Op 4 oktober 2016 heeft uw Kamer de Wet cliëntrechten bij elektronische verwerking van gegevens in de zorg1 aangenomen. Hierbij is toegezegd dat beide Kamers jaarlijks geïnformeerd zullen worden over de voortgang van de wet. De eerste voortgangsrapportage stuurde ik op 12 december 2017 naar uw Kamer (Kamerstuk 27 529, nr. 152) en de tweede voortgangsrapportage ontving uw Kamer op 20 december 2018 (Kamerstuk 27 529, nr. 167). Deze brief vormt de derde voortgangsrapportage en betreft de periode december 2018 tot en met november 2019.

De Wet cliëntrechten bij elektronische verwerking van gegevens in de zorg is opgenomen in de Wet gebruik burgerservicenummer in de zorg (Wet BSN-z) en deze heeft daardoor een nieuwe titel gekregen, namelijk de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)2. De Wabvpz regelt de randvoorwaarden voor elektronische gegevensuitwisseling in de zorg en de beschikbaarheid van gegevens via een elektronisch uitwisselingssysteem.

In mijn vorige rapportage heb ik u gemeld dat het Besluit elektronische gegevensverwerking door zorgaanbieders3 in werking is getreden waarin technische en organisatorische eisen4 zijn opgenomen die gelden voor gegevensverwerking in de zorgsector. Daarnaast heb ik uw Kamer de onderzoeksresultaten van de eerste onderzoeksfase van het programma Gespecificeerde Toestemming Structureel (GTS) gemeld. Inmiddels is uw Kamer geïnformeerd over de uitkomsten van het onderzoek door het programma GTS middels de brief5 die ik uw Kamer deed toekomen. Deze voortgangsrapportage heeft daarom raakvlakken met de brief betreffende GTS.

In deze voortgangsrapportage zal ik ingaan op de artikelen die in werking treden op 1 juli 2020: artikel 15d en artikel 15e. Daarnaast geef ik voortgang op de onderwerpen waar ontwikkelingen te melden zijn: gespecificeerde toestemming, elektronisch uitwisselingssystemen, digitale toegang, elektronische inzage of elektronisch afschrift en logging.

Elektronische gegevensuitwisseling wordt in de komende jaren nog meer onmisbaar in de zorg. Als analoge uitwisseling van gegevens is toegestaan binnen de behandelrelatie, is het onwenselijk dat voor elektronische uitwisseling van deze gegevens aanvullende toestemming moet worden gegeven.

De Wabvpz verstaat onder elektronische uitwisselingssystemen elektronische gegevensuitwisseling die zo is ingericht dat er patiëntgegevens worden klaargezet voor onbekend later gebruik door nog onbekende raadplegende zorgverleners waarvan op voorhand niet bekend is of deze betrokken (zullen) zijn bij de behandeling (dit leidt tot doorbreking van beroepsgeheim door zorgverlener die gegevens beschikbaar maakt met alleen toestemming van de patiënt als grondslag). Het verwarrende is dat de wet dus onder «uitwisselingssysteem» niet alle uitwisseling schaart, maar alleen die waarin sprake is van een specifieke infrastructurele invulling. Door deze invulling vereisen deze systemen (gespecificeerde) toestemming. Daarbij is deze gespecificeerde toestemming dus niet (persé) gekoppeld aan de behandelrelatie en heeft cliënt vaak slechts beperkte inzage in de raadplegingen door zorgverleners, namelijk alleen door het actief opvragen van de logging. Dit is een onwenselijke situatie.

Daarom onderzoek ik samen met het veld of er gebruiksvriendelijke, juridisch houdbare manieren zijn om betrokken zorgverleners toestemming te verlenen in de context van de actuele behandelrelatie. En of deze toestemming de basis kan zijn voor raadpleging van patiëntgegevens via elektronische uitwisselingsystemen.

De vraag die vervolgens beantwoord dient te worden, is of deze werkwijze (gekoppeld aan inzage van de logging achteraf voor de cliënt) voldoende waarborgen biedt voor de privacy om de gespecificeerde toestemming te kunnen vervangen. Uitgangspunt van deze verkenning is dat een zorgverlener die een behandelrelatie heeft met een patiënt, de relevante zorggegevens kan inzien waar en wanneer dat nodig is voor de behandeling. De uitkomst van deze verkenning stuur ik voor het zomerreces naar uw Kamer.

Medische gegevens zijn privacygevoelige gegevens. Het zeker weten van het antwoord op de vragen «wie ben ik en wat mag ik» is daarom extra belangrijk als het gaat om online toegang tot iemands medische gegevens. Daarvoor zijn inlogmiddelen op voldoende betrouwbaarheidsniveau noodzakelijk, die door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) gerealiseerd moeten worden. De Staatssecretaris van BZK heeft de wet Digitale overheid, die hiervoor de kaders biedt, aan uw Kamer aangeboden en toegezegd om zich tot het uiterste in te spannen dat eind 2020 inlogmiddelen op een hoger betrouwbaarheidsniveau («substantieel») breed beschikbaar zijn. Over de voortgang van digitale toegang wordt u door de Staatssecretaris van BZK periodiek geïnformeerd (zie de laatste brief6 van 23 september 2019 aan de Tweede Kamer). De Autoriteit Persoonsgegevens heeft aan mij bij brief van 4 oktober 2018 gemeld dat zodra er een breed beschikbaar inlogmiddel op niveau substantieel aanwezig is dit middel gebruikt moet worden. Daarom is het cruciaal dat de inlogmiddelen en voorzieningen beschikbaar komen en de zorg daar vanaf 2020 op aan kan sluiten, zoals de wet Digitale Overheid ook zal verplichten.

Gelet op de veelheid van digitale diensten in de zorg is het noodzakelijk om het aansluiten van al deze partijen op een slimme en betaalbare wijze te regelen. Hierover ben ik in nauw overleg met het Ministerie van BZK. Ik zal, gezien het belang van veilig inloggen voor het voort kunnen gaan van de digitalisering in de zorg, uw Kamer informeren over de voortgang.

De Wabvpz schrijft de vorm niet voor waarop elektronische inzage of een elektronisch afschrift moet worden ontsloten. Bij elektronische inzage kan gedacht worden aan beveiligde zorgportalen die steeds meer zorgaanbieders beschikbaar stellen, de beweging die leeft rondom de Persoonlijke GezondheidsOmgevingen (PGOs) en ontsluiting van zorggegevens naar een PGO of dat een persoon gegevens digitaal inziet bij een zorgaanbieder. Een ander voorbeeld van elektronische inzage is bijvoorbeeld de website volgjezorg.nl. Net zoals bij elektronische inzage is ook de vorm voor elektronisch afschrift niet voorgeschreven, dit mag bijvoorbeeld ook een pdf-bestand zijn. Het recht op een elektronisch afschrift op grond van de Wabvpz betekent dat zorgaanbieders een voorziening moeten hebben waarmee zeker is dat het afschrift langs een beveiligde weg bij de juiste persoon terecht komt. Hierbij kan gedacht worden aan het per e-mail versturen van een link naar een beveiligde website waar het afschrift beschikbaar wordt gesteld. Het afschrift kan ook in de vorm van een USB-stick met pdf-bestanden worden verstrekt.

Artikel 15d, lid 2 geeft specifiek aandacht aan de gegevensuitwisseling rondom zelfmedicatie. Het is nu al mogelijk dat mensen hun zelfzorgmedicatie laten opnemen bij hun gegevens bij de apotheek. Alle geneesmiddelen die zijn opgenomen in de Geneesmiddelen Standaard (G-standaard) kunnen in het dossier bij de apotheek worden geregistreerd. Zelfzorgproducten zijn opgenomen in de G-standaard. De G-standaard kent een grote dekking in het zorgveld. Net zoals bij een Uitsluitend op Recept verkrijgbaar middel (UR-middel) moet het zelfzorgmedicijn wel voorkomen in de G-standaard om te kunnen opnemen in het dossier van de persoon en om deze gegevens te kunnen uitwisselen met andere zorgaanbieders.

In artikel 15d, lid 3 van de Wabvpz is geregeld dat elektronische inzage en elektronische afschrift van het dossier of van de gegevens die via een elektronisch uitwisselingssysteem beschikbaar zijn gesteld, kosteloos worden verstrekt.

Artikel 15e van de Wabvpz zal ook op 1 juli 2020 in werking treden, hierin wordt ingegaan op logging en specifiek wat voor loggingsinformatie ook moet worden opgenomen in een afschrift, in aanvulling op de al bestaande plicht tot logging op grond van de AVG. Zoals eerder aangehaald is het Besluit elektronische gegevensverwerking door zorgaanbieders in januari 2018 in werking getreden waarin specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling zijn gesteld. In een van de opgenomen eisen, de NEN 7513, wordt beschreven wat er aan logging beschikbaar moet zijn en aspecten zoals wie wanneer welk dossier heeft geraadpleegd of veranderd. Dit sluit aan bij artikel 15e van de Wabvpz. Begin 2020 zal ik onderzoeken hoever zorgaanbieders zijn met de implementatie van NEN 7513 en wat er nodig is om de loggingsgegevens elektronisch te ontsluiten.

Tijdens het Algemeen Overleg (AO) van 9 oktober 2019 is het idee aangedragen dat een patiënt achteraf een melding krijgt als een zorgverlener het medisch dossier heeft geraadpleegd (Kamerstuk 27 529, nr. 195). De ATR heeft geadviseerd om het vertrouwen dat cliënten hebben in hun zorgverleners als uitgangspunt te nemen. Cliënten moeten er van uit kunnen gaan dat zorgverleners zich verbonden voelen aan hun belang en privacy, en dat zorgverleners uitsluitend gegevens over hun cliënten delen in overeenstemming met hun eed en professionele protocollen, dat wil zeggen alleen wat nodig is in het kader van de behandelrelatie. Dit vertrouwen en de zeggenschap van cliënten over hun gegevens kan volgens de ATR bestaan wanneer cliënten daarbij de mogelijkheid hebben om achteraf zelf vast te stellen welke zorgverleners hun gegevens hebben ingezien.

Er bestaan al verschillende oplossingen voor cliënten om zich achteraf te informeren over raadpleging van hun medische gegevens door zorgverleners. Zo bestaat deze mogelijkheid al voor raadpleging van gegevens via het LSP. Elke keer als gegevens worden uitgewisseld tussen zorgaanbieders via het LSP kunnen patiënten via volgjezorg.nl een melding ontvangen, als deze optie is aangezet door hen. Ook als een zorgaanbieder de verleende toestemming voor uitwisseling via het LSP heeft verwerkt, kunnen patiënten een melding ontvangen als zij hiervoor gekozen hebben. In regionale netwerken die gebruik maken van uitwisselingssystemen is deze inzagefunctie nog niet overal standaard geïmplementeerd. Deze gegevens kunnen wel op aanvraag verkregen worden. Bij de herijking van de invoering van gespecificeerde toestemming zal ik hier nader op in gaan.

Bij de inwerkingtreding van de artikelen 15d en 15e van de Wabvpz zal in het eerste halfjaar van 2020 aanvullende informatie worden gegeven aan het zorgveld. Daarnaast blijft de AVG-helpdesk7 informatie en kennis delen en toegankelijk houden voor alle medewerkers in het zorgveld. Ook doe ik uw Kamer in 2020 een voorstel over de herijking van de invoering van gespecificeerde toestemming. Verder zal ik uw Kamer in 2020 informeren over de voortgang op digitale toegang.

Ik vertrouw erop u hiermee voldoende geïnformeerd te hebben over de implementatie van de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg welke is ondergebracht in de Wabvpz. Volgend jaar zal ik u verder informeren over de voortgang.