11 Cliëntenrechten bij elektronische verwerking van gegevens

De Patriot Act en de mogelijke inzage in de gegevens zijn inderdaad een veel breder onderwerp dan dit vraagstuk. In de hoorzitting of het rondetafelgesprek dat de Kamer heeft gehouden, is wel besproken dat er ook een "end to end"-oplossing mogelijk is. Dat betekent dat een zorgverlener die informatie met een ander wil delen die informatie goed versleutelt en ervoor zorgt dat de degene die de informatie ontvangt de sleutel heeft om die te ontsleutelen, laat ik het maar zo zeggen. Als je dat doet, maakt het eigenlijk helemaal niet uit welk systeem je gebruikt. Het maakt dan ook niet uit of het systeem Nederlands, Amerikaans of Pakistaans is, bij wijze van spreken, want dan kan er niemand tussen. Zou de minister dit verder willen uitwerken? Zou zij dit, als dit echt zo goed werkt, ook willen standaardiseren? Dan hoeven wij namelijk de discussie niet af te wachten, waar die ook gevoerd wordt, maar standaardiseren wij gewoon de versleuteling. Daarmee blokkeren wij überhaupt het risico op inzage of verandering door derden. 

In dit debat zijn er heel veel misverstanden. Dat was vorige keer al zo en het is mij opgevallen dat het deze keer ook zo is. Dit wetsvoorstel regelt alleen de randvoorwaarden en de rechten van de patiënt. Daar begon ik vandaag mee. Het wetsvoorstel regelt verder niets. Of er nu een Patriot Act is of niet, ik vind dat wij de rechten en de bescherming van de gegevens van patiënten onvoldoende hebben geregeld en dat wij die beter moeten regelen, ongeacht de uitkomst van dat andere debat. 

In dit wetsvoorstel heb ik dus randvoorwaarden gecreëerd voor een goede en veilige uitwisseling van medische gegevens. Ik regel echter niet via welk systeem of op welke manier dat moet, want dat moet juist aan het veld worden overgelaten. Dat betekent dat er nu heel veel systemen actief zijn. Dat is in tegenstelling tot wat ik net heb gehoord. Men zegt namelijk dat er eigenlijk alleen maar LSP is. Er zijn echter tientallen systemen actief. Waarschijnlijk hebben de leden allemaal naar het Epic-systeem gekeken waar verschillende umc's mee werken. Epic komt overigens ook van een Amerikaans bedrijf; ik zeg dat er maar even bij. Ik bemoei mij echter niet met al die systemen. Het veld moet die zelf uitzoeken. Zo hebben wij dat met elkaar afgesproken, in ieder geval in de Eerste Kamer. De systemen moet men zelf bepalen, want ik ga daar niet over. Ik ga wel over de rechten van patiënten en die regel ik hier. Meer doe ik niet. 

Er is wel degelijk een Algemene Maatregel van Bestuur voorgesteld in dit wetsvoorstel. Die heeft de minister ook met ons gedeeld, omdat de hele Kamer die wilde zien voordat ze over dit wetsvoorstel wilde spreken. Daarin worden wel nadere technische eisen gesteld. Een van de technische eisen is dat er gebruikgemaakt wordt van onder andere een schakelpunt, bijvoorbeeld. Dat kan, maar dat hoeft niet. Daarin zou je ook een "end to end"-oplossing kunnen opnemen, in die zin dat je de informatie versleuteld van zorgverlener naar zorgverlener verstuurt en dat alleen de ontvanger kan ontsleutelen. Als je dat doet, kan de informatie niet door derden ingekeken worden en noem maar op. Dat valt bovendien buiten de Partiot Act. Dat was mijn vraag. Waarom is daar niet voor gekozen? En als de minister zegt het toch nog nader te willen bestuderen, op welke termijn kan zij ons daarover dan informeren? 

Ik heb met de randvoorwaarden een aantal dingen willen regelen voor de patiënt, zodat de privacy en de beveiliging van zijn gegevens beter geborgd zijn. In de AMvB heb ik dat gedaan op basis van de stand van de wetenschap of de stand van de praktijk. De nieuwste normen staan daarin. Dat is de beste manier waarop wij het nu kunnen regelen. Wij zullen de AMvB moeten aanpassen als er weer betere manieren zijn om het te regelen. Wat wij bij deze AMvB echter hebben gedaan, is aansluiten bij wat ook internationaal wordt gezien als de beste manier om het te doen. Wij moeten de AMvB dus weer aanpassen als daartoe aanleiding is en er een andere of betere manier is, maar naar mijn weten is dit de beste manier om op verschillende wijzen met deze gegevens te werken. 

Ook is aan mij gevraagd of Amerikaanse ondernemingen niet kunnen worden uitgesloten van Europese aanbestedingen. Mevrouw Voortman van GroenLinks vroeg dat en het is dus jammer dat zij het antwoord niet hoort, maar dat kan niet. Ik heb ook aangegeven dat de huidige contracten met CSC voortvloeien uit een openbare Europese aanbesteding. De minister van Binnenlandse Zaken en Koninkrijksrelaties heeft de Kamer een advies van de landsadvocaat gestuurd, waarin staat dat Amerikaanse ondernemingen bij een aanbesteding niet kunnen worden uitgesloten. Een openbare aanbesteding is een wettelijke verplichting en daarbij mag geen onderscheid worden gemaakt naar land van oorsprong of eigendom van het bedrijf. Daar zit ook enige logica in, want het eigendom van een bedrijf kan van de ene op de andere dag zo weer anders zijn. Ik heb dat net ook al gezegd. Dat betekent niet dat daarmee de wetgeving op het terrein van de aanbesteding boven de Wet bescherming persoonsgegevens wordt gesteld. Partijen moeten zowel voldoen aan de wetgeving op het terrein van de aanbesteding als aan de Wet bescherming persoonsgegevens. Bij aanbesteding van opdrachten waarbij aan de Wet bescherming persoonsgegevens dient te worden voldaan, moet dit blijken uit de gunningscriteria. Inschrijvers moeten dan aantonen dat zij aan de Wet bescherming persoonsgegevens kunnen voldoen. Er is dus geen sprake van hiërarchie. Partijen moeten voldoen aan de Nederlandse regelgeving en uiteindelijk is het aan de rechter om hier, zo nodig, een oordeel over te vellen. 

Een aantal Kamerleden heeft de verantwoordelijkheidsvraag gesteld. Waarvoor ben ik, de minister van Volksgezondheid, Welzijn en Sport, verantwoordelijk? Met het verwerpen van het vorige wetsvoorstel, dat een specifiek systeem regelde, zitten wij in een heel nieuwe situatie. Hierbij stelt de overheid de randvoorwaarden op en houdt zij zich niet bezig met specifieke systemen. De invulling van specifieke systemen is een verantwoordelijkheid van de zorgaanbieder of de beheerder van deze systemen. De randvoorwaarden die hierbij gelden, worden door de overheid gesteld. Mochten de randvoorwaarden verouderd zijn, dan zal ik daarop in eerste instantie worden aangesproken en dan zullen wij hier weer moeten overgaan tot het aanpassen van die randvoorwaarden. 

Wie is er verantwoordelijk als er wat misgaat, bijvoorbeeld als je een aanval krijgt van een hacker, of lekken of zo? Dit hangt af van wat er aan de hand is. Vaak zal de zorgaanbieder in eerste instantie aansprakelijk zijn. De zorgaanbieder moet in het kader van goede en verantwoorde zorg, zorgvuldig handelen bij gebruik van een elektronisch uitwisselingssysteem. In het kader van de betrouwbaarheid en veiligheid van het systeem zelf worden in de concept-AMvB technische en organisatorische eisen gesteld. Als de zorgaanbieder aan alle eisen voldoet, zal hij niet strafrechtelijk of tuchtrechtelijk aansprakelijk zijn als er toch iets verkeerd gaat. Een cliënt kan de zorgaanbieder wel civielrechtelijk aansprakelijk stellen. De zorgaanbieder kan de schade verhalen als de fout is veroorzaakt door een ander, zoals de zorgserviceprovider. Voor schade als gevolg van onbevoegd gebruik van de gegevens die de zorgaanbieder met toestemming van de cliënt beschikbaar heeft gesteld, kan de zorgaanbieder niet aansprakelijk worden gesteld. De zorgaanbieder die de informatie beschikbaar stelt, is ervoor verantwoordelijk dat die informatie juist, volledig en actueel is. De eisen en de randvoorwaarden die ik nu in dit wetsvoorstel stel, zijn niet toegeschreven naar één systeem. De eisen zijn gebaseerd op meerdere en de meest actuele veldnormen van NEN, die systeemonafhankelijk zijn. Het wetsvoorstel is dus expliciet niet toegeschreven naar het LSP. Het is een generiek wetsvoorstel dat geen verplichtingen kent voor zorgaanbieders om aan te sluiten op een bepaald systeem voor elektronische gegevensuitwisseling. Iedere gegevensuitwisseling via elektronische uitwisselingssystemen moet voldoen aan de vereisten van het wetsvoorstel. Dat geldt voor alle systemen, waaronder het LSP, maar evenzeer voor andere elektronische systemen voor gegevensuitwisseling in de zorg zoals de keteninformatiesystemen, of regionale informatiesystemen zoals het systeem van de Stichting GERRIT in Friesland, RijnmondNet en MijnZorgnet. Zo zijn er nog tientallen systemen te noemen die nu actueel draaien en die moeten voldoen aan dit wetsvoorstel. Ook de concept-AMvB is van toepassing op alle systemen en niet alleen op het LSP. Wellicht kunnen niet alle bestaande systemen voldoen aan de veiligheidseisen, maar die eisen zijn noodzakelijk om de veiligheid en vertrouwelijkheid van gevoelige persoonsgegevens van patiënten te beschermen en waarborgen. 

Ik heb een interruptiedebatje gevoerd met de woordvoerder van de VVD. Hij stelde dat huisartsen of apothekers die niet willen meedoen aan het LSP, verplicht zouden moeten worden om mee te doen aan het LSP. Althans, dat was de portee van zijn opmerkingen. Hoor ik nu goed dat de minister zegt dat er geen verplichting is om aangesloten te worden op het LSP? 

Er is geen verplichting. Veel systemen werken en daarop kun je ook aansluiten. 

Als punt van kritiek wordt wel eens opgemerkt dat alleen het LSP aan de wettelijke eisen kan voldoen waardoor andere systemen die daaraan nog niet voldoen, buiten de boot vallen. De wettelijke eisen die wij vandaag bespreken, worden niet voor niets gesteld. Die wettelijke eisen dienen ter bescherming van de privacy van cliënten en om te waarborgen dat zij hun rechten kunnen uitoefenen. Daarom moeten de systemen die worden gebruikt voor elektronische gegevensuitwisseling, voldoen aan een bepaald niveau van veiligheid en organisatie. 

In het wetsvoorstel worden op één punt na geen eisen gesteld aan systemen die niet nu ook al gelden op grond van de Wet bescherming persoonsgegevens. Zo moeten de systemen nu al op grond van artikel 35, tweede lid, Wet bescherming persoonsgegevens, loggegevens kunnen bijhouden. Alleen de mogelijkheid om de toestemming te beperken tot op voorhand bepaalde zorgaanbieders of tot bepaalde gegevens, is nieuw. 

In overleg met het veld wordt bepaald op welke termijn technische realisatie mogelijk is voor het geven van gespecificeerde toestemming. Mocht het nodig zijn, dan wordt de datum van inwerkingstelling van artikel 15a, tweede lid, van de Wbsn-z hierop aangepast. 

In de AMvB worden eisen vastgelegd voor de veiligheid en de organisatie van het elektronisch uitwisselingssysteem bij de beheerder van het systeem en niet bij de zorgaanbieder. Er is gevraagd of dit kan op grond van de Wet geneeskundige behandelingsovereenkomst. Een zorgaanbieder moet voldoen aan de Wgbo. Daarom mag hij alleen aansluiten bij een elektronisch uitwisselingssysteem dat voldoet aan alle veiligheidseisen. Dit wordt ook geregeld in de voorgestelde AMvB. Daarnaast worden eisen gesteld aan de beheerder. Hij moet immers een veilig systeem faciliteren. De Wgbo en de Grondwet zijn dus niet in het geding. 

Dan de vraag wat het verschil is tussen specifieke en generieke toestemming. Eigenlijk stem je twee keer toe. Je stemt één keer toe voor het beschikbaar stellen, de opt-in, dat kun je specifiek of generiek doen. En je stemt toe voor het raadplegen. Bij zowel generieke als specifieke toestemming moet de zorgaanbieder die een cliënt om toestemming vraagt, de cliënt informeren over de zorgaanbieders aan wie gegevens kunnen worden verstrekt en over de gegevens waarom het gaat. Voor de cliënt moet volstrekt helder zijn waarvoor hij toestemming geeft en hoever die toestemming reikt. Er is dan ook geen sprake van een grote tegenstelling tussen specifieke en generieke toestemming. Ik vind het wel van belang dat de patiënt de mogelijkheid behoudt om naast toestemming per zorgaanbieder, ook voor categorieën zorgaanbieders of gegevens toestemming te geven. Daarnaast moet de zorgaanbieder zich in het kader van goede zorg altijd afvragen of het nodig is cliënten opnieuw voor te lichten over het geven van toestemming en het eventueel beperken van die toestemming bij belangrijke wijzigingen of uitbreidingen van het elektronisch uitwisselingssysteem. Cliënten kunnen dan opnieuw een bewuste keuze maken. Overigens betekent generieke toestemming minder administratieve lasten voor de zorgaanbieder. 

De minister gaat uit van het geven van toestemming om je patiëntgegevens te delen. Wat nu als de zorgverlener die toestemming niet geeft? 

Dan moet je daar zelf je keuze in maken en bepalen welke consequenties je daaraan verbindt. 

Dat antwoord snap ik. Dat is ook de gedachte die ik die daarbij heb, maar hoe ver reikt dat? Waar ligt de grens als bijvoorbeeld een hele beroepsgroep weigert om op verzoek van de patiënt patiëntgegevens uit te wisselen met elkaar? Is dan voor de minister de patiënt belangrijker of de zorgverlener? 

Wij hebben een wetsvoorstel behandeld in deze Kamer en in de Eerste Kamer. Dat wetsvoorstel, dat hier eigenlijk over ging, is afgewezen. Toen hebben wij de afspraak gemaakt dat de overheid zich daar niet meer mee bemoeit maar wel randvoorwaarden stelt die de patiënt beschermen in zijn privacy en in de beveiliging van zijn gegevens. De afspraak was ook om de mogelijkheid te geven tot specifieke toestemming. Dus: ik doe wel mee of ik doe niet mee. Zo is er nog een hele reeks dingen die we met elkaar hebben afgesproken. We hebben afgesproken dat de overheid niet zegt: dit is een heel goed systeem, laten we dat landelijk invoeren. Uiteindelijk beslissen de zorgaanbieders zelf bij welk systeem zij zich aansluiten. De patiënt heeft te maken met de gevolgen daarvan. Het kan best zijn dat een huisarts niet aangesloten is bij het LSP maar wel bij een regionet. 

Ik ben even in verwarring gebracht door wat de minister net zei. Aan de ene kant zegt zij dat zij verantwoordelijk is voor de randvoorwaarden. Daarover zou mijn vraag zijn op welke manier wordt getoetst of aan die randvoorwaarden wordt voldaan. Dus hoe wordt nu getoetst dat een patiënt goed wordt geïnformeerd door systeem x waarvoor hij nu precies toestemming geeft? Als ik de wet goed lees, zijn er twee opties. Of je geeft toestemming; je gaat dan in een systeem dat eindeloos kan worden uitgebouwd met zorgverleners, waarvoor je dus één keer generiek toestemming geeft. Of je geeft geen toestemming. Daar is een beetje verwarring over. 

Daarom ook heb ik expliciet gezegd dat er twee toestemmingsmomenten zijn. Op het eerste moment geef je toestemming dat je gegevens generiek beschikbaar gesteld worden voor iedere zorgverlener die op dat moment bij de behandeling is betrokken. Als ik een behandeling onderga die een bepaald onderdeel van mijn lijf betreft, kan niet iedereen zomaar in mijn gegevens kijken. Dat kunnen alleen de behandelaars doen die betrokken zijn bij de behandeling van dat onderdeel van mijn lijf, en die krijgen geen gegevens over andere behandelingen. De apotheker in Maastricht in het voorbeeld van mevrouw Dijkstra krijgt dus geen gegevens over zaken die voor hem op dat moment niet relevant zijn. 

Bij iedere nieuwe behandelrelatie — bijvoorbeeld als een patiënt voor het eerst naar een psychiater gaat — wordt opnieuw toestemming aan hem gevraagd voor het beschikbaar stellen van zijn gegevens, ook als hij al eerder toestemming heeft gegeven voor het generiek beschikbaar stellen van zijn gegevens. Hem wordt opnieuw gevraagd of men zijn gegevens mag gebruiken. Dit is een herhaalde vraag die bij iedere nieuwe behandelingsrelatie wordt gesteld. Die vraag kan ook met nee worden beantwoord, ook als men eerder generieke toestemming heeft gegeven. 

Dan kom ik op de toezichthouder. Zoals het nu geregeld is, ben ik verantwoordelijk voor de randvoorwaarden. Het veld is verantwoordelijk voor de uitvoering van hetgeen is afgesproken. Daar zitten allerlei eisen en veldnormen in. De inspectie houdt toezicht op de kwaliteit. De inspectie heeft nog niet zo lang geleden een rapport uitgebracht waarin wordt weergegeven hoe het in de zorg gesteld is met de uitwisseling van gegevens. Het College bescherming persoonsgegevens houdt toezicht op de privacy en de bescherming van de persoonsgegevens. De NZa ziet erop toe dat zorgverzekeraars niet kijken in medische gegevens als zij dat niet mogen. Op die manier is het geregeld. Iedereen heeft zijn eigen verantwoordelijkheid om zich aan de wet- en regelgeving te houden. De genoemde toezichthouders moeten daarop toezien. 

De minister doet goed haar best om het uit te leggen, maar ik begrijp het niet. Zij zegt dat er twee momenten zijn waarop men toestemming kan geven voor het beschikbaar stellen van zijn gegevens. Het eerste moment is als men gevraagd wordt of men wil meedoen met het systeem. Het tweede moment waarop specifiek toestemming wordt gevraagd, doet zich voor als er een nieuwe behandelaar in het dossier wil kijken. Dit betekent dat het amendement-Bruins Slot, waar ik positief tegenover sta, eigenlijk overbodig is, omdat het daarin gestelde al in de wet staat. Zo heb ik de wet en de toelichting daarop niet gelezen. Vandaar dat ik de vraag nog een keer stel. 

De toezichthouders houden toezicht aan de achterkant, als patiënten al in het systeem zitten. Dat is belangrijk. Een patiënt moet goed geïnformeerd een keuze kunnen maken. Het lijkt er echter op dat er helemaal geen toezicht is op de wijze waarop patiënten worden geïnformeerd. Is dat correct? Weten patiënten waaraan zijn beginnen? Dat mis ik. Graag ontvang ik op dit punt een toelichting. 

Dat staat expliciet in het wetsvoorstel. Het staat ook in de WGBO. Sowieso moet de patiënt heldere informatie krijgen over het systeem waaraan hij medewerking verleent en de consequenties daarvan. De toezichthouder moet er toezicht op houden dat dit ook daadwerkelijk gebeurt. De IGZ ziet erop toe dat de patiënt goed geïnformeerd wordt over de systemen. 

Op het amendement-Bruins Slot kom ik straks nog terug. Het wetsvoorstel voorziet al in het gestelde in het amendement. Het wordt expliciet in de wet opgenomen. Ik laat het oordeel over het amendement aan de Kamer. Nogmaals, ik kom er bij de behandeling van de amendementen nog op terug. 

Wij behandelen vandaag een wetsvoorstel waarvan de minister zegt dat het gaat om randvoorwaarden, maar de lopende praktijk is dat het landelijk schakelpunt overal wordt ingevoerd. Zo hebben wij het nu over toestemming geven. Er is een website, www.ikgeeftoestemming.nl, maar dat gaat alleen over het systeem waarvoor je toestemming geeft. Je geeft dus in feite alleen toestemming voor het elektronisch beschikbaar stellen van medische gegevens via het LSP. Als je daar toestemming voor hebt gegeven, heb je dan algemene toestemming gegeven voor het uitwisselen van alle medische gegevens, in dit geval tussen huisarts en apotheek, of moet de huisarts iedere keer dat je opnieuw bij hem komt, vragen of hij je gegevens mag delen via het LSP? Daar zit de crux. 

Wij hebben officieel in de wet nog geen opt-in geregeld. Bij het LSP heeft men gezegd: gezien de behandeling in de Kamer en gezien de gevoelens in het parlement regelen wij alvast een opt-in, terwijl het nog niet nodig is. Die andere systemen hebben die niet en zullen deze ook moeten invoeren, nadat het hele parlement, de Eerste Kamer en de Tweede Kamer, het wetsvoorstel heeft aanvaard. Het is logisch dat het LSP al wel een opt-in kent, omdat men daar heeft gezegd: wij voeren die al in vooruitlopend op de aanvaarding van het wetsvoorstel. De andere systemen zullen dat ook moeten gaan doen, voor zover men daar al niet op vooruitloopt, wat hier en daar vast wel zal gebeuren. 

Het is nooit zo dat alle medische gegevens worden uitgewisseld, zelfs niet bij een generieke toestemming. Dan zullen het altijd gegevens zijn die op de desbetreffende behandeling betrekking hebben en die de behandelaren voor deze behandeling nodig hebben. Als er een nieuwe behandelaar bij komt, moet deze mij opnieuw vragen of ik toestemming geef. Als je toestemming geeft voor het generieke systeem, betekent dit dat je toch met enige regelmaat wordt gevraagd: vindt u het eigenlijk wel goed? Die apotheek en die huisarts wisselen waarschijnlijk gegevens uit over medicamenten. Als ik aan mijn huisarts toestemming geef om dat te doen met die bewuste apotheker, dan mag hij dat doen. 

Volgens mij wordt op dit moment aan mensen een verzoek gedaan tot het uitwisselen van medische gegevens: mag ik dit delen met andere zorgverleners? Dat geldt ongeacht welk systeem er wordt gebruikt en of men al dan niet in het landelijk schakelpunt wordt opgenomen. Volgens mij moet dat op dit moment al volgens de WGBO. Waar het mij om gaat, is dat er ontzettend veel onduidelijkheid is over de dwang die dit veroorzaakt richting het LSP. De minister is duidelijk: je bent niet verplicht om je daarbij aan te sluiten. Dan mag er dus ook geen verplichting zijn voor zorgverleners om je te vragen of je deelneemt aan dit stelsel. Mag ik dat vragen? 

Even voor de helderheid: als een huisarts niet is aangesloten op het LSP, vraagt hij toch ook niet of hij jouw gegevens daarvan mag delen? Ik zeg dat even voor de helderheid, zodat wij elkaar begrijpen. 

Dit is juist het grote conflict dat er is. De meeste huisartsen zijn in het verleden aangesloten op het epd, omdat dat financieel gepromoot werd. Toen is het epd weggestemd, en dat is nu het landelijk schakelpunt geworden. De meeste huisartsen zijn aangesloten, maar dat wil niet zeggen dat de meeste patiënten zijn aangesloten. Toch is er nu een discussie gaande over de vraag of huisartsen, dan wel apothekers, aan hun patiënten moeten vragen of zij willen meedoen. Maar dat is dan toch onlogisch? Dit wetsvoorstel vereist niet het landelijk schakelpunt als systeem. Dan zou een huisarts of een apotheker toch ook niet de verplichting moeten krijgen of voelen om mee te doen aan de hele toestemmingsprocedure? 

Natuurlijk wel, want in dit wetsvoorstel regelen wij nu juist dat niet zomaar gegevens over patiënten met Jan en alleman gedeeld kunnen worden, maar dat de patiënt expliciet toestemming moet geven: welke gegevens mogen wanneer en met wie worden gedeeld? Het gaat hierbij dus juist om de rechten van de patiënt. Stel dat jouw huisarts is aangesloten bij het LSP. Je bent bij hem op bezoek en wordt doorverwezen naar een psychiater. Dan is het natuurlijk zo dat de huisarts, voordat hij jouw gegevens naar de psychiater stuurt, vraagt of hij dat mag doen. Dan zeg je "liever niet" of "prima". 

Voorzitter. Het is een ingewikkeld wetsvoorstel. Volgens mij proberen wij elkaar te begrijpen. Mag ik nog een vervolgvraag stellen? 

Als u probeert om een korte vervolgvraag te stellen, kan ik daarmee akkoord gaan. Ga uw gang. 

Op het moment dat de huisarts is aangesloten op het landelijk schakelpunt, maar een patiënt daar niet in wil — dat mag — dan kan de huisarts toch alsnog specifieke gegevens uitwisselen, bijvoorbeeld met de apotheek, waarvoor de patiënt wel toestemming geeft? Dat kan namelijk een directe uitwisseling zijn, zonder dat je gebruikmaakt van het LSP. Of moet er dan altijd gebruik worden gemaakt van het landelijk schakelpunt? 

Nee. Overigens past het landelijk schakelpunt helemaal niet in de vraag. Een huisarts is aangesloten bij het landelijk schakelpunt. De apotheek is daar ook aangesloten. De huisarts wil met de apotheek iets delen. Dan moet hij vragen aan de patiënt of die dat goed vindt. Als de patiënt zegt "ja, dat vind ik goed", dan kan hij het doen. En als de patiënt nee zegt, dan niet. En nee, de huisarts hoeft het LSP niet te gebruiken, maar hij is aangesloten bij het LSP, hij wil via dat systeem iets sturen naar de apotheker en de gegevens delen. Het gaat hier gewoon over de vraag wie wel in jouw gegevens mag kijken en wie niet in jouw gegevens mag kijken. 

Als iemand in jouw gegevens gaat kijken, wordt daar expliciet toestemming voor gevraagd. Dat gebeurt op twee momenten. Wilt u uw gegevens beschikbaar stellen? Als je nee zegt, is het klaar. Als je ja zegt, is het goed, zeg maar generiek. Dan is het als volgt. Ik ga naar de huisarts en ik moet naar een psychiater; daar ben ik nog nooit eerder geweest; nieuwe behandelrelatie. Dan vraagt de psychiater mij expliciet: mag ik je gegevens delen? Dat is heel helder. 

Laten we een situatie nemen waarop ik al in het verslag heb doorgevraagd. Als de huisarts, de apotheker en de fysiotherapeut samen in één bedrijf zitten en samen ook juridisch één geheel vormen, dan is er formeel geen sprake van de uitwisseling van gegevens, dus kunnen ze het gewoon doen. Dat geldt ook voor een grote zorgorganisatie als Parnassia Bavo. Bij zo'n organisatie kunnen gegevens onderling in de organisatie worden uitgewisseld, omdat het formeel geen uitwisselingssysteem is. Dat klopt toch? 

Ja, maar dat is een heel andere situatie dan de situatie die mevrouw Leijten mij voorlegde. Ongeacht het systeem, of je nu bij de LSP zit, bij Regionet of het kan me niet schelen waar: de toestemmingsvereisten zijn overal hetzelfde en gelden voor ieder systeem. Ze gelden echter niet voor de interne systemen, want dat is geen uitwisselingssysteem. 

Mijn tweede vraag is de volgende. Klopt het dat het LSP werkt met een generieke opt-in en dat een specifieke opt-in in het LSP niet mogelijk is? 

Wij leggen nu in de wet vast dat de specifieke opt-in wel een optie zal zijn. 

Als ik dat terug redeneer, begrijp ik dus dat de minister zegt: ja, het LSP werkt nu met een generieke opt-in. 

Het LSP werkt vooruitlopend op het systeem met een opt-in. Ik kijk even naar mijn ambtenaren. Werkt het LSP nu met een generieke opt-in? 

Wilt u daar in tweede termijn op terugkomen? 

Ik kom daar in tweede termijn op terug. 

Waar het in dit wetsvoorstel om gaat, is dat we de huidige situatie verbeteren. We lopen daar steeds aan voorbij. Er zijn nu systemen die niet goed beveiligd zijn en geen goede privacy bieden. De receptioniste kan in jouw gegevens kijken en je zult het nooit weten. Wat we hier nu regelen, is niet alleen dat we de beveiliging verbeteren, zodat de receptioniste niet zomaar in het systeem kan kijken. We regelen ook dat de systemen alleen toegankelijk zijn als je daar expliciet toestemming voor geeft. 

Gaat u verder. 

Daarnaast moet de zorgaanbieder zich in het kader van goede zorg altijd afvragen of het nodig is, cliënten opnieuw voor te lichten over het geven van toestemming en het eventueel beperken van die toestemming bij belangrijke wijzigingen of uitbreidingen van het elektronisch uitwisselingssysteem. Cliënten kunnen dan opnieuw een keuze maken. 

Ik heb toch nog even een vraag. Ik had het er net even over met mevrouw Leijten, misschien komt het door onze persoonlijke situatie. Stel je bevalt in een ziekenhuis, dan gaan je gegevens automatisch naar de huisarts. In mijn geval vind ik dat zeer prettig. Andersom mag het van mij ook, maar niemand heeft mij ooit gevraagd of ik dat wil. Hoe zit het in deze situatie onder de nieuwe wet? 

Dan zullen we toestemming moeten vragen. Deze wet regelt toestemming, daar waar die nu nog niet is. Dat kan op generieke manier, raadpleegbaar, iedere keer opnieuw expliciet bij een nieuwe behandelrelatie, maar het kan ook gewoon door categorieën uit te sluiten. Als een psychiater die uitgesloten is, de bestanden toch wil raadplegen, kan hij er gewoon niet in, omdat hij is uitgesloten. 

Dus het goede nieuws is: stel je voor ik ga morgen naar de chirurg, want die gaat in mijn been snijden, dan wordt mij toestemming gevraagd of de chirurg dit mag delen met de huisarts. Het lijkt mij heel belangrijk dat mijn huisarts dat allemaal weet, want daardoor heb je nog enigszins een basisdossier. Zit dat automatisme er dan ook in bij de medisch specialisten richting huisarts, dus andersom? Hebben wij dat nu met de wet geregeld? 

Ik hecht ook aan een basisdossier en toch regelen wij dat uiteindelijk de patiënt de baas is over zijn dossier. Die bepaalt uiteindelijk wie erin kan kijken en wie er niet in kan kijken. Wij hebben in Nederland niet één elektronisch patiëntendossier waaraan nieuwe informatie wordt toegevoegd. Sommige mensen hebben dat idee wel, maar dat is een misvatting. Wij hebben een snelweg waardoor wij gegevens kunnen inkijken waar ze zijn opgeslagen. Bij de zorgaanbieder waar de gegevens zijn opgeslagen, kun je die inkijken. Wij verzamelen echter niet alle gegevens van mensen op één punt. Dat hebben wij niet in Nederland en dat lijkt mij ook helemaal geen handig systeem. Iemand vertelde net over het Verenigd Koninkrijk. Ik zal er straks nog even op ingaan, maar in Nederland kan dat dus helemaal niet. 

Ik kom er toch nog een keer op terug. Als je niet in het landelijk schakelpunt wilt, kunnen bepaalde zorgverleners niet bij een ander kijken naar jouw medische gegevens. Stel dat een zorgverlener de medische gegevens moet doorgeven voor de behandeling. Dat kan toch plaatsvinden zonder dat je in het landelijk schakelpunt zit? 

Ja, maar dan geef je wel toestemming. Je kunt het via de telefoon of via de mail doen. Dat schrijven wij helemaal niet voor. Wij schrijven alleen de rechten voor. Hoe je het doet, maakt niet uit. 

Ik heb uiteindelijk antwoord op mijn eerste vraag. Misschien stelde ik die verkeerd, maar wij zijn eruit. 

Gelukkig! 

Gaat u verder met uw betoog. 

Voorzitter. Ik vind het belangrijk om het volgende te benadrukken. Stel, je geeft toestemming. Stel, er gebeurt iets in Maastricht. Mevrouw Dijkstra gaf een voorbeeld. Je hebt medicatie nodig en de apotheker in Maastricht wil contact met de apotheker in je woonplaats. De apotheker krijgt dan alleen die gegevens die noodzakelijk zijn voor de verstrekking van de medicatie die noodzakelijk is voor dat geval. Hij krijgt niet ineens een heel dossier met van alles en nog wat waar hij helemaal niets mee te maken heeft, maar alleen datgene wat noodzakelijk is voor een goede behandeling. 

Wij hebben heel vaak gesproken over de pas. Wij hebben er in 2011 ook onderzoek naar laten doen: digitale toegang tot het eigen medisch dossier en mogelijkheden voor een elektronische sleutel. De doelstelling van dit onderzoek naar de zorgpas was het uitbrengen van een advies over de mogelijkheden van die pas. De pas is al uitgeprobeerd en grandioos mislukt in Duitsland. Dat is niet zo gek, want uit het onderzoek is gebleken dat zo'n pas dezelfde nadelen kent als een zorgpas met opslag en autorisatie, dus die nadelen veranderen niet. In geval van nood, in spoedsituaties, bij het verlies of het vergeten van de pas of de pincode van die pas heb je dus geen toegang tot die medische gegevens. 

De minister zegt dat die pas al eens is onderzocht, maar dat was een opslagpas. Ik heb het over een autorisatiepas die de patiënt bij zich draagt en aan een zorgverlener kan geven van wie hij denkt: die mag het nu zien. Dat is niet onderzocht. Hoe staat de minister daartegenover? Is zij bereid dat te onderzoeken? 

Ik zie enorm op tegen het verliezen van passen, het vergeten van codes en dat soort zaken. Wij leven in een samenleving waarin wij van alles via internet kunnen doen, maar in de zorg gaan we daar ineens ongelofelijk bergen over opwerpen en willen we eigenlijk terug naar een soort systeem van de jaren vijftig. Ik zie niet zo goed in waarom dat is en ik zie ook niet zo goed in wat het oplost. 

Het is een beetje kort door de bocht om te spreken over een systeem van de jaren vijftig. Wij gaan mee met de digitalisering — dat vinden wij allemaal prima — maar hebben ook oog voor de gevaren daarvan. We doen van alles via internet, maar beveiligen dat wel. Mijn bankgegevens op internet beveilig ik natuurlijk wel, net zozeer als ik mijn zorggegevens wil beveiligen en in eigen hand wil houden. De minister is nu bezig met een systeem waar duizenden mensen toegang toe kunnen hebben. Waar duizenden mensen toegang hebben, liggen er ook duizenden gevaren op de loer. Daarom pleit ik ervoor om de patiënt die pas te geven en de patiënt dit te laten beheren. Weegt het gevaar van verlies op tegen de risico's die we nemen als al die duizenden mensen zomaar in je dossier kunnen? 

Er kunnen helemaal niet "zomaar duizenden mensen in je dossier". Dat is gewoon niet het geval. De beveiliging is namelijk helemaal volgens de laatste standaard. Je gegevens kunnen dus helemaal niet zomaar voor duizenden mensen toegankelijk worden. De gegevens zijn toegankelijk als de patiënt daarvoor toestemming heeft gegeven. Ze worden dan toegankelijk voor de behandelaren die hem behandelen. Ze hebben dan toegang tot de gegevens die relevant zijn voor de behandeling, dus niet eens tot de andere gegevens. Dat wordt bovendien allemaal gelogd. Iedere patiënt die dat wil, kan dus nakijken wie er in zijn gegevens heeft gezeten. Dat kan dus allemaal worden gecontroleerd. Er wordt ook toezicht op gehouden. Het is dus helemaal geen systeem waarin je zomaar van alles kunt doen. Op dit moment zijn er echter wél systemen in gebruik waarvan we allemaal weten dat ze lek zijn. Ik wil dus via deze wet regelen dat we nu eens wat strakker dingen gaan regelen voor de rechten van patiënten. We moeten dit daadwerkelijk kunnen nagaan en kunnen nalopen. We moeten daadwerkelijk boetes kunnen uitdelen en sancties op misbruik kunnen zetten. Dat zit allemaal in dit wetsvoorstel. 

Gaat u verder met uw betoog. 

Dit wetsvoorstel gaat dus over de randvoorwaarden die gelden als artsen gegevens via elektronische uitwisselingssystemen aan elkaar beschikbaar willen stellen en over de rechten die daarbij gelden voor de cliënt. Een elektronisch uitwisselingssysteem maakt gegevens voor toekomstige behandelaars beschikbaar indien zij voor het raadplegen van die gegevens toestemming vragen en krijgen van de cliënt. In het kader van goede zorg kunnen de verschillende behandelaars elkaar via een elektronisch uitwisselingssysteem op de hoogte stellen van de behandeling die zij hebben gegeven. Zonder elektronisch uitwisselingssysteem, of als een cliënt geen toestemming heeft gegeven, zullen behandelaars elkaar op een andere veilige manier op de hoogte moeten stellen. Eigenlijk heb ik het daarover zojuist met mevrouw Leijten gehad. Dat kunnen zij doen op allerlei manieren. 

Er is gevraagd of bredere toegang niet tot onveiligere systemen leidt. Voor mij staat voorop dat systemen waarmee medische gegevens worden uitgewisseld, veilig moeten zijn. Om die reden is dit wetsvoorstel en het bijbehorende besluit opgesteld, waarin eisen worden gesteld aan de beveiliging, met name ook ten aanzien van toegangsautorisaties en login. 

Klopt het dat een patiënt een vergoeding moet betalen voor een afschrift van zijn medisch dossier? In dit wetsvoorstel is geregeld dat elektronische inzage in, en een elektronisch afschrift van het dossier kosteloos is. Voor het verstrekken van een papieren afschrift kan op grond van artikel 456 van Boek 7 van het Burgerlijk Wetboek een redelijke vergoeding worden gevraagd, omdat het afdrukken op papier kosten met zich meebrengt. Het is niet redelijk om die kosten voor rekening van de zorgaanbieder te laten komen. 

Twee leden hebben mij gevraagd of ik de rechtszaak van de Vereniging Praktijkhoudende Huisartsen niet zou moeten afwachten. Dit wetsvoorstel stelt eisen aan de elektronische informatie-uitwisseling. Er wordt geen specifiek systeem in het wetsvoorstel geregeld. Wachten op een uitspraak in deze rechtszaak lijkt mij dan ook niet nodig, aangezien deze uitspraak over een specifiek systeem gaat. Bovendien lijkt het mij goed dat de eisen die in dit wetsvoorstel worden gesteld aan de elektronische uitwisseling en de daarbij behorende rechten van de patiënt, zo spoedig als mogelijk gaan gelden. Het is echter uiteraard aan de Kamer om te bepalen wanneer zij over dit wetsvoorstel zal stemmen. 

Er is gevraagd of ik de vrees weg kan nemen dat zorgaanbieders worden gedwongen om zich aan te sluiten op het LSP. Noch in de bestaande wet- en regelgeving, noch in het onderhavige wetsvoorstel wordt dwingend verwezen naar het LSP. Zoals ik eerder al aan de Kamer heb gemeld, verwijzen zorgverzekeraars bij het vaststellen van contracten naar de kwaliteitseisen van de beroepsgroep. Alleen als de beroepsgroep heeft gesteld dat elektronische gegevensuitwisseling via het LSP — het kan dus ook een ander systeem zijn — als kwaliteitseis wordt gezien, kunnen de zorgverzekeraars dit als zodanig in hun contracten opnemen. In andere gevallen kunnen zij dat dus niet doen. Het is dus de beroepsgroep zelf die beslist of aansluiting op het LSP als kwaliteitseis voor de beroepsgroep geldt, of dat aansluiting op een ander systeem als kwaliteitseis zou moeten gelden. Gezien het belang van een goede elektronische uitwisseling in de zorg kan ik mij wel voorstellen dat verzekeraars met het oog op verantwoorde zorg stimuleren dat men zich bij goede systemen aansluit. Het staat zorgaanbieders uiteraard vrij, zich aan te sluiten op een systeem voor elektronische gegevensuitwisseling. Ook de keuze voor dat systeem staat vrij. Het is vooral aan de patiënt te bepalen of hij wel of niet wil dat zijn gegevens worden uitgewisseld, al dan niet via een elektronisch uitwisselingssysteem. 

We weten dat de infrastructuur van het oude epd op private wijze een doorstart heeft gemaakt, gefinancierd door de zorgverzekeraars, die er 75 miljoen in hebben geïnvesteerd. Zij hebben ook een doelstelling geformuleerd: 100% van de huisartsen moet aangesloten zijn. Maar in dit debat zegt de minister feitelijk: dat mag een wens zijn, maar ik ga dat niet verplichtend opleggen. Die huisartsen die niet mee willen doen aan het LSP, omdat ze een alternatief hebben, mogen dat doen. 

Dat klopt. Maar stel dat de LHV zegt het LSP te zien als een kwaliteitseis — dat hebben ze niet gezegd, maar stel — dan wordt die kwaliteitseis een veldnorm, waarop de inspectie toeziet. Dan mogen zorgverzekeraars dat wel vragen. Maar het ligt dus aan de beroepsgroep of ze dat als een kwaliteitseis ziet. Die beroepsgroep kan het LSP zo'n goed systeem vinden dat ze dat ziet als een kwaliteitseis. Ze kan ook een ander systeem als kwaliteitseis zien. Het is aan de beroepsgroep en niet aan de verzekeraars om hiervan een kwaliteitseis te maken. 

En al die berichten dan dat verzekeraars een soort bonus geven als het merendeel van je patiënten is aangesloten op het LSP, of dat ze een vergoeding geven aan die huisartsen en apothekers die mensen via www.ikgeeftoestemming.nl inschrijven? Daarvan zegt de minister eigenlijk dat dat niet mag plaatsvinden. 

Dat geldt niet voor zo'n bonussysteem. Wel kan tegen een zorgaanbieder worden gezegd: als u moeite doet en daarbij kosten maakt, krijgt u een tegemoetkoming in die kosten. Dat mag wel. 

Sommige verzekeraars hebben in het contracten al geprobeerd om voorwaarden op te leggen om minimaal een bepaald percentage verplicht aan te laten sluiten op het LSP. Kan de minister hier toezeggen dat ze de zorgverzekeraars terug gaat fluiten als die het verplichtend opleggen? 

Niet als de beroepsgroep het als kwaliteitseis heeft opgenomen. 

En als de beroepsgroep daar niets over heeft opgenomen? Gaat de minister de zorgverzekeraar dan terugfluiten? 

Ja, dan is namelijk de afspraak dat het niet verplichtend wordt opgelegd. 

Gaat u verder. 

De gezondheidsdienst van Groot-Brittannië heeft medische dossiers verkocht aan verzekeraars. Staat ons dit ook te wachten? Ik vind het erg belangrijk om nog eens te herhalen dat in Nederland medische dossiers niet centraal worden opgeslagen in een door de overheid beheerde database. Wij hebben geen database in het midden van het land of waar dan ook met allemaal opgeslagen epd's. Dus nee, een overheidsdienst die medische dossiers verkoopt zoals in Engeland is hier niet aan de orde. Dat kan ook niet, want we hebben hier eigenlijk alleen een snelweg aangelegd, het LSP, die in de dossiers bij de zorgaanbieders kan kijken. Daar zit het en daar blijft het. Je kunt er alleen even in kijken, zonder er verder iets in te wijzigen. In reacties in de media op dit bericht uit Groot-Brittannië werd een link gelegd met Big Data, het grootschalig verzamelen van gezondheidsgegevens met als doel er statistische bewerkingen op uit te voeren. Het achterliggende idee is dat het analyseren van grote hoeveelheden gegevens bij kan dragen aan de gezondheidszorg. Big Data kan op gespannen voet staan met de privacy van de burger. Zonder toestemming van de burger voor het vrijgeven van gegevens kan geen sprake zijn van grootschalige dataverzameling. Voordat de burger hiervoor toestemming geeft, zal eerst bewezen moeten worden of Big Data daadwerkelijk bijdraagt aan betere zorg. In de Wet op de geneeskundige behandelingsovereenkomst staat onder welke voorwaarden patiëntgegevens voor onderzoek mogen worden benut, waaronder de toestemming van de patiënt. 

Kunnen er bewust of onbewust gegevens worden aangepast? Dat is afhankelijk van het gebruikte systeem. Los daarvan geldt dat logging moet plaatsvinden op grond van artikel 35 van de Wet bescherming persoonsgegevens. Met dit wetsvoorstel wordt de plicht van logging in de Wet bescherming persoonsgegevens aangevuld. Op deze manier is altijd te achterhalen of de gegevens zijn aangepast. 

Wat vindt u van de bevindingen van de Consumentenbond dat de medische dossiers van huisartsen vol fouten zitten, werd mij gevraagd. In mijn reactie aan de Kamer op dit bericht heb ik aangegeven dat het signaal uit het Consumentenbondonderzoek over incomplete huisartsendossiers niet acceptabel is. De huisarts heeft een centrale positie in het zorgstelsel en verwacht mag worden dat hij zijn dossiers op orde heeft. De NHG heeft een richtlijn opgesteld voor adequate dossiervorming. Ook is er een richtlijn voor gegevensuitwisseling tussen apothekers en tweedelijnszorgverleners. Daarnaast is er de EPD-scan over het op orde zijn van de toetskwaliteit van het NIVEL voor huisartsen die zijn aangesloten op de NIVEL-zorgregistratie. Het is aan de huisartsen om met behulp van deze instrumenten de dossiers op orde te krijgen en te houden. De inspectie houdt daar toezicht op en is momenteel ook met een onderzoek bezig. Ik verwacht dus dat het heel snel beter gaat. 

Ook is gevraagd of ik mijn hand ervoor in het vuur durf te steken dat alle systemen van zorgaanbieders aan de eisen voldoen. Ik ben niet in de positie om hierover een oordeel te vellen. Het College bescherming persoonsgegevens en de IGZ zijn de toezichthouders op dit terrein. Zij zullen hierop toezien vanuit het perspectief van kwaliteit van zorg en privacybescherming. 

Wat, als private partijen zich niet aan de regels houden? Kan de inspectie instellingen sluiten of bestuurders verhinderen om nieuwe instellingen te openen? De inspectie houdt toezicht op basis van de Kwaliteitswet zorginstellingen en de Wet BIG. In die wetten zijn de toezichthoudende bevoegdheden en de mogelijke sancties geregeld. Schriftelijke aanwijzingen, bevelen, bestuursdwang, dwangsommen en bestuurlijke boetes zijn de instrumenten die de inspectie daarbij kan gebruiken. Een bevel om de zorgactiviteiten te staken kan met het oog op de proportionaliteit alleen worden gegeven als de veiligheid van patiënten direct in gevaar is. 

Hoe kunnen we een voorhang regelen voor de AMvB met technische en organisatorische eisen? Als de Kamer een AMvB met voorhangprocedure wenst, zal in dit wetsvoorstel een wettelijke grondslag voor technische en organisatorische eisen moeten worden opgenomen. Die zit er nu dus niet in. 

Gevraagd is of ik het geen probleem vind dat er geen toezicht wordt gehouden op de gedragscode en of de gedragscode niet aan het College bescherming persoonsgegevens moet worden voorgelegd. De gedragscode is een aanvulling op de bestaande wet- en regelgeving. Hoewel er geen sprake is van specifiek toezicht op de gedragscode, zie ik meerwaarde in deze afspraken. Los van de gedragscode hebben toezichthouders de taak om toezicht te houden op de elektronische uitwisseling. Daarmee is er weliswaar geen specifiek toezicht op de gedragscode, maar partijen moeten zich wel aan de geldende wet- en regelgeving houden. Het voorleggen van de gedragscode aan het College bescherming persoonsgegevens is aan de partijen die betrokken zijn bij de gedragscode. 

Zijn er sancties voor zorgverzekeraars die ten onrechte het elektronische uitwisselingssysteem raadplegen en welke ruimte hebben verzekeringnemers om op te zeggen? De Kamer heeft aangegeven dat ze het belangrijk vindt dat er afdoende waarborgen zijn, zodat zorgverzekeraars niet zomaar toegang hebben tot medische gegevens. Ik ben het daar uiteraard volmondig mee eens. Daarom heb ik in artikel 15, lid f een verbod opgenomen voor zorgverzekeraars om toegang te krijgen tot elektronische uitwisselingssystemen. Dit geldt ook voor bedrijfsartsen, verzekeringsartsen en keuringsartsen. Als de zorgverzekeraar het verbod op toegang overtreedt, kan de Nederlandse Zorgautoriteit een aanwijzing geven aan de zorgverzekeraar. De NZa kan ook een bestuurlijke boete opleggen van maximaal €500.000 of van 10% van de omzet, als dat meer is. Zodra het opleggen van een bestuurlijke boete juridisch is afgerond, wordt dit openbaar gemaakt. De verzekerde tot wiens gegevens de zorgverzekeraar zich toegang heeft verschaft, krijgt daarvan een mededeling van de NZa. De verzekeringsnemer mag binnen zes weken na het ontvangen van zo'n mededeling zijn verzekering opzeggen. Dat kan hij dus nog vóór de hele juridische procedure doen. Eventuele juridische procedures zijn bepalend voor het moment waarop dit rechtens onaantastbaar wordt. Het kan bijvoorbeeld heel veel uitmaken of men in hoger beroep gaat of niet. Daarnaast kunnen alle verzekerden jaarlijks van verzekeraar wisselen. Mevrouw Bruins Slot stelt voor om iedereen de mogelijkheid te geven om binnen vijf jaar over te stappen als dit twee keer is gebeurd. Dat is buitenproportioneel en wordt in strijd geacht met de Europese schaderichtlijn. Dat was ook het geval bij het amendement op het vorige wetsvoorstel, waaraan mevrouw Bruins Slot refereerde. Het oordeel is dus niet anders. 

Ik heb natuurlijk zeer nauwkeurig nagelezen wat de vorige minister van Volksgezondheid, Welzijn en Sport hierover heeft gezegd. Hij zei aan het eind van zijn betoog dat het wel te rechtvaardigen is vanuit het argument van het algemeen belang. Uiteindelijk heeft hij het amendement niet ontraden. 

Toch achten onze juristen het buitenproportioneel omdat er al een jaarlijkse overstapmogelijkheid is voor verzekerden. Deze procedures lopen ook wel even, dus er is tussentijds gewoon een mogelijkheid om weg te gaan. Verzekerden kunnen daartoe zelf beslissen. Onze juristen achten het overigens ook in strijd met de schaderichtlijn. 

In 2009 waren het ook de juristen van het ministerie die aangaven dat het wél kon op basis van het algemeen belang. Het argument was dat het vertrouwen in de zorgverzekeraar geschaad is. Dat was uiteindelijk het eindoordeel van de minister van VWS. Ik begrijp niet zo goed waar het nieuwe inzicht is ontstaan, want de Europese richtlijnen zijn in de tussenliggende periode niet gewijzigd. 

Het oordeel dat ik van mijn juristen heb gekregen, is dat het niet in proportie staat, omdat verzekeringnemers al mogelijkheden hebben om weg te gaan bij hun zorgverzekeraar. 

De strekking van de motie van mevrouw Kuiken, mijn voorganger als woordvoerder op dit dossier, is dat er een grote afschrikwekkende werking moet uitgaan van de sanctie. De minister zegt nu dat de verzekerde per direct kan opstappen als de procedure kort is en er is aangetoond dat de zorgverzekeraar iets heeft gedaan waarvan we allemaal zeggen dat het absoluut zeer onwenselijk is. Alle andere verzekerden kunnen in de overstapperiode opstappen. Dan is het dus zeer relevant dat de periode waarin wordt vastgesteld of een zorgverzekeraar iets heeft gedaan wat niet mag — namelijk iets inzien wat hij niet had mogen inzien — heel kort is. Als de juridische procedure sowieso meer dan een jaar in beslag neemt, kunnen we hier gaan steggelen over wat juridisch wel en niet klopt, maar dan hebben verzekerden daar sowieso niets aan. Sorry, dat was een heel lang verhaal, maar hoe kunnen we ervoor zorgen dat die periode kort wordt? Volgens mij is dat de crux. 

De verzekeringnemer die dit betreft, mag binnen zes weken veranderen van zorgverzekeraar. Die termijn is helder. Ik kan natuurlijk niet treden in de lengte van een juridische procedure, want we hebben hier een scheiding der machten. Je kunt naar de rechter stappen en je kunt ook in hoger beroep gaan. Daar kan ik niets op bekorten. Mevrouw Bruins Slot zei al dat dit daarom rechtens onaantastbaar wordt. Daar ga ik dus niet over; de rechterlijke macht gaat erover hoe snel dat oordeel kan worden gegeven en hoelang het hoger beroep duurt. Wat de motie van mevrouw Kuiken betreft: de sancties zijn ontzettend fors verhoogd, mede naar aanleiding van die motie. De sancties zijn dus sterk verzwaard. De betrokkene mag binnen zes weken weg en de overige verzekerden kunnen allemaal besluiten of zij overstappen of niet; daar hebben zij jaarlijks recht op. 

In eerste instantie was het voorstel van mevrouw Kuiken dat iedereen mag overstappen. Ik moet haar niet teleurstellen en ik heb dus een goed antwoord nodig. Praktisch gezien is overstappen blijkbaar heel ingewikkeld, want voordat de sanctie wordt opgelegd, zal de zorgverzekeraar in beroep gaan. Die procedure duurt per definitie langer dan een jaar; dat is niet zomaar eventjes gedaan. Los van de vraag of de Kamer vindt dat we dit zo moeten doen, lijkt het er dus op dat dit eigenlijk niet uitvoerbaar is. Volgens mij zou dus optie B in werking kunnen treden: als openbaar wordt gemaakt dat de zorgverzekeraar iets heeft gedaan wat niet mag, waardoor die ene verzekerde opstapt, is de volgende sanctie — namelijk dat iedereen mag opstappen — niet nodig. Dan kunnen mensen immers zelf bedenken dat die zorgverzekeraar blijkbaar zoiets doet en dat zij niet willen wachten op procedures. Dan kunnen zij zelf hun conclusie trekken. Dan bereiken we hetzelfde doel, maar op een handigere en uitvoerbare manier. Dan wordt het meer naming and shaming. 

Als een verzekeraar het er niet mee eens is en een juridische procedure begint, wordt dat bekend. De stap naar de rechter is openbaar. Het gebeurt heel vaak dat er in kranten verslagen staan van allerlei rechtszaken waar wij hier dan even niet over spreken. Dan is het voor de verzekerden dus helder dat er een rechtszaak loopt. Zij kunnen dan zelf hun besluit bepalen. U hebt gelijk dat zo'n procedure vaak veel langer duurt, maar de verzekerden kunnen tussentijds allang weg bij zo'n zorgverzekeraar. Misschien doen zij dat voor niets, als die zorgverzekeraar in het gelijk wordt gesteld. Dan is die zorgverzekeraar wel klanten kwijt. Het lijkt mij dus sowieso iets wat een zorgverzekeraar zou moeten willen vermijden. Het is sowieso zeer schadelijk als hij dat zou doen. 

Gaat u verder met uw betoog. 

Is het toestemmingsprofiel inzichtelijk? Het toestemmingsprofiel kan worden gedeeld als er sprake van meerwaarde voor andere zorgverleners. Bijvoorbeeld bij het sturen van berichten moet je nagaan of je die informatie mag versturen naar een bepaalde zorgverlener. Dan is het belangrijk dat je het toestemmingsprofiel kent. Wie het toestemmingsprofiel kan inzien, is dus afhankelijk van de inrichting van het individuele systeem. Dat kan ook nog grote verschillen geven. Gegevens rondom de toestemming zijn ook persoonsgegevens. Het hoeft niet in alle gevallen voor alle zorgaanbieders inzichtelijk te zijn of en waarvoor de patiënt toestemming heeft gegeven. In algemene zin geldt dat alleen die informatie zichtbaar mag zijn die noodzakelijk is. We hebben daarom voor een kanbepaling gekozen. 

Moet de patiënt opnieuw toestemming geven als het systeem substantieel is veranderd? Ja, de zorgaanbieder heeft de plicht de cliënten te informeren over de werking en de reikwijdte van het systeem. Dat is geregeld in artikel 15c van het wetsvoorstel. Bij substantiële wijzigingen zal een zorgaanbieder de cliënten op grond van die informatieplicht op de hoogte moeten stellen van die wijzigingen. Afhankelijk van de oorspronkelijke toestemmingsvraag zal opnieuw toestemming moeten worden gevraagd. Het is dan aan de patiënt zelf om zijn keuzes al dan niet aan te passen. De cliënt standaard iedere drie jaar opnieuw een keuze laten maken, voegt daar niets aan toe. Het gaat erom dat een cliënt geïnformeerd wordt over substantiële wijzigingen. Dit wordt niet ondervangen met een periode van drie jaar, want misschien heeft die patiënt dan alweer drie, vijf of een keer zijn toestemming moeten herhalen. 

Waarom stel ik geen gezamenlijk loket in waar patiënten terechtkunnen met vragen over hun rechten en plichten met betrekking tot de elektronische verwerking van gegevens en de werking van elektronische uitwisselingssystemen? In de eerdere opzet van het landelijk epd was voorzien in een klantenloket waar cliënten terechtkonden met vragen. Conform het verzoek in de motie-Tan heb ik mijn betrokkenheid daarbij afgebouwd. Het is aan de verantwoordelijke zorgaanbieder en zorgaanbieders om al dan niet gezamenlijk invulling te geven aan de informatievoorziening voor de patiënt. Zorgaanbieders hebben op grond van de Wet bescherming persoonsgegevens de plicht om duidelijke voorlichting te geven over het doel en de reikwijdte van de elektronische uitwisselingssystemen en over de vraag welke set van gegevens of welke gegevens daarin beschikbaar worden gesteld. In aanvulling daarop wordt in het wetsvoorstel geregeld dat cliënten ook worden voorgelicht over hun rechten bij elektronische gegevensuitwisseling. In de nota van wijziging heb ik voorgesteld daaraan toe te voegen dat ook voorlichting moet worden gegeven over de werking van het elektronische uitwisselingssysteem waarop de zorgaanbieder is aangesloten. Met deze informatie kunnen de cliënten een goed beeld krijgen van de mogelijkheden en de reikwijdte van het elektronisch uitwisselingssysteem waarmee de zorgaanbieder zijn gegevens beschikbaar kan stellen. Deze informatie kan de cliënt helpen bij het maken van zijn keuzes. In het eerdere wetsvoorstel was er sprake van één systeem, namelijk het LSP. Nu is er sprake van vele systemen. De realisatie van één loket is daarmee ondoenlijk geworden. 

Ik heb het antwoord van de minister gehoord. Ik heb ook haar reactie gelezen op onze eerdere schriftelijke vragen hierover. Ik heb daar natuurlijk ook goed over nagedacht. Je zoekt eigenlijk naar een onafhankelijke plek waar mensen geïnformeerd kunnen worden. Dat is de strekking van mijn vraag. Als je bijvoorbeeld vragen hebt over het systeem of wat dan ook, kan ik mij voorstellen dat degene die dat systeem gebruikt, er belang bij heeft dat je op een niet helemaal onafhankelijke manier daarover wordt geïnformeerd. Ik kan mij voorstellen dat er bij een meldpunt niet zozeer mensen zitten die informatie over al die systemen hebben, maar die wel contact kunnen leggen met hen om deze informatie te kunnen geven. Ik zeg het misschien wat ingewikkeld, maar ik probeer het vooral centraal te brengen, juist omdat er zo veel verschillende systemen kunnen zijn. 

Wij hebben een heleboel dingen geregeld in het vorige wetsvoorstel, maar het parlement wilde dat niet. Toen zei men tegen mij: u moet eigenlijk gewoon de randvoorwaarden schetsen waaraan het moet voldoen. Dat doe ik nu. Wij moeten langzaam maar zeker oppassen dat wij dit wetsvoorstel niet weer zodanig optuigen dat het niet zo veel verschilt van het vorige wetsvoorstel. Een groot verschil is in ieder geval dat wij niet één systeem hebben, maar vele systemen. Als een systeem voldoet aan de wet- en regelgeving, moet de overheid niet met de opdracht opgezadeld worden dat zij alles moet bijhouden, bijvoorbeeld wat voor systemen er zijn en wat hun aparte kenmerken zijn. Wij hebben het nu zo geregeld. Ik heb daar in de nota van wijziging nog expliciet aan toegevoegd dat je voorlichting moet geven over de werking van het systeem dat je gebruikt. Dus ik moet voorlichting geven aan u, als ik u toestemming vraag over wat mijn systeem kan en vermag. Ik vind dat goed, want zo moeten wij het ook regelen. Ik heb er echter weinig behoefte aan om dat allemaal naar de overheid toe te trekken, die dan overal overzicht over moet hebben, die dat allemaal moet bijhouden en die daarvoor dus eigenlijk de verantwoordelijkheid weer naar zich toetrekt. Dit dan nog naast het feit dat het gewoon ondoenlijk is. Systemen kunnen oppoppen en ze kunnen uitgaan. Het lijkt mij zeer onverstandig om de verantwoordelijkheid voor dat brede veld naar ons toe te trekken. 

Ik snap het antwoord van de minister. Waar ik nog wel mee zit, zijn de mensen die hun loggegevens willen opvragen en die daar dus inzicht in willen hebben. De minister zal daarvan zeggen dat zij dat ook moeten doen bij de zorgaanbieder die tenslotte een bepaald systeem gebruikt. De vraag is wel of de relatie arts-patiënt daarmee niet onder druk komt te staan. Je wilt iets controleren, je wilt kijken of je goed geïnformeerd bent en of de gegevens allemaal wel kloppen. Hoe denkt de minister te kunnen waarborgen dat mensen dat vrij kunnen doen? 

Je moet toch ook naar je zorgaanbieder om je patiëntendossier op te vragen? Dat moet je toch ook bij je zorgaanbieder doen? Er is niet een instantie waar je dat kunt doen, maar dat doe je gewoon bij je zorgaanbieder. Daar staan de logingegevens en je medische gegevens. Wij leggen de verantwoordelijkheid echt bij de zorgaanbieders. Zij hebben de goede systemen en zij zijn ook verantwoordelijk voor die systemen. Zij moeten die systemen begrijpen en deze ook kunnen uitleggen aan hun patiënten. Daar moet je dus zijn voor je gegevens. Het LSP heeft bijvoorbeeld een klachtenloket opgericht. Andere systemen kunnen dat ook doen. Andere systemen kunnen dat ook doen of hebben dat misschien al gedaan, maar daarvan heb ik de informatie niet paraat. Ik vind dat de verantwoordelijkheid voor de manier waarop men dat doet echt bij de zorgaanbieder ligt en niet bij de overheid. 

Hoever kan mandatering gaan en wie is er verantwoordelijk als men zich daar niet aan houdt? Dit is eigenlijk geen groot verschil met wat wij nu hebben, met een papieren dossier. De arts kan zaken mandateren aan bijvoorbeeld de verpleegkundige of de doktersassistente. Dat is nu ook zo, dat verandert niet en de arts blijft verantwoordelijk. Hij moet ervoor zorgen dat aan de wet- en regelgeving is voldaan. 

Biedt het wetsvoorstel een veilige en gemakkelijke procedure om aan eigen gegevens te komen? Wij bepalen niet in welke vorm de elektronische inzage moet worden gegeven. Dit zou via een beveiligde site kunnen, maar inzage op een scherm bij de zorgaanbieder zelf is ook een vorm van elektronische inzage. De privacy moet echter wel gewaarborgd zijn. Inzage aan een balie waar iedereen kan meekijken, is niet geschikt. Je moet dus zoeken naar een manier waarmee je dat goed kunt waarborgen. 

Hoe ga ik de verantwoordelijkheid voor een goede kwaliteit en inhoud van het dossier borgen? De zorgverlener is verantwoordelijk voor de kwaliteit van het dossier in een individueel geval. Dit is hij en dat blijft hij. Ik ben ervoor verantwoordelijk dat de randvoorwaarden juist gesteld zijn. Via de band van de verantwoorde zorgverlening, goed hulpverlenerschap en eisen aan het dossier is een zorgverlener reeds verplicht om die gegevens in het dossier te plaatsen die noodzakelijk zijn voor goede hulpverlening. Dit wetsvoorstel tuigt daarvoor niks op, maar doet er ook niks aan af. Met het voorstel voor de Wet kwaliteit, klachten en geschillen zorg dat momenteel in behandeling is bij de Eerste Kamer, worden zorgaanbieders verplicht om van een incident een aantekening te maken in het dossier. Ik erken dat het voor de patiënt belangrijk is om op de hoogte te zijn van de behandelingen die hemzelf raken. 

Zijn de huidige systemen technisch in staat om die categorieën van behandelaars uit te sluiten? Ik stel de algemene regels die gelden bij de elektronische uitwisseling van patiëntgegevens. Ik ga niet over individuele, in gebruik zijnde systemen. Zij zullen uiteindelijk moeten voldoen aan de wettelijke eisen. 

Kan er een verplichting komen voor het bijhouden van elektronische dossiers? Indien er een verplichting komt voor het elektronisch bijhouden van dossiers, is het van belang om de impact van een dergelijke verplichting voor zorgaanbieders te bepalen. Daarbij wordt gekeken op welke termijn dit eventueel haalbaar is. Mocht het tot een verplichting komen, dan is het belangrijk dat de beveiliging van deze elektronische dossiers op orde is. Los daarvan wil ik opmerken dat ik het van belang vind dat, mochten er gegevens worden uitgewisseld, patiënten de mogelijkheid houden geen toestemming te geven voor elektronische uitwisseling. Ik vind het van belang dat patiënten deze ruimte blijven behouden. 

Ik zeg toe dat de AMvB standaard iedere drie jaar zal worden geëvalueerd. 

Nederland is actief betrokken bij de ontwikkeling van SNOMED CT als internationale standaard voor gegevensuitwisseling door het lidmaatschap van de IHTSDO (International Health Terminology Standards Development Organisation). Deze standaard is nog in ontwikkeling en kan nog niet volledig worden geïmplementeerd in Nederland. De implementatie van SNOMED CT is veel omvattend en gekoppeld aan bronregistratie — eenmalig vastleggen van gegevens voor meervoudig gebruik — en stelt hoge eisen aan de elektronische patiëntendossiers in de ziekenhuizen. De NFU heeft in haar visiedocument aangegeven te willen komen tot bronregistratie richting 2020. Het gebruik van SNOMED CT is hiervan een belangrijk onderdeel. 

SNOMED wordt op onderdelen al in ziekenhuizen geïmplementeerd zoals bijvoorbeeld bij de diagnosethesaurus die wordt gebruikt voor het eenmalig vastleggen van diagnoses. Nictiz en Dutch Hospital Data zijn hier actief bij betrokken. 

De vraag is gesteld of de IGZ en het Cbp voldoende capaciteit hebben voor het toezicht op en de handhaving van elektronische gegevensuitwisseling. De inspectie heeft inspecteurs met expertise om het toezicht op de informatiebeveiliging in de zorg vorm te geven. Zij worden ingezet op de thema's waar de grootste risico's worden verwacht. Of er sprake is van voldoende capaciteit kan nu nog niet worden gezegd. De IGZ beziet de inzet van haar capaciteit voor de komende periode in het kader van haar verbetertraject en de daaraan gekoppelde prioriteiten. Of het College bescherming persoonsgegevens in een specifieke situatie capaciteit inzet voor het toezicht op de elektronische uitwisseling van medische gegevens, bepaalt het Cbp aan de hand van zijn prioriteringscriteria. 

Een volgende vraag is of papieren dossiers nog zijn toegestaan. Daaronder ligt de veronderstelling dat een digitaal dossier veiliger is dan een papieren dossier. Dit wetsvoorstel heeft betrekking op de elektronische uitwisseling van gegevens, maar niet op de vorm waarin een zorgverlener een dossier moet voorbereiden. Het bijhouden van een dossier is de verantwoordelijkheid van de zorgaanbieder. Ik kan mij voorstellen dat zorgaanbieders op termijn de digitalisering uitbreiden. Het is aan de zorgaanbieders zelf hoe zij gegevens uitwisselen. 

Als wij op hetzelfde moment zeggen dat de patiënt eigenaar is van het patiëntendossier en wij op hetzelfde moment lezen dat de kwaliteit van de patiëntendossiers slecht is — ik refereer nu aan het rapport van de Consumentenbond — dan is het voor de beroepsgroep van het grootste belang om een veldnorm af te spreken waarin wordt gesteld dat papieren dossiers niet langer mogen worden gebruikt. Hoe kan ik als patiënt mijn eigen dossier beoordelen als dat in een onleesbaar handschrift is geschreven? 

De kwaliteit van het dossier is niet afhankelijk van de vraag of het op papier of elektronisch is samengesteld, maar van wat erin staat. Je moet je dossier dus goed bijhouden. Wat erin staat, moet helder en duidelijk zijn en de informatie die erin staat, moet relevant zijn. Dat bepaalt de kwaliteit van een patiëntendossier en niet het feit dat het elektronisch is of niet. Ik kan de veronderstelling niet staven dat elektronische dossiers altijd beter zijn en beter worden bijgehouden dan papieren dossiers. 

Ik heb eerder in het debat gezegd dat de telex en de typemachine tot het verleden behoren. Wij hebben inmiddels computers en iPads en alles gaat door de lucht. Dat is volgens mij ook het onderwerp van dit debat. De minister zegt dat zij de kwaliteit niet kan beoordelen. Is zij het wel met mij eens dat mensen met een geschreven dossier in ieder geval niet kunnen meedoen aan een uitwisselingssysteem van medische gegevens? 

De vorm van de uitwisseling leggen wij niet vast in het wetsvoorstel. Dus als de huisarts bepaalt dat hij alles per telefoon doet, dan moet hij dat zelf weten. Wij hebben dit niet vastgelegd. Overigens denk ik dat dit een kwestie van tijd is. De generatie die nu actief is op universiteiten, werkt elektronisch. Het is dus een kwestie van een tijd en het is de vraag of je dit zo moet afdwingen en deze overgang zo moet forceren. Ik kom hier nog op terug. Wat is een redelijke termijn voor het bijwerken van een dossier? Op grond van de WGBO moet de zorgaanbieder een dossier bijhouden. Daarnaast moet hij goed hulpverlenerschap in acht nemen. Daarbij hoort dat de noodzakelijke gegevens beschikbaar zijn. Bewust is niet gekozen voor een termijn, omdat dit valt onder de professionele verantwoordelijkheid van de zorgaanbieder, die het best in staat is om te bepalen hoe snel gegevens beschikbaar moeten zijn. Daarnaast hangt de adequate termijn af van het type informatie. Bijvoorbeeld een waarnemingsdossier moet snel up-to-date zijn, terwijl een labuitslag een iets langere termijn kan verdragen. Als wij dus één termijn formeel vastleggen, kan die veel te lang zijn voor heel acute zaken, of juist veel te strak voor zaken die wel een langere termijn kunnen verdragen. Ik vind het daarom onwenselijk om één termijn vast te leggen. De ene casus is de andere niet. 

Ik vraag niet om één termijn. Ik vraag om een maximumtermijn. Het patiëntendossier is van de patiënt. Er zijn verregaande consequenties voor de behandelaar op het moment dat de gegevens in het patiëntendossier onjuist zijn. Ik zie de eerste zaak al aankomen waarin een nabestaande stelt dat in het patiëntendossier opgenomen had kunnen worden dat bepaalde medicijnen bijwerkingen kenden, terwijl de behandelend arts zegt dat hij dit nog niet had verwerkt in het medisch dossier. Hoe gaan wij dat in de toekomst hier bespreken? 

Op dit punt lost het amendement niets op. Als je een maximumtermijn stelt, is dat een heel algemene termijn. In sommige gevallen zul je de gegevens in feite per direct moeten invoeren. Als men dit niet doet, maar men zit nog wel binnen de maximumtermijn, heeft men in feite een sterkere positie dan momenteel het geval is. Een maximumtermijn voegt dus niet alleen niets toe, maar wekt ook verwarring, omdat gegevens soms veel sneller moeten worden opgenomen dan via een eventuele maximumtermijn wordt voorgeschreven. 

Ik ben gevoelig voor het laatste punt dat de minister inbrengt. Toch voorzie ik dat zich straks gevallen voordoen waarbij de tuchtrechter zal moeten uitspreken of de door de zorgprofessional gekozen termijn te lang is geweest. Wij hebben nu de mogelijkheid om aan de beroepsgroep het duidelijke signaal af te geven dat er een maximumtermijn is. Ik wil er nog over nadenken of die termijn twee of vier weken moet zijn voor specifieke zaken, maar het lijkt mij wel van belang dat wij dit punt niet zomaar bij de beroepsgroep neerleggen, om er vervolgens via langdurige procedures via het tuchtrecht toch achter te moeten komen dat er een norm moet komen. 

Daar hebben wij dan toch de tuchtrechter voor? Als wij bijvoorbeeld een maximumtermijn van twee weken aanhouden, zullen er altijd zaken zijn die volgens het oordeel van een professional direct moeten worden genoteerd, in ieder geval voor hij naar huis gaat, zodat opvolgers of anderen die belangrijke informatie kunnen zien. Wellicht is het in sommige gevallen handig om een termijn van veertien dagen te hebben, maar in andere gevallen zal dat veel te lang zijn. Ik zie dus niet wat het amendement toevoegt. Sterker nog, ik zie dat het eerder verwarrend zal werken. 

Gevraagd is wat ik vind van de mobiele toegang op verschillende locaties en hoe het zit met de beveiliging. Vooropstaat dat toegang alleen mogelijk is als dat op een veilige manier kan. Als dat mogelijk is, kan ik mij voorstellen dat in bepaalde gevallen mobiele toegang wenselijk is. 

De vraag is gesteld op welke wijze wij de continue toetsing van systemen zullen waarborgen. De zorgaanbieders worden verplicht om te voldoen aan de in de AMvB gestelde eisen. Het College bescherming persoonsgegevens houdt hier toezicht op en zo nodig wordt de AMvB geactualiseerd. Ook is gevraagd naar de rechten van een patiënt bij onbevoegde inzage in het dossier. Een gedupeerde kan aangifte doen van computervredebreuk of schending van de geheimhoudingsplicht. Iemand die zich onrechtmatig toegang verschaft tot de elektronische dossiers, pleegt computervredebreuk, wat strafbaar is op grond van artikel 138ab van het Wetboek van Strafrecht. Na aangifte kan een overtreder worden vervolgd. Het is bedrijfsartsen, verzekeringsartsen en keuringsartsen verboden om zich toegang te verschaffen tot of gegevens te verwerken uit elektronische uitwisselingssystemen, op grond van artikel 15f van het wetsvoorstel. Tuchtrechtelijke maatregelen die kunnen worden opgelegd zijn een waarschuwing, een berisping, een geldboete, gedeeltelijke ontzegging van de bevoegdheid om het beroep uit te oefenen en doorhaling van de inschrijving in het register. 

Is de straf voor hackers hoog genoeg? De strafmaat voor computervredebreuk is geregeld in het Wetboek van Strafrecht. Daarvoor staat een gevangenisstraf van één jaar, of een geldboete van de vierde categorie. Dat is maximaal €20.250. Dit geldt niet alleen in het geval van medische gegevens, maar ook in andere gevallen waarin er sprake is van computervredebreuk. Ik acht dit voldoende. 

Wilt u achteraf de patiënt informeren wie in het dossier heeft gekeken? De cliënt van er via login inzage in krijgen welke zorgaanbieders zijn gegevens hebben geraadpleegd. Het bijhouden van loggegevens is al verplicht op grond van de Wbp. In het wetsvoorstel dat wij vandaag bespreken, is daaraan toegevoegd dat de cliënt die een afschrift vraagt van zijn gegevens, daarin kan zien wie op welk moment bepaalde informatie beschikbaar heeft gesteld en wie op welk moment bepaalde informatie heeft ingezien of opgevraagd. Het recht op inzage in de loggegevens geld voor alle elektronische uitwisselingssystemen. 

"Wie op welk moment welke gegevens beschikbaar heeft gesteld", dat is wat je kunt zien. In principe is dat iets wat bekend is bij de patiënt. Volgens mij hebben wij dat zojuist uitgebreid bediscussieerd. De patiënt zit tegenover de huisarts of welke zorgverlener dan ook. Die vraagt: mag ik deze gegevens delen met derden, ja of nee? Op het moment dat je nee zegt, komen die gegevens dus niet voor op dit overzicht. Heb ik dat nu helder? 

Het kan zijn dat iemand gegevens over jou beschikbaar heeft gesteld, terwijl je daar helemaal geen toestemming voor hebt gegeven. Dan is het handig als je dat kunt zien, want dan heeft iemand de wet overtreden, wat wij hier met elkaar vastleggen. Dan kun je daar sancties op toepassen. Het is dus toch goed om te bezien wat er precies gebeurt. Je kunt dat nagaan. 

In principe zou het dus niet mogen gebeuren dat mensen gegevens over jou inzichtelijk maken voor derden, als je geen toestemming hebt gegeven. 

Dat klopt, volgens dit wetsvoorstel mag dat niet. 

Op het afschrift kun je eventueel zien: wel toestemming/geen toestemming. Wordt het op die manier dan ook duidelijk op het afschrift, of is dat niet duidelijk? Ik zou mij zomaar kunnen voorstellen dat je van iets van heel lang geleden niet precies meer weet of je nu wel of geen toestemming heb gegeven. 

Nee, maar dan kun je wel zien wie degene was die toestemming heeft gegeven. Dan kun je zeggen: "oh, mijnheer Pieterse? Die ken ik, dat is mijn huisarts." Het ook zijn dat er "mijnheer Jansen" staat en dat je denkt: die ken ik helemaal niet, hoe kan dit? Er zit dus een check op het systeem. Het is niet een systeem waarbij wij elkaar op onze blauwe ogen moeten geloven. 

Moet niet geregeld worden dat een ggz-patiënt, als hij niet in staat is om toestemming te geven om zijn gegevens te raadplegen, er achteraf inzicht in krijgt dat zijn gegevens zijn geraadpleegd? Dit wetsvoorstel regelt samen met de Wet bescherming persoonsgegeven de logging. Raadplegingen zijn daarom altijd kenbaar. In het wetsvoorstel over verplichte ggz stellen wij voor dat in het dossier van de betrokkene door de zorgverantwoordelijke aantekening moet worden gehouden van de verstrekking van gegevens zonder toestemming van de betrokkene. Dat geldt zowel op papier als elektronisch. Dat wetsvoorstel moeten wij overigens nog behandelen, dus dit zou daarbij kunnen terugkomen. 

Wat is de definitie van een behandelaar? De behandelaar, zoals het begrip in het spraakgebruik wordt gebezigd, is doorgaans de zorgverlener. Er is geen wettelijke definitie van het begrip behandelaar, maar wel van de behandelrelatie. Die definitie heb ik u gegeven. 

Mevrouw Bouwmeester wil een vraag stellen, ik neem aan nog op het vorige punt. Ga uw gang. 

De suggestie van de minister om aantekening te houden op het gebied van de ggz lijkt mij heel goed, maar de vraag die ik had gesteld, is: zijn u signalen bekend dat het privacyprotocol van ggz-patiënten niet wordt gerespecteerd, doordat zorgverzekeraars aanbieders toch dwingen om de diagnose openbaar te maken? 

Dit was helemaal geen antwoord op uw vraag, maar op de vraag van de heer Van Veen, die hiernaar heeft gevraagd. Ik ben nog helemaal niet toe aan de beantwoording van uw vragen. U komt als laatste. 

Dan wacht ik netjes mijn beurt af. 

Voor de zekerheid: ik ben nu bij de vragen van GroenLinks. Overigens herhaal ik de antwoorden die ik eerder heb gegeven zo min mogelijk. 

Is het intrekken van toestemming op een later moment altijd mogelijk? Ja, toestemming intrekken is altijd mogelijk. Een cliënt kan de reikwijdte van de toestemming altijd aanpassen of intrekken. Daarnaast zal een nieuwe zorgaanbieder altijd om toestemming moeten vragen om gegevens te mogen raadplegen. Ook op dat moment kan de cliënt zich nog afvragen of hij de met de opt-in gegeven toestemming op dat moment voor die zorgverlener wil laten gelden. 

Ik kom nu op de vragen van mevrouw Bouwmeester. Wie is systeemverantwoordelijk voor de elektronische gegevensuitwisseling en wat wordt vooraf getoetst? De technische en organisatorische eisen die in de AMvB worden gesteld, geven een duidelijk kader. De zorgaanbieder die een elektronisch uitwisselingssysteem gebruikt, moet ervoor zorgen dat het voldoende veilig is op grond van de regels die gesteld worden in de AMvB. Op grond van de Wet bescherming persoonsgegevens is het College bescherming persoonsgegevens de toezichthouder. Het CBP houdt toezicht op het gebruik van persoonsgegevens en op de vertrouwelijkheid en integriteit van de gebruikte systemen. Daarnaast houdt de IGZ op grond van de Kwaliteitswet zorginstellingen toezicht op verantwoorde zorg. De IGZ zal de onderdelen van NEN 7510 die hiervoor relevant zijn, in haar toezicht betrekken. Volgens NEN 7510 moet een risicoanalyse worden opgesteld. Een onderdeel daarvan is het bepalen van relevante dreigingen. Onder deze dreigingen vallen opzettelijke menselijke incidenten, zoals diefstal van gegevens of kwaadaardige programmatuur. Om de risico's te kunnen beoordelen, moet duidelijk zijn wat de kwaliteit is van de bestaande beveiligingsmaatregelen. Om eventuele kwetsbaarheden te kunnen ontdekken, ligt het voor de hand om een hacktest of een penetratietest uit te voeren. De NZa houdt toezicht op de zorgverzekeraars en let erop dat die niet ten onrechte kijken in medische gegevens. 

Vervolgens werd een vraag gesteld over het verzoek om van tevoren onderzoek te doen. Hoe worden patiënten geïnformeerd? Hoe veilig is het systeem? Wat wordt gedaan met de medische gegevens? Volgens mij heb ik deze vragen hiervoor al ruim beantwoord. 

Een volgende vraag is of ik de signalen herken dat verzekeraars de privacyregeling van de NZa niet nakomen. Wie ziet daarop toe? Hoe hoog is de boete? Op grond van een regeling van de NZa hoeft de hoofdgroepdiagnose niet op de ggz-factuur te worden vermeld indien de betreffende ggz-cliënt daartegen uit hoofde van privacyoverwegingen bezwaar heeft. De Nederlandse Zorgautoriteit heeft mij laten weten dat zij enkele signalen heeft ontvangen dat zorgverzekeraars de privacyregeling niet of verkeerd zouden toepassen. De NZa heeft daarop actie ondernomen om de zorgverzekeraars nader te informeren over de regeling en over de toepassing daarvan. In geval van signalen over individuele zorgverzekeraars zal de NZa deze zorgverzekeraars aanspreken op hun handelen en indien nodig gepaste maatregelen treffen. 

Zorgverzekeraars hebben mij laten weten dat zij de privacyverklaring respecteren en dat die niet ter discussie staat. Verzekeraars onderkennen wel dat is gebleken dat niet alle medewerkers van verzekeraars even goed op de hoogte waren van deze regeling. Ik verwacht van zorgverzekeraars dat zij zorgen voor een adequaat kennisniveau van hun medewerkers. Inmiddels hebben zorgverzekeraars de medewerkers voor wie dit relevant is, nogmaals gewezen op het bestaan van de privacyregeling. De NZa ziet toe op de naleving van deze regeling en kan zo nodig een boete opleggen. Zij is zelf bevoegd om de hoogte daarvan te bepalen. 

Hoe wordt precies toezicht gehouden? Hoe zit het met de uitwisseling van gegevens? Komt er een jaarverslag? De inspectie en het CBP hebben in 2006 een samenwerkingsprotocol ondertekend en er vindt op reguliere basis overleg plaats. Ook de toekomstige handhaving van dit wetsvoorstel heeft daarbij de aandacht. De NZa krijgt in deze wet een heel eigen rol, namelijk toezicht op de naleving door zorgverzekeraars. Ik vind het belangrijk dat de verschillende toezichthouders met het oog op ieders taak ten opzichte van elkaar een signalerende rol vervullen. De IGZ heeft inspecteurs met de expertise om het toezicht op informatiebeveiliging in de zorg vorm te geven. Zij worden ingezet op de thema's waar de grootste risico's worden verwacht. Het CBP heeft de afgelopen jaren meerdere onderzoeken gedaan naar de verwerking van medische gegevens. Het meest recent is het onderzoeksrapport uit 2013 "Toegang tot digitale patiëntendossiers binnen zorginstellingen". In 2011 constateerde de IGZ in de Staat van de Gezondheidszorg 2011 dat er veel mis was bij informatie-uitwisseling en dat heldere veldnormen ontbraken. De IGZ heeft dan ook het veld opgeroepen om te komen met standaarden voor terminologie, een kernset van gegevens met de gezondheidstoestand van de patiënt en technische standaarden voor informatie-uitwisseling. Het veld heeft daaraan gehoor gegeven. 

Dit is een natuurlijk moment om nogmaals een vraag van mij te stellen die de minister niet heeft beantwoord. Overigens heeft is de rest van mijn vragen wel beantwoord. Die vraag is of het niet verstandig zou zijn om een nulmeting te houden, om zo inzicht te krijgen in de vraag welke systemen nog niet voldoen aan de eisen die in deze wet gesteld zijn. 

Je zou kunnen zeggen dat de Staat van de Gezondheidszorg van de inspectie een heel goede meting van is de stand van destijds, 2011. Ik zou ook kunnen kijken of de inspectie voornemens is om die meting te herhalen. Daar kom ik dan in tweede termijn op terug. 

Dat lijkt mij goed. De minister zei eerder in het debat dat ze het wetsvoorstel pas in werking laat treden als alle elektronische uitwisselingssystemen eraan zijn aangepast. 

Het onderdeel van het wetsvoorstel. 

Oké, het onderdeel van het wetsvoorstel. We moeten daar dan wel zicht op hebben en het tijdspad ernaartoe kennen. Mijn vraag betreft daarom niet alleen de inventarisatie, maar ook het tijdspad. Dat zou de Kamer, en ik denk ook wel de minister, helpen bij een goede invoering van dit wetsvoorstel. Dank u wel voor uw geduld, voorzitter. 

Ik kom daarop terug. Ik herinner mij deze vraag uit de eerste termijn, maar op de een of andere manier is die er een beetje tussendoor gevallen. 

Hoe verhoudt zich de verplichting om gegevens te verstrekken aan verzekeraars tot het medisch beroepsgeheim? De regelingen van VWS en de NZa over de aan zorgverzekeraars te verstrekken medische persoonsgegevens op de factuur, moeten voldoen aan de eisen van proportionaliteit en subsidiariteit. Onder die voorwaarde is het verplichtstellen van het verstrekken van medische persoonsgegevens toegestaan. De zorgverzekeraars moeten op grond van de Wet bescherming persoonsgegevens de passende organisatorische maatregelen nemen om de persoonsgegevens van de patiënt tegen verlies of enige vorm van onrechtmatige verwerking te beschermen. Hiertoe behoort ook het waarborgen dat de persoonsgegevens niet toegankelijk zijn voor personen die onbevoegd zijn om ervan kennis te nemen. Alle persoonsgegevens betreffende iemands gezondheid verkregen in het kader van de uitvoering van de zorgverzekering of de Zorgverzekeringswet zelf, afkomstig van een zorgaanbieder, vallen onder de geheimhoudingsplicht vernoemd in artikel 87 van de Zorgverzekeringswet en artikel 68a van de Wet marktordening gezondheidszorg. Zorgverzekeraars verwerken de declaratiegegevens conform de Uniforme maatregel privacy-afhandeling declaraties van Zorgverzekeraars Nederland. 

Wat gebeurt er als de dossiers niet op orde zijn? De Consumentenbond heeft een belangrijk onderzoek gedaan dat op dit punt niet geruststelt. Het is natuurlijk van belang dat de dossiers op orde zijn, zodat zorgverleners gegevens up-to-date hebben en die al dan niet elektronisch met elkaar kunnen uitwisselen. Zoals ik heb aangegeven in mijn reactie aan de Kamer op het artikel over het onderzoek van de Consumentenbond, zal ik de huisartsenorganisaties vragen om aan te geven welke acties zij gaan ondernemen om te komen tot verdere verbetering. Ook heb ik al toegezegd dat ik de Kamer de resultaten zal toesturen van een onderzoek dat de IGZ op dit moment uitvoert naar de overdracht van gegevens van ziekenhuizen naar andere zorgaanbieders. 

Dan kom ik te spreken over de stand van de open data. In september 2013 heb ik de Kamer voor de eerste keer meegenomen in de wijze waarop ik binnen het zorgdomein invulling zal gaan geven aan het verzoek van de leden Pia Dijkstra en Voortman, met als uiteindelijk doel om meer niet-persoonsgebonden zorggegevens als open data openbaar beschikbaar te stellen. De afgelopen periode heb ik nieuwe datasets openbaar gemaakt alsook een scala aan acties in gang gezet om meer data openbaar te maken. Als onderdeel hiervan worden op dit moment nog door mijn eigen agentschappen en zbo's concrete voorstellen uitgewerkt om de komende periode nieuwe datasets te ontsluiten. Tegelijkertijd zal er deze zomer een eerste start gemaakt worden met een zorgbreed overleg, het informatieberaad, met als doel om als overheid en zorgsector samen stap voor stap aan meer samenhang in de zorgbrede informatievoorziening te werken. Hierin wil ik de open data ook als onderwerp agenderen. Voor de zomer kom ik, zoals toegezegd, met een brief betreffende de stand van zaken. 

Wat kan de patiënt doen als de zorgverlener hem geen inzage in zijn dossier geeft? De patiënt heeft een aantal mogelijkheden als de arts hem geen inzage geeft in zijn medisch dossier. Allereerst is het zinvol dat de patiënt hierover met de arts in gesprek gaat. Patiënten kunnen daarnaast bijvoorbeeld telefonisch contact opnemen met de zorglijn van de Nederlandse Patiënten Consumenten Federatie. Ook kunnen burgers met vragen en klachten over de zorg vanaf 1 juli a.s. terecht bij het Landelijk Meldpunt Zorg. Op grond van de Wet klachtrecht cliënten zorgsector kan een patiënt een klacht bij het bestuur indienen over het feit dat de betrokken arts weigert inzage te geven of een kopie te verstrekken. Ook kunnen patiënten zich tot de civiele rechter wenden met een vordering tot inzage. Als het wetsvoorstel Wet kwaliteit klachten en geschillen zorg van kracht wordt, kunnen patiënten een dergelijk geschil ook aan de geschillencommissie voorleggen. 

Voorzitter. Ik zou nu graag de amendementen langslopen. Ik zag nog wat amendementen komen. 

Er is nog een aantal amendementen binnengekomen in het debat. De meeste hebben te maken met de ondertekening. Ik houd het in de gaten. U kunt de rest altijd nog in de tweede termijn bespreken. Stuk nr. 12 bijvoorbeeld is 20 geworden. Voor zover ik heb gezien, heeft het alleen maar met de ondertekening te maken. U kunt het amendement op stuk nr. 12 gewoon appreciëren als ware het 20. 

Dan begin ik met het amendement op stuk nr. 20. Dit amendement ziet erop toe dat ik binnen drie jaar na inwerkingtreding van deze wet aan de Staten-Generaal een verslag doe toekomen over de doeltreffendheid en de effecten van deze wet in de praktijk. Ik wil het amendement overnemen. 

Het amendement-Pia Dijkstra/Bruins Slot (stuk nr. 20) is overgenomen. 

Ik kwam net al heel eventjes te spreken over het amendement op stuk nr. 13 van mevrouw Bruins Slot. Mijn oordeel daarover is dat het huidige wetsvoorstel dit op zich ook regelt. Op deze manier wordt het nog iets specifieker benoemd en in de wet vastgelegd, dus ik laat het oordeel over dit amendement aan de Kamer. 

Ik dank de minister voor dit oordeel. Het klopt. Ik las het steeds zijdelings tussendoor in de memorie van toelichting, als ik doorvroeg. Ik hecht er echter aan dat heel duidelijk, klip-en-klaar in de wettekst staat dat er op zo'n wijze mee moet worden omgegaan. Ik heb 15c zonet nog eens gespeld. Ik breng het amendement graag in stemming, omdat het meer helderheid op dit voor ons aangelegen punt geeft. 

Amendement 13 oordeel Kamer. Gaat u verder, minister. 

Overigens voor de Handelingen: het is het amendement op stuk nr. 18 geworden, omdat mevrouw Dijkstra ook haar handtekening eronder heeft gezet. 

Nee, dat is een ander amendement, op stuk nr. 15. 

O ja. Voorzitter, wat moeten we zonder u? 

Ja, daar mag u zelf over nadenken. Ik geef het woord aan de minister. 

Ik ga door naar het amendement op stuk nr. 14 van het lid Leijten. Dit amendement ontneemt de patiënt de mogelijkheid voor bredere toestemming. Ik wil die keuze aan de patiënt laten en ontraad het amendement. 

Amendement 14 ontraden. 

Het is ingewikkeld, technisch. Er is ook een redenering dat die algemene toestemming in strijd zou zijn met het Europees Verdrag voor de Rechten van de Mens, de Wet bescherming persoonsgegevens en de Wet op de geneeskundige behandelingsovereenkomst. Ik zou een bespiegeling van de minister willen dat het niet met elkaar in overeenstemming is. Dit bericht heeft mij namelijk niet via één kanaal bereikt, maar bijvoorbeeld ook via een actie die is gestart door mensen die ICT-technisch veel weten. Zij hebben er zelfs een website over gestart, specifieketoestemming.nl. Daar staan veel argumenten op ... 

Eigenlijk wilt u een wat bredere reactie op deze drie punten. Wij zouden aan de minister kunnen vragen of zij dat schriftelijk wil doen, want dit is heel technisch en heel ingewikkeld. 

Ik zou dat best willen doen, maar het heeft wel iets te maken met het misverstand dat zomaar in één keer alle gegevens kunnen worden ingezien. Je moet aangeven dat je je gegevens beschikbaar stelt en bij iedere nieuwe behandelrelatie word je die toestemming weer gevraagd. In de spraakverwarring leek het allemaal op straat te liggen, terwijl wij hier iets heel anders bedoelden en het ook allemaal is vastgelegd. Dat is het verschil. Ik zal de Kamer echter niet ophouden en daar nog even schriftelijk op terugkomen. 

We hebben veel interrupties aan dit onderwerp gewijd en het lijkt me heel prettig als we die informatie nog eens schriftelijk kunnen krijgen. Dan kunnen we dat ook afstemmen met de mensen, die hier heel veel tijd en energie in hebben gestoken om juist tegen de algemene toestemming te ageren. Als dat echter op een misverstand berust, is het goed dat het uit de weg geruimd wordt. 

Gaat u verder met het amendement op stuk nr. 15, dat nummer 18 heeft gekregen. Dat heeft ook alleen met de ondertekening te maken. 

Ook wat betreft het amendement op stuk nr. 18 ben ik van oordeel dat het huidige wetsvoorstel al in het gevraagde voorziet, maar ik laat het aan het oordeel van de Kamer om dit op deze wijze vast te leggen. 

Het amendement op stuk nr. 18 is aan het oordeel van de Kamer. 

In het amendement op stuk nr. 16 stelt mevrouw Leijten voor de organisatorische eisen bij wet vast te leggen niet bij Algemene Maatregel van Bestuur te regelen. Ik wil dat echt ontraden, want we zien hoe snel de ontwikkelingen zijn. We moeten de noodzakelijke flexibiliteit houden, omdat de techniek zo snel gaat. Ik vind het daarom onverstandig om dit in de wet vast te leggen. 

Als het op zo'n manier wordt vastgelegd dat het in ieder geval gekend wordt door zowel dit huis als bijvoorbeeld dat aan de overkant, heeft dat het voordeel dat erover gediscussieerd kan worden en dat het getoetst kan worden aan andere wetgeving, waar dit op ingaat. Deze Algemene Maatregel van Bestuur behandelen we bij deze wet, maar heeft betrekking op een andere wet, de Wet bescherming persoonsgegevens, waar zij wordt "ingefietst". Over de door de minister voorgestelde invulling per Algemene Maatregel van Bestuur zijn er discussiepunten. De vraag rijst of dit niet indruist tegen andere wetgeving. Als er discussie over is, mag het naar mijn mening het parlement niet passeren zonder dat wij het gezien hebben. Als ik er nu zo'n voorhangprocedure van maak dat niet alleen wij ernaar kijken maar ook de Eerste Kamer, kan de minister daar dan wel mee leven? 

Dat laat ik aan het oordeel van de Kamer over. Ik heb al eerder aangegeven dat in dat geval in deze wet een voorhang geregeld moet worden. Ik laat het aan het oordeel van de Kamer of zij zelf wenst mee te kijken. Mijn juristen hebben precies aangegeven hoe dat zou kunnen. Ik zie echter dat er al iets ligt. 

Ik begrijp net dat er een verzoek van het CDA wordt ingediend. Het gaat er mij om dat het niet passeert zonder dat wij het hebben gezien en dat we, als allerlei zaken al zijn ingevoerd, geen discussie achteraf krijgen. Als dat kan worden opgelost met een voorhang in het amendement van het CDA is dat prima. Dan trek ik mijn amendement in. 

Bij Bureau Wetgeving heb ik inderdaad dat verzoek gedaan, maar mevrouw Leijten is natuurlijk meer dan welkom om medeondertekenaar van het amendement te zijn. 

Het amendement-Leijten (stuk nr. 16) is ingetrokken. 

Maar ik wil het graag nog even zien. 

Natuurlijk! Ik neem aan dat het nu een open uitnodiging is tot overleg tussen het ministerie en Bureau Wetgeving. Als het amendement voor de stemming wordt ingediend, kunnen wij er gewoon over stemmen. 

Het amendement op stuk nr. 17 heeft betrekking op de bijwerking van het dossier. Volgens mij hebben we daar al een uitwisseling over gehad. Ik wil dit amendement ontraden, omdat de termijn die wenselijk is erg afhankelijk is van het type gegevens, van de situatie en van de casus. Ik geef er de voorkeur aan, dit over te laten aan professionele standaarden waarmee dit veel preciezer kan worden geregeld. Ik denk bovendien niet dat dit helderheid verschaft. 

Mijnheer Van Veen, ik kan mij het interruptiedebat nog herinneren. 

Dit is de laatste vraag die ik hierover aan de minister wil stellen. Wij hebben geconstateerd dat er kwalitatieve problemen zijn met de patiëntendossiers. Ik zou heel graag van de minister willen weten hoe ik het amendement zou kunnen aanpassen, zodat het wel recht doet aan de wens van de Kamer om kwalitatief goede patiëntendossiers uit te wisselen. 

De Consumentenbond heeft onderzoek gedaan naar de huisartsendossiers en ik moet zeggen dat het NHG belangrijk werk heeft verricht voor de ontwikkeling daarvan en er veel energie in heeft gestopt. Het moet echter wel worden gedaan. Er zijn allerlei heel belangrijke criteria waaraan het patiëntendossier moet voldoen, maar als huisarts moet je deze dan wel toepassen. Een huisartsendossier is iets anders dan een cardiologendossier of een apothekersdossier. Ik vind het lastig om ze allemaal over een kam te scheren en er een termijn aan te plakken. Ik vind het prettig dat de sector zelf aangeeft welke criteria belangrijk voor het dossier zijn in deze tijd. Ik vind het geen goed idee dit in zijn algemeenheid in de wet op te nemen. 

Mijnheer Van Veen, uw laatste vraag. 

Dit is geen vraag, voorzitter. Ik heb gehoord wat de minister heeft gezegd en trek het amendement in, ook omdat ik wel gevoelig ben voor de veldnorm. 

Het amendement-Van Veen (stuk nr. 17) is ingetrokken. 

Gaat u verder, minister, met het amendement op stuk nr. 19. 

Die heb ik niet. Ik ga tot amendement op stuk nr. 18, maar die heb ik al een keer gehad. 

Amendement op stuk nr. 19 is van mevrouw Bruins Slot en ik stel voor dat wij die meenemen in tweede termijn. Hij is rondgedeeld, maar de minister heeft het nog niet kunnen beoordelen. 

Toen stond ik waarschijnlijk te praten. 

Ja, dat denk ik ook. 

Er is een hoop gewisseld vandaag. Ik heb nog één vraag liggen. Wellicht heeft de minister de vraag wel beantwoord, maar heb ik het antwoord niet goed opgeslagen. 

Bij het uitwisselen van medische gegevens is de desbetreffende zorgverlener verantwoordelijk voor de uitwisseling volgens de Wet op de geneeskundige behandelingsovereenkomst. Als zij kiest voor een systeem waarvoor zij niet kan instaan, wie is er dan uiteindelijk verantwoordelijk? Heeft de minister antwoord gegeven op deze vraag? 

De arts is verantwoordelijk, ook voor de kwaliteit van het systeem dat hij kiest. Als hij vindt dat een systeem niet voldoet aan de kwaliteit die van hem wordt gevraagd, moet hij niet op dat systeem inhaken. 

Dank u wel. Hiermee is een einde gekomen aan de beantwoording van de zijde van de regering in eerste termijn. 

Ik stel voor dat wij meteen doorgaan met de tweede termijn van de Kamer. Het woord is aan mevrouw Leijten. 

Hieraan zou ik een vraag willen toevoegen. Misschien moet ik die in de motie opnemen, maar ik kan die beter eerst stellen. Mag een zorgverlener worden uitgesloten van contractering door een zorgverzekeraar, enkel en alleen om het feit dat deze niet voldoende dekking heeft in het landelijk schakelpunt? Vindt de minister dat zulks mag? Het raakt aan de discussie over artikel 13. Ik vermoed dat wij die nog op een ander moment gaan voeren. 

Wanneer je toestemming geeft tot inzage in je medische gegevens, kan de ene zorgverlener in de computer van de andere zorgverlener kijken naar medicatie en andere zaken die mogelijk van belang kunnen zijn. Dan moet je toch nog per keer toestemming geven welke gegevens dan zichtbaar worden, zo begrijp ik de minister over het verschil tussen algemene en specifieke toestemming als het gaat om het landelijk schakelpunt. Dat is immers het referentiepunt waarover wij steeds spreken. Wij kennen dat systeem. De discussie wordt maatschappelijk door zorgverleners gevoerd over dat systeem. Stel nu dat iemand niet in het landelijk schakelpunt wil zitten, maar dat diegene te maken heeft met de situatie dat de huisarts of verloskundige haar doorverwijst naar het ziekenhuis. Die vraagt dan of hij het dossier mag doorsturen naar het ziekenhuis. Dan mag dat toch? Dan is dat toch bilateraal goed te regelen? Daar heb je toch geen opname of toestemming voor het landelijk schakelpunt voor nodig? Dat antwoord heb ik volgens mij gehad. 

Als dit naast elkaar kan bestaan, is het de vraag of die uitwisseling tussen huisarts en ziekenhuis of tussen de verloskundige praktijk en de gynaecoloog in het ziekenhuis op een optimale manier is beveiligd met dit wetsvoorstel. Ik kan mij voorstellen dat heel veel mensen kiezen voor die bilaterale uitwisseling, omdat het niet nodig is dat veel meer patiëntengegevens worden ingezien. Is dat dan beveiligd? Is dat met dit wetsvoorstel gedekt? Daarover heb ik wel een vraag. Die betreft de end-to-end oplossing. Het is allemaal heel technisch, maar het betekent dat het mailtje of de gegevens zo door de verzender worden versleuteld dat alleen de ontvanger ze kan openen en dat ze in de tussentijd niet kunnen worden ingezien of gewijzigd. Ik zou graag willen dat de minister deze mogelijkheid van gegevensuitwisseling ook opneemt, al dan niet via een AMvB, maar in ieder geval onder dit wetsvoorstel. Dit is volgens mij een totaal andere manier van gegevensuitwisseling, waarbij je die hele discussie over een landelijk schakelpunt niet meer hebt. Daarom dien ik de volgende motie in. 

Je kunt inzien wie jouw gegevens heeft ingezien, want mensen moeten inloggen op het systeem voor ze kunnen kijken bij mevrouw X of meneer Y. Dat kunnen inloggen is weer zo specifiek voor het landelijk schakelpunt, dat veel mensen die dit dossier en de discussie bekijken niet voor niets zeggen: wat hier gebeurt is het faciliteren, het legitimeren, het invoeren van het landelijk schakelpunt als overheersend informatie-uitwisselingssysteem. De minister betoogt dat zij dit niet zal doen. Dan moet zo'n beveiliging van zo'n end-to-end oplossing ook mogelijk zijn. Dat je dan moet regelen dat die inzichtelijk wordt, ben ik met de minister eens. Dat is een randvoorwaarde waar ik ook voor ben. Waarover ik, en niet alleen ik, me zorgen maak is het feit dat wat nu in het wetsvoorstel wordt vastgesteld, een legitimatie is van het LSP. 

Dat doet ook het hele zorgveld. De VZVZ, de organisatie die nu het oude epd onder haar hoede heeft, heeft een businessplan gemaakt. Dat hebben wij overigens al eerder in de Kamer besproken. In dat businessplan is zo'n beetje het eerste punt dat het landelijk schakelpunt als centrale voorziening wordt gebruikt voor gegevensuitwisseling. Dan kun je je wel afvragen of er nog andere systemen zijn. Ja, die zijn er op dit moment, maar het is natuurlijk de vraag of die er in de toekomst zullen blijven, omdat dit een soort afgedwongen heersend of overheersend systeem is. Ik wil toch dat de minister daarop ingaat, want de VZVZ heeft nu die website ikgeeftoestemming.nl. Maar de VZVZ heeft ook gezegd dat er een zorgmandaat mag komen waarmee niet-praktijkartsen, assistenten en andere medewerkers van een huisartsenpraktijk wel in dat schakelpunt kunnen komen. Dat gebeurt weliswaar gemandateerd door de huisarts, maar het zijn wel extra ogen. Een van argumenten van de Eerste Kamer was juist: hoe meer mensen erin kunnen, hoe onveiliger het wordt. Hoe meer ogen je toevoegt, hoe meer mensen de gegevens kunnen zien. Ik zie dus nog steeds een groot bezwaar in het wetsvoorstel dat wij nu behandelen. Niet zozeer door de bedoeling van de minister als wel door de praktijk die wij zien. De praktijk is het landelijk schakelpunt en daardoor zal het wetsvoorstel dat ook bevatten. 

Ik kijk even in mijn aantekeningen of ik alles heb behandeld, want er is een hoop gezegd en een hoop gevraagd. Ik geloof dat ik alles zo'n beetje heb gehad. Ik laat mijn advies aan mijn fractie afhangen van de beantwoording door de minister en zeker ook van haar schriftelijke reactie op mijn amendement waarin ik de generieke toestemming uit het wetsvoorstel haal. Ik deed dat omdat die andere wetgeving mogelijk doorkruist en mogelijk zelfs in strijd is met het Europees Verdrag voor de Rechten van de Mens. Eén ding is duidelijk: de SP-fractie wil geen voortgang van het epd en van het LSP als overheersend mechanisme. Wij hebben altijd gezegd dat het van onderop moet komen. De uitwisseling moet plaatsvinden door zorgverleners die hun eigen systeem kiezen. Dat moet niet worden opgelegd door wie dan ook. Zolang dat wel gebeurt, zullen wij daartegen stemmen. 

Ik heb een verhelderende vraag over het laatstgenoemde punt van mevrouw Leijten. Het CDA en de SP hebben bijna hetzelfde amendement ingediend. Het enige verschil tussen beide amendementen is dat in het amendement van het CDA de categorieën van zorgaanbieders zijn opgenomen. Dat is het enige verschil met het amendement van mevrouw Leijten; die categorieën heeft zij eruit gehaald. Kan mevrouw Leijten helder toelichten waarom zij de categorieën van zorgaanbieders eruit heeft gehaald? 

Wij hebben een systeem dat mogelijk maakt dat zorgverleners bij andere zorgverleners kijken naar gegevens. Voor dat systeem geef je toestemming. Dat haal ik eruit. Ik vind het goed dat je altijd toestemming moet geven voor de bilaterale uitwisseling. Die toestemming moet altijd gevraagd worden en de uitwisseling moet op een veilige manier gebeuren. Pas als dat zou leiden tot de noodzaak van een groter systeem, komt de vraag aan de orde of je algemene toestemming moet geven. Het verschil is dus eigenlijk dat ik vind dat er altijd specifieke toestemming voor de specifieke zorgsituatie moet worden gegeven. Ik zie de generieke toestemming als een toestemming voor het systeem. Van dat systeem zegt de minister dat dat niet het LSP is, maar dat dat ook allerlei andere dingen mogen zijn. Daarvan zeg ik: laten we even een stap terug doen en laten we daar even geen toestemming voor geven zolang die LSP-trein zo doordendert. 

Ik wil hier specifiek bij opmerken dat het niet mijn bedoeling is dat de minister top-down een tijdspad oplegt. Het is inderdaad heel verstandig om met de partijen in de zorg te overleggen wat in dat verband mogelijk is, zodat wij geen onmogelijke eisen stellen. 

Een tweede punt is dat er nu een gedragscode ligt van de zorgpartijen over de wijze waarop zij deze wet gaan uitvoeren. Dat is eigenlijk een heel belangrijk instrument. De wet geeft een theoretisch kader, maar die gedragscode gaat over de wijze waarop men daar in de praktijk mee omgaat. Hoe gaat men zorgvuldig om met de eisen die in de wet staan? Eigenlijk is het goed gebruik dat dit soort gedragscodes aan het College bescherming persoonsgegevens worden voorgelegd. Gezien de discussie in de Eerste en de Tweede Kamer over de vorige wet, vind ik het heel verstandig dat de zorgpartijen dat zouden gaan doen. Mijn verzoek aan de minister is of zij in een bestuurlijk overleg toch nog eens een stevig appel kan doen op de partijen, zodat zij dit ook zullen doen. Ik dien daartoe ook een motie in. 

Mijn laatste vraag gaat over het amendement. Daarin doe ik het verzoek, net zoals mijn collega Pieter Omtzigt, dat alle zorgverzekerden hun verzekering mogen opzeggen, als een zorgverzekeraar voor de tweede keer in vijf jaar niet de rechten van de patiënt respecteert en inbreekt in een elektronisch uitwisselingssysteem. De vorige minister van Volksgezondheid, Welzijn en Sport heeft in 2009 gezegd dat dit kan. Hij zei letterlijk dat het opzegrecht is te rechtvaardigen vanuit het algemeen belang. De minister heeft zonet in een interruptiedebatje gezegd dat haar wetgevingsjuristen er inmiddels anders over denken. Dit kan dus niet meer. Ik heb zelf een achtergrond als jurist. Kan de minister nog eens zorgvuldig beargumenteren om welke redenen haar oordeel veranderd is? Welke juridische argumenten zorgen ervoor dat de eindconclusie is dat het niet langer kan. Een reden om dit te vragen, is dat uit de uitleg van de minister bleek dat het ontzettend lang duurt voordat een juridische uitspraak van de rechter rechtens onaantastbaar is; dus voordat alle andere verzekerden hun verzekering kunnen opzeggen. Daarom is dit amendement ooit in de wet, in de vorige wet, terechtgekomen. Daarom roep ik de minister nogmaals op om nog eens goed, feitelijk juridisch uit te leggen waarom haar oordeel nu anders is. 

Verder heb ik in een interruptiedebatje al aangegeven dat er nog een amendement komt waarin de AMvB een voorhangprocedure krijgt. 

Ik wil afsluiten met de woorden dat deze wet betere waarborgen biedt voor de rechten van de patiënt en elektronische uitwisseling. Dat is een stap vooruit. Daarbij is vooral de specifieke toestemming een belangrijke eis van het CDA. 

Dan geef ik het woord aan de heer Van Veen. Pardon! Voordat ik het woord geef aan de heer Van Veen, geef ik het woord aan mevrouw Dijkstra. 

Dan geef ik nu alsnog het woord aan de heer Van Veen. 

Voordat u deze motie gaat voorlezen, geef ik het woord aan mevrouw Leijten, die een vraag aan u heeft. 

Ik hoorde de heer Van Veen van de VVD zeggen dat anderhalf miljoen mensen zich hebben aangesloten en dat anderhalf miljoen mensen zich hierin hebben verdiept. Maar zou het ook zo kunnen zijn dat veel meer mensen zich hebben verdiept, maar dat dat heeft geresulteerd in het niet zetten van de handtekening? 

Dat zou goed kunnen. Dit maakt ook deel uit van deze wet, waarin wordt uitgegaan van een vrijwillige keuze om deel te nemen. Dat zou dus zomaar kunnen. 

ik ben blij dat de VVD het ook als optie ziet dat mensen die niet getekend hebben, zich wel degelijk ook vergewist hebben waarover het gaat. 

Ik heb nog een vraag die hierop aansluit. In eerste termijn zei de VVD-woordvoerder dat iedere arts die niet meedoet aan het landelijk schakelpunt, zich zou moeten schamen. Niet meedoen zou onmogelijk moeten worden gemaakt. De minister zegt echter dat deelname niet verplicht is. Vindt de VVD nog steeds dat huisartsen en apothekers die zeggen dat zij niet meedoen aan dit systeem, handelen in het nadeel van hun patiënten? 

Mevrouw Leijten heeft altijd de neiging om dingen iets anders te horen dan ik ze heb gezegd. Ik heb gezegd dat het onwenselijk is dat huisartsen patiënten de kans ontnemen om deel te nemen aan een uitwisselprogramma. Ik vind dat de minister op een voortreffelijke manier daarop heeft gereageerd. Zij heeft namelijk gezegd dat zij ervan uitgaat dat de beroepsgroep zelf met een norm zal komen en dat die norm weleens zou kunnen zijn dat de totale beroepsgroep van mening is dat patiënten niet kunnen worden uitgesloten van de vrijwillige keuze om deel te nemen aan een schakelpunt. Ik heb het landelijk schakelpunt niet genoemd; het gaat over het uitwisselen van patiëntgegevens. Volgens mij is dat wat deze wet beoogt en wat deze wet ook gaat regelen. 

Dit is in ieder geval al een nuancering van de bijdrage in eerste termijn, want daarin zei de heer Van Veen wel degelijk dat er op dit moment huisartsen zijn die niet willen meedoen aan wat er nu is. Dat is het landelijk schakelpunt, het oude epd. Wij weten heel goed om welke huisartsen dat gaat, dat zijn namelijk de huisartsen van de Vereniging Praktijkhoudende Huisartsen. Zij zijn ook bezig met een procedure; zij doen het bewust; zij hebben daar hun argumenten voor. Ik dacht te horen bij de VVD dat zij dat veroordeelde als zijnde slecht voor de patiënten. Maar nu hoor ik een nuance. Daar ben ik blij mee. Dat wilde ik constateren, want dit hing nog in de lucht. En … 

Dank u wel. Ik geef het woord aan de heer Van Veen. 

Goed. 

Ik zou graag mijn motie willen voorlezen. 

Ik dank de minister voor de beantwoording van de vragen. Het vertrouwen in de uitwisselingssystemen zal nu moeten gaan groeien, zoals ook internetbankieren en het doen van belastingaangifte via het internet aan vertrouwen hebben gewonnen. De VVD is blij dat er nu een kader ligt waarop we mensen kunnen aanspreken die gebruikmaken van, het beheer hebben over en inzage hebben in medische dossiers. 

Dank u wel. Mevrouw Voortman heeft laten weten dat zij verhinderd is omdat zij in een ander debat aanwezig is. Ik had het woord aan mevrouw Bouwmeester willen geven, maar ik zie dat zij heel even weg is. Dan kan ik mooi de gelegenheid bieden aan mevrouw Leijten. Zij heeft toestemming gekregen van haar collega's voor een nabrander. Zij was één motie vergeten in te dienen. Dat was toch wel heel erg zonde van het debat. Ik geef haar daarom de gelegenheid tot het voorlezen, en dus indienen, van die motie. 

Voorzitter. Ik dien deze motie mede namens collega Voortman in. Zij zou haar zelf hebben ingediend, maar omdat zij helaas niet kan deelnemen aan het debat, doe ik het namens ons beiden. 

Ik vroeg of mevrouw Bouwmeester het wenselijk vond dat er financiële voordelen of nadelen zijn, wanneer je wel of niet meedoet aan het landelijk schakelpunt. Mevrouw Bouwmeester was daar heel duidelijk over: dat vond zij eigenlijk niet kunnen. Nu heb ik hier een inkoopcontract voor farmaceutische zorg voor 2015. Daarin wordt het volgende gesteld: "Om voor de basisovereenkomst in aanmerking te komen, verwachten we dat uw apotheek meewerkt aan het LSP. Daarbij gaan wij ervan uit dat tenminste 15% van de verzekerden uit uw praktijk per 1 januari 2015 in het LSP is opgenomen." Vindt mevrouw Bouwmeester dat dit kan of meent zij dat dit contractueel niet kan worden afgedwongen, net zo min als er geen financiële overwegingen mogen zijn? 

Wij zijn van mening dat financiële afwegingen geen basis mogen zijn, waarop je toestemming geeft. 

Dit gaat over de vraag of je als apotheek wel of geen contract krijgt bij deze verzekeraar als je niet meedoet. Mag dat wel? 

Nogmaals, wij willen dat patiënten goed geïnformeerd worden, zodat zij weten waar zij toestemming voor geven, wat de voordelen zijn en wat de nadelen, dat zij weten dat het systeem veilig is en hun privacy geborgd is. Dat vergt een eerlijk en oprecht gesprek van in dit geval een apotheker met de patiënt over de vraag of hij zal meedoen of niet. Ik kan mij nog indenken dat een apotheker er een vergoeding voor krijgt, omdat hij een handeling moet verrichten. Maar als zorgverzekeraars gaan dwingen en patiënten hoe dan ook moeten meedoen, omdat de apotheker anders geen contract krijgt, wordt hij met de rug tegen de muur gezet. Als hij geen patiënten "binnenhaalt", krijgt hij geen contract. Dat is een oneigenlijke manier, want via een omweg worden op die manier de mensen binnengehaald. Wij zouden liever zien dat patiënten zelf kiezen. Als je een goed systeem hebt en de patiënten informeert, kom je automatisch boven de 15%. Dan is het hartstikke goed en is er niets aan de hand. Ik ken het contract echter niet. Ik ken ook de context niet, maar het klinkt mij wel een beetje vreemd in oren. Dat ben ik met mevrouw Leijten eens. 

Daarmee is er een einde gekomen aan de tweede termijn van de Kamer. De minister heeft aangegeven, een korte schorsing nodig te hebben om zich voor te bereiden op haar reactie op de moties. 

Ik heb een punt van orde op basis van feitelijkheden. Dit is een amendement dat door de heer Omtzigt is ingediend tijdens de behandeling van het vorige wetsvoorstel. Mevrouw Vermeij stond als tweede ondertekenaar vermeld. Het klopt dat in een eerder stadium mevrouw Vermeij daarover een motie heeft ingediend. Dat is geschiedenis. 

In mijn inbreng heb ik heel duidelijk gezegd dat ik verwijs naar de uitspraak van de vorige minister van VWS. In eerste termijn heb ik ook gewezen op het feit dat een aantal actoren zeiden dat het niet-proportioneel was. Ik wil vooral duidelijk aangeven dat ik geprobeerd heb het zorgvuldig te formuleren, voor het geval hierover onduidelijkheden zouden ontstaan. 

Dit is een procedurele opmerking aan het adres van de minister, waarschijnlijk met het verzoek om daarmee in de beantwoording rekening te houden. 

Ja. Mijn kernpunt is dat de conclusie van de toenmalige minister van Volksgezondheid, Welzijn en Sport, de heer Klink, was dat het mogelijk is op basis van het algemeen belang. Wat is er juridisch veranderd dat het nu niet meer kan? Als dit een politieke weging is, hoor ik dit graag, maar de minister verwees naar haar wetgeversjuristen. 

De minister heeft aangegeven dat zij schriftelijk zal reageren. 

Ik kom er schriftelijk op terug. In de Eerste Kamer — ik heb hier een verslag van de Eerste Kamer — is de vorige minister ook niet helder geweest. Hij zegt dat uiteindelijk het Hof het zal moeten beoordelen. Het is een beetje "enerzijds, anderzijds". Ik vrees dat het bij ons ook "enerzijds, anderzijds" is en dat het er misschien ook van afhangt wie van de juristen precies dat stukje voor zich heeft. Ik ga proberen het zo zorgvuldig mogelijk in een brief aan de Kamer te beantwoorden. 

Ik neem aan dat die brief nog voor de stemming hier is, want hij is van belang voor het oordeel van de Kamer over dit amendement. 

Er komt een brief, want ik heb mevrouw Leijten al een brief toegezegd in reactie op haar amendement in relatie tot verschillende andere wetten. Ik ben even niet in het land de komende dagen, dus ik moet bekijken of dit voor dinsdag lukt. 

Wij kunnen er ook voor kiezen de stemming hierover een week later te houden. 

Iedereen kijkt een beetje boos, sorry. 

Alleen de stemming, zodat u de mogelijkheid hebt om de brief te schrijven. 

Ik zou het heel erg op prijs stellen als de Kamer mij de ruimte geeft om niet voor dinsdag de brief gehaast via de BlackBerry op een tribune te moeten schrijven en er even voor te kunnen gaan zitten. 

U moet ook even kunnen genieten van de voetbalwedstrijd. 

Ik vind het prima dat wij een week later stemmen. De Eerste Kamer zal zich toch pas na de zomer over dit wetsvoorstel buigen. Ik ontvang liever een goede brief. Als er ruimte nodig is om het langer te laten duren, kan het ook nog later worden. 

Ik sluit mij hierbij aan. Ik vind zorgvuldigheid op dit punt belangrijk. Ik gun de minister deze extra tijd. 

Wij spreken nu af dat wij in principe op 17 juni gaan stemmen. Mocht er reden toe zijn, dan kan de minister of de Kamer altijd vragen de stemming uit te stellen. Ik stel wel voor dat wij de behandeling vandaag afronden. Gaat u verder. 

In de motie van mevrouw Leijten op stuk nr. 21 wordt de regering verzocht bonus- en kortingsregelingen die verband houden met het LSP, onmogelijk te maken en de Kamer hierover te informeren. Ik heb in het debat vandaag al gezegd dat een zorgverzekeraar wel tegemoetkoming in de kosten mag geven. Wat ik niet wil, is dat mensen dat een korting noemen en dat dat niet meer zou kunnen. Als dat eronder valt, ontraad ik deze motie. Het moet immers mogelijk zijn dat een verzekeraar een tegemoetkoming in de kosten geeft, voor welk systeem dan ook. Dat vind ik heel belangrijk. 

Een bonus of een korting heeft niets te maken met extra werkzaamheden. Als het logisch is dat er extra werkzaamheden zijn en dat er iets tegenover staat, vind ik dat iets anders. Een bonus heeft daar geen relatie mee en een korting of het uitsluiten van contracten ook niet. Dat bedoel ik er dus niet mee. Er is wel eens gezegd dat je voor aansluiting van iedere patiënt €0,59 krijgt. Ik kom de minister tegemoet. Het betalen per aansluiting vind ik iets anders dan een bonus omdat je aangesloten bent. 

Ik ben tegen bonussen en kortingen die nergens op gebaseerd zijn. Ik wil wel de mogelijkheid openhouden om een tegemoetkoming in de kosten te geven. Die mogelijkheid laat mevrouw Leijten als ik het goed begrijp ook open. Dan laat ik het oordeel over de motie aan de Kamer. 

In de motie van mevrouw Leijten op stuk nr. 22 wordt de regering verzocht dit soort uitwisseling, namelijk end-to-end, als standaard te onderzoeken en de Kamer daarover te informeren. Deze motie ontraad ik, omdat zorgaanbieders op basis van een risicoanalyse passende maatregelen moeten nemen. Als zorgaanbieders end-to-end bij de informatie-uitwisseling verstandig achten, kunnen zij dat toepassen. Ik schrijf de techniek namelijk niet voor. Dit kan dus al. Daarom ontraad ik de motie. 

De motie-Klever op stuk nr. 23 gaat over de persoonlijke zorgpas. Daarover hebben wij in het debat gesproken. Die is onveilig: je kunt hem verliezen of de pincode vergeten. Ik ontraad de motie omdat ik die geen toegevoegde waarde vind hebben. 

De motie-Bruins Slot op stuk nr. 24 gaat over een nulmeting over de systemen die moeten worden aangepast aan de eisen van de wet en het tijdpad wanneer die systemen aangepast moeten zijn. Ik ontraad die motie, omdat het ondoenlijk is om in heel Nederland, waar ongelooflijk veel systemen werkzaam zijn, als overheid daar nu een nulmeting over te doen. Ik heb in het debat wel toegezegd dat ik de inspectie ga vragen om het onderzoek dat zij heeft gedaan in de Staat van de gezondheid 2011 te herhalen, zodat er zicht is op de stand van zaken. In de motie staat "de systemen" en het is ondoenlijk om alle systemen die in Nederland draaien te onderzoeken. 

Ik bedoelde natuurlijk de elektronische uitwisselingssystemen. De minister wil zelf het onderdeel over inpassing pas in werking laten treden als zij weet dat alle systemen eraan voldoen. Hoe komt zij daar achter? 

Dat laat ik niet in werking treden als alle systemen eraan voldoen. Op enig moment is het verantwoord. Dan hebben partijen ruim de tijd gehad om zich op de wet voor te bereiden. Dan zal ik dat onderdeel van die specifieke toestemming in werking laten gaan. Ik doe dat in overleg met het veld. Er kunnen dan best nog systemen zijn die er niet aan voldoen. Daarvoor heb ik de inspectie. Die houdt toezicht en zegt: jij voldoet niet aan de eisen, je moet dat binnen een bepaalde termijn wel doen of anders ga je uit de lucht. Ik vind dat wij het anders veel te veel naar ons toe trekken. De Eerste Kamer heeft gezegd dat dat van het veld is en dat ik de randvoorwaarden schep. Het veld moet voldoen aan wat wij in de wet schrijven. Ik geef het veld daar een redelijke termijn voor. 

Helpt het als ik de motie zo aanpas dat "de minister" wordt vervangen door "de inspectie"? Het gaat mij erom dat iemand zicht heeft op wat er in de praktijk moet gebeuren om ervoor te zorgen dat men zich aan de wet houdt. Nu is daar geen goed inzicht in en geen duidelijkheid over, terwijl wij allemaal in de praktijk weten dat het niet op orde is. 

Er is wel duidelijkheid over. De inspectie heeft een onderzoek gedaan en dat stemt ons inderdaad niet vrolijk. Onze conclusie is dus dezelfde. Ik heb toegezegd dat de inspectie haar onderzoek herhaalt, zodat wij van de toezichthouder te horen krijgen wat de stand in het land is. Dat betekent niet dat de inspectie alle systemen onderzoekt. Dat doet ze nooit bij themaonderzoeken. Ze pakt er altijd willekeurig 20 systemen uit — ik zeg maar wat — met allerlei risicoverschillen, die ze dan bekijkt. Ze gaat niet alle systemen bekijken. Er draaien er in Nederland ontzettend veel. Mij wordt aangegeven dat wij geen zicht hebben op alle systemen, dat wij dat onderzoek als overheid al helemaal niet moeten doen, maar dat wij de inspectie haar onderzoek moeten laten herhalen. Als mevrouw Bruins Slot haar motie zo wil aanpassen, zal ik het oordeel aan de Kamer overlaten. Anders moet ik de motie echt ontraden. 

In de motie op stuk nr. 25 van mevrouw Bruins Slot en mevrouw Bouwmeester wordt mij gevraagd er zorg voor te dragen dat zorgpartijen de gedragscode voorleggen aan het College Bescherming Persoonsgegevens. Dat kan ik niet afdwingen. Ik heb daarvoor ook geen instrumenten, dus ik kan er ook geen zorg voor dragen. De stellers van de code gaan er zelf over. Tijdens het debat is mij ook gevraagd — ik weet even niet meer door wie — of ik er bij deze partijen op wil aandringen en nog eens onder hun aandacht wil brengen dat zij die code moeten voorleggen aan het College Bescherming Persoonsgegevens en dat de Tweede Kamer daartoe ook van mening is. Dat wil ik graag doen. Maar deze motie vraagt iets wat ik niet kan leveren, dus ik moet haar ontraden. 

De minister gaat deze zomer in overleg met het veld over allerlei zaken rond het patiëntdossier. Het lijkt mij daarom wel handig dat zij dit verzoek dan meeneemt en bijvoorbeeld na afloop in een verslagje van dit overleg of een brief aan de Kamer meeneemt hoe dit is overlegd en wat het resultaat is. Als het veld weet dat de minister de Kamer informeert over het antwoord, is men misschien sneller geneigd om ja te zeggen. 

Ik doe het even heel precies: ik voer deze zomer geen overleg over het epd, maar wel over de informatievoorziening. Ik weet niet of alle daarbij betrokken partijen daarbij aan tafel zullen zitten, maar ik zal dit in ieder geval bij de betrokkenen onder de aandacht brengen en terug melden welk antwoord ik daarop heb gekregen. Het kan ook niets zijn of dat men het overlegt, dat soort zaken. Zoals de motie er nu ligt, wil ik haar ontraden. 

In de motie-Van Veen op stuk nr. 26 wordt mij gevraagd de mogelijkheid te onderzoeken om het bijhouden van papieren dossiers in relatie tot de wetswijziging onmogelijk te maken. Ik probeer de hele dag uit te leggen dat wij niet het "hoe" maar het "wat" voorschrijven. Hier wordt heel dringend gevraagd om het "hoe". Ik ben er wel toe bereid om eens te onderzoeken, of te laten onderzoeken, hoeveel schriftelijke dossiers er zijn. Maken wij ons druk over een grote of een kleine groep en wat betekent dat voor de informatievoorziening aan de patiënt? Is die moeilijker of niet? Zo'n onderzoek zou ik best willen doen als de Kamer mij daarom vraagt. Als de heer Van Veen de motie zo aanpast, dan ben ik daartoe bereid. De huidige formulering vind ik te strikt. Ik vraag hem de motie aan te passen, zodat ik dat onderzoek kan laten doen. In de huidige vorm ontraad ik haar. 

In de motie-Leijten/Voortman op stuk nr. 27 spreekt de Kamer als haar mening uit dat de VZVZ het contract met CSC met betrekking tot het landelijk schakelpunt zo spoedig mogelijk moet ontbinden. Ik begrijp bij deze motie niet dat al die andere aanbieders, die bijvoorbeeld vestigingen hebben in de Verenigde Staten en dus onder de Patriot Act vallen, zoals Siemens en Philips, maar ook Epic, Mckinson en Microsoft, en die allemaal betrokken zijn bij systemen die werkzaam zijn en draaien in Nederland, gewoon door kunnen gaan. Voor één systeem vraagt de motie om de samenwerking op te zeggen, terwijl de VZVZ zelf actie heeft ondernomen en CSC inmiddels ook heeft aangegeven de Wet Bescherming Persoonsgegevens actief na te leven. Dat bedrijf heeft er dus iets extra's bovenop gedaan. Kortom, ik wil deze motie echt ontraden. Dit zijn privaatrechtelijke overeenkomsten. In deze sector zitten enorm veel Amerikaanse bedrijven die allemaal onder deze wet vallen. Het is heel raar om daar nu één bedrijf uit te pikken. Wat wij moeten doen — daarmee zijn wij druk bezig — is op Europees niveau dat lek dichten. Ik ontraad deze motie dus. 

Ik had het al gezegd, maar toch vroeg mevrouw Leijten er nog naar, althans zo heb ik het opgevat. Ze vroeg: mogen zorgverzekeraars mensen dwingen om aan te sluiten op het LSP of zorgverleners van contractering uitsluiten? Ik herhaal het: noch in de bestaande wet- en regelgeving, noch in het onderhavige voorstel wordt dwingend verwezen naar het LSP. Ik heb de Kamer eerder al heb gemeld, en doe dat nu nogmaals, dat zorgverzekeraars bij het vaststellen van contracten verwijzen naar kwaliteitseisen van de beroepsgroep. Alleen als de beroepsgroep heeft aangegeven dat elektronische gegevensuitwisseling via het LSP of een ander systeem als kwaliteitseis wordt gezien, kunnen de zorgverzekeraars dit als zodanig in hun contracten opnemen. Het is dus de beroepsgroep zelf die beslist of aansluiting op het LSP of een ander systeem als kwaliteitseis voor de beroepsgroep geldt. Ik vind het wel van belang dat zorgverzekeraars ook in hun kwaliteitsbeleid goede elektronische uitwisseling in de zorg stimuleren. Het is immers van belang dat men de elektronische gegevensuitwisseling goed doet. Daarom zeg ik ook: je kunt wel een tegemoetkoming geven in de kosten die aanbieders moeten maken en voor de tijd die zij investeren om dat te doen. We willen namelijk wel positief benaderen dat voor goede systemen wordt gekozen. Uiteindelijk is het aan de patiënt zelf om te bepalen of hij wel of niet wil dat zijn gegevens worden uitgewisseld, al dan niet via een elektronisch uitwisselingssysteem. 

Gevraagd is of het veld technisch klaar is voor het geven van specifieke toestemming. Zoals aangegeven, mogen gegevens alleen worden uitgewisseld met toestemming van de patiënt. De systemen moeten zo zijn ingericht dat ze aan die eis voldoen. Ik zal in overleg treden met het veld over een reële inwerkingtredingstermijn voor wat betreft de specifieke toestemming. Daar hadden we het net over. Ik zal de Kamer hierover berichten. 

Gevraagd is of het LSP werkt met een generieke toestemming, met een specifieke toestemming of met beide. Ik heb het na moeten vragen, want het is geen systeem van ons. Als ik iets over een systeem moet melden, dan vraag ik dat na. De laatste informatie die ik hierover heb gekregen, is dat per categorie wel specifiek toestemming kan worden gegeven maar nog niet per zorgaanbieder individueel. 

Gevraagd is wie toezicht houdt op de hacktest. Het toezicht op de bescherming van persoonsgegevens valt onder de verantwoordelijkheid van het College bescherming persoonsgegevens. Eigenlijk gaat dat toezicht zoals het hele toezicht in de zorg gaat. Je krijgt niet vooraf een vinkje voor: je hebt een hacktest gedaan, nu kun je van start gaan. Je wordt geacht een veilig systeem te hebben. Na aanneming van dit wetsvoorstel is daarbij zelfs gespecificeerd waaraan je moet voldoen. Daar moet je dan ook aan voldoen. Daarop zal het CBP daadwerkelijk toezicht houden. Zo is ongeveer de volgorde. Het is dus echt onmogelijk om te zeggen: wij gaan als toezichthouders vooraf ieder systeem controleren. Er zijn namelijk ik weet niet hoeveel systemen actief, zoals heel kleine, grotere, regionale en lokale systemen. Die werken al heel lang en zullen na inwerkingtreding van deze wet aan deze wet moeten voldoen. Over de specifieke toestemming hebben we in dat kader gezegd dat we ons kunnen voorstellen dat daarvoor nog wel wat tijd nodig is. Van wat er is, moet een deel al. Daar voegen we nog een deel aan toe. Mensen weten al heel lang dat het eraan komt. Zodra het wetsvoorstel is aangenomen, moet iedereen gewoon aan de wet voldoen. Ten aanzien van de specifieke toestemming heb ik gezegd: ik overleg met het veld en later kom ik erop terug om te melden wanneer dat dan in zal gaan. 

Ik heb nog een vraag over hoe dat dan in de praktijk gaat. Laat ik een schets geven. Ik ga naar de dokter in de stad waar ik woon, Utrecht. Dan kom ik erachter dat ze wel met een elektronisch uitwisselingssysteem werken, maar dat ik geen specifieke toestemming kan geven. Aangezien ik de wet beter ken, denk ik bij mezelf: hé, het voldoet op een aantal andere aspecten ook niet. Ik stuur een mail naar de inspectie. Ik zeg: dit klopt niet, het is niet zoals staat in de wet die we in de Kamer hebben besproken. Gaat de inspectie dan gelijk handhavend optreden? Hoe gaat dat straks in zijn werk? 

De inspectie zal dat wel doen ten aanzien van die andere dingen waaraan het systeem niet voldoet. Ten aanzien van de specifieke toestemming ligt het echter anders. Als je die specifieke toestemming per se wilt hebben, dan zie je gewoon nog even af van elektronische uitwisseling totdat die systemen klaar zijn. Je moet namelijk een redelijke termijn geven om zoiets complex voor elkaar te krijgen. 

Dan zegt de arts het volgende terug. Ja, maar dat betekent een behoorlijke ICT-investering. Dat geld hebben we op dit moment niet op de bankrekening staan. Het is dus onmogelijk om het aan te passen. Als het wel kan, zijn we tienduizenden euro's verder, en dat gaat nog een hele tijd duren. U vraagt van mij iets onmogelijks. Wat doet de inspectie dan? 

Over dat onderdeel overleggen we met het veld. We bekijken wat een reële termijn is en wat een reële invoering is. In dit huis maken wij echter voortdurend wetten, waarbij wij zeggen: als ze in werking treden, hebt u eraan te voldoen. Dat geldt hier ook. Dus ja, als je op een elektronisch systeem zit, moet je voldoen aan alle eisen die wij stellen, want die zijn er om de patiënt te beschermen. Behalve voor dat onderdeeltje krijgt het veld tijd om het op een redelijke manier in te voeren. Voor de andere onderdelen zal de inspectie de ene of de andere actie moeten ondernemen, afhankelijk van wat het is, kwaliteit of privacy. 

Gaat u verder. 

Ik ga nu in op de situatie die mevrouw Leijten heeft geschetst. Als ik door mijn huisarts word doorverwezen naar het ziekenhuis, belt hij dat er een patiënt aankomt of krijg ik een verwijsbrief mee. Dan kom ik in dat ziekenhuis bij de medisch specialist, die vraagt: mag ik uw gegevens inzien? En dan zeg ik ja of nee. Zo gaat dat dan. Dat gaat dan natuurlijk om de gegevens die voor die behandeling relevant zijn. Daarvoor geldt dus hetzelfde toestemmingsverhaal. Volgens mevrouw Leijten zegt VZVZ op ikgeeftoestemming.nl dat mensen die werken op de praktijk, bijvoorbeeld een doktersassistent, via een zorgmandaat van de huisartsen in het systeem kunnen. Dat is nu ook zo. Een doktersassistent kan nu al in het papieren systeem volgens een zorgmandaat, en straks ook. Die zorgmandatering kennen wij in de zorg. Degene die het mandaat geeft, in dit geval de huisarts, blijft daarbij gewoon verantwoordelijk voor wat er gebeurt, voor de vraag of het echt nuttig is voor de zorgverlening en voor de vraag of het mag of niet. 

Voorzitter, volgens mij heb ik de vragen nu beantwoord. 

Ik zie niemand uit zijn stoel opspringen, dus ik neem aan dat men het daarmee eens is. 

Ik moet een kleine omissie rechtzetten. Ik zei eerder dat we op de 17de zouden stemmen over dit wetsvoorstel, maar dat is komende dinsdag al en we hadden juist afgesproken dat de Kamer wat meer tijd zou krijgen. Mijn voorstel aan de Kamer is dus om in principe niet komende dinsdag te stemmen over het wetsvoorstel en de ingediende moties, maar de dinsdag erop. Dat is 24 juni.