Op 27 september 2016 werd de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg1 in de Eerste Kamer behandeld. De Eerste Kamer heeft de wet op 4 oktober 2016 aangenomen (Handelingen I 2016/17, nr. 2, item 8). Hierbij is toegezegd dat beide Kamers jaarlijks geïnformeerd zullen worden over de voortgang van de wet.

Deze brief vormt de eerste voortgangsrapportage en betreft de periode van oktober 2016 tot en met november 2017. De onderwerpen die in deze rapportage aan bod komen zijn: Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, administratieve lasten, dataprotectie by design, toezicht van de Autoriteit Persoonsgegevens en decentraal toegang tot medische dossiers. Als laatst ga ik in op het onderwerp gespecificeerde toestemming. Een aantal van deze onderwerpen heeft betrekking op de moties die zijn aangenomen en op de toezeggingen die zijn gedaan tijdens de wetsbehandeling.

Na de wetsbehandeling is het zorgveld geïnformeerd over de inwerkingtreding van de wet. De koepelorganisaties zijn aangeschreven. Tevens zijn factsheets gemaakt die zijn verspreid in het veld. Zo is onder meer geïnformeerd dat de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg is opgenomen in de Wet gebruik burgerservicenummer in de zorg (Wet BSN-z). De Wet BSN-z heeft daarom een nieuwe titel gekregen, namelijk de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).2

De wet maakt duidelijk welke extra rechten en waarborgen voor patiënten van toepassing zijn bij elektronische gegevensuitwisseling en de beschikbaarheid van gegevens via een elektronisch uitwisselingssysteem. Het gaat hierbij om (1) de noodzaak van gespecificeerde toestemming3 voor het beschikbaar mogen stellen van gegevens, (2) de verplichting van de zorgaanbieder zijn patiënt te informeren over de elektronische gegevensuitwisseling, (3) het recht van de patiënt op kosteloze elektronische inzage in en elektronisch afschrift van het dossier en het recht op aanvulling van gegevens over zelfmedicatie en (4) de bevoegdheid om het BSN te verwerken door de beheerder van het elektronisch uitwisselingssysteem.

Een deel van de wettelijke bepalingen is per 1 juli 2017 in werking getreden. De overige wettelijke bepalingen zullen in werking treden per 1 juli 2020, zodat het zorgveld de tijd krijgt om aan de specifieke wettelijke bepalingen te kunnen voldoen. Aanvullend zijn in een algemene maatregel van bestuur (AMvB) specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling gesteld: het Besluit elektronische gegevensverwerking door zorgaanbieders.4

Toegezegd is u nader te informeren over de administratieve lasten.

Deze nieuwe wet vormt een aanvulling op de bestaande regels van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en de Wet bescherming persoonsgegevens (Wbp). De wet bepaalt de randvoorwaarden waaraan zorgaanbieders moeten voldoen en vormt slechts een nadere invulling op de bestaande wettelijke bepalingen die van toepassing zijn, zoals dossiervorming, toestemming bij inzage van gegevens, logging,5 het verstrekken van gegevens aan derden et cetera. De administratieve lasten worden dus niet verhoogd.

Op dit moment wordt gewerkt aan de uitwerking van gespecificeerde toestemming. Zodra helder is hoe dit in de praktijk zal worden vormgegeven, zal ik overwegen of ik het Adviescollege Toetsing Regeldruk zal inschakelen over de regeldrukeffecten van gespecificeerde toestemming, zoals bij de wetsbehandeling is toegezegd6.

Bij de motie van het lid Bredenoord c.s.7 is de wens uitgesproken om dataprotectie-by-design verder uit te werken als het uitgangspunt voor de elektronische verwerking van medische gegevens.

De aanleiding van deze motie vormt de bijlage van het Besluit vaststelling beleidskader subsidiering versnellingsprogramma informatie-uitwisseling patiënt en professional (VIPP). De VIPP-regeling is voornamelijk gericht op ontsluiting van informatie naar de patiënt, op zodanige wijze dat de gegevens ook elders in het zorgproces kunnen worden ingezet. Daarom zijn in de VIPP-regeling alleen extra eisen ten aanzien van veilige ontsluiting van de informatie opgenomen. Hierin staat een aantal uitgangspunten vermeld, maar dataprotectie-by-design niet.

Dataprotectie-by-design geldt al als uitgangspunt voor verwerking van elektronische verwerking van medische gegevens. De noodzaak tot het toepassen van privacy-by-design principes volgt uit de regelgeving rondom privacy, de Wbp en straks de Algemene Verordening Gegevensbescherming (AVG).8 Op basis van de Wbp geldt de verplichting voor zorginstellingen om zowel passende technische als ook organisatorische maatregelen te treffen. In het Besluit elektronische gegevensverwerking door zorgaanbieders is dit nader uitgewerkt. Hiermee is, het ook voor mij essentiële, dataprotectie-by-design voldoende uitgewerkt als uitgangspunt voor de verwerking van medische gegevens. Daarnaast worden organisaties bij de implementatie van de AVG verplicht om de bescherming van persoonsgegevens vanaf het begin in het ontwerpproces van registraties of systemen mee te nemen.

Bij de wetsbehandeling is toegezegd met de Autoriteit Persoonsgegevens het gesprek aan te gaan over de uitvoering van de gewijzigde motie van het lid Bredenoord.9

De Autoriteit Persoonsgegevens zit momenteel in een transitie naar de implementatie van de AVG per 25 mei 2018. Ik blijf gedurende de transitie in gesprek met de Autoriteit Persoonsgegevens over de uitvoering van de motie. Ik benadruk dat het aan de Autoriteit Persoonsgegevens zelf is als onafhankelijke toezichthouder om jaarlijks zelf te bepalen op welke thema’s en onderwerpen zij haar aandacht gaat richten. In haar agenda voor 2017 heeft de Autoriteit Persoonsgegevens onder meer de thema’s bijzondere persoonsgegevens en beveiliging van persoonsgegevens bovenaan de agenda gezet. Deze thema’s raken ook specifiek privacy in de zorg.

Met de gewijzigde motie van het lid Teunissen c.s.10 is gevraagd om de toegang tot het medisch dossier niet alleen gecentraliseerd, maar ook decentraal via bij de zorgaanbieder vastgelegde toestemmingen en autorisaties mogelijk te blijven houden, zodat patiënten niet verplicht worden om zich aan te melden bij het Landelijk Schakel Punt.

De onderhavige wet is een generieke wet. Hij heeft dus niet specifiek betrekking op een bepaald systeem, noch op de manier waarop zo een systeem is ingericht. Dat betekent dat het mogelijk is en blijft om toestemmingen en autorisaties bij de zorgaanbieder vast te leggen.

In het rapport «Onderzoek zorginfrastructuur» van Nictiz11 dat in april 2017 naar de Tweede Kamer is gestuurd, blijkt dat in de zorg daadwerkelijk van een breed scala aan infrastructuren voor gegevensuitwisseling gebruikt wordt gemaakt: landelijke en regionale infrastructuren en systemen voor specifieke vormen van samenwerking of ontstaan vanuit één specifieke toepassing. Ook de toegang tot het medisch dossier zal in de toekomst mogelijk blijven op decentraal niveau.

Om dit recht voor patiënten mogelijk te maken is het programma Gespecificeerde Toestemming Structureel (GTS) opgezet dat ik subsidie heb toegekend. Het programma GTS is sinds juni 2016 bezig om gespecificeerde toestemming te realiseren door een eigen online omgeving te creëren, waarin burgers zelf hun gespecificeerde toestemming kunnen beheren. Belangrijke aandachtspunten hierbij zijn;

• – het gebruiksgemak voor de burger;

• – privacy-by-design;

• – de mogelijk om toestemmingen en autorisaties bij de zorgaanbieder vast te leggen;

• – hoge performance eisen. Immers, iedere keer dat medische gegevens geraadpleegd worden, moet eerst vastgesteld worden of er toestemming van de patiënt is om gegevens beschikbaar te stellen.

Uit de informatie die ik van het programma GTS heb ontvangen, blijkt dat een Proof of Concept plaatsvindt om de complexiteit van het programma GTS te beheersen. Hierbij worden burgers, zorgaanbieders en leveranciers betrokken. Tot begin 2019 wordt de Proof of Concept uitgevoerd.

De komende maanden wordt door de koepelorganisaties gewerkt aan het gebruiksgemak voor de burger, en daarmee het faciliteren van de burger om daadwerkelijk regie op de uitwisseling van zijn medische gegevens te kunnen voeren. Over de werkbaarheid en de uitwerking hiervan wordt ook overleg gevoerd met de Autoriteit Persoonsgegevens.