32 546 Wijziging van de Kaderwet elektronische zorginformatieuitwisseling in verband met de uitbreiding van de mogelijkheden tot handhaving bij misbruik van het EPD

Nr. 6 NOTA NAAR AANLEIDING VAN VERSLAG

Ontvangen 24 januari 2011

Algemeen

Met belangstelling heb ik kennis genomen van het verslag van de vaste commissie voor Volksgezondheid, Welzijn en Sport met betrekking tot het voorstel van wijziging van de Kaderwet elektronische zorginformatieuitwisseling in verband met de uitbreiding van de mogelijkheden tot handhaving bij misbruik van het EPD. Met deze nota naar aanleiding van het verslag beantwoord ik graag de vragen en opmerkingen die ter voorbereiding van de openbare behandeling in het verslag naar voren zijn gebracht. Daarbij houd ik zo veel mogelijk de volgorde van het verslag aan.

1. Inleiding

De leden van de PvdA-fractie vragen of de aanbevelingen in de handreiking die de beroepsorganisaties in september hebben gemaakt, zijn overgenomen in het wetsvoorstel.

De handreiking zoals die door de beroepsorganisaties is opgesteld is tot stand gekomen nadat het CBP heeft geconstateerd dat bij twee regionale samenwerkingsverbanden niet werd voldaan aan bestaande wet- en regelgeving. De handreiking is bedoeld om de regionale samenwerkingsverbanden te ondersteunen. De zaken die in de handreiking zijn opgenomen gelden reeds voor gegevensuitwisseling via de landelijke epd-infrastructuur in de zorg. Het CBP heeft in een persbericht van 28 april 2008 reeds bevestigd dat het normenkader zoals dat ten grondslag ligt aan het landelijk EPD voldoet aan de huidige wet- en regelgeving. Er is dan ook geen aanleiding om volgend op de handreiking aanpassingen te maken op het landelijk EPD.

De leden van de PvdA-fractie en de SP-fractie stellen vragen omtrent de volgtijdelijkheid van het onderhavige wetsvoorstel en het wetsvoorstel tot wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg (Kaderwet elektronische zorginformatieuitwisseling), die nu bij de Eerste Kamer ter behandeling voorligt.

Het onderhavige wetsvoorstel houdt een wijziging in van de Kaderwet elektronische zorginformatieuitwisseling (hierna: Kaderwet). Ook zonder deze wijziging is het voorstel voor de Kaderwet echter, zoals het nu aan de Eerste Kamer is voorgelegd, een volwaardig wetsvoorstel. Hoewel het naar mijn mening voor de Eerste Kamer zeer zeker van belang is, om bij de behandeling van het voorstel voor de Kaderwet, van de bepalingen in het onderhavige wetsvoorstel kennis te hebben genomen, is het voor de behandeling van het daar voorliggende wetsvoorstel geen voorwaarde dat ze onderdeel uitmaken van dat wetsvoorstel. Er is daarom voor gekozen om deze bepalingen niet in de vorm van een novelle te gieten, doch in de vorm van een wijziging van de Kaderwet elektronische zorginformatieuitwisseling, zoals de Wet gebruik burgerservicenummer in de zorg immers zal gaan heten, op het moment dat de Eerste Kamer het wetsvoorstel tot wijziging van deze wet in verband met de elektronische informatieuitwisseling in de zorg, heeft aangenomen.

Processueel gezien kunnen beide wetsvoorstellen naast elkaar hun eigen wetstraject doorlopen, zij het dat het wetsvoorstel dat nu bij uw Kamer voorligt, omdat het een wijziging is van de Kaderwet, natuurlijk pas wet kan worden en in werking kan treden op het moment dat de Kaderwet die bij de Eerste Kamer voorligt ook daadwerkelijk wet is geworden en in werking is getreden. Ook het voorstel voor de Kaderwet zoals dat op dit moment bij de Eerste Kamer voorligt, hoeft in principe niet te wachten op het onderhavige wetsvoorstel dat nu voorligt voor uw Kamer. Gezien de onderlinge samenhang tussen beide wetsvoorstellen, met name op het gebied van handhaving, acht ik dit echter wel wenselijk. Ik heb de Eerste Kamer dan ook verzocht om de behandeling van het voorstel voor de Kaderwet uit te stellen, totdat uw Kamer zich heeft uitgesproken over de onderhavige wijziging van deze Kaderwet, en de beide wetsvoorstellen gelijktijdig te behandelen.

De leden van de PvdA-fractie willen weten of de specifieke benadering vanuit het uitgangspunt van patiënten voldoende is afgedekt in andere (aanstaande) wetten.

De specifiek op patiënten gerichte bepalingen zijn niet opgenomen in het onderhavige wetsvoorstel, doch in het voorstel voor de Kaderwet. In dat wetsvoorstel zijn onder andere de bepalingen opgenomen waardoor de patiënt mogelijkheid krijgt om niet alleen via zijn zorgaanbieder maar ook zélf zijn EPD en de centrale gebruiksregistratie op te vragen en te raadplegen, gegevens hieruit elektronisch op te slaan en indexgegevens af te schermen voor het opvragen en raadplegen door één of meerdere zorgaanbieders. Hiermee krijgt de patiënt dus zelf meer invloed op het gebruik van zijn medische gegevens. Dat wetsvoorstel bevat daarnaast ook de bepalingen die regelen dat de zorgaanbieder pas bevoegd is om het EPD te raadplegen als dit noodzakelijk is met het oog op een goede behandeling en verzorging van zijn cliënt, als de cliënt daartegen geen bezwaar heeft gemaakt en hij hiervoor toestemming aan de patiënt heeft gevraagd. Verder wordt met dat wetsvoorstel het klantenloket vormgegeven, waar de cliënt terecht kan met al zijn vragen, klachten en bezwaren met betrekking tot het EPD. Dit klantenloket is reeds actief sinds november 2008. Daarnaast bevatten natuurlijk ook de Wet bescherming persoonsgegevens (hierna: Wbp) en de Wet op de geneeskundige behandelingsovereenkomst (hierna: WGBO) de algemene uitgangspunten waarbij rekening gehouden moet worden in het kader van de uitwisseling van patiëntgegevens, zoals de benodigde toestemming van de patiënt voordat gegevens worden opgevraagd. De benadering vanuit het uitgangspunt van de patiënt is hiermee naar mijn mening voldoende afgedekt.

2. Advies College bescherming persoonsgegevens

De leden van de VVD-fractie, de PvdA-fractie en de D66-fractie vragen de regering om toe te lichten welke afspraken er gemaakt zijn rondom het toezicht, hoe dit toezicht eruit ziet, of er extra capaciteit beschikbaar is, welke waarborgen er bestaan rondom de verantwoordelijkheidsverdeling en de afbakening tussen het College bescherming persoonsgegevens (CBP), de Inspectie voor de Gezondheidszorg (de IGZ) en de Nederlandse Zorgautoriteit (de NZa) om te voorkomen dat er grijze vlekken ontstaan en wie de regie heeft.

Naar aanleiding van opmerkingen van het CBP tijdens de expertmeeting in de Eerste Kamer op 9 december 2009 heb ik een onafhankelijke deskundige gevraagd een toezichtkader op te stellen. Het Toezichtkader EPD beschrijft het scala aan maatregelen en mechanismen dat thans onderdeel is van het totale toezicht op de landelijk infrastructuur voor gegevensuitwisseling in de zorg. Het toezichtkader en de aanbevelingen zijn positief ontvangen door de IGZ en het CBP. De aanbevelingen behorend bij het Toezichtkader EPD zijn opgepakt.

Met de invulling van alle voornoemde toezichtniveaus inclusief de bijbehorende maatregelen en mechanismen is het toezicht efficiënt en effectief ingericht. Naast het toezichtkader hebben het CBP, de IGZ en de NZA onderling afspraken gemaakt over de wijze waarop zij toezicht zullen houden.

Het toezichtkader en de aanbevelingen zal ik u per separate brief doen toekomen.

De leden van de VVD-fractie en de PvdA-fractie vragen naar de betekenis van de toekomstige uitbreiding van de bestuurlijke boetebepalingen in de Wbp voor het onderhavige wetsvoorstel.

In de brief aan uw Kamer d.d. 3 november 2009 (Kamerstukken II 2009/10, 31 051, nr. 5) hebben de minister van Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties opgemerkt dat uit de evaluatierapporten over de Wbp de conclusie kan worden getrokken, dat er over de hele linie sprake is van een nalevingstekort ten aanzien van deze wet. Het kabinet meent dat daaraan iets kan worden gedaan door de handhavingsmogelijkheden te versterken. De minister van Veiligheid en Justitie is bezig met de voorbereiding van wetgeving die de handhaving van de materiële bepalingen van de Wbp door het CBP, door middel van sanctionering met bestuurlijke boetes mogelijk maakt. De intentie is dat dit wetsvoorstel eind dit voorjaar gereed zal zijn voor consultatie.

Het versterken van de mogelijkheden tot handhaving van het CBP heeft geen directe implicaties voor het onderhavige wetsvoorstel. Niet alleen kan op dit moment overtreding van de materiële normen van de Wbp nog niet door middel van een bestuurlijke boete worden gesanctioneerd, wat de handhaving van deze mogelijkheid in het onderhavige wetsvoorstel wenselijk maakt. Daarnaast gaat het bij de sanctionering met een bestuurlijke boete zoals opgenomen in het onderhavige wetsvoorstel niet alleen om de handhaving van de (uitwerking van de) materiële normen van de Wbp (in de Kaderwet), maar ook om de handhaving van de (uitwerking van de) materiële normen zoals opgenomen in onder andere de Wet op de beroepen in de individuele gezondheidszorg en de Kwaliteitswet zorginstellingen (in de Kaderwet). De wijziging van de Wbp zou er op termijn wel toe kunnen leiden dat de handhavingsprotocollen van het CBP, de IGZ en de NZa, waarin onderlinge afspraken staan over de respectievelijke taken met betrekking tot de handhaving van de Kaderwet, herzien moeten worden.

De leden van de CDA-fractie vragen hoe omgegaan wordt met artsen die zowel bedrijfsarts als bijvoorbeeld huisarts zijn.

De bedrijfsarts is in dit wetsvoorstel expliciet uitgesloten van toegang tot het EPD. Voor toegang tot het EPD is een UZI-pas gecombineerd met een goed beheerd zorgsysteem (GBZ) noodzakelijk (voor nadere uitleg over het GBZ verwijs ik naar het deel van deze nota onder het kopje «artikelsgewijs»). Artsen die zowel bedrijfsarts als huisarts zijn krijgen alleen een UZI-pas voor wat betreft de taken als huisarts. Het gebruik van een UZI-pas is altijd gekoppeld aan de GBZ van de praktijk of instelling waar een arts werkzaam is. Oftewel de huisarts heeft alleen via het informatiesysteem van zijn huisartsenpraktijk toegang tot de landelijke infrastructuur. Vanuit de instelling waar de arts als bedrijfarts werkt heeft de arts geen toegang met de UZI-pas. Daarnaast mag de huisarts alleen gegevens raadplegen van patiënten waarmee hij een behandelrelatie heeft, dit wordt gelogd en gemonitord. Misbruik daarvan zal worden bestraft met onder andere de sanctie zoals beschreven in dit wetsvoorstel.

De leden van de CDA-fractie vragen naar de voortgang van de implementatie van het EPD in verhouding tot de planningen uit 2008 en 2009.

Voor de voortgang van de implementatie verwijs ik graag naar de voortgangsrapportages die u ieder kwartaal ontvangt (laatstelijk Kamerstukken II 2010/11, 27 529, nr. 62). Daarin staat dit uitvoerig beschreven.

De leden van de CDA-fractie vragen of het EPD «wikileaksproof» is, ofwel dat het onmogelijk is om grote databestanden te exporteren.

Ik ga er vanuit dat met deze vraag wordt bedoeld of het mogelijk is dat een kwaadwillende een zeer grote hoeveelheid vertrouwelijke gegevens opslaat en misbruikt. Tegen een dergelijke dreiging is de landelijke infrastructuur met meerdere maatregelen beschermd. Allereerst is de infrastructuur zo ontworpen dat er geen centraal bestand met medische gegevens is. Deze gegevens blijven in de informatiesystemen van zorgverleners. Het opvragen van noodzakelijke gegevens is streng beveiligd en het opvraaggedrag wordt 24 uur per dag bewaakt. Als een zorgverlener een excessief aantal raadplegingen tracht te doen wordt de verbinding verbroken en wordt via het LSP direct contact opgenomen. Er worden meerdere aspecten van het opvraaggedrag geanalyseerd zonder dat hierbij de medische gegevens zelf toegankelijk zijn. Indien (een poging tot) misbruik wordt geconstateerd wordt dit aan de toezichthouders CBP en IGZ gemeld. Het LSP zelf is zo ontworpen dat beherend personeel geen medische gegevens kan opvragen. Opvragen is alleen mogelijk vanuit de eigen locatie van een zorgverlener, zoals een apotheek, huisartsenpost of ziekenhuis. De beveiliging van het LSP is zeer strikt en wordt regelmatig getoetst. Met deze maatregelen is een adequate beveiliging tegen grootschalig misbruik van medische gegevens via de landelijke infrastructuur geborgd.

De leden van de CDA-fractie vragen naar de toegang van de patiënt tot het EPD. Zij vragen wanneer de inkijk voor de patiënt klaar is, inclusief de correctiemogelijkheid. Voorts vragen zij wanneer de eNIK wordt ingevoerd.

Op dit moment heeft de patiënt de mogelijkheid om een inzageoverzicht op te vragen bij het klantenloket (www.infoepd.nl). Er zijn inmiddels circa 2 200 inzageverstrekkingen verricht door het klantenloket. De patiënt krijgt dan informatie over welke zorgaanbieders gegevens hebben geraadpleegd dan wel aangemeld. Dit overzicht kan zowel online als telefonisch worden aangevraagd. Inzage in het medische dossier is op dit moment alleen nog mogelijk via de zorgaanbieder. Vanwege het op dit moment ontbreken van een betrouwbaar authenticatiemiddel voor burgers is er een pas op de plaats gemaakt ten aanzien van de realisatie hiervan. Eerst dienen de geconstateerde kwestbaarheden inzake het gsm-verkeer dat gepaard gaat met het Digid-middel, te worden opgelost om verantwoorde en veilige toegang mogelijk te maken. Over de oplossingsrichting daarvan en de recente ontwikkelingen op dat terrein zal ik u op korte termijn in een aparte brief informeren.

De patiënt kan via het klantenloket of via zijn zorgverlener gegevens laten verwijderen uit de verwijsindex. Het corrigeren van inhoudelijke informatie is alleen mogelijk via de zorgaanbieder, dat zal ook in de toekomst zo blijven gezien de rol die de zorgaanbieder daarbij dient te spelen.

De verantwoordelijkheid voor de invoering van de eNIK ligt bij de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Door het ministerie van BZK worden op dit moment diverse onderzoeken zoals een businesscase, een privacyimpactanalyse, een haalbaarheids- en impactanalyse binnenkort afgerond. Het gaat hierbij om toevoegen van een elektronische functionaliteiten aan de bestaande Nederlandse Identiteitskaart. Op basis hiervan zal de minister van BZK in de loop van de eerste helft van 2011 nagaan of de eNIK al dan niet zal worden ingevoerd. Ondertussen zal ik – zoals eerder aangekondigd – eventuele alternatieve authenticatiemethoden (van vergelijkbaar beveiligingsniveau) voor het geven van elektronische toegang tot het EPD inventariseren.

De leden van de CDA-fractie vragen om een puntsgewijze uiteenzetting van de wijzigingen in het wetsvoorstel ten opzichte van de oorspronkelijke wettekst.

De concept-wettekst, zoals deze naar de Raad van State en het CBP is verzonden, bevatte een tweetal bepalingen. Als eerste de bepaling waarbij een zorgaanbieder die patiëntgegevens verstrekt aan een andere zorgaanbieder, verplicht werd daarbij te vermelden of er op verzoek van de patiënt patiëntgegevens uit het EPD waren verwijderd. Als tweede de bepaling waarbij het opzettelijk wederrechtelijk opvragen of openbaar maken van een gegeven uit een EPD als eigenstandige strafrechtelijke bepaling was opgenomen in de Kaderwet. Deze overtreding kon bestraft worden met respectievelijk een gevangenisstraf van ten hoogste een jaar of vier jaren of een geldboete van de derde of de vierde categorie. Daarnaast kreeg de strafrechter de mogelijkheid om de beroepsbeoefenaar die deze overtredingen beging te ontzetten van het recht om het betrokken beroep uit te oefenen.

  • 1. In de huidige tekst is de eerste bepaling komen te vervallen naar aanleiding van de adviezen van het CBP en de Raad van State.

  • 2. De tweede bepaling is, ook naar aanleiding van het advies, zodanig aangepast dat er niet langer sprake is van een zelfstandige bepaling waarin misbruik van het EPD als strafrechtelijk vervolgbaar feit is gekwalificeerd, doch is aangesloten bij de reeds bestaande strafrechtelijke bepalingen rondom computermisbruik en schending van de geheimhoudingsplicht.

  • 3. Daarnaast zijn er nog een aantal andere bepalingen opgenomen die niet in de tekst zoals deze naar de Raad van State is gezonden stonden. Dit zijn:

    • Een bepaling die het mogelijk maakt voor de minister om een zorgaanbieder de aansluiting op het LSP te weigeren of af te sluiten van het LSP.

    • Een aantal bepalingen waarin de artikelen 13h en 13ha van de wet worden aangepast, waardoor de toegang tot het LSP en de verwerking van gegevens in het EPD voor verzekeringsartsen, bedrijfsartsen, keuringsartsen en zorgverzekeraars volledig geblokkeerd is.

    • Een bepaling waardoor het mogelijk is om bij vrijwillige aansluiting op het LSP en het verwerken van gegevens in het EPD alle wettelijke eisen aan deze aansluiting en verwerking alvast in werking te laten treden.

    • Een bepaling waardoor de beroepsbeoefenaar die zijn beroep uitoefent in het kader van een instelling, voor wat betreft de mogelijkheid tot het opleggen van een bestuurlijke boete voor het onrechtmatig verwerken van gegevens uit het EPD, gelijk getrokken is met de beroepsbeoefenaar die zijn beroep uitoefent niet in het kader van een instelling.

    • Een tweetal afstemmingsbepalingen met de Wet cliëntenrechten zorg en een afstemmingsbepaling met de Wet kraken en leegstand.

De leden van de CDA-fractie en de D66-fractie stellen een aantal vragen omtrent het schrappen van de bepaling omtrent de melding onvolledig dossier. Zij vragen waarom de regering ertoe heeft besloten in alle drie de gevallen af te zien van de melding, in hoeverre het feit dat een patiënt zelf gegevens schrapt uit zijn dossier zijn behandeling kan belemmeren en of de arts verantwoordelijk kan worden behouden indien het ontbreken van dergelijke gegevens leidt tot ernstige gevolgen voor de patiënt.

De Raad van State wijst erop dat de melding «onvolledig dossier» betrekking kan hebben op drie verschillende situaties:

  • 1. De situatie waarin de beroepsbeoefenaar de cliënt heeft geïnformeerd over de mogelijke gevolgen van de onvolledigheid van het EPD, en de cliënt vervolgens instemt met de vermelding «onvolledig dossier».

  • 2. De situatie dat de cliënt bezwaar heeft tegen de vermelding van het feit dat er gegevens uit het dossier zijn verwijderd.

  • 3. De situatie waarbij de cliënt zelf zijn indexgegevens afschermt voor bepaalde (groepen) zorgaanbieders.

In de eerste situatie zou er weliswaar geen bezwaar bestaan tegen het opnemen van de melding «onvolledig dossier», maar is er niettemin voor gekozen dit niet te doen. De reden hiervoor is deze. Als er onderscheid tussen deze verschillende situaties zou worden gemaakt, zou het er voor de zorgaanbieder niet duidelijker op worden welk dossier nu volledig is en welk dossier niet. Weliswaar weet hij in deze specifieke situatie dat het dossier niet volledig is, maar voor de dossiers waar dit niet bij vermeld is weet hij nog steeds niet of ze volledig zijn. Immers, die dossiers kunnen net zo goed onvolledig zijn, omdat de cliënt geweigerd heeft deze melding te laten opnemen, of omdat hij bewust bepaalde informatie heeft achtergehouden. Het opnemen van de melding «onvolledig dossier» voor de eerste situatie zou derhalve een vorm van schijnzekerheid kunnen opleveren met betrekking tot de overige situaties. Het is duidelijker voor de zorgaanbieder als hij ervan uit gaat dat het dossier altijd omissies kan bevatten en hij gehouden is zijn eigen onderzoeksplicht te allen tijde zorgvuldig uit te voeren.

Met betrekking tot de tweede situatie is ervoor gekozen om het belang van de patiënt die bepaalde gegevens uit zijn EPD heeft laten verwijderen te laten prevaleren boven het belang van de opvragende zorgaanbieder om te weten of er al dan niet gegevens uit het dossier zijn verwijderd.

De derde situatie, waarbij de cliënt zelf zijn indexgegevens afschermt, is een fundamenteel andere dan de eerste twee. In die situatie is het immers niet zo dat het dossier onvolledig is, er worden geen gegevens uit het dossier verwijderd door de cliënt, maar de cliënt ontzegt een specifieke zorgaanbieder (of een bepaalde categorie zorgaanbieders) simpelweg de toegang tot zijn gegevens. De zorgaanbieder krijgt als hij probeert de gegevens op te vragen van deze cliënt, een melding dat er voor hem geen gegevens beschikbaar zijn.

Het feit dat een cliënt gegevens uit zijn dossier laat verwijderen hoeft niet van invloed te zijn op zijn behandeling, maar het kan wel. Als de patiënt ervoor kiest om deze informatie ook op geen enkele andere wijze te delen met zijn behandelaar en deze informatie wel van cruciaal belang is voor de betreffende behandeling, kan dit ertoe leiden dat de patiënt hier uiteindelijk schade door ondervindt. Iedere zorgaanbieder behoudt natuurlijk wel zijn eigen onderzoeksplicht, hij kan niet klakkeloos uitgaan van hetgeen is vermeld (of juist ontbreekt) in het EPD. Deze onderzoeksplicht verschilt van geval tot geval. Het betekent niet dat alle onderzoeken opnieuw over moeten worden gedaan, maar wel dat naarmate de juistheid van de informatie in het EPD van groter belang is voor de diagnose en de voorgenomen behandeling, en naarmate deze diagnose en behandeling sterker ingrijpen in het leven van de patiënt, de zorgaanbieder een grotere onderzoeksplicht heeft. De patiënt heeft echter ook de plicht de zorgaanbieder te informeren over zaken die van belang zijn. Toetsing door de rechter is de aangewezen weg om in deze individuele situaties te beoordelen of een zorgaanbieder verantwoordelijk gehouden kan worden voor dergelijke schade.

De leden van de D66-fractie vragen of misbruik altijd herleidbaar is op de aansprakelijke zorgverlener en hoe er wordt omgegaan met sancties als het misbruik plaatsvindt door niet BIG-medewerkers.

Alle raadplegingen en aanmeldingen van het LSP worden gelogd. Er wordt onder andere vastgesteld door wie de handeling is uitgevoerd, wie de verantwoordelijke beroepsbeoefenaar is, welke handelingen zijn uitgevoerd en wanneer dit heeft plaatsgevonden. Op deze wijze is elke handeling terug te voeren op de uitvoerder maar ook op degene onder wiens verantwoordelijkheid de handeling heeft plaatsgevonden. Misbruik is op deze wijze altijd herleidbaar tot de aansprakelijke zorgaanbieder dan wel beroepsbeoefenaar.

Niet BIG-medewerkers kunnen sancties opgelegd krijgen op basis van artikel 138a en 272 Wetboek van Strafrecht. Deze sancties lopen uiteen van een boete tot een gevangenisstraf. Niet BIG-medewerkers werken overigens altijd onder verantwoordelijkheid van een beroepsbeoefenaar en hebben nooit zelfstandig toegang tot het LSP.

De leden van de D66-fractie vragen of de regering bereidt is de reikwijdte van de strafbepaling uit te breiden en zo neen, waarom niet?

In de versie van het wetsvoorstel zoals dit naar de Raad van State is gezonden, werd een eigenstandige strafbepaling geïntroduceerd met betrekking tot misbruik van het EPD, waarbij de strafrechter de bevoegdheid kreeg om een beroepsbeoefenaar bij misbruik van het EPD van de uitoefening van zijn beroep te ontzetten. De reikwijdte van deze strafbepaling was dus inderdaad beperkt tot het EPD. Naar aanleiding van de adviezen van het CBP en de Raad van State is er echter voor gekozen om aan te sluiten bij de bestaande strafbepalingen omtrent computermisbruik en het beroepsgeheim in de artikelen 138a en 272 van het Wetboek van Strafrecht. Tevens is er toen voor gekozen om de mogelijkheid tot ontzetting van de uitoefening van het beroep bij schending van de geheimhoudingsplicht niet alleen te laten gelden voor misbruik van het EPD, maar ook voor het papieren dossier in de zin van artikel 454 van Boek 7 van het Burgerlijk Wetboek. Doordat de bepaling, wat betreft de schending van de geheimhoudingsplicht, techniekonafhankelijk is geformuleerd, ziet deze bovendien zowel op gegevens uit papieren dossiers als gegevens uit elektronische dossiers. Het met schending van de geheimhoudingsplicht verstrekken van gegevens uit een papieren dossier is immers net zo ongewenst als het verstrekken van zulke gegevens uit een elektronisch dossier. Ook bij verstrekken van patiëntgegevens uit een papieren dossier is de mogelijkheid van oplegging van de bijkomende straf van ontzetting van de uitoefening van het beroep waarin het feit is begaan, wenselijk. Bovendien wordt daarmee voorkomen dat, indien iemand vervolgd wordt voor het schenden van de geheimhoudingsplicht en oplegging van de bijkomende straf van de ontzetting is geïndiceerd, hij als verweer kan voeren dat de gegevens niet uit het EPD, maar uit het papieren dossier zijn verstrekt.

De leden van de SP-fractie vragen naar de totale kosten van het EPD-project.

In de voortgangsrapportage d.d. 9 september 2010 (Kamerstukken II 2009/10, 27 529, nr. 61) heb ik u op de hoogte gesteld van de totale kosten van het EPD-project. In de periode 2002 tot 1 juli 2010 is in totaal € 217,5 miljoen uitgegeven aan activiteiten met betrekking tot de invoering van de landelijke infrastructuur voor gegevensuitwisseling in de zorg (waaronder audits, adviezen, pilotprojecten, communicatie, IT-ontwikkeling en beheer, projectmanagement en instellings- en projectsubsidies Nictiz).

De leden van de SP-fractie vragen hoe de regering uitvoering geeft aan de motie-Tan c.s. en specifiek aan de opschorting van de ontwikkeling en investering in het LSP.

Naar aanleiding van de motie-Tan heb ik aan de Eerste Kamer laten weten met de Kamer van mening te zijn dat er geen onomkeerbare stappen dienen te worden genomen voordat de Eerste Kamer het wetsvoorstel heeft behandeld. Tijdens de beraadslaging van 5 juli 2010 heb ik dan ook nogmaals benadrukt dat er op dit moment sprake is van een vrijwillig traject: het is de zorgverlener die beslist of hij of zij tot aansluiting op het LSP wil overgaan. Vandaar ook het privaatrechtelijke karakter van de contracten die Nictiz met aansluitende zorgverleners afsluit. Voor zover er in dat licht sprake is van een onomkeerbare stap, kan en wil ik die niet afdwingen.

Ik heb in de Eerste Kamer toegezegd een pas op de plaats te maken met de verdere uitbreiding van de landelijke infrastructuur: deze zal voorlopig alleen beschikbaar zijn voor de uitwisseling van elektronische medicatiegegevens (emd) en e-huisartswaarneemgegevens (ewd). De uitwisseling van bijvoorbeeld e-spoed (uitwisseling van acute zorggegevens tussen huisarts, ambulance, spoedeisende hulp en meldkamer) en e-lab (uitwisseling van laboratoriumgegevens tussen o.a. huisarts, specialist, apotheker en laboratorium) zal pas aan de orde zijn nadat de Eerste Kamer het wetsvoorstel dat de verplichte aansluiting van zorgverleners regelt, heeft aangenomen.

Verder heb ik uw Kamer toegezegd de aanvraagtermijn voor de stimuleringsregeling voor aansluitingen (de subsidieregeling LSP) niet te verlengen. De mogelijkheid om subsidie aan te vragen liep af op 1 juli 2010.

Tijdens de beraadslaging van 5 juli 2010 heb ik nogmaals benadrukt dat ik regionale uitwisseling en de landelijke uitwisseling van gegevens als aanvullend op elkaar beschouw en niet als tegenstrijdig. Ik ben dan ook van mening dat regionale systemen zich – naast het landelijke systeem – moeten kunnen ontwikkelen naar landelijke standaarden opdat ook deze systemen zullen voldoen aan de wettelijke eisen. Samen met Nictiz ben ik in gesprek met de regionale samenwerkingsverbanden over de mogelijke afstemming tussen regionale en landelijke systemen op het terrein van voorlichting en communicatie richting de burger, toegang patiënt en registratie bezwaar.

In de stemverklaring die het lid Tan heeft afgelegd ten aanzien van de door haar ingediende motie, heeft zij aangegeven dat – gezien de door mij gedane toezeggingen – haar motie zich niet verzet tegen de verdere vrijwillige aansluiting van zorgverleners op de landelijke infrastructuur voor de uitwisseling van emd en ewd. Dit proces zal dan ook, binnen de uitgezette lijnen, doorgang vinden.

De leden van de SP-fractie vragen naar het draagvlak voor het EPD.

Een groot deel van de zorgaanbieders heeft zich aangemeld voor aansluiting op het LSP, te weten 5000 van de 6000 zorgaanbieders. Per 31 december 2010 zijn ruim 2500 zorgaanbieders aangesloten op de landelijke infrastructuur. Voorts zijn er goede afspraken gemaakt met de koepels, zo is er oktober 2009 een uitgangspuntennotitie vastgesteld en bestaat er overeenstemming over een plan van aanpak van inzet van de koepels ter bevordering van het draagvlak en het gebruik van de landelijke infrastructuur. Naast de koepels wordt er ook met regionale samenwerkingsverbanden gekeken naar mogelijkheden van een gezamenlijke aanpak van communicatie richting de burger.

ICT-leveranciers hebben aangegeven in 2011 collectief over te gaan op de LSP standaard, waarbij oude OZIS standaarden worden uitgefaseerd.

Ten slotte blijkt dat per 30 november 2010 0,36% van de burgers die een persoonlijke brief hebben ontvangen op het moment dat zijn/haar gegevens zijn aangemeld bij het LSP bezwaar maakt. Per 30 november 2010 zijn 434 544 bezwaren van burgers verwerkt (2,6%, inclusief in reactie op de landelijke campagne van 2008 ).

Gelet op bovenstaande lijkt er bij zorgverleners, ict-leveranciers, regionale samenwerkingsverbanden en burgers voldoende draagvlak te bestaan voor gegevensuitwisseling via de landelijke infrastructuur.

Artikelsgewijs

De leden van de VVD-fractie vragen toe te lichten wanneer een zorgaanbieder voldoet aan een goed beheerd zorgsysteem.

Een zorginformatiesysteem is een goed beheerd zorgsysteem (GBZ) als het voldoet aan de applicatie-, implementatie- en exploitatie-eisen die aan een GBZ worden gesteld. Het zorginformatiesysteem vormt in combinatie met de omgeving waarin het is geïmplementeerd en de organisatorische maatregelen rondom het gebruik en beheer (exploitatie), het GBZ.

De leverancier van het systeem (XIS-leverancier) zorgt dat het zorginformatiesysteem aan de applicatie-eisen voldoet. Een zorginformatiesysteem dat hieraan voldoet, krijgt van Nictiz de «XIS-typekwalificatie». Alleen een applicatie met een XIS-typekwalificatie kan informatie via de landelijke infrastructuur uitwisselen. De zorgaanbieder moet er zelf voor zorgen dat het zorginformatiesysteem (of de zorginformatiesystemen) voldoet aan de implementatie- en exploitatie-eisen voor een GBZ.

De GBZ-eisen gaan in hoofdlijnen om de volgende punten:

  • connectiviteit (onder andere de aansluiting op LSP via een zorgserviceprovider (ZSP), het gebruik van IP-adressen);

  • beveiliging (onder andere het gebruik van UZI-passen, het waarborgen van de veiligheid van patiëntgegevens);

  • beschikbaarheid van het systeem (voor bevraging via het LSP);

  • responstijden;

  • capaciteit;

  • betrouwbaarheid;

  • actualiteit (tijdig aanmelden van wijzigingen in patiëntendossiers);

  • ondersteuning.

De leden van de VVD-fractie vragen of het schrappen van de uitzondering voor toegang voor zorgverzekeraars wanneer zij tevens zorgaanbieder zijn niet leidt tot onnodige bureaucratie en hoe voorkomen kan worden dat gegevens niet alsnog worden uitgewisseld tussen de twee verschillende juridische entiteiten.

Ingevolge de adviezen van het CBP en de Raad van State is de uitzondering in artikel 13ha geschrapt. Hierdoor is het voor alle zorgverzekeraars verboden om aan te sluiten op het LSP en gegevens te verwerken in het EPD of regionale patiëntendossier.

Als gevolg van dit verbod wordt de hiervoor beschreven vorm van verticale integratie – waarbij de zorgverzekeraar zelf zorg verleent aan zijn cliënten door middel van zorgverleners in eigen dienst – onmogelijk. Indien een zorgverzekeraar toch zorg zal willen verlenen, dienen de verzekeringspoot en de zorgaanbiederspoot twee aparte juridische entiteiten te zijn. Ook de vorm waarbij de zorgverzekeraar bestuurlijk en/of financieel deelneemt in de zorgaanbieder blijft mogelijk. Niet te ontkennen valt dat dit voor de verzekeraar extra handelingen vergt, maar daar kiest hij dan ook zelf voor.

Voor wat betreft de uitwisseling van gegevens tussen de twee verschillende juridische entiteiten moet het volgende opgemerkt worden. Alleen de juridische entiteit waar de zorgaanbieder in is ondergebracht mag aangesloten worden op het LSP en gegevens verwerken in het EPD. De juridische entiteit waar de verzekeraar in is ondergebracht mag nooit aansluiten op het LSP en geen gegevens verwerken in het EPD. Medewerkers van de zorgverzekeraar beschikken in die hoedanigheid niet over een UZI-pas waarmee ze toegang kunnen krijgen tot het LSP. Alleen medewerkers van de zorgaanbieder kunnen over een dergelijke pas beschikken als zij voldoen aan de voorwaarden. De UZI-pas kan alleen gebruikt worden binnen de instelling van de zorgaanbieder, aangezien de pas aan die instelling is gekoppeld.

De VVD-fractie vraagt of stagiaires en beroepsbeoefenaren in opleiding toegang hebben tot het EPD en de eisen hieraan.

Zorgaanbieders kunnen UZI-passen aanvragen voor de mensen die in hun instelling werkzaam zijn. Voor toegang tot het EPD is een medewerkerspas op naam nodig. Deze pas is voorbehouden aan medewerkers die voor de uitoefening van hun functie toegang nodig hebben tot de medische informatie. Dit zijn persoonlijke passen, waarbij het gebruik altijd tot de betreffende medewerker te herleiden is.

De medewerkerspassen op naam kunnen alleen gebruikt worden als zij gekoppeld zijn aan een verantwoordelijke beroepsbeoefenaar die beschikt over een zorgverlenerspas. Alle handelingen van personen met een medewerkerspas vallen dan ook onder de verantwoordelijkheid van de betrokken beroepsbeoefenaar.

Toegang tot specifieke informatie in het EPD is alleen mogelijk indien de beroepsbeoefenaar de medewerker heeft gemandateerd en er sprake is van een behandelrelatie tussen de beroepsbeoefenaar en de patiënt.

Tot slot

Tot slot wordt van de gelegenheid gebruik gemaakt om een omissie te herstellen in het nader rapport. De Raad van State merkt in haar advies onder punt 4. het volgende op:

«Voor een zelfstandige beroepsbeoefenaar die niet in dienst is van een instelling bestaat ook de sanctie op grond van artikel 16a, tweede lid, van de Kaderwet. Ingevolge die bepaling kan aan een zorgaanbieder die niet in dienst is van een instelling, bij overtreding van het bepaalde in de Kaderwet – daaronder zowel de gegevensverwerking als verstrekking – een bestuurlijke boete worden opgelegd. In de toelichting wordt niet ingegaan op de verhouding tussen artikel 16a, tweede lid, van de Kaderwet en het voorgestelde artikel 16b.

In de toelichting wordt vermeld dat een zelfstandige beroepsbeoefenaar die niet in dienst is van een instelling een overeenkomst kan sluiten met de instelling waarin hij werkzaam is om deel te nemen aan het zorginformatiesysteem van die instelling. Dat houdt in dat hij niet de beheerder van dat systeem is als bedoeld in artikel 13f, eerste lid, van de Kaderwet. Evenals de beroepsbeoefenaar in dienst van een instelling is hij de verwerker van de gegevens als bedoeld in artikel 13h van de Kaderwet die vervolgens in het zorginformatiesysteem van de instelling worden vastgelegd. Indien het systeem van die instelling niet voldoet aan de eisen van de Kaderwet, rijst de vraag of in het hiervoor geschetste geval naast het eerste lid, ook het tweede lid, van artikel 16a van de Kaderwet van toepassing is.

Het is de Raad niet duidelijk waarom aan de zorgaanbieder/beroepsbeoefenaar die niet in dienst is van een instelling, bij aansluiting op het systeem van de instelling een boete zou kunnen worden opgelegd als de instelling/systeembeheerder de bepalingen van de Kaderwet overtreedt. Als de zelfstandige beroepsbeoefenaar artikel 13h van de Kaderwet overtreedt, kan hij als zorgaanbieder een boete krijgen op grond van artikel 16a, tweede lid, ook als hij geen beheerder is van het systeem. Dat is anders voor een individuele beroepsbeoefenaar in dienst van een instelling, waarop artikel 16a, tweede lid, in elk geval niet van toepassing is. De Raad ziet geen reden voor deze ongelijke sanctionering van dezelfde overtreding bij de verwerking van gegevens. De Raad adviseert in de toelichting op de onderlinge verhouding van artikel 16a, tweede lid, en artikel 16b in te gaan en artikel 16b ook in dat licht nader te bezien.»

Onder het begrip zorgaanbieder wordt in de Kaderwet het volgende verstaan:

  • 1. een instelling in de zin van de Kaderwet zorginstellingen;

  • 2. de big-geregistreerde beroepsbeoefenaar die zijn beroep uitoefent anders dan in het kader van een instelling in de zin van de Kaderwet zorginstellingen.

Uit deze definitie volgt dat een zorgaanbieder dus zowel een grote organisatie zoals een ziekenhuis kan zijn, maar ook een huisarts die als éénpitter zijn werkzaamheden uitvoert. Als een big-geregistreerde beroepsbeoefenaar zijn werk binnen een instelling uitoefent, gaat het er niet zozeer om of de beroepsbeoefenaar wel of niet in dienst is bij de instelling, maar of hij zijn werkzaamheden verricht in het kader van een instelling. Een specialist die in maatschapsverband werkt in een ziekenhuis, wordt op grond van deze definitie derhalve niet gezien als zorgaanbieder bedoeld onder nr. 2, maar als beroepsbeoefenaar die werkt in het kader van een instelling, welke instelling, het ziekenhuis dus, de zorgaanbieder bedoeld onder nr. 1 is.

De verplichtingen in de Kaderwet omtrent de aansluiting op het LSP en het verwerken van gegevens in het EPD richten zich op de zorgaanbieder.

Hierbij wordt geen onderscheid gemaakt tussen de verschillende soorten zorgaanbieders, groot of klein, instelling of zelfstandig. Als de zorgaanbieder om te voldoen aan zijn verplichtingen gebruik wil maken van een derde, en bijvoorbeeld gebruik wil maken van een applicatieplatform, waarbij zijn zorginformatiesysteem in plaats van dat hij dit zelf via een beveiligde verbinding aansluit op het LSP, in beheer is bij een dienstverlener, mag dit. Elke zorgaanbieder blijft echter zelf te allen tijde verantwoordelijk voor het voldoen aan de verplichtingen in de Kaderwet. Deze verplichtingen zien immers op hem (en niet op de derde) en hij blijft verantwoordelijk voor het leveren van verantwoorde zorg. Hierbij is er dus sprake van een gelijke situatie voor alle zorgaanbieders, ongeacht hun vorm. Bij overtreding van de bepalingen in de Kaderwet wordt de sanctie dan ook opgelegd aan de zorgaanbieder, ongeacht of dit de instelling is of de beroepsbeoefenaar die zijn beroep niet in het kader van de instelling uitoefent, zij het dat bij de hoogte van de sanctie rekening zal worden gehouden met het feit of hier sprake is van een instelling of een beroepsbeoefenaar die zijn beroep uitoefent niet in het kader van een instelling. De stelling van de Raad dat de beroepsbeoefenaar die in dienst is van een instelling, anders wordt gesanctioneerd dan de beroepsbeoefenaar die wel in dienst is van een instelling berust derhalve op een misverstand. Niet de beroepsbeoefenaar, maar de zorgaanbieder wordt immers gesanctioneerd voor een overtreding van de bepalingen omtrent de aansluiting op het LSP en verwerking van gegevens in het EPD.

Omdat het in de praktijk natuurlijk zo zal zijn dat de feitelijke gegevensverwerking altijd door een persoon wordt uitgevoerd en niet door een instelling, is in artikel 13h opgenomen dat uitsluitend beroepsbeoefenaren indexgegevens en patiëntgegevens daadwerkelijk mogen bijhouden en opvragen. Is de zorgaanbieder een instelling in de zin van de Kzi, dan kunnen gegevensverwerkingen slechts uitgevoerd worden door bij de instelling werkzame beroepsbeoefenaren, die daadwerkelijk de zorg verlenen aan de cliënt. Indien de zorgaanbieder een zelfstandig werkende beroepsbeoefenaar is, dan zal het erop neerkomen dat deze feitelijk zelf de gegevensverwerkingen verricht. Omdat, als er onrechtmatig gegevens worden verwerkt dit in de praktijk dus gedaan zal worden door de beroepsbeoefenaar, is het nodig geacht, mede het advies van de Raad indachtig, om ook de beroepsbeoefenaar die zijn beroep wel uitoefent in het kader van een instelling, enkel en alleen met betrekking tot de onrechtmatige gegevensverwerking een bestuurlijke boete op te kunnen leggen. Hiertoe is een extra lid opgenomen bij artikel 16a, waarbij het onrechtmatig opvragen, openbaar maken, verspreiden of verstrekken van een gegeven uit een elektronisch patiëntendossier bestuurlijk beboetbaar is gesteld.

Ingeval sprake is van onrechtmatige gegevensverwerking door een zorgaanbieder, zijnde een beroepsbeoefenaar die zijn beroep niet in het kader van een instelling uitoefent, kan het zo zijn dat er samenloop ontstaat en er zowel een bestuursrechtelijke boete opgelegd kan worden op grond van artikel 16a, tweede lid, als een strafrechtelijke sanctie op grond van artikel 16b en de artikelen 138a of 272 van het Wetboek van Strafrecht. Bij het bepalen van de strafmaat zal met deze samenloop rekening worden gehouden.

De minister van Volksgezondheid, Welzijn en Sport,

E. I. Schippers

Naar boven