27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg

Nr. 121 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 januari 2013

Tijdens het Algemeen Overleg over (de doorstart van) het landelijk schakelpunt (LSP) heb ik u toegezegd schriftelijk te zullen reageren op de brief van 18 december 2012 van Privacy Barometer en het bestuur van Burgerrechtenvereniging Vrijbit. Met deze brief voldoe ik aan deze toezegging.

In hun brief noemen Privacy Barometer en het bestuur van Burgerrechtenvereniging Vrijbit 12 punten.

Deze punten hebben betrekking op:

  • 1. Beschikkingsrecht op medische gegevens

  • 2. Informatie naar patiënten

  • 3. De mogelijkheid voor patiënten om autorisatie (i.c. toestemming) te verlenen of in te trekken

  • 4. Het gebruik van het BSN in de zorgsector

  • 5. Niet beperken tot één systeem

  • 6. Nut en noodzaak van gegevensuitwisseling

  • 7. Evaluatie van het gebruik van systemen voor gegevensuitwisseling

  • 8. Meldplicht voor datalekken

  • 9. Zorgverzekeraars zouden niet mogen beschikken over medische gegevens

  • 10. Europese of mondiale systemen voor uitwisseling van medische gegevens

  • 11. (Medische) gegevens naar andere landen (Patriot Act)

  • 12. De patiënt en de zorgverlener centraal

1. Beschikkingsrecht op medische gegevens

De rechten die patiënten hebben op grond van de Wet bescherming persoonsgegevens (Wbp) gelden ook voor elektronische gegevensuitwisseling.

Zo hebben patiënten bijvoorbeeld recht op inzage in en afschrift van hun dossier. Zorgaanbieders zijn volgens de Wet geneeskundige behandelovereenkomst (WGBO) verplicht een dossier van de patiënt bij te houden en zijn verantwoordelijk voor de juistheid en actualiteit van de inhoudelijke medische gegevens. Vanaf 1 januari 2013 geldt dat alleen gegevens van patiënten die daarvoor expliciet toestemming hebben gegeven mogen worden uitgewisseld via de landelijke infrastructuur. Patiënten kunnen hun toestemming te allen tijde intrekken.

In het een wetsvoorstel dat ik bij uw Kamer heb ingediend wordt het volgende geregeld:

  • De mogelijkheid voor de patiënt om elektronische inzage in en een elektronisch afschrift van het dossier te eisen;

  • De plicht van de zorgverlener om toestemming aan de patiënt te vragen voordat medische gegevens opvraagbaar worden gemaakt ten behoeve van elektronische uitwisseling (opt-in) en het vragen van toestemming voor het elektronisch opvragen van gegevens;

  • Het recht van de cliënt om (een) bepaalde (categorie van) hulpverleners op voorhand uit te sluiten van de gegevensuitwisseling;

  • Een verbod voor zorgverzekeraars om elektronische uitwisselingssystemen voor zorgaanbieders te raadplegen en aanzienlijk hogere straffen als ze dat wel doen.

In een algemene maatregel van bestuur op grond van de Wbp worden specifieke functionele, technische en organisatorische eisen gesteld aan elektronische gegevensuitwisseling in zijn algemeenheid.

2. Informatie naar patiënten

In het kader van de communicatie rondom het landelijk EPD is aan uw Kamer toegezegd burgers te informeren over het stopzetten van de betrokkenheid van het ministerie van VWS bij het landelijk EPD in de context van een private doorstart.

In overleg met de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) en de patiëntenfederatie NPCF is een advertentie, folder en wachtkamerposter opgesteld om de burger te informeren. De communicatiemiddelen zijn getest onder burgers op begrijpelijkheid en leesbaarheid. Naast uitleg over de zorginfrastructuur en de manier waarop toestemming gegeven kan worden, geeft de folder antwoord op de meest gestelde vragen over de zorginfrastructuur. Uw Kamer heeft daarbij aangedrongen op een realistische weergave.

In de folder is dan nu ook opgenomen dat ondanks alle maatregelen die worden genomen om de privacy van de burger te borgen, geen 100% garantie is te geven dat er geen poging tot misbruik wordt gedaan.

Uiteindelijk is het aan de zorgverlener om de patiënt adequaat te informeren over de gegevensuitwisseling en hier toestemming voor te vragen. Het is vervolgens aan de patiënt of hij wel of geen toestemming geeft voor de uitwisseling van medische gegevens.

3. De mogelijkheid voor patiënten om autorisatie (i.c. toestemming) te verlenen of in te trekken

Van de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) heb ik begrepen dat patiënten vanaf medio 2013 de mogelijkheid hebben om een persoonlijk toestemmingsprofiel te maken: zij kunnen dan aangeven welke zorgaanbieder wel of niet hun gegevens mag raadplegen of voor inzage beschikbaar mag stellen. Dit stemt overeen met het wetsvoorstel waarin het recht voor cliënten is opgenomen om bepaalde zorgaanbieders of categorieën van zorgaanbieders, van de gegevensuitwisseling uit te sluiten.

Ook wordt de functie ingebouwd dat patiënten een bericht krijgen als hun gegevens zijn geraadpleegd.

Daarnaast kunnen patiënten in overleg met de huisarts of apotheker bepaalde gegevens uit het dossier laten afschermen.

4. Het gebruik van het BSN in de zorgsector

Met de Wet algemene bepalingen burgerservicenummer (Wabb) is het BSN geïntroduceerd. Met het BSN kunnen persoonsgebonden gegevens doelmatig en betrouwbaar uitgewisseld worden binnen de overheid en tussen de overheid en burgers. De Wet Gebruik Burgerservicenummer in de zorg (Wbsn-z) regelt dat ook binnen de zorgsector gebruik gemaakt kan worden van het BSN. Sinds 1 juni 2009 zijn zorgaanbieders, indicatieorganen en zorgverzekeraars verplicht het BSN van hun patiënten vast te leggen in hun administratie én te gebruiken bij de onderlinge gegevensuitwisseling (zowel elektronisch als niet elektronisch) over patiënten.

Gebruik van het BSN in de zorg voorkomt persoonsverwisseling, geeft betere bescherming tegen identiteitsfraude en vermindert het aantal fouten bij het uitwisselen van gegevens.

Om ongewenst gebruik van het BSN in de zorg te voorkomen, zijn randvoorwaarden gesteld op het gebied van juiste en zorgvuldige omgang met persoonsgegevens en informatiebeveiliging.

Ik zie dan ook geen reden waarom men zou moeten stoppen met het gebruik van het BSN in de zorg.

5. Niet beperken tot één systeem

Er is geen sprake van een monopolie op het gebruik van het LSP. Aansluiting op het LSP is niet verplicht, zorgaanbieders houden de mogelijkheid een eigen of alternatief systeem te gebruiken. Overigens leveren verschillende leveranciers zorginformatiesystemen die via het LSP informatie kunnen uitwisselen. Deze systemen moeten daartoe uiteraard wel gekwalificeerd zijn.

Inhoudelijke bemoeienis van een beheerder van een elektronisch uitwisselingssysteem met welke gegevens worden uitgewisseld of de inhoud daarvan, moet niet aan de orde zijn. Dit is aan de zorgaanbieder en de patiënt wiens gegevens het betreft. Regels hierover zullen worden vastgelegd in de AMvB op grond van artikel 26 Wbp.

6. Nut en noodzaak van gegevensuitwisseling

Het feit dat onlangs een convenant is ondertekend geeft aan dat de zorgsector het belang onderkent van veilige elektronische gegevensuitwisseling.

Verder is de noodzaak van gegevensuitwisseling aan de orde gesteld in het rapport «Staat van de Gezondheidszorg» van de IGZ (oktober 2011).

7. Evaluatie van het gebruik van systemen voor uitwisseling van medische gegevens

Het gebruik van het LSP wordt continu gemonitord door de VZVZ. Uitgangspunt is uiteraard dat de zorginfrastructuur moet voldoen aan geldende wet- en regelgeving. Het CBP ziet daarop toe.

8. Meldplicht voor datalekken

Een meldplicht voor medische data incidenten wordt opgenomen in de aanpassingen van Europese privacy wetgeving. Hierin is opgenomen dat datalekken moeten worden gemeld bij het College Bescherming Persoonsgegevens. Dit is verwerkt in het wetsvoorstel «gebruik camerabeelden en meldplicht datalekken» van de staatssecretaris van Veiligheid en Justitie (V en J) en de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK).

Het wetsvoorstel introduceert de plicht voor bedrijven en overheden die persoonsgegevens verwerken om een datalek zo snel mogelijk te melden bij het CBP. Als een datalek niet wordt gemeld, kan het CBP het bedrijf of de overheidsinstantie een boete van maximaal € 200.000,– opleggen.

Bij het wetsvoorstel dat u ik bij uw Kamer heb ingediend betrek ik de motie Kuiken (nr 99) over de uitbreiding van het sanctieregime. Daarnaast is in de huidige wet- en regelgeving geregeld dat er sprake is van een strafbaar feit als een zorgverzekeraar ongeoorloofd het LSP raadpleegt. Hij maakt zich dan schuldig aan computervredebreuk (art. 138ab Wetboek van strafrecht).

Ook kan het zo zijn dat er een overtreding van de Wet bescherming persoonsgegevens (Wbp) heeft plaatsgevonden. Op grond van de Wbp zijn verschillende sancties mogelijk: bestuursdwang, bestuurlijke boete en strafrechtelijke sancties.

9. Zorgverzekeraars zouden niet mogen niet beschikken over medische gegevens

Zorgverzekeraars (en keuringsartsen en arbo-artsen) hebben geen toegang tot en nemen geen deel aan de uitwisseling van gegevens. Ook in het wetsvoorstel dat ik bij uw Kamer heb ingediend is expliciet opgenomen dat zorgverzekeraars, arbo-artsen en bedrijfsartsen geen toegang hebben tot elektronische uitwisselingssystemen.

10. Europese of mondiale systemen medische data uitwisselingsystemen

Nederland is betrokken bij het project European Patient Smart Open Services (EPSOS). Nederland doet niet mee aan pilots. Op dit moment vindt een pilot plaats in onder andere Tsjechië, Oostenrijk, Spanje en Frankrijk. Mocht het ooit tot deelname aan EPSOS komen, dan geldt ook daarvoor – als voor elk elektronisch uitwisselingssysteem – dat een cliënt altijd expliciet toestemming moet geven voor uitwisseling van zijn gegevens.

11. (Medische) gegevens naar andere landen (Patriot Act)

De Patriot Act maakt het in specifieke situaties mogelijk dat een Amerikaans bedrijf wordt gedwongen om gegevens die zij beheren, af te staan. CSC, de bouwer en beheerder van het LSP, is een Amerikaans bedrijf. De VZVZ, de verantwoordelijke voor het LSP, heeft aangegeven dat zij een verklaring van CSC hebben geëist, waarin staat dat het risico is uitgesloten dat de inhoud van medische dossiers wordt verstrekt aan Amerika.

Zoals ik reeds bij de beantwoording van de Kamervragen Klever (PVV) heb aangegeven vind ik het niet toelaatbaar dat de Nederlandse wet en regelgeving niet wordt toegepast en nageleefd. Ik zal dan ook de uitkomsten van het overleg tussen VZVZ en CSC grondig bestuderen. Daarnaast heeft Nederland met de Verenigde Staten een bilateraal rechtshulpverdrag en heeft de minister van Veiligheid en Justitie gezien de brede gevolgen op basis van de motie Schouw dit op EU-niveau geagendeerd.

12. De patiënt en de zorgverlener centraal

Ook ik ben van mening dat de patiënt centraal moet staan. Dat vinden ook de bij de doorstart van het LSP betrokken partijen, getuige het op 5 november 2012 ondertekende convenant waarin nadrukkelijk als eerste uitgangspunt staat genoemd: «De relatie patiënt - zorgverleners is leidend voor de gekozen oplossingen.» Ook in het wetsvoorstel over elektronische gegevensuitwisseling staat de positie van de cliënt centraal.

De minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers

Naar boven