Kamerstuk

Datum publicatieOrganisatieVergaderjaarDossier- en ondernummer
Tweede Kamer der Staten-Generaal2019-202027529 nr. 209

27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg

Nr. 209 BRIEF VAN DE MINISTER VOOR MEDISCHE ZORG

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 december 2019

Op 4 oktober 2016 heeft uw Kamer de Wet cliëntrechten bij elektronische verwerking van gegevens in de zorg1 aangenomen. Hierbij is toegezegd dat beide Kamers jaarlijks geïnformeerd zullen worden over de voortgang van de wet. De eerste voortgangsrapportage stuurde ik op 12 december 2017 naar uw Kamer (Kamerstuk 27 529, nr. 152) en de tweede voortgangsrapportage ontving uw Kamer op 20 december 2018 (Kamerstuk 27 529, nr. 167). Deze brief vormt de derde voortgangsrapportage en betreft de periode december 2018 tot en met november 2019.

De Wet cliëntrechten bij elektronische verwerking van gegevens in de zorg is opgenomen in de Wet gebruik burgerservicenummer in de zorg (Wet BSN-z) en deze heeft daardoor een nieuwe titel gekregen, namelijk de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)2. De Wabvpz regelt de randvoorwaarden voor elektronische gegevensuitwisseling in de zorg en de beschikbaarheid van gegevens via een elektronisch uitwisselingssysteem.

In mijn vorige rapportage heb ik u gemeld dat het Besluit elektronische gegevensverwerking door zorgaanbieders3 in werking is getreden waarin technische en organisatorische eisen4 zijn opgenomen die gelden voor gegevensverwerking in de zorgsector. Daarnaast heb ik uw Kamer de onderzoeksresultaten van de eerste onderzoeksfase van het programma Gespecificeerde Toestemming Structureel (GTS) gemeld. Inmiddels is uw Kamer geïnformeerd over de uitkomsten van het onderzoek door het programma GTS middels de brief5 die ik uw Kamer deed toekomen. Deze voortgangsrapportage heeft daarom raakvlakken met de brief betreffende GTS.

In deze voortgangsrapportage zal ik ingaan op de artikelen die in werking treden op 1 juli 2020: artikel 15d en artikel 15e. Daarnaast geef ik voortgang op de onderwerpen waar ontwikkelingen te melden zijn: gespecificeerde toestemming, elektronisch uitwisselingssystemen, digitale toegang, elektronische inzage of elektronisch afschrift en logging.

Gespecificeerde toestemming

Op 4 oktober jl. heb ik beide Kamers geïnformeerd over de uitkomsten van het onderzoek door het programma Gespecificeerde Toestemming5. In mijn brief heb ik aangegeven dat de inwerkingtreding van het artikel 15a, lid 2 en artikel 15c lid 2 van de Wabvpz op 1 juli 2020 niet haalbaar is. Ik ben met het veld in gesprek over de herijking van gespecificeerde toestemming, zowel juridisch als technisch en functioneel. In de eerste helft van 2020 doe ik samen met het veld uw Kamer een voorstel voor deze herijking van de invoering van gespecificeerde toestemming op basis van de in de brief genoemde adviezen (inclusief het ATR advies). Daarbij besteed ik ook aandacht aan de implementatie in de zorgpraktijk en de wetgeving die nodig is bijvoorbeeld voorzieningen die nodig zouden kunnen zijn. Denk bijvoorbeeld aan een eventuele toestemmingsvoorziening die werkt op basis van het BSN.

Elektronische uitwisselingssystemen

Elektronische gegevensuitwisseling wordt in de komende jaren nog meer onmisbaar in de zorg. Als analoge uitwisseling van gegevens is toegestaan binnen de behandelrelatie, is het onwenselijk dat voor elektronische uitwisseling van deze gegevens aanvullende toestemming moet worden gegeven.

De Wabvpz verstaat onder elektronische uitwisselingssystemen elektronische gegevensuitwisseling die zo is ingericht dat er patiëntgegevens worden klaargezet voor onbekend later gebruik door nog onbekende raadplegende zorgverleners waarvan op voorhand niet bekend is of deze betrokken (zullen) zijn bij de behandeling (dit leidt tot doorbreking van beroepsgeheim door zorgverlener die gegevens beschikbaar maakt met alleen toestemming van de patiënt als grondslag). Het verwarrende is dat de wet dus onder «uitwisselingssysteem» niet alle uitwisseling schaart, maar alleen die waarin sprake is van een specifieke infrastructurele invulling. Door deze invulling vereisen deze systemen (gespecificeerde) toestemming. Daarbij is deze gespecificeerde toestemming dus niet (persé) gekoppeld aan de behandelrelatie en heeft cliënt vaak slechts beperkte inzage in de raadplegingen door zorgverleners, namelijk alleen door het actief opvragen van de logging. Dit is een onwenselijke situatie.

Daarom onderzoek ik samen met het veld of er gebruiksvriendelijke, juridisch houdbare manieren zijn om betrokken zorgverleners toestemming te verlenen in de context van de actuele behandelrelatie. En of deze toestemming de basis kan zijn voor raadpleging van patiëntgegevens via elektronische uitwisselingsystemen.

De vraag die vervolgens beantwoord dient te worden, is of deze werkwijze (gekoppeld aan inzage van de logging achteraf voor de cliënt) voldoende waarborgen biedt voor de privacy om de gespecificeerde toestemming te kunnen vervangen. Uitgangspunt van deze verkenning is dat een zorgverlener die een behandelrelatie heeft met een patiënt, de relevante zorggegevens kan inzien waar en wanneer dat nodig is voor de behandeling. De uitkomst van deze verkenning stuur ik voor het zomerreces naar uw Kamer.

Digitale toegang

Medische gegevens zijn privacygevoelige gegevens. Het zeker weten van het antwoord op de vragen «wie ben ik en wat mag ik» is daarom extra belangrijk als het gaat om online toegang tot iemands medische gegevens. Daarvoor zijn inlogmiddelen op voldoende betrouwbaarheidsniveau noodzakelijk, die door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) gerealiseerd moeten worden. De Staatssecretaris van BZK heeft de wet Digitale overheid, die hiervoor de kaders biedt, aan uw Kamer aangeboden en toegezegd om zich tot het uiterste in te spannen dat eind 2020 inlogmiddelen op een hoger betrouwbaarheidsniveau («substantieel») breed beschikbaar zijn. Over de voortgang van digitale toegang wordt u door de Staatssecretaris van BZK periodiek geïnformeerd (zie de laatste brief6 van 23 september 2019 aan de Tweede Kamer). De Autoriteit Persoonsgegevens heeft aan mij bij brief van 4 oktober 2018 gemeld dat zodra er een breed beschikbaar inlogmiddel op niveau substantieel aanwezig is dit middel gebruikt moet worden. Daarom is het cruciaal dat de inlogmiddelen en voorzieningen beschikbaar komen en de zorg daar vanaf 2020 op aan kan sluiten, zoals de wet Digitale Overheid ook zal verplichten.

Gelet op de veelheid van digitale diensten in de zorg is het noodzakelijk om het aansluiten van al deze partijen op een slimme en betaalbare wijze te regelen. Hierover ben ik in nauw overleg met het Ministerie van BZK. Ik zal, gezien het belang van veilig inloggen voor het voort kunnen gaan van de digitalisering in de zorg, uw Kamer informeren over de voortgang.

Elektronische inzage en elektronisch afschrift

Op 1 juli 2020 treedt artikel 15d van de Wabvpz in werking, over het recht op elektronische inzage en elektronisch afschrift. Het betreft hier inzage of afschrift van het dossier van de betreffende cliënt of van diens gegevens die de zorgaanbieder via een elektronisch uitwisselingssysteem beschikbaar stelt. Het is vanzelfsprekend dat een persoon recht heeft op elektronische inzage en een elektronisch afschrift van zijn eigen medische gegevens. De WGBO geeft mensen al het recht op inzage of afschrift, zij het op papier of bij de zorgverlener op het scherm. Ook onder de AVG kan een persoon al informatie in een gangbare elektronische vorm krijgen als het verzoek elektronisch wordt ingediend. Op het moment van vaststelling van de artikelen in de Wabvpz was de AVG nog niet van kracht. De Wabvpz is een verbijzondering van de algemene rechten uit de AVG specifiek voor de zorg en elektronische gegevensuitwisseling.

De Wabvpz schrijft de vorm niet voor waarop elektronische inzage of een elektronisch afschrift moet worden ontsloten. Bij elektronische inzage kan gedacht worden aan beveiligde zorgportalen die steeds meer zorgaanbieders beschikbaar stellen, de beweging die leeft rondom de Persoonlijke GezondheidsOmgevingen (PGOs) en ontsluiting van zorggegevens naar een PGO of dat een persoon gegevens digitaal inziet bij een zorgaanbieder. Een ander voorbeeld van elektronische inzage is bijvoorbeeld de website volgjezorg.nl. Net zoals bij elektronische inzage is ook de vorm voor elektronisch afschrift niet voorgeschreven, dit mag bijvoorbeeld ook een pdf-bestand zijn. Het recht op een elektronisch afschrift op grond van de Wabvpz betekent dat zorgaanbieders een voorziening moeten hebben waarmee zeker is dat het afschrift langs een beveiligde weg bij de juiste persoon terecht komt. Hierbij kan gedacht worden aan het per e-mail versturen van een link naar een beveiligde website waar het afschrift beschikbaar wordt gesteld. Het afschrift kan ook in de vorm van een USB-stick met pdf-bestanden worden verstrekt.

Artikel 15d, lid 2 geeft specifiek aandacht aan de gegevensuitwisseling rondom zelfmedicatie. Het is nu al mogelijk dat mensen hun zelfzorgmedicatie laten opnemen bij hun gegevens bij de apotheek. Alle geneesmiddelen die zijn opgenomen in de Geneesmiddelen Standaard (G-standaard) kunnen in het dossier bij de apotheek worden geregistreerd. Zelfzorgproducten zijn opgenomen in de G-standaard. De G-standaard kent een grote dekking in het zorgveld. Net zoals bij een Uitsluitend op Recept verkrijgbaar middel (UR-middel) moet het zelfzorgmedicijn wel voorkomen in de G-standaard om te kunnen opnemen in het dossier van de persoon en om deze gegevens te kunnen uitwisselen met andere zorgaanbieders.

In artikel 15d, lid 3 van de Wabvpz is geregeld dat elektronische inzage en elektronische afschrift van het dossier of van de gegevens die via een elektronisch uitwisselingssysteem beschikbaar zijn gesteld, kosteloos worden verstrekt.

Logging

Artikel 15e van de Wabvpz zal ook op 1 juli 2020 in werking treden, hierin wordt ingegaan op logging en specifiek wat voor loggingsinformatie ook moet worden opgenomen in een afschrift, in aanvulling op de al bestaande plicht tot logging op grond van de AVG. Zoals eerder aangehaald is het Besluit elektronische gegevensverwerking door zorgaanbieders in januari 2018 in werking getreden waarin specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling zijn gesteld. In een van de opgenomen eisen, de NEN 7513, wordt beschreven wat er aan logging beschikbaar moet zijn en aspecten zoals wie wanneer welk dossier heeft geraadpleegd of veranderd. Dit sluit aan bij artikel 15e van de Wabvpz. Begin 2020 zal ik onderzoeken hoever zorgaanbieders zijn met de implementatie van NEN 7513 en wat er nodig is om de loggingsgegevens elektronisch te ontsluiten.

Tijdens het Algemeen Overleg (AO) van 9 oktober 2019 is het idee aangedragen dat een patiënt achteraf een melding krijgt als een zorgverlener het medisch dossier heeft geraadpleegd (Kamerstuk 27 529, nr. 195). De ATR heeft geadviseerd om het vertrouwen dat cliënten hebben in hun zorgverleners als uitgangspunt te nemen. Cliënten moeten er van uit kunnen gaan dat zorgverleners zich verbonden voelen aan hun belang en privacy, en dat zorgverleners uitsluitend gegevens over hun cliënten delen in overeenstemming met hun eed en professionele protocollen, dat wil zeggen alleen wat nodig is in het kader van de behandelrelatie. Dit vertrouwen en de zeggenschap van cliënten over hun gegevens kan volgens de ATR bestaan wanneer cliënten daarbij de mogelijkheid hebben om achteraf zelf vast te stellen welke zorgverleners hun gegevens hebben ingezien.

Er bestaan al verschillende oplossingen voor cliënten om zich achteraf te informeren over raadpleging van hun medische gegevens door zorgverleners. Zo bestaat deze mogelijkheid al voor raadpleging van gegevens via het LSP. Elke keer als gegevens worden uitgewisseld tussen zorgaanbieders via het LSP kunnen patiënten via volgjezorg.nl een melding ontvangen, als deze optie is aangezet door hen. Ook als een zorgaanbieder de verleende toestemming voor uitwisseling via het LSP heeft verwerkt, kunnen patiënten een melding ontvangen als zij hiervoor gekozen hebben. In regionale netwerken die gebruik maken van uitwisselingssystemen is deze inzagefunctie nog niet overal standaard geïmplementeerd. Deze gegevens kunnen wel op aanvraag verkregen worden. Bij de herijking van de invoering van gespecificeerde toestemming zal ik hier nader op in gaan.

Bij de inwerkingtreding van de artikelen 15d en 15e van de Wabvpz zal in het eerste halfjaar van 2020 aanvullende informatie worden gegeven aan het zorgveld. Daarnaast blijft de AVG-helpdesk7 informatie en kennis delen en toegankelijk houden voor alle medewerkers in het zorgveld. Ook doe ik uw Kamer in 2020 een voorstel over de herijking van de invoering van gespecificeerde toestemming. Verder zal ik uw Kamer in 2020 informeren over de voortgang op digitale toegang.

Ik vertrouw erop u hiermee voldoende geïnformeerd te hebben over de implementatie van de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg welke is ondergebracht in de Wabvpz. Volgend jaar zal ik u verder informeren over de voortgang.

De Minister voor Medische Zorg, B.J. Bruins


X Noot
1

Kamerstuk 33 509

X Noot
2

De bepalingen van Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg zijn opgenomen in «Hoofdstuk 3a. Elektronische verwerking van gegevens» van de Wabvpz.

X Noot
3

Gepubliceerd op 28 november 2017 in het Stb. 2017, nr. 446

X Noot
4

NEN 7510 «Informatiebeveiliging in de zorg» en in aanvulling daarop NEN 7512 «Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling» en NEN 7513 «Logging – Vastleggen van acties op elektronische patiëntdossiers».

X Noot
5

Kamerstuk 27 529, nr. 192 en Kamerstuk 27 529, K

X Noot
6

Kamerstuk 26 643, nr. 636

X Noot
7

De AVG-helpdesk voor Zorg, Welzijn en Sport is sinds 15 mei 2018 actief en te benaderen via http://www.avghelpdeskzorg.nl.