Vragen van de VVD-fractie

Met de ingezette koers van standaardisatie op taal en techniek schep ik de juiste randvoorwaarden. Om dit te realiseren stuur ik op een landelijk vertrouwensmodel, generieke functies en de standaardisatie van zorgdata. Hiervoor heb ik samen met het zorgveld in het Integraal Zorgakkoord (hierna: IZA) afgesproken dat zes geprioriteerde functies (toestemming, identificatie, authenticatie, autorisatie, lokalisatie en adressering) uiterlijk in 2025 ingevuld zijn met afspraken, standaarden en/of voorzieningen, met als belangrijke toevoeging dat zij sector overstijgend beschikbaar zijn en in de praktijk gebruikt worden.

Omdat er slechts twee grote ICT-leveranciers voor gegevensuitwisseling in de zorg zijn en enkele kleine spelers, is er sprake van een beperkte marktwerking bij het tot stand komen van de uiteindelijke elektronische zorggegevensuitwisseling. Levert dit mogelijk een extra risico op voor de betaalbaarheid van de te maken vervolgstappen tussen enerzijds de inhoudelijk onderbouwde wensen van de medisch-specialistische beroepsgroepen voor kwalitatief hoogstaande, veilige en doelmatige elektronische gegevens- en beelduitwisseling en anderzijds de EPD- en PACS-leveranciers die deze wensen omzetten in een veilige elektronische gegevensuitwisseling? Kan de regering hier een inschatting van maken?

Verschillende stimuleringsprogramma’s (de versnellingsprogramma’s informatieuitwisseling tussen patiënt en professional, hierna: VIPP) stimuleren de gegevensuitwisselingen op de meerjarenagenda Wegiz (hierna: MJA Wegiz). ICT-leveranciers moeten daartoe de nodige aanpassingen doen in hun software in opdracht van de zorgaanbieders die deelnemen in de regeling. De Wegiz is daarmee na stimulering het sluitstuk om de gegevensuitwisseling te bestendigen. Voordat overgegaan wordt tot het opnemen van een gegevensuitwisseling op de MJA Wegiz wordt een maatschappelijke kosten- en batenanalyse (hierna: MKBA) gedaan. Deze brengt zowel de kosten (waaronder de ICT-investeringen) in beeld, als ook de te verwachten baten die deze investeringen opleveren. Het uitgangspunt van de Wegiz is vervolgens dat de kosten door de zorgaanbieders worden betaald uit de bedrijfsmiddelen, maar er kunnen – onder voorwaarden – redenen zijn voor compensatie. Dit kan dan zijn in de vorm van aanvullende stimuleringsregelingen, implementatieprogramma’s en/of financiering. Ook is het een optie om geen wettelijke verplichting in te zetten wanneer de baten niet opwegen tegen de investering. Op het moment dat een gegevensuitwisseling onder de Wegiz wordt verplicht, zullen dan ook de gevolgen, waaronder de financiële gevolgen, in beeld worden gebracht en een update plaatsvinden van de MKBA. Bij toetsing van de eerste aangewezen gegevensuitwisseling, zoals de Basisgegevensset Zorg (hierna: BgZ) blijkt dat de kosten de baten vooruit gaan. Zo zullen door de extra verwijzingen de investeringen in enkele jaren al worden terugverdiend en zal zelfs als de helft van de baten wordt gerealiseerd een positieve uitkomst worden behaald. Investeringen in de tijd worden daarmee dus uit de baten terugverdiend.

Bestaat de mogelijkheid dat door de beperkte marktwerking de uiteindelijke ICT-kosten voor de zorgaanbieders buitensporig zouden kunnen toenemen?

Investeringen in zorg-ICT zijn nodig en verdienen zich terug door betere kwaliteit van zorg en besparingen door procesverbeteringen en afname van administratieve handelingen. De baten vinden echter pas plaats ná de investeringen. Per gegevensuitwisseling wordt een MKBA uitgevoerd om inzicht te krijgen in de omvang van de benodigde investeringen, structurele kosten en de kwalitatieve en kwantitatieve baten van een verplichting. Een regeldruktoets, die ook per gegevensuitwisseling wordt uitgevoerd, geeft vooraf inzicht in onder andere de financiële (nalevings-) lasten.

Hoge(re) kosten voor zorg-ICT kúnnen samenhangen met het (niet goed) functioneren van een markt en gebrekkige concurrentie. De Wegiz is één van de stappen die ik zet om hier een oplossing voor te bieden. Daarnaast verzend ik binnenkort het Actieplan zorg-ICT-markt aan de Tweede Kamer. Met dit plan concretiseer ik wat ik, aanvullend op de huidige aanpak, ga doen om de marktcondities in de zorg-ICT-markt voor goede elektronische gegevensuitwisseling te verbeteren door de inzet van gerichte instrumenten die leiden tot een effectievere besteding van gemeenschapsgeld.

Eerder onderzoek1^, 2 li et zien welke knelpunten er nu zijn in de zorg-ICT-markt zoals gesloten systemen, hoge toetredingsdrempels, vendor lock-in, hoge kostprijzen en gebrekkige vraagarticulatie. De uitkomsten van dit onderzoek onderstrepen mijn overtuiging dat de zorg-ICT-markt voor goede elektronische gegevensuitwisseling behoefte heeft aan een overheid die steviger regie neemt.

In de landelijke mammazorgketen bijvoorbeeld is de eenheid van «taal» van de digitale beeld- en gegevensuitwisseling reeds gerealiseerd en vastgelegd door de betrokken groepen zorgprofessionals. Zij streven vervolgens naar een digitale, veilige uitwisseling van zorginformatie, teneinde de huidige hoge kwaliteit van de landelijke mammazorg te bestendigen en digitaal verder uit te bouwen.

Kan de regering verduidelijken of zij voornemens is dit vervolgproces in eerste instantie alleen door de betrokken partijen (zorgprofessionals en ICT-leveranciers) tot stand te laten komen, of heeft de regering het voornemen om op korte termijn regie te gaan nemen, teneinde de samenwerking in een vroeg stadium zodanig te bevorderen dat de uiteindelijke ICT-kosten van de landelijke mammazorgketen ondanks de beperkte marktwerking niet onnodig de pan uit zullen rijzen?

Gegevensuitwisseling kunnen op de MJA Wegiz komen doordat ze door het veld worden aangedragen of ik kan ze er zelf op plaatsen. In eerste instantie is het inderdaad aan betrokken partijen om het vervolgproces tot stand te laten komen. Mocht realisatie onverhoopt niet tot stand komen en ik noodzaak zien in het elektronisch uitwisselen in bijvoorbeeld deze mammazorgketen, omdat dit grote baten oplevert in termen van gezondheid, dan kan ik regie nemen. Dit kan ik doen door het Zorginstituut te vragen de kwaliteitsstandaard van de gegevensuitwisseling op de meerjarenagenda van het Zorginstituut te plaatsen, de gegevensuitwisseling op de MJA Wegiz te plaatsen en eventueel door in te zetten op een spoor 1 aanwijzing.

Wel merk ik op dat beelden en verslagen die gemaakt worden in het kader van bevolkingsonderzoek borstkanker al integraal deel uitmaken van de gegevensuitwisseling Beeldbeschikbaarheid waar nu een AMvB voor wordt opgesteld. Als het gaat over het prioriteren van de andere onderdelen van de mammazorgketen dan doe ik dat in gesprek met het Informatieberaad Zorg. Als een gegevensuitwisseling op de MJA Wegiz staat wordt op basis van selectiecriteria die o.a. kijken naar draagvlak, toegevoegde waarde en realiseerbaarheid beoordeeld of een gegevensuitwisseling geschikt is om een AMvB wetgevingstraject op te starten.

Kan de regering tot slot aangeven of de zorgaanbieders naar verwachting over voldoende financiële armslag beschikken om de hoge incidentele en structurele ICT-investeringskosten voor een volledige interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen zorgverleners conform de Wegiz te kunnen betalen? De achterliggende gedachte hierbij is dat de te verwachten structurele kostendalingen door automatisering van de vele handmatige administratieve handelingen die nu plaatsvinden, pas na de hoge ICT-investeringen en dus op een later moment zullen worden terugverdiend.

Per gegevensuitwisseling op de MJA Wegiz laat ik de implementatiekosten in beeld brengen in een MKBA. Dit is inclusief de incidentele en structurele kostenverdeling tussen sectoren. In de nota van toelichting van elke AMvB zal worden ingegaan op de financiële gevolgen en eventuele gevolgen voor de bekostiging die voortvloeien uit de voorgenomen gegevensuitwisseling. Voor de gegevensuitwisseling BgZ is zo’n MKBA bijvoorbeeld uitgevoerd. Hieruit is gebleken dat de kosten de baten vooruit gaan, maar de investering in de tijd wel uit de baten wordt terugverdiend.

Ik bepaal naar aanleiding van de uitkomsten van de MKBA of en op welke manier compensatie geboden is voor (bepaalde) zorgaanbieders. Dit kan zijn in de vorm van aanvullende stimuleringsregelingen, implementatieprogramma’s en/of financiering. Voor de gegevensuitwisselingen worden zorgverleners middels stimuleringsregelingen en subsidies ondersteund om deze tot stand te brengen. Tegelijkertijd wordt aan de wettelijke verplichting gewerkt. De Wegiz is daarmee na stimulering het sluitstuk om de gegevensuitwisseling te bestendigen.

Vragen van de CDA-fractie

De meerjarenagenda Wegiz geeft aan welke gegevensuitwisseling de komende jaren prioriteit hebben. Uit de weergegeven planning blijkt dat de eerste daadwerkelijke elektronische gegevensuitwisselingen pas in 2025 gaan plaatsvinden. En dan betreft het nog maar 5 onderwerpen. De leden van de CDA-fractie hebben waardering voor de zorgvuldigheid waarmee het proces wordt ingezet; anderzijds is het voor de medische veiligheid van patiënten en de efficiëntie van het werk van de medische medewerkers van belang dat er nu echt snelheid en energie wordt gezet op een volledig elektronische uitwisseling van gegevens.

In dat kader vragen de leden van de CDA-fractie wat de planning is voor het volledig realiseren van de meerjarenagenda Wegiz en welke middelen de Minister heeft om de zorgpartijen en de technische aanbieders te dwingen tot enige mate van spoed. Ook vernemen zij graag of het Zorginstituut Nederland, dat dit proces faciliteert, of een andere instantie, ook doorzettingsmacht heeft. Zo nee, waarom niet?

Het realiseren van (wetgeving voor) alle gegevensuitwisselingen op de MJA Wegiz vraagt van alle betrokkenen veel inspanning. Niet alleen van ICT-leveranciers, die soms bij meerdere gegevensuitwisseling betrokken zijn, maar ook van zorgaanbieders die zorgprocessen moeten aanpassen en zorgen dat de juiste informatie beschikbaar is voor uitwisseling. De MJA Wegiz is met het veld opgesteld, waarbij het veld daarna de componenten van de wettelijke verplichting – de kwaliteitsstandaard, informatiestandaard en NEN-norm – gezamenlijk ontwikkelt. Ik stuur op de kaders aan en stimuleer de ontwikkeling van de componenten.

Gegevensuitwisselingen kunnen op de MJA Wegiz komen doordat ze door het veld worden aangedragen of ik kan ze er zelf op plaatsen. Ook kan ik inzetten op een spoor 1 aanwijzing waarbij ik zonder tussenkomst van het veld kan verplichten dat een gegevensuitwisseling alleen nog maar elektronisch mag plaatsvinden. Daarnaast kan ik het Zorginstituut vragen de gegevensuitwisseling op de MJA van het Zorginstituut te plaatsen.

De geprioriteerde gegevensuitwisselingen zijn reeds door het Zorginstituut op de MJA van het Zorginstituut geplaatst. Wanneer indienende partijen de in de MJA van het Zorginstituut vastgelegde afspraken en termijnen niet realiseren of halen, kan het Zorginstituut gebruik maken van zijn doorzettingsmacht om onderwerpen op deze agenda te plaatsen.

Van doorzettingsmacht is ook sprake bij het vaststellen van de inwerkingtredingsdatum van elke AMvB onder de Wegiz. De inwerkingtredingsdatum geeft de mogelijkheid om het veld en andere betrokkenen (versneld) aan te zetten tot de totstandkoming van de elektronische gegevensuitwisseling.

In het Integraal Zorgakkoord is o.a. bepaald dat stevig zal worden ingezet op e-health. In hoeverre bevordert de Wegiz dit? Of is aanpassing van deze wet nodig om e-health optimaal te kunnen inzetten?

E-health is een breed begrip, het omvat alles wat te maken heeft met digitale zorg. De Wegiz is een middel om elektronische gegevensuitwisseling te verplichten door standaardisatie van de methode van uitwisseling. Hierdoor zijn de gegevens elektronisch beschikbaar en uitwisselbaar voor en tussen zorgverleners. Door de Wegiz wordt bereikt dat de juiste informatie op het juiste moment beschikbaar is, dit is onafhankelijk van de vraag of de zorg in de behandelkamer of deze via een e-health-toepassing wordt verleend.

De leden van de CDA-fractie stellen met genoegen vast dat elke patiënt de mogelijkheid krijgt om zijn persoonlijke gezondheidsomgeving in te zien en dat de Minister met vele organisaties actief aan het werk is om de gezondheidsvaardigheden van de burgers (met name ook van die grote groep burgers die nog geen of slechts beperkte gezondheidsvaardigheden heeft) te verbeteren, waarbij ook aandacht wordt gegeven aan de begrijpelijkheid van de medische termen, zoals gehanteerd door de zorgaanbieder.

De leden van deze fractie vragen of in de komende jaren het voor de leek toegankelijk gebruik van medische gegevens door de zorgaanbieder en de ontwikkeling van de gezondheidsvaardigheden van burgers worden gemonitord. Zo ja, hoe en in welke mate? Zo nee, kan de regering dan toelichten waarom dit niet gebeurt?

Ik hecht sterk aan de digitale vaardigheden van burgers en hun mogelijkheid om hun medische gegevens te kunnen inzien en begrijpen. Ik investeer op meerdere manieren in digitale- en gezondheidsvaardigheden. De begrijpelijkheid van medische termen wordt verbeterd door het starten van een project «patiëntvriendelijke termen» door Nictiz. Dit project betreft het komen tot een eenduidige manier van het opstellen, beheren en beschikbaar maken van een standaard voor patiëntvriendelijke termenlijsten. Leveranciers van een persoonlijke gezondheidsomgeving (hierna: PGO) kunnen deze patiëntvriendelijke termenlijsten vervolgens inbouwen. Zo kan de zorgprofessional in zijn eigen medische taal zorginformatie vastleggen en kan de client deze informatie in begrijpelijke omschrijvingen lezen. Voor het verbeteren van gezondheidsvaardigheden wordt ook samengewerkt met de PGO alliantie. Binnen deze alliantie zijn patiënten-, branche-, consumenten-, en welzijnsorganisaties betrokken en wordt onder andere gekeken naar manieren waarop PGO’s het beste kunnen worden gebruikt en benut. Daarnaast ondersteun ik samen met andere ministeries en partijen de Coalitie Digivaardig in de zorg om digitale vaardigheden van burgers te verbeteren. De tweejaarlijkse meting van gezondheidsvaardigheden onder Nederlandse burgers die door het Nivel Instituut wordt uitgevoerd gebruik ik als manier om deze gezondheidsvaardigheden te monitoren.

Conform de NEN-norm is het mogelijk om onjuist ingevoerde gegevens (met terugwerkende kracht) te wijzigen, om zo te voorkomen dat dergelijke foutieve gegevens verderop in de keten gebruikt kunnen worden. In het kader van de uitvoerbaarheid en handhaafbaarheid zouden de leden van de CDA-fractie graag meer inzicht krijgen in dit proces. Wie bepaalt wat wel of niet onjuist is?

Het recht op correctie van foutieve gegevens is geregeld in zowel de Algemene Verordening Gegevensbescherming (hierna: AVG) als de Wet geneeskundige behandelingsovereenkomst (hierna: Wgbo). Hoe dit recht in de praktijk werkt is afhankelijk van het soort gegeven waar het om gaat. De cliënt kan in elk geval om rectificatie vragen ten aanzien van feitelijke (persoons)gegevens, zoals fouten in naam of geboortedatum. Als sprake is van de ontdekking van een feitelijk onjuist medisch gegeven, zoals een foutieve uitslag van een onderzoek, of verkeerde actuele medicatie, kan de client uiteraard ook vragen om rectificatie in overleg met de zorgverlener die verantwoordelijk is voor het dossier. Als dit een aantoonbare onjuistheid is, zal de zorgverlener hier logischerwijs gehoor aan geven. Als de cliënt het echter oneens is met een professionele indruk, mening of conclusie van een zorgverlener, kan hij deze niet laten corrigeren. Een medische analyse is namelijk geen persoonsgegeven. In dat geval kan een client wel een beroep doen op het recht op aanvulling op grond van de Wgbo. Dit betekent dat de desbetreffende zorgverlener het schriftelijke commentaar van de cliënt toevoegt aan het medisch dossier als een «aanvullende verklaring». De zorgverlener is verplicht deze aanvulling aan het dossier toe te voegen, ook als hij het er inhoudelijk niet mee eens is.

Waar kunnen burgers eventueel een klacht indienen als zij van mening zijn dat zij niet gehoord worden?

In het geval een cliënt het met de zorgaanbieder niet eens wordt over de rectificatie van zijn of haar (persoons)gegevens, kan hij een klacht melden bij de functionaris gegevensbescherming van de organisatie en (anders) ten alle tijden bij de Autoriteit Persoonsgegevens.

Hoe worden gebruikers van een dergelijk dossier geïnformeerd dat er onjuistheden zijn gecorrigeerd? Dit is naar de mening van deze fractieleden een van de criteria voor de mate van (ervaren) betrouwbaarheid.

Op grond van de AVG rust op iedere verwerkingsverantwoordelijke, en dus ook op zorgaanbieders een kennisgevingsplicht inzake rectificatie. Dit betekent dat de zorgaanbieder er zorg voor dient te dragen dat de zorgverlener iedere ontvanger aan wie persoonsgegevens zijn verstrekt, inlicht van elke rectificatie van persoonsgegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Ook geldt de verplichting om in het kader van een rectificatie aan de client informatie over deze ontvangers te verstrekken indien de betrokkene hierom verzoekt. Zo kan de client inzicht krijgen in rectificatie van zijn gegevens.

In de memorie van antwoord wordt ook even stilgestaan bij de Wet digitale overheid (Wdo). De leden van de CDA-fractie checken voor de zekerheid graag of, indien de Wdo wordt aangenomen, de toegangstool door meerdere aanbieders kan worden aangeboden, mits goedgekeurd conform de Wdo-eisen. Indien dat het geval is, welke consequenties heeft dit dan voor de PGO’s, de zorgaanbieders en voor de bekendheid bij de burgers?

Het wetsvoorstel digitale overheid (hierna: Wdo) voorziet in de toelating van publieke- en private inlogmiddelen. DigiD is op dit moment het publieke inlogmiddel dat – na de inwerkingtreding van de Wdo en indien het voldoet aan de gestelde eisen – door de Minister van Binnenlandse Zaken en Koninkrijkrelaties (hierna: BZK) aangewezen zal worden als toegelaten middel. Aanbieders van private inlogmiddelen kunnen na erkenning worden toegelaten. Op dit moment zijn er nog geen (erkende) private middelen. Zorgaanbieders mogen op dit moment gebruik maken van het BSN, en kunnen daarom gebruik maken van het publieke inlogmiddel DigiD. Zij zullen aan de Wdo moeten gaan voldoen. PGO’s mogen wettelijk geen gebruik maken van het BSN; zij kunnen daarom op dit moment geen gebruik maken van DigiD. Omdat dit breder speelt dan voor alleen PGO’s, onderzoek ik of en zo ja onder welke voorwaarden dat wel mogelijk zou moeten zijn voor private partijen in de zorg. Private organisaties mogen in de toekomst voor de veilig inloggen sowieso wel gebruik maken van de private, onder de Wdo-erkende, inlogmiddelen. Daarbij vindt immers geen BSN-verwerking plaats.

Burgers zullen via de zorgaanbieders zelf en vanuit het Ministerie van BZK geïnformeerd worden over de Wdo-inlogmiddelen. Ik zal de zorgaanbieders ondersteunen in de communicatie richting patiënten en cliënten.

Gezamenlijke vragen van de fracties van GroenLinks en PvdA

De leden van de fracties van GroenLinks en PvdA hebben allereerst enkele vragen naar aanleiding van de antwoorden over de eisen aan technische standaarden. Op pagina 6 van de memorie van antwoord staat dat met deze systematiek «het stellen van inhoudelijke eisen aan technische standaarden binnen het wettelijke kader daarom niet gewenst» is. Op dezelfde pagina staat echter ook dat «De normatieve eis die vanuit de Wegiz gesteld wordt aan een aan te wijzen gegevensuitwisselingen is dat de norm moet leiden tot interoperabiliteit en dat norm voldoet aan een door de Minister geborgde API-strategie». Met deze beantwoording is het voor de leden van beide fracties onduidelijk of er nou wel of geen inhoudelijke toets is die de aan te wijzen technische standaarden moeten doorstaan.

Kan de regering duidelijk aangeven of er, los van het formele totstandkomingsproces, een inhoudelijke toets is die de aan te wijzen technische standaarden moeten doorstaan? Zo ja, welke inhoudelijke toets moeten deze technische standaarden dan doorstaan en kan de regering daarvan een duidelijke uitwerking geven? Bestaat deze toets er slechts uit dat de technische standaard moet leiden tot interoperabiliteit, zoals de beantwoording op pagina 6 doet vermoeden? Of behelst de inhoudelijke toets meer en moet de technische standaard bijvoorbeeld leiden tot het realiseren van een veilige, volledige, flexibele uitwisseling van actuele gegevens? In hoeverre is deze inhoudelijke toets wettelijk verankerd?

De eisen aan taal en techniek worden vastgelegd in een norm, die weer kan verwijzen naar informatiestandaarden. De eis die vanuit de wet wordt gesteld aan die norm is dat de norm moet leiden tot een interoperabele elektronische uitwisseling van gegevens en dat de specifieke norm die ontwikkeld wordt voor een aangewezen gegevensuitwisseling moet voldoen aan de door de Minister geborgde API-strategie. Dit geldt dus ook voor de informatiestandaarden waarnaar vanuit de norm wordt verwezen. Er wordt niet wettelijk vereist dat de norm moet voldoen aan de door de leden van beide fracties aangeduide eisen zoals een veilige, volledige, flexibele uitwisseling van actuele gegevens. Normen met daarin de (verwijzing naar) informatiestandaarden, worden echter wel inhoudelijk getoetst. Bij de opdrachtverlening voor de ontwikkeling van een norm onder de Wegiz worden namelijk richtinggevende kaders meegegeven om te komen tot een bruikbare norm die zowel breed draagvlak heeft aan de zorgkant als toepasbaar is voor leveranciers. Door de keuze van normering onder de Wegiz wordt namelijk geborgd dat alle relevante partijen betrokken worden bij de totstandkoming van een norm wat de uitvoerbaarheid verhoogd.

Op dit moment loopt de internetconsultatie «Elektronisch uitwisselen van Basisgegevensset Zorg (BgZ) Overheid.nl | Consultatie Elektronisch uitwisselen van de Basisgegevensset Zorg (BgZ) (internetconsultatie.nl). In de nota van toelichting is aangegeven welk kader mee is gegevens bij de opdrachtverlening aan NEN om de norm te ontwikkelen. Hieronder worden aangegeven welk richtinggevende kaders zijn meegegeven:

• 1. In de norm (en de standaarden waar de norm naar verwijst) moet altijd duidelijk zijn welke eisen gelden, voor wie of wat de eisen gelden en op welke gegevens de eisen zien.

• 2. De norm dient te verzekeren dat een informatietechnologieproduct- of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder of -verlener aan zijn verplichtingen uit de AVG kan voldoen.

• 3. De norm dient te verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren – zoals het recht op inzage, rectificatie of gegevenswissing.

• 4. Het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden.

• 5. De norm mag er niet toe leiden dat het uitwisselen van gegevens enkel kan via een elektronisch uitwisselingssysteem als bedoeld in de Wabvpz.

• 6. De norm dient in overeenstemming te zijn met de architectuurprincipes van DIZRA.

• 7. De norm dient zoveel mogelijk rekening te houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij.

• 8. De norm wordt door de normencommissie Informatievoorziening in de zorg beoordeeld op aansluiting bij en onderlinge samenhang van alle binnen aangewezen gegevensuitwisselingen vallende normen.

• 9. De norm mag niet tot gevolg hebben dat gegevensuitwisseling buiten de directe behandelingsrelatie om (secundair gebruik van gegevens) bemoeilijkt wordt.

• 10. Producten/diensten die binnen de scope van de norm vallen dienen gecertificeerd te worden. De norm dient dan ook certificeerbaar te zijn.

Voor de ontwikkeling van de NEN norm voor de BgZ zijn naast de richtinggevende kaders een aantal specifieke kaders voor de uitwisseling van de BgZ meegegeven:

• 1. De NEN-norm wordt uitgewerkt voor de twee toepassingen van de BgZ:

  • a. Vanuit de zorgverlener wordt de BgZ verplicht elektronisch verzonden bij een verwijzing van een cliënt naar een andere zorgverlener binnen de medisch specialistische zorg;

  • b. Vanuit de zorgverlener is de BgZ opvraagbaar bij een andere msz-instelling waar de patiënt onder behandeling is of is geweest.

• 2. Deze NEN-norm is van toepassing op instellingen voor medisch specialistische zorg.

• 3. De BgZ is een onderdeel van een specifieke uitwisseling. Naast de BgZ wordt over het algemeen altijd aanvullende informatie uitgewisseld of opgevraagd, met name brieven/ documenten (zoals een verwijsbrief), beelden en extra informatie, die niet in de BgZ zit.

• 4. In de NEN-werkgroep BgZ zijn tenminste medisch specialisten vertegenwoordigd.

• 5. De Informatiestandaard BgZ bevat de functionele, technische en kwalificatie specificaties van de BgZ uitwisseling voor de twee toepassingen. In deze NEN norm wordt daarnaar verwezen (Informatiestandaard BgZ V0.57).

• 6. De uitwisselingsinfrastructuur en de afspraken rondom het gebruik van infrastructuren maken geen onderdeel uit van de Informatiestandaard BgZ, maar maken wel onderdeel uit van de norm.

• 7. Voor generieke aspecten van uitwisseling (zoals informatiebeveiliging, adressering e.d.) dient waar relevant verwezen te worden naar normen voor deze generieke aspecten (ook wel «generieke functies» genoemd). Hierbij geldt het principe «pas toe of leg uit», tenzij punt 8 van toepassing is. Omdat de normen voor generieke aspecten gelijktijdig in ontwikkeling zijn met de norm voor BgZ, dient hierover afstemming plaats te vinden.

• 8. Vanuit de verantwoordelijkheid voor een landelijk dekkend stelsel van zorginfrastructuren zal de Minister bepalen of het verplicht stellen van onderdelen van de infrastructuren proportioneel is. Dit kan betekenen dat vanuit de norm voor de BgZ waar relevant verwezen dient te worden naar deze verplichte onderdelen.

• 9. De norm verwijst zoveel als mogelijk naar de Nationale Bibliotheek voor Zorg-ICT-standaarden bij Nictiz. In deze bibliotheek staan alle normatieve, preferente en relevante zorg-ICT-standaarden met de juiste versies, specificaties en, indien van toepassing, handreikingen voor implementaties.

Aanvullend heb ik NEN gevraagd om, in lijn met artikel 1.4, derde lid, onderdeel b, een norm alleen aan te wijzen als deze voldoet aan de API-strategie in de zorg en in de normtrajecten zoveel als mogelijk naar de Nationale Bibliotheek voor Zorg-ICT-standaarden bij Nictiz te verwijzen. In deze bibliotheek staan alle normatieve, preferente en relevante zorg-ICT-standaarden met de juiste versies, specificaties en, indien van toepassing, handreikingen voor implementaties.

De totstandkoming van de norm is een privaat proces, maar de aanwijzing van de norm onder de wet is een publiek proces waarbij ik als eerste, vervolgens de minsterraad, het parlement (via de voorhangprocedure) en de Raad van State mede beoordelen of de gepubliceerde norm in voldoende mate voldoet aan de gestelde eisen. Door te werken met richtinggevende kaders en niet met wettelijke vereisten, is er voldoende flexibiliteit om waar nodig bij te sturen op de inhoud en de wet daarmee toekomstbestendig te maken en te houden. Door de richtinggevende kaders en het publieke deel van het proces zijn er voldoende mogelijkheden om rekening te houden met de inhoud, het beschermen van de privacy en het inroepen van rechten onder de AVG.

Kan de regering daarbij aangeven welke rol het aangenomen amendement over de end-to-end versleuteling hierbij speelt?

Artikel 1.4, tweede lid, Wegiz stelt dat gegevens die onder de Wegiz worden uitgewisseld op het volledige traject tussen zender en ontvanger «beveiligd» dienen te zijn3. In de toelichting geven de indieners Hijink en van den Berg aan dat zij onder «beveiligd» verstaan dat er sprake moet zijn van end-to-end versleuteling en authenticatie. Met de tweede nota van wijziging heb ik aangegeven dat ik niet langer als uitgangspunt hanteer dat alle eisen omtrent hoe gegevens worden uitgewisseld, worden opgenomen in de voor die specifieke gegevensuitwisseling geldende norm, inclusief beveiligingseisen maar dat de normen inzake informatiebeveiliging op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: Wabvpz) onverkort gelden, dus ook voor gegevensuitwisselingen die onder de Wegiz vallen.

Op dit moment loopt een offertetraject om externe partij in beeld te laten brengen wat de organisatorisch, technische en financiële gevolgen zijn van het verplichtstellen van end-to-end beveiliging voor alle elektronische gegevensuitwisselingen onder de Wegiz en welke aanpassingen dien ten gevolge daarvan nodig zijn aan onder andere het Besluit elektronische gegevensverwerking door zorgaanbieders (hierna: Begz). Zoals door mij aangegeven in de memorie van antwoord naar aanleiding van vragen van uw Kamer, is welke beveiligingsmaatregelen het meest passend zijn bij een bepaalde uitwisseling de verantwoordelijkheid van de betrokken partijen. Artikel 32 van de AVG gaat over de beveiliging van een verwerking en de daarvoor noodzakelijke, passende, technische en organisatorische maatregelen zijn voor de zorg uitgewerkt in het Begz. Daarin staat dat zorgaanbieders moeten voldoen aan NEN 7510, NEN 7512 en NEN 7513. NEN 7512 bevat de voorschriften die relevant zijn voor de beveiliging van communicatie in de zorg. In deze norm wordt meerlaagsbeveiliging voorgeschreven. Dat betekent dat het doorbreken van één beveiligingslaag niet automatisch mag leiden tot het gecompromitteerd raken van de gegevens in de communicatie doordat er teruggevallen kan worden op een tweede beveiligingslaag. NEN 7512 bereikt zodoende passende beveiliging.

En welke rol spelen de inhoudelijke eisen met betrekking tot privacy, zoals deze volgen uit onder andere de Algemene verordening gegevensbescherming (AVG) en de Wet op de geneeskundige behandelingsovereenkomst (Wgbo), in de inhoudelijke toetsing van de technische standaarden? Wordt meegewogen of een technische standaard het naleven en realiseren van de inhoudelijke privacy-eisen uit die wetgeving waarborgt en/of vergemakkelijkt?

Recht op bescherming van persoonsgegevens is uiteraard van groot belang en is daarom in internationale en nationale wetgeving geregeld. Zoals in de AVG, de Wgbo, de Wet BIG en de Wabvpz. De Wegiz past volledig binnen deze kaders. De eisen aan taal en techniek worden vastgelegd in een norm, die weer kan verwijzen naar informatiestandaarden. Deze (privacy)regels moeten vervolgens wel goed worden toegepast en daarom geef ik bij de richtinggevende kaders bij het ontwikkelen van NEN-normen mee dat de norm moet verzekeren dat cliënten hun rechten onder de AVG moeten kunnen uitoefenen en dat IT-producten en -diensten aan de AVG voldoen. Per te ontwikkelen NEN-norm wordt bovendien bezien welke (privacy)wetgeving naast de AVG in elk geval van belang is en wordt een verwijzing naar deze wetgeving gedaan in de norm. Dit is bijvoorbeeld gebeurd in de NEN 7503, de norm die is ontwikkeld voor de gegevensuitwisseling Elektronische verwerking en uitwisseling van gegevens voor het voorschrijven en ter hand stellen van medicatie.

Welke invloed verwacht de regering dat het Commissievoorstel voor een Verordening betreffende de Europese ruimte voor gezondheidsgegevens (European Health Data Space – EHDS) zal hebben op deze inhoudelijke toets?

De systematiek van deze toets verandert niet door de inwerkingtreding van de verordening betreffende de European Health Data Space (hierna: het Commissievoorstel). De invloed vanuit het Commissievoorstel op de inhoudelijke toets is daarmee beperkt. De toets helpt zelfs in de check hoe ver sommige uitwisselingen zijn in het kader van het Commissievoorstel, wat implementatie hiervan vergemakkelijkt. Uiteraard wordt er bij de vraag of een norm bruikbaar is om aangewezen te kunnen worden onder de Wegiz zorgvuldig gekeken naar de vereisten die op grond van het Commissievoorstel tot stand komen.

Gaat de regering in deze inhoudelijke toets, vooruitlopend op de definitieve totstandkoming van de verordening, de eisen van het Commissievoorstel meenemen, zodat er op een later moment minder veranderd hoeft te worden en er minder dubbele kosten gemaakt hoeven te worden?

Alle normtrajecten houden rekening met wat er op Europees, internationaal en nationaal niveau is vastgelegd in normen. NEN neemt in het kader van de Wegiz hierbij zoveel mogelijk de gebruikte (internationale) informatiestandaarden mee. Dit staat opgenomen in de richtinggevende kaders die ik meegeef aan NEN bij de opdrachtverstrekking van normtrajecten en is overigens onderdeel van de standaardwerkwijze van de NEN. Bij de ontwikkeling van de informatiebehoefte en bijbehorende specificaties voor gegevensuitwisselingen onder het Commissievoorstel zal zo veel mogelijk gebruik worden gemaakt van al bestaande internationale standaarden. De wijze waarop deze technische specificaties onder het Commissievoorstel tot stand komen is echter nog onderdeel van discussie in de onderhandelingen, maar de eisen komen altijd in samenspraak met lidstaten tot stand. Nederland werkt op dit moment mee aan de voorbereiding van het ontwikkelen van deze specificaties voor meerdere van de beoogde prioritaire gegevens onder het Commissievoorstel.

En mocht er geen inhoudelijke toets zijn die de aan te wijzen technische standaarden dienen te doorstaan, is dan slechts het draagvlak binnen de relevante zorgpartijen voor de norm doorslaggevend?

Zoals beantwoord op de vraag naar aanleiding van de wettelijke toets op eisen, is aangegeven dat er wel degelijk een uitgebreide inhoudelijke toets plaatsvindt op de inhoud van de norm. Het draagvlak binnen de relevante zorgpartijen is niet doorslaggevend, maar vanzelfsprekend wel een belangrijk onderdeel van de Wegiz.

Hoe verhoudt zich dat tot het gegeven dat een technische standaard moet voldoen aan de door de Minister vastgestelde API-strategie en het hierboven genoemde amendement inzake end-to-end versleuteling?

Dit is onderdeel van de toetsing. Vooraf door het meegeven van de richtinggevende kaders. Tussentijds doordat mijn ministerie onderdeel is van de werkgroep die een norm ontwikkelt. Als ook bij de inhoudelijk toets of de gepubliceerde norm aangewezen kan worden als norm onder de wet.

Kan het ontbreken van een inhoudelijke toets niet potentieel leiden tot strijdigheid met de Verordening inzake de Europese ruimte voor gezondheidsgegevens, wanneer deze is vastgesteld?

Zoals ik hierboven heb beantwoord, de inhoudelijk toets ontbreekt niet.

Kan het gebeuren dat er in Nederland straks allemaal technische standaarden zijn aangewezen met wezenlijk verschillende inhoudelijke kenmerken, en de voorgestelde Verordening dan later met een eenduidige set aan eisen komt? Moeten dan alle gestandaardiseerde gegevensuitwisselingen in Nederland weer opnieuw ingericht worden? Hoe groot acht de regering het risico hierop?

Leveranciers van informatietechnologieproducten en -diensten passen vanwege de komst van de Wegiz nu hun producten en -diensten aan, aan de eisen die in de (komende) Wegiz-normen worden gesteld. Voor de normtrajecten onder auspiciën van NEN zijn bestaande Europese en wereldwijde normen het uitgangspunt. Dit principe maakt onderdeel uit van de standaard werkwijze van NEN en wordt door NEN ook streng bewaakt. Door NEN wordt waar mogelijk ook rekening gehouden met de internationale informatiestandaarden waar binnen het Commissievoorstel vanuit wordt gegaan. Nederland werkt daarnaast zelf veelvuldig mee aan het tot stand komen van de internationale standaarden en zal dat ook doen in het kader van het Commissievoorstel. Doordat de Wegiz voorloopt op het Commissievoorstel bestaat er een beperkt risico op verschillen, die op dit moment gedetailleerd in kaart worden gebracht door Nictiz.

En wat zouden de kosten- en uitvoeringsimplicaties hiervan zijn? Hoe verhoudt zich dit tot de wens om met de implementatie van de Wegiz niet te wachten op het EHDS-voorstel, zoals geuit in de brief van 21 november 2022.

Doordat er in normen onder de Wegiz waar mogelijk wordt verwezen naar informatiestandaarden is het waarschijnlijk niet nodig om gehele normen te herzien. Immers, ook het Commissievoorstel zal bij het vaststellen van de technische specificaties gebruik maken van dezelfde internationale standaarden. De mogelijke kosten zitten vooral in aanpassingen aan systemen, wanneer er verschillende eisen onder de Wegiz en het Commissievoorstel worden gesteld. Op dit moment voert Nictiz een fit-gap analyse om te kijken naar de verschillen tussen de Wegiz en het Commissievoorstel. In een eerste lezing lijken deze verschillen vooral te zitten in lidstaat-specifieke aspecten (bijvoorbeeld de BgZ in Nederland is een samenvatting uit één bron en de Europese patiënt samenvatting wordt samengesteld uit meerdere brondossiers). Hoe hier precies mee om wordt gegaan onder het Commissievoorstel is nu onderwerp van gesprek in Europa. Uiteraard zet ik vol in om dit in lijn te brengen en te krijgen met wat onder de Wegiz gebeurt, zodat het elkaar ondersteunt.

Met betrekking tot de relatie tussen de Wegiz en het EHDS-voorstel wordt opgemerkt dat het belangrijkste verschil is dat de Wegiz eist dat gegevens elektronisch uitgewisseld worden, terwijl het EHDS-voorstel slechts van toepassing is op gegevens die al elektronisch beschikbaar zijn. De wisselwerking tussen deze twee wetten zal er dus voor zorgen dat het voorstel van de Commissie een breder toepassingsbereik zal hebben in Nederland dan zonder de Wegiz, omdat door de Wegiz meer gezondheidsgegevens elektronisch beschikbaar zullen zijn. Wat zouden de gevolgen van deze wisselwerking kunnen zijn?

Het Commissievoorstel werkt voor een groot deel ondersteunend aan mijn beleid; het heeft hetzelfde doel om elektronische gegevensstromen te verbeteren zodat er betere zorg geleverd kan worden. De Wegiz en het Commissievoorstel raken op veel vlakken aan elkaar: de Wegiz maakt als het ware de weg vrij voor het Commissievoorstel door de grote stappen die er richting standaardisatie van gegevens worden gezet. Door deze stappen die we als Nederland zetten en al gezet hebben rond de Wegiz is onze invloed op de technische specificaties groter en werken we mee aan betere zorg aan Nederlandse patiënten, ook over de landsgrenzen.

In reactie op de vraag van de leden van de fracties van GroenLinks en PvdA op welke manier de technische standaarden gaan waarborgen dat de uitgewisselde zorggegevens actueel zijn, wordt gemeld dat zorgaanbieders ervoor moeten zorgen dat de gegevens correct zijn; zij zijn ervoor verantwoordelijk dat deze gegevens actueel zijn (pagina 8). Dat is uiteraard logisch, maar is de Wegiz niet ook een kans om ervoor te zorgen dat de nieuwe zorg-ICT het uitwisselen en gebruik van de meest actuele gegevens bevordert?

De Wegiz stimuleert het opstellen van kwaliteitsstandaarden door hierover een eis op te nemen in artikel 1.4, tweede lid, onderdeel a. Om een gegevensuitwisseling aan te kunnen wijzen onder de Wegiz, dient hiervoor een kwaliteitsstandaard aanwezig te zijn. In de kwaliteitsstandaard staat opgenomen welke gegevens uitgewisseld moeten worden. Door eisen te stellen aan welke gegevens gedeeld moeten worden bij uitwisseling wordt voor de ontvanger inzichtelijk wat er wanneer beschikbaar is en wat er eventueel ontbreekt. Op deze manier draagt de Wegiz zeker bij aan het gebruik en uitwisseling van de meest actuele gegevens. Als informatie gestandaardiseerd wordt uitgewisseld en invulling is gegeven aan de generieke functie lokalisatie (waardoor bekend is waar gegevens te vinden zijn), wordt het makkelijker om actuele gegevens inzichtelijk te maken voor de zorgaanbieders. Hierdoor wordt de vindbaarheid van actuele en leesbare gegevens vereenvoudigd.

Vragen van de D66-fractie

In het wetsvoorstel en de implementatie van de MJA Wegiz is niet voorzien in het delen van medische gegevens in de zin van de medische brieven die medici onderling naar elkaar schrijven en met elkaar delen. In reactie op de vragen van de D66-fractie wordt gemeld dat er wel medische gegevens van bijvoorbeeld beelden worden uitgewisseld. Waar de leden van de D66-fractie echter op doelden, zijn de medische brieven die artsen over en weer naar elkaar schrijven over een specifieke patiënt en die voor overdracht gebruikt worden. Juist deze brieven geven een goed beeld van het totaal aan gegevens die noodzakelijk zijn om een behandeling goed van elkaar over te nemen. Hierin staan niet alleen voorgeschiedenis, anamnese, lichamelijk onderzoek, diagnose, behandelplan en medicatie, maar ook een synthese op basis van medische afwegingen. Juist die zijn relevant om te delen.

Ziet de regering de relevantie van deze medische brieven voor de continuïteit van diagnostiek en/of behandeling van patiënten? Is de regering het met deze leden eens dat juist deze brieven door artsen als de belangrijkste bron van informatie worden gezien op het moment dat een patiënt wordt overgedragen van de ene behandelend arts naar de andere? De leden van de D66-fractie vragen opnieuw of het in de bedoeling ligt om deze medische brieven te gaan onderbrengen in deze wetgeving. Zo ja, hoe en wanneer? Zo nee, waarom ziet de regering hier vanaf?

De vraag of medische brieven relevant zijn voor de continuïteit, diagnostiek en behandeling van patiënten is aan zorgverleners zelf. Zij beslissen welke informatie er in het kader van goede zorg nodig is om met elkaar uit te wisselen. Als de inhoud van medische brieven hier onderdeel van uitmaakt, dan kunnen zorgprofessionals dit laten vastleggen in een kwaliteitsstandaard. Hierin wordt beschreven welke gegevens voor zorgverleners in het kader van de behandelrelatie relevant zijn om met elkaar uit te wisselen. Vanuit de Wegiz kan dan naar deze kwaliteitsstandaard worden verwezen en zodoende de elektronische uitwisseling van de inhoud van medische brieven verplichten.

De gegevensuitwisselingen die op de MJA Wegiz staan, zijn aangedragen en geprioriteerd door het zorgveld. Een van de geprioriteerde gegevensuitwisselingen is de BgZ. Dit is de minimale set patiëntgegevens die specialisme-, ziektebeeld- en beroepsgroep overstijgend relevant is en van belang voor de continuïteit van zorg. Deze bevatten een deel van de gegevens die nu (alleen) in de medische brieven staan. Het verschil tussen de gegevens in de BgZ volgens de Wegiz en een medische brief is dat de BgZ een gestandaardiseerde set gegevens is die hergebruikt kan worden, wat administratieve lasten beperkt.

De Minister meldt op pagina 13 van de memorie van antwoord: «Ik werk aan een landelijke visie op secundair datagebruik, waarbij privacy en veiligheid zeer belangrijke aspecten zijn». De leden van de D66-fractie vernemen graag wanneer deze landelijke visie op secundair datagebruik verwacht kan worden.

Ik stuur mijn visie en strategie voor het secundair gebruik van gezondheidsgegevens in april 2023 naar de Tweede Kamer.

Op dezelfde pagina staat: «Ook volgt uit de AVG dat niet meer persoonsgegevens mogen worden verwerkt dan noodzakelijk en dat persoonsgegevens niet zonder meer voor andere (commerciële) doelen kunnen worden gebruikt.» Wie bepaalt welke persoonsgegevens noodzakelijk zijn? En voor welke functies van het PGO?

De AVG bepaalt dat alleen persoonsgegevens mogen worden verwerkt die voor het doel toereikend en ter zake zijn. Verder mogen er niet meer persoonsgegevens worden verwerkt dan noodzakelijk voor het doel. Met andere woorden, er mogen gelet op het doel, niet te veel, maar ook niet te weinig gegevens worden verwerkt. Wanneer te weinig gegevens worden verwerkt, kan ten onrechte een onvolledig beeld ontstaan van de betrokkene. Voor de Wegiz wordt de vraag welke gegevens noodzakelijk zijn, beantwoord in de kwaliteitsstandaarden. Voor de PGO geldt dat het aan cliënten zelf is of, wanneer en welke gegevens van welke zorgaanbieders ze raadplegen. De Wegiz regelt alleen een verplichting aan de kant van de zorgaanbieder om de voor de client relevante gegevens van een aangewezen gegevensuitwisseling beschikbaar te stellen. Dit zijn dus gegevens waarvan al in een kwaliteitsstandaard is bepaald dat ze noodzakelijk zijn in de behandelrelatie.

De Minister stelt op pagina 14 van de memorie van antwoord: «Om de gezondheidsgegevens te beschermen, moeten de regels wel goed worden toegepast. Met de leden van de D66-fractie deel ik dan ook dat het van belang is dat iedereen op de hoogte is van zijn rechten en plichten op het gebied van het delen van gezondheidsgegevens.» De leden van de D66-fractie vragen hoe de regering deze rechten en plichten gaat communiceren.

De AVG-helpdesk Zorg is een manier waarop met burgers wordt gecommuniceerd over hun rechten en plichten en waar ook de mogelijkheid bestaat voor burgers om vragen omtrent deze rechten en plichten neer te leggen. Daarnaast zijn er AVG factsheets die ingaan op deze rechten en plichten4. De Autoriteit Persoonsgegevens ziet als toezichthouder en AVG verantwoordelijke op naleving van deze rechten en plichten voor burgers. Zij hebben als toezichthouder de wettelijke taak om enerzijds het brede publiek bekend te maken met de regels uit de AVG (en andere privacywetgeving) en anderzijds verwerkingsverantwoordelijken bekend te maken met hun verplichtingen op basis van de AVG. Dat gebeurt onder andere door Q&A’s op hun website.

Specifiek als het gaat om gegevensdeling via het gebruik van PGO’s stimuleer ik communicatie over hoe mensen een PGO kunnen kiezen en veilig kunnen gebruiken via de website van MedMij en het project «PGO on Air»5.

De leden van de D66-fractie vragen hoe de regering gaat monitoren of patiënten deze voldoende begrijpen?

Zoals eerder aangegeven investeer ik op meerdere manieren in digitale- en gezondheidsvaardigheden, bijvoorbeeld door het project «patiëntvriendelijke termen». Doel hiervan is dat leveranciers patiëntvriendelijke termenlijsten inbouwen zodat de zorgprofessional in eigen vaktaal zorginformatie kan vastleggen, die cliënten dan weer op een begrijpelijke manier kunnen lezen. Hoewel hier nog niet voorzien is in een aparte monitoring, zal ik toezien hoe de uitkomsten van bijvoorbeeld het «patiëntvriendelijke termen» project betere digitale- en gezondheidsvaardigheden opleveren.

Vragen van de SP-fractie

De leden van de SP-fractie ondersteunen de gedachte dat er op veilige wijze uitwisseling van gezondheidsdata nodig is. Zij maken zich echter zorgen of dit geen opmaat is naar een centraal systeem, daar waar decentrale systemen per definitie de standaard zou moeten zijn. Zij menen dit te concluderen uit het feit dat de Minister als onderdeel van een herijking van de grondslagen een opt-out voor elektronische uitwisselingssystemen overweegt. Tevens stuurt de Minister aan op het gebruik van Mitz, een online toestemmingsvoorziening waarin burgers toestemmingen kunnen registreren en beheren, zo blijkt uit de memorie van antwoord. De optelsom van deze stappen is de vorming van een nieuw landelijk EPD, met een Online Toestemmingsvoorziening (OTV) eraan vast. Voor patiënten heeft dit draconische gevolgen: zeg je »nee» tegen deelname aan de OTV, dan kunnen er geen medische gegevens meer worden uitgewisseld. Zelfs het versturen van een recept, of een papieren dossier, is dan niet meer mogelijk. Op deze wijze worden patiënten gedwongen het medisch beroepsgeheim te doorbreken en een brede, ongerichte ontsluiting van hun medische gegevens te accepteren.

De leden van de SP-fractie vragen hoe de regering ervoor gaat zorgen dat patiënten een werkelijke keuze voor een alternatief voor het gebruik van een elektronisch uitwisselingssysteem (EUS) hebben, zoals de Wegiz beoogt.

Gegevens mogen op grond van de Wabvpz alleen in een elektronisch uitwisselingssysteem beschikbaar worden gesteld als de cliënt daarvoor uitdrukkelijk toestemming heeft verleend. Dit betekent dat wanneer op grond van de Wegiz elektronische uitwisseling verplicht is, maar de cliënt geen toestemming heeft gegeven voor uitwisseling via een elektronisch uitwisselingssysteem, de elektronische uitwisseling op een andere manier plaats zal moeten vinden, bijvoorbeeld via veilige mail Hiermee is geborgd dat er alternatieven beschikbaar moeten zijn voor elektronische uitwisseling via een elektronisch uitwisselingssysteem.

Kan de regering aangeven welke problemen zij wil op gaan lossen met de herijking van de grondslagen en waarom zij dit nodig acht?

Zoals eerder met uw Kamer is besproken, worden er knelpunten ervaren rondom grondslagen voor gegevensuitwisseling tussen zorgprofessionals ten behoeve van primaire zorg. Mede op verzoek van de Tweede Kamer6 vindt daarom een heroriëntatie van het grondslagenstelsel plaats. In mijn brief van mei 20227 heb ik uw Kamer geïnformeerd over de resultaten van een eerste analyse van de knelpunten. Daarbij heb ik aangegeven dat een verdiepingsslag gemaakt zou worden van deze knelpunten om te bepalen welke van de ervaren knelpunten specifiek het gevolg is van wet- en regelgeving rondom grondslagen en wat een passende oplossing zou zijn. Op korte termijn zal uw Kamer een brief ontvangen waarin ik hier nader op inga.

Waarom wordt nu een opt-out overwogen, terwijl de toenmalige Minister voor Medische Zorg, Bruno Bruins, in zijn brief van 12 juli 2019 uitgebreid uitlegde waarom dat niet nodig is? Uitwisseling kan immers ook binnen de Wgbo plaatsvinden. De leden van de SP-fractie krijgen hierop graag een toelichting.

In de brief van 12 juli 2019 inzake elektronische gegevensuitwisseling8 is mijn ambtsvoorganger ingegaan op de vraag of het wenselijk is om de Wabvpz aan te passen. De conclusie was destijds dat dit niet het geval was, omdat er infrastructurele oplossingen zijn die het mogelijk maken om gegevens uit te wisselen op het moment dat dat nodig is, en de behandelrelatie dan de grondslag kan zijn voor de uitwisseling.

Ik ondersteun – net als mijn ambtsvoorganger – de inzet op infrastructurele oplossingen die het mogelijk maken om gegevensuitwisseling binnen het huidige grondslagenstelsel te verbeteren. Tegelijkertijd is gebleken dat – ondanks mogelijke infrastructurele oplossingen – nog altijd knelpunten worden ervaren rondom het grondslagenstelsel. Mede op verzoek van de Tweede Kamer vindt daarom een heroriëntatie van het grondslagenstelsel plaats. Hierover zal uw Kamer op korte termijn een brief ontvangen.

De Minister spreekt in de memorie van antwoord over een meerlaagsbeveiliging, zoals vastgesteld in NEN 7512. Echter, NEN 7512 biedt een uitzondering voor end-to-end beveiliging; in NEN 7512 is end-to-end encryption (E2EE) alleen verplicht als het technisch haalbaar is. De leden van de SP-fractie wijzen in dit verband op het amendement-Hijink/Van den Berg dat end-to-end beveiliging verplicht stelt in de Wegiz. Kan de regering aangeven waarom zij denkt aan het amendement te hebben voldaan?

In mijn brief aan de Tweede Kamer van 15 december 2022 over «Voortgang Elektronische Gegevensuitwisseling»9 heb ik nader toegelicht hoe ik invulling geef aan het amendement-Hijink/van den Berg. In deze toelichting heb ik aangegeven dat voor gegevensuitwisseling onder de Wegiz de wettelijke verplichte NEN-normen voor informatiebeveiliging in het zorgveld, waaronder de NEN-7512, onverkort van kracht zijn. Daarmee is passende, meerlaagsbeveiliging voor gegevensuitwisseling onder de Wegiz geborgd. Daarnaast heb ik uitgelegd dat het direct geheel verplichtstellen van end-to-end versleuteling en authenticatie mogelijk leidt tot een vertraging van het tempo van digitalisering van gegevensuitwisseling in het zorgveld. Ik heb namelijk onvoldoende zicht op welke technische en organisatorische vraagstukken dit oplevert en welke kosten hieraan verbonden zijn.

Zoals ik in dezelfde brief aan de Tweede Kamer heb toegezegd wil ik door een externe partij laten onderzoeken wat er nodig is om end-to-end versleuteling en authenticatie te verplichten voor aangewezen gegevensuitwisselingen onder de Wegiz. Op basis van de resultaten uit dit onderzoek zal ik bezien of en zo ja, hoe ik extra maatregelen zoals end-to-end versleuteling en authenticatie kan verplichten. Daarmee wil ik zo veel als mogelijk recht doen aan de doelstelling van de indieners van het amendement.

Op dit moment loopt het offertetraject voor dit onderzoek. Ik verwacht de resultaten van het onderzoek rond de zomer met u te kunnen delen. Ik zal u daarbij ook informeren over de vervolgstappen die ik neem om nadere invulling te geven.

Is de regering van mening dat push infrastructuren aan deze wensen voldoen?

Op dit moment heb ik beperkt inzicht in de mate waarin bestaande (push-) infrastructuren reeds voldoen of kunnen voldoen aan end-to-end beveiliging. Deze vraag is onderdeel van de verkenning die ik door een externe partij zal laten uitvoeren.

Kan de regering tevens aangeven voor welke technologie het gebruik van end-to-end beveiliging op dit moment nog onmogelijk is?

De eerder genoemde NEN-7512 zal van kracht zijn voor alle gegevensuitwisseling onder de Wegiz. Deze norm schrijft onder andere voor dat er sprake moet zijn van meerlaagsbeveiliging. Dit niveau van beveiliging kan op verschillende manieren worden bereikt. In het zorgveld wordt ook op verschillende manieren invulling gegeven aan de norm. NEN 7512 bereikt zodoende al passende beveiliging.

Om te komen tot end-to-end beveiliging zal eerst in kaart moeten worden gebracht waar dit nog niet wordt toegepast en welke aanpassingen er nodig zijn om dit alsnog te doen. Dit is onderdeel van de verkenning die ik door een externe partij zal laten uitvoeren.

In reactie op de eerdere vraag van de leden van de SP-fractie − zij wilden weten of er meer ingezet gaat worden op decentrale systemen en of er voldoende financiering beschikbaar wordt gesteld voor de zorgaanbieder om ervoor te zorgen dat (decentrale) infrastructurele voorzieningen, die binnen de behandelrelatie gegevens kunnen uitwisselen, worden doorontwikkeld en opgeschaald – luidt het antwoord van de Minister dat hij data uitwisseling makkelijker wil maken. Dat is echter geen antwoord op de vraag of de regering inzet op decentrale systemen of de route van een centraal systeem blijft volgen. Graag krijgen de leden van de SP-fractie een duidelijke uitspraak hierover.

Zoals ook beschreven in mijn brief van 15 december 2022 aan de voorzitter van de Tweede Kamer laat ik onderzoeken of een grotere centrale, publieke rol noodzakelijk is voor de totstandkoming van een landelijk dekkend netwerk voor gegevensuitwisseling. In het onderzoek worden meerdere scenario’s (waarbij ook gekeken wordt naar het gebruik van decentrale en centrale systemen) geanalyseerd om inzichtelijk te maken in welke mate zij bij kunnen dragen aan het realiseren van een landelijk dekkend netwerk. Per scenario zijn de voor- en nadelen uiteengezet in termen van financiën, wetgeving, privacy, draagvlak en implementatietermijnen en flexibiliteit om aan te sluiten op toekomstige wensen (vanuit Europa of elders). De eerste resultaten van het onderzoek zijn eind 2022 gepresenteerd. Op dit moment wordt de impact inzichtelijk gemaakt. Dit onderzoeksrapport zal samen met de beleidsreactie in het voorjaar van 2023 aan de Tweede Kamer toegezonden worden. In deze reactie zal ik naast de impact op lopende initiatieven en mijn regierol ook een beeld schetsen van het vervolg.

Vragen van de ChristenUnie-fractie

In de memorie van antwoord schetst de Minister zijn visie op gegevensuitwisseling in de zorg en de prioriteiten die hij daarin wil aanbrengen. Meerdere keren wordt verwezen naar de AVG in het kader van de privacy van de patiënt. In het mondeling overleg van 7 juni 2022 is naar voren gekomen dat de Nederlandse AVG-wetgeving «scherper» is dan de Europese wetgeving op dit gebied. Ook is aangegeven dat de Nederlandse AVG-wetgeving niet altijd positief bijdraagt aan de praktijk van het uitwisselen van gegevens van patiënten, sterker nog, in sommige situaties een hindernis kan zijn. Kan de regering aangeven of binnen de huidige AVG-wetgeving gegevensuitwisseling in de zorg zo vormgegeven kan worden dat deze in de dagelijkse praktijk zonder problemen tot stand kan komen? Zo ja, hoe? Zo nee, is de regering van plan om de AVG aan te passen en hoe ziet die tijdlijn er in de visie van de regering dan uit?

Zoals eerder met uw Kamer is besproken, worden er knelpunten ervaren rondom grondslagen voor gegevensuitwisseling tussen zorgprofessionals ten behoeve van primaire zorg. Mede op verzoek van de Tweede Kamer10 vindt daarom een heroriëntatie van het grondslagenstelsel plaats. In mijn brief van mei 202211 heb ik uw Kamer geïnformeerd over de resultaten van een eerste analyse van de knelpunten. Daarbij heb ik aangegeven dat een verdiepingsslag gemaakt zou worden van deze knelpunten om te bepalen welke van de ervaren knelpunten specifiek het gevolg is van wet- en regelgeving (waaronder – de invulling van de nationale ruimte binnen – de AVG) rondom grondslagen en wat een passende oplossing zou zijn. Op korte termijn zal uw Kamer een brief ontvangen waarin ik hier nader op inga.

In de memorie van antwoord wordt meerdere keren positief gesproken over de regie van de patiënt over de eigen zorggegevens. De leden van de fractie van de ChristenUnie hebben begrip voor deze positie. En toch lijkt er iets te «wringen». Zij doen een poging om dit gevoel te verwoorden. Als eerste, het WRR-rapport Weten is nog geen doen maakt duidelijk dat er grenzen zijn aan de eigen regie. Anders gezegd, er zijn grenzen aan de gezondheidsvaardigheden van burgers. Zelfs als we maximaal investeren in het vergroten van die vaardigheden. Kan de regering hierop reflecteren? Waar liggen in de visie van de regering de grenzen van die regie? Wat betekent dat voor de praktijk van de zelfregie?

De Wegiz ziet op de manier van elektronisch uitwisselen van gegevens (het hoe) in een aangewezen gegevensuitwisseling (het wat) tussen zorgverleners en tussen zorgverleners en cliënt. Dit wetvoorstel gaat daarbij uit van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming (zoals de AVG, de UAVG, de WGBO, de wet BIG en de Wabvpz). Daarin staat óf gegevens uitgewisseld mogen worden. Bijvoorbeeld omdat een client toestemming heeft gegeven. De Wegiz brengt daar geen veranderingen in aan: de mate van regie van cliënten onder de Wegiz verandert niet bij het uitwisselen van gegevens tussen zorgverleners.

De Wegiz kan ook verplichten dat zorgaanbieders gegevens in een aangewezen gegevensuitwisseling beschikbaar stellen voor een PGO. Ik onderschrijf het belang dat burgers voldoende digitale gezondheidsvaardigheden bezitten om, wanneer zij dit willen, deze gegevens te kunnen inzien en begrijpen. Ik zet hier op meerdere manieren op in, bijvoorbeeld door het project «patiëntvriendelijke termen» van Nictiz om medische gegevens voor burgers leesbaarder te maken. Daarnaast wordt er samengewerkt met de PGO alliantie voor het verbeteren van gezondheidsvaardigheden van Nederlandse burgers. Ook ondersteun ik samen met andere ministeries en partijen de Coalitie Digivaardig in de Zorg om digitale vaardigheden van burgers te verbeteren.

Ik merk volledigheidshalve op dat het kabinet in de reactie op het door deze leden genoemde rapport de aanbeveling heeft overgenomen om bij voorgenomen beleid en regelgeving vooraf te toetsen of nieuw beleid of regelgeving «doenlijk» is voor burgers door het uitvoeren van een doenvermogentoets. In het verlengde hiervan is aandacht voor doenvermogen bij de ontwikkeling van beleid en wetgeving aangemerkt als verplichte kwaliteitseis (brief van de Minister voor Rechtsbescherming en de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 22 januari 201812.

Als tweede, het gevaar van de focus op eigen regie is dat onvoldoende recht gedaan wordt aan het feit dat gezondheidsgegevens «geproduceerd» worden in zorgpraktijken en functioneren in die praktijken. Op pagina 17 van de memorie van antwoord schrijft de Minister dat in zorgpraktijken «zorgverleners en cliënten» centraal staan. De leden van de fractie van de ChristenUnie vragen wat dat betekent voor de grenzen van de regie van de cliënt, gezien het feit dat de zorgverlener ook actief bijdraagt aan de productie van de gegevens van de cliënt. In de derde plaats benadrukt de Minister op pagina 15 van de memorie van antwoord dat hij er naar streeft dat de gegevens beschikbaar komen om de juiste zorg op het juiste moment te kunnen verlenen. Betekent dit dat de «eigen regie» begrensd wordt door de norm «juiste zorg op het juiste moment»?

Het zijn beide pijlers in mijn beleid, en allebei belangrijk om onder andere de doelstelling van het IZA te bereiken. Het is niet zo dat het communicerende vaten zijn en dat de ene pijler niet tot stand kan komen zonder de andere pijler. Het is beide belangrijk, maar elk voor een eigen doelstelling. De Wegiz stelt zorgverleners in staat om de juiste zorg op het juiste moment te geven. Dit kan zowel met als zonder dat cliënten meer eigen regie nemen. De Wegiz draagt wel bij aan meer eigen regie door de zorgaanbieders te verplichten bepaalde gegevens van een aangewezen gegevensuitwisseling beschikbaar te stellen voor ontsluiting via een PGO.

Ten slotte, in zorgpraktijken heeft de waarde «solidariteit» altijd een grote rol gespeeld. Vanuit dat perspectief kan verdedigd worden dat het delen van (geanonimiseerde) zorgdata voor het verbeteren van de zorg een belangrijke waarde is. Zou dit niet pleiten voor een opt-out regeling voor het gebruik van data voor wetenschappelijk onderzoek?

Ik ben van mening dat de data die verzameld worden in de zorgsector van grote waarde kunnen zijn voor het verbeteren van de zorg en voor wetenschappelijk onderzoek. Daarom stuur ik in april 2023 een brief naar de Tweede Kamer over mijn visie en strategie voor het secundair gebruik van gezondheidsgegevens. In deze brief beschrijf ik onder meer wat ik beoog te doen voor grondslagen rond het secundair gebruik van gezondheidsgegevens en hoe ik ervoor wil zorgen dat partijen meer vertrouwen kunnen krijgen in het zorgvuldig gebruik van de gezondheidsgegevens. Want alleen als betrokkenen vertrouwen hebben in zorgvuldige omgang met gezondheidsdata, kan er in het zorgstelsel sprake zijn van datasolidariteit en data-altruïsme: de bereidheid (zorg-)data te delen voor een groter publiek belang.

De Minister van Volksgezondheid, Welzijn en Sport, E.J. Kuipers