviseert hierop in de toelichting nader in te gaan.
Bij aanwijzing van een gegevensuitwisseling in spoor 1 zal steeds het doel zijn om uiteindelijk tot een aanwijzing te komen in spoor 2, omdat alleen in spoor 2 volledige interoperabiliteit bereikt zal gaan worden. De Afdeling spreekt haar zorg uit over het risico dat in het kader van spoor 1 investeringen worden gedaan door zorgaanbieders die niet aansluiten bij de ontwikkeling naar spoor 2.
Met de Afdeling wordt het van belang geacht het risico op desinvesteringen zoveel mogelijk te beperken. Hoewel dit risico niet volledig kan worden uitgesloten zal, om dit risico wel zoveel mogelijk te beperken, bij een spoor 1-aanwijzing zoveel mogelijk worden geborgd dat eventuele opgelegde eisen geen belemmering vormen in een overgang naar spoor 2. In de nota van toelichting bij de AMvB, waarbij de gegevensuitwisseling in spoor 1 wordt aangewezen, zal nadrukkelijk aandacht worden geschonken aan hoe dit ten aanzien van de concrete gegevensuitwisseling uitpakt.
Het risico op desinvestering wordt ook beperkt doordat zorgaanbieders vertegenwoordigd zijn bij het opstellen van de NEN-norm voor spoor 2. De verwachting is dat door een aanwijzing in spoor 1 de ontwikkelingen in die gegevensuitwisseling versnellen. Daar waar op het moment van aanwijzen van de gegevensuitwisseling in spoor 1 nog onvoldoende aanknopingspunten waren om over te gaan tot de ontwikkeling van een NEN-norm, wordt verwacht dat door het verplicht elektronisch uitwisselen van gegevens de noodzaak om te komen tot een interoperabele uitwisseling zal toenemen. Door het elektronisch uitwisselen van de gegevens zullen sneller de knelpunten naar voren komen, die via een normeringstraject een oplossing zouden moeten krijgen. Doordat zorgaanbieders betrokken worden bij het normeringstraject kunnen ze verzekeren dat eventuele (technische) keuzes die gemaakt zijn bij een spoor 1 aanwijzing, meegewogen worden in de NEN-norm.
Het risico voor desinvestering wordt ook beperkt doordat functies die in veel specifieke gegevensuitwisselingen voor komen, zoals identificatie en autorisatie van de zorgverlener, afzonderlijk worden of zullen worden genormeerd in normen voor generieke functies. Investeringen in oplossingen voor deze generieke functies kunnen daardoor worden hergebruikt in veel specifieke gegevensuitwisselingen.
Naar aanleiding van het advies van de Afdeling is paragraaf 8.1.1. van de memorie van toelichting aangevuld.
Verder merkt de Afdeling op dat in het voorstel, noch in de toelichting een termijn wordt genoemd waarbinnen een gegevensuitwisseling die op de meerjarenagenda is geplaatst gereed moet zijn voor aanwijzing voor spoor 1, respectievelijk spoor 2. Evenmin wordt een termijn genoemd waarbinnen een gegevensuitwisseling over moet kunnen gaan van spoor 1 naar spoor 2. Mogelijk is dergelijke termijn niet in algemene zin te beschrijven, maar zonder nadere motivering is niet duidelijk waarom bijvoorbeeld niet per gegevensuitwisseling een termijn kan worden geformuleerd. Het expliciet benoemen van een termijn kan bovendien duidelijkheid verschaffen voor het doen van investeringen. De Afdeling adviseert hierop in de toelichting nader in te gaan.
De Afdeling adviseert om in het wetsvoorstel een termijn te benoemen waarbinnen een gegevensuitwisseling die op de Meerjarenagenda Wegiz is geplaatst gereed moet zijn voor aanwijzing op spoor 1, respectievelijk spoor 2. Zoals hiervoor is opgemerkt ten aanzien van de voorgestelde alternatieve benadering van de Afdeling, leidt plaatsing op de Meerjarenagenda Wegiz niet automatisch tot een aanwijzing van de gegevensuitwisseling bij AMvB. De Meerjarenagenda is een beleidsvoornemen van de Minister om met een gegevensuitwisseling aan de slag de gaan. De Meerjarenagenda Wegiz is een beleidsvoornemen van de Minister om met een gegevensuitwisseling aan de slag de gaan. Om daadwerkelijk over te gaan tot een wettelijke verplichting is een nadere beoordeling noodzakelijk op een later moment in het proces, zoals hiervoor is aangegeven als antwoord op de alternatieve benadering van de Afdeling. Hierdoor kan evenmin bij of krachtens het wetsvoorstel een termijn worden genoemd om over te gaan tot een wettelijk verplichting.
Dit laat onverlet dat met de Afdeling wordt gedeeld, dat het wenselijk is om het zorgveld na plaatsing van een gegevensuitwisseling op de Meerjarenagenda op korte termijn duidelijkheid te bieden. Het advies van de Afdeling om een termijn te stellen wordt dan ook gevolgd, in die zin dat in paragraaf 3.2 van de memorie van toelichting is uiteengezet dat het streven is om binnen een jaar na plaatsing op de Meerjarenagenda Wegiz, de toetsing van onder andere een maatschappelijke kosten -en batenanalyse (MKBA) en volwassenheidscan af te ronden. Ook is het streven dat binnen die termijn, aan de hand van die toetsen, wordt bepaald of een aanwijzing in spoor 2 (op afzienbare termijn) haalbaar is of dat eerst een spoor 1 aanwijzing gewenst is. Beoogd is ook om binnen deze termijn de aanpak en verwachte doorlooptijd van de beoogde gegevensuitwisseling te ontwikkelen. Zo zal zo spoedig mogelijk de benodigde duidelijkheid worden geboden, met het oog op het al dan niet doen van investeringen.
Ten slotte wijst de Afdeling in dit verband erop dat mede aan de hand van de uit te voeren maatschappelijke kosten -en baten analyse wordt beoordeeld of een gegevensuitwisseling wordt aangewezen in spoor 1, dan wel in spoor 2. De daarbij te hanteren criteria kunnen technisch, inhoudelijk, economisch en bestuurlijk van aard zijn, aldus de toelichting.38 Gelet op het dwingende karakter van de verplichtingen die uit de aanwijzing voor spoor 1, respectievelijk spoor 2 voortvloeien, acht de Afdeling het noodzakelijk de criteria voor het aanwijzen van een gegevensuitwisseling voor spoor 1, respectievelijk spoor 2, in de wettekst op te nemen.
Naar aanleiding van deze opmerking van de Afdeling is afgestapt van de term ‘criteria’ in deze context, omdat deze verwarrend kan zijn. Er is namelijk geen vaste lijst van criteria waaraan een gegevensuitwisseling wordt getoetst om te bezien of een aanwijzing in spoor 1 of spoor 2 zal plaatsvinden. In paragraaf 3.4 van de memorie van toelichting is naar aanleiding van de opmerking van de Afdeling verduidelijkt, dat bij de beoordeling of een gegevensuitwisseling wordt aangewezen in spoor 1, dan wel in spoor 2 technische, inhoudelijke, economische en bestuurlijke invalshoeken worden gehanteerd die bijdragen aan de beoordeling van toegevoegde waarde, realiseerbaarheid en draagvlak. Ook is in deze paragraaf van de memorie van toelichting verduidelijkt dat de uitkomsten van deze invalshoeken niet zonder meer voor alle gegevensuitwisselingen te vergelijken zijn, omdat gegevensuitwisselingen zelf onderling verschillen. De onderbouwing wordt daarom per uitwisseling met behulp van een zorgvuldig gewogen proces vastgesteld.
In beginsel wordt in regelgeving niet op dwingende wijze verwezen naar NEN-normen.39 Het dwingend opleggen van normalisatienormen past onder meer niet bij het vrijwillige karakter van het systeem van normalisatie. Daarnaast rust op normalisatienormen auteursrecht. Zij kunnen alleen tegen betaling bij het Nederlandse Normalisatie-instituut worden verkregen. Het is daarom gebruikelijk om in regelgeving waarin wordt verwezen naar NEN-normen, een weerlegbaar rechtsvermoeden op te nemen waarbij het volgen van de norm het vermoeden oplevert dat aan de eis is voldaan.
Het voorstel wijkt van dit uitgangspunt af. Uit de toelichting blijkt dat bij Amvb per gegevensuitwisseling slechts één NEN-norm zal worden aangewezen. Weliswaar zullen de licentiekosten verbonden aan de NEN-normen worden afgekocht, maar er wordt geen clausule opgenomen tot erkenning van andere vergelijkbare normen, waaronder de normen die zijn ontwikkeld in het buitenland.40
Hoewel er situaties denkbaar zijn waarin het dwingend voorschrijven van NEN-normen noodzakelijk is, doet zich de vraag voor of dat voor onderhavige situatie ook opgaat.41
Volgens de toelichting is de exclusieve toepassing van de NEN-normen noodzakelijk om de gegevensuitwisseling tussen zorgverleners tot stand te brengen en een goede werking daarvan te kunnen garanderen.42 Maar om interoperabiliteit te bereiken, lijkt de NEN-norm niet per definitie het enige geschikte middel om dat doel te bereiken. Ook normalisatienormen die tot stand zijn gebracht in andere lidstaten zouden die interoperabiliteit kunnen verzekeren. De erkenning van andere normen, zoals die afkomstig uit het buitenland, zal, zoals in de toelichting wordt aangegeven alleen op een later moment mogelijk kunnen zijn. Het vrije verkeer van diensten en goederen wordt door het voorstel daarom beperkt.
Een dragende motivering waarom het noodzakelijk is om de erkenning van andere vergelijkbare normen op voorhand toch uit te sluiten, wordt in de toelichting verder niet geboden. De ontwikkelingen in het buitenland staan – zoals de toelichting wel in algemene zin wordt onderkend – niet stil. In EU-verband wordt bijvoorbeeld al gestreefd naar interoperabiliteit om de uitwisseling van, in ieder geval de elektronische medische dossiers van patiënten, in geval van grensoverschrijdende zorg mogelijk te maken. En in dat verband wordt het gebruik van open normen ook aanbevolen.43
De Afdeling adviseert om aan het voorgaande in de toelichting nader aandacht te besteden, en een dragende motivering te bieden voor de noodzaak van het exclusief en dwingend voorschrijven van de NEN-normen. Als die motivering niet kan worden gegeven, adviseert zij het voorstel aan te passen en een clausule op te nemen om erkenning van andere vergelijkbare normen ook mogelijk te maken.
De Afdeling adviseert om nader te motiveren waarom een erkenning van andere vergelijkbare normen op voorhand worden uitgesloten. Hierover kan het volgende worden opgemerkt.
Een clausule tot wederzijdse erkenning is eigenlijk alleen voorstelbaar als de materiële eisen waaraan getoetst wordt in wet- en regelgeving zijn opgenomen. De eisen die gesteld worden aan een gegevensuitwisseling worden echter op grond van dit wetsvoorstel opgenomen in een norm; de enige materiële eis die in het wetsvoorstel is opgenomen is dat er interoperabiliteit bereikt moet worden met de norm. Zoals hiervoor is aangegeven bij de beantwoording van vraag van de Afdeling in 5, onder a, is er niet voor gekozen om andere eisen in het wetsvoorstel op te nemen.
Een wederzijde erkenning van andere normen heeft tot gevolg dat die normen getoetst zullen worden aan het vereiste van interoperabiliteit, en daaraan op zichzelf kunnen voldoen. Maar deze erkenning heeft desondanks als risico dat er onderling geen interoperabiliteit ontstaat. Door de erkenning van een andere norm wordt de gegevensuitwisseling als geheel dan niet interoperabel, wat nu juist beoogd wordt met dit wetsvoorstel. Interoperabiliteit is namelijk geen vaststaand begrip, maar is de uitkomst van een norm die een gegevensuitwisseling mogelijk maakt. Er komt geen interoperabiliteit tot stand als er verschillende normen gelden voor eenzelfde gegevensuitwisseling. De afgelopen jaren is precies dit probleem opgetreden bij de digitalisering in de zorg. Om voor specifieke gegevensuitwisselingen interoperabiliteit te borgen is het daarom noodzakelijk om één norm per uitwisseling vast te stellen.
Dit laat onverlet dat de ontwikkelingen in het buitenland, waar de Afdeling met reden aandacht voor vraagt, in de toekomst relevant kunnen zijn bij de aanwijzing van gegevensuitwisselingen. Inzet van Europese of internationale normen is geborgd in de werkwijze van NEN, die vooraf aan een normontwikkeling altijd het bestaan van eventuele internationale normen verkent en geen Nederlandse norm ontwikkelt als er al een Europese of internationale norm beschikbaar is, die zonder wijzigingen in Nederland kan worden geïmplementeerd. Daarnaast is het gebruik van en normatief verwijzen naar Europese of internationale normen en standaarden een van de algemene richtinggevende kaders die aan NEN in de opdracht wordt meegegeven. Het gebruik van Europese of internationale normen en standaarden is daarmee een leidend principe voor iedere norm, die onder de auspiciën van NEN wordt ontwikkeld.
Voor de nu geprioriteerde specifieke gegevensuitwisselingen bestaan Europees of internationaal geen normen, die in voldoende mate aansluiten op de behoefte vanuit Nederland. De ervaring leert ook dat internationale en Europese normen vaak een te hoog abstractieniveau hebben om tot echte implementatie te kunnen komen. Een specificering op nationaal niveau is hiervoor vereist. Mocht bij een toekomstige specifieke gegevensuitwisseling wel een internationale of Europese norm beschikbaar zijn met het benodigde detailniveau, dan ligt het in de rede dat deze Europese of internationale norm wordt gebruikt. Maar ook dan is er dus sprake van één norm voor desbetreffende gegevensuitwisseling, namelijk de internationale norm.
Naar aanleiding van de opmerking van de Afdeling is het wetsvoorstel aangevuld door naast naar NEN-normen ook naar andere Europese en internationale normen te kunnen verwijzen. Ook is in paragraaf 3.5.3 van de memorie van toelichting nader ingegaan op het onderwerp wederzijdse erkenning en de inzet van Europese of internationale normen.
Het wetsvoorstel voorziet expliciet niet in het uitwisselen van gegevens tussen zorgverleners en patiënten.44 De toelichting zet uiteen dat voor de informatie-uitwisseling tussen zorgverlener en patiënt een afzonderlijk MedMij-afsprakenstelsel45 is ingericht. Dit stelsel moet het mogelijk maken voor een patiënt om veilig te kunnen communiceren met alle plekken waar informatie van de patiënt is opgeslagen.
De toelichting stelt verder dat de MedMij-afspraken zoveel mogelijk gebruik maken van het elektronisch uitwisselen van gegevens tussen zorgverleners. Het gaat daarbij om dezelfde gegevens en er kan gebruik worden gemaakt van dezelfde standaarden.46 Uit de toelichting blijkt echter niet dat op enigerlei wijze is geborgd dat bij de ontwikkeling van de NEN-normen voor aangewezen gegevensuitwisselingen rekening zal worden gehouden met de ontwikkelingen die plaatsvinden in het kader van MedMij. De Afdeling adviseert hierop in de toelichting nader in te gaan.
Naar aanleiding van het advies van de Afdeling is in paragraaf 2.3.4 van de memorie van toelichting nader ingegaan op dat bij de ontwikkeling van de NEN-normen rekening moet worden gehouden met het MedMij-afsprakenstelsel. In paragraaf 3.5.4 is toegevoegd dat de Minister als richtinggevend kader bij de opdracht tot ontwikkeling van een NEN-norm meegeeft dat de norm zoveel mogelijk uit dient te gaan van bestaande afsprakenstelsels, zoals het MedMij-afsprakenstelsel.
Van de gelegenheid is gebruik gemaakt om wijzigingen door te voeren in het wetsvoorstel en de bijbehorende memorie van toelichting.
In de eerste plaats zijn er in het wetsvoorstel verschillende redactionele en wetstechnische wijzigingen doorgevoerd. Zo is een aantal artikelen in het wetsvoorstel ten gevolge van wijzigingen vernummerd, zijn verwijzingen dientengevolge aangepast en zijn redactionele correcties doorgevoerd.
Verder zijn enkele andere wijzigingen doorgevoerd die voor een goede invoering of uitvoering van het wetsvoorstel noodzakelijk zijn. Op deze wijzigingen wordt hieronder puntsgewijs ingegaan.
De memorie van toelichting bij het wetsvoorstel is in het verlengde van deze wijzigingen aangepast. Ook is de memorie van toelichting, zowel het algemeen als het artikelsgewijs deel, los van wijzigingen in artikelen op een aantal onderdelen verduidelijkt.
1. In artikel 1.4, tweede lid, is de koppeling tussen welke gegevens uitgewisseld moeten worden die noodzakelijk zijn voor het leveren van goede zorg aan de cliënt en hoe die uitwisseling plaats moet vinden verduidelijkt. Om daadwerkelijk tot een aanwijzing van een gegevensuitwisseling bij AMvB te komen is de aanwezigheid van een kwaliteitsstandaard of wettelijke basis die bepaalt welke gegevens moeten worden uitgewisseld, randvoorwaardelijk. Dat geldt voor een aanwijzing in spoor 1 alsook in spoor 2. In paragraaf 10.3 van de memorie van toelichting is nieuw toegelicht dat deze koppeling tussen het bestaan van een passende kwaliteitsstandaard of een wettelijke basis en het aanwijzen van een gegevensuitwisseling in artikel 1.4, tweede lid, pas over 5 jaar zal gelden. Deze overgangstermijn is nodig om de kwaliteitsstandaarden die betrekking hebben op gegevensuitwisselingen waarvan beoogd is die met prioriteit onder het wetsvoorstel te reguleren, vast te stellen of te actualiseren.
2. De plicht voor zorgaanbieders om er op toe te zien dat in een aangewezen gegevensuitwisseling bij het uitwisselen van gegevens ten minste gebruik wordt gemaakt van een elektronische infrastructuur, geldt logischerwijs enkel voor de zorgverleners die onder de verantwoordelijkheid van de betreffende zorgaanbieder vallen en niet voor álle zorgverleners. Dit is in artikel 2.1 verduidelijkt.
3. In artikel 3.2, tweede lid, onder b, is verduidelijkt dat de Minister niet alleen voorwaarden kan verbinden aan de aanwijzing van een certificerende instelling, maar ook aan de schorsing of intrekking daarvan.
4. In artikel 3.3, eerste lid, onderdeel b, is geëxpliciteerd dat met ‘werkzaamheden die onder het verstrekken van certificaten’ werd bedoeld ‘het verstrekken, weigeren, schorsen of intrekken van een certificaat’.
5. Er is in hoofdstuk 3 een artikel ingevoegd houdende een grondslag om bij algemene maatregel van bestuur nadere regels te stellen over de vergoeding van de kosten die betrekking hebben op certificering, wanneer die door de Minister wordt verzorgd. Aan certificering zijn immers kosten verbonden. Normaliter worden die door de aanvrager betaald aan de certificerende instellingen. De Minister kan echter overgaan tot certificering, indien de continuïteit van het uitwisselen van gegevens in een aangewezen gegevensuitwisseling dit vereist (artikel 3.2, zevende lid). Om te voorkomen dat de overheid – en dus de belastingbetaler – de kosten dragen voor een partij die een marktactiviteit verricht, wat onwenselijk is en overigens ook staatssteunvragen opwerpt, zullen de kosten worden verdisconteerd. Beoogd is dat bij algemene maatregel van bestuur rekenregels worden opgenomen en bij ministeriële regeling tarieven worden vastgesteld.
6. In artikel 4.1 is het tweede lid (oud) vervallen. Dit lid stipuleerde dat het toezicht op de naleving mede gericht moest zijn op het bevorderen van het gebruik van standaarden door zorgaanbieders en zorgverleners. Dit lid was opgenomen met het oog op de aansluiting bij bepalingen inzake toezicht uit de Wet kwaliteit, klachten en geschillen zorg. Bij nader inzien is dit lid overbodig, aangezien het gebruik van de normen verplicht wordt gesteld.
7. In artikel 4.2, vijfde lid, was al bepaald dat een last onder dwangsom kan worden opgelegd als de zorgaanbieder of zorgverlener die geen medewerking verleent aan de inzage van gegevens als bedoeld in artikel 4.1, derde lid. Uit artikel 4.1, derde lid, volgt echter dat de ambtenaren die belast zijn met het toezicht op de naleving van het bepaalde bij of krachtens het wetsvoorstel niet alleen bevoegd zijn tot inzage in gegevens, maar ook bevoegd zijn om kopieën van die gegevens te maken of onder voorwaarden de gegevens voor korte tijd mee te nemen. Daarnaast mogen inlichtingen worden gevorderd. Gezien de samenhang van deze verplichtingen, was het niet logisch dat de mogelijkheid om een last onder dwangsom op te leggen enkel zag op het niet verlenen van medewerking aan inzage. De bevoegdheid om een last onder dwangsom op te leggen is daarom verbreed naar al deze verplichtingen.
8. Aangezien de Wet van 9 september 2020 tot wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het creëren van een bevoegdheid voor Onze Minister om een voorgedragen kwaliteitsstandaard vanwege financiële gevolgen niet in het openbaar register op te nemen (financiële toetsing voorgedragen kwaliteitsstandaarden) (Stb. 2020, 346) met ingang van 1 juli 2021 in werking zal treden (Stb. 2021, 143), zijn de artikelen 6.2 en 6.6 aangepast en de samenloopbepalingen hieromtrent geschrapt.
9. In artikel 6.3 (oud, vernummerd tot artikel 7.3) stond een wijziging van de Wet publieke gezondheid die er toe leidde dat de grondslag om bij regeling nadere eisen te stellen aangepast werd. Bij nader inzien kan de grondslag voor de ministeriële regeling echter in zijn geheel vervallen als de jeugdgezondheidzorg als gegevensuitwisseling wordt aangewezen bij AMvB. In paragraaf 5.1 en de artikelsgewijze toelichting bij artikel 7.3 van de memorie van toelichting is dit toegelicht.
10. Er zijn samenloopbepalingen ingevoegd om de samenloop met de Wet van 3 maart 2021 tot wijziging van de Algemene wet bestuursrecht en enkele andere wetten in verband met het nieuwe omgevingsrecht en nadeelcompensatierecht (Stb. 2021, 135) te regelen.
Ik moge U verzoeken, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.
De Minister voor Medische Zorg, T. van Ark.
No. W13.20.0398/III
’s-Gravenhage, 24 februari 2021
Aan de Koning
Bij Kabinetsmissive van 5 november 2020, no.2020002254, heeft Uwe Majesteit, op voordracht van de Minister voor Medische Zorg, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg), met memorie van toelichting.
Het wetsvoorstel regelt dat zorgverleners kunnen worden verplicht om aangewezen gegevensuitwisselingen (ten minste) elektronisch te laten plaatsvinden. Ook kunnen eisen worden gesteld aan, onder meer, taal en techniek om interoperabiliteit tussen de systemen van de zorgverleners te realiseren.
De minister stelt een meerjarenagenda op voor het aanwijzen van prioritaire gegevensuitwisselingen. De betrokken partijen in het veld dragen echter in belangrijke mate verantwoordelijkheid voor de realisatie van de elektronische gegevensuitwisseling. Als sluitstuk kan de minister bij algemene maatregel van bestuur (amvb) uiteindelijk de gegevensuitwisselingen aanwijzen die ten minste elektronisch zullen moeten plaatsvinden, eventueel op een nader voorgeschreven wijze. Daarmee wordt elektronische gegevensuitwisseling verplicht. Het wetsvoorstel regelt verder geen nieuwe grondslagen voor gegevensuitwisseling tussen zorgverleners.
De Afdeling advisering van de Raad van State acht het aangewezen dat de toelichting nadrukkelijker aandacht besteedt aan de gevolgen van het wetsvoorstel voor de patiënt en de wijze waarop patiënten worden voorgelicht over de inwerkingtreding van het voorstel. Het is van belang dat patiënten op een laagdrempelige en transparante wijze inzicht krijgen in de manier waarop gegevens worden uitgewisseld en bij wie zij terecht kunnen om hun gegevens te kunnen controleren en eventuele fouten te kunnen herstellen.
De Afdeling constateert verder dat de voorgestelde aanpak vooral beoogt een balans te vinden tussen versterking van de regierol van de minister en realisatie door het zorgveld en de ICT-leveranciers. De Afdeling acht het echter een risico voor het bereiken van volledige interoperabiliteit dat de invulling van de regierol van de minister in belangrijke mate wordt begrensd door de benodigde medewerking van betrokken partijen en het bestaande draagvlak. Het zorgveld en de ICT-leveranciers zijn er immers tot op heden nog onvoldoende in geslaagd om interoperabiliteit tot stand te brengen en bovendien zullen de kosten ten laste komen van de bedrijfsvoering van zorgaanbieders.
Ten slotte roept de beoogde ontwikkeling van de NEN-normen een aantal vragen op, die onder meer zien op de volgtijdelijkheid en onderlinge aansluiting van de verschillende NEN-normen en de normering op het niveau van de wet.
De Afdeling advisering adviseert het voorstel en de toelichting op de bovengenoemde punten aan te passen.
Zorgverleners maken momenteel gebruik van verschillende methoden om gegevens over patiënten met andere zorgverleners uit te wisselen.1 Er worden zowel elektronische, als niet elektronische methoden gebruikt om gegevens te bewaren en uit te wisselen. Daar waar gegevens al wel via de elektronische weg worden uitgewisseld is niet altijd sprake van een eenheid in taal en techniek. Dit kan betekenen dat informatie niet, of niet tijdig wordt uitgewisseld tussen zorgverleners, en ook dat er onjuiste gegevens worden uitgewisseld. Gevolg daarvan kan zijn dat extra administratieve lasten ontstaan, extra onderzoeken moeten worden verricht en een vergroot risico bestaat op vermijdbare medische fouten.2
Als reden voor het gebrek aan eenheid in taal en techniek wordt aangevoerd dat een integrale aanpak ontbreekt en de verschillende betrokken partijen uiteenlopende belangen hebben. Zorgaanbieders, zorgverleners en aanbieders van informatieproducten of -diensten werken parallel en in decentrale verbanden aan digitalisering van gegevensuitwisselingen. Er is daardoor geen zorgbrede focus op welke gegevensuitwisselingen als eerste elektronisch moeten verlopen, wat tot gevolg heeft dat er geen zorgbrede afspraken worden gemaakt op het gebied van taal en techniek.3 Dit wordt versterkt doordat aanbieders van informatietechnologieproducten of -diensten graag investeren in landelijke schaalbare oplossingen en niet in maatwerkoplossingen, aldus de toelichting.4
De Tweede Kamer en organisaties die betrokken zijn bij het Informatieberaad Zorg hebben daarom gevraagd om meer regie van de minister voor Medische Zorg en Sport (hierna: de minister) om te komen tot elektronische gegevensuitwisseling tussen zorgverleners.5 Het wetsvoorstel beoogt daaraan tegemoet te komen.
Eerder is een wetsvoorstel inzake een landelijk elektronisch patiëntendossier (EPD) voorbereid en bij de Tweede en Eerste Kamer in behandeling geweest.6 Het EPD was een digitaal systeem waarmee de uitwisseling van gegevens van patiënten tussen zorgverleners onderling ook mogelijk werd gemaakt. Het systeem bevatte de verwijzingen naar individuele gedigitaliseerde dossiers waarin de gegevens van de patiënten te vinden waren. Het EPD bevatte zelf geen medische gegevens, maar via een landelijk schakelpunt (LSP) konden de dossiers beschikbaar worden gesteld zodat uitwisseling en inzage mogelijk werd. Zorgverleners werden verplicht om hieraan deel te nemen. In 2011 heeft de Eerste Kamer het voorstel verworpen vanwege bezwaren omtrent de bescherming van de rechten van patiënten, en het recht op eerbiediging van het privéleven.
Nadien is met het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens bepaald dat als een zorgverlener gegevens van een patiënt beschikbaar stelt via een elektronisch uitwisselingssysteem, hij daarvoor dan expliciet toestemming moet vragen aan de patiënt.7 Nadere regels over de elektronische gegevensuitwisseling in de zorg zijn opgenomen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabpz). Hierin is ook bepaald dat een patiënt het recht heeft om kosteloos en elektronisch afschrift te krijgen van wie bepaalde informatie heeft ingezien en op welk moment (logging).8 De bepaling van de Wabpz over het recht van de patiënt om bij het verlenen van toestemming voor de gegevensuitwisseling te kunnen kiezen voor alle of slechts bepaalde gegevens (gespecificeerde toestemming), is nog niet in werking getreden, omdat er nog gezocht wordt naar een werkbare manier om aan dat recht invulling te geven.9
In de praktijk wordt al gewerkt met onder meer een persoonlijke gezondheidsomgeving (PGO), om de elektronische uitwisseling van gegevens tussen zorgverleners en patiënt mogelijk te maken. Ook wordt op beperkte schaal gewerkt met een landelijk schakelpunt waardoor bepaalde zorgverleners gegevens over patiënten onderling kunnen uitwisselen.10
Het wetsvoorstel beoogt om volledige interoperabiliteit bij de elektronische gegevensuitwisseling tussen zorgverleners te bereiken. In meer algemene zin beoogt het voorstel om daarmee de verlening van ‘goede zorg’ te bevorderen.11 Dit moet worden bereikt door het verplicht stellen van het (ten minste) elektronisch uitwisselen van gegevens, waarbij uiteindelijk wordt gestreefd naar normalisatie van eisen aan taal en techniek. Bij amvb worden bepaalde gegevensuitwisselingen aangewezen die ten minste elektronisch zullen moeten gaan plaatsvinden. Daarnaast bevat het voorstel een grondslag om bij amvb nadere eisen te kunnen stellen aan de functionele, technische of organisatorische wijze waarop gegevensuitwisseling tussen zorgverleners plaatsvindt, en aan de te gebruiken ‘taal en techniek’ waardoor de gegevensuitwisseling interoperabel wordt (normalisatie).12
Het voorstel bevat een verplichting voor de minister om de Tweede Kamer te informeren over de gegevensuitwisselingen die aangewezen kunnen gaan worden, de zogeheten Meerjarenagenda Wegiz.13 De minister houdt deze agenda bij en bepaalt – in overleg met het zorgveld – welke gegevensuitwisselingen hij prioritair acht. Het zorgveld kan daarvoor ook bepaalde gegevensuitwisselingen aandragen.
Relevante criteria om een gegevensuitwisseling aan de meerjarenagenda toe te voegen zijn, blijkens het voorstel14 en de toelichting15:
– Toegevoegde waarde voor het verlenen van goede zorg: het risico op vermijdbare fouten moet merkbaar kleiner worden en relevant is verder hoeveel patiënten direct gezondheidsvoordeel hebben van een wettelijke verplichting.
– De realiseerbaarheid: Duidelijk moet zijn welke gegevens verplicht uitgewisseld moeten worden. Dat wil zeggen dat deze in een kwaliteitsstandaard moeten zijn beschreven. Deze kwaliteitsstandaard moet door betrokken partijen zelf worden opgesteld. Daarnaast kan de minister het Zorginstituut Nederland (Zin) vragen een kwaliteitsstandaard op de meerjarenagenda van het Zin te plaatsen. Het Zin kan zo nodig gebruik maken van de doorzettingsmacht. Verder zal het Zin toetsen of de kwaliteitsstandaard sectoroverstijgende gegevensuitwisseling mogelijk maakt. Daarnaast moet het technisch mogelijk zijn dat de gegevens worden uitgewisseld, bijvoorbeeld door landelijke dekking van onderling verbonden infrastructuren.
– Ten slotte geldt in beginsel dat voor het plaatsen van een gegevensuitwisseling op de meerjarenagenda er voldoende draagvlak moet zijn bij het veld.
In totaal heeft de minister inmiddels dertien gegevensuitwisselingen als prioritair aangewezen.16 De minister heeft aangekondigd om als eerste, bij amvb, de elektronische gegevensuitwisseling verplicht te stellen voor het digitaal receptenverkeer, basisgegevensset zorg ziekenhuis, beelduitwisseling en verpleegkundige overdracht.17
Zoals verder uit de toelichting, en uit verschillende brieven aan de Tweede Kamer blijkt, is het de bedoeling om elektronische gegevensuitwisseling zo nodig in fases in te voeren. Daarbij worden twee ‘sporen’ voorgesteld.
Spoor 1 houdt in dat een verplichting tot elektronische gegevensuitwisseling wordt ingevoerd, waaraan eventueel ook algemene technische eisen kunnen worden gesteld.
In spoor 2 worden bij amvb eisen gesteld die zien op het op genormaliseerde wijze uitwisselen van specifieke gegevens (de eisen voor taal en techniek) en op de functionele, technische of organisatorische wijze waarop gegevensuitwisseling moet plaatsvinden.18 In de amvb zal (statisch) worden verwezen naar de normen waarin die eisen staan. Daarbij kan het alleen gaan om NEN-normen. Per gegevensuitwisseling wordt slechts één NEN-norm aangewezen.19 Alle normen waarnaar verwezen wordt, worden opgesteld in opdracht van de minister. Bij de ontwikkeling van NEN-normen per gegevensuitwisseling geeft de minister richtinggevende kaders mee, zodat de NEN‑normen onderling op elkaar en op het regeringsbeleid aansluiten.20 Als de ontwikkelde norm niet voldoet aan de richtinggevende criteria van de minister kan dat ertoe leiden dat de norm niet wordt aangewezen bij Amvb.
Het voorstel bevat verder bepalingen over (het proces van) certificering van de aanbieders van informatietechnologie- product en diensten. Degene die een informatietechnologieproduct of -dienst aanbiedt aan een zorgaanbieder of een informatietechnologieproduct of -dienst ondersteunt, dient voor de desbetreffende producten of diensten op grond van het voorstel over een certificaat te beschikken.21 De minister wijst de certificerende instellingen aan.
Het is aan de zorgaanbieders om, zodra aanwijzing bij amvb plaatsvindt, erop toe te zien dat zorgverleners ten minister op elektronische wijze gegevens uitwisselen, en dat de eisen die bij amvb aan deze gegevensuitwisselingen zijn gesteld, worden nageleefd.22 Bovendien zal de elektronische uitwisseling van aangewezen gegevens als randvoorwaarde gelden voor het verlenen van goede zorg. Ten slotte bevat het voorstel een aantal bepalingen over het toezicht en de handhaving op de naleving van de verplichtingen.23
Het voorstel heeft voornamelijk tot doel elektronische gegevensuitwisseling tussen zorgverleners te bewerkstelligen. Het bevat daarom geen voorschriften voor de gegevensuitwisseling tussen zorgverleners en patiënten. Evenmin regelt het voorstel dat zorgverleners in meer of andere situaties gegevens van de patiënt mogen uitwisselen. Aan de bestaande grondslagen voor gegevensuitwisseling, alsmede de uitoefening van de rechten van betrokkenen die zijn opgenomen in de Algemene Verordening Gegevensbescherming (AVG), wordt niet getornd.24 Dat neemt niet weg dat wanneer volledige interoperabiliteit wordt bereikt, de verandering in de gegevensuitwisseling voor patiënten merkbaar zal zijn.
De Afdeling onderschrijft dat het digitaal beschikbaar maken van gegevens voordelen met zich kan brengen, voor zorgverleners, maar ook voor patiënten. Het kan er uiteindelijk aan bijdragen dat een meer doelmatige, betere en ook snellere zorgverlening wordt geboden. Volgens de toelichting is de verwachting dat, als gevolg van het voorstel, het risico op vermijdbare fouten en de (administratieve) lasten voor patiënten worden verkleind.25 Minder gegevens hoeven bij de patiënt te worden uitgevraagd en er hoeven minder onnodige onderzoeken – met mogelijke verkeerde behandelingen tot gevolg – te worden verricht. Verder stelt de toelichting dat het makkelijker zal worden om de elektronische gegevens met patiënten uit te wisselen, omdat gegevens als gevolg van dit voorstel elektronisch beschikbaar worden.
Naast voordelen zijn er echter ook risico’s verbonden aan de digitalisering van patiëntendossiers en de uitwisseling van deze gegevens.26 Wanneer gegevens als gevolg van de interoperabiliteit digitaal beschikbaar worden, wordt het gemakkelijker om deze gegevens te raadplegen, te bewerken en te bewaren, ook op meer systematische wijze en in grotere hoeveelheden. Daarmee beoogt het wetsvoorstel de slagkracht van de gegevensuitwisseling en -verwerking te vergroten. Dit betekent echter ook dat eventuele fouten, dan wel onjuiste of onbevoegde gegevensuitwisseling voor patiënten, grotere gevolgen kunnen hebben.
De Afdeling meent dat de toelichting hieraan ten onrechte nauwelijks aandacht besteedt en volstaat met een beknopte verwijzing naar de bestaande wet -en regelgeving voor de wijze waarop patiënten hun dossier in kunnen zien, hun gegevens kunnen controleren en eventuele fouten kunnen herstellen en bij wie ze daarvoor terecht kunnen. Evenmin wordt uit de toelichting duidelijk wanneer en op welke wijze is voorzien dat patiënten worden geïnformeerd over de gevolgen die het wetsvoorstel voor hen heeft. Patiënten moeten er op kunnen vertrouwen dat wanneer zorgverleners hun medische gegevens uitwisselen, dit op een zorgvuldige wijze gebeurt. Dat wil zeggen; dat niet meer, of andere gegevens dan noodzakelijk worden uitgewisseld en dat dit niet door onbevoegde personen gebeurt. Ook met het oog op het maatschappelijk draagvlak van de met het wetsvoorstel beoogde omslag is dat essentieel.
De Afdeling acht een nadere, en meer precieze toelichting over de gevolgen van het voorstel voor burgers ook geboden gelet op een aantal verplichtingen die in de AVG zijn opgenomen. Zorgaanbieders blijven als ‘verwerkingsverantwoordelijken’ gebonden aan de beginselen van, onder andere, rechtmatigheid, dataminimalisatie, juistheid, integriteit en vertrouwelijkheid. Op hen rusten op grond van de AVG verschillende verplichtingen. Zo bestaat onder meer de verplichting om volgens principes van privacy by design te werken. Dit houdt in dat al bij de ontwerpfase van nieuwe producten en diensten moeten worden nagedacht hoe aan de beginselen van de AVG op een doeltreffende wijze kan worden voldaan. Er dienen waarborgen te worden ingebouwd om aan de voorschriften van de AVG te voldoen en de uitoefening van de rechten van betrokkenen mogelijk te maken.27
Voorkomen moet worden dat er kwaliteitsstandaarden en NEN-normen tot stand worden gebracht die ieder afzonderlijk wel in overeenstemming zijn met de geldende regels voor gegevensbescherming, maar dat er door een combinatie van factoren risico’s ontstaan wanneer op enig moment volledige interoperabiliteit wordt gerealiseerd. Zo dient ook verzekerd te worden dat wanneer een patiënt zijn of haar rechten onder de AVG wil effectueren – zoals het recht op inzage, rectificatie of gegevenswissing – daar ook in een interoperabel systeem van gegevensuitwisseling, op effectieve wijze gevolg aan kan worden gegeven. De toelichting gaat hierop niet in.
De Afdeling adviseert, gelet op het voorgaande, in de toelichting nadrukkelijk aandacht te besteden aan de concrete gevolgen van het voorstel voor de patiënt en de wijze waarop patiënten daarover na inwerkingtreding van de wet worden voorgelicht. In dat kader dient de toelichting in het bijzonder ook in te gaan op de wijze waarop elementaire onderdelen van de AVG (met name de algemene beginselen en de rechten van betrokkenen), bij het ontwerpen en verder ontwikkelen van de elektronische gegevensuitwisseling op grond van het voorstel in de praktijk zullen worden gewaarborgd en geïmplementeerd.
Het wetsvoorstel beoogt tegemoet te komen aan het verzoek om meer regie van de minister om elektronische gegevensuitwisseling tussen zorgverleners mogelijk te maken. Tegelijkertijd beoogt het voorstel ook het initiatief en de verantwoordelijkheid voor het vaststellen van het wat en hoe van de gegevensuitwisseling zoveel mogelijk bij de betrokken partijen te laten. Kortgezegd bestaat de regierol van de minister uit:
− het opstellen van een lijst prioritaire gegevensuitwisselingen (meerjarenagenda);
− de mogelijkheid om zo nodig het Zin te vragen een kwaliteitsstandaard op een meerjarenagenda van het Zin te plaatsen. Het Zin heeft vervolgens doorzettingsmacht voor totstandkoming van een kwaliteitsstandaard als betrokken partijen daarin niet slagen;
− het opdracht geven voor het ontwikkelen van een NEN-norm en daaraan eisen stellen;
− het aanwijzen van certificerende instellingen en in een uiterste geval zelf certificaten verstrekken; en
− het uiteindelijke beoordelen of een gegevensuitwisseling ver genoeg is voor het vastleggen in een Amvb, waarvan de naleving afdwingbaar is.
De vraag of een gegevensuitwisseling door de minister wordt aangewezen bij amvb is onder meer afhankelijk van de realiseerbaarheid en het draagvlak bij het zorgveld. Of aanwijzing van een gegevensuitwisseling realiseerbaar is, is afhankelijk van de mate waarin het zorgveld heeft geformuleerd welke gegevens moeten worden uitgewisseld en in hoeverre het al technisch mogelijk is om gegevens uit te wisselen. Is daarvan nog onvoldoende sprake dan kan de consequentie zijn dat een gegevensuitwisseling niet wordt aangewezen bij amvb. Dit kan ook het geval zijn als partijen er niet in slagen een NEN-norm te ontwikkelen of geen enkele certificerende instelling bereid is om deel te nemen aan het stelsel. Aldus is de aanwijzing van een gegevensuitwisseling bij Amvb, en daarmee de afdwingbaarheid van elektronische gegevensuitwisseling, op belangrijke onderdelen afhankelijk van de realisatie door het zorgveld en ICT-leveranciers.
Met deze aanpak is ervoor gekozen om een omvangrijk ICT-traject als dit gefaseerd en van onderop vorm te geven. De ervaring van de overheid met grootschalige ICT-trajecten heeft geleerd dat een landelijke, uniforme aanpak geen garantie is voor succes. Bovendien is in de zorgsector sprake van zeer verschillende typen zorgaanbieders; van grote academische ziekenhuizen tot kleine zorgaanbieders met een beperkt aantal patiënten. Zo bezien kan de keuze voor een gefaseerde aanpak van onderop logisch worden genoemd.28
Tegelijkertijd is een van de redenen voor het verzoek om meer regie juist dat partijen tot op heden onvoldoende in staat zijn gebleken om zelf te komen tot voldoende interoperabiliteit en eenheid van taal en techniek, terwijl de noodzaak daartoe al langer wordt onderkend. Er is sprake van fragmentatie bij de realisatie van elektronische gegevensuitwisseling, onvoldoende focus en uiteenlopende belangen van zorgsector en ICT-leveranciers, aldus de toelichting.29
De Afdeling wijst erop dat de gekozen aanpak de regierol van de minister begrenst, omdat een gegevensuitwisseling niet wordt aangewezen bij Amvb als sprake is van onvoldoende draagvlak in het zorgveld of onvoldoende realiseerbaarheid. De Afdeling acht dit een risico voor de daadwerkelijke totstandkoming van eenheid van taal en techniek en interoperabiliteit. De vraag is bovendien welke betekenis toekomt aan het plaatsen van gegevensuitwisselingen op de prioriteringslijst, nu dit niet zonder meer leidt tot aanwijzing van een gegevensuitwisseling bij amvb.
Een alternatieve benadering, waarbij plaatsing op de prioriteringslijst op een nader te bepalen moment zonder meer leidt tot aanwijzing bij amvb ligt zo mogelijk meer voor de hand vanuit het oogpunt van versterking van regie door de minister. Dit hoeft bovendien een gefaseerde aanpak van onderop niet in de weg te staan. Gelet op het voorgaande acht de Afdeling het bovendien van belang om goed zicht te houden op de voortgang in de realisering van de gestelde doelen van het voorstel, en om tijdig de doeltreffendheid en effecten van het voorstel in de praktijk te evalueren.30
De Afdeling adviseert hierop in de toelichting nader in te gaan.
Het wetsvoorstel regelt dat gegevensuitwisselingen steeds afzonderlijk zullen worden aangewezen bij amvb. Per gegevensuitwisseling zal één NEN-norm worden aangewezen.31 De minister kan bij de ontwikkeling van de NEN-normen richtinggevende kaders meegeven, zodat de NEN-normen onderling op elkaar aansluiten en aansluiten bij het regeringsbeleid. De Afdeling acht onderlinge aansluiting van de NEN-normen van belang om de beoogde volledige interoperabiliteit te kunnen realiseren. Uit de toelichting wordt echter niet duidelijk of met richtinggevende kaders nog andere kaders worden bedoeld dan de benodigde onderlinge aansluiting, of de eveneens in de toelichting opgenomen opsomming van algemene criteria waaraan een te ontwikkelen NEN-norm in ieder geval zal moeten voldoen.32
De Afdeling acht een verduidelijking aangewezen wat deze richtinggevende kaders nog anders kunnen inhouden. Voor zover het gaat om normatieve elementen is het de Afdeling zonder nadere motivering niet duidelijk waarom deze richtinggevende kaders niet in de wettekst kunnen worden opgenomen, zodat parlementaire betrokkenheid is geborgd.33 De Afdeling adviseert in de toelichting op het voorgaande in te gaan en zo nodig het wetsvoorstel aan te passen.
Het wetsvoorstel stelt een gefaseerde aanpak voor. Dit houdt in dat gegevensuitwisselingen die nog niet ver genoeg zijn om te kunnen worden aangewezen voor spoor 2, zo mogelijk wel kunnen worden aangewezen voor spoor 1. In spoor 1 kunnen generieke eisen worden gesteld aan deze gegevensuitwisseling. Hierbij gaat het om eisen aan de functionele, technische of organisatorische wijze waarop gegevensuitwisselingen moeten plaatsvinden. Het gaat daarbij om eisen die niet specifiek voor één gegevensuitwisseling, maar breder kunnen gelden. Deze eisen kunnen in de amvb worden opgenomen, maar er kan ook worden verwezen naar een NEN-norm, aldus de toelichting.34 Het is altijd de ambitie van spoor 1 naar spoor 2 te komen.
De Afdeling wijst erop dat voornoemde ambitie vereist dat de eisen die in spoor 1 aan de gegevensuitwisseling zullen worden gesteld, de ontwikkeling naar spoor 2 niet in de weg staan. Bovendien moet voorkomen worden dat zorgaanbieders die in eerste instantie moeten voldoen aan spoor 1, keuzes maken en investeringen doen die niet aansluiten bij de ontwikkeling naar spoor 2. De toelichting stelt dat dit risico kan worden voorkomen doordat het zorgveld is betrokken bij de totstandkoming van de NEN-normen.35 Daaruit spreekt de verwachting dat het zorgveld bij het formuleren van de eisen voor spoor 1 rekening zal houden met de eisen die nodig zijn voor spoor 2. De vraag is echter of deze verwachting reëel is nu de ontwikkeling van de gegevensuitwisseling door het zorgveld juist nog niet ver genoeg was om te worden aangewezen voor spoor 2. Of sprake zal zijn van desinvesteringen is te meer van belang omdat de investeringskosten voor de implementatie van de wettelijk verplichte gegevensuitwisseling moeten worden opgebracht uit de bedrijfsvoeringmiddelen van de zorgaanbieders.36 De Afdeling adviseert hierop in de toelichting nader in te gaan.
Verder merkt de Afdeling op dat in het voorstel, noch in de toelichting een termijn wordt genoemd waarbinnen een gegevensuitwisseling die op de meerjarenagenda is geplaatst gereed moet zijn voor aanwijzing voor spoor 1, respectievelijk spoor 2. Evenmin wordt een termijn genoemd waarbinnen een gegevensuitwisseling over moet kunnen gaan van spoor 1 naar spoor 2. Mogelijk is dergelijke termijn niet in algemene zin te beschrijven, maar zonder nadere motivering is niet duidelijk waarom bijvoorbeeld niet per gegevensuitwisseling een termijn kan worden geformuleerd. Het expliciet benoemen van een termijn kan bovendien duidelijkheid verschaffen voor het doen van investeringen. De Afdeling adviseert hierop in de toelichting nader in te gaan.
Ten slotte wijst de Afdeling in dit verband erop dat mede aan de hand van de uit te voeren maatschappelijke kosten -en baten analyse wordt beoordeeld of een gegevensuitwisseling wordt aangewezen in spoor 1, dan wel in spoor 2. De daarbij te hanteren criteria kunnen technisch, inhoudelijk, economisch en bestuurlijk van aard zijn, aldus de toelichting.37 Gelet op het dwingende karakter van de verplichtingen die uit de aanwijzing voor spoor 1, respectievelijk spoor 2 voortvloeien, acht de Afdeling het noodzakelijk de criteria voor het aanwijzen van een gegevensuitwisseling voor spoor 1, respectievelijk spoor 2, in de wettekst op te nemen.
In beginsel wordt in regelgeving niet op dwingende wijze verwezen naar NEN-normen.38 Het dwingend opleggen van normalisatienormen past onder meer niet bij het vrijwillige karakter van het systeem van normalisatie. Daarnaast rust op normalisatienormen auteursrecht. Zij kunnen alleen tegen betaling bij het Nederlandse Normalisatie-instituut worden verkregen. Het is daarom gebruikelijk om in regelgeving waarin wordt verwezen naar NEN-normen, een weerlegbaar rechtsvermoeden op te nemen waarbij het volgen van de norm het vermoeden oplevert dat aan de eis is voldaan.
Het voorstel wijkt van dit uitgangspunt af. Uit de toelichting blijkt dat bij Amvb per gegevensuitwisseling slechts één NEN-norm zal worden aangewezen. Weliswaar zullen de licentiekosten verbonden aan de NEN-normen worden afgekocht, maar er wordt geen clausule opgenomen tot erkenning van andere vergelijkbare normen, waaronder de normen die zijn ontwikkeld in het buitenland.39
Hoewel er situaties denkbaar zijn waarin het dwingend voorschrijven van NEN-normen noodzakelijk is, doet zich de vraag voor of dat voor onderhavige situatie ook opgaat.40
Volgens de toelichting is de exclusieve toepassing van de NEN-normen noodzakelijk om de gegevensuitwisseling tussen zorgverleners tot stand te brengen en een goede werking daarvan te kunnen garanderen.41 Maar om interoperabiliteit te bereiken, lijkt de NEN-norm niet per definitie het enige geschikte middel om dat doel te bereiken. Ook normalisatienormen die tot stand zijn gebracht in andere lidstaten zouden die interoperabiliteit kunnen verzekeren. De erkenning van andere normen, zoals die afkomstig uit het buitenland, zal, zoals in de toelichting wordt aangegeven alleen op een later moment mogelijk kunnen zijn. Het vrije verkeer van diensten en goederen wordt door het voorstel daarom beperkt.
Een dragende motivering waarom het noodzakelijk is om de erkenning van andere vergelijkbare normen op voorhand toch uit te sluiten, wordt in de toelichting verder niet geboden. De ontwikkelingen in het buitenland staan – zoals de toelichting wel in algemene zin wordt onderkend – niet stil. In EU-verband wordt bijvoorbeeld al gestreefd naar interoperabiliteit om de uitwisseling van, in ieder geval de elektronische medische dossiers van patiënten, in geval van grensoverschrijdende zorg mogelijk te maken. En in dat verband wordt het gebruik van open normen ook aanbevolen.42
De Afdeling adviseert om aan het voorgaande in de toelichting nader aandacht te besteden, en een dragende motivering te bieden voor de noodzaak van het exclusief en dwingend voorschrijven van de NEN-normen. Als die motivering niet kan worden gegeven, adviseert zij het voorstel aan te passen en een clausule op te nemen om erkenning van andere vergelijkbare normen ook mogelijk te maken.
Het wetsvoorstel voorziet expliciet niet in het uitwisselen van gegevens tussen zorgverleners en patiënten.43 De toelichting zet uiteen dat voor de informatie-uitwisseling tussen zorgverlener en patiënt een afzonderlijk MedMij-afsprakenstelsel44 is ingericht. Dit stelsel moet het mogelijk maken voor een patiënt om veilig te kunnen communiceren met alle plekken waar informatie van de patiënt is opgeslagen.
De toelichting stelt verder dat de MedMij-afspraken zoveel mogelijk gebruik maken van het elektronisch uitwisselen van gegevens tussen zorgverleners. Het gaat daarbij om dezelfde gegevens en er kan gebruik worden gemaakt van dezelfde standaarden.45 Uit de toelichting blijkt echter niet dat op enigerlei wijze is geborgd dat bij de ontwikkeling van de NEN-normen voor aangewezen gegevensuitwisselingen rekening zal worden gehouden met de ontwikkelingen die plaatsvinden in het kader van MedMij. De Afdeling adviseert hierop in de toelichting nader in te gaan.
De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.
De vice-president van de Raad van State, Th.C. de Graaf.
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben, dat het goed en tijdig delen en benaderen van gegevens een belangrijke randvoorwaarde is voor goede kwaliteit van zorg; dat met het gebruik maken van een elektronische infrastructuur het delen en benaderen van gegevens beter en sneller gaat en het daarom wenselijk is dit in de zorg te bevorderen; dat het daarbij wenselijk is gegevensuitwisselingen aan te wijzen waarbij gegevens via een elektronische infrastructuur tussen zorgverleners worden gedeeld of benaderd; dat het daarnaast wenselijk kan zijn regels te stellen over de wijze waarop via een elektronische infrastructuur wordt uitgewisseld; dat het ook wenselijk is eisen te kunnen stellen aan informatietechnologieproducten of -diensten, zodat geborgd is dat in de aangewezen gegevensuitwisseling het delen en benaderen van gegevens plaatsvindt op interoperabele wijze; dat het daarbij met het oog op de bescherming van de gezondheid van personen en de volksgezondheid gerechtvaardigd is het vrij verkeer van goederen en diensten te beperken door middel van de introductie van een verplicht systeem van certificering;
Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
In deze wet en de daarop berustende bepalingen wordt verstaan onder:
gegevensuitwisseling die is aangewezen op grond van artikel 1.4, eerste lid, aanhef en onderdeel a;
het indirect verkrijgen van gegevens uit een ander informatiesysteem van een andere zorgaanbieder met behulp van software, webpagina’s of via een netwerk verbonden apparaten;
certificaat als bedoeld in artikel 3.1, onderdeel b;
een instelling als bedoeld in artikel 3.2, eerste lid;
cliënt als bedoeld in artikel 1, eerste lid, Wkkgz;
gegevens als bedoeld in artikel 1.4, aanhef en eerste lid, onderdeel b;
software, hardware of dienst, die door de aanbieder bestemd is te worden gebruikt voor het uitwisselen van gegevens bij een aangewezen gegevensuitwisseling;
Onze Minister voor Medische Zorg;
de Stichting Raad voor Accreditatie, genoemd in artikel 2, eerste lid, van de Wet aanwijzing nationale accreditatie-instantie;
delen of benaderen;
Wet kwaliteit, klachten en geschillen zorg;
zorg als bedoeld in artikel 1, eerste, tweede en derde lid, Wkkgz;
zorgaanbieder als bedoeld in artikel 1, eerste en achtste lid, Wkkgz;
zorgverlener als bedoeld in artikel 1, eerste lid, Wkkgz.
Om goede zorg als bedoeld in artikel 2 Wkkgz te kunnen verlenen worden onverminderd artikel 3 Wkkgz bij of krachtens deze wet voorschriften opgenomen die randvoorwaardelijk zijn voor het verlenen van goede zorg, voor zover het gaat om het uitwisselen van gegevens over een cliënt tussen zorgverleners.
1. Onze Minister zendt aan de Tweede Kamer der Staten-Generaal een lijst met gegevensuitwisselingen die aangewezen kunnen worden op grond van artikel 1.4, eerste lid, aanhef en onderdeel a.
2. Bij de lijst wordt voor elke gegevensuitwisseling aangegeven wat naar verwachting:
a. de toegevoegde waarde is voor de zorg;
b. de realiseerbaarheid is; en
c. het draagvlak in de zorg is.
1. Bij algemene maatregel van bestuur worden voor het doel, bedoeld in artikel 1.2:
a. gegevensuitwisselingen aangewezen waarvoor de verplichtingen bij of krachtens deze wet gelden; en
b. voor die gegevensuitwisseling gegevens:
1°. genoemd die de zorgverlener op grond van een kwaliteitsstandaard als bedoeld in artikel 1, onderdeel z, van de Zorgverzekeringswet nodig heeft voor het verlenen van goede zorg;
2°. genoemd die bij of krachtens andere wetgeving worden uitgewisseld voor het verlenen van goede zorg of met het oog daarop; of
3°. aangewezen die anderszins relevant zijn ten aanzien van een cliënt met het oog op het verlenen van goede zorg, niet zijnde gegevens als bedoeld onder 1° en 2°.
2. Bij of krachtens algemene maatregel van bestuur kunnen voor het doel, bedoeld in artikel 1.2, eisen worden gesteld die er toe leiden dat het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling plaatsvindt:
a. op een functionele, technische of organisatorische wijze; of
b. op interoperabele wijze, volgens de voor die aangewezen gegevensuitwisseling geldende NEN-norm die door de Stichting Nederlands Normalisatie-instituut is uitgegeven.
3. Als toepassing is gegeven aan het tweede lid, onderdeel b, wordt bij algemene maatregel van bestuur bepaald welke informatietechnologieproducten- of diensten voor welk deel van in de NEN-norm gestelde normen voorzien zijn van een certificaat.
1. Deze wet is niet van toepassing op inrichtingen als bedoeld in artikel 1, onderdeel b, van de Penitentiaire beginselenwet, inrichtingen als bedoeld in artikel 1, onderdeel b, van de Beginselenwet justitiële jeugdinrichtingen en instellingen voor de verpleging van ter beschikking gestelden als bedoeld in de artikelen 3.1, eerste lid, en 3.3, eerste lid, van de Wet forensische zorg, tenzij bij algemene maatregel van bestuur anders wordt bepaald.
2. Bij algemene maatregel van bestuur kan, voor zover er sprake is van zorg die wordt verleend door een private instelling voor forensische zorg als bedoeld in artikel 3.2, eerste lid, van de Wet forensische zorg, worden afgeweken van deze wet voor zover dat met het oog op het karakter van de forensische zorg noodzakelijk is.
3. Bij algemene maatregel van bestuur kan voor zover er sprake is van militaire gezondheidszorg als bedoeld in artikel 1, eerste lid, onderdeel e, van de Wet ambtenaren defensie worden afgeweken van deze wet als dat met het oog op operationele omstandigheden voor de inzet of het ter beschikking stellen van de krijgsmacht ter uitvoering van de in artikel 97 van de Grondwet omschreven taken noodzakelijk is.
1. Een zorgaanbieder ziet er op toe dat in een aangewezen gegevensuitwisseling bij het uitwisselen van gegevens door zorgverleners ten minste gebruik wordt gemaakt van een elektronische infrastructuur.
2. De zorgaanbieder ziet er op toe dat als op grond van in artikel 1.4, tweede lid, eisen zijn gesteld, de zorgverlener hieraan voldoet, tenzij het eisen betreffen die zien op informatietechnologieproducten of -diensten.
3. De zorgaanbieder ziet er op toe dat als op grond van artikel 1.4, derde lid, is bepaald dat een informatietechnologieproduct of -dienst voorzien is van een certificaat, de zorgverlener slechts gebruik maakt van een informatietechnologieproduct of -dienst dat of die voorzien is van een certificaat.
4. Artikel 1, zesde en zevende lid, Wkkgz zijn van overeenkomstige toepassing.
Een informatietechnologieproduct of -dienst waarvoor op grond van artikel 1.4, derde lid, is bepaald dat deze voorzien is van een certificaat:
a. voldoet aan de eisen die aan dat informatietechnologieproduct of die -dienst gesteld zijn op grond van artikel 1.4, tweede lid, onderdeel b; en
b. is voorzien van een certificaat waaruit blijkt dat het informatietechnologieproduct of de -dienst voldoet aan die eisen.
1. Een certificaat wordt op aanvraag verstrekt door een door Onze Minister aangewezen instelling.
2. Onze Minister kan:
a. de aanwijzing wijzigen, weigeren, schorsen of intrekken;
b. aan de aanwijzing voorschriften verbinden;
c. aan de aanwijzing of de schorsing van de aanwijzing een termijn verbinden.
3. Onze Minister wijst een instelling alleen aan als deze beschikt over een accreditatie van de Stichting Raad voor Accreditatie waaruit blijkt dat de instelling in staat is te voldoen aan de eisen die:
a. zijn opgenomen in NEN-EN-ISO/IEC 17065:2012 die door de International Organization for Standardization en de International Electrotechnical Commission is vastgesteld; en
b. die op grond van artikel 3.3, eerste lid, onderdeel a, gesteld worden aan het verkrijgen van een aanwijzing.
4. Met accreditatie wordt gelijkgesteld een accreditatie afgegeven door een daartoe bevoegde instelling in een andere lidstaat van de Europese Unie dan wel in een staat, niet zijnde een lidstaat van de Europese Unie, die partij is bij een daartoe strekkend of mede daartoe strekkend verdrag dat Nederland bindt, op basis van onderzoekingen of documenten die een beschermingsniveau bieden dat ten minste gelijkwaardig is aan het beschermingsniveau dat met de nationale accreditatie wordt geboden.
5. In afwijking van het derde lid kan:
a. een certificerende instelling een voorlopige aanwijzing krijgen voor ten hoogste een jaar als zij een aanvraag voor een accreditatie heeft ingediend bij de Raad voor Accreditatie en de Raad de aanvraag heeft bevestigd en als volledig heeft beoordeeld;
b. als de continuïteit van het uitwisselen van gegevens in een aangewezen gegevensuitwisseling dit vereist, bij ministeriële regeling tijdelijk worden bepaald dat van een certificerende instelling geen accreditatie wordt vereist om aan te tonen dat voldaan wordt aan de op grond van artikel 3.3, eerste lid, onderdeel a, gestelde criteria.
6. De Kaderwet zelfstandige bestuursorganen is niet van toepassing op een instelling die op grond van het eerste lid is aangewezen.
7. Als de continuïteit van het uitwisselen van gegevens in een aangewezen gegevensuitwisseling dit vereist, kan in afwijking van het eerste lid een certificaat op aanvraag worden verstrekt door Onze Minister. De artikelen 3.3 tot en met 3.5 zijn in dat geval van overeenkomstige toepassing.
1. Bij algemene maatregel van bestuur kunnen regels worden gesteld over:
a. het indienen van een aanvraag van de instelling voor een aanwijzing als bedoeld in artikel 3.2, eerste lid, de gegevens die bij een aanvraag moeten worden verstrekt, de gronden waarop en de voorwaarden waaronder Onze Minister een aanwijzing kan verlenen, wijzigen, weigeren, schorsen of intrekken, de voorschriften die aan een aanwijzing kunnen worden verbonden en de termijn waarvoor een aanwijzing kan worden verleend of geschorst;
b. de werkzaamheden door een certificerende instelling die onder het verstrekken van certificaten als bedoeld in artikel 3.2, eerste lid, worden verstaan;
c. het doen van een mededeling aan Onze Minister van een intrekking of een schorsing van een certificaat of accreditatie als bedoeld in artikel 3.5, tweede lid; of
d. de uitwisseling van informatie tussen certificerende instellingen onderling en met Onze Minister in het kader van toezicht en handhaving.
2. Bij ministeriele regeling kunnen nadere regels worden gesteld met betrekking tot het eerste lid.
1. Een certificerende instelling verstrekt op aanvraag een certificaat als de aanvrager aantoont dat het informatietechnologieproduct of de -dienst voldoet aan de eisen die aan dat informatietechnologieproduct of die -dienst zijn gesteld op grond van artikel 1.4, tweede lid, onderdeel b.
2. Van een certificerende instelling waarvan de aanwijzing is ingetrokken zijn de afgegeven certificaten twaalf maanden geldig na de datum van intrekking van de aanwijzing.
1. Een certificerende instelling kan een certificaat schorsen of intrekken als het informatietechnologieproduct of de -dienst niet langer voldoet aan de eisen die aan dat informatietechnologieproduct of die -dienst gesteld zijn op grond van artikel 1.4, tweede lid, onderdeel b.
2. Als een certificaat is geschorst of ingetrokken wordt hiervan onverwijld mededeling gedaan aan Onze Minister.
3. Het gebruik van een informatietechnologieproduct of -dienst waarvan het certificaat is geschorst of ingetrokken kan voor de duur van zes maanden worden voortgezet.
4. Onze Minister kan toestaan dat het gebruik van een informatietechnologieproduct of -dienst waarvan het certificaat is geschorst of ingetrokken langer dan zes maanden wordt voortgezet, wanneer dit voor de continuïteit van het uitwisselen van gegevens noodzakelijk is. Aan deze verlenging kunnen voorwaarden worden verbonden.
1. Met het toezicht op de naleving van het bepaalde bij of krachtens deze wet zijn belast de door Onze Minister aangewezen ambtenaren.
2. Het toezicht op de naleving van het bepaalde in artikel 2.1 is mede gericht op het bevorderen van het gebruik van de eisen, bedoeld in artikel 1.4, tweede lid, door zorgaanbieders en zorgverleners.
3. De in het eerste lid bedoelde ambtenaren zijn bevoegd, met medeneming van de benodigde apparatuur, een woning binnen te treden zonder toestemming van de bewoner, voor zover de woning deel uitmaakt van een bouwkundige voorziening voor het verlenen van zorg.
4. De in het eerste lid bedoelde ambtenaren zijn, voor zover dat voor de vervulling van hun taak noodzakelijk is bevoegd tot inzage in gegevens, waaronder gegevens over de gezondheid, het maken van kopieën daarvan en als dat niet ter plaatse kan geschieden, de gegevens voor dat doel voor korte tijd mee te nemen tegen een door hen af te geven schriftelijk bewijs, en het vorderen van inlichtingen ter zake bij de betrokken zorgaanbieder of zorgverlener.
5. Voor zover de desbetreffende zorgaanbieder of zorgverlener uit hoofde van ambt, beroep of overeenkomst tot geheimhouding van gegevens verplicht is, kan hij deze verplichting, in afwijking van artikel 5:20, tweede lid, van de Algemene wet bestuursrecht, niet inroepen tegenover de in het eerste lid bedoelde ambtenaren. Op de in het eerste lid bedoelde ambtenaren rust dezelfde geheimhoudingsplicht als op de desbetreffende zorgaanbieder of zorgverlener.
1. Als Onze Minister van oordeel is dat het bepaalde in artikel 2.1 niet wordt nageleefd, kan hij de zorgaanbieder een schriftelijke aanwijzing geven.
2. In de aanwijzing geeft Onze Minister met redenen omkleed aan op welke punten het bepaalde in artikel 2.1 niet wordt nageleefd, en de in verband daarmee te nemen maatregelen.
3. Een aanwijzing bevat de termijn waarbinnen de zorgaanbieder er aan moet voldoen.
4. Onze Minister is bevoegd tot toepassing van bestuursdwang ter handhaving van:
a. de verplichting, bedoeld in artikel 5:20, eerste lid, van de Algemene wet bestuursrecht;
b. het bepaalde in artikel 2.1; of
c. de op grond van het eerste lid gegeven aanwijzing.
5. Onze Minister is bevoegd een last onder dwangsom op te leggen aan:
a. de zorgaanbieder die het bepaalde in artikel 2.1 niet naleeft; of
b. de zorgaanbieder of de zorgverlener die geen medewerking verleent aan de inzage van gegevens als bedoeld in artikel 4.1, vierde lid.
Onze Minister kan degene die een informatietechnologieproduct of -dienst aanbiedt aan een zorgaanbieder of een informatietechnologieproduct of -dienst ondersteunt die in strijd met artikel 3.1 niet voorzien is van een certificaat, een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht of, als dat meer is, ten hoogste 10% van de omzet van de onderneming, onderscheidenlijk, als de overtreding door een ondernemersvereniging is begaan, van de gezamenlijke omzet van de ondernemingen die van de vereniging deel uitmaken, in het boekjaar voorafgaande aan de beschikking waarin de bestuurlijke boete wordt opgelegd.
De voordracht voor een algemene maatregel van bestuur op grond van artikel 1.4 wordt niet eerder gedaan dan vier weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd. Als een van de kamers der Staten-Generaal besluit niet in te stemmen met het ontwerp, wordt er geen voordracht gedaan en kan niet eerder dan zes weken na het besluit van die kamer der Staten-Generaal een nieuw ontwerp aan beide kamers der Staten-Generaal worden overgelegd.
Aan artikel 15j van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg wordt een lid toegevoegd, luidende:
3. Het eerste lid is niet van toepassing voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling als bedoeld in de Wet elektronische gegevensuitwisseling in de zorg.
In de Wet kwaliteit, klachten en geschillen zorg wordt na artikel 2 een artikel ingevoegd, luidende:
Voor zover een onderdeel van de professionele standaard niet in overeenstemming is met de eisen die zijn gesteld bij of krachtens artikel 1.4, tweede lid, van de Wet elektronische gegevensuitwisseling in de zorg, hoeven zorgaanbieders en zorgverleners, in afwijking van artikel 2, tweede lid, onderdeel b, uitsluitend te handelen in overeenstemming met dat onderdeel voor zover dat een kwaliteitsstandaard is.
Artikel 5, derde lid, onderdeel b, van de Wet publieke gezondheid komt als volgt te luiden:
b. elektronische gegevensopslag, waarbij in ieder geval worden vastgelegd de bij regeling van Onze Minister bepaalde gegevens, voor zover het gaat om het vastleggen van patiëntgegevens als bedoeld in artikel 7:454 van het Burgerlijk Wetboek en gegevens die anderszins relevant zijn ten aanzien van een cliënt.
Aan artikel 8:22 van de Wet verplichte geestelijke gezondheidszorg wordt een lid toegevoegd, luidende:
4. Het tweede lid is niet van toepassing voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling als bedoeld in de Wet elektronische gegevensuitwisseling in de zorg.
Aan artikel 18c van de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten wordt een lid toegevoegd, luidende:
8. Het zesde lid is niet van toepassing voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling als bedoeld in de Wet elektronische gegevensuitwisseling in de zorg.
Na artikel 66e wordt een artikel ingevoegd, luidende:
Het Zorginstituut informeert Onze Minister over voorgedragen wijzigingen in kwaliteitsstandaarden die op grond van artikel 1.4, eerste lid, onderdeel b, van de Wet elektronische gegevensuitwisseling in de zorg genoemd zijn in een op grond van onderdeel a van dat artikellid aangewezen gegevensuitwisseling.
Indien de artikelen I, onderdelen E en F, en VI van de Wet van 9 september 2020 tot wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het creëren van een bevoegdheid voor Onze Minister om een voorgedragen kwaliteitsstandaard vanwege financiële gevolgen niet in het openbaar register op te nemen (financiële toetsing voorgedragen kwaliteitsstandaarden) (Stb. 2020, 346) gelijktijdig of eerder in werking treden dan de artikelen 1.4, eerste lid, 6.2 en 6.6 van deze wet:
a. komt artikel 1.4, eerste lid, onderdeel b, onder 1°, van deze wet te luiden:
1°. genoemd die de zorgverlener op grond van een kwaliteitsstandaard als bedoeld in artikel 1 van de Wet kwaliteit, klachten en geschillen zorg nodig heeft voor het verlenen van goede zorg;
b. komt artikel 6.2 van deze wet te luiden:
De Wet kwaliteit, klachten en geschillen zorg wordt als volgt gewijzigd:
A
Na artikel 2a wordt een artikel ingevoegd, luidende:
Voor zover een onderdeel van de professionele standaard niet in overeenstemming is met de eisen die zijn gesteld bij of krachtens artikel 1.4, tweede lid, van de Wet elektronische gegevensuitwisseling in de zorg, hoeven zorgaanbieders en zorgverleners, in afwijking van artikel 2, tweede lid, onderdeel b, uitsluitend te handelen in overeenstemming met dat onderdeel voor zover dat een kwaliteitsstandaard is.
B
Na artikel 11j wordt een artikel ingevoegd, luidende:
Het Zorginstituut informeert Onze Minister over voorgedragen wijzigingen in kwaliteitsstandaarden die op grond van artikel 1.4, eerste lid, onderdeel b, van de Wet elektronische gegevensuitwisseling in de zorg genoemd zijn in een op grond van onderdeel a van dat artikellid aangewezen gegevensuitwisseling.
c. vervalt artikel 6.6 van deze wet.
Indien de artikelen I, onderdelen E en F, en VI van de Wet van 9 september 2020 tot wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het creëren van een bevoegdheid voor Onze Minister om een voorgedragen kwaliteitsstandaard vanwege financiële gevolgen niet in het openbaar register op te nemen (financiële toetsing voorgedragen kwaliteitsstandaarden) (Stb. 2020, 346) later in werking treden dan de artikelen 1.4, eerste lid, 6.2 en 6.6 van deze wet, wordt die wet als volgt gewijzigd:
a. In artikel I, onderdeel E, komt de aanhef te luiden:
Onder vernummering van artikel 2a naar artikel 2b wordt een artikel ingevoegd, luidende:
b. In artikel I, onderdeel F, wordt na artikel 11j een bepaling toegevoegd, luidende:
Het Zorginstituut informeert Onze Minister over voorgedragen wijzigingen in kwaliteitsstandaarden die op grond van artikel 1.4, eerste lid, onderdeel b, van de Wet elektronische gegevensuitwisseling in de zorg genoemd zijn in een op grond van onderdeel a van dat artikellid aangewezen gegevensuitwisseling.
c. In artikel VI, onderdeel A, wordt ‘artikelen 66a tot en met 66e’ vervangen door ‘artikelen 66a tot en met 66ea’.
d. Na artikel VI wordt een artikel ingevoegd, luidende:
Artikel 1.4, eerste lid, onderdeel b, onder 1º, van de Wet elektronische gegevensuitwisseling in de zorg komt als volgt te luiden:
1°. genoemd die de zorgverlener op grond van een kwaliteitsstandaard als bedoeld in artikel 1, van de Wet kwaliteit, klachten en geschillen zorg nodig heeft voor het verlenen van goede zorg;
Onze Minister zendt binnen vijf jaar na de inwerkingtreding van deze wet aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk.
Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.
De Minister voor Medische Zorg,
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
Een belangrijke randvoorwaarde voor zorgverleners om goede zorg1 te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt2 op de juiste plek op het juiste moment. Denk bijvoorbeeld aan de situatie dat na overdracht door de medisch specialist een verpleeghuisarts tijdig de beschikking heeft over de gegevens van een cliënt, zodat hij precies weet wat de cliënt aan zorg nodig heeft. De urgentie van het beschikbaar hebben van deze gegevens doet zich bijvoorbeeld voor wanneer een cliënt met een herseninfarct wordt overgeplaatst naar een intra arteriële thrombectomie-centrum voor een acute ingreep. Als de gegevens op papier of via cd-rom pas met de cliënt meekomen, kan het medische behandelteam zich niet voorbereiden. Dit kan onnodig tijdverlies en risico’s voor de behandeling opleveren. Door het tijdig elektronisch uitwisselen van de juiste gegevens op een eenduidige manier kan goede zorgverlening worden bevorderd.
Zorgaanbieders maken op dit moment echter gebruik van verschillende manieren van uitwisseling van gegevens die vaak niet op elkaar aansluiten. Uitwisseling van gegevens gebeurt vaak nog via de analoge fax, papier, per post, DVD, of ontbreekt zelfs volledig waardoor actuele informatie niet (op tijd) voor de zorgverlener beschikbaar kan zijn.
Door gebruik te maken in de zorg van het elektronisch uitwisselen van gegevens aan de hand van eenduidige eisen aan taal en techniek kunnen de juiste gegevens op een eenduidige manier tijdig worden uitgewisseld. Om zorgverleners elektronisch met elkaar te laten communiceren zal hierbij gebruik gemaakt worden van een elektronische infrastructuur. Onder een dergelijke infrastructuur wordt verstaan: een geheel van netwerken alsmede de benodigde hardware en software waarmee personen en organisaties elektronisch met elkaar kunnen communiceren. Daartoe behoort niet het uitwisselen van gegevens door gebruik te maken van bijvoorbeeld een USB-stick of DVD.
Momenteel vindt elektronische gegevensuitwisseling echter nog zeer beperkt plaats. Daar waar gegevensuitwisseling al wel elektronisch plaatsvindt, verloopt deze vaak niet zonder problemen aangezien er op dit moment een gebrek is aan eenduidigheid in taal en techniek.
Doordat gegevens op dit moment veelal niet goed doorkomen of handmatig moeten worden overgetypt, ontstaan er negatieve effecten op de zorgverlening. Zowel voor de zorgverlener als aan de kant van de cliënt. Het niet goed doorkomen van gegevens heeft voor cliënten tot gevolg dat zij soms onnodige onderzoeken moeten ondergaan. Ook bestaat er een vergroot risico op vermijdbare fouten in de zorgverlening (bijvoorbeeld verkeerd gestelde diagnoses en niet passende behandelingen). Verder kan gedacht worden aan vermijdbare medicatiefouten, doordat gegevens over medicatie, allergieën, intoleranties en contra-indicaties onvolledig, onjuist of in het geheel niet uitgewisseld worden.
Zorgverleners verliezen veel tijd met (extra) administratieve handelingen rondom de gegevensuitwisseling, zoals door het overtypen, het fysiek moeten overdragen, of door het achterhalen van ontbrekende gegevens. Dit is tijd die ten koste gaat van de zorgverlening aan de cliënt. Bovendien kan geen of ontoereikende en daarmee onvolledige gegevensoverdracht ertoe leiden dat zorgverleners onnodige, soms kostbare, onderzoeken (over) moeten doen. Hierdoor lopen de zorgkosten onnodig op, ontstaat een negatieve beeldvorming over de zorg als arbeidsmarkt (juist nu zorgpersoneel hard nodig is) en wordt innovatie in de zorg geremd. Dit alles brengt ook negatieve gevolgen met zich mee voor de maatschappij als geheel.
Daarbij komt dat de uitwisseling van gegevens in de zorg steeds belangrijker wordt, nu steeds meer cliënten zorg uit verschillende domeinen en regio’s ontvangen waarbij meerdere zorgverleners en zorgaanbieders betrokken zijn. Hierdoor is meer coördinatie van de zorg nodig en ontstaat dus een toenemende behoefte aan eenduidige elektronische gegevensuitwisseling. Zorgverleners moeten van elkaar weten wat zij doen en waarom. In deze context is het op elektronische wijze uitwisselen van gegevens van grote toegevoegde waarde voor het verlenen van goede zorg. Ook tijdens de coronacrisis is gebleken dat het kunnen beschikken over medische gegevens van de huisarts in spoedsituaties op de huisartsenpost en de spoedeisende eerste hulp voor de juiste behandeling van cliënten van groot belang is.
De Tweede Kamer heeft op meerdere momenten en in meerdere moties de Minister voor Medische Zorg (hierna: de Minister) gevraagd om meer regie te nemen om te komen tot elektronische gegevensuitwisseling tussen zorgverleners.3 De vraag om meer regie is ook gesteld vanuit de zorgpartijen, verenigd in het Informatieberaad Zorg. Het regelen hoe gegevens moeten worden uitgewisseld, vormt een randvoorwaarde voor het verlenen van goede zorg.
In verschillende brieven aan de Tweede Kamer4 en in het Algemeen Overleg met de Tweede Kamer van 9 oktober 2019 inzake Gegevensuitwisseling in de zorg, heeft de Minister aangegeven de gevraagde regie te willen nemen en het voorliggende wetsvoorstel aangekondigd.5
Dit wetsvoorstel vormt een onderdeel van de regie die op verzoek van het zorgveld en de Tweede Kamer is gevraagd.
Het doel is het bereiken van volledige interoperabiliteit als het gaat om elektronische gegevensuitwisseling tussen zorgverleners aan de hand van eenduidige eisen aan taal en techniek. Dit wordt bereikt door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij de genormaliseerde eisen aan taal en techniek onafhankelijk zijn van een specifieke elektronische infrastructuur. Daarmee wordt voorkomen dat niet slechts één systeem voor een specifieke gegevensuitwisseling gaat gelden. Het wetsvoorstel leidt daarmee niet tot de introductie van het gebruik van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling.
Deze memorie van toelichting is mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (hierna: BZK) vanwege zijn verantwoordelijkheid voor de Kaderwet zelfstandige bestuursorganen.
Er zijn verschillende oorzaken aan te wijzen voor het niet volledig tot stand komen van het op elektronische wijze uitwisselen van gegevens:
– Gebrek aan eenduidigheid in taal. ‘De zorg’ is groot en divers, met veel verschillende beroepsgroepen. Vrijwel alle beroepsgroepen hebben een eigen vaktaal. Hierdoor begrijpen zorgverleners de uitgewisselde gegevens niet altijd of ontstaan er misverstanden. Bij het op elektronische wijze uitwisselen van gegevens is dit een groot probleem, omdat er geen menselijke interpretatie meer is die voor de benodigde vertaling zorgt. Immers in dat geval worden gegevens direct, dus zonder menselijke tussenkomst, overgedragen tussen informatietechnologieproducten of -diensten. Daarom zijn eenduidige afspraken nodig voor termen die gebruikt worden bij het uitwisselen van gegevens. Die eenduidige afspraken zijn er nog niet voldoende, en waar ze er zijn worden ze nog niet zorgbreed toegepast.
– Gebrek aan eenduidigheid in techniek. Er is op dit moment geen volledige interoperabiliteit tussen de verschillende gebruikte informatietechnologieproducten of -diensten, omdat er voor bepaalde gegevensuitwisselingen geen afspraken over eenduidigheid van techniek bestaan en de afspraken voor andere gegevensuitwisselingen niet op elkaar aansluiten (bijvoorbeeld voor de uitwisseling van radiologische beelden). Hierdoor kan het voor zorgverleners moeizaam of niet mogelijk zijn om gegevens uit te wisselen.
– Gebrek aan een integrale aanpak om tot het elektronisch uitwisselen van gegevens te komen en uiteenlopende belangen van verschillende betrokken partijen. Zorgaanbieders, zorgverleners en aanbieders van informatieproducten of -diensten werken parallel en in decentrale verbanden aan digitalisering van gegevensuitwisselingen. Er is daardoor geen zorgbrede focus op welke gegevensuitwisselingen als eerste elektronisch moeten verlopen, wat tot gevolg heeft dat er geen zorgbrede afspraken gemaakt worden op het gebied van taal en techniek. Daardoor komt de zorgbrede gegevensuitwisseling niet tot stand.
De omvang van het probleem laat zich illustreren door de volgende voorbeelden:
– Mensen met een chronische ziekte hebben met verschillende zorgverleners te maken. In Nederland heeft 70 procent van de mensen van 65 jaar en ouder een chronische ziekte. Van de mensen van 75 jaar en ouder met een chronische ziekte, heeft 63 procent twee of meer chronische ziekten (multimorbiditeit) en 32 procent drie of meer. Ouderen hebben daarom met verschillende zorgverleners te maken die van elkaar moeten weten wat ze doen. Zoals wie welke medicatie heeft voorgeschreven, omdat eerder voorgeschreven medicatie van invloed kan zijn op de werking van nieuwe medicatie.6
– Jaarlijks vinden meer dan 460.000 verpleegkundige overdrachten plaats tussen zorgaanbieders. Een verpleegkundige overdracht kan nu in totaal 4 uur kosten omdat er tot 8 keer dezelfde informatie moet worden overgetypt.7 Dit brengt een hoog risico op fouten en een grote administratieve last met zich mee. Ook zorgt dit ervoor dat onvolledige informatie, geen overdracht of een onduidelijke overdracht momenteel als belangrijke knelpunten worden gezien bij het uitwisselen van verpleegkundige gegevens. Zo geeft 64% van de verpleegkundigen en verzorgenden aan essentiële informatie te missen in de huidige verpleegkundige overdracht om het zorgproces in de nieuwe zorgsetting te kunnen continueren.8
Goede gezondheidszorg is een publiek belang. Het bevorderen van de volksgezondheid is een verantwoordelijkheid van de overheid en is neergelegd in artikel 22 van de Grondwet (hierna: Gw). De overheid heeft echter in de zorg bij het realiseren van het elektronisch uitwisselen van gegevens een terughoudende rol gehad. Dit omdat veldpartijen zelf verantwoordelijk zijn voor goede zorg en daarmee ook voor de inrichting en totstandbrenging van een dergelijke gegevensuitwisseling. Deze terughoudendheid kwam mede voort uit het verwerpen van het wetsvoorstel dat zag op het landelijk Elektronisch Patiëntendossier9 door de Eerste Kamer op 5 april 2011 en de motie van het lid Tan (PvdA) c.s.10 uit 2011, waar in paragraaf 2.2.1 nader op in wordt gegaan.
De afgelopen periode – zoals eerder aangegeven – hebben zowel de Tweede Kamer als de zorgpartijen de Minister gevraagd om meer regie te nemen op het gebied van elektronische gegevensuitwisseling tussen zorgverleners. Er is een duidelijke behoefte aan meer overheidsbetrokkenheid op dit onderwerp. In feite is sprake van een inhaalslag, nu de overheid zich lange tijd terughoudend heeft opgesteld.
Het wetsvoorstel dat zag op het landelijk Elektronisch patiëntendossier (EPD) regelde de grondslag voor een verplichting van het gebruik van een landelijk systeem waarbij de zorgverleners op basis van een in de wet gecreëerde grondslag (wettelijke plicht) werden verplicht om (bijzondere) persoonsgegevens van de cliënt in een EPD (niet centraal maar bij de zorgaanbieder, afgeleid van het reguliere medisch dossier) vast te leggen en beschikbaar te stellen via het Landelijk Schakelpunt (LSP). De Eerste Kamer had bezwaar tegen de generieke opzet en een te alomvattend systeem en de wettelijke verplichting die werd gecreëerd voor de zorgverlener om het medisch beroepsgeheim te doorbreken zonder dat de cliënt daarvoor afzonderlijk toestemming behoefde te geven. Daarnaast zag de Eerste Kamer een te groot risico op het gebied van privacy. De motie van het lid Tan verzocht de regering om verdere beleidsinhoudelijke, financiële en organisatorische medewerking aan de ontwikkeling van het LSP te beëindigen.
Met het voorliggende wetsvoorstel is rekening gehouden met de destijds geuite zorg in de Eerste Kamer over het landelijk EPD. Voorliggend wetsvoorstel blijft – zoals ook verzocht in de motie van het lid Tan11 – binnen de bestaande wettelijke kaders (Algemene Verordening Gegevensbescherming (hierna: AVG), Wet op de beroepen in de individuele gezondheidszorg (hierna: Wet BIG), Afdeling 5 van Titel 7 van Boek 7 van het Burgerlijk Wetboek (BW) inzake de geneeskundige behandelingsovereenkomst (vaak aangeduid als de Wet op de geneeskundige behandelingsovereenkomst (hierna: WGBO)) en Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: Wabvpz)) en creëert daarmee geen nieuwe grondslagen voor uitwisseling van (bijzondere) persoonsgegevens van cliënten. Het wetsvoorstel verplicht niet tot het uitwisselen van gegevens. De verplichting ziet daarmee alleen op het hoe van de uitwisseling, namelijk op elektronische wijze. Als binnen het bestaande wettelijke kader geen grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens, kan deze niet plaatsvinden. Daarbij leidt het voorliggend wetsvoorstel, zoals hiervoor reeds is vermeld, niet tot de verplichting van het gebruik van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling. Het doel is het bereiken van volledige interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen zorgverleners. Dit wordt bereikt door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij uiteindelijk wordt gestreefd naar normalisatie van eisen aan taal en techniek. Normalisatie is het proces waarbij belanghebbende partijen onder begeleiding van het Nederlands Normalisatie-instituut (NEN) op vrijwillige basis, in overleg en op basis van consensus afspraken maken over wat, in het licht van de stand van de techniek en de best beschikbare kennis, goede normen zijn voor een product, dienst of bedrijfsproces. Deze normen zullen daardoor infrastructuur onafhankelijk zijn. Normalisatie is een bijzondere vorm van standaardisatie; bij de totstandkoming van normen is altijd een normalisatie-organisatie betrokken, in dit geval de stichting Koninklijk Nederlands Normalisatie Instituut (NEN) in haar hoedanigheid van nationale normalisatie-instelling in de zin van artikel 2 van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007,23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PbEU 2012, L 316) (hierna/; verordening 1025/2012).
In de afgelopen jaren heeft de overheid zonder een grote regierol op zich te nemen op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering van gestandaardiseerde elektronische gegevensuitwisseling:
– In 2014 is een eerste stap tot samenwerking en coördinatie gezet door het ministerie van Volksgezondheid, Welzijn en Sport (VWS) met de oprichting van het Informatieberaad Zorg. In het Informatieberaad Zorg wordt samen met veldpartijen gewerkt aan een duurzaam informatiestelsel. Het Informatieberaad Zorg werkt aan een aantal doelen, waaronder gestandaardiseerde gegevensuitwisseling en het eenmalig vastleggen van gegevens.
– In de verschillende Hoofdlijnenakkoorden heeft gestandaardiseerde elektronische gegevensuitwisseling een prominente plek gekregen. Zo is in het Hoofdlijnenakkoord Medische Specialistische Zorg 2019–2022 opgenomen dat partijen de afgesproken standaarden implementeren, waaronder de Basisgegevensset Zorg (BgZ) en andere Zorginformatie bouwstenen (ZIB’s) en de MedMij standaarden.12
– Er zijn programma’s gestart ter ondersteuning van de standaardisatie van gegevensuitwisseling, zoals het programma Registratie aan de bron13 en het programma Medicatieproces.14
– Vanaf 2017 stimuleert het kabinet diverse versnellingsprogramma’s voor de informatie-uitwisseling tussen cliënt en professional (VIPP-regelingen) in onder meer de geestelijke gezondheidszorg (GGZ), ziekenhuizen, zelfstandige behandelcentra, de geboortezorg, en huisartsen. Tevens is er een versnellingsprogramma in de langdurige zorg waarbij gestandaardiseerde elektronische gegevensuitwisseling tussen zorgorganisaties in de care (VVT, GGZen Gehandicaptenzorg) en met zorgorganisaties in de cure zoals ziekenhuizen en huisartsen) wordt gestimuleerd. Deze regelingen hebben als doel ervoor te zorgen dat cliënten digitaal over hun medische gegevens kunnen beschikken en deze kunnen gebruiken voor regie op hun zorg en gezondheid. Zorgaanbieders ontvangen subsidie om ervoor te zorgen dat deze gegevens digitaal op een veilige en gestandaardiseerde manier aan de cliënt verstrekt kunnen worden, gebruikmakend van landelijke standaarden die zorgbreed en binnen sectoren zijn vastgelegd. Hiermee hebben VIPP-programma’s een belangrijke basis gelegd voor gestandaardiseerde elektronische vastlegging en informatie-uitwisseling.
– Voor de informatie-uitwisseling met de cliënt is het MedMij-afsprakenstelsel ingericht. MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de cliënt, bijvoorbeeld in een persoonlijke gezondheidsomgeving (PGO). Daarvoor moet zo’n PGO veilig kunnen communiceren met alle plekken waar informatie van de cliënt staat opgeslagen. Denk aan het ziekenhuis of de huisarts. Een dergelijk afsprakenstelsel bestaat niet voor het onderling uitwisselen van gegevens tussen zorgverleners, wat betekent dat gegevens over cliënten nog niet altijd op elektronische wijze uitgewisseld kunnen worden. De MedMij afspraken15 definiëren specifieke gegevensuitwisselingen tussen professionals en cliënten, waar zoveel mogelijk gebruik van wordt gemaakt voor het elektronisch uitwisselen tussen professionals. Het gaat immers bij de uitwisseling van gegevens tussen zorgverleners in de regel om dezelfde gegevens die ook met de cliënt worden uitgewisseld en waarbij gebruik kan worden gemaakt van dezelfde standaarden.
Door het veld zijn – met deze ondersteunende programma’s en maatregelen – belangrijke stappen in de goede richting gezet en is er een basis gelegd op weg naar het realiseren van genormaliseerde en daarmee het onafhankelijk van een specifieke elektronische infrastructuur uitwisselen van gegevens. Dit betekent dat geen specifieke elektronische infrastructuur zal worden voorgeschreven. Ondanks dat belangrijke stappen in de goede richting zijn gezet, zijn deze echter nog onvoldoende gebleken om de hierboven genoemde problemen over gebrek aan eenduidige taal, techniek en regie op te lossen.
Zonder het verplicht stellen van een elektronische gegevensuitwisseling die (uiteindelijk) genormaliseerd plaatsvindt, komt de beoogde volledige interoperabele gegevensuitwisseling niet goed tot stand.
De belangen van verschillende partijen (zorgverleners vanuit verschillende beroepsgroepen, zorgaanbieders, aanbieders van informatietechnologieproducten of -diensten) blijken in de praktijk soms zover uit elkaar te lopen dat ze er onderling niet uitkomen. Zonder interventie van de overheid, die zicht houdt op het (publieke) belang van de integraliteit, blijft het risico bestaan dat noodzakelijke informatie niet actueel, uniform, begrijpelijk of compleet tussen zorgverleners kan worden uitgewisseld of dat dit te lang gaat duren. Het genormaliseerd en daarmee onafhankelijk van een specifieke elektronische infrastructuur uitwisselen van gegevens in de zorg kan dan niet worden gerealiseerd. Bovendien is de verwachting dat zonder wettelijke verplichtingen niet kan worden geborgd dat alle zorgaanbieders en zorgverleners voldoen aan de eisen. Dit wordt versterkt door investeringsvraagstukken die zich bij aanbieders van informatietechnologieproducten of -diensten voordoen. Aanbieders van informatietechnologieproducten of -diensten geven aan dat ze vooral graag investeren in landelijke schaalbare oplossingen en niet in maatwerkoplossingen. Normalisatie draagt hieraan bij.
Met dit wetsvoorstel worden zorgaanbieders stap voor stap (gegevensuitwisseling na gegevensuitwisseling) verplicht om erop toe te zien dat zorgverleners gegevens onderling ten minste elektronisch met elkaar uitwisselen. De bedoeling is dat deze uitwisseling uiteindelijk genormaliseerd en daarmee onafhankelijk van een specifieke elektronische infrastructuur plaatsvindt.
Aangezien in bepaalde gegevensuitwisselingen soms nog grote stappen gezet moeten worden om tot volledige interoperabiliteit te komen, is gekozen voor de volgende aanpak. Als er nog grote stappen gezet moeten worden, kan ervoor gekozen worden dat voor een gegevensuitwisseling eerst de eis geldt dat de aangewezen gegevens elektronisch moeten worden uitgewisseld (spoor 1). Volledige interoperabiliteit wordt in spoor 1 nog niet afgedwongen, want daarvoor is het noodzakelijk dat het uitwisselen van gegevens plaatsvindt aan de hand van genormaliseerde eisen voor taal en techniek die in een NEN-norm zijn opgenomen. Voor een gegevensuitwisseling waarvoor de eis geldt om elektronisch uit te wisselen bestaat altijd de ambitie om volledige interoperabiliteit na te streven. Zodra het veld daartoe gereed is, zal gezamenlijk en onder regie van de Minister een traject worden gestart om tot normalisatie te komen van de eisen aan taal en techniek (spoor 2). Beoogd is dat de eisen vervolgens worden vastgelegd en verplicht gesteld bij AMvB.
Dit wetsvoorstel ziet op het op elektronische wijze uitwisselen van gegevens tussen zorgverleners bij aangewezen gegevensuitwisselingen binnen en tussen de zorgdomeinen. Het gaat daarbij over het delen en benaderen van gegevens. Het wetsvoorstel stelt met het oog daarop verplichtingen aan zorgaanbieders en eisen aan degene die een informatietechnologieproduct of -dienst aanbiedt.
Het wetsvoorstel ziet op het (genormaliseerd) elektronisch uitwisselen van gegevens tussen zorgverleners onderling, binnen en tussen de zorgdomeinen en op informatietechnologieproducten of -diensten die gebruikt worden voor het uitwisselen van die gegevens. Dat betekent dat het wetsvoorstel geldt voor:
– zorg of dienst als omschreven bij of krachtens de Zorgverzekeringswet (hierna: Zvw) (Zvw-zorg);
– zorg of dienst als omschreven bij of krachtens de Wet langdurige zorg (hierna: Wlz) (Wlz-zorg); en
– handelingen op het gebied van de individuele gezondheidszorg als bedoeld in artikel 1 van de Wet op de beroepen in de individuele gezondheidszorg, niet zijnde Zvw-zorg of Wlz-zorg, en handelingen met een ander doel dan het bevorderen of bewaken van de gezondheid van de cliënt (andere zorg).
Het wetsvoorstel ziet daarmee niet op het op elektronische wijze uitwisselen van gegevens tussen de zorgverlener en de cliënt, maar enkel op uitwisseling tussen zorgverleners onderling.
De zorg die een cliënt ontvangt, is lang niet altijd beperkt tot één zorgverlener. Immers, een cliënt kan bij bepaalde problematiek met meerdere zorgverleners, al dan niet binnen een zorgaanbieder, te maken krijgen. Ook op deze situaties ziet dit wetsvoorstel.
Het is voorstelbaar dat gegevens (ook) buiten de zorgdomeinen worden uitgewisseld, bijvoorbeeld met jeugdhulp of maatschappelijke ondersteuning (voor zover die niet ook onder andere zorg valt). Het gaat dan bijvoorbeeld over de uitwisseling van gegevens met pleegzorg of mantelzorg. Uitwisseling van gegevens vindt bijvoorbeeld ook buiten de zorgdomeinen plaats ten behoeve van onderzoek (secundaire data) en met het RIVM zowel binnen het Rijksvaccinatieprogramma als binnen de verschillende bevolkingsonderzoeken.
Dit wetsvoorstel ziet echter niet op het uitwisselen van gegevens buiten de zorgdomeinen. Dit laat onverlet dat beoogd is om op een later moment deze (dan vastgestelde) wet daartoe te verbreden middels een wetswijziging. De reden om dit wetsvoorstel niet nu al te laten zien op elektronische gegevensuitwisseling buiten de zorgdomeinen is de uitvoerbaarheid van het wetsvoorstel. Gekozen is om te beginnen bij de Zvw-zorg, Wlz-zorg en andere zorg, omdat bij deze vormen van zorg gebruik gemaakt kan worden van de bestaande systematiek en organisatie. Dit komt de uitvoerbaarheid ten goede. Naar verwachting heeft het wetsvoorstel overigens een indirect effect buiten de zorgdomeinen. Als de zorg genormaliseerd en daarmee onafhankelijk van een specifieke elektronische infrastructuur gegevens uitwisselt, dan volgen mogelijk andere domeinen op vrijwillige basis.
In de eerdergenoemde brieven van de Minister aan de Tweede Kamer zijn in concept dertien gegevensuitwisselingen16 genoemd die als eerste in aanmerking komen om de gegevensuitwisseling elektronisch te laten plaatsvinden. Deze prioritaire gegevensuitwisselingen passen allemaal binnen de reikwijdte van het wetsvoorstel.
Met het elektronische uitwisselen van gegevens wordt gedoeld op het delen en benaderen van gegevens waarbij ten minste gebruik wordt gemaakt van een elektronische infrastructuur. Een elektronische infrastructuur geldt, zoals reeds in hoofdstuk 1 is vermeld, als het geheel van netwerken en de benodigde hardware en software waarmee personen en organisaties elektronisch met elkaar kunnen communiceren. Het wetsvoorstel ziet niet op de uitwisseling via fysieke gegevensdragers, zoals een papieren fax, CD-rom of USB-stick. Het uitwisselen van gegevens door middel van een PDF-bestand die via een computerverbinding wordt verzonden kan daarentegen wel worden beschouwd als een gegevensuitwisseling door middel van een elektronische infrastructuur.
Delen en benaderen omvat het verzenden, ontvangen, inzien, uploaden, downloaden, verzamelen, opvragen, enzovoort van gegevens.
Met delen wordt gedoeld op het rechtstreeks tussen zorgverleners delen van gegevens al dan niet op genormaliseerde wijze.
Met benaderen wordt gedoeld op het verkrijgen van toegang tot die gegevens. Op deze wijze worden gegevens indirect verkregen van een andere zorgverlener. Een voorbeeld van ‘benaderen’ is de situatie waarbij een behandeld arts op de spoedeisende hulp inzage krijgt in de relevante gegevens van de cliënt in het dossier dat zich bij zijn huisarts bevindt.
Het resultaat van de aanwijzing in spoor 2 is dat eisen aan taal en techniek genormaliseerd zijn, zodat gegevens van een cliënt door zorgverleners eenduidig kunnen worden vastgelegd en gedeeld, zodat een zorgverlener meteen bij binnenkomst van een cliënt over de belangrijkste algemene en medische gegevens van de cliënt kan beschikken en de behandeling zonder onnodige vertraging kan worden gestart of voortgezet. In spoor 1 wordt op korte termijn nog geen volledige interoperabiliteit nagestreefd en blijft de mogelijkheid bestaan om ongestructureerde data (zoals een PDF-bestand) uit te wisselen.
Het staat zorgverleners uiteraard vrij om naast de verplichte uitwisseling van gegevens door middel van een elektronische infrastructuur ook op een andere wijze met elkaar gegevens uit te wisselen. Zorgverleners kunnen eventueel parallel ook gegevens telefonisch of mondeling delen. Dit geldt ook voor de verplicht uit te wisselen gegevens van bij AMvB aangewezen gegevensuitwisselingen.
Met dit wetsvoorstel wordt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens uitgewisseld moeten worden. Deze verplichtingen zijn niet uitvoerbaar als niet bekend is op welke gegevens de verplichting precies ziet. Dit betekent dat in de AMvB een duidelijke koppeling moet worden gemaakt tussen welke gegevens uitgewisseld worden die noodzakelijk zijn voor het leveren van goede zorg aan de cliënt en hoe die uitwisseling plaats moet vinden.
Met het oog op de rechtszekerheid is het daarbij essentieel dat kenbaar en actueel voldoende nauwkeurig wordt omschreven welke gegevens elektronisch uitgewisseld moeten worden. Dit geldt zowel voor spoor 1 als spoor 2. Uiteraard moet er voor de gegevensuitwisseling wel een grondslag bestaan. Indien bijvoorbeeld een cliënt toestemming moet verlenen voor het uitwisselen van zijn (bijzondere) persoonsgegevens en deze toestemming ontbreekt, is er geen grondslag voor de uitwisseling en mag deze niet plaatsvinden.
Het gaat in de aanwijzing in spoor 1 en de aanwijzing in spoor 2 om de uitwisseling van de volgende soort gegevens:
– gegevens die een zorgverlener op grond van een kwaliteitsstandaard als bedoeld in artikel 1, onderdeel z, van de Zorgverzekeringswet nodig heeft voor het verlenen van goede zorg, zoals recepten, uitkomsten van noodzakelijke bloedonderzoeken in een laboratorium of gegevens in ICT voor hartbewaking;
– gegevens die bij of krachtens andere wetgeving worden uitgewisseld voor het verlenen van goede zorg;
– andere gegevens die relevant zijn ten aanzien van de zorgverlening aan een cliënt, zoals administratieve gegevens (zoals naam, adres en woonplaats) of gegevens over cliëntencontext (zoals informatie over burgerlijke staat, levensovertuiging, ziektebeleving).
Welke gegevens nodig zijn als onderdeel van de goede zorg wordt – met het oog op de professionele autonomie – bepaald door de zorgverleners. Zo bepalen zorgverleners bijvoorbeeld dat gegevens over bloeddruk nodig zijn voor goede zorg en dus ook – bijvoorbeeld in het kader van overdracht – moeten worden uitgewisseld. Zorgverleners leggen dit neer in onderdelen van de professionele standaard of in kwaliteitsstandaarden. Bij kwaliteitsstandaarden geldt dat deze gezamenlijk met organisaties van zorgverleners/zorgaanbieders, cliënten en zorgverzekeraars/zorgkantoren worden opgesteld. Daarbij blijft het uitgangspunt van kracht dat de kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens uit te wisselen. Hierin wordt met dit wetsvoorstel geen wijziging aangebracht.
Op grond van de Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz) moeten zorgaanbieders ervoor zorgen dat zorgverleners overeenkomstig kwaliteitsstandaarden handelen. Dat laat onverlet dat de zorgverlener altijd nog zelf een afweging moet maken of het in het kader van de behandeling daadwerkelijk noodzakelijk is om alle in de kwaliteitstandaarden opgenomen gegevens uit te wisselen. De zorgverlener maakt in een concreet geval zelf de afweging of en welke gegevens moeten worden uitgewisseld voor het leveren van goede zorg in die specifieke situatie en passend bij de behoeften van de individuele cliënt.
De eisen die in de AMvB onder dit wetsvoorstel worden gesteld over hoe de gegevens uitgewisseld moeten worden (bijvoorbeeld via eisen aan taal en techniek), moeten aansluiten op de gegevens die volgens de professionals nodig zijn voor de goede zorg. Gedacht kan worden aan de eisen die zijn opgenomen in de zorginformatiebouwsteen over bloeddruk, waarin bijvoorbeeld staat dat aangegeven moet worden wat de houding van de cliënt was bij het meten van de bloeddruk.
Kwaliteitsstandaarden lenen zich goed als bron waarnaar in de bij AMvB te stellen eisen kan worden verwezen als het gaat om welke gegevens moeten worden uitgewisseld.
Een kwaliteitsstandaard is altijd kenbaar doordat die wordt opgenomen in het Openbare Register van het Zorginstituut Nederland (hierna: Zorginstituut).17 Ook is geborgd dat alle relevante partijen betrokken zijn bij de totstandkoming van de kwaliteitsstandaard (tripartiete indiening).
De verwachting is dat het veld – waar nodig – zelf kwaliteitsstandaarden voor de bij AMvB aan te wijzen gegevensuitwisselingen zal opstellen of wijzigen, aangezien het verzoek om regie op gegevensuitwisseling onder andere vanuit het veld afkomstig is. Bijvoorbeeld wanneer er nog geen kwaliteitsstandaarden zijn of de huidige kwaliteitsstandaarden onvoldoende basis geven. Echter, mocht een kwaliteitstandaard onverhoopt niet tot stand komen, dan kan de Minister het Zorginstituut vragen de betreffende kwaliteitsstandaard op de Meerjarenagenda van het Zorginstituut te plaatsen. Het Zorginstituut heeft in dat geval al doorzettingsmacht op grond van het huidige recht. Mochten de tripartiete partijen er dan niet (op tijd) uitkomen, dan kan het Zorginstituut de Adviescommissie Kwaliteit (in overleg met de tripartiete partijen) vragen de kwaliteitsstandaard op te stellen, waarna het Zorginstituut betreffende kwaliteitsstandaard kan opnemen in het Openbare Register.
Het Zorginstituut beoordeelt of een kwaliteitsstandaard, waarin een specifiek zorgproces staat beschreven, kan worden aangemerkt als een adequate beschrijving vanuit het perspectief van de cliënt van wat goede zorg is en welke gegevens moeten worden vastgelegd en uitgewisseld tussen zorgverleners om die goede zorg te verlenen. Dit is noodzakelijk om sectoroverstijgende interoperabiliteit te realiseren.
Onderdelen van de professionele standaard lenen zich niet goed als bron van verwijzing in de AMvB aangezien deze juridisch vormvrij zijn en er geen juridische criteria worden gesteld aan de manier waarop de standaard kenbaar wordt gemaakt. Soms is een onderdeel van de professionele standaard niet meer dan ‘bestaande praktijk’ en niet schriftelijk vastgelegd. Dit maakt dat onderdelen van de professionele standaard op een zeer hoog tempo, zonder afstemming met alle betrokkenen en zonder berichtgeving richting de regering kunnen worden aangepast. Hierdoor ontstaat een reëel risico dat de eisen die bij AMvB zijn gesteld over hoe gegevens uitgewisseld moeten worden, niet stroken met de gegevens die volgens onderdelen van de professionele standaard uitgewisseld moeten worden. Dit brengt een groot risico op onuitvoerbaarheid, onduidelijkheid en onvoldoende betrokkenheid van partijen met zich. Bovendien is bij de professionele standaard van overheidswege niet goed geborgd dat rekening wordt gehouden met gegevens die nodig zijn voor goede zorg vanuit het cliëntenperspectief en het sectoroverstijgend perspectief daarbij.
De huidige kwaliteitsstandaarden zijn niet altijd volledig als het gaat om de beschrijving welke gegevens nodig zijn voor goede zorg. Dit betekent dat in de huidige kwaliteitsstandaarden mogelijk niet altijd ingegaan wordt op welke gegevens nodig zijn als onderdeel van de goede zorg. Bovendien zijn er nog niet veel sector overstijgende kwaliteitsstandaarden. Sommige sectoren werken bovendien nog zeer beperkt met kwaliteitsstandaarden. Dit betekent dat een aanvullings- of actualisatieslag nodig kan zijn op de kwaliteitsstandaarden voordat bij AMvB een gegevensuitwisseling aangewezen wordt. Dit proces kan parallel lopen aan de ontwikkeling van de eisen aan hoe uitgewisseld moet worden. Uiteraard hoeven niet alle kwaliteitsstandaarden meteen aangepast te worden met het oog op dit wetsvoorstel. Dit kan stapsgewijs, in het verlengde van de stapsgewijze aanwijzing van gegevensuitwisselingen bij AMvB. Soms zal de aanpassing van de kwaliteitsstandaard beperkt zijn tot het opnemen van een paragraaf over noodzakelijk uit te wisselen gegevens.
Zoals hierboven is weergegeven zal de kwaliteitsstandaard leidend zijn voor welke gegevens worden uitgewisseld en zal de hoe door dit wetsvoorstel worden bepaald. Een wijziging van goede zorg en daarmee een wijziging in welke gegevens worden uitgewisseld, kan dan ook alleen worden bewerkstelligd door middel van (een wijziging van) de kwaliteitsstandaard.
In het geval een kwaliteitsstandaard wijzigt die betrekking heeft op een reeds bij AMvB aangewezen gegevensuitwisseling, wordt in artikel 6.6 een nieuw artikel 66ea in de Zorgverzekeringswet voorgesteld dat bepaalt dat het Zorginstituut de Minister informeert over een voorgedragen kwaliteitsstandaard.
Dit wetsvoorstel wijzigt overigens de bestaande toetsingsprocedure van het Zorginstituut van kwaliteitsstandaarden niet. Het is en blijft de verantwoordelijkheid van de tripartiete partijen om waar nodig met het oog op het op elektronische wijze uitwisselen van gegevens, een of meerdere kwaliteitsstandaarden op te stellen of te wijzigen.
In enkele gevallen zijn de hierboven genoemde gegevens overigens reeds aangewezen in wet- of regelgeving. Zoals in de Wabvpz en de Regeling van de Minister voor Jeugd en Gezin van 13 juli 2010, houdende eisen voor de software als bedoeld in artikel 5, derde lid, van de Wet publieke gezondheid (Stcrt. 2010, 11340) (hierna: Regeling software). In artikel 1.4, eerste lid, onderdeel b, onder 2, is daarom bepaald dat bij AMvB voor gegevensuitwisselingen gegevens worden aangewezen die bij of krachtens andere wetgeving worden uitgewisseld.
De AMvB zal niet alleen bepalen hoe gegevens die randvoorwaardelijk zijn voor goede zorg moeten worden uitgewisseld, maar ook hoe administratieve gegevens (informatie over adres, woonplaats, bankgegevens, Burgerservicenummer (BSN)) en gegevens over cliëntcontext (informatie over burgerlijke staat, levensovertuiging, ziektebeleving) moeten worden uitgewisseld. Hiermee worden administratieve lasten teruggedrongen, waardoor de zorgverleners meer tijd hebben voor het verlenen van goede zorg.
Ook voor deze gegevens geldt dat duidelijk moet zijn om welke gegevens het gaat, alvorens kan worden bepaald hoe ze worden uitgewisseld. Voor deze gegevens geldt – zoals eerder aangegeven – dat bij AMvB nader zal worden bepaald om welke gegevens het gaat. In artikel 1.4, eerste lid, onderdeel b, onder 3, is daarom bepaald dat bij AMvB gegevens worden aangewezen die anderszins relevant zijn ten aanzien van een cliënt waaraan zorg wordt verleend.
Dit wetsvoorstel ziet op de uitwisseling van gegevens tussen zorgverleners. Voor wat verstaan wordt onder een zorgverlener is aangesloten bij het begrippenkader van de Wkkgz. Dit geldt ook voor het begrip ‘cliënt’, ‘zorg’ en ‘zorgaanbieder’. Een zorgverlener is een natuurlijke persoon die beroepsmatig zorg verleent. Hiermee wordt gedoeld op degene die de zorg daadwerkelijk verleent, oftewel ‘de handen’. Dat kan een zorgverlener in loondienst zijn, een vrijgevestigde zorgverlener of zzp’er die binnen een organisatorisch verband werkzaam is, maar ook een solistisch werkende zorgverlener, in zijn rol als daadwerkelijke zorgverlener.
Met het begrip ‘zorgaanbieder’ wordt gedoeld op ‘de bestuurder’. Een zorgaanbieder kan een instelling zijn, maar ook een solistisch werkende zorgverlener, in zijn rol als bestuurder.
Het is de zorgaanbieder die verantwoordelijk is voor de materiële middelen (zoals informatietechnologieproducten of -diensten) waarvan gebruik wordt gemaakt en voor de organisatie van de informatiehuishouding. De zorgverleners hebben hier in beginsel geen rol in en kunnen de verplichtingen niet realiseren. Daarom zijn de verplichtingen uit dit wetsvoorstel opgelegd aan de zorgaanbieder, en niet aan de zorgverlener. Om zijn verantwoordelijkheid te kunnen waarmaken, moet de zorgaanbieder het zo organiseren, dat de zorgverleners verantwoording afleggen aan de zorgaanbieder. Daarbij is het niet relevant of deze personen in loondienst zijn van de zorgaanbieder of op andere wijze door de zorgaanbieder worden ingeschakeld. Hoewel de verplichtingen op grond van dit wetsvoorstel dus zien op uitwisseling van gegevens tussen zorgverleners, is de zorgaanbieder ervoor verantwoordelijk dat de uitwisseling door zorgverleners plaatsvindt overeenkomstig die verplichtingen.
Het wetsvoorstel betreft het uitwisselen van gegevens over de cliënt, maar niet de uitwisseling van gegevens met de cliënt. Voor de informatie-uitwisseling richting de cliënt is het MedMij- afsprakenstelsel ingericht. Dit afsprakenstelsel is onder paragraaf 2.2 toegelicht. Dit laat onverlet dat het wetsvoorstel ook positieve effecten kan hebben op de gegevensuitwisseling met de cliënt. Doordat gegevens met behulp van een elektronische infrastructuur beschikbaar worden en tussen zorgverleners op die wijze worden uitgewisseld, kunnen deze logischerwijs ook makkelijker uitgewisseld worden met de cliënten.
De in dit wetsvoorstel opgenomen verplichtingen zullen stapsgewijs van kracht worden. Bij AMvB zullen gegevensuitwisselingen worden aangewezen waarvoor de verplichtingen gaan gelden. Een gegevensuitwisseling kan bijvoorbeeld zijn ’digitaal receptenverkeer’, ‘verpleegkundige overdracht van ziekenhuis naar instelling of thuiszorg’ of ‘beelduitwisseling tussen ziekenhuizen’. Zoals in paragraaf 2.3.1 al is aangegeven zijn in de eerdergenoemde brieven van de Minister aan de Tweede Kamer in concept dertien gegevensuitwisselingen genoemd die als eerste in aanmerking komen om te worden aangewezen. De prioritering van de gegevensuitwisselingen zullen worden opgenomen in de meerjarenagenda Wegiz. Op welke wijze de meerjarenagenda Wegiz tot stand komt en hoe besloten wordt welke gegevensuitwisseling prioritair is, wordt nader uitgewerkt in paragraaf 3.2.
Wanneer in het kader van de goede zorg bij AMvB een gegevensuitwisseling wordt aangewezen, dienen die gegevens in ieder geval elektronischte worden uitgewisseld. Daarnaast kan bij de AMvB worden verplicht om gegevens elektronisch uit te wisselen volgens een voor die aangewezen gegevensuitwisseling geldende NEN-norm teneinde volledige interoperabiliteit te bereiken.
Daartoe dienen informatietechnologieproducten of -diensten te zijn voorzien van een certificaat. Uitgangspunt is dat dit certificaat door een certificerende instelling wordt verleend. Om een dergelijk certificaat te mogen verlenen dient een certificerende instelling aangewezen te zijn door de Minister. In het uiterste geval dat geen certificerende instelling beschikbaar is, kan de Minister ter waarborging van de continuïteit van het stelsel zelf certificaten verstrekken.
Voordat een gegevensuitwisseling bij AMvB zal worden aangewezen, zal die gegevensuitwisseling eerst als prioritair worden aangemerkt. Welke gegevensuitwisselingen prioritair zijn volgt uit de zogenoemde meerjarenagenda Wegiz.
In dit hoofdstuk zal worden ingegaan op de totstandkoming van de meerjarenagenda Wegiz (paragraaf 3.2), degenen voor wie de verplichtingen gelden (paragraaf 3.3), de verplichting om met behulp van een elektronische infrastructuur gegevens uit te wisselen (paragraaf 3.4), normalisatie en standaardisatie (paragraaf 3.5) en certificering (paragraaf 3.6).
De meerjarenagenda Wegiz betreft een lijst van gegevensuitwisselingen waarvan de Minister van oordeel is dat ze prioritair zijn. Het kan gaan om gegevensuitwisselingen die door het zorgveld zijn aangedragen als prioritair, of de Minister zelf prioritair acht. In dat laatste geval zal uiteraard overleg plaatsvinden met het zorgveld. Voordat gegevensuitwisselingen op de meerjarenagenda Wegiz worden geplaatst, worden ze op een verzamellijst gezet. Voor elke aangeleverde gegevensuitwisseling op de verzamellijst wordt beoordeeld wat de verwachting is over:
a. De toegevoegde waarde voor het verlenen van goede zorg: het risico op vermijdbare fouten moet bijvoorbeeld merkbaar kleiner worden. Daarbij is ook van belang hoeveel cliënten direct gezondheidsvoordeel hebben van een wettelijke verplichting.
b. De realiseerbaarheid: het is noodzakelijk dat duidelijk is welke gegevens verplicht uitgewisseld moeten worden voor het verlenen van goede zorg (in een kwaliteitsstandaard, paragraaf 2.3.3). Daarnaast moet het technisch mogelijk zijn dat de gegevens worden uitgewisseld, bijvoorbeeld door landelijke dekking van onderling verbonden infrastructuren.
c. Het draagvlak: in beginsel geldt dat voor het plaatsen van een gegevensuitwisseling op de meerjarenagenda Wegiz er voldoende draagvlak voor moet zijn bij het veld.
De beoordeling vindt plaats door de Minister aan de hand van een effectenarena18 en daarbij behorende eenduidige vooraf aan het veld gecommuniceerde criteria. Met dit analyse-instrument kan op een relatief snelle manier inzicht worden verkregen in de kwalitatieve effecten van de op de verzamellijst vermelde gegevensuitwisselingen.
Op basis van deze beoordeling stelt de Minister een concept op van de lijst met geprioriteerde gegevensuitwisselingen. Deze concept-lijst wordt ter consultatie voorgelegd aan het Informatieberaad Zorg. Na de beoordeling van de inbreng van het Informatieberaad Zorg, stelt de Minister de definitieve lijst als onderdeel van de meerjarenagenda Wegiz vast. De Minister informeert de Tweede Kamer over de gegevensuitwisselingen die aangewezen kunnen worden op grond van artikel 1.4, eerste lid door toezending van de meerjarenagenda Wegiz (artikel 1.3, eerste lid) en geeft voor die gegevensuitwisselingen de uitkomst weer van de verwachtingen op de hiervoor genoemde onderdelen.
Voorafgaande aan het bij AMvB aanwijzen van een gegevensuitwisseling toetst de Minister de geprioriteerde gegevensuitwisselingen op toegevoegde waarde en realiseerbaarheid door middel van onder andere een maatschappelijke kosten -en batenanalyse (MKBA) en een volwassenheidscan. Bij de besluitvorming zullen ook de implicaties voor de bekostiging(systematiek) worden meegewogen. De Minister onderbouwt hiermee de beslissing om bepaalde geprioriteerde gegevensuitwisselingen per AMvB te verplichten. De ontwerp-AMvB, waarbij de uiteindelijk gegevensuitwisselingen worden aangewezen, wordt ingevolge artikel 5.1 door middel van een voorhangprocedure aan beide kamers der Staten-Generaal overgelegd. Bij geprioriteerde gegevensuitwisselingen waarvan na toetsing blijkt dat een verplichting per AMvB niet wenselijk is, verantwoordt de Minister zich in een Kamerbrief.
Na de bovenstaande beoordeling wordt een nieuwe meerjarenagenda Wegiz opgesteld. De Minister zendt de geactualiseerde meerjarenagenda Wegiz weer aan de Tweede Kamer.
De verplichting om bij een aangewezen gegevensuitwisseling door middel van een elektronische infrastructuur gegevens uit te wisselen, wordt in dit wetsvoorstel opgelegd aan zorgaanbieders. In paragraaf 2.3, onder ‘Uitwisseling gegevens tussen zorgverleners’, is toegelicht waarom de verplichting is opgelegd aan zorgaanbieders en niet aan zorgverleners.
De zorgaanbieder moet erop toezien dat – als op grond van de aanwijzing in spoor 2, eisen zijn gesteld – de zorgverlener hieraan voldoet. De zorgaanbieder hoeft niet aan alle eisen te voldoen die bij of krachtens AMvB zijn gesteld. De zorgaanbieder hoeft namelijk niet te voldoen aan de (technische) eisen die gesteld worden aan een informatietechnologieproduct of -dienst waarvoor een certificaat is vereist. De zorgaanbieder is dan uiteraard wel verplicht op grond van artikel 2.1, derde lid, om de zorgverlener alleen gebruik te laten maken van die gecertificeerde informatietechnologieproducten of -diensten bij het uitwisselen van gegevens. Dit voor zover bij AMvB verplicht is gesteld dat informatietechnologieproducten of -diensten moeten zijn voorzien van een certificaat.
De bij AMvB gestelde eisen over de manier waarop het elektronisch uitwisselen van gegevens moet plaatsvinden, zullen zodanig zijn, dat zorgaanbieders vrij blijven in de keuze voor informatietechnologieproducten of -diensten. Zolang deze maar voorzien zijn van een geldig certificaat. Daarmee wordt zo min mogelijk getreden in de bedrijfsvoering van de zorgaanbieder.
Om te kunnen voldoen aan de verplichting om bij aangewezen gegevensuitwisselingen gegevens elektronisch uit te wisselen, zullen gegevens elektronisch moeten worden opgeslagen. Het is aan de zorgaanbieder om hierop toe te zien waarbij de zorgaanbieder ook de verantwoordelijkheid draagt dat kan worden uitgewisseld conform de afspraken en regie kan uitoefenen op de informatiehuishouding.
Degene die een informatietechnologieproduct of -dienst aanbiedt aan een zorgaanbieder of een informatietechnologieproduct of -dienst ondersteunt, dient voor de desbetreffende producten of diensten over een certificaat te beschikken, voor zover het gaat om de voor de specifieke gegevensuitwisseling opgestelde NEN-norm waarin eisen zijn opgenomen aan taal en techniek en die NEN-norm vervolgens bij AMvB verplicht is gesteld. Indien informatietechnologieproducten of -diensten, die zijn bestemd voor het uitwisselen van gegevens, die niet zijn voorzien van een certificaat worden aangeboden aan zorgaanbieders, dan kan aan degene die deze producten of diensten aanbiedt een boete worden opgelegd. Wanneer de zorgaanbieder een product of dienst zonder certificaat gebruikt en de dienstverlening aan dat product of dienst wordt voortgezet door middel van technische ondersteuning zoals software updates, dan wordt dit beschouwd als het aanbieden van producten en diensten en kan een boete worden opgelegd aan degene die deze ondersteuning van het product of dienst biedt.
Het certificaat voor informatietechnologieproducten of -diensten wordt door een door de Raad voor Accreditatie (hierna: RvA) geaccrediteerde en door de Minister aangewezen gecertificeerde instelling, of bij het ontbreken van een gecertificeerde instelling in het uiterste geval door de Minister zelf (paragraaf 3.6), verleend als het informatietechnologieproduct of de informatietechnologiedienst voldoet aan de in de NEN-norm gestelde eisen voor taal en techniek waar in de AMvB naar wordt verwezen.
Volledigheidshalve wordt opgemerkt dat wanneer een zorgaanbieder zelf informatietechnologieproducten of -diensten ontwikkelt, de zorgaanbieder verplicht is te voldoen aan de eisen die gelden voor die producten of diensten. Ook deze producten of diensten dienen te zijn voorzien van een certificaat.
Mede aan de hand van de uit te voeren MKBA-toets en een beoordeling van de realiseerbaarheid (de volwassenheidsscan) wordt beoordeeld of een gegevensuitwisseling wordt aangewezen in spoor 1, dan wel in spoor 2. De daarbij te hanteren criteria kunnen technisch, inhoudelijk, economisch en bestuurlijk van aard zijn. Niet elke gegevensuitwisseling is al gereed om te worden aangewezen in spoor 2, omdat nog een groei doorgemaakt moet worden om tot normalisatie van eisen aan taal en techniek te komen. Ook kan het zijn dat nadere afspraken daarover op dat punt in tijd nog niet proportioneel zijn ten behoeve van goede zorg. In dat geval vindt een aanwijzing plaats in spoor 1.
Als een gegevensuitwisseling wordt aangewezen in spoor 1 is er altijd de ambitie om op een later moment die gegevensuitwisseling aan te wijzen in spoor 2. Het doel is immers om te komen tot volledige interoperabiliteit, wat een genormaliseerde wijze van het elektronisch uitwisselen van gegevens vereist.
Wanneer een gegevensuitwisseling ingevolge artikel 1.4, tweede lid, onder a, bij AMvB wordt aangewezen dan geldt op grond van dit wetsvoorstel daarvoor ten minste de eis dat de aangewezen gegevens op elektronische wijze moeten worden uitgewisseld. Volledige interoperabiliteit wordt daarmee in spoor 1 niet afgedwongen, want daarvoor is het noodzakelijk dat deze gegevensuitwisseling verplicht volgens een NEN-norm plaatsvindt (spoor 2). Deze verplichting is echter wel een belangrijke stap in het realiseren van volledige interoperabiliteit. In bepaalde gegevensuitwisselingen ontbreekt, zoals we al eerder schetsten, de vereiste kwaliteitsbasis en moeten op technisch vlak nog grote stappen gezet worden om tot volledige interoperabiliteit te komen. In die gevallen kan ervoor gekozen worden om niet meteen verplicht te stellen dat dit op de aangewezen genormaliseerde wijze plaats moet vinden, maar te beginnen met een eerste stap: de verplichting om gegevens elektronisch uit te wisselen. De aanwijzing spoor 1 heeft in die situatie de volgende voordelen:
– de verwachting is dat de aanwijzing van de gegevensuitwisseling het veld focus en motivatie biedt om de stap te zetten om te komen tot normalisatie op het gebied van de eisen aan taal en techniek.
– de verplichting om gegevens met behulp van een elektronisch infrastructuur uit te wisselen kan al een stap in de goede richting zijn in die gevallen waarin de gegevens nu nog bijvoorbeeld fysiek worden gedeeld.
– Bij AMvB kunnen eisen worden gesteld aan de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling moet plaatsvinden. Het gaat dan om eisen die niet specifiek één gegevensuitwisseling betreffen, maar breder kunnen gelden.
Met de aanwijzing van een gegevensuitwisseling als bedoeld in artikel 1.4, tweede lid, onder b, wordt volledige interoperabiliteit nagestreefd. Daartoe geldt een wettelijke verplichting om gebruik te maken van bij AMvB gestelde eisen ten aanzien van taal en techniek. Deze eisen worden per aangewezen gegevensuitwisseling in spoor 2 neergelegd in een daarop toegespitste NEN-norm, waarnaar in de AMvB wordt verwezen. Deze eisen hebben tot doel dat de gegevens:
– in taal eenduidig zijn;
– zinvol zijn voor alle bij de uitwisseling betrokken zorgverleners (semantische operabiliteit); en
– systemen het kunnen lezen zoals bedoeld verzonden.
Beoogd is dat zender en ontvanger onder de uitgewisselde gegevens hetzelfde verstaan. Door de eisen inzake taal en techniek verplicht te stellen, ontstaat interoperabiliteit en wordt gegevensuitwisseling tussen en binnen zorgdomeinen mogelijk. Het neemt immers de in hoofdstuk 1 en paragraaf 2.1 geschetste problemen weg. Zowel bij de aanwijzing in spoor 1, als bij de aanwijzing in spoor 2 moet uiteraard ook voldaan worden aan de eisen die gelden op grond van andere wet- en regelgeving.
In spoor 1 kunnen bij AMvB generieke eisen worden gesteld die niet zien op taal en techniek. Het gaat dan om eisen die zien op de functionele, technische of organisatorische wijze waarop gegevensuitwisseling moet plaatsvinden. Deze eisen kunnen direct in de AMvB worden opgenomen. Ook kan in de AMvB worden verwezen naar een NEN-norm dan wel andere normen.
In spoor 2 worden bij AMvB eisen gesteld die zien op het op genormaliseerde wijze uitwisselen van specifieke gegevens (de eisen voor taal en techniek) en op de functionele, technische of organisatorische wijze waarop gegevensuitwisseling moet plaatsvinden. Door genormaliseerde eisen te stellen, zien deze eisen niet op een specifieke elektronische infrastructuur. De eisen die in het kader van de aanwijzing in spoor 2 worden gesteld gelden niet alleen voor zorgaanbieders, maar ook voor (aanbieders van) informatietechnologieproducten of -diensten. Een certificaat voor een informatietechnologieproduct of -dienst wordt alleen verstrekt als voldaan wordt aan de relevante eisen in de norm waarnaar bij AMvB wordt verwezen.
De eisen, waaraan voldaan moet worden in spoor 2, worden opgelegd bij AMvB, waarin verwezen wordt naar de normen waarin die eisen staan. In spoor 2 kan het daarbij alleen gaan om NEN-normen. Per gegevensuitwisseling wordt slechts één NEN-norm aangewezen. In deze NEN-norm worden zowel de eisen opgenomen waaraan de zorgaanbieder moet voldoen, als ook de eisen waaraan de informatietechnologieproducten of -diensten moeten voldoen. Om aan te tonen dat informatietechnologieproducten of -diensten voldoen aan deze genormaliseerde eisen dienen deze producten of diensten te zijn voorzien van een certificaat.
Alle normen waarnaar verwezen wordt, worden opgesteld in opdracht van de Minister. Om te komen tot een aanwijzing in spoor 2 zal een normalisatietraject worden gestart. Bij de ontwikkeling van NEN-normen per gegevensuitwisseling geeft de Minister richtinggevende kaders mee, zodat de NEN‑normen onderling op elkaar en op het regeringsbeleid aansluiten.
Beoogd is dat de NEN‑normen die tot stand zijn gekomen, dwingend worden voorgeschreven bij AMvB, mits aan alle eisen wordt voldaan, en zien op een gegevensuitwisseling die bij AMvB wordt aangewezen. Dit is nodig, omdat een exclusieve toepassing van een norm noodzakelijk is om de gegevensuitwisseling tussen zorgverleners tot stand te brengen en een goede werking daarvan te kunnen garanderen. De overheid zal de licentiekosten die verbonden zijn aan het gebruik van de NEN‑normen afkopen met als doel die normen openbaar beschikbaar te kunnen stellen. Dit sluit aan bij het kabinetsbeleid inzake de kenbaarheid van normen en normalisatie.19
Overigens is normalisatie al eerder succesvol ingezet en een bekend instrument bij het zorgveld en de aanbieders van informatietechnologieproducten of -diensten. Dit is bijvoorbeeld het geval bij de NEN 7503 voor elektronische uitwisseling van recept- en verstrekkingsberichten.
Door gebruik te maken van normalisatie wordt de brede expertise van de markt goed benut. De verschillende partijen, zoals zorgaanbieders, zorgverleners en aanbieders van informatietechnologieproducten of -diensten, beschikken bij uitstek over de deskundigheid om adequate eisen op te stellen. De verwachting is dat het stelsel van normalisatie goed zal functioneren. In de eerste plaats, omdat er binnen de zorgsector sprake is van een hoge organisatiegraad en structuur om vorm en inhoud aan de normen te geven. In de tweede plaats, omdat er binnen de sector voldoende draagvlak is en er dus een hoge inzet van betrokken private partijen wordt verwacht. Verwezen wordt naar het Informatieberaad Zorg, waarin vertegenwoordigers uit het zorgveld en VWS samenwerken aan een duurzaam informatiestelsel in de zorg. Om te voorkomen dat er eisen worden gesteld waaraan aanbieders van informatietechnologieproducten of -diensten niet kunnen of willen voldoen, is het van belang dat deze aanbieders betrokken zijn bij het tot stand komen van de normen. In het manifest ‘Samen Vooruit’ van VNO-NCW en diverse zorgpartijen committeren het bedrijfsleven en de zorg zich aan afspraken over makkelijke en veilige gegevensuitwisseling in de zorg.20
Zoals hiervoor al is aangegeven, is het de bedoeling om de ontwikkelde normen via een AMvB onder dit wetsvoorstel verplicht voor te schrijven. Bij de opdrachtverlening door de Minister zullen criteria worden geëxpliciteerd waaraan de norm moet voldoen. De Minister zal in zijn hoedanigheid van opdrachtgever erop toezien dat aan de opdracht wordt voldaan. Als niet wordt voldaan aan de criteria, kan dit tot gevolg hebben dat de norm niet kan worden aangewezen bij AMvB.
De aan te wijzen norm moet in ieder geval voldoen aan de volgende voorwaarden voor aanwijzing bij AMvB door de Minister:
– in de norm (en de standaarden waar de norm naar verwijst) moet altijd duidelijk zijn welke eisen gelden, voor wie of wat de eisen gelden en op welke gegevens de eisen zien;
– de norm mag geen eisen stellen die overlappen of in strijd zijn met eisen die al in wet- en regelgeving zijn vastgelegd. Gedacht kan hierbij worden aan de eisen inzake:
• het (gebruik van) het burgerservicenummer in bijvoorbeeld de Wabvpz;
• gegevensbescherming in onder meer de Gw, de AVG en Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG); en
• het medisch beroepsgeheim in onder meer de WGBO en de Wet BIG;
– de norm mag geen eisen stellen die onderscheid maken tussen nationale en buitenlandse goederen en diensten;
– de norm stelt niet vast welke gegevens uitgewisseld moeten worden als onderdeel van de goede zorg, maar verwijst naar de bron waar is aangegeven om welke gegevens het gaat (de kwaliteitsstandaard; zie paragraaf 2.3.3);
– de norm kan er niet toe leiden dat specifieke informatietechnologieproducten of -diensten verplicht worden;
– de norm mag er gelet op het doel van het wetsvoorstel (artikel 1.2) niet toe leiden dat het uitwisselen van gegevens enkel kan via een elektronisch uitwisselingssysteem als bedoeld in de Wabvpz (zie paragraaf 5.2); en
– de norm mag niet tot gevolg hebben dat gegevensuitwisseling buiten de directe behandelingsrelatie om (secundair gebruik van gegevens) bemoeilijkt wordt. Zeker gezien de ondersteuning die dit wetsvoorstel geeft aan het principe van eenmalig vastleggen en meervoudig gebruiken (zie paragraaf 2.2.2). Dit wetsvoorstel en de normen waar dit wetsvoorstel naar verwijst houden op die manier rekening met bijvoorbeeld de FAIR principes (die internationaal omarmd worden) en houdt rekening met mogelijke andere toepassingen van die gegevens, zoals o.a. het gebruik van data voor onderzoek, toepassen van kunstmatige intelligentie en het vormen van een lerend/intelligent zorgsysteem.
Bij AMvB wordt verwezen naar de desbetreffende NEN-norm. Welke versie van die norm geldt zal bij ministeriële regeling worden bepaald. De verwijzing naar de NEN-norm is dus statisch: verwezen wordt naar de tekst zoals die op een bepaald tijdstip luidde. Een dynamische verwijzing op het niveau van NEN-normen (zijnde een verwijzing naar de tekst zoals die met inbegrip van sinds de totstandkoming vastgestelde wijzigingen luidt of zal luiden) is onwenselijk omdat dit niet zorgt voor maximale duidelijkheid voor het zorgveld en de aanbieders van informatietechnologieproducten of -diensten en niet passend is bij de regie van de overheid op de bepaling van eisen. Daarnaast is bij dynamische verwijzing een met de maatstaven van de Bekendmakingswet vergelijkbaar niveau van bekendmaking bij private normatieve documenten niet gegarandeerd.
In de NEN-norm zelf zal, waar nodig, wel dynamisch worden verwezen naar onderliggende gedetailleerde technische normen, zoals bijvoorbeeld Informatiestandaarden van Nictiz. Deze normen worden meerdere malen per jaar aan de stand der techniek aangepast. Om de rechtszekerheid te waarborgen geldt dat bij dergelijke ongedateerde verwijzingen de laatste versie van het document (met inbegrip van wijzigingsbladen) waarnaar is verwezen van toepassing is. Vervolgens zal in het certificeringsschema opgenomen worden aan de hand van welke versie het certificaat getoetst wordt.
Met NEN vindt afstemming plaats over de ontwikkeling en inhoud van de NEN-normen. De NEN volgt- overeenkomstig verordening 1025/2012 – een proces dat ervoor zorgt dat iedereen met een aantoonbaar belang kan deelnemen. Dat betekent dat het veld betrokken wordt bij de ontwikkeling van de norm en zeggenschap heeft over de inhoud ervan. Hiermee wordt de verantwoordelijkheid voor het leveren van goede zorg en het handelen in overeenstemming met de kwaliteitsstandaarden en daarmee ook hoe gegevens uitgewisseld moeten worden zoveel mogelijk in acht genomen.De betrokkenheid van het veld heeft tot gevolg dat de NEN-normen goed aansluiten bij specifieke kenmerken van de zorgsector en de innovatiekracht van deze sector en aanbieders van informatietechnologieproducten of -diensten.
NEN-normen komen tot stand na consensus onder de leden van de normcommissie. In principe komen normwerkgroepen zelf tot vaststelling van de norm, na openbare consultatie (openbare kritiekronde van het normontwerp). Daarbij geldt dat de Minister streeft naar het samen doen vallen van de internetconsultatie van de AMvB met de openbare kritiekronde van het normontwerp, die in de AMvB verplicht wordt gesteld.
NEN borgt op grond van de statuten van NEN tijdige actualisatie. Zo moeten normen minimaal eens in de vijf jaar worden geëvalueerd of zoveel eerder als belanghebbende partijen dat nodig achten. Herziening van de norm kan hier een gevolg van zijn. Deze procedure volgt uit het huishoudelijk reglement van NEN. Daarbij is het in verband met de relatie tussen de NEN-norm en de kwaliteitsstandaarden (zie paragraaf 2.3.3) van belang dat de herziening aansluit bij eventuele herziening van kwaliteitsstandaarden. Hierin zullen belanghebbende partijen, zoals onder andere het zorgveld en het Zorginstituut een rol spelen.
In paragraaf 3.3 is reeds weergegeven dat op grond van dit wetsvoorstel informatietechnologieproducten en -diensten die gebruikt worden bij een aangewezen gegevensuitwisselingen in spoor 2 ingevolge artikel 3.1 voorzien moeten zijn van een certificaat. Een certificaat wordt verleend als is voldaan aan de eisen die gesteld zijn voor een aangewezen gegevensuitwisseling en die gelden voor dat betreffende informatietechnologieproduct of die betreffende informatietechnologiedienst. De zorgaanbieder is, wanneer voor informatietechnologieproducten – of diensten is bepaald dat ze voorzien moeten zijn van een certificaat, ingevolge artikel 2.1, derde lid verplicht gebruik te maken van gecertificeerde informatietechnologieproduct of -diensten.
Certificering draagt bij aan duidelijkheid rond de te kiezen informatietechnologieproducten en -diensten voor zorgaanbieders. Zij hoeven immers zelf geen onderzoek te doen of het product of de dienst voldoet aan de technische eisen die gelden voor het product of de dienst, maar alleen de producten of diensten met een certificaat te vergelijken.
Daarnaast verlicht certificering de taak van de toezichthouders. Conformiteitsbeoordeling kan voor toezichthouders een ondersteunende rol vervullen bij een efficiëntie en effectieve invulling van het toezicht. De toezichthouder kan zich voor de eisen die gelden voor informatietechnologieproducten en -diensten vooral richten op de vraag of die producten of diensten voorzien zijn van geldige, wettelijk verplicht gestelde certificaten. Als dat het geval is, kan de toezichthouder meer vertrouwen hebben dat het product of de dienst voldoet aan de technische eisen die gelden voor informatietechnologieproducten of -diensten.
Certificering betreft een systeem van conformiteitsbeoordeling (een proces waarin wordt aangetoond of voldaan is aan de vastgestelde eisen aan systeem, product of dienst). Door gebruik te maken van conformiteitsbeoordelingen wordt aangesloten bij het zelfregulerende vermogen van private sectoren om publieke belangen te dienen en wordt de expertise van de markt goed benut. Veldpartijen als aanbieders van informatietechnologieproducten of -diensten en zorgaanbieders zullen in NEN-normen afspraken maken over de eisen waaraan informatietechnologieproducten en -diensten moeten voldoen om te kunnen borgen dat gegevens elektronisch kunnen worden uitgewisseld.
Er zijn verschillende manieren om te borgen dat informatietechnologieproducten en -diensten en zorgaanbieders voldoen aan NEN-normen. Dit varieert van zeer lichte middelen, zoals zelfbeoordeling door aanbieders, tot zwaardere middelen, zoals certificering door een geaccrediteerde certificerende instelling. In dit wetsvoorstel is gekozen voor certificering door geaccrediteerde en aangewezen instellingen in beginsel het uitgangspunt. Deze accreditatie vindt plaats op basis van de EN-ISO/IEC 17065. Dit zorgt namelijk voor een kwalitatief goede en transparante toetsing, zodat gebruikers en aanbieders van informatietechnologieproducten of -diensten zekerheid wordt geboden over de mate waarin aan (delen van) de NEN-norm voldaan wordt. Om de Minister de mogelijkheid te geven stelseltoezicht te houden, wordt voorgesteld dat naast het vereiste van accreditatie, certificerende instellingen aangewezen moeten worden door de Minister (artikel 3.2, eerste en tweede lid). De Minister kan namelijk deze aanwijzing intrekken of schorsen wanneer een certificerende instelling onvoldoende opereert. Daarmee heeft de Minister altijd het laatste woord en kan invulling gegeven worden aan zijn stelselverantwoordelijkheid.
Om accreditatie te kunnen verlenen aan een certificerende instelling die nog niet is geaccrediteerd voor het certificeren van informatietechnologieproducten- of diensten als bedoeld in dit wetsvoorstel, dient de RvA mee te kijken bij het doorlopen van een certificatieproces van deze producten of diensten. Een certificerende instelling kan deze activiteiten echter alleen uitvoeren als zij een aanwijzing heeft van de Minister. In afwijking met de hoofdregel dat een aanwijzing door de Minister enkel kan worden verkregen als de certificerende instelling geaccrediteerd is, zal de Minister ten behoeve van het verkrijgen van de accreditatie een tijdelijke aanwijzing van ten hoogste één jaar als bedoeld in artikel 3.2, vijfde lid, onder a verlenen in afwachting van een volledige accreditatie.
Het gaat bij certificering om een vrijwillig en privaat stelsel. De Minister is voor het realiseren van dit stelsel afhankelijk van de bereidheid van certificerende instellingen om hieraan deel te nemen. Deze bereidheid zal worden onderzocht als onderdeel van de toetsing van de realiseerbaarheid voorafgaand aan de aanwijzing bij AMvB van een gegevensuitwisseling in spoor 2. Indien geconstateerd wordt dat de bereidheid bij certificerende instellingen om deel te nemen aan dit stelsel niet aanwezig is en die bereidheid zich ook niet zal ontwikkelen, dan staat dit in de weg aan een aanwijzing van een gegevensuitwisseling in spoor 2.
Nadat een gegevensuitwisseling in spoor 2 is aangewezen, kan de situatie ontstaan dat een ministeriële aanwijzing van een certificerende instelling wordt ingetrokken. Deze situatie kan zich voordoen in het geval de certificerende instelling zelf beslist zich terug te trekken uit de markt of failliet gaat. Ook kan de aanwijzing door de Minister worden ingetrokken wanneer de certificerende instelling niet meer aan de aanwijzingseisen voldoet of haar accreditatie verliest. In deze gevallen zal de certificaathouder zijn certificaat bij een andere certificerende instelling continueren.
In het uiterste geval dat er geen andere certificerende instelling is, waarbij het certificaat kan worden gecontinueerd, zal de Minister vanuit zijn regierol zelf certificaten moeten kunnen verstrekken om zo de continuïteit van het stelsel te waarborgen. De voorgestelde wetstekst (artikel 3.2, zevende lid) voorziet in deze mogelijkheid.
Onder regie van NEN zullen, op basis van de NEN-normen, certificatieschema’s worden opgesteld in speciale certificeringscommissies. In het certificatieschema worden de spelregels opgenomen voor het certificeren van informatietechnologieproducten en -diensten. Voorafgaande aan het gebruik van het certificeringsschema zal de schemabeheerder de RvA verzoeken om te toetsen of het schema voldoet aan de accreditatievereisten voortvloeiende uit de EN-ISO/IEC 17065. De RvA toetst vervolgens de conformiteit van het schema aan deze accreditatievereisten.
De RvA zal in het kader van accreditatie van een certificerende instelling toetsen of de certificerende instelling de werkzaamheden zoals beschreven in het door de NEN-commissie voor een aangewezen gegevensuitwisseling opgesteld certificatieschema, kan uitvoeren in overeenstemming met dat schema. Om in aanmerking te komen voor een aanwijzing als bedoeld in artikel 3.2, eerste lid is het vervolgens aan de certificerende instelling om bij de aanvraag tot aanwijzing als certificerende instelling aan te tonen dat de instelling in staat is een aanvraag voor een certificaat te beoordelen aan de hand van eisen die zijn vastgelegd in het desbetreffende certificatieschema.
Het beheer van bij conformiteitsbeoordelingen te hanteren certificatieschema’s is een activiteit die primair door de certificerende instellingen zelf wordt uitgevoerd. Wel kunnen de certificerende instellingen, gezien de gewenste uniformiteit van de certificeringsactiviteiten, de NEN verzoeken om ten behoeve van een gecentraliseerd schemabeheer als schemabeheerder op te treden.
De certificerende instellingen die door de Minister worden aangewezen om verplichte certificaten af te geven krijgen een publieke taak en openbaar gezag toebedeeld en zijn dus een zelfstandig bestuursorgaan, maar alleen voor zover het de uitvoering van de publieke taak betreft. Deze certificerende instellingen blijven echter voor het overige privaatrechtelijke organen.
In overeenstemming met de Staatssecretaris van BZK in verband met zijn verantwoordelijkheid voor het verzelfstandigingsbeleid, is in dit wetsvoorstel expliciet opgenomen dat de Kaderwet zbo’s niet van toepassing is op certificerende instellingen die door de Minister worden aangewezen. Dit is overeenkomstig het kabinetsstandpunt conformiteitsbeoordeling en accreditatie in het kader van overheidsbeleid om dergelijke instanties niet onder de Kaderwet zbo’s te brengen. Overigens sluit deze benadering aan bij de positie die de Minister heeft ten opzichte van het zorgveld. De Minister is stelselverantwoordelijke.
Ten tijde van de invoering van die wet is besloten dat de Kaderwet zbo’s niet van toepassing behoort te zijn op certificerende instellingen die aan bepaalde voorwaarden voldoen. Deze voorwaarden zijn dat de certificerende instellingen zelf kiezen om de taak uit te voeren door zich te laten aanwijzen, zij marktpartijen zijn en ook andere activiteiten uitvoeren, zij voor hun diensten worden betaald door de partijen die een certificaat vragen en niet uit de rijksbegroting worden bekostigd. Bovendien betreft het een open systeem, waarbij meerdere certificerende instellingen de taak kunnen verrichten en dus in concurrentie kunnen treden.
De verwachting is dat deze concurrentie tussen certificerende instellingen zal optreden. Doordat in spoor 2 normalisatie per aangewezen gegevensuitwisseling plaatsvindt, gelden de daaruit voortkomende eisen voor taal en techniek voor alle informatietechnologieproducten of -diensten, waarmee de desbetreffende gegevensuitwisseling mogelijk kan worden gemaakt. Door het gebruik van normalisatie om volledige interoperabiliteit te bewerkstelligen is de verwachting dat de markt voor deze producten en diensten wordt vergroot. Een dergelijke ontwikkeling kan een stimulerend effect hebben op de markt voor certificering die daarmee groter wordt. Wel kan de mate waarin deze concurrentie plaatsvindt per aangewezen gegevensuitwisseling verschillen. De concurrentie tussen certificerende instellingen zal op de prijs van het certificaat plaatsvinden.
In het hier voorgestelde stelsel van certificering voldoen de certificerende instellingen aan deze voorwaarden.
De ervaring in vergelijkbare Europese trajecten is dat er te weinig auditoren zijn om de certificeringstrajecten van alle aanbieders van producten en diensten te begeleiden. Voldoende capaciteit is een randvoorwaarde om tijdig certificaten te kunnen verstrekken, zodat concurrentie tussen certificerende instellingen wordt bevorderd. De Minister zal dit daarom betrekken bij de beoordeling of een gegevensuitwisselingen realiseerbaar is en dus uiteindelijk aangewezen kan worden bij AMvB. Verder moet een certificerende instelling, die onderdeel uitmaakt van een wettelijk stelsel conform het kabinetsstandpunt voor conformiteitsbeoordeling en accreditatie, door de verantwoordelijke Minister zijn aangewezen voor het verstrekken van certificaten. In dit wetsvoorstel is bepaald dat de Minister voor Medische Zorg de certificerende instellingen kan aanwijzen. Indien een certificerende instelling zich niet houdt aan de gestelde voorwaarden, kan de Minister ingrijpen door bijvoorbeeld de aanwijzing te schorsen of en in het uiterste geval de aanwijzing in te trekken. Dit zal in de lagere regelgeving worden uitgewerkt.
In de AMvB zullen eisen worden gesteld aan certificerende instellingen, zoals met betrekking tot de behandeling van een aanvraag van een certificaat, het handelen volgens de aan de aanwijzing verbonden voorschriften, het verstrekken van informatie tussen certificerende instellingen onderling en met de Minister in het kader van toezicht en handhaving en het doen van mededeling aan de Minister van een intrekking of een schorsing van een certificaat of accreditatie. Op gezette tijden dient de certificerende instelling vast te stellen of wordt voldaan aan de voorwaarden van certificatie. Tijdens de geldigheidsduur van het certificaat, zal de certificerende instelling regelmatig onderzoeken of de certificaathouder nog steeds in staat is om volgens de vastgestelde normen te werken. Daartoe bevat het certificatieschema controle- en sanctierichtlijnen die certificerende instellingen dienen te volgen.
De certificerende instellingen zijn marktpartijen. Hun activiteiten worden niet vergoed uit overheidsmiddelen. Dit betekent dat de certificerende instelling kosten in rekening zal brengen bij de aanvrager van een certificaat. De certificaathouder kan deze kosten vervolgens terugverdienen door het leveren van gecertificeerde ICT-producten. De verwachting is dat aanbieders van informatietechnologieproducten en -diensten deze kosten (deels) zullen doorberekenen aan de zorgaanbieders.
Voorts is op het voorstel tot aanwijzing van certificerende instellingen voor het afgeven van certificaten het besliskader ten behoeve van toekomstige besluitvorming over privatiseringen en verzelfstandigingen toegepast.21 Het besliskader biedt een overzicht van inhoudelijke aandachtspunten en procesmatige richtlijnen voor elke fase van een traject tot privatisering of verzelfstandiging, gericht op het tijdig en adequaat informeren van het parlement over de voortgang van trajecten tot privatisering en verzelfstandiging en op de wijze waarop de in het geding zijnde publieke belangen worden geborgd. Het besliskader bestaat uit vijf stappen van (1) het voornemen tot verzelfstandiging naar (2) ontwerp, (3) besluitvorming en (4) uitvoering tot (5) evaluatie (opvolging).
– Stap 1: het voornemen
Zoals in hoofdstuk 1 is uiteengezet is de Tweede Kamer in een drietal brieven over het beoogde wettelijk kader en de voortgang daarvan geïnformeerd. Ook is dit aan de orde geweest in het Algemeen Overleg inzake Gegevensuitwisseling in de zorg van 9 oktober 2019. In de brief van 25 september 2020 is de Tweede Kamer ook geïnformeerd over de noodzaak tot invoering van een wettelijk stelsel van certificering als ook over de wijze waarop dit stelsel publiekrechtelijk geborgd wordt.
– Stap 2: het ontwerp
In eerste instantie is onderzocht of de publieke taken die door de certificerende instellingen worden uitgevoerd ook door de Minister zelf uitgevoerd kunnen worden. Echter, nu de verantwoordelijkheid voor het leveren van goede zorg en het handelen in overeenstemming met de kwaliteitsstandaarden rust bij het zorgveld, is dat niet wenselijk. Door gebruik te maken van conformiteitsbeoordelingen wordt aangesloten bij het zelfregulerende vermogen van private sectoren om publieke belangen te dienen en wordt de expertise van de markt en het veld goed benut. Veldpartijen als aanbieders van informatietechnologieproducten of -diensten en zorgaanbieders zullen in NEN-normen afspraken maken over de eisen waaraan informatietechnologieproducten en -diensten moeten voldoen om te kunnen borgen dat gegevens elektronisch kunnen worden uitgewisseld. Het is niet wenselijk dat de Minister zich mengt in de technische beoordeling van informatietechnologieproducten en -diensten van de verschillende (concurrerende) aanbieders. Ook is bij de certificerende instellingen, anders dan bij de Minister, veel specifieke deskundigheid aanwezig op het gebied van informatietechnologieproducten en -diensten. Daarnaast is de overheid verantwoordelijk voor de beleidsontwikkeling, het wettelijk kader en het overheidstoezicht op de goede werking van het stelsel. De aan te wijzen toezichthouder houdt verder toezicht op de naleving van de verplichtingen aan zorgaanbieders en eisen aan informatietechnologieproducten en -diensten. Het publieke belang van goede gezondheidszorg is daarmee geborgd. Gelet op het voorgaande is ervoor gekozen de publieke taken van de certificerende instellingen niet bij de Minister zelf onder te brengen. Met het oog op de continuïteit van het stelsel is echter wel geregeld dat in het uiterste geval wanneer er geen certificerende instelling beschikbaar is, de Minister zelf certificaten kan verstrekken.
– Stap 3: de besluitvorming
Met het indienen van dit wetsvoorstel bij het parlement wordt het ter besluitvorming voorgelegd.
– Stap 4: de uitvoering
De werking van het stelsel van certificering en de rol van de certificerende instellingen hierin is beschreven in paragraaf 3.6. De Minister houdt als stelselverantwoordelijke ook toezicht op de certificerende instellingen. In paragraaf 7.4 is dit nader toegelicht.
– Stap 5: evaluatie
In het wetsvoorstel is een evaluatiebepaling opgenomen, zoals toegelicht in paragraaf 10.1.
Dit wetsvoorstel gaat uit van en past binnen de bestaande kaders en regels rondom gegevensbescherming (in onder meer de Gw, AVG en UAVG en EVRM). Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan die eisen.
Verordening (EU) 2019/881 van het Europese Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (Cyberbeveiligingsverordening) (PbEU 2019, L151) geeft een kader voor de certificering van producten, processen en diensten op het gebied van cyberveiligheid. Binnen dit kader wordt een mechanisme ontwikkelt voor de Europese cybersecurity certificatieschema. Een dergelijk schema ziet in het bijzonder op beveiligingsvoorschriften en bevat daartoe een aantal minimum vereisten. Deze verordening sluit niet expliciet uit dat niet-beveiligingselementen ook deel uitmaken van een dergelijk schema en daarmee betrekking kunnen hebben op met name de bij AMvB te stellen eisen aan techniek. Bij het opstellen van de AMvB (en de daarin opgenomen NEN-normen) wordt de Cyberbeveiligingsverordening in acht genomen.
De vrijheid van ondernemerschap is vervat in artikel 16 van het Handvest van de grondrechten van de Europese Unie22 (Handvest EU) en – meer indirect – in de artikelen 10 en 11 van het op 4 november 1950 te Rome tot stand gekomen Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (Trb. 1951, 154) (EVRM) en artikel 1 van het Protocol bij het EVRM. De vrijheid van ondernemerschap wordt door dit wetsvoorstel beperkt, omdat informatietechnologieproducten en -diensten voortaan (voor aangewezen gegevensuitwisselingen) voorzien moeten zijn van een certificaat, dat wordt verleend als aan bepaalde eisen wordt voldaan. Dit raakt de vrijheid van ondernemerschap voor aanbieders van informatietechnologieproducten of -diensten.
De inperking van de genoemde vrijheid is echter gerechtvaardigd. Met het wetsvoorstel is geborgd dat de inperkingen van de vrijheid van ondernemerschap voorzienbaar en openbaar toegankelijk is. De inperkingen zullen immers bij AMvB worden vastgesteld. Dit betekent dat – vanwege de procedurele eisen die gelden voor het opstellen van wet- en regelgeving – de voorgenomen eisen tijdig kenbaar zullen zijn en gepubliceerd zullen worden. De overheid zal licentiekosten die verbonden zijn aan het gebruik van de normen afkopen met als doel de normen openbaar beschikbaar te kunnen stellen.
Doordat het doel in het wetsvoorstel is vastgelegd, is bovendien geborgd dat de eisen die bij AMvB worden gesteld, gericht zijn op een maatschappelijk belang (verlenen van goede zorg).
De procedurele eisen die gelden voor het opstellen van wet- en regelgeving en NEN-normen borgen dat de normadressanten tijdig betrokken worden en dat geen willekeurige inperkingen kunnen plaatsvinden op genoemde vrijheid. Ook wordt voorzien in waarborgen tegen willekeur door het toezicht door de RvA conform Verordening (EG) 765/2008 van het Europees Parlement en de Raad van de Europese Unie van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PbEG 2008, L218) (hierna: verordening 765/2008) en verordening 1025/2012 en de aanwijzing en toezicht door de Minister.
Uit de vaste jurisprudentie van het Europees Hof van de Rechten van de Mens23 en het Hof van Justitie van de Europese Unie24 volgt dat dit toegestane uitzonderingen zijn op de vrijheid van ondernemerschap.
Met dit wetsvoorstel worden eisen gesteld aan informatietechnologieproducten. Het stellen van eisen aan goederen is op grond van het Europese recht toegestaan als hiervoor een toegestane uitzondering geldt en het proportioneel en subsidiair is.
In het voorliggende geval is sprake van het stellen van eisen met het oog op de bescherming van de gezondheid van personen.25 Zonder het stellen van eisen aan informatietechnologieproducten die gebruikt worden in (bepaalde onderdelen van) de zorg, kunnen gegevens niet goed worden uitgewisseld. In hoofdstuk 1 van deze memorie van toelichting is al toegelicht welke negatieve effecten dit heeft op het verlenen van goede zorg. Zoals aangegeven in paragraaf 2.1 van deze memorie van toelichting zijn er verschillende oorzaken aan te wijzen voor het niet volledig tot stand komen van elektronische gegevensuitwisseling: (1) gebrek aan eenduidigheid in taal, (2) gebrek aan eenduidigheid in techniek en (3) gebrek aan een integrale aanpak om tot gegevensuitwisseling door middel van een elektronische infrastructuur te komen en uiteenlopende belangen van verschillende betrokken partijen. De afgelopen jaren zijn er – zoals ook beschreven in paragraaf 2.2 van deze memorie van toelichting – verschillende stappen gezet om te komen tot volledige interoperabiliteit bij een zorgbrede gegevensuitwisseling. Maar het is onvoldoende gebleken om de hierboven genoemde problemen met betrekking tot gebrek aan eenduidige taal, techniek en regie op te lossen. Er is een duidelijke behoefte aan meer overheidsbetrokkenheid op dit onderwerp. Gelet op de uit hoofde van de bescherming van de gezondheid van personen noodzakelijke elektronische gegevensuitwisseling, die ertoe leidt dat goede zorg kan worden verleend, beoogt de wetgever de interoperabiliteit van de informatietechnologieproducten die de gegevensuitwisselingen moeten bewerkstelligen, te garanderen. Om deze reden wordt voorgesteld vast te leggen bij AMvB dat bij die gegevensuitwisselingen alleen informatietechnologieproducten mogen worden gebruikt waarvan is vastgesteld dat zij de beoogde interoperabiliteit kunnen bewerkstelligen. Dit zijn de informatietechnologieproducten die voldoen aan de voorschriften in de NEN-normen die bij AMvB zullen worden aangewezen.
Omdat dwingend en exclusief zal worden verwezen naar deze NEN-normen, en geen andere wijze wordt toegestaan om te bewijzen dat wordt voldaan aan de eisen die zijn opgenomen in de NEN-normen, wordt in het wetsvoorstel of de daaronder hangende AMvB vooralsnog geen clausule tot wederzijdse erkenning opgenomen. Er worden immers met dit wetsvoorstel (en de AMvB) in zijn geheel geen andere normen erkend, en dus ook geen erkenning van soortgelijke buitenlandse normen. Dit met het oog op het garanderen van volledige interoperabiliteit ten behoeve van het kunnen leveren van goede zorg. Het garanderen van volledige interoperabiliteit is noodzakelijk omdat anders de elektronische gegevensuitwisseling niet tot stand komt. De NEN-normen zijn geschikt om dit doel te bereiken, omdat de daarin opgenomen eisen voor taal en techniek bij AMvB dwingend en exclusief worden voorgeschreven waardoor volledige interoperabiliteit verzekerd wordt. Zoals weergegeven in paragraaf 2.2 van deze memorie van toelichting is er de afgelopen jaren op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering van gestandaardiseerde gegevensuitwisseling door middel van een elektronische infrastructuur. Deze minder vergaande eisen zijn echter zoals hierboven is weergegeven, onvoldoende gebleken om de genoemde problemen over gebrek aan eenduidige taal, techniek en regie op te lossen. De bij AMvB te stellen eisen gaan daarom niet verder dan nodig is om het gestelde doel van volledige interoperabiliteit te bereiken. De eisen die gesteld worden aan informatietechnologieproducten zullen daarbij geen onderscheid maken tussen nationale en buitenlandse goederen.
Het dwingend en exclusief verwijzen naar de normen zal plaatsvinden op het niveau van de AMvB.26 Ontwikkelingen in het binnen- en het buitenland staan niet stil. Niet uitgesloten is dat op termijn een andere benadering wordt gekozen, waarbij de NEN-norm een manier wordt om aan te tonen dat voldaan wordt aan de eisen, maar waarvoor dit dan niet de enige mogelijke wijze zal zijn. Dit mede in afwachting van de ontwikkeling van (internationale) normen die eveneens de interoperabiliteit kunnen garanderen van de informatietechnologieproducten die de beoogde gegevensuitwisselingen moeten bewerkstelligen. Overigens kunnen ook buitenlandse aanbieders in de tussentijd er voor kiezen informatietechnologieproducten te leveren die aan de vastgestelde Nederlandse NEN-normen voldoen.
De Europese dienstenrichtlijn beoogt de Europese interne dienstenmarkt te harmoniseren door de belemmeringen voor het vrije verkeer van diensten weg te nemen. Deze richtlijn is met name geïmplementeerd door middel van de Dienstenwet. Het wetsvoorstel bevat bepalingen die onder het toepassingsbereik van de dienstenrichtlijn kunnen vallen.
Het uitwisselen van gegevens gaat via een geheel van hardware en software, waarbij in bepaalde gevallen de software ook gebruik maakt van een geavanceerde online dienst. Deze dienstverlening valt onder de dienstenrichtlijn. Net als hiervoor beschreven ten aanzien van de informatietechnologieproducten, geldt ook voor de informatietechnologiediensten dat ze moeten voldoen aan de voorschriften in de NEN-normen die bij AMvB zullen worden aangewezen. Het stellen van eisen aan diensten is op grond van het Europese recht toegestaan als hiervoor een toegestane uitzondering geldt en het proportioneel en subsidiair is. In het voorliggende geval is sprake van het stellen van eisen met het oog op de volksgezondheid.27 De onderbouwing die in paragraaf 4.4 van deze memorie van toelichting is gegeven van het stellen aan eisen aan informatietechnologieproducten, is van overeenkomstige toepassing op het stellen van eisen aan diensten. Kortheidshalve wordt daarom verwezen naar die genoemde paragraaf.
Onder dit wetsvoorstel kunnen informatietechnologieproducten en -diensten verplicht worden voorzien te zijn van een certificaat. Daarnaast worden in het wetsvoorstel eisen gesteld aan certificerende instellingen: de certificerende instellingen moeten geaccrediteerd zijn door de RvA en aangewezen zijn door de Minister. Een certificaat, aanwijzing en accreditatie kunnen worden aangemerkt als vergunning in de zin van de dienstenrichtlijn. De richtlijn verstaat onder een vergunning een beslissing, uitdrukkelijk of stilzwijgend, over de toegang tot of de uitoefening van een dienst (zie ook artikel 1 van de Dienstenwet). Een vergunningstelsel is alleen toegestaan als aan bepaalde eisen wordt voldaan (artikel 9 van de Dienstenrichtlijn). Daaraan wordt voldaan. De bepalingen zijn non-discriminatoir, er wordt geen direct of indirect onderscheid gemaakt tussen dienstverrichters. De NEN-normen die worden voorgeschreven om een certificaat te kunnen krijgen en de eisen die gesteld worden aan certificerende instellingen zullen openbaar beschikbaar worden gesteld voor eenieder, dus ook buitenlandse dienstverrichters. De bepalingen zijn noodzakelijk uit hoofde van de volksgezondheid.28
Daarnaast zijn de verplichtingen om voorzien te zijn van een certificaat, aanwijzing en accreditatie proportioneel. Zoals in paragraaf 4.4 van deze memorie van toelichting al is aangegeven is het noodzakelijk dat dwingend en exclusief naar NEN-normen wordt verwezen om interoperabiliteit te bereiken. Om te verzekeren dat informatietechnologieproducten of -diensten aan de eisen voldoen, wordt een stelsel van certificering voorgesteld (zie ook paragraaf 3.6). Deze certificering is noodzakelijk om te verzekeren dat de informatietechnologieproducten of -diensten aan de eisen voldoen. Om certificaten te kunnen verlenen is het noodzakelijk dat degene die het certificaat verleend daartoe in staat is. Door een accreditatie voor te schrijven kan worden verzekerd dat een certificerende instelling hiertoe in staat is. Een accreditatie is geschikt om dit doel te bereiken omdat de Raad van Accreditatie op grond van Wet aanwijzing nationale accreditatie-instantie aangewezen is als nationale accreditatie-instantie en toeziet op de deskundigheid, onafhankelijkheid, onpartijdigheid en betrouwbaarheid van de certificerende instellingen. Naast het toezicht door de RvA is het vanwege de dwingende en exclusieve verwijzing naar de NEN-normen, noodzakelijk op de werking van het stelsel toezicht te houden. Door op te nemen dat de Minister certificerende instellingen dient aan te wijzen, wordt dit mogelijk gemaakt. Dit geeft de Minister de bevoegdheid om op basis van signalen in te grijpen waar nodig. Dit kan de Minister doen door een aanwijzing te schorsen of in te trekken. Dit is een terughoudende vorm van toezicht die zijn doel bereikt.
Van verplichtingen die gelden voor grensoverschrijdende dienstverrichting (hoofdstuk IV van de dienstenrichtlijn) kan sprake zijn bij verplichtingen voor dienstverrichters die grensoverschrijdende activiteiten (kunnen) verrichten, zoals van certificerende instellingen of aanbieders van informatietechnologiediensten. Artikel 16 van de dienstenrichtlijn bepaalt dat lidstaten het recht van dienstverrichters om diensten te verrichten in een andere lidstaat dan die waar zij zijn gevestigd moeten eerbiedigen. De lidstaat waar de dienst wordt verricht moet zorgen voor vrije toegang tot en vrije uitoefening van een dienstenactiviteit op zijn grondgebied. Dit artikel regelt verder dat de lidstaten de toegang tot en de uitoefening van een dienstenactiviteit op hun grondgebied niet afhankelijk mogen maken van de naleving van eisen die discrimineren (onderscheid naar nationaliteit of vestiging) of niet noodzakelijk of evenredig zijn.
De eisen in dit wetsvoorstel zijn van toepassing op alle dienstverrichters en maken daarbij geen onderscheid waardoor voldaan wordt aan het discriminatieverbod. Zoals hierboven is toegelicht, zijn de bepalingen noodzakelijk uit hoofde van de volksgezondheid.29 De eis van evenredigheid houdt in dat de eis geschikt moet zijn om het doel te bereiken en dat de eis niet verder mag gaan dan nodig is om dit doel te bereiken. Hierboven is toegelicht waarom de eisen in dit wetsvoorstel evenredig zijn.
Met dit wetsvoorstel wordt een aantal wetten aangepast, te weten de Wabvpz, de Wet publieke gezondheid (hierna: Wpg), de Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz), de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Wzd). De aanpassingen worden onderstaand in paragraaf 5.1 kort beschreven. Vervolgens wordt een beknopte toelichting gegeven op de verhouding van voorliggend wetsvoorstel ten aanzien van de WGBO en meer in het bijzonder het medisch beroepsgeheim (paragraaf 5.2) en de Wabvpz (paragraaf 5.3). Tenslotte wordt het wetsvoorstel Digitale overheid behandeld (paragraaf 5.4).
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop elektronische uitwisseling van gegevens moet plaatsvinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom worden onderstaande wetten aangepast:
– Wabvpz; met dit wetsvoorstel wordt geregeld dat artikel 15j, eerste lid, Wabvpz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
– Wvggz; met dit wetsvoorstel geregeld dat artikel 8.22, tweede lid, Wvggz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
– Wzd; met dit wetsvoorstel wordt geregeld dat artikel 18c, zesde lid, Wzd niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Een uitgebreide toelichting op de aanpassing van bovenstaande wetten is opgenomen in artikelsgewijze deel van deze memorie van toelichting (artikel 6.1 tot en met artikel 6.5).
Voor de wijziging van de Wpg geldt dat de op grond van die wet geldende verplichting in de jeugdgezondheidszorg om software af te nemen die elektronische gegevensuitwisseling mogelijk maakt, bij het voorliggende wetsvoorstel (in de AMvB) aangepast zal worden in een verplichting om gegevens uit te wisselen door middel van een elektronische infrastructuur. Hiermee wordt het bestaande beleid (stimuleren gegevensuitwisseling via een elektronische infrastructuur) bestendigd. De effecten van deze aangepaste verplichting zijn naar verwachting minimaal, omdat de noodzakelijke software al is afgenomen en het veld al gewoon is elektronisch gegevens uit te wisselen.
Het algemene uitgangspunt van ‘goed hulpverlenerschap’ is in de WGBO verankerd.30 Daarnaast is deze norm nader uitgewerkt in de (tucht-)rechtspraak en in de door de beroepsgroep opgestelde protocollen en richtlijnen. Voor hulpverleners brengt het ‘goed hulpverlenerschap’ een aantal verplichtingen met zich mee met betrekking tot de verwerking van informatie over cliënten. Zo moeten hulpverleners voldoen aan: de dossierplicht en de bewaarplicht, de geheimhoudingsplicht, en een aantal patiëntenrechten, zoals het recht op inzage en afschrift, aanvulling en vernietiging. Het voorliggende wetsvoorstel zal vaak zien op de uitwisseling van gegevens uit het medisch dossier. De bijbehorende plichten ten aanzien van het dossier en de geheimhouding en de patiëntenrechten zijn onverminderd van kracht.
Vanuit de WGBO is aan de hulpverlener de primaire verantwoordelijkheid gegeven voor het inrichten en beheren van een (elektronisch) dossier met betrekking tot de behandeling van de patiënt, ook wel de ‘dossierplicht’ genoemd. De dossierplicht houdt voor de hulpverlener in dat in het dossier aantekeningen moeten worden opgenomen van gegevens omtrent de gezondheid van de patiënt en omtrent de uitgevoerde verrichtingen die voor een goede behandeling noodzakelijk zijn.31
De hulpverlener is ook degene die eventueel gegevens uit het medisch dossier uitwisselt met anderen. Het uitwisselen van gegevens moet in overeenstemming zijn met de op de hulpverlener rustende geheimhoudingsplicht.32 Dit beroepsgeheim is onverkort van kracht bij dit wetsvoorstel en is verankerd in artikel 272 Wetboek van Strafrecht, in artikel 88 Wet BIG en in artikel 7:457 BW (WGBO).
Zoals reeds in paragraaf 2.2.1 is weergegeven regelt het wetsvoorstel niet óf uitgewisseld mag worden maar – als uitgewisseld mag of moet worden – hóe uitgewisseld moet worden (door middel van een elektronische infrastructuur, en eventueel volgens bepaalde eisen).
Dat betekent dat de kaders en regels rondom grondslagen voor gegevensverwerking (in onder meer de AVG en de UAVG) en het (doorbreken van) medisch beroepsgeheim, zoals hierboven is weergegeven niet ter discussie staan en onverminderd van kracht zijn.
Concreet wil dit zeggen dat wanneer vanwege bijvoorbeeld het medisch beroepsgeheim of het ontbreken van een grondslag voor het verwerken van (bijzondere) persoonsgegevens geen uitwisseling van die gegevens kan plaatsvinden, niet toe wordt gekomen aan de regels in dit wetsvoorstel. Kortom: er geldt géén verplichting om elektronisch gegevens uit te wisselen als er geen grondslag is voor gegevensuitwisseling of dit strijd oplevert met het medisch beroepsgeheim. In paragraaf 8.3 wordt verder ingegaan op de effecten van het wetsvoorstel op de gegevensbescherming.
Zoals bovenstaand beschreven geldt voor zorgverleners het medisch beroepsgeheim. Als een zorgverlener de gegevens van een cliënt wil uitwisselen – en dus het medisch beroepsgeheim wil doorbreken – heeft de zorgverlener een grond voor doorbreking nodig. Bijvoorbeeld, de cardioloog wil graag de medicijngegevens van een cliënt ontvangen die eerder zijn voorgeschreven door een internist, omdat een bepaalde combinatie van medicijnen een gevaar voor de gezondheid kan opleveren. De cliënt kan vervolgens de internist toestemming geven deze gegevens te delen (in de praktijk geeft de cliënt de opvolgende hulpverlener toestemming de gegevens op te vragen bij de voorgaande hulpverlener, in dit voorbeeld zal de cliënt dus toestemming geven aan de cardioloog om bij de internist de gegevens op te vragen). Als de cliënt toestemming geeft, vraagt de cardioloog aan de betreffende internist om de gegevens. De internist kan het beroepsgeheim dan doorbreken want er is sprake van toestemming. Als de gegevensuitwisseling vervolgens elektronisch plaatsvindt, zoekt de internist de noodzakelijke gegevens op in het dossier van de cliënt en verstuurt deze via een elektronische infrastructuur of zorgt dat de cardioloog de gegevens zelf kan benaderen via een elektronische infrastructuur.
Er zijn echter ook elektronische systemen die anders werken. Bij deze systemen worden de gegevens van de cliënt al van tevoren beschikbaar gesteld door de zorgverlener die deze gegevens heeft. De zorgverlener zorgt er dan voor dat de gegevens die hij heeft over de cliënt alvast raadpleegbaar zijn voor een nog onbekende zorgverlener. Die zorgverlener weet dan nog niet op welk moment en welke collega die gegevens in de toekomst gaat raadplegen. Ze staan in elk geval alvast klaar voor een uitwisseling met een andere zorgverlener.
Als er wordt gewerkt met elektronische systemen die de gegevens al van tevoren beschikbaar stellen, is in de Wabvpz geregeld dat voor dat vooraf beschikbaar stellen uitdrukkelijke toestemming nodig is van de cliënt (artikel 15a Wabvpz). Dan worden er dus nog geen gegevens uitgewisseld, ze zijn alleen beschikbaar. De elektronische systemen die op deze manier functioneren worden elektronische uitwisselingssystemen genoemd in de Wabvpz.
De situatie kan zich voordoen dat het uitwisselen van gegevens is toegestaan op basis van de WGBO; bij bijvoorbeeld een verwijzing van een huisarts naar een specialist wordt uitgegaan van veronderstelde toestemming van de cliënt aan de huisarts om zijn medisch beroepsgeheim te doorbreken. Als de uitwisseling via (beveiligde) e-mail plaatsvindt, kan de huisarts de gevraagde gegevens op basis van die veronderstelde toestemming naar de specialist sturen of de specialist toegang geven tot die gegevens.
Als echter gebruik wordt gemaakt van een systeem dat de gegevens al van tevoren beschikbaar stelt, dan is (aanvullend op de gegeven veronderstelde toestemming voor de doorbreking van het beroepsgeheim) de uitdrukkelijke toestemming van de cliënt wettelijk verplicht voor het beschikbaar stellen. Als de cliënt die toestemming niet heeft gegeven, is uitwisseling via een elektronisch uitwisselingssysteem niet mogelijk, de gegevens zijn dan namelijk niet in het systeem beschikbaar.
In relatie tot het voorliggend wetsvoorstel betekent dit dat als het binnen een gegevensuitwisseling verplicht is om uit te wisselen via een elektronische infrastructuur de wetgeving (dat wil zeggen de NEN-norm die voor een gegevensuitwisseling verplicht wordt gesteld) niet mag bepalen dat dit slechts via een elektronisch uitwisselingssysteem kan. De zorgverlener die gegevens uitwisselt (binnen de wettelijke kaders) kan dit dan immers niet in alle gevallen doen op de wijze zoals voorgeschreven in onderhavig wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke toestemming heeft gegeven.
Het wetsvoorstel digitale overheid (hierna: Wdo)33 heeft tot doel het regelen van het veilig en betrouwbaar kunnen inloggen voor Nederlandse burgers en bedrijven bij de (semi-) overheid (eID stelsel). De Wdo gaat ook gelden voor categorieën van zorgaanbieders die vallen onder de Wabvpz, in het kader van de taken waarvoor zij op basis van de Wabvpz het BSN gebruiken. Dit betekent dat deze zorgaanbieders bij de uitwisseling van gegevens (in aanvulling op eventuele eisen die gelden op grond van het voorliggende wetsvoorstel) zullen moeten voldoen aan de eisen en normen ten aanzien van veilig inloggen uit de Wdo. Op grond van dit wetsvoorstel worden dergelijke regels voor elektronische gegevensuitwisseling dan ook vooralsnog niet vastgesteld. Wel zal bij het opstellen van de (NEN-normen) de AMvB de Wdo in acht genomen worden.
De ervaring met verschillende wetgevingstrajecten heeft geleerd dat een goede implementatie veel voorbereidingstijd kost. Op tijd starten is noodzakelijk om te voorkomen dat de invoering van een wettelijke verplichting tot elektronische gegevensuitwisseling vertraging oploopt. Echter de basis voor een succesvolle implementatie ligt bij de betrokkenheid en het draagvlak van het veld om gezamenlijk de met het wetsvoorstel beoogde doelstelling te behalen. De inbreng van kennis en kunde van het zorgveld is belangrijk om het wetsvoorstel uiteindelijk met succes te kunnen implementeren. Hieraan wordt invulling gegeven door het zorgveld een belangrijke en noodzakelijke rol te geven vanaf het proces van de totstandkoming van een meerjarenagenda Wegiz (paragraaf 3.2) tot en met de daadwerkelijke implementatie van de AMvB, met inbegrip van de daarin aangewezen NEN-norm.
Draagvlak en betrokkenheid zijn ook aspecten die maken of een gegevensuitwisseling uiteindelijk bij AMvB wordt aangewezen in spoor 1 of in spoor 2 (paragraaf 3.4). Belangrijk hierbij is om te onderkennen dat ondanks dat de Minister met dit wetsvoorstel regie neemt hij geen doorzettingsmacht heeft om de totstandkoming van een NEN‑norm af te dwingen. Dit vergt tijd betrokkenheid bij de uitvoering, vereist een breed draagvlak binnen het zorgveld en gezamenlijke inspanning om interoperabiliteit op het gebied van gegevensuitwisseling te realiseren. Het veld, waaronder zorgaanbieders en aanbieders van technologieproducten en -diensten, kan actief participeren bij het ontwikkelen van de NEN-norm per gegevensuitwisseling, waarnaar in de AMvB voor de eisen aan taal en techniek zal worden verwezen. Ook worden betrokkenen in de gelegenheid gesteld om op de concept-NEN-norm te reageren gedurende de openbare consultatie daarvan (paragraaf 3.5).
In de periode nadat de AMvB in werking is getreden, dienen bijvoorbeeld certificeringsschema’s te worden opgesteld, certificerende instellingen te worden geaccrediteerd en informatietechnologieproducten of -diensten te worden gecertificeerd. Bij het bepalen van de duur van de transitieperiode zal bij de totstandkoming van de AMvB nadrukkelijk aandacht worden besteed aan onder meer de hiervoor genoemde aspecten.
Door middel van zelfevaluatie zullen individuele zorgaanbieders in staat worden gesteld, om een inschatting te kunnen maken welke maatregelen getroffen dienen te worden en de tijd en inspanning die dat vergt om uitvoering te kunnen geven aan de AMvB.
Een andere succesfactor voor implementatie en uitvoering van het wetsvoorstel is de inzet op kennis, kunde, houding en gedrag van degenen die met het wetsvoorstel moeten werken. Dat er geschikt instrumentarium is, betekent niet vanzelfsprekend dat dit ook wordt benut en op de juiste wijze wordt ingezet. Implementatie is dus niet alleen het overdragen van feitelijke kennis, maar vooral het overdragen van succesvolle werkwijzen (bepaalde vaardigheden en werkprocessen) en gedrag. Het delen van ervaringen die zijn opgedaan met de aan te wijzen gegevensuitwisseling kunnen hierbij behulpzaam zijn. Dit is ook een succesfactor gebleken bij de uitvoering van de VIPP-regelingen waarover in paragraaf 2.2.1 geschreven is.
Implementatie van deze wet vraagt veel van het zorgveld en alle betrokken partijen. Daarom is een beoordeling op effectiviteit en leren van ervaring belangrijk om te beoordelen of aanvullende maatregelen nodig zijn. Om te beoordelen of het met het wetsvoorstel beoogd doel wordt bereikt, is in artikel 7.1 een evaluatiebepaling op genomen.
Hoofdstuk 4 van het wetsvoorstel bevat de bepalingen inzake het toezicht op en de handhaving van de bij of krachtens het wetsvoorstel gestelde bepalingen. Deze zijn deels ontleend aan hoofdstuk 4 Wkkgz.
Bestuursrechtelijke handhaving omvat het houden van toezicht op de naleving van regels. Ook valt onder deze taak het behandelen van klachten over de naleving van regels en het opleggen van bestuurlijke sancties in geval van overtreding van regels. Het wetsvoorstel deelt de taak tot bestuursrechtelijke handhaving toe aan de Minister. De Minister zal de handhaving veelal mandateren aan de instantie die belast is met het toezicht, de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ). De IGJ is gespecialiseerd in en heeft veel ervaring met het toezicht houden op zorgaanbieders, en heeft daarmee zicht op de aanbieders van informatietechnologieproducten of -diensten.
De Minister wijst ambtenaren aan als toezichthouder. De bevoegdheden van de toezichthouder zijn beschreven in titel 5.2 van de Algemene wet bestuursrecht. Aanvullend hierop kan de bevoegdheid tot het betreden van een woning zonder toestemming van de bewoner worden toegekend voor het toezicht op de regels, gesteld bij of krachtens het wetsvoorstel maar alleen voor zover de woning deel uitmaakt van een bouwkundige voorziening voor het verlenen van zorg.
In het kader van het houden van toezicht op de naleving van de verplichtingen kan het noodzakelijk zijn dat de toezichthouder inzage krijgt in bijzondere persoonsgegevens. Het spreekt voor zich dat voorkomen moet worden dat deze gegevens, tenzij met toestemming van de cliënt, onder ogen van derden zouden komen. Daarom geldt voor deze gegevens een geheimhoudingsverplichting voor de toezichthouder.
In de Inspectieraad zal worden besproken hoe de samenwerking op het vlak van gegevensuitwisselingen tussen de IGJ en andere inspecties kan worden vormgegeven. Gedacht kan worden aan samenwerking met het Agentschap Telecom, dat toezicht houdt op aspecten van gegevensuitwisselingen die zijn of zullen worden geregeld in de Wdo en de Cyberbeveiligingsverordening.
Bij de keuze van het sanctiestelsel is gekeken naar de discussie die in Nederland al enige jaren speelt over de wijze van sanctioneren (bestuurlijk, strafrechtelijk of duaal), de hoogte van de op te leggen sancties en de rechtsbescherming in dat kader. Hierbij is met name relevant het advies van de Raad van State uit 201534, en de reactie daarop van het kabinet in het uitgebrachte nader rapport35 en de documenten die in dat nader rapport worden genoemd, zoals met name de kabinetsnota over de uitgangspunten bij de keuze van een sanctiestelsel.36
Uit de hierboven aangehaalde documenten blijkt dat met betrekking tot sanctionering in beginsel alle modaliteiten (bestuurlijke, strafrechtelijke of duale handhaving) mogelijk zijn. In dit wetsvoorstel is gekozen voor de bestuurlijke modaliteit en kan de Minister, wanneer een informatietechnologieproduct of -dienst in strijd met artikel 3.1 niet vergezeld gaat van een certificaat, een bestuurlijke boete opleggen. Dit is een bestuursrechtelijke punitieve sanctie. Voor dit sanctiestelsel is om de volgende redenen gekozen.37 De feitelijke pakkans wordt verhoogd door de keuze van een bestuursrechtelijke punitieve sanctie. Het gaat om een eenvoudig te identificeren maar kleine doelgroep. Bij de aard van de overtreding past veel beter een financiële sanctie dan een vrijheidsbenemende sanctie. De keuze voor een bestuursrechtelijke sanctie is proportioneel tot het herstel van de rechtsorde in algemene zin. Bovendien is bij de IGJ gespecialiseerde kennis en ervaring aanwezig om de overtreding te kunnen constateren.
In het voorgestelde artikel 4.3 is, conform artikel 5:46 van de Awb, de maximale hoogte van de op te leggen boete vastgelegd op een boete van de zesde categorie als bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht of, indien die boetecategorie geen passende bestraffing toelaat, een geldboete tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbeschikking. Dit maximum weerspiegelt het belang dat moet worden gehecht aan het gebruik van gecertificeerde informatietechnologieproducten of -diensten. Voor grote ondernemingen is de mogelijkheid opgenomen om wanneer de maximale boete in de zesde categorie niet voldoende is om afschrikwekkende werking te hebben, voor een hogere boete te gaan gebaseerd op de jaaromzet van de onderneming. Het omgekeerde is ook van toepassing ten aanzien van kleine ondernemingen. Het opleggen van het maximum bedrag dat mogelijk is zal bij kleine bedrijven in beginsel niet aan de orde zijn. Uiteindelijk blijft de precieze boetehoogte in een specifieke casus maatwerk en zal het bedrag altijd proportioneel moeten zijn in relatie tot de begane overtreding en onder meer de financiële draagkracht van het bedrijf. Een certificaat geeft immers zekerheid dat de beoogde gegevensuitwisseling kan plaatsvinden op een wijze dat zorgverleners op het juiste moment en op de juiste plek beschikken over adequate, actuele en uniforme informatie over cliënten. Overtreding kan gevolgen hebben voor de kwaliteit van de gegevensuitwisseling én daarmee uiteindelijk in een verder verband voor de gezondheid van cliënten. Van de mogelijkheid om een bestuurlijke boete op te leggen voor het aanbieden én op de ondersteuning van een informatietechnologieproduct of -dienst, wordt ook een preventief effect verwacht. Zowel de zorgaanbieder als de leverancier van de informatietechnologieproducten en -diensten zullen ervoor willen zorgen dat de juiste certificaten aanwezig zijn en de functionaliteiten van de informatietechnologieproducten en -diensten op de juiste wijze gebruikt worden bij aangewezen gegevensuitwisselingen. De informatietechnologieproducten en -diensten die gebruikt worden voor het uitwisselen van gegevens, maar die niet uitgewisseld worden in een aangewezen gegevensuitwisseling, vallen niet onder de wettelijke verplichting en daarop kan de handhaving in het kader van dit wetsvoorstel dan ook niet zien.
In aanwijzing van een gegevensuitwisseling in spoor 1 zal worden toegezien dat zorgverleners bij het uitwisselen van gegevens ten minste gebruik maken van een elektronische infrastructuur. Ook wordt toegezien op de naleving van de bij AMvB gestelde eisen die ertoe leiden dat het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling kan plaatsvinden op een functionele, technische of organisatorische wijze. Het toezicht in spoor 1 ziet niet op de wijze en snelheid waarmee de betrokken (zorg)partijen invulling geven aan de gezamenlijke ambitie van het veld om de gegevensuitwisseling door middel van een elektronische infrastructuur van spoor 1 naar spoor 2 te brengen.
In spoor 2 houdt de IGJ toezicht op de verplichtingen die rusten op de zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten. Dit betekent dat erop wordt toegezien dat zorgverleners de NEN-norm naleven, zorgverleners enkel gebruik maken van gecertificeerde informatietechnologieproducten of -diensten en aanbieders van informatietechnologieproducten of -diensten deze producten en diensten alleen aanbieden met een certificaat. Het toezicht van de IGJ zal in praktijk vooral bestaan uit het opvragen van stukken en het vorderen van informatie (bevragen) van zorgaanbieders waaruit blijkt dat is geborgd dat zorgverleners conform de NEN-norm handelen. Het toezicht van de IGJ heeft daarmee geen betrekking op eisen aan informatietechnologieproducten en -diensten waarvoor een certificaat is afgegeven. In het stelsel van verplichte certificering, is de certificerende instelling degene die moet beoordelen of aan deze eisen wordt voldaan. Dit is immers een randvoorwaarde voor het kunnen afgeven en verlengen van een certificaat. Of de certificerende instelling deze beoordeling goed uitvoert, wordt gecontroleerd door de RvA.
Wel heeft de IGJ een rol in het stelseltoezicht op de certificerende instellingen; zie in dit verband paragraaf 7.6.
Voor artikel 2.1 (verplichtingen aan zorgaanbieders) geldt dat een schriftelijke aanwijzing aan zorgaanbieders kan worden ingezet. Een schriftelijke aanwijzing geeft de Minister de bevoegdheid tot het concretiseren van de norm, in de vorm van een aanwijzing, in die gevallen waarin sprake is van een tekortkoming. De aanwijzing geeft de situatie aan die de zorgaanbieder moet creëren en bevat de termijn waarbinnen aan de aanwijzing moet zijn voldaan.
Aanvullend daarop kunnen de last onder bestuursdwang en de last onder dwangsom als bestuursrechtelijke herstelsancties worden ingezet. Deze sancties, die tot doel hebben een overtreding te beëindigen, zijn gereguleerd in hoofdstuk 5, titel 5.3, van de Algemene wet bestuursrecht. Deze herstelsancties kunnen worden gehanteerd om een aanwijzing kracht bij te zetten, maar ook om – wanneer meer snelheid geboden is – snel in te kunnen grijpen. Het is aan de professionele inschatting van de Minister of van de instantie waaraan de handhaving gemandateerd is om te bepalen welk instrument het meest passend is in een bepaalde situatie. Deze systematiek voor handhaving is ontleend aan hoofdstuk 4 van de Wkkgz.
Voor gegevensuitwisselingen die zijn aangewezen in spoor 2, is de eis gesteld dat informatietechnologieproducten of -diensten voorzien moeten zijn van een certificaat. Certificerende instellingen geven op aanvraag en voor zover aan de eisen wordt voldaan een certificaat af voor een informatietechnologieproduct of -dienst. De certificerende instelling zal er ingevolge de certificatieschema’s op moeten toezien dat een informatietechnologieproduct of -dienst blijft voldoen aan de eisen. De certificerende instelling zal hiertoe steekproefsgewijs controles en administratieve audits uitvoeren. De certificerende instelling kan, wanneer het tot de conclusie komt dat niet voldaan wordt aan de eisen, het certificaat schorsen of intrekken. Een aanbieder die het daarmee niet eens is, kan zich wenden tot de bestuursrechter. Omdat in dit wetsvoorstel conformiteitbeoordelingen verplicht zijn gesteld, kunnen de certificerende instanties die deze beoordelingen uitvoeren worden aangemerkt als bestuursorgaan. Immers, een certificerende instelling beslist feitelijk of een informatietechnologieproduct of -dienst al dan niet in de markt mag worden gezet. Hiermee moet een certificerende instelling geacht te zijn bekleed met openbaar gezag. Dit houdt in dat de certificerende instellingen voor het verstrekken van certificaten op grond van dit wetsvoorstel bestuursorganen zijn en de besluiten die ze in dat kader nemen, besluiten zijn in de zin van de Algemene wet bestuursrecht. Een certificerende instelling moet bij deze activiteiten aan alle eisen voor een bestuursorgaan voldoen en haar besluiten staan open voor bezwaar en beroep.
Certificerende instellingen kunnen alleen toezien op informatietechnologieproducten of -diensten waarvoor een certificaat is verleend. Wanneer er geen aanvraag om een certificaat wordt ingediend, of het certificaat wordt geweigerd, is het informatietechnologieproduct of -dienst niet in beeld bij de certificerende instelling. Daarom houdt de door de Minister aangewezen toezichthouder, de IGJ, toezicht op de aanwezigheid van een certificaat.
In het geval de Minister in het uiterste geval ter waarborging van de continuïteit van het systeem gebruik maakt van de bevoegdheid om zelf te certificeren, komt de Minister in die specifieke omstandigheid de bevoegdheid toe om het certificaat te schorsen of in te trekken. Daarvan kan sprake zijn in het geval de minister tot de conclusie komt dat niet worden voldaan aan de gestelde eisen.
Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling wordt ingetrokken. Dit kan bijvoorbeeld zijn omdat de certificerende instelling zich van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing. Uit het intrekken van de aanwijzing van de certificerende instelling kan niet direct een oordeel gegeven worden over de vraag of het informatietechnologieproduct of -dienst voldoet aan de NEN-norm die geldt voor de aangewezen gegevensuitwisseling waarvoor het informatietechnologieproduct of -dienst wordt gebruikt. In het geval de accreditatie van de certificerende instelling wordt ingetrokken kan niet met zekerheid worden gesteld dat certificaat voor het informatietechnologieproduct of -dienst terecht is verleend. Maar in alle gevallen geldt dat er een overgangstermijn nodig is waarin de aanbieder van het informatietechnologieproduct of -dienst de tijd heeft om een nieuwe certificerende instelling te vinden die de taken van de vorige certificerende instelling overneemt. Voorgesteld wordt daarom dat de afgegeven certificaten voor een informatietechnologieproduct of -dienst nog twaalf maanden geldig zijn. Deze geldigheid vloeit voort uit de wet zelf en geldt ook wanneer de geldigheid van het certificaat zelf op een korte termijn was bepaald. In deze twaalf maanden kan de aanbieder van het product doorgaan met het product op de markt te brengen. Zoals hiervoor aangegeven zegt het wegvallen van de certificerende instelling in eerste instantie namelijk niets over de conformiteit van het informatietechnologieproduct of -dienst met de NEN-norm. Mocht er geen opvolgende certificerende instelling zijn dan kan worden teruggevallen op artikel 3.2, zevende lid, waarbij de minister vanwege de borging van de continuïteit van het systeem de dossiers van de certificerende instelling en ook diens taken overneemt.
Wanneer een certificerende instelling of in het uiterste geval de Minister een certificaat schorst of intrekt, dient de zorgaanbieder in de gelegenheid te worden gesteld om een nieuw informatietechnologieproduct of -dienst aan te schaffen en te implementeren binnen de eigen organisatie. Dit om te voorkomen dat de continuïteit van de gegevensuitwisseling in gevaar wordt gebracht. De termijn voor deze transitie dient zo kort mogelijk te zijn. Immers het informatietechnologieproduct of -dienst voldoet niet (volledig) aan de voor die aangewezen gegevensuitwisseling geldende NEN-norm. Daarom is ervoor gekozen een standaardtermijn van 6 maanden te hanteren (artikel 3.5, derde lid). Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat de zesmaandentermijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (artikel 3.5, vierde lid). Aan dit besluit tot verlenging kan de Minister voorwaarden verbinden. Tegen het besluit van de Minister om het voortgezet gebruik na zes maanden verder te verlengen, kunnen rechtsmiddelen worden aangewend.
De certificerende instellingen die certificaten mogen verlenen, worden aangewezen door de Minister. De Minister wijst alleen certificerende instellingen aan die geaccrediteerd zijn door de RvA volgens Europese geharmoniseerde normen of die hiervoor ten minste een aanvraag tot accreditatie hebben ingediend. Het toezicht op het functioneren van de certificerende instellingen vindt primair plaats door de RvA. De RvA ziet toe op de deskundigheid, onafhankelijkheid, onpartijdigheid en betrouwbaarheid van de certificerende instellingen. Dit doet de RvA door periodiek te controleren. De RvA kan, wanneer de RvA tot de conclusie komt dat niet voldaan wordt aan de eisen, de accreditatie intrekken of schorsen. Dit volgt uit de Wet aanwijzing nationale accreditatie-instantie en de daarbij behorende beleidsregel Accreditatie.38 Een certificerende instelling die het daarmee niet eens is, kan bezwaar indienen en zich vervolgens wenden tot de bestuursrechter. Immers, de RvA beslist feitelijk of een certificerende instelling zich op de markt mag bewegen (voor het verlenen van certificaten voor informatietechnologieproducten of -diensten die voorzien moeten zijn van een certificaat). Hiermee moet de RvA geacht te zijn bekleed met openbaar gezag. Dit houdt in dat de RvA voor het accrediteren van certificerende instellingen op grond van dit wetsvoorstel een bestuursorgaan is en de besluiten die hij in dat kader neemt besluiten zijn in de zin van de Algemene wet bestuursrecht. De RvA moet bij deze activiteiten aan alle eisen voor een bestuursorgaan voldoen en zijn besluiten staan open voor bezwaar en beroep.
Van de beslissing van de RvA om een accreditatie in te trekken of te schorsen moet de Minister worden geïnformeerd, omdat de beslissing gevolgen kan hebben voor de aanwijzing van de certificerende instelling door de Minister. Doorgaans zal intrekking of schorsing van een accreditatie leiden tot intrekking of schorsing van de aanwijzing door de Minister. Dit zal bij AMvB nader worden geregeld op grond van artikel 3.3, aanhef en onder c, van het wetsvoorstel.
Aangezien de RvA al in belangrijke mate toezicht houdt op certificerende instellingen, zal het toezicht door de Minister op certificerende instellingen terughoudend zijn en georganiseerd worden in overleg met de RvA. Dit laat onverlet dat de Minister stelselverantwoordelijk is en dus toezicht moet kunnen houden en, wanneer dit nodig is, moet kunnen ingrijpen. Dit volgt ook uit het kabinetsstandpunt voor conformiteitsbeoordeling en accreditatie.39 Dit is kwaliteitstoezicht dat erop is gericht om het stelsel goed te laten functioneren. Het is er niet op gericht om te controleren of iedere individuele aangewezen certificerende instelling aan de eisen voldoet. Immers, de RvA houdt al in belangrijke mate toezicht op certificerende instellingen zodat het toezicht door de Minister op certificerende instellingen terughoudend zal zijn. Kortom, het toezicht door de Minister op aangewezen certificerende instellingen moet worden ingevuld als stelseltoezicht. Het toezicht door de Minister zal georganiseerd worden in overleg met de RvA. Gelet op het terughoudende karakter van het stelseltoezicht, zal reactief toezicht gehouden worden op basis van signalen over het functioneren van specifieke aangewezen certificerende instellingen. De IGJ heeft dus eerst en vooral een onderzoeks- en signaalfunctie. De toezichthouder zet signalen door naar certificerende instellingen, de RvA of de Minister, waarna wordt bepaald welke vervolgstappen worden gezet. Ook kan stelseltoezicht op een projectmatige manier worden ingevuld om een beeld te vormen van het functioneren van het stelsel, bijvoorbeeld ten aanzien van een specifiek thema. Afhankelijk van risico’s en de kenmerken van een bepaalde gegevensuitwisseling kan (de intensiteit van) het toezicht door de toezichthouder verschillend worden ingevuld.
Daarnaast is in dit wetsvoorstel geregeld dat bij AMvB regels gesteld kunnen worden over:
– de voorwaarden waaronder een certificerende instelling wordt aangewezen. Beoogd is om een verplichting op te nemen voor aangewezen certificerende instellingen om de Minister op gezette tijden te informeren over deze voorwaarden via een rapportage;
– de gevolgen van vrijwillige of gedwongen beëindiging van de werkzaamheden als certificerende instelling, zoals overdracht van de dossiers;
– de gronden waarop en de voorwaarden waaronder de Minister de aanwijzing van een certificerende instelling kan wijzigen, schorsen of intrekken. Het gaat duidelijkheidshalve niet om een privaatrechtelijke handhaving, maar om een bestuursrechtelijk sanctiemiddel. Dit sanctiemiddel moet worden gezien als een uiterst middel als de privaatrechtelijke handhaving door de RvA onverhoopt niet het gewenste resultaat oplevert. Een certificerende instelling die het niet eens is met het intrekken of schorsen van de aanwijzing, kan in bezwaar bij de RvA en in beroep gaan bij de bestuursrechter.
Dit hoofdstuk geeft een overzicht van de effecten die het wetsvoorstel naar verwachting op de Nederlandse samenleving zal hebben. Daarbij wordt ingegaan op zowel de sociale (regeldruk en rechtspraak) als de economische effecten (lasten).
Met dit wetsvoorstel wordt stap voor stap (gegevensuitwisseling na gegevensuitwisseling) de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners bij het uitwisselen van gegevens ten minste gebruik maken van een elektronische infrastructuur en worden genormaliseerde eisen gesteld aan informatietechnologieproducten of -diensten. De financiële effecten zullen per aangewezen gegevensuitwisseling verschillend zijn. De financiële gevolgen van dit wetsvoorstel zijn daarmee vooral verbonden aan de AMvB, waarbij gegevensuitwisselingen worden aangewezen.
Zoals in paragraaf 3.2 is weergegeven toetst de Minister voorafgaande aan het bij AMvB aanwijzen van een (prioritaire) gegevensuitwisseling of de aanwijzing toegevoegde waarde heeft. In dat kader wordt een MKBA uitgevoerd.
Bij een MKBA worden de kosten en baten voor de gehele maatschappij beschouwd. Uit een dergelijke analyse zullen onder meer de transitiekosten blijken en de structurele kosten en baten bij betrokken partijen. Op basis van de MKBA voor een aan te wijzen gegevensuitwisseling zal worden beoordeeld of het noodzakelijk is om, bijvoorbeeld, te komen tot vereffening van kosten en baten dan wel een oplossing voor de transitiekosten. Overigens zal bij de aanwijzing van een gegevensuitwisseling bij AMvB in de nota van toelichting uiteraard altijd ingegaan worden op de financiële gevolgen.
De verplichting voor zorgaanbieders om in spoor 2 gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten, zal tot implementatiekosten en nalevingskosten leiden. De kosten en baten zullen per gegevensuitwisseling verschillen en, zoals hiervoor besproken, vooraf in kaart worden gebracht. Hierbij zal uiteraard per gegevensuitwisseling rekening worden gehouden met de grote diversiteit binnen het zorgveld. Het zorgveld strekt zich uit van academische ziekenhuizen tot solistisch werkende zorgverleners. Wel is belangrijk om te vermelden dat het uitgangspunt is dat de (investerings)kosten voor de implementatie van de wettelijk verplichte gegevensuitwisseling worden opgebracht uit de bedrijfsvoeringsmiddelen van de zorgaanbieders.
Gezien de aard van het wetsvoorstel is in de fase van beleidsontwikkeling een bedrijfseffectentoets (hierna: BET) uitgevoerd. Uit de BET volgt dat zorgaanbieders te maken krijgen met eenmalige effecten en structurele effecten.
Eenmalige effecten waar zorgaanbieders mee te maken krijgen zijn:
– kosten voor kennisname van de nieuwe regelgeving;
– kosten voor het eventueel zoeken naar en aanschaffen van nieuwe informatietechnologieproducten en -diensten als de bestaande informatietechnologieproducten of -diensten niet voldoen;
– kosten voor aanpassing van bestaande dossiervoering, communicatie en werkprocessen;
– kosten voor het opleiden van zorgverleners om te kunnen werken met nieuwe of aangepaste informatietechnologieproducten en -diensten; en
– kosten voor het implementeren van nieuwe informatietechnologieproducten en -diensten.
De kosten en baten hiervan zullen per te verplichten gegevensuitwisseling en per organisatie verschillen.
Structurele effecten waar zorgaanbieders mee te maken krijgen zijn:
– voldoen aan de eisen die mogelijk gaan gelden voor zorgaanbieders. In de nog op te stellen normen kunnen namelijk ook verplichtingen worden opgelegd aan de zorgaanbieders;
– toezien dat bij aangewezen gegevensuitwisselingen het uitwisselen van gegevens door zorgverleners elektronisch en volgens de daarvoor geldende eisen plaatsvinden. Hiertoe zullen zij naar verwachting periodiek controles uitvoeren bij zorgverleners; en
– toename in beheerkosten (bijvoorbeeld door stijgende kosten van licenties).
Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen, moet duidelijk zijn om welke gegevens het gaat. Daarbij zal het vaak van belang zijn om te kunnen verwijzen naar een of meer kwaliteitsstandaarden. Een mogelijk effect van het wetsvoorstel is dat bij het ontbreken van een kwaliteitsstandaard deze alsnog dient te worden opgesteld. Daarnaast is bekend dat in de thans bestaande kwaliteitsstandaarden niet in alle gevallen een beschrijving van het ‘wat’ aanwezig is die ook zal moeten worden opgesteld. Dit brengt lasten mee voor partijen die de kwaliteitsstandaarden opstellen.
Een ander mogelijk effect van het wetsvoorstel is gelegen in het onderscheid tussen aanwijzing in spoor 1 dan wel spoor 2. Zoals eerder toegelicht wordt onder aanwijzing in spoor 1 voor een gegevensuitwisseling in eerste instantie alleen de verplichting opgelegd om gegevens langs elektronische weg uit te wisselen. Wanneer een gegevensuitwisseling is aangewezen in spoor 1, bestaat bij het veld de ambitie om uiteindelijk de stap te zetten naar een aanwijzing in spoor 2. In dat licht is de verwachting dat het veld zelf aan de slag gaat met de normalisatie van eisen die gesteld worden aan taal en techniek. Om het risico op desinvestering te beperken, is het van belang dat alle betrokken partijen kunnen participeren in de totstandkoming van de NEN‑norm per gegevensuitwisseling. Dit is geborgd door de werkwijze van NEN. In de NEN‑normwerkgroepen worden immers alle belanghebbenden betrokken bij het opstellen van de eisen aan taal en techniek, zoals die gelden bij een aanwijzing in spoor 2. Het effect van deze werkwijze is dat het een tijdsinvestering van het zorgveld zal vergen om de NEN-norm te realiseren.
Het wetsvoorstel heeft potentieel ook structurele positieve financiële effecten voor zorgaanbieders. Wanneer de wetgeving haar doel bereikt en de zorgverleners beschikken over adequate, actuele en uniforme informatie op de juiste plek op het juiste moment, dan zal dit een positief effect hebben op de regeldruk voor de zorgverleners. Zoals in hoofdstuk 1 van deze memorie van toelichting is toegelicht, verliezen de zorgverleners nu veel tijd met (extra) administratieve handelingen, zoals door het overtypen van gegevens, het fysiek overdragen van gegevens of met het achterhalen van ontbrekende gegevens. Door minder tijd kwijt te zijn aan dit verzamelen en gereed maken van informatie voor verzending, kan er meer (vaak kostbare) tijd besteed worden aan het verlenen van zorg. Hierdoor kunnen bijvoorbeeld meer cliënten worden gezien, waardoor de kosten per cliënt afnemen. Bovendien kan worden vermeden dat door gebrekkige gegevens de zorgverleners onnodige, soms kostbare, onderzoeken (over) moeten doen. In paragraaf 2.1 van deze memorie van toelichting is aangeven dat er jaarlijks meer dan 460.000 verpleegkundige overdrachten plaatsvinden tussen zorgaanbieders en dat een verpleegkundige overdracht nu in totaal meer dan 4 uur kosten, omdat er tot 8 keer dezelfde informatie moet worden overgetypt.40 Uit een pilot in de regio Amsterdam bleek dat het elektronisch uitwisselen van gegevens op basis van eenduidige afspraken tussen verpleegkundigen tot ruim twee uur tijdsbesparing per overdracht kan opleveren.41
Bijkomend voordeel van dit wetsvoorstel is bovendien dat gegevens eenvoudiger kunnen worden hergebruikt voor secundair gebruik (kwaliteitsaanleveringen en onderzoek), wat ook het aantal administratieve handelingen beperkt.
Mocht daarnaast blijken dat bepaalde zorgaanbieders meer tijd en middelen nodig hebben om te voldoen aan de eisen, dan kan zo nodig in de AMvB ervoor gekozen worden een langere overgangstermijn aan te houden.
Dit wetsvoorstel brengt geen lasten mee voor cliënten. Het wetsvoorstel richt zich namelijk op de gegevensuitwisseling door middel van een elektronische infrastructuur tussen zorgverleners over de cliënt. Het wetsvoorstel heeft wel positieve gevolgen voor de cliënt. Niet alleen is de verwachting dat met dit wetsvoorstel het risico op vermijdbare fouten merkbaar wordt verkleind, ook heeft dit wetsvoorstel positieve effecten op de lasten van cliënten. Zo is het niet meer nodig dat gegevens bij een opvolgende zorgverlener opnieuw moeten worden aangeleverd. Dit leidt tot de uitvraag van minder (administratieve) gegevens en tot minder onnodige onderzoeken met mogelijk verkeerde behandelingen tot gevolg. Omdat gegevens elektronisch beschikbaar worden, kunnen deze bovendien makkelijker elektronisch worden uitgewisseld met de cliënt zelf. Het gaat immers bij gegevensuitwisseling tussen zorgverleners vaak om dezelfde gegevens.
Voor de certificerende instellingen bestaan de eenmalige lasten uit de kosten om zich te laten accrediteren en aan te laten wijzen door de Minister. In paragraaf 3.4 is al ingegaan op certificeringsproces.
Structurele kosten zijn:
– het onderhouden van de accreditatie en aanwijzing;
– het verrichten van steekproefsgewijze controles en administratieve audits door de RvA;
het beheer van certificatieschema’s.
Aanbieders van informatietechnologieproducten of -diensten zullen (initieel) extra werk moeten verzetten en investeringen moeten doen om ervoor te zorgen dat de informatietechnologieproducten of -diensten voldoen aan de eisen en dat er een certificaat kan worden aangevraagd en toegekend.
Uit de hierboven genoemde BET volgt dat aanbieders van informatietechnologieproducten of -diensten te maken krijgen met eenmalige effecten en structurele effecten.
Eenmalige effecten waar aanbieders van informatietechnologieproducten of -diensten mee te maken krijgen zijn:
– kosten voor kennisname van de nieuwe regelgeving (waaronder de technische eisen die gaan gelden);
– initiële kosten voor het aanvragen van een certificaat voor hun product of dienst. Dit betreft kosten voor het aanschaffen van het certificaat zelf en voor het proces om het certificaat te verkrijgen. Hoe hoog de kosten voor het certificeren van een product zullen zijn, hangt af van het aantal aangewezen gegevensuitwisselingen dat het product of de dienst ondersteunt en het aantal deelcertificaten dat nodig is voor een certificaat;
– kosten om de producten en diensten inhoudelijk aan te passen of te ontwikkelen zodat ze aansluiten op de eisen uit de norm en daarvoor een certificaat kan worden verkregen;
– kosten voor het opleiden van medewerkers om te kunnen werken volgens de nieuwe (technische) eisen; en
– kosten voor de aanpassing van werkprocessen, het aanpassen en opstellen van handleidingen, communicatie en informatie richting bestaande klanten.
De hoogte van de kosten voor het aanpassen van de informatietechnologieproducten en -diensten zal per norm en per product of dienst verschillen. Dit omdat de aanpasbaarheid van producten en diensten verschilt per aanbieder en product of dienst. Ook omdat de normen kunnen verschillen in de impact op de techniek van een product of dienst.
Structurele effecten waar aanbieders van informatietechnologieproducten of -diensten mee te maken krijgen zijn:
– periodiek hercertificeren om aan te tonen dat een informatietechnologieproduct of -dienst nog steeds voldoet aan de gestelde eisen. De kosten hiervoor zullen naar verwachting lager zijn dan de initiële kosten voor het certificeren van de producten en diensten;
– kosten van steekproefsgewijze controles en administratieve audits vanuit de certificerende instellingen.
Een bijkomend positief effect van het wetsvoorstel is dat het voor aanbieders van informatietechnologieproducten of -diensten eenvoudiger wordt om hun product of dienst zonder aanpassingen te doen inpassen bij meerdere zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer.
De kosten die aanbieders van informatietechnologieproducten of -diensten maken, zullen zij naar verwachting grotendeels doorberekenen aan zorgaanbieders. Voor kleine aanbieders van informatietechnologieproducten of -diensten betekent dit dat de prijs van de producten en diensten waarschijnlijk meer zal stijgen ten opzichte van de grote aanbieders, omdat zij minder klanten hebben waarover de gemaakte kosten verdeeld kunnen worden. Zie ook paragraaf 8.2.1.
Naar schatting zullen de totale kosten in het kader van normalisatie in de eerste jaren ongeveer 1,5 miljoen euro per jaar bedragen. Dit zal met name bestaan uit:
– de kosten voor de ontwikkeling en de validatie van nieuwe normen en certificatieschema’s; en
– de kosten voor het beheer en de overdracht van de auteursrechten aan de overheid van de in opdracht ontwikkelde normen (ten behoeve van de openbare beschikbaarstelling van deze normen).
De kosten voor het afkopen van de licentiekosten die verbonden zijn aan het gebruik van de normen zullen de komende jaren toenemen naarmate er meer naar normen wordt verwezen bij AMvB. Deze kosten zullen worden meegenomen in de begroting van het ministerie van VWS. Overigens is van een aantal normen de auteursrechten al overgenomen (NEN 7510, NEN 7512 en NEN 7513). De verwachting is dat bij AMvB naar deze normen zal worden verwezen.
Onder hoofdstuk 7 inzake toezicht en handhaving is geduid dat de IGJ een belangrijke rol gaat spelen in het toezicht (en gemandateerd de handhaving) van de plichten die gaan gelden voor zorgaanbieders en eisen die gesteld worden aan informatietechnologieproducten of -diensten.
Het toezicht op de plichten voor zorgaanbieders ligt in het verlengde van de taken die de IGJ al heeft in het kader van de Wkkgz. De verwachting is daarom niet dat deze taak veel (personele) effecten heeft voor de IGJ. Daarbij speelt mee dat een deel van de taak wordt vergemakkelijkt doordat gewerkt wordt met gecertificeerde informatietechnologieproducten of -diensten. Immers, wanneer een zorgaanbieder het certificaat toont, kan aangenomen worden dat de zorgaanbieder gebruik maakt van een informatietechnologieproduct of -dienst dat of die voldoet aan de eisen. De IGJ hoeft dan niet zelf het product of de dienst te gaan beoordelen.
De effecten voor de IGJ zijn echter pas exact te bepalen, wanneer er duidelijkheid is over het toezichtsarrangement (bijvoorbeeld risico gestuurd, volgens een vaste cyclus, thematisch42 of steekproefsgewijs). Hier wordt op dit moment nog over nagedacht. Afhankelijk van het toezichtsarrangement waarvoor gekozen wordt, is er meer of minder effect op de (personele) inzet van de IGJ. Bij de AMvB zal steeds worden ingegaan op de effecten van deze taak voor de IGJ.
De IGJ gaat ook toezicht houden op de plicht voor informatietechnologieproducten of -diensten om voorzien te zijn van een certificaat. Deze vorm van toezicht is nieuw voor de IGJ. Dit betekent dat deze vorm van toezicht ingebed moet worden in de organisatie, het personeel hiervoor opgeleid moet worden en meer personeel nodig is. De exacte gevolgen van deze nieuwe taak is pas te bepalen wanneer er duidelijkheid is hoeveel informatietechnologieproducten of -diensten zijn gecertificeerd. Dit wordt pas duidelijk als een gegevensuitwisseling en de relevante eisen worden aangewezen bij AMvB. Bij de AMvB zal dan ook steeds worden ingegaan op de effecten van deze taak voor de IGJ.
In de paragrafen 7.5 en 7.6 is weergegeven dat bezwaar kan worden ingediend tegen besluiten van certificerende instellingen inzake het al dan niet verlenen van een certificaat, besluiten van de RvA inzake het al dan niet accrediteren van een certificerende instelling, besluiten van de Minister inzake het al dan niet aanwijzen van een certificerende instelling en besluiten van de Minister om de duur van het gebruik van een ingetrokken of geschorst certificaat te verlengen. Daarna kan beroep worden ingediend bij de bestuursrechter. Daarnaast kan uiteraard bezwaar en beroep worden ingediend tegen handhavingsbesluiten.
Naar verwachting gaat het hierbij niet om grote aantallen zaken. De exacte gevolgen zijn echter pas te bepalen wanneer een gegevensuitwisseling (met eisen) wordt aangewezen bij AMvB. Pas dan is beter in te schatten hoeveel certificaten, aanwijzingen of accreditaties verleend zullen worden. Bovendien is dan ook beter in te schatten hoeveel handhavingsbesluiten verwacht worden. Hier kan immers een onderscheid zijn tussen de situatie dat de aanwijzing van een gegevensuitwisseling een sluitstuk is van een bestaande ontwikkeling van het veld (en het veld dus grotendeels al voldoet aan de eisen) en de situatie dat de aanwijzing van een gegevensuitwisseling sturend is (en het veld grotendeels nog niet voldoet aan de eisen). Bij de AMvB zal dan ook steeds worden ingegaan op de effecten voor de rechtspraak.
Dit wetsvoorstel ziet op zorgaanbieders en leveranciers van informatietechnologieproducten of -diensten. Decentrale overheden kunnen zorgaanbieders zijn in de zin van dit wetsvoorstel, zoals in het geval van jeugdgezondheidszorg. Voor die gevallen geldt wat in paragraaf 8.1.1 is toegelicht.
Dit wetsvoorstel ziet niet op zorgaanbieders en leveranciers van informatietechnologieproducten of -diensten in Caribisch Nederland. Voor het effectief elektronisch uitwisselen van gegevens over cliënten tussen zorgverleners is een zekere schaalgrootte noodzakelijk. Deze schaalgrootte is in Caribisch Nederland niet aanwezig. Er zijn daarom geen lasten voor Caribisch Nederland.
Met dit wetsvoorstel wordt de marktwerking beperkt, doordat zorgaanbieders worden verplicht om binnen de aangewezen gegevensuitwisselingen gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten (als voor die informatietechnologieproducten of -diensten is bepaald dat ze voorzien moeten zijn van een certificaat) en het certificaat voor een product of dienst alleen wordt verleend als voldaan is aan de eisen die opgenomen zijn in een aangewezen NEN-norm. Het is immers niet langer voor elke aanbieder van informatietechnologieproducten of -diensten mogelijk om deze producten of -diensten aan te bieden. In de paragrafen 4.4 en 4.5 van deze memorie van toelichting is al toegelicht dat deze inbreuk op het vrij verkeer van goederen en diensten gerechtvaardigd wordt geacht.
De verwachting is dat het wetsvoorstel twee negatieve effecten heeft op de markt:
– Hoewel in de normen zoveel mogelijk gebruik wordt gemaakt van (internationale) open standaarden, kan dit wetsvoorstel ervoor zorgen dat aanbieders van informatietechnologieproducten of -diensten maatwerkoplossingen zullen moeten ontwikkelen voor de Nederlandse markt. Dit kan tot gevolg hebben dat aanbieders van informatietechnologieproducten of -diensten ervoor kiezen om hun producten niet (langer) op de Nederlandse markt aan te bieden, omdat ze liever willen investeren in schaalbare oplossingen.
– Kleine aanbieders van informatietechnologieproducten of -diensten kunnen de kosten die zij moeten maken voor certificering en het aanpassen van hun producten of diensten over minder klanten spreiden en zullen daarom op prijs niet gemakkelijk kunnen concurreren met grote aanbieders. Dit kan ertoe leiden dat deze kleine aanbieders niet meer mee kunnen doen op de markt.
De verwachting is dat het wetsvoorstel ook positieve effecten heeft op de marktwerking:
– Het stellen van eisen aan informatietechnologieproducten of -diensten beperkt naar verwachting de afhankelijkheid van klanten van hun leverancier voor deze producten en diensten, omdat ze beter in staat zijn om van leverancier te veranderen zonder substantiële omschakelingskosten of ongemak. Ook leidt het stellen van eisen ertoe dat producten en diensten volledig interoperabel worden. Dit maakt het voor aanbieders van deze producten of diensten makkelijker om toe te treden tot de zorgmarkt. Het wordt namelijk minder makkelijk om klanten en data af te schermen voor andere aanbieders, zodat zorgaanbieders makkelijker over kunnen stappen naar een ander product of een andere dienst. Doordat meer aanbieders informatietechnologieproducten of -diensten op de zorgmarkt zullen komen, krijgen zorgaanbieders keuze tussen verschillende informatietechnologieproducten of -diensten.
– De eisen die worden gesteld over het genormaliseerd uitwisselen van gegevens door middel van een elektronische infrastructuur (aanwijzing in spoor 2), versterken de marktwerking. Genormaliseerde eisen zien niet op eén specifieke elektronische infrastructuur. Het gebruik van standaarden maakt ook dat een informatietechnologieproduct of -dienst zonder grote aanpassingen bij veel zorgaanbieders bruikbaar is. Daarmee is het voor aanbieders van informatietechnologieproducten of -diensten eenvoudiger om hun product of dienst zonder aanpassingen te doen inpassen bij zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer.
– Certificering versterkt de transparantie en daarmee de marktwerking. Het wordt namelijk voor alle zorgaanbieders helder welke informatietechnologieproducten of -diensten aantoonbaar voldoen aan de eisen. Dit maakt het beter mogelijk om producten te vergelijken.
Om de positieve effecten op de marktwerking te kunnen realiseren, is het van groot belang dat ook kleine aanbieders van informatietechnologieproducten of -diensten en potentiële nieuwe toetreders worden betrokken bij de ontwikkeling van de normen. Dit is geborgd door de werkwijze van NEN (zie paragraaf 3.3). Zo zijn zij vroegtijdig op de hoogte, zodat zij op tijd kunnen starten met het inbouwen van de normen in de informatietechnologieproducten en -diensten, en kunnen zij invloed uitoefenen op de ontwikkeling van de standaarden.
Voor aangewezen gegevensuitwisselingen zal uiteindelijk de verplichting gelden (aanwijzing in spoor 2) dat deze op genormaliseerde wijze dienen plaats te vinden. Het kan zijn dat normalisatie een dempend effect heeft op innovatie. Bijvoorbeeld als het gebruik van een bepaald product wordt voorgeschreven hetgeen de ontwikkeling van een ander, beter product kan belemmeren. Dit wordt ondervangen door de normen periodiek te herzien. Zo kunnen innovatieve ontwikkelingen tijdig meegenomen worden. Bovendien kan normalisatie ook indirect bijdragen aan innovatie. Normalisatie leidt namelijk tot volledige interoperabiliteit die op zijn beurt kan bijdragen aan innovatie van primaire zorgprocessen. Daarnaast dragen normen bij aan het ontstaan van een gelijk speelveld waarmee concurrentie en daarmee innovatie worden bevorderd.
Het wetsvoorstel kan effecten hebben op de werkgelegenheid en arbeidsvoorwaardenontwikkeling in de zorg. In de huidige situatie heeft de zorgverlener, als gevolg van de gebrekkige mogelijkheden tot elektronische uitwisseling, lang niet altijd de beschikking over toereikende, juiste en actuele informatie. Gevolgen hiervan zijn bijvoorbeeld dat gegevens meerdere keer opnieuw ingetypt moeten worden en dat onderzoeken onnodig moeten worden herhaald. Hierdoor ontstaat er druk op de kwaliteit van de zorg en op de zorgkosten, wat weer leidt tot negatieve beeldvorming over de zorg als arbeidsmarkt.
Doel van het wetsvoorstel is dat op den duur de kwaliteit van de zorg verder stijgt, doordat er minder fouten worden gemaakt, minder tijd nodig is voor administratieve handelingen en daarmee meer tijd overblijft voor de zorg voor de cliënt of de schaarse capaciteit op een andere manier beter kan worden benut. Wanneer dit wordt gerealiseerd, zal de beeldvorming over de zorg als arbeidsmarkt positief veranderen. Aangezien de zorgsector kampt met tekorten aan personeel en de vraag naar voldoende opgeleid zorgpersoneel de komende jaren naar verwachting alleen maar toeneemt, is de verwachting dat geen banen komen te vervallen als gevolg van het automatiseren van werkzaamheden.
In de fase van beleidsontwikkeling is een gegevensbeschermingseffectbeoordeling (data protection impact assessment, DPIA) uitgevoerd op dit wetsvoorstel.43 Hierin is meegenomen dat de systematiek van het wetsvoorstel zelf geen andere (nieuwe) doeleinden of grondslagen creëert voor de verwerking van de uit te wisselen persoonsgegevens. Het wetsvoorstel zal immers alleen betrekking hebben op de bij AMvB aan te wijzen gegevensuitwisselingen, waarbij het doel van en de grondslag voor de verwerking van persoonsgegevens al zijn bepaald in andere regelgeving, zoals reeds eerder is weergegeven in paragraaf 2.2.1. Ook is meegenomen dat het wetsvoorstel geen verandering aanbrengt in de rechten van betrokkenen die voortvloeien uit de reeds geldende wetgeving in het zorgdomein. Zo zijn bijvoorbeeld de AVG, de WGBO en de Wabvpz onverkort van toepassing. Volledigheidshalve wordt over de verhouding tussen de AVG en de genoemde wetten opgemerkt dat de AVG voorrang heeft daar waar deze verder gaat in de bescherming van persoonsgegevens dan de Wabvpz en de WGBO.
Het wetsvoorstel laat ook onverlet dat betrokkenen hun rechten kunnen uitoefenen bij elke verwerkingsverantwoordelijke die hun persoonsgegevens verwerkt. Indien persoonsgegevens van een cliënt tussen zorgaanbieders onderling worden uitgewisseld, kan de cliënt dus bij beide zorgaanbieders – bijvoorbeeld – zijn recht op inzage uitoefenen op basis van artikel 7:456 BW in samenhang met artikelen 12 en 15 van de AVG. Ook kunnen cliënten bij beide zorgaanbieders een elektronische inzage en een elektronische kopie van hun dossier opvragen op basis van artikel 15d, eerste lid, van de Wabvpz in samenhang met de artikelen 12 en 15 van de AVG. De verwerkingsverantwoordelijken (zorgaanbieders), die in het kader van dit wetsvoorstel gegevens uitwisselen door middel van een elektronische infrastructuur, blijven ook verplicht om cliënten te informeren over onder meer de doeleinden van de verwerking, de rechten die cliënten in het kader van de verwerking van hun persoonsgegevens toekomen en de wijze waarop zij deze rechten kunnen uitoefenen. Dit recht op informatie van cliënten vloeit voort uit de artikel 15c, eerste lid, van de Wabvpz in samenhang met de artikelen 13 en 14 van de AVG.
De AVG brengt verder met zich dat bij elke uitwisseling in het kader van dit wetsvoorstel moet worden nagegaan welke persoonsgegevens noodzakelijk zijn om uit te wisselen gelet op de doeleinden van de uitwisseling. Al bij de ontwikkeling van NEN-normen, waarin de eisen aan taal en techniek zijn opgenomen, moet worden nagegaan of met de desbetreffende NEN-norm – ten minste – uitdrukking wordt gegeven aan de vereisten ingevolge de AVG, bijvoorbeeld op het gebied van de beveiliging van persoonsgegevens (opgenomen in onder meer artikel 32 van de AVG).
De precieze gevolgen van dit wetsvoorstel zijn vooral verbonden aan de AMvB, waarbij gegevensuitwisselingen worden aangewezen. Bij elke (aanpassing van de) AMvB zal steeds ingegaan worden op de fraudegevoeligheid van de regelgeving. In deze paragraaf zal om die reden alleen in algemene zin worden ingegaan op fraudegevoeligheid.
De mogelijkheden tot fraude zullen niet toenemen door dit wetsvoorstel. Ook in termen van fraudemogelijkheden in de bekostiging van het stelsel van (te ontwikkelen) normen en de implementatie daarvan is niet voorzienbaar dat hier een wezenlijk andere situatie kan ontstaan dan in de huidige.
Wel moet opgemerkt worden dat, omdat dit wetsvoorstel het uitwisselen van gegevens via een elektronische infrastructuur tussen zorgverleners beoogt te stimuleren, de impact van bijvoorbeeld identiteitsfraude of fouten in zorgregistraties kan worden versterkt. Wat nu nog een geïsoleerde fout kan zijn, kan gaan doorwerken in ketens van de zorgverleners. Het is aan de zorgaanbieder en de zorgverlener als directe behandelaar om te controleren of de gegevens juist en actueel zijn, zoals dat overigens ook bij andere vormen van gegevensuitwisseling noodzakelijk is.
Op 18 juni 2020 heeft de IGJ een toezicht- en handhaafbaarheidstoets inzake het wetsvoorstel uitgebracht. De IGJ concludeert dat aanpassing, dan wel aanscherping van het wetsvoorstel op enkele onderdelen noodzakelijk is om op een goede manier te kunnen handhaven. De opmerkingen van de IGJ hebben geleid tot aanpassingen van de definitie van het begrip ‘informatietechnologieproduct of -dienst’, artikelen 1.2 en 1.4, eerste lid, aanhef en onderdeel b, onder 1°. Voorts is in de memorie van toelichting verduidelijkt dat het wetsvoorstel ook betrekking heeft op het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners onderling (al dan niet binnen een zorgaanbieder), binnen en tussen de zorgdomeinen (paragraaf 2.3), is de samenhang met de Wabvpz toegelicht (paragraaf 5.2) en is het onderscheid tussen de aanwijzing in spoor 1 dan wel spoor 2 verhelderd (paragrafen 3.4.1 en 3.4.2). Daarnaast is de beoogde rol van de IGJ met betrekking tot het stelseltoezicht op de certificerende instellingen en het toezicht op de zorgaanbieders in aanwijzing in spoor 1 verduidelijkt (paragraaf 7.3). Hierover wordt nog opgemerkt dat, gelet op het terughoudende karakter van het stelseltoezicht, geen reguliere controles door de IGJ plaatsvinden om na te gaan of de certificerende instellingen nog aan de eisen voor aanwijzing voldoen. Gelet op het stelsel, waarin de certificerende instellingen beoordelen of informatietechnologieproducten of -diensten voldoen aan de hieraan gestelde eisen, past bij het toezicht ook niet dat de IGJ toezicht houdt op naleving van de NEN-norm op het niveau van taal en techniek. De IGJ heeft nog verzocht om de mogelijkheid van een tijdelijke ontheffing van de certificeringsplicht in het geval een certificaat wordt ingetrokken. Hier is echter niet voor gekozen. Wanneer een certificaat is geschorst of ingetrokken voorziet het wetsvoorstel erin dat een informatietechnologieproduct- of dienst voor de duur van zes maanden kan worden gebruikt in een aangewezen gegevensuitwisseling (artikel 3.5, derde lid). Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat de zesmaandentermijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (artikel 3.5, vierde lid). Aan dit besluit tot verlenging kan de Minister voorwaarden verbinden. Hiermee wordt de zorgaanbieder in de gelegenheid gesteld om over te stappen op een ander informatietechnologieproduct of -dienst. Op deze wijze is geborgd dat zo kort mogelijk gebruik wordt gemaakt van een informatietechnologieproduct of -dienst die of dat niet voldoet aan de eisen, zodat interoperabiliteit geborgd blijft.
In de uitvoering- en handhaafbaarheidstoets van de NZa wordt de noodzaak onderschreven van het wetsvoorstel en wordt het voorstel van harte ondersteund. Wel maakt de NZa enkele opmerkingen over de mogelijke stijging van de zorgkosten. Ook geeft de NZa aan op verschillende momenten in het proces bij de totstandkoming van de AMvB’s betrokken te willen worden. Daarnaast geeft de NZa aan het onwenselijk te vinden als in verschillende regelgeving voor het registreren van gegevens homoniemen, synoniemen of registratie op verschillende niveaus wordt voorgeschreven en adviseert de NZa te betrekken bij het opstellen van kwaliteitsstandaarden en NEN-normen.
Naar aanleiding van de reactie van de NZa wordt opgemerkt dat voor iedere concept-AMvB die op basis van dit wetsvoorstel wordt opgesteld, een uitvoerbaarheid- en handhaafbaarheidstoets zal worden gevraagd. Hierin wordt de NZa uitgenodigd aan te geven in hoeverre de voorgenomen regelgeving uitvoerbaar is voor de NZa. Dit sluit aan bij de reguliere procedures rond nieuwe regelgeving die de taken en bevoegdheden van de NZa raken. Het voorstel van de NZa voorafgaand aan iedere concept-AMvB een budget impactanalyse (BIA) uit te voeren, wordt niet opgevolgd. Bij elke AMvB wordt namelijk een financiële paragraaf opgenomen, waarin de financiële gevolgen en de bekostiging worden beschreven die voortvloeien uit de voorgenomen AMvB. Waar nodig zal daarover in overleg getreden worden met de NZa. Een verplichting voor de NZa om een BIA uit te voeren wordt daarom niet noodzakelijk geacht.
Het ontwikkelen van eenheid van taal en techniek is niet eenvoudig. In de te ontwikkelen AMvB’s zal worden verwezen naar kwaliteitsstandaarden en andere gegevens die relevant zijn ten aanzien van de zorgverlening aan een cliënt en zal, afhankelijk bij een aanwijzing in spoor 2, waarin de aangewezen gegevensuitwisseling verplicht wordt gesteld, een specifieke NEN-norm aanwezig zijn. De verantwoordelijkheid om bij nieuwe ontwikkelingen rekening te houden met bestaande standaarden is daarmee een verantwoordelijkheid van het veld (NEN-normen) en het Zorginstituut (kwaliteitsstandaarden). Voor de NZa wordt geen aanvullende rol voorzien.
Het Zorginstituut heeft op het gebied van kwaliteit als hoofdtaken het bevorderen van de kwaliteit van zorg en het transparant maken van de kwaliteit van de geleverde zorg. Hiervoor heeft het Zorginstituut een aantal instrumenten ter beschikking, waaronder het stimuleren van de ontwikkeling van kwaliteitsstandaarden en bijbehorende meetinstrumenten. Het wetsvoorstel legt de verbinding tussen een te verplichten gegevensuitwisseling tussen zorgverleners en de kwaliteitsstandaarden in het Openbare Register. Zie in dit verband paragraaf 2.3.3.
In zijn reactie op het wetsvoorstel geeft het Zorginstituut aan de toegekende rol passend te vinden bij de wettelijke taak die het Zorginstituut al heeft. Het Zorginstituut omarmt de maatregelen om in de zorg elektronische gegevensuitwisseling te bevorderen en zal zoveel mogelijk ondersteunen bij het bereiken van dit doel. Het Zorginstituut legt in zijn reactie de nadruk op de verbondenheid van het ‘wat’, de informatieparagraaf in de kwaliteitsstandaard en het ‘hoe’ zoals beschreven wordt in de NEN-norm en wil een meer actievere, verbindende rol spelen. Gelet op de noodzaak van een (blijvende) goede aansluiting van de op grond van een AMvB verplichte NEN-norm(en) op kwaliteitsstandaard(en), is in het wetsvoorstel voorzien in een wijziging van de Zvw door artikel 66ea toe te voegen. Het Zorginstituut zal daarmee de taak worden toebedeeld om bij wijzigingen in een kwaliteitsstandaard die van invloed zijn op een wettelijke gegevensuitwisseling de minister te informeren.
Het concept-wetsvoorstel is voor advies voorgelegd aan het Adviescollege toetsing regeldruk (hierna: ATR). De ATR heeft het wetsvoorstel getoetst op nut en noodzaak (namelijk of er een taak is voor de overheid en of regelgeving het meest aangewezen instrument is), de mogelijkheid van minder belastende alternatieven, of de uitvoeringswijze werkbaar is voor de doelgroepen die de wetgeving moeten naleven, en of de gevolgen voor de regeldruk volledig en juist in beeld zijn gebracht. De ATR komt samengevat met de volgende adviezen:
– Nut en noodzaak: Het college onderschrijft nut en noodzaak van het zetten van stappen naar regie in de uitwisseling van gegevens via een elektronische infrastructuur en deze zijn toereikend beschreven.
– Werkbare uitvoeringswijze: De keuze voor een kaderwet – als instrument – is volgens het college passend. De toelichting op het wetsvoorstel geeft het college op het punt van minder belastende alternatieven geen aanleiding tot opmerkingen.
– Werkbare uitvoeringswijze: Het verdient volgens het college aanbeveling ook expliciet te kijken naar de werkbaarheid voor zorgaanbieders, zorgverleners en leveranciers en de effecten voor hun regeldruk (administratieve lasten en inhoudelijke nalevingskosten). Ook adviseert het college in de toelichting inzicht te bieden in de termijn waarbinnen de voorgestane wijze van gegevensuitwisseling in de zorg klaar moet zijn (de einddatum), een concretisering van de doelen (betere kwaliteit van de zorg, meer patiëntveiligheid en minder regeldruk) en de monitoring van voortgang en resultaten.
– Gevolgen regeldruk: Het college adviseert om de regeldrukparagraaf aan te vullen met een beschrijving van de regeldrukeffecten voor burgers (cliënten) en de opstellers van professionele en kwaliteitsstandaarden.
Het advies van het college is om het wetsvoorstel in te dienen, nadat met de adviespunten rekening is gehouden.
De adviezen van ATR hebben geleid tot de volgende aanpassingen in deze memorie van toelichting:
– In hoofdstuk 8 worden de effecten van het wetsvoorstel beschreven. Deze komen overeen met de uitgevoerde BET.
– Paragraaf 8.1.1 aangevuld met de effecten voor de opstellers van kwaliteitsstandaarden.
– In paragraaf 10.1 is opgenomen dat de werking van de wet wordt geëvalueerd.
– In paragraaf 10.2 is beschreven welke stappen gezet moeten worden voordat een AMvB in werking kan treden. Een volwassenheidsscan moet inzicht bieden welke overgangs- en implementatietermijnen in de AMvB opgenomen kunnen gaan worden.
– Omdat pas bij het aanwijzen van een gegevensuitwisseling bij AMvB inzichtelijk wordt wat de gevolgen zijn voor de regeldruk, zal bij de totstandkoming van de AMvB in dit kader aan de ATR worden gevraagd de regeldruk per gegevensuitwisseling te toetsen.
De Vereniging Nederlandse Gemeenten (hierna: VNG) acht de uitvoeringseffecten voor gemeenten in eerste aanleg niet groot. Daarom voorziet zij geen belemmeringen voor de uitvoering. Omdat de effectuering later verder zal worden geconcretiseerd in de vorm van één of meerdere AMvB’s wil de VNG graag betrokken blijven bij de verdere ontwikkelingen en de implementatie, en bieden daarbij ondersteuning aan.
Een aantal aandachtspunten die worden genoemd:
– Deze kaderwet lijkt te zijn gedomineerd door de Curatieve Zorg, maar tegelijkertijd heeft deze ook gevolgen voor gemeenten. Gemeenten in de rol van zorgaanbieder (bijvoorbeeld in de jeugdgezondheidszorg) en in relatie tot andere wetgeving, zoals de Wvggz. Ook aanbestedingen van gemeenten zullen hierdoor beïnvloed worden. Via gemeenten en zorginstellingen zal de wet ook grote invloed hebben op burgers. De VNG vraagt meer aandacht voor het ‘burgerperspectief.’ De VNG werkt ook graag mee aan de uitvoering van een MKBA.
Dit aandachtspunt is deels verwerkt door in de extra ingevoegde paragraaf 8.1.2 de lasten voor cliënten te beschrijven. Per aangewezen gegevensuitwisseling zal het burgerperspectief (impact op de burger en de gemeente) worden meegenomen en zal de VNG gevraagd worden een uitvoeringstoets te doen.
– Uitwisseling buiten de zorgdomeinen: gemeenten hebben directe bemoeienis met de Wet maatschappelijke ondersteuning en de Jeugdwet, maar ook met de Wet Langdurige Zorg en maatschappelijke ondersteuning, pleegzorg en mantelzorg. De VNG wil graag nu al een integrale benadering en denkt daar graag over mee als belangrijke partner.
Voor het wetsvoorstel is de bewuste keuze gemaakt om te starten met uitwisseling binnen- en tussen de zorgdomeinen om het beheersbaar te houden. Dat zal niet wijzigen. Het is echter van belang om al op korte termijn de afstemming te gaan zoeken met de VNG als het gaat om een integrale benadering, aangezien het uitdrukkelijk de bedoeling is dat het wetsvoorstel in een later stadium verder zal worden uitgebouwd.
– De VNG is het ermee eens dat het wetsvoorstel niet ziet op uitwisseling met cliënten. Maar wil wel graag meer aandacht in de memorie van toelichting als het gaat om de mogelijkheden en rechten die de burger heeft om zijn dan wel haar medisch dossier in te zien en hoe dit (beter) gefaciliteerd kan worden. Dit is verder verduidelijkt in hoofdstuk 5 en paragraaf 8.3. De rechten van betrokkenen die voortvloeien uit de AVG, WGBO en de Wabvpz zijn onverminderd van toepassing. Echter, een analyse over hoe dit in de praktijk beter gefaciliteerd kan worden, valt niet binnen het bereik van dit wetsvoorstel.
– Verder vraagt de VNG nadrukkelijk aandacht voor privacy en beveiliging en voor de proportionaliteit en doelbinding bij de verwerking van bijzondere persoonsgegevens, zoals levensovertuiging in het kader van gegevens over ‘cliëntcontext’. In paragraaf 8.3 van de memorie van toelichting is aandacht besteed aan de effecten op de gegevensbescherming. Hierbij is onder meer geconstateerd dat de AVG onverkort van toepassing is
– Als het gaat om het betreden van een woning zonder toestemming van de bewoner wil de VNG graag in gesprek over deze vergaande bevoegdheid. Onder andere wil men weten op welke ‘woningen’ de bevoegdheden betrekking hebben. In reactie hierop wordt opgemerkt dat in artikel 4.1, derde lid, van het wetsvoorstel nadrukkelijk is bepaald dat het betreden van woningen alleen mogelijk is voor zover deze deel uitmaken van een bouwkundige voorziening voor het verlenen van zorg.
De AP heeft bij brief van 30 juli 2020 haar advies gegeven over het wetsvoorstel. De AP heeft bezwaar tegen het concept en adviseert de procedure niet voort te zetten, tenzij het bezwaar is weggenomen. Hierna wordt op hoofdlijnen ingegaan op het advies van de AP. De toelichting is naar aanleiding van het advies van de AP op meerdere punten aangepast en nader gemotiveerd. Voor zover het advies van de AP niet is overgenomen, is dit nader toegelicht.
1. De voorgestelde wettekst laat te veel ruimte voor twijfel over de vraag of het alleen verplicht tot uitwisselen door middel van een elektronische infrastructuur of (ook) tot het uitwisselen als zodanig. De AP adviseert de wettekst zo aan te passen dat de intentie van het wetsvoorstel volstrekt helder wordt.
In reactie hierop is in paragraaf 2.2.1 van deze memorie van toelichting expliciet gemaakt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens maar als er gegevens worden uitgewisseld, dit door middel van een elektronische infrastructuur dient plaats te vinden.
2. Ervan uitgaand dat het wetsvoorstel uitsluitend verplicht tot het uitwisselen door middel van een elektronische infrastructuur, is er een risico dat de zorgverlener in een feitelijke dwangpositie komt die zijn beroepsgeheim kan aantasten. De AP adviseert dit risico te adresseren in de memorie van toelichting en daarbij zo nodig aan te geven welke maatregelen worden voorzien om dit te voorkomen.
Het door de AP gesignaleerde risico wordt niet herkend. Welke gegevens nodig zijn als onderdeel van de goede zorg wordt bepaald door de zorgprofessionals en zullen zijn neergelegd in kwaliteitsstandaarden of in wet- en regelgeving. Op grond van de Wkkgz handelen zorgverleners overeenkomstig deze kwaliteitsstandaarden. Dat laat onverlet dat in het concrete geval de zorgverlener altijd nog zelf een afweging dient te maken welke gegevens noodzakelijk zijn in het kader van de behandeling. De zorgverlener maakt in een concreet geval zelf de afweging of en welke gegevens moeten worden uitgewisseld voor het leveren van goede zorg in die specifieke situatie en passend bij de behoeften van de individuele cliënt. Het voorgaande brengt met zich dat een zorgverlener in het concrete geval altijd nog zelf een afweging dient te maken of een doorbreking van het medisch beroepsgeheim aangewezen is en zelf het laatste woord heeft welke gegevens worden uitgewisseld. Het voorgaande is toegelicht in paragraaf 2.3.3.
3. De wettelijke beveiligingsnormen in de zorg zijn straks niet meer eenduidig terug te vinden in het Besluit elektronische gegevensverwerking in de zorg (hierna: Begz) maar ook in de diverse op het wetsvoorstel gebaseerde AMvB’s. Uit oogpunt van kenbaarheid, samenhang en eenduidigheid adviseert de AP alle beveiligingseisen te concentreren in één wettelijke regeling.
Met de AP is de Minister van mening dat eenduidigheid van wettelijke beveiligingsnormen belangrijk is. Concentratie van beveiligingseisen in één wettelijke regeling achten we echter niet noodzakelijk. Immers, het beveiligingsregime in de zorg is reeds genormaliseerd (NEN 7510, NEN 7512 en NEN 7513). Deze normen sluiten aan bij de algemene eisen van de AVG. De Begz verwijst ook naar deze normen. Door in de nog op te stellen NEN-normen in spoor 2 geen aparte beveiligingseisen op te nemen maar te verwijzen naar bestaande en binnen de zorg toegepaste beveiligingsnormen, wordt een (potentiële) wildgroei van beveiligingsnormen voorkomen.
4. De AP adviseert de delegatie van regelgevende bevoegdheid in artikel 1.3 concreter en nauwkeuriger te begrenzen. De begrenzing tot het doel als omschreven in artikel 1.2, eerste lid: ‘goede zorg als bedoeld in artikel 2, tweede lid, Wkkgz’ acht de AP onvoldoende concreet en nauwkeurig.
Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats omdat het wetsvoorstel geen nieuwe grondslagen creëert voor de verwerking van persoonsgegevens. In de tweede plaats omdat wat onder goede zorg moet worden verstaan is omschreven in artikel 2 Wkkgz. Voor zover dit geen concrete en nauwkeurige begrenzing biedt, vindt deze plaats in de kwaliteitsstandaarden die door het veld worden opgesteld. In deze standaarden wordt immers vastgelegd welke (bijzondere) persoonsgegevens in het kader van goede zorg nodig zijn.
Van 10 maart 2020 tot en met 10 juni 2020 heeft het wetsvoorstel ter consultatie voorgelegen op internetconsultatie.nl. De oorspronkelijk termijn is tussentijds verlengd vanwege COVID-19 om op die manier zorgpartijen in de gelegenheid te stellen te reageren op het concept-wetsvoorstel. Hierop zijn 66 openbare en 26 niet-openbare reacties ontvangen. De reacties op de internetconsultatie zijn afkomstig van zorgverleners, patiëntenorganisaties, leveranciers van ICT-producten, adviesbureaus en particulieren. Het wetsvoorstel is in zijn algemeenheid positief ontvangen. Nut en noodzaak van het wetsvoorstel is door de meeste respondenten onderschreven. Wel waren er nog opmerkingen en adviezen ter verbetering en verduidelijking van het wetsvoorstel en de memorie van toelichting. Hieronder worden de ontvangen opmerkingen en adviezen per thema en op hoofdlijnen besproken en van een reactie voorzien.
Particulieren maken zich met name zorgen over de veiligheid van de gegevensuitwisseling. In reactie hierop wordt benadrukt dat de verplichtingen die voortvloeien uit de AVG onverkort van toepassing zijn en wordt voorzien in waarborgen om een toereikend beschermingsniveau te bieden. In paragraaf 8.3 is dit verder verduidelijkt.
Veel reacties hadden betrekking op (onduidelijkheid over) de reikwijdte van het wetsvoorstel. Volgens sommige respondenten zouden gegevensuitwisselingen tussen patiënt en zorgverlener, tussen zorgdomeinen en binnen de Wmo-ondersteuning binnen de reikwijdte van het wetsvoorstel moeten vallen. Andere respondenten brachten naar voren dat het wetsvoorstel ook het hergebruik van gegevens ten behoeve van medisch onderzoek zou moeten regelen. Dit is aanleiding geweest om in de memorie van toelichting de reikwijdte van het wetsvoorstel te verduidelijken (paragraaf 2.3).
Ook bestond bij veel respondenten onduidelijkheid over de verhouding van het wetsvoorstel tot het toestemmingsvereiste in artikel 15a van de Wabvpz en het medisch beroepsgeheim. Dit is verhelderd in paragraaf 5.2.
Bij veel respondenten bestond onduidelijkheid over de totstandkoming van de roadmap, de verhouding van spoor1 tot spoor2 en het NEN-proces. Dit is aanleiding geweest deze onderwerpen in paragrafen 3.2 en 3.5 nader toe te lichten. Ook werd aangegeven dat de gebruikte terminologie niet helder was. Daarom is de benaming van de roadmap gewijzigd in meerjarenagenda Wegiz, dit doet meer recht aan het meerjarige karakter van het traject.
Een aantal respondenten hebben hun zorg geuit dat normalisatie innovatie belemmert. In paragraaf 8.2 is toegelicht hoe eventuele effecten op innovatie worden gemitigeerd en welke positieve effecten worden verwacht.
Ook bestaat bij een aantal respondenten de vrees dat certificering, gelet op de kosten ervan, negatieve gevolgen zal hebben voor de marktwerking. In paragraaf 8.2 zijn de positieve effecten van het wetsvoorstel op de marktwerking toegelicht.
In de internetconsultatie is ook gewezen op het ontbreken van een evaluatiebepaling. In reactie hierop is in het wetsvoorstel een evaluatiebepaling toegevoegd. Kortheidshalve wordt verwezen naar paragraaf 10.1.
Met dit wetsvoorstel wordt een substantiële beleidswijziging beoogd. Om die reden zal de verwerkelijking van de doelstellingen van dit wetsvoorstel en de effecten daarvan binnen vijf jaar na inwerkingtreding van de wet worden geëvalueerd en zal verslag worden gedaan aan de Staten-Generaal. Om inzicht te verkrijgen in de doelmatigheid en doeltreffendheid van het voorziene stelsel zal geëvalueerd worden hoe de werking van het wettelijk stelsel en de daarbinnen voorgestane wijze van prioritering heeft plaatsgevonden, de wijze waarop gegevensuitwisselingen worden geselecteerd om uiteindelijk bij AMvB aangewezen te worden in spoor 1 of spoor 2 en de implementatie en uitvoering van de AMvB. Eveneens wordt in het kader van het evaluatieonderzoek in beeld gebracht of de verwachte effecten van individuele AMvB’s, zoals voorzien in onder meer de uitgevoerde MKBA’s, daadwerkelijk zijn opgetreden. Bovendien zal de werking van het toezicht op en de handhaving van het wettelijk stelsel worden geëvalueerd. Mocht deze evaluatie aantonen dat de gekozen aanpak in de praktijk onvoldoende effect sorteert, dan zal een nadere afweging plaatsvinden over de te nemen maatregelen.
In dit wetsvoorstel wordt geen overgangsrecht opgenomen. Daarbij wordt in aanmerking genomen dat de beoogde verplichting pas effect heeft als bij AMvB ten minste één aangewezen gegevensuitwisseling onder het stelsel wordt gebracht.
Om betrokken partijen voldoende tijd te geven om zich voor te bereiden op en te voldoen aan de bij AMvB gestelde eisen zal tussen de publicatie van de AMvB en inwerkingtreding van die AMvB een dan nader te bepalen termijn in acht worden genomen.
Bij de afweging van een redelijke overgangstermijn zullen verschillende aspecten in aanmerking worden genomen, zoals de duur en voorwaarden van afgesloten contracten tussen zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten, de beschikbaarheid van certificatieschema’s en de hoeveelheid certificerende instellingen met noodzakelijke kennis en de tijd die nodig is voor het accrediteren door de RvA van certificerende instellingen. Daarbij dient in ieder geval in aanmerking te worden genomen dat het accreditatieproces naar verwachting ongeveer 18 maanden in beslag zal nemen. De optelsom van deze factoren zal uiteindelijk de duur van de overgangsperiode bepalen.
Het wetsvoorstel kan ertoe leiden dat overeenkomsten tussen zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten (moeten) worden beëindigd, omdat het product of de dienst niet (meer) voldoet aan de eisen die bij AMvB worden gesteld, waaronder de eis dat het product of de dienst voorzien moet zijn van een certificaat. De verwachting is dat de voorzienbare groep van zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten die in een geschilsituatie (bijvoorbeeld over eventuele aansprakelijkheidskwesties of boetes vanwege contractbreuk) zullen komen dermate klein zal zijn, dat dit geen wettelijke (overgangsrechtelijke) regeling vergt:
– In de eerste plaats wordt, zoals hierboven aangegeven, gewerkt met gefaseerde invoering, waardoor bestaande overeenkomsten binnen de invoeringstermijn zullen eindigen.
– In de tweede plaats zijn er geen problemen te verwachten rondom de overdracht van gegevens naar een nieuw informatietechnologieproduct of -dienst. Op de grond van de AVG is het verboden om zonder grondslag persoonsgegevens te verwerken. Wanneer een overeenkomst tussen een zorgaanbieder en aanbieder van een informatietechnologieproduct of -dienst beëindigd wordt, zal de aanbieder van het product of dienst geen grondslag hebben om persoonsgegevens te verwerken. De aanbieder moet de persoonsgegevens dan verwijderen. Hierover moeten op grond van artikel 28 AVG nadere afspraken zijn vastgelegd in een verwerkingsovereenkomst en – in het geval van gezamenlijke verwerkingsverantwoordelijkheid – in een overeenkomst als bedoeld in artikel 26 AVG. Daarbij geldt dat uit de NEN 7510, die op grond van verschillende wet- en regelgeving verplicht is44, volgt dat de overeenkomsten tussen zorgaanbieders en aanbieders van bepaalde informatietechnologieproducten of -diensten moeten voldoen aan wet- en regelgeving. Dit is een extra waarborg dat een verwerkersovereenkomst wordt gesloten.
– In de derde plaats is het bestaande praktijk in het zorgveld dat voor software die de primaire processen faciliteert (zoals ziekenhuisinformatiesystemen en huisartseninformatiesystemen) onderhoudscontracten worden afgesloten waarbij aanbieders van informatietechnologieproducten of -diensten (op basis van vergoedingen) zich verplicht hebben om de software onder meer in lijn te houden met de geldende wet- en regelgeving. Een bij AMvB aangewezen norm waarin een standaard wordt voorgeschreven om gegevens uit te wisselen, zal veelal binnen de reikwijdte van dergelijke zogenaamde adaptieve onderhoudsverplichtingen vallen.
De artikelen van dit wetsvoorstel treden in werking op een bij koninklijk besluit (KB) te bepalen tijdstip. In beginsel kunnen alle artikelen tegelijk in werking treden met uitzondering van artikel 6.3. De inwerkingtreding van dit artikel hangt samen met het bij AMvB waarin het beleid zoals neergelegd in de regeling Software wordt bestendigd (zie artikelsgewijze toelichting bij artikel 6.3). Wanneer dit het geval is zal onderdeel vormen van de Meerjarenagenda Wegiz. Dit KB zal aansluiten bij de inwerkingtreding van de eerste AMvB die tot stand zal moeten komen onder dit wetsvoorstel, zodat het wetsvoorstel en de AMvB gelijktijdig in werking treden. Bij de inwerkingtreding van dit wetsvoorstel zal worden aangesloten bij het beleid van het kabinet inzake vaste verandermomenten van regelgeving.
In de begripsbepalingen is een verkorte aanduiding opgenomen voor wat onder een aangewezen gegevensuitwisseling wordt verstaan. Voor een inhoudelijk toelichting wordt verwezen naar de toelichting op artikel 1.4, eerste lid, onderdeel a.
Zie voor een uitleg wat onder benaderen in dit wetsvoorstel wordt verstaan paragraaf 2.3.2 van het algemeen deel van de memorie van toelichting.
Op grond van dit wetsvoorstel wordt aan bepaalde informatietechnologieproducten of -diensten die bij aangewezen gegevensuitwisselingen worden gebruikt de eis gesteld voorzien te zijn van een certificaat. In de begripsbepalingen is voor ‘certificaat’ een verkorte aanduiding opgenomen. In artikel 3.1 is uitgewerkt wat dit certificaat betreft (zie toelichting bij dat artikel).
Een certificerende instelling is een instelling die krachtens artikel 3.2 beschikt over een aanwijzing van de Minister om certificaten te verstrekken aan informatietechnologieproducten of -diensten die voldoen aan de voor die aangewezen gegevensuitwisseling vastgestelde NEN-norm.
Zoals aangegeven in het algemeen deel van deze memorie van toelichting (zie hoofdstuk 1) wordt met dit wetsvoorstel voorgesteld randvoorwaarden te stellen voor goede zorg door het elektronische uitwisselen van gegevens, al dan niet op genormaliseerde wijze, te bevorderen. De gehanteerde terminologie en begrippenkader uit de Wkkgz worden voor zover nodig overgenomen in dit wetsvoorstel.
Om een verplichting te kunnen opnemen over hoe gegevens moeten worden uitgewisseld is het noodzakelijk dat duidelijk is om welke gegevens het gaat. In de begripsbepalingen is hiervoor een verkorte aanduiding opgenomen. Om welke gegevens het in een aangewezen gegevensuitwisseling het gaat is uitgewerkt in artikel 1.4, eerste lid, onderdeel b, en is toegelicht in paragraaf 2.3.3 van het algemeen deel van deze memorie van toelichting.
Dit wetsvoorstel bepaalt dat de informatietechnologieproducten en -diensten waarvan zorgaanbieders gebruik maken in een aangewezen gegevensuitwisseling waarbij gegevens op genormaliseerde wijze worden uitgewisseld, aan bepaalde eisen voldoen. Daarnaast bepaalt dit wetsvoorstel dat deze informatietechnologieproducten en -diensten voorzien moeten zijn van een certificaat. Het is van belang dat duidelijk is waarop de eisen en de verplichting zien. De aanbieder van het informatietechnologieproduct of -dienst moet weten wanneer en waarvoor een certificaat moet worden aangevraagd.
Welk informatietechnologieproduct of welke -dienst moet voldoen aan de eisen en voorzien zijn van een certificaat in welke aangewezen gegevensuitwisseling is echter niet in algemene zin te zeggen. Op basis van de in de norm te ontwikkelen eisen die gelden voor een aangewezen gegevensuitwisseling zal steeds in de AMvB naar (delen van) de norm worden verwezen waaraan een informatietechnologieproduct of -dienst moet voldoen en of daarvoor een certificaat nodig is om dat aan tonen.
De eisen en de certificeringsverplichting kunnen over verschillende onderdelen van de informatietechnologie gaan. Het kan gaan over de software en hardware die bij de aangewezen gegevensuitwisseling gebruikt wordt om de gegevens uit te wisselen, maar ook over bepaalde diensten die worden geleverd. Het kan gaan om een combinatie van software of hardware, maar dat hoeft niet. Het gaat hierbij onder meer om de koppelvlakken waarvoor specificaties gaan gelden, en waarop de software, hardware of diensten zien.
Zoals aangegeven in paragraaf 2.3.2 van het algemeen deel van de memorie van toelichting wordt onder uitwisselen van gegevens niet alleen verstaan het delen van gegeven van de ene zorgverlener met de andere zorgverlener, maar kan het ook gaan om het benaderen van gegevens die ergens anders zijn vastgelegd. Maar in beide gevallen geldt steeds dat de uitwisseling van gegevens aan de bij of krachtens dit wetsvoorstel opgenomen eisen zal moeten voldoen. Het delen én benaderen van gegevens zal steeds ten minste via een elektronische infrastructuur dienen plaats te vinden (zie hierna de artikelsgewijze toelichting bij artikel 2.1).
Goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit van zorg. Artikel 3 Wkkgz geeft de zorgaanbieder, of deze nu zorg verleent op individuele basis of in instellingsverband, opdracht de zorgverlening zodanig in te richten dat goede zorg redelijkerwijs het resultaat is. Met dit wetsvoorstel wordt hieraan nadere invulling gegeven door duidelijk te maken dat de zorgaanbieder de organisatie zodanig moet inrichten dat de gegevens in een aangewezen gegevensuitwisseling ten minste door middel van een elektronische infrastructuur kunnen worden uitgewisseld en eventueel op genormaliseerde wijze. Als de zorgaanbieder dit nalaat dan is dit een overtreding van artikel 3 Wkkgz in verbinding met artikel 2.1 van dit wetsvoorstel. Met elektronische gegevensuitwisseling kan veel winst bereikt worden om de goede zorg te verbeteren. Uitwisselen van gegevens door middel van een elektronische infrastructuur – al dan niet op genormaliseerde wijze – is dus geen doel op zich, maar randvoorwaardelijk voor het verlenen van goede zorg. Zie ook paragraaf 2.2 van het algemeen deel van deze memorie van toelichting. Ook het verminderen van tijd die zorgverleners kwijt zijn aan het administreren van het zorgproces draagt eraan bij dat meer tijd besteed kan worden aan het daadwerkelijk verlenen van goede zorg. Een gegevensuitwisseling kan daarom ook worden aangewezen als daarmee primair bereikt wordt dat de administratieve lasten worden verlaagd.
Op grond van het hierna toe te lichten artikel 1.4 is het mogelijk om bij AMvB gegevensuitwisselingen aan te wijzen. De Minister inventariseert voorafgaand hieraan welke gegevensuitwisselingen eventueel voor aanwijzing in aanmerking komen. Deze lijst met geprioriteerde gegevensuitwisselingen wordt met de Tweede Kamer gedeeld. Voor een toelichting op het tweede lid wordt verwezen naar paragraaf 3.2 van het algemeen deel van de memorie van toelichting.
Dit artikel bevat de delegatiegrondslag voor het aanwijzen van gegevensuitwisselingen, het noemen en aanwijzen van gegevens, het stellen van eisen om het in artikel 1.2 opgenomen doel te bereiken en voor het eventueel uitzonderen van militaire gezondheidszorg van de wettelijke verplichtingen..
Om het in artikel 1.2 opgenomen doel te bereiken, worden bij AMvB gegevensuitwisselingen aangewezen waarbij zorgverleners gegevens van en over een cliënt uitwisselen. Het aanwijzen kan alleen voor zover deze gegevensuitwisselingen zijn opgenomen in de meerjarenagenda Wegiz, zie paragraaf 3.2 van het algemeen deel van deze memorie van toelichting. In paragraaf 2.3.1 van het algemeen deel van deze memorie van toelichting is aangegeven aan welke soorten gegevensuitwisselingen als eerste wordt gedacht. Het wetsvoorstel gaat dus niet om gegevensuitwisseling in algemene zin, maar alleen om het uitwisselen van gegevens die plaatsvindt binnen een bij AMvB afgebakend terrein.
Naast dat bij AMvB een gegevensuitwisseling wordt aangewezen, zal ook aangegeven moeten worden om welke gegevens het steeds gaat in die aangewezen gegevensuitwisseling. Om welke gegevens het gaat is toegelicht in paragraaf 2.3.3 van het algemeen deel van deze memorie van toelichting.
Dit lid biedt een basis om nadere eisen te stellen aan de uitwisseling van gegevens in de aangewezen gegevensuitwisseling.
De nadere eisen kunnen in de eerste plaats minimale eisen betreffen die gesteld worden aan het door middel van een elektronische infrastructuur uitwisselen van gegevens. Het gaat om eisen die zien op de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens door middel van een elektronische infrastructuur plaats moet vinden. Gedacht kan worden aan een eis dat de elektronische gegevensuitwisseling op een veilige manier verloopt (zoals NEN 7510), of dat er eisen worden gesteld aan logging. In de toekomst worden mogelijk nog andere normen ontwikkeld. Wanneer de aanwijzing plaatsvindt onder a wordt gesproken over een ‘spoor 1-aanwijzing’. Zie voor een uitgebreide toelichting hierop paragraaf 3.4.1 van het algemeen deel van deze memorie van toelichting.
In de tweede plaats kunnen nadere eisen worden gesteld die als doel hebben te komen tot het genormaliseerd uitwisselen van gegevens in de aangewezen gegevensuitwisseling, zodat volledige interoperabiliteit mogelijk is. Het gaat hierbij om:
– technische eisen die gesteld worden aan bijvoorbeeld informatietechnologieproducten of -diensten;
– eisen aan taal die zorgverleners hanteren voor de omschrijving van de medische aandoening; en
– eisen die de goede zorg ten goede komen omdat ze de administratieve lasten verminderen.
Deze eisen moeten zijn vastgelegd in een NEN-norm. Wanneer de aanwijzing plaatsvindt onder b wordt gesproken over een ‘spoor 2-aanwijzing’. Zie voor een uitgebreide toelichting hierop paragraaf 3.4.2 van het algemeen deel van deze memorie van toelichting.
Alleen op grond van de aanwijzing onder b kan er sprake zijn van certificering van informatietechnologieproducten of -diensten. Om die reden wordt in het derde lid alleen naar het tweede lid, onderdeel b, verwezen. De certificering ziet maar op een deel van de eisen die in de NEN-norm staan waarnaar bij AMvB zal worden verwezen, namelijk alleen die eisen die zien op informatietechnologieproducten of -diensten. De certificering ziet dus niet op de eisen die betrekking hebben op bijvoorbeeld organisatorische aspecten. De eisen waar certificering niet op ziet richten zich tot de zorgaanbieder (zie hiervoor paragraaf 2.3.4. van het algemeen deel van de toelichting). In de NEN-norm waarnaar bij AMvB naar verwezen wordt zal steeds duidelijk aangegeven worden welke eisen wel en welke eisen niet gericht zijn op informatietechnologieproducten of -diensten.
Ten aanzien van de zorg die wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra kan het vanuit veiligheidsoverwegingen noodzakelijk zijn dat op andere wijze gegevens worden uitgewisseld dan voorgeschreven door onderhavig wetsvoorstel. Voor deze instellingen en inrichtingen is derhalve een uitzondering opgenomen. Het gaat hier om de gegevensuitwisseling tussen de uitgezonderde inrichtingen en instellingen onderling, maar uiteraard ook – vanwege bovengenoemde redenen – om de uitwisseling tussen de uitgezonderde inrichtingen, instellingen en reguliere zorgaanbieders. Dit laat onverlet dat zij waar mogelijk de in dit wetsvoorstel voorziene wijze van het uitwisselen van gegevens zullen volgen. De bijzondere omstandigheden van deze instellingen nopen er echter toe dit niet als verplichting vorm te geven. Gezien het karakter van dit wetsvoorstel, waarbij bij algemene maatregel van bestuur concrete vormen van gegevensuitwisseling onder het bereik van de wet zullen worden gebracht, is de mogelijkheid opengehouden om de uitgezonderde inrichtingen en instellingen alsnog onder de reikwijdte van onderhavig wetsvoorstel te brengen voor zover een concrete vorm van gegevensuitwisseling zich verhoudt met de justitiële of forensische zorgsetting.
In beginsel valt de forensische zorg die niet wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra onder dit wetsvoorstel. Dit zijn bijvoorbeeld GGZ-instellingen die zowel reguliere zorg verlenen als forensische zorg. Wat de gevolgen zijn voor de forensische zorg voor de aan te wijzen gegevensuitwisselingen is op dit moment onvoldoende te overzien. Voorgesteld wordt om deze reden de mogelijkheid op te nemen bij AMvB af te wijken van de voorgeschreven wijze van uitwisselen van gegevens, wanneer dit vanwege de forensische setting noodzakelijk is. Ook hierbij valt bijvoorbeeld te denken aan veiligheidsaspecten. De voordracht voor een zodanige AMvB zal worden gedaan door de Minister voor Rechtsbescherming.
Ook de militaire gezondheidszorg kan geraakt worden door dit wetsvoorstel. Zo zal er tijdens operationele omstandigheden niet steeds sprake zijn van een degelijke digitale infrastructuur om de gegevens elektronisch uit te wisselen. De voordracht voor een zodanige AMvB zal worden gedaan door de Minister van Defensie.
Wanneer een gegevensuitwisseling bij AMvB wordt aangewezen, geldt op grond van dit lid dat -vanaf het moment van inwerkingtreding van de AMvB- de bij die AMvB aangeduide gegevens bij die gegevensuitwisseling door middel van een elektronische infrastructuur moeten worden uitgewisseld. De verplichting om hieraan te voldoen is ingevolge dit lid neergelegd bij de zorgaanbieder. Zie voor een nadere toelichting hierop paragraaf 2.3.4 van het algemeen deel van deze memorie van toelichting. Wat onder een elektronische infrastructuur wordt verstaan is aangegeven in paragraaf 2.3.2 van het algemeen deel van deze memorie van toelichting.
Door het gebruik van het woord ‘ten minste’ wordt verduidelijkt dat dit een minimaal vereiste is. Naast of aanvullend op het uitwisselen van gegevens door middel van een elektronische infrastructuur kan nog steeds gebruik gemaakt worden van andere communicatiemiddelen, zoals bijvoorbeeld de telefoon. Dit laatste mag echter niet in plaats van het uitwisselen door middel van een elektronische infrastructuur plaatsvinden. Dit is ook toegelicht in paragraaf 2.3.2 van het algemeen deel van deze memorie van toelichting.
Naast de eis die geldt op grond van het wetsvoorstel dat gegevens binnen aangewezen gegevensuitwisselingen door middel van een elektronische infrastructuur moeten worden uitgewisseld, kunnen nadere eisen worden gesteld. Dit is geregeld in artikel 1.4, tweede lid (zie toelichting bij dat lid). Uit het tweede lid volgt dat de verplichting om te voldoen aan artikel 1.4, tweede lid, is neergelegd bij de zorgaanbieder (zie ook paragraaf 2.3.4 van het algemeen deel van deze memorie van toelichting is), tenzij het gaat om de (technische) eisen die gesteld worden aan een informatietechnologieproduct of -dienst waarvoor een certificaat is vereist (zie ook in paragraaf 3.3 van het algemeen deel van deze memorie van toelichting). Als dit laatste het geval is, rust op de zorgaanbieder ingevolgde het derde lid slechts de verplichting om gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten.
Artikel 1, zesde lid, Wkkgz regelt dat in het geval een instelling (zoals een medisch specialistisch bedrijf) (hierna: onderaannemer) zorg verleent binnen een andere instelling (zoals een ziekenhuis) (hierna: hoofdaannemer), de onderaannemer niet aangemerkt wordt als een instelling in de zin van de Wkkgz en dus ook niet als een zorgaanbieder in de zin van de Wkkgz. Door het van overeenkomstige toepassing verklaren van artikel 1, zesde lid, van de Wkkgz wordt een onderaannemer ook voor dit wetsvoorstel niet als zorgaanbieder aangeduid. De hoofdaannemer is daarmee dan verantwoordelijk voor het voldoen aan de verplichting zoals opgenomen in het eerste tot en met derde lid. De onderaannemer is in dit geval zorgverlener. Artikel 1, zevende lid, Wkkgz bepaalt dat als een instelling wordt gevormd door een organisatorisch verband van natuurlijke personen, de uit die wet voortvloeiende verplichtingen zich tot ieder van die personen richten. Voor dit wetsvoorstel geldt dit daarom ook.
Op grond van artikel 1.4, tweede lid, onderdeel b, kunnen eisen worden gesteld om gegevens uit te wisselen op genormaliseerde wijze. Deze eisen kunnen onder meer zien op technische eisen aan informatietechnologieproducten of -diensten. Wanneer op grond van artikel 1.4, derde lid, de eis is gesteld dat een informatietechnologieproduct of -dienst moet zijn voorzien van een certificaat, regelt dit artikel dat het iproduct of de dienst aan de gestelde eisen moet voldoen en het certificaat ook daadwerkelijk moet hebben.
Wanneer een informatietechnologieproduct of -dienst voorzien is van een certificaat waaruit blijkt dat voldaan wordt aan de eisen, wordt de taak van de toezichthouder verlicht. Zie ook paragraaf 3.6 van het algemeen deel van deze memorie van toelichting.
In dit lid is geregeld wie de certificaten kan verstrekken. Certificaten worden afgegeven door gespecialiseerde private partijen, zogenoemde certificerende instellingen. Een instelling is in beginsel alleen bevoegd tot het verstrekken van certificaten als deze hiertoe is aangewezen door de Minister. De Minister wijst alleen geaccrediteerde instellingen aan (zie toelichting op het derde lid), tenzij sprake is van een uitzondering als bedoeld in het vijfde lid. Zie voor een toelichting op de uitzondering op de accreditatie de toelichting bij het vijfde lid.
De certificerende instelling moet voor het verkrijgen van een aanwijzing een aanvraag bij de Minister indienen. De aanwijzing wordt gepubliceerd in de Staatscourant op grond van artikel 3:42 van de Algemene wet bestuursrecht.
Om te borgen dat de Minister de mogelijkheid heeft om stelseltoezicht te houden, is in dit lid bepaald dat de Minister de aanwijzing van een certificerende instelling kan wijzigen, weigeren, schorsen of intrekken, aan de aanwijzing voorschriften kan verbinden en aan de aanwijzing of de schorsing van de aanwijzing een termijn kan verbinden. Op grond van artikel 3.3, aanhef en onder a, kunnen hier nadere eisen aan worden gesteld.
De voorschriften die de Minister kan verbinden aan de aanwijzing van de certificerende instelling, kunnen zien op de situatie dat de certificerende instelling haar werkzaamheden – vrijwillig of onvrijwillig – beëindigt. Gedacht kan worden aan voorschriften die inhouden dat bij het beëindigen van werkzaamheden dossiers moeten worden overgedragen aan een opvolgende certificerende instelling, of wanneer die in het uiterste geval niet beschikbaar is, aan de Minister ter uitvoering van zijn taak op grond van het zevende lid.
De RvA is op grond van artikel 2, eerste lid, van de Wet aanwijzing nationale accreditatie-instantie aangewezen als nationale accreditatie-instantie. De RvA beoordeelt certificerende instellingen op basis van normen die door de Europese Commissie zijn aangewezen als de enige normen die door nationale accreditatie-instanties kunnen worden gebruikt om certificerende instellingen te accrediteren. In dit geval gaat het alleen om de geharmoniseerde norm NEN-EN-ISO/IEC 17065:2012; Conformiteitsbeoordeling – Eisen voor certificatie-instellingen die certificaten toekennen aan producten, processen en diensten. Daarnaast beoordeelt de RvA of aan de eisen voor het verkrijgen van een aanwijzing wordt voldaan, die bij AMvB zullen worden vastgelegd. Te denken valt aan eisen over de rechtsvorm van de certificerende instelling, onafhankelijkheid, deskundigheid en organisatie van de certificerende instellingen.
In paragraaf 7.6 van het algemeen deel van deze memorie van toelichting is de accreditatie door de RvA nader toegelicht.
In verband met de erkenning van verkregen vergelijkbare documenten is in dit lid opgenomen dat met een accreditatie gelijk wordt gesteld een accreditatie afgegeven in een lidstaat van de Europese Unie of een staat waarmee Nederland een verdrag heeft die strekt tot erkenning van dergelijke documenten. Eis daarbij is dat de verkregen accreditatie gebaseerd is op documenten of onderzoekingen die tenminste een beschermingsniveau bieden dat wordt gewaarborgd met de verkrijging van de accreditatie in Nederland voor het afgeven van deze certificaten. Dit betekent dat de accreditatie moet zien op algemene waarden als onafhankelijkheid en onpartijdigheid, maar ook op de inhoudelijke eisen die neergelegd zijn in de AMvB op grond van artikel 3.5, onderdeel a, om voor een aanwijzing in aanmerking te komen. Overigens is elk nationaal accreditatie-orgaan in principe verantwoordelijk voor accreditatie van de organisaties uit het desbetreffende land. Zie hiervoor ook Verordening (EG) Nr. 765/2008 van het Europees parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PbEU L 218, 2008).
Het uitgangspunt is dat een certificerende instelling een accreditatie van de RvA heeft. Daarbij is het zo dat in het kader van accreditatie een instelling aan moet tonen dat zij de werkzaamheden zoals beschreven in het certificatieschema, uitvoert in overeenstemming met dat schema. Dat betekent dat de instelling een klant moet hebben waar zij het certificatietraject volledig doorloopt en dat de RvA deze werkzaamheden bijwoont en beoordeeld. Dit is echter niet mogelijk zonder aanwijzing door de Minister. In dat geval is het mogelijk dat de instelling die een volledige aanvraag heeft ingediend bij de RvA een tijdelijke aanwijzing kan krijgen. De instelling wordt beoordeeld en geaccrediteerd, zonder dat er al een bijwoning van de werkzaamheden plaatsvindt. Nadat deze beoordeling met positief resultaat wordt afgerond, wordt de tijdelijke accreditatie onder beperkende voorwaarden verleend. Daarmee kan de certificerende instelling een (tijdelijke) aanwijzing aanvragen bij de Minister. En na aanwijzing kan de certificerende instelling vervolgens een klant werven, waar de bijwoning kan plaatsvinden. Eventuele afwijkingen die volgen uit de bijwoning moeten worden opgelost voordat de tijdelijke accreditatie in een definitieve accreditatie kunnen worden omgezet. Daarna kan de certificerende instelling ook andere klanten gaan bedienen en certificeren.
Het kan in bepaalde gevallen voorkomen dat het accreditatieproces langer duurt dan verwacht. Aangezien certificerende instellingen een essentiële rol spelen in onderhavig wetsvoorstel en het belangrijk is dat de certificering van informatietechnologieproducten of -diensten wordt voortgezet, kan de Minister in het systeem van accreditatie ingrijpen door te bepalen dat – tijdelijk – van de eis van accreditatie wordt afgezien. De certificerende instelling kan in die tijd alsnog zorgdragen voor de benodigde accreditatie.
De certificerende instellingen, bedoeld in dit wetsvoorstel, worden uitgezonderd van de werking van de Kaderwet zbo’s. Zie voor een toelichting paragraaf 3.6.1 van het algemeen deel van deze memorie van toelichting.
In artikel 23 van de Kaderwet zbo’s is een bevoegdheid opgenomen voor de minister om in te grijpen bij een zbo in geval van ernstige verwaarlozing van de bestuurstaak, waarbij ontwrichting van de uitoefening van de taak dreigt. Het ingrijpen kan bijvoorbeeld inhouden dat de minister de taak die aan het zelfstandig bestuursorgaan is opgedragen, zelf uitvoert. De bepaling in artikel 23 van de Kaderwet zbo’s is vanwege de veelheid van situaties waarin het toegepast zou kunnen worden, noodzakelijkerwijs ruim geformuleerd. In onderhavig lid is een soortgelijke bepaling opgenomen die echter een beperktere strekking heeft en die meer recht doet aan de gekozen systematiek van dit wetsvoorstel. Zoals aangegeven in paragraaf 3.6 van het algemeen deel van deze memorie van toelichting kan de Minister de aanwijzing van de certificerende instelling om verschillende redenen intrekken. Het vervolgens overnemen van de taken van de certificerende instelling is niet aan de orde als er nog andere certificerende instellingen zijn die de taken van de instelling waarvan de aanwijzing is ingetrokken kunnen overnemen. Zoals aangegeven in paragraaf 3.6 kan de Minister dit alleen wanneer er geen andere certificerende instellingen zijn.
Op grond van dit lid kan bij AMvB het certificeren van informatietechnologieproducten en -diensten worden uitgewerkt.
Zo kunnen nadere eisen worden gesteld aan de aanwijzing van de Minister van de certificerende instellingen, waaronder voor welke termijn een aanwijzing telkens geldig is (onderdeel a). De geldigheidsduur van een certificaat is niet in algemene zin te zeggen maar hangt af van de eisen aan de techniek in de NEN-norm. Het certificaat zal in ieder geval hooguit de geldigheidsduur van de NEN-norm bedragen.
Verder kunnen voor de certificerende instellingen regels worden gesteld over de werkzaamheden (onderdeel b). Het kan hierbij gaan om de werkzaamheden die betrekking hebben op bijvoorbeeld de wijze waarop de certificerende instelling de aanvraagprocedure dient in te richten en de termijn waarbinnen op een aanvraag moet worden beslist. Daarnaast valt te denken aan een controlesysteem die een certificerende instelling dient te hebben op de naleving van de aan de certificaten verbonden normen.
Verder kunnen nadere regels gesteld worden aan het informeren van de Minister over het intrekken of schorsen van een certificaat of accreditatie (onderdeel c). Ten slotte kunnen bij AMvB regels gesteld worden over informatie-uitwisseling die essentieel kan zijn voor de Minister om zijn rol als stelselverantwoordelijke uit te voeren en eventuele actie te ondernemen (onderdeel d). Gedacht kan worden aan informatie over het intrekken van een aanwijzing.
Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te bepalen regels voor de certificerende instellingen. Te denken valt bijvoorbeeld aan het soort informatie die de certificerende instelling moet verstrekken en de frequentie van de informatieverstrekking.
Degene die een informatietechnologieproduct of -dienst wil aanbieden aan een zorgaanbieder om te gebruiken bij een aangewezen gegevensuitwisseling zal een aanvraag moeten indienen bij een aangewezen certificerende instelling. Om een certificaat te kunnen verkrijgen dient een aanvrager aan te tonen dat het informatietechnologieproduct of de -dienst voldoet aan de eisen die gesteld zijn aan dat informatietechnologieproduct of die -dienst op grond van artikel 1.4, tweede lid (aanwijzing onder b, spoor 2). Concreet betekent dit dat voldaan moet worden aan de eisen die in de bij AMvB aangewezen norm zijn opgenomen en zoals die vervolgens zijn neergelegd in een door de NEN te ontwikkelen certificatieschema. Hierop toetst een certificerende instelling bij het verstrekken van certificaten en bij het verrichten van audits.
Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling wordt ingetrokken. Dit kan bijvoorbeeld zijn om de certificerende instelling zich van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing. Uit het intrekken van de aanwijzing of accreditatie van de certificerende instelling kan niet direct een oordeel gegeven worden over de vraag of het informatietechnologieproduct of -dienst voldoet aan de NEN-norm die geldt voor de aangewezen gegevensuitwisseling waarvoor het informatietechnologieproduct of -dienst wordt gebruikt. In alle gevallen geldt echter dat er een overgangstermijn nodig is waarin de aanbieder van het informatietechnologieproduct of -dienst een nieuwe certificerende instelling kan vinden die de taken van de vorige certificerende instelling kan overnemen. In het tweede lid wordt daarom voorgesteld dat de door de weggevallen certificerende instelling afgegeven certificaten voor een informatietechnologieproduct of -dienst nog twaalf maanden geldig zijn. Deze termijn geldt ook wanneer de geldigheid van het certificaat zelf korter was. In deze twaalf maanden kan de aanbieder van het informatietechnologieproduct of de -dienst doorgaan met het product of de dienst op de markt te brengen. Zoals hiervoor aangegeven zegt het wegvallen van de certificerende instelling in eerste instantie namelijk niets over de conformiteit van het informatietechnologieproduct of -dienst met de NEN-norm. Mocht er geen opvolgende certificerende instelling zijn dan kan eventueel worden teruggevallen op artikel 3.2, zevende lid, waarbij de Minister de dossiers en de taken overneemt van de wegvallende certificerende instelling.
De nieuwe certificerende instelling (of de minister) neemt de taken voor het gecertificeerde informatietechnologieproduct of -dienst over van de vorige certificerende instelling. In bepaalde gevallen kan worden volstaan met het voortzetten van de reguliere audits en toezicht. Bijvoorbeeld in het geval de certificerende instelling die het certificaat oorspronkelijk heeft afgegeven zich vrijwillig van de markt terugtrekt. Het kan ook echter zijn dat een certificerende instelling gedwongen wordt zich terug te trekken doordat de accreditatie of aanwijzing wordt ingetrokken. In die gevallen kunnen twijfels bestaan over het gecertificeerde informatietechnologieproduct of -dienst. In dat geval zal de nieuwe certificerende instelling (of de minister) die de dossiers heeft overgenomen dienen te onderzoeken of het certificaat voor het informatietechnologieproduct of -dienst op terechte gronden is verleend. Wanneer de uitkomst daarvan negatief is zal de opvolgende certificerende instelling (of in uitzonderlijke situaties de minister) het certificaat schorsen of intrekken. Voor een toelichting wat de gevolgen zijn van het intrekken van het certificaat van een informatietechnologieproduct of -dienst wordt verwezen naar de toelichting op artikel 3.5, derde lid.
Het is van groot belang voor de zorgaanbieders dat er op vertrouwd kan worden dat het informatietechnologieproduct of de -dienst aan de eisen voldoet en blijft voldoen. Wanneer bij bijvoorbeeld een audit blijkt dat het eerder afgegeven certificaat niet of niet langer voldoet aan de eisen, bijvoorbeeld omdat niet aan de laatste versie van de norm wordt voldaan, kan de certificerende instelling het certificaat schorsen of intrekken, afhankelijk van de ernst van de gebreken. Er is gekozen om de bevoegdheid bij de certificerende instelling neer te leggen om te bepalen of er redenen zijn om tot schorsing of intrekking over te gaan. Wanneer er slechts sprake is van niet voldoen op ondergeschikte punten kan dit reden zijn om de certificaathouder tijd te geven om alsnog te voldoen, zonder dat overgegaan wordt tot schorsing. Het is primair aan de RvA om in zijn rol als toezichthouder op de certificerende instellingen er op toe te zien dat de certificerende instellingen op een juiste manier gebruik maken van hun bevoegdheid. Secundair houdt de Minister -op afstand- als stelselverantwoordelijke ook toezicht op de certificerende instellingen. In paragraaf 7.4 van het algemeen deel van deze memorie van toelichting is dit nader toegelicht.
De gevolgen van het intrekken van het certificaat betekent voor de zorgaanbieder dat deze in strijd handelt met artikel 2.1, derde lid. Afhankelijk van de aard van de tekortkoming en of er sprake is van schorsing of intrekking van het certificaat, betekent dit voor de zorgaanbieder dat er aanvullende maatregelen moeten worden genomen om aan de eisen voor die aangewezen gegevensuitwisseling te blijven voldoen. Bij schorsing kunnen tijdelijke maatregelen overwogen worden, bij intrekking van het certificaat zal de zorgaanbieder een andere informatietechnologieproduct of -dienst moeten inkopen die wel beschikt over het vereiste certificaat.
Wanneer een certificaat wordt geschorst of ingetrokken is dat ook voor de toezichthouder van groot belang om over geïnformeerd te worden. Daarin voorziet dit lid. De zorgaanbieder zal immers actie moeten ondernemen op het moment dat de informatietechnologieproducten of – diensten die gebruikt worden, maar niet langer voorzien zijn van een geldig certificaat. De toezichthouder zal erop moeten toezien of de zorgaanbieder dat ook doet.
Wanneer een certificaat wordt ingetrokken kan een zorgaanbieder niet van de een op de andere dag het gebruik van het informatietechnologieproduct of -dienst staken zonder de gegevensuitwisseling in gevaar te brengen. Het zal immers tijd kosten voordat een nieuw informatietechnologieproduct of -dienst is aangeschaft en is geïmplementeerd. Het is wel de bedoeling dat deze tijd zo kort mogelijk is, omdat het informatietechnologieproduct of -dienst niet (volledig) voldoet aan de voor die aangewezen gegevensuitwisseling geldende NEN-norm. Daarom is ervoor gekozen een standaardtermijn van zes maanden te hanteren (derde lid). Wanneer blijkt (uit onder andere de informatie die de IGJ verstrekt) dat de zes-maanden-termijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (vierde lid).
In dit artikel is het toezicht op het bepaalde bij of krachtens dit wetsvoorstel geregeld. Het gaat om toezicht op de verplichtingen die aan zorgaanbieders worden opgelegd en op de eisen die aan informatietechnologieproducten of -diensten worden gesteld. Bovendien wordt naast het private toezicht door de RvA voorzien een publiekrechtelijk stelseltoezicht op certificerende instellingen. In paragraaf 7.1 van het algemeen deel van deze memorie van toelichting is de regeling van het toezicht nader toegelicht.
Met het vierde lid is beoogd om voor gegevens vergelijkbare bevoegdheden te verschaffen als opgenomen in de artikelen 5:16 en 5:17 van de Algemene wet bestuursrecht (hierna: Awb). Het gaat dan om het recht om inlichtingen te vorderen (artikel 5:16 Awb), het recht om inzage te vorderen (artikel 5:17, eerste lid, Awb) en het recht om kopieën te maken (artikel 5:17, tweede lid, Awb).
De gegevens waarop het toezichtsinstrumentarium betrekking kunnen hebben, zijn gegevens als bedoeld in artikel 1.4, aanhef en eerste lid, onderdeel b. Dit kunnen gegevens over de gezondheid van de cliënt betreffen. Gegevens over de gezondheid vallen onder de categorieën bijzondere persoonsgegevens in de zin van artikel 9 van de Algemene verordening gegevensbescherming (hierna: AVG) en paragraaf 3.1 van de Uitvoeringswet AVG (hierna: UAVG). Deze gegevens vallen onder het medisch beroepsgeheim. Dit lid voorziet in de – op grond van artikel 7:457, eerste lid, van het Burgerlijk Wetboek en artikel 6, eerste lid, onderdeel e, juncto artikel 9, tweede lid, onderdeel g, van de AVG – vereiste wettelijke grondslag voor doorbreking van het medisch beroepsgeheim respectievelijk de verwerking van categorieën van bijzondere persoonsgegevens.
Artikel 10 van de Gw bepaalt dat eenieder, behoudens bij of krachtens de wet te stellen beperkingen, recht heeft op eerbiediging van zijn persoonlijke levenssfeer. Ingevolge artikel 8, tweede lid, van het EVRM, is beperking van dit recht uitsluitend toelaatbaar indien de beperking is voorzien bij wet, zij een legitiem doel dient en zij ‘noodzakelijk is in een democratische samenleving’. Het onderhavige voorstel voorziet in een wettelijke beperking van dit grondrecht, namelijk het zonder toestemming van de betrokkene inzage krijgen in of gebruik maken van (kopieën maken of de gegevens voor korte tijd mee te nemen) persoonsgegevens, waaronder gegevens over de gezondheid van de clíënt. Aan artikel 10 Gw en het eerste criterium van artikel 8, tweede lid, van het EVRM wordt derhalve voldaan. Het legitieme doel dat gediend wordt en de noodzaak hiervan (artikel 8, tweede lid, EVRM), betreft de bescherming van de volksgezondheid. Immers, goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit van zorg. Door te regelen hoe gegevens moeten worden uitgewisseld kunnen de randvoorwaarden worden gesteld om goede zorg te verlenen. Voor het toezicht op de naleving van dit wetsvoorstel is het noodzakelijk dat de toezichthoudende ambtenaren, zonder toestemming, de persoonsgegevens van cliënten kunnen inzien om te kunnen controleren of de gegevens correct zijn uitgewisseld en of bijvoorbeeld informatie die van belang is voor de veiligheid van een cliënt niet ontbreekt in de uitgewisselde gegevens. Inzage in de gegevens over de gezondheid van de cliënt is belangrijk om de betrouwbaarheid, volledigheid en de correctheid van de elektronische uitwisseling van gegevens te kunnen verifiëren.
Als de toezichthoudende ambtenaren (bijzondere persoons)gegevens nodig hebben kunnen zij deze ingevolge dit voorstel door inzage ter plaatse verkrijgen. De toezichthoudende ambtenaren beschikken op grond van dit voorstel ook over de bevoegdheid om inlichtingen te vorderen, waarbij degene bij wie de gegevens of bescheiden worden gevorderd deze zelf aan de toezichthoudende ambtenaren verstrekt, en over de bevoegdheid om afschriften van de gegevens te maken. Zo nodig kunnen gegevens voor korte tijd worden meegenomen om daarvan een afschrift te maken.
De toezichthoudende ambtenaren zijn bij de uitoefening van haar toezichthoudende taak gebonden aan artikel 5:13 van de Awb, waarin is bepaald dat een toezichthouder slechts gebruik mag maken van zijn bevoegdheden voor zover dat redelijkerwijs nodig is voor de vervulling van zijn taak. In de specifieke wetten, als ook in het onderhavige wetsvoorstel is voorts expliciet bepaald dat uitsluitend van die bevoegdheid gebruik mag worden gemaakt als dat voor de vervulling van de taak van de inspectie noodzakelijk is.
De uitoefening van deze toezichtsbevoegdheden moet eveneens in overeenstemming zijn met de (U)AVG. Onder meer geldt daarbij dat de gegevensverwerking beperkt dient te blijven tot het noodzakelijke (minimale gegevensverwerking), de persoonsgegevens in beginsel niet langer worden bewaard dan noodzakelijk is voor het doel van de verwerking (opslagbeperking) en dat een passende beveiliging van de persoonsgegevens gewaarborgd is.
Wat betreft de opslagbeperking wordt opgemerkt dat bij de uitoefening van deze toezichtsbevoegdheden sprake kan zijn van het bewaren van bijzondere categorieën van persoonsgegevens. Dit is bijvoorbeeld aan de orde als de toezichthoudende ambtenaren het in de betreffende situatie noodzakelijk acht om van bepaalde persoonsgegevens kopieën te maken of de persoonsgegevens voor dat doel voor korte tijd mee te nemen. De (U)AVG geeft geen concrete bewaartermijn. Het bewaren van persoonsgegevens als hier bedoeld is toegestaan voor zover dit noodzakelijk is voor de verwezenlijking van het doel waarmee de gegevens worden verzameld of verwerkt. Dit is een algemene regel waarvan de uitwerking per situatie kan verschillen en waaraan in de uitvoering nader invulling zal moeten worden gegeven.
In dit artikel is de handhaving op de verplichtingen, bedoeld in artikel 2.1, geregeld. In paragraaf 7.1 van het algemeen deel van de memorie van toelichting is hier al uitgebreid op ingegaan. Aangezien de verplichtingen zich richten tot de zorgaanbieders, richt de handhaving (en in het verlengde daarvan, het toezicht, bedoeld in artikel 4.1) zich ook tot de zorgaanbieders.
In dit artikel is de handhaving op naleving van de eisen, bedoeld in artikel 3.1, geregeld. In paragraaf 7.3 van het algemeen deel van de memorie van toelichting is hier al uitgebreid op ingegaan. De handhaving (en in het verlengde daarvan, het toezicht, bedoeld in artikel 4.1) richt zich tot de degene die de informatietechnologieproducten of -diensten aanbiedt aan de zorgaanbieders. Dit kunnen de producenten zijn, tussenpersonen of eindleveranciers. Ook kan een bestuurlijk boete worden opgelegd aan degene die het mogelijk maakt dat de zorgaanbieder een niet-gecertificeerd informatietechnologieproduct of -dienst gebruikt of blijft gebruiken door ondersteuning in het product- of dienstgebruik te bieden. Er bestaat vaak een (langdurige) relatie tussen de leverancier en de zorgaanbieder bij de ondersteuning van het ingekochte softwarepakket met bijbehorende dienstverlening en in bepaalde gevallen bijbehorende hardware. Op de leverancier blijft in dat geval de verantwoordelijkheid rusten voor een juiste certificering van de informatietechnologieproducten- en diensten.
In dit artikel is een waarborg voor parlementaire betrokkenheid opgenomen bij de uitwerking van de normstelling, in de vorm van een voorhangprocedure bij beide kamers der Staten-Generaal. Dat betekent dat ontwerpen van AMvB eerst aan het parlement worden voorgelegd, voordat die aan de Afdeling advisering van de Raad van State voor advies worden voorgelegd. Met die voorhangprocedure heeft het parlement de mogelijkheid om, naast de sturing op de hoofdlijnen van de wet, vroegtijdig rechtstreeks invloed uit te oefenen op de uitwerking van de regels op het gebied van gegevensuitwisseling in de zorg door middel van een elektronische infrastructuur.
Deze bepaling geldt als vervanging van de voorhangbepalingen in artikel 15j, tweede lid, van de Wabvpz, artikel 8:22, derde lid, van de Wvggz, en artikel 18c, zevende lid, van de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling. Op grond van de bepalingen in paragraaf 6 van het wetsvoorstel vallen deze gegevens dan niet langer onder de genoemde wetten (met bijbehorende voorhangprocedure), maar komen dan onder het wetsvoorstel te vallen. Het is evident dat de bijbehorende voorhangprocedure mee over gaat in dit wetsvoorstel.
Van de drie genoemde wetten kent de Wabvpz de meest zware voorhangprocedure. De in dit wetsvoorstel opgenomen voorhangbepaling is gelijk aan de voorhangprocedure, bedoeld in die wet. Zo wordt de vroegtijdige rechtstreeks invloed van het parlement in dit wetsvoorstel stevig geborgd. Dit betekent wel een verzwaring van de voorhangprocedure van de Wvggz en de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling. Omwille van de uniformiteit en duidelijkheid is echter niet gekozen om verschillende voorhangbepalingen op te nemen.
De reikwijdte van de Wabvpz komt grotendeels overeen met de reikwijdte van het wetsvoorstel. Op grond van artikel 15j, eerste lid, Wabvpz kunnen bij AMvB regels worden gesteld over de functionele, technische en organisatorische maatregelen voor het beheer, de beveiliging en het gebruik van een zorginformatiesysteem45 of een elektronisch uitwisselingssysteem.46 De AMvB onder de Wabvpz moet worden voorgehangen.
Onder artikel 15j, eerste lid, hangt het Besluit elektronische gegevensverwerking door zorgaanbieders (hierna: Begz).47 In het Begz worden eisen gesteld aan de beveiliging van elektronische zorginformatiesystemen en elektronisch uitwisselingssystemen. Artikel 5, tweede lid, Begz is uitgewerkt in het Besluit vaststelling bewaartermijn logging.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop (hoe) gegevens door middel van een elektronische infrastructuur moeten worden uitgewisseld. Dit kan ook gaan om eisen aan zorginformatiesystemen of een elektronisch uitwisselingssystemen als bedoeld in de Wabvpz. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 15j, eerste lid, Wabvpz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels die gesteld zijn op grond van artikel 15j van de Wabvpz op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wabvpz valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Begz en het Besluit vaststelling bewaartermijn logging opgenomen worden. Opgemerkt wordt dat bij AMvB daarnaast aanvullende eisen opgenomen kunnen worden.
Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent, ontstaat op dit punt geen nieuwe situatie.
In paragraaf 2.3.3 van het algemeen deel van deze memorie van toelichting is toegelicht dat onderdelen van de professionele standaard zich niet lenen als bron waarnaar in de eisen die bij het wetsvoorstel worden gesteld naar verwezen kan worden vanwege het ontbreken van rechtszekerheid.
In dit onderdeel is in het verlengde daarvan daarom bepaald dat een wijziging van goede zorg die afwijkt van de wettelijk verplichte gegevensuitwisseling door middel van een elektronische infrastructuur alleen kan via de weg van de kwaliteitsstandaarden. Als het gewenst is om afspraken te maken over de goede zorg die niet in overstemming zijn met de eisen die bij AMvB zijn gesteld, moeten zorgverleners en zorgaanbieders de procedure voor de kwaliteitsstandaarden bij het Zorginstituut volgen. Het gaat daarbij uitsluitend over het onderdeel in de kwaliteitsstandaard waarin is vastgelegd welke gegevens voor de andere zorgverleners nodig zijn en dus uitgewisseld moeten worden.
De zorg die verleend wordt onder de Wpg valt onder de reikwijdte van het wetsvoorstel. Jeugdgezondheidszorg is onderdeel van de publieke gezondheidszorg als bedoeld in de Wpg. Het college van burgemeester en wethouders is bij deze vorm van zorg zorgaanbieder.
In de Wpg staat in artikel 5, derde lid, onderdeel b, dat het college van burgemeester en wethouders er zorg voor moet dragen dat bij de uitvoering van de taak, bedoeld in artikel 5, eerste lid, (zorgdragen voor de uitvoering van de jeugdgezondheidszorg) gebruik moet worden gemaakt van digitale gegevensopslag, onder bij regeling van Onze Minister te stellen eisen aan de daarbij te gebruiken software, voor zover het gaat om vastleggen van patiëntgegevens als bedoeld in artikel 7:454 van het BW. In de Regeling eisen software ex artikel 5, derde lid, Wet publieke gezondheid (hierna: Regeling software) is hier uitvoering aan gegeven. Daarin staat dat gebruik moet worden gemaakt van software die digitale overdracht en uniforme registratie mogelijk maakt en die ten minste een aantal nader genoemde rubrieken bevat. In de Regeling software wordt dus aangegeven welke gegevens in ieder geval geregistreerd moeten worden (de genoemde rubrieken) en wordt aangegeven dat digitale overdracht mogelijk moet zijn. Er wordt niet aangegeven met welke software deze gegevens moeten worden vastgelegd opdat digitale uitwisseling mogelijk is. Welke software hiervoor toepasselijk is, is aan de uitvoerende partijen overgelaten.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur plaats moet vinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat op grond van artikel 5, derde lid, onderdeel b, Wpg niet langer eisen gesteld mogen worden aan de software waarmee gegevens moeten worden vastgelegd opdat dit ook niet kan doorwerken in de wijze waarop het uitwisselen van gegevens door middel van een elektronische infrastructuur plaats moet vinden.
Zoals in paragraaf 5.1 van het algemeen deel van deze memorie al is toegelicht, is beoogd om bij de AMvB onder het wetsvoorstel te regelen dat binnen de jeugdgezondheidszorg elektronische overdracht van de gegevens die zijn aangewezen in de Regeling software verplicht wordt. Hiermee wordt het beleid dat vastgelegd is in de Regeling software (maak gebruik van software die overdracht mogelijk maakt) bestendigd met een verplichting.
In het voorgestelde nieuwe onderdeel b van artikel 5, derde lid, Wpg is een aangepaste grondslag opgenomen. Hiermee blijft de verplichting bestaan om de gegevens elektronisch (de term ‘digitaal’ is vervangen conform dit wetsvoorstel) op te slaan en is tevens de mogelijkheid behouden om eisen te stellen over welke gegevens in ieder geval (in het patiëntendossier) moeten worden geregistreerd.
Van de gelegenheid is gebruik gemaakt om te verduidelijken dat de Regeling software ook kan gaan over gegevens die anderszins relevant zijn ten aanzien van een cliënt (naast de patiëntgegevens als bedoeld in artikel 7:454 van het BW). Administratieve gegevens en gegevens over cliëntcontext (informatie over burgerlijke staat, levensovertuiging, ziektebeleving) zijn namelijk niet altijd onderdeel zijn van het medisch dossier.
Het bovenstaande brengt met zich dat de Regeling software als dit wetsvoorstel tot wet wordt verheven naar aanleiding hiervan aangepast moet worden.
De zorg die verleend wordt onder de Wvggz kan onder de reikwijdte van het wetsvoorstel vallen. Op grond van artikel 8:22, tweede lid, Wvggz moeten bij of krachtens AMvB regels worden gesteld over de wijze waarop de gegevensverwerkingen die voortvloeien uit die wet worden ingericht en met aanvullende waarborgen worden omkleed, waaronder begrepen de technische standaarden daarvoor. Onder gegevensverwerking valt ook het uitwisselen van gegevens. Het kan daarbij gaan om het uitwisselen van gegevens tussen zorgverleners, zoals bijvoorbeeld in een geval als bedoeld in artikel 8:16, zesde lid, Wvggz.
De AMvB onder de Wvggz moet worden voorgehangen. Op grond van de Wvggz kan een dwangsom worden opgelegd bij overtreding van artikel 8:22, tweede lid, Wvggz.
Aan de verplichting in artikel 8:22, tweede lid, is uitvoering gegeven in artikel 3.1 van het Besluit verplichte geestelijke gezondheidszorg (hierna: Bvggz) en in artikel 10 van de Regeling verplichte geestelijke gezondheidszorg (hierna: Rvggz).
In artikel 3.1 Bvggz is bepaald dat technische en organisatorische maatregelen genomen moeten worden om te borgen dat persoonsgegevens zijn beveiligd tegen: verlies of aantasting of onbevoegde kennisneming, opneming, wijziging, verwijdering of verstrekking. Daartoe worden een aantal minimale maatregelen genoemd. Daarnaast staat in 3.1 Bvggz dat een inrichting van die gegevensverwerking zodanig moet zijn dat wordt geborgd dat de verstrekking van gegevens die voortvloeit uit de wet doelmatig en tijdig plaats kan vinden en dat de te verstrekken gegevens actueel, juist en volledig zijn. De verplichtingen zijn gericht tot de verwerkingsverantwoordelijke.
In artikel 10 Rvggz is geregeld dat ten aanzien van gegevensverwerkingen door zorgaanbieders die voortvloeien uit de wet en de daarop berustende bepalingen voldaan moet worden aan NEN 7510, en de uitwerking daarvan in NEN 7512.
Met dit wetsvoorstel wordt het mogelijk om bij of krachtens AMvB eisen te stellen aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 8.22, tweede lid, Wvggz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels van de Wvggz op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wvggz valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Bvggz en de Rvggz opgenomen worden. Uiteraard kunnen bij AMvB daarnaast aanvullende eisen opgenomen worden.
Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent en de mogelijkheid biedt om een last onder dwangsom op te leggen, ontstaat op die punten geen nieuwe situatie.
De zorg die verleend wordt onder de Wzd aan psychogeriatrische en verstandelijk gehandicapte cliënten valt onder de Wkkgz en dus binnen de reikwijdte van het wetsvoorstel. Op grond van artikel 18c, zesde lid, Wzd moeten bij of krachtens AMvB regels worden gesteld over de wijze waarop de gegevensverwerkingen die voortvloeien uit die wet worden ingericht en met aanvullende waarborgen worden omkleed, waaronder begrepen de technische standaarden daarvoor. Onder gegevensverwerking valt ook het uitwisselen van gegevens. De AMvB moet worden voorgehangen. Daarnaast is relevant dat op grond van de Wzd een dwangsom kan worden opgelegd bij overtreding van artikel 18c, zesde lid, Wzd.
Aan de verplichting in artikel 18c, zesde lid, Wzd is uitvoering gegeven in artikel 4.1 van het Besluit zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Bzd) en in artikel 8 van de Regeling zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Rzd).
In artikel 4.1 Bzd is bepaald dat technische en organisatorische maatregelen genomen moeten worden om te borgen dat persoonsgegevens zijn beveiligd tegen: verlies of aantasting of onbevoegde kennisneming, opneming, wijziging, verwijdering of verstrekking. Daartoe worden een aantal minimale maatregelen genoemd. Daarnaast staat in artikel 4.1 Bzd dat een inrichting van die gegevensverwerking zodanig moet zijn dat wordt geborgd dat de verstrekking van gegevens die voortvloeit uit de wet doelmatig en tijdig plaats kan vinden en dat de te verstrekken gegevens actueel, juist en volledig zijn. De verplichtingen zijn gericht tot de verwerkingsverantwoordelijke.
In artikel 8 Rzd is geregeld dat ten aanzien van gegevensverwerkingen door zorgaanbieders die voortvloeien uit de wet en de daarop berustende bepalingen voldaan moet worden aan NEN 7510, en de uitwerking daarvan in NEN 7512.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 18c, zesde lid, Wzd niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels van de Wzd op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wzd valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Bzd en de Rzd opgenomen worden. Uiteraard kunnen bij AMvB daarnaast aanvullende eisen opgenomen worden.
Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent en de mogelijkheid biedt om een last onder dwangsom op te leggen, ontstaat op die punten geen nieuwe situatie.
Om te borgen dat de relatie tussen welke gegevens die onderdeel zijn van de goede zorg (vastgelegd in kwaliteitsstandaarden) en de eisen hoe moeten worden uitgewisseld actueel en correct blijft, zal zicht gehouden moeten worden op die relatie. Wanneer een kwaliteitsstandaard als basis dient voor een NEN-norm is het van belang dat het Zorginstituut de minister informeert wanneer een wijziging van de in die NEN-norm gehanteerde kwaliteitsstandaard wordt voorgedragen.
De formulering van het voorliggende wetsvoorstel is afhankelijk van de inwerkingtreding van de Wet van 9 september 2020 tot wijziging van de Wkkgz in verband met het creëren van een bevoegdheid voor Onze Minister om een voorgedragen kwaliteitsstandaard vanwege financiële gevolgen niet in het openbaar register op te nemen (financiële toetsing voorgedragen kwaliteitsstandaarden) (Stb. 2020, 346) (hierna: Wet financiële toetsing kwaliteitsstandaarden). Daarom zijn twee samenloopbepalingen opgenomen. Artikel 7.1 regelt de situatie dat de Wet financiële toetsing voorgedragen kwaliteitsstandaarden gelijktijdig met of eerder inwerking treedt dan het voorliggende wetsvoorstel. Artikel 7.2 regelt de situatie dat het de Wet financiële toetsing voorgedragen kwaliteitsstandaarden later in werking treedt dan het voorliggende wetsvoorstel.. De inwerkingtredingsdatum van de Wet financiële toetsing voorgedragen kwaliteitsstandaarden wordt mede bepaald door de voortgang en inwerkingtredingsdatum van de algemene maatregel van bestuur die op grond van die wet verplicht moet worden opgesteld.
In de slotbepalingen zijn artikelen opgenomen met betrekking tot evaluatie (zie paragraaf 10.1 van het algemeen deel van deze memorie van toelichting), inwerkingtreding (zie paragraaf 10.3 van het algemeen deel van deze memorie van toelichting) en de citeertitel.
De Minister voor Medische Zorg,
Een zorgverlener is op grond van artikel 7:454 BW verplicht om een dossier in te richten met betrekking tot de behandeling van een patiënt.
Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg, Kamerstukken II 2007/08, 31 466, nrs. 2 (Voorstel van wet), 3 (Memorie van toelichting) en 4 (Advies van de Afdeling advisering en het nader rapport).
Artikel 15a Wabvpz. Zie Wijziging van de Wet cliëntenrechten zorg, de Wet gebruikte burgerservicenummer in de zorg, de Wet Marktordening gezondheidszorg, en de Zorgverekeringswet, Kamerstukken II 2012/13, 33 509, nrs. 2 (Voorstel van wet), 3 (Memorie van toelichting) en 4 (Advies van de Afdeling advisering en het nader rapport).
Het gaat om artikel 15a, tweede lid, Wabvpz. Zie hierover de brief van de minister voor Medische Zorg van 2 oktober 2020 (Elektronische gegevensuitwisseling in de zorg), Kamerstukken II 2020/21, 27 529, nr. 219.
Voorgesteld artikel 1.2. Wet elektronische gegevensuitwisseling in de zorg (Wegiz): Goede zorg in de zin van artikel 2 van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz).
Toelichting, paragraaf 2.3.3 (Gegevens) en paragraaf 3.2 (Aan te wijzen gegevensuitwisselingen).
Zie Toelichting, paragraaf 2.3.1 (Zorgdomeinen) waarin wordt genoemd: ‘01. Ambulance-overdracht; 02. Medicatie-Digitaal receptenverkeer; 03. Medicatie–Verstrekken & Toedienen; 04. Ziekenhuizen BgZ; 05. Verpleegkundige overdracht; 06. Ketenzorg Diabetes; 07. GGZ-overdracht BgZ; 08. Verloskunde- Gynaecologie; 09. Beeld-Ziekenhuizen; 10. Beeld-Pathologie; 11. MDO Oncologie; 12. Triageverwijzing; 13. Geboortezorg/JGZ.’
Kamerstukken II 2020/21, 27 529, nr. N (brief van de minister voor Medische Zorg en Sport van 14 december 2020 ‘Prioriteiten elektronische gegevensuitwisseling resterende kabinetsperiode’).
Zie, onder meer, Toelichting, paragraaf 2.2.3 (Meer regie noodzakelijk) en paragraaf 3.4 (Verplichting om gegevens elektronisch uit te wisselen). Op grond van voorgesteld artikel 1.4, tweede lid, kunnen er eisen worden gesteld aan de functionele, technische of organisatorische wijze waarop gegevensuitwisseling plaatsvindt (onder a), en kunnen er eisen worden gesteld aan de interoperabiliteit van de gegevensuitwisseling waarbij bepaalde NEN-normen verplicht kunnen worden gesteld (onder b).
Toelichting paragraaf 8.3 (Effecten op de gegevensbescherming). Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, PbEU 2016, L119.
Zie in meer algemene zin het ongevraagde advies van de Afdeling advisering inzake de effecten van digitalisering voor de rechtsstatelijke verhoudingen, Kamerstukken II 2017/18, 26 643, nr. 557.
Zie ook het advies van de Afdeling bij het wetsvoorstel tot invoering van een Elektronisch Patiëntendossier Kamerstukken II 2007/08, 31 466, nr.4.
Voorgesteld artikel 1.4 verplicht tot het jaarlijks informeren van de Tweede Kamer over de meerjarenagenda Wegiz, en daarnaast verplicht voorgesteld artikel 8.1 vijf jaar na inwerkingtreding van het voorstel een evaluatie uit te voeren.
Voor zover hierbij technische voorschriften worden gesteld voor producten en diensten van de informatiemaatschappij, dient vervolgens ook het voorstel zelf te worden genotificeerd op grond van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (codificatie) (PbEU 2015, L 241).
De toelichting op aanwijzing 3.48 van de aanwijzingen voor de regelgeving noemt de volgende voorbeelden: EU-richtlijnen, verdragen en besluiten van volkenrechtelijke organisaties die verplichten tot verwijzing naar normalisatienormen, regelingen die zich richten tot overheidsinstanties waarbij een exclusieve toepassing wenselijk is, en strafrechtelijke handhaving, waarbij een duidelijke norm moet worden gesteld zoals over een toe te passen meetmethode.
Mededeling van de Commissie van 25 april 2018 over het mogelijk maken van de digitale transformatie van gezondheid en zorg in de digitale eengemaakte markt; de burger ‘empoweren’ en bouwen aan een gezondere maatschappij, COM(2018)233; en Aanbeveling (EU) 2019/243 van de Commissie van 6 februari 2019 betreffende een Europees uitwisselingsformaat voor elektronische patiëntendossiers, PbEU 2019, L39.
MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de patiënt.
Een zorgverlener is op grond van artikel 7:454 BW verplicht om een dossier in te richten met betrekking tot de behandeling van een patiënt.
Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg, Kamerstukken II 2007/08, 31 466, nrs. 2 (Voorstel van wet), 3 (Memorie van toelichting) en 4 (Advies van de Afdeling advisering en het nader rapport).
Artikel 15a Wabvpz. Zie Wijziging van de Wet cliëntenrechten zorg, de Wet gebruikte burgerservicenummer in de zorg, de Wet Marktordening gezondheidszorg, en de Zorgverekeringswet, Kamerstukken II 2012/13, 33 509, nrs. 2 (Voorstel van wet), 3 (Memorie van toelichting) en 4 (Advies van de Afdeling advisering en het nader rapport).
Het gaat om artikel 15a, tweede lid, Wabvpz. Zie hierover de brief van de minister voor Medische Zorg van 2 oktober 2020 (Elektronische gegevensuitwisseling in de zorg), Kamerstukken II 2020/21, 27 529, nr. 219.
Voorgesteld artikel 1.2. Wet elektronische gegevensuitwisseling in de zorg (Wegiz): Goede zorg in de zin van artikel 2 van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz).
Toelichting, paragraaf 2.3.3 (Gegevens) en paragraaf 3.2 (Aan te wijzen gegevensuitwisselingen).
Zie Toelichting, paragraaf 2.3.1 (Zorgdomeinen) waarin wordt genoemd: ‘01. Ambulance-overdracht; 02. Medicatie-Digitaal receptenverkeer; 03. Medicatie–Verstrekken & Toedienen; 04. Ziekenhuizen BgZ; 05. Verpleegkundige overdracht; 06. Ketenzorg Diabetes; 07. GGZ-overdracht BgZ; 08. Verloskunde- Gynaecologie; 09. Beeld-Ziekenhuizen; 10. Beeld-Pathologie; 11. MDO Oncologie; 12. Triageverwijzing; 13. Geboortezorg/JGZ.’
Kamerstukken II 2020/21, 27 529, nr. N (brief van de minister voor Medische Zorg en Sport van 14 december 2020 ‘Prioriteiten elektronische gegevensuitwisseling resterende kabinetsperiode’).
Zie, onder meer, Toelichting, paragraaf 2.2.3 (Meer regie noodzakelijk) en paragraaf 3.4 (Verplichting om gegevens elektronisch uit te wisselen). Op grond van voorgesteld artikel 1.4, tweede lid, kunnen er eisen worden gesteld aan de functionele, technische of organisatorische wijze waarop gegevensuitwisseling plaatsvindt (onder a), en kunnen er eisen worden gesteld aan de interoperabiliteit van de gegevensuitwisseling waarbij bepaalde NEN-normen verplicht kunnen worden gesteld (onder b).
Toelichting paragraaf 8.3 (Effecten op de gegevensbescherming). Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, PbEU 2016, L119.
Zie in meer algemene zin het ongevraagde advies van de Afdeling advisering inzake de effecten van digitalisering voor de rechtsstatelijke verhoudingen, Kamerstukken II 2017/18, 26 643, nr. 557.
Zie ook het advies van de Afdeling bij het wetsvoorstel tot invoering van een Elektronisch Patiëntendossier Kamerstukken II 2007/08, 31 466, nr.4.
Voorgesteld artikel 1.4 verplicht tot het jaarlijks informeren van de Tweede Kamer over de meerjarenagenda Wegiz, en daarnaast verplicht voorgesteld artikel 8.1 vijf jaar na inwerkingtreding van het voorstel een evaluatie uit te voeren.
Voor zover hierbij technische voorschriften worden gesteld voor producten en diensten van de informatiemaatschappij, dient vervolgens ook het voorstel zelf te worden genotificeerd op grond van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (codificatie) (PbEU 2015, L 241).
De toelichting op aanwijzing 3.48 van de aanwijzingen voor de regelgeving noemt de volgende voorbeelden: EU-richtlijnen, verdragen en besluiten van volkenrechtelijke organisaties die verplichten tot verwijzing naar normalisatienormen, regelingen die zich richten tot overheidsinstanties waarbij een exclusieve toepassing wenselijk is, en strafrechtelijke handhaving, waarbij een duidelijke norm moet worden gesteld zoals over een toe te passen meetmethode.
Mededeling van de Commissie van 25 april 2018 over het mogelijk maken van de digitale transformatie van gezondheid en zorg in de digitale eengemaakte markt; de burger ‘empoweren’ en bouwen aan een gezondere maatschappij, COM(2018)233; en Aanbeveling (EU) 2019/243 van de Commissie van 6 februari 2019 betreffende een Europees uitwisselingsformaat voor elektronische patiëntendossiers, PbEU 2019, L39.
MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de patiënt.
Veilige, toegankelijke, toekomstbestendige en betaalbare zorg, hulp en ondersteuning en de juiste zorg op de juiste plek.
In het wetsvoorstel en de memorie van toelichting wordt gebruik gemaakt het begrip cliënt. Hiermee wordt zowel de gebruiker (patiënt) in de curatieve zorg bedoeld als de gebruiker van andere zorg. De cliënt is niet alleen degene aan wie zorg wordt verleend, maar ook de persoon die zorg vraagt.
Zoals tijdens het AO van 30 januari 2019 inzake Gegevensuitwisseling in de zorg/Gegevensbescherming, en in de moties van het lid Aukje de Vries c.s (Kamerstukken II 2017/18, 29 515, nr. 432), Ellemeet (Kamerstukken II 2017/18, 29 515, nr. 427) en Raemakers (Kamerstukken II 2017/18, 29 515, nr. 46).
Kamerstukken I 2011/12, 31 466, nr. X over het beëindigen van de ontwikkeling van het Landelijk Schakelpunt.
Het programma Registratie aan de bron heeft als doel om zorginformatie in het zorgproces eenduidig en eenmalig vast te leggen, zodat die informatie kan worden hergebruikt, bijvoorbeeld voor overdracht tussen professionals en tussen professionals en cliënten.
Het programma medicatieproces (2015–2019) was gericht op het ontwikkelen en vaststellen van de informatiestandaard medicatieproces ten behoeve van de medicatieoverdracht.
01. Ambulance-overdracht; 02. Medicatie-Digitaal receptenverkeer; 03. Medicatie–Verstrekken & Toedienen; 04. Ziekenhuizen BgZ; 05. Verpleegkundige overdracht; 06. Ketenzorg Diabetes; 07. GGZ-overdracht BgZ; 08. Verloskunde- Gynaecologie; 09. Beeld-Ziekenhuizen; 10. Beeld-Pathologie; 11. MDO Oncologie; 12. Triageverwijzing; 13. Geboortezorg/JGZ.
De effecten arena is een analyse-instrument om op kwalitatieve wijze effecten (gevolgen) van een aanpak (programma, project of beleidswijziging) in beeld te brengen. Ministerie BZK, Maatschappelijke kosten en baten in beeld 2013.
Dat dezelfde waarde heeft als een verdrag op grond van artikel 6, eerste lid, van het op 7 februari 1992 te Maastricht tot stand gekomen Verdrag betreffende de Europese Unie (Trb. 1992, 74) (aanpassing Trb. 2008, 11)
EHRM 8 juli 1986, ECLI:CE:ECHR:1986:0708JUD000900680 (Lithgow e.a./Verenigd Koninkrijk);
EHRM 4 december 2008, ECLI:CE:ECHR:2008:1204JUD003056204 (S. en Marper/Verenigd Koninkrijk).
HvJ EU 12 juni 2003, C-112/00, ECLI:EU:C:2003:333 (Schmidberger/Oostenrijk); HvJ EU 18 december 2007, C-341/05, ECLI:EU:C:2007:809 (Laval); HvJ EU 11 december 2007, C‑438/05, ECLI:EU:C:2007:772 (International Transport Workers’ Federation en Finnish Seamen’s Union); HvJ EU 14 oktober 2004, C‑36/02, ECLI:EU:C:2004:614 (Omega Spielhallen‑ und Automatenaufstellungs-GmbH).
Artikel 36 van het op 25 maart 1957 te Rome tot stand gekomen Verdrag betreffende de Werking van de Europese Unie (Trb. 2003, 150).
De AMvB’s zullen op grond van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij de richtlijnen (Pb2015, L241) (Notificatierichtlijn) worden genotificeerd.
Artikel 52, eerste lid, in samenhang met artikel 62 van het op 25 maart 1957 te Rome tot stand gekomen Verdrag betreffende de Werking van de Europese Unie (Trb. 2003, 150).
Advies de Afdeling advisering van de Raad van State aan de Ministerie van Veiligheid en Justitie inzake sanctiestelsels van 13 juli 2015 (Stcrt 2015, 30280).
Bij de afweging is betrokken het Advies de Afdeling advisering van de Raad van State aan de Ministerie van Veiligheid en Justitie inzake sanctiestelsels van 13 juli 2015 (Stcrt 2015, 30280), het nader rapport bestuurlijke boetestelsel van 26 april 2018 (Stcrt 2018, 31269), Kamerstukken I, 2008/09, 31 700-VI, nr. D en Kamerstukken II 2018/19, 29 279, nr. 503.
Brief van de Minister van Economische Zaken van 19 september 2016 (Kamerstukken II 2015/16, 29 304, nr. 6).
Zoals nu wordt gedaan voor e-health en voor ICT als onderdeel van het proces bij medicatieoverdracht en verpleegkundige overdracht.
Besluit elektronische gegevensverwerking door zorgaanbieders, Regeling gebruik burgerservicenummer in de zorg, Regeling publieke gezondheid, Regeling verplichte geestelijke gezondheidszorg en Regeling zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten.
Zijnde een elektronisch systeem van een zorgaanbieder voor het verwerken van persoonsgegevens in een dossier, niet zijnde een elektronisch uitwisselingssysteem.
Zijnde een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier.
In het Besluit van 6 december 2018, houdende wijziging van een aantal algemene maatregelen van bestuur op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport teneinde technische onvolkomenheden en omissies te herstellen (Stb. 2018, 461) is het Besluit elektronische gegevensverwerking door zorgaanbieders omgehangen. De omhanging is vastgelegd in artikel 9a van het Besluit elektronische gegevensverwerking door zorgaanbieders.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2021-22996.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.