Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 2 oktober 2020

Goede en tijdige gegevensuitwisseling tussen zorgverleners en met de patiënt is belangrijk voor goede zorg. Te vaak gebeurt die uitwisseling van informatie nog via papieren dossiers, per fax of cd-rom. Dat kost (te) veel tijd en brengt het risico op fouten met zich mee. Zeker als er sprake is van spoed en er nauwelijks tijd is om zelf achter de informatie aan te gaan. Als zorgverleners gegevens elektronisch met elkaar uitwisselen, is de informatie die nodig is voor de behandeling van patiënten sneller beschikbaar. Ook scheelt het administratieve lasten en voorkomt het fouten door bijvoorbeeld het overtypen van gegevens. Daarom zet ik in op goede afspraken voor elektronische gegevensuitwisseling zodat de ontvanger de informatie begrijpt zoals die door de verzender is bedoeld en ook systemen elkaar goed begrijpen.

Leeswijzer

In deze brief wordt beschreven hoe ik regie neem op de beschikbaarheid van, de betrouwbaarheid van en de zeggenschap over gezondheidsgegevens en uitwisseling daarvan. Dit begint met de geplande aanbieding van het wetsvoorstel elektronische Gegevensuitwisseling (Wegiz), die naar verwachting begin 2021 zal plaatsvinden. Daarnaast wordt gewerkt aan een solide juridische basis voor de tijdelijke maatregel om meer gegevens op de spoedeisende hulp beschikbaar te krijgen tijdens de COVID-19 crisis en opvolgende duurzame oplossing. In deze brief ga ik nader in op het voornemen om de artikelen waarmee gespecificeerde toestemming wordt geregeld niet in werking te laten treden.

Ik schets voor welk dilemma het realiseren van een verbetering van de uitwisseling van medicatiegegevens mij wederom stelt. Verder beschrijf ik hoe informatieveiligheid wordt versterkt, met bijzondere aandacht voor het vergroten van het bewustzijn. Daarnaast ga ik in op het toekomstbestendig, veilig en betrouwbaar online identificeren van zorgverleners. Ten slotte geef ik gehoor aan motie van het lid Van den Berg over een wettelijke basis voor gegevensuitwisseling tussen zorgverleners, waarin ik verschillende trajecten schets om gegevensuitwisseling ten behoeve van kwaliteitsregistraties van een wettelijke basis te voorzien en geef ik een update over het recht op elektronische inzage in dossier, verwijsindex en logging.

Ter inleiding

Mijn benadering voor elektronische gegevensuitwisseling is zorgbreed om zo maximaal aan te kunnen sluiten bij de praktijk van de patiënt. Een patiënt heeft immers steeds vaker te maken met meerdere zorgverleners of dat nu de huisarts, het ziekenhuis of bijvoorbeeld de thuiszorg is. Die samenwerking in de zorg vergt gegevensuitwisseling tussen alle betrokken zorgprofessionals en met de patiënt. Daarmee neemt het gebruik van (gezondheids)apps, wearables en persoonlijke gezondheidsomgevingen (PGO’s) onder patiënten en cliënten toe. Het beschermen van gezondheidsgegevens van burgers krijgt hierdoor steeds meer aandacht, zoals bijvoorbeeld blijkt uit de oproep van de Patiëntenfederatie Nederland tot introductie van een «patiëntgeheim»1.

Uitwisseling met de patiënt vooronderstelt dat informatie in digitale vorm beschikbaar is en ook elektronisch tussen zorgaanbieders wordt uitgewisseld. Het wetsvoorstel elektronische gegevensuitwisseling ziet toe dat zorgverleners verplicht worden om stapsgewijs bepaalde gegevens tenminste elektronisch uit te wisselen. Naar verwachting ontvangt uw Kamer begin 2021 het wetsvoorstel. Ik ga in deze brief nader in op de voortgang van het programma Elektronische gegevensuitwisseling in de zorg, waarmee ik voldoe aan de toezegging uit de derde brief Gegevensuitwisseling2 om u jaarlijks te informeren. Ik geef u in deze brief ook de laatste stand van zaken van het beschikbaar krijgen van meer informatie op de spoedeisende hulp (SEH) zoals toegezegd in de brief van maart 20203. De huidige coronacrisis onderstreept het belang van de beschikbaarheid van goede, tijdige gegevens in het geval van spoed.

Op de lange termijn streef ik naar gegevensuitwisseling die de zorg volgt, zoals mijn voorganger ook al aan uw Kamer schreef. Zodat bijvoorbeeld de technische inrichting niet aanvullende toestemming afdwingt waar die volgens de WGBO niet nodig is zodat keuzevrijheid ontstaat voor zorgaanbieders. Het op korte termijn beschikbaar krijgen van meer informatie stelt mij, net als ik u in maart heb geschreven4 toen het ging om de uitwisseling van gegevens bij spoed, ook bij het delen van medicatiegegevens voor een dilemma. Mijn beleid blijft er voor de lange termijn op gericht om geen infrastructuren voor specifieke gegevensuitwisselingen te verplichten. Daarmee voldoe ik aan de motie van de leden Van Kooten-Arissen en Hijink waarin wordt opgeroepen niet één infrastructuur te verplichten voor zorgprocessen5. Tegelijkertijd zijn er al infrastructuren met brede dekkingsgraad voor sommige gegevensuitwisselingen in gebruik. In deze brief licht ik dit dilemma toe.

Voor vertrouwen in gegevensuitwisseling tussen zorgprofessionals en met patiënten moeten mensen er op kunnen vertrouwen dat de zender en ontvanger zijn wie ze zeggen dat ze zijn en dat de informatie niet is gemanipuleerd. Ik informeer u in deze brief over hoe ik werk aan toekomstbestendige, veilige identificatie van zorgverleners wanneer informatie elektronisch wordt uitgewisseld.

Als er elektronisch wordt uitgewisseld dan moet dit veilig gebeuren. Ik informeer u in deze brief over de acties die zijn ondernomen en die ik nog neem op het gebied van informatieveiligheid (zoals toegezegd in de brief over informatieveiligheid in de zorg6).

Zorgverleners wisselen niet alleen onderling uit maar ook met hun cliënten en patiënten die daarmee regie op eigen zorg en op eigen gegevens kunnen nemen. Dat is waarom ik actief inzet op de beschikbaarheid van, het vertrouwen in en de zeggenschap over gezondheidsgegevens en uitwisseling ook bij en met mensen zelf. Maar ook zeggenschap over wie welke gegevens mag inzien, als dat niet al op andere wijze wettelijk geregeld is, is daar een belangrijk onderdeel van. Waar sprake is van ongerichte beschikbaarstelling vooraf moet dit zelf kunnen regelen van toestemming, in lijn met eerdere adviezen van het Adviescollege Toetsing Regeldruk7, wel duidelijk, gebruiksvriendelijk en hanteerbaar blijven. Ik heb uw Kamer in dit kader eerder geïnformeerd over de afwegingen met betrekking tot de gespecificeerde toestemming (GTS) zoals die beoogd was voor uitwisseling in de zorg waarbij gewerkt wordt op basis van ongerichte beschikbaarstelling vooraf. In deze brief deel ik mijn voornemen om de artikelen waarmee gespecificeerde toestemming wordt geregeld niet in werking te laten treden en de richting die ik wel kies. Hiermee voldoe ik aan het verzoek uit de motie van de leden Van den Berg en Raemakers8 en de toezegging uit de eerdere Kamerbrief over Gespecificeerde Toestemming (GTS) om de invoering van gespecificeerde toezegging te herijken9.

Elektronische gegevensuitwisseling in de zorg – Wegiz en programma

Het wetgevingstraject ligt op schema. De reacties op de internetconsultatie zijn verwerkt en ik verwacht wetsvoorstel Wegiz dit najaar voor te kunnen leggen aan de Raad van State. Ik streef ernaar om gelijktijdig met het aanbieden van het wetsvoorstel aan uw Kamer een concept-AMvB gegevensuitwisseling ten aanzien van digitaal receptenverkeer gereed te hebben. Daarnaast worden het zorgveld en ICT-leveranciers uitgebreid geïnformeerd over de betekenis en impact van deze wet en hoe zich daarop voor te bereiden. De afgelopen tijd zijn de reacties uit de internetconsultatie en de uitgevoerde toetsen gewogen en verwerkt in de herziening van het wetsvoorstel.

Het wetsvoorstel legt de basis om bij AMvB het elektronisch uitwisselen van specifieke zorggegevens tussen specifieke aanbieders te verplichten. Bijvoorbeeld beelduitwisseling tussen ziekenhuizen of de overdracht van gegevens van ziekenhuis naar thuiszorg. Dit is spoor 1. Op deze wijze wordt nog geen volledige interoperabiliteit bereikt, maar is bijvoorbeeld een uitwisseling op uitsluitend papier of cd-rom niet meer toegestaan.

In spoor 2 wordt door het veld zelf (waaronder zorgaanbieders, zorgverleners en leveranciers van ICT-producten) een norm ontwikkeld onder begeleiding van het Nederlandse normalisatie instituut (NEN). In deze norm wordt beschreven op basis van welke afspraken op het gebied van taal en techniek de uitwisseling dient te verlopen. Deze normen worden middels AMvB verplicht voorgeschreven. Informatietechnologieproducten of -diensten binnen een dergelijke aangewezen gegevensuitwisseling, worden van tevoren getoetst of ze voldoen aan de gestelde eisen in de norm. Alleen zo kan interoperabiliteit gerealiseerd worden. Deze beoordeling gebeurt door middel van een privaat certificeringsstelsel.

Certificaten worden hierbij afgegeven door een certificerende instelling. Dit is een privaatrechtelijke rechtspersoon die – om certificaten te kunnen afgeven – in beginsel een accreditatie nodig heeft van de Raad van Accreditatie. Omdat deze certificerende instellingen ook een publiekrechtelijke taak vervullen (het certificaat bepaalt namelijk of een aanbieder zijn product wel of niet op de markt mag aanbieden) voorziet het wetsvoorstel erin dat de Minister de certificerende instelling aanwijst. Hierdoor ontstaat de mogelijkheid om op te treden als de certificerende instelling zijn werk niet goed doet, door de aanwijzing weer in te trekken. Het wetsvoorstel wijzigt niets aan de bestaande wet- en regelgeving als het gaat om de benodigde grondslag om uit te wisselen. Als er geen grondslag is voor uitwisselen van gegevens, is onderhavig wetsvoorstel niet van toepassing.

Aanpak en Methodiek Programma Gegevensuitwisseling in de Zorg

Ik wil dat het proces om tot een wettelijke verplichting voor elektronische uitwisseling van gegevens te komen zorgvuldig, transparant en keer op keer herhaalbaar is. Ik heb uw Kamer toegezegd dat iedere AMvB wordt voorgehangen. Dat is voor mij reden u hierbij in het kort te informeren hoe dit proces «Van idee naar AMvB» tot stand komt. In dit proces wordt de juiste balans aangebracht tussen snelheid en zorgvuldigheid.

Uitgangspunt voor de voorfase is dat het aanleveren, de selectie en prioriteitstelling van gegevensuitwisselingen transparant en objectief vormgegeven wordt. Daarvoor zijn criteria benoemd om tot een gewogen oordeel te komen. Deze criteria zijn de toegevoegde waarde voor de zorg, de realiseerbaarheid en het draagvlak. Vorig jaar is uw Kamer geïnformeerd10 over de eerste editie van de Roadmap. In het kader van de wet spreek ik bij voorkeur over een Meerjarenagenda Wegiz om hiermee het middellange termijnkarakter te onderstrepen en de verschillende gegevensuitwisselingen ook uit te kunnen zetten over tijd. Deze agenda wordt in nauwe samenspraak met de vertegenwoordigers uit het zorgveld – waaronder het Informatieberaad – vastgesteld en periodiek herijkt. De Meerjarenagenda Wegiz wordt na het vaststellen met uw Kamer gedeeld.

In de daaropvolgende voorbereidingsfase worden twee instrumenten ingezet om een realistisch beeld van de toegevoegde waarde en uitvoerbaarheid te krijgen: de Maatschappelijke Kosten en Baten Analyse (MKBA) en de volwassenheidsscan (VHS). De scan geeft antwoord op de vraag: «hoe «implementatiegereed» is het zorgveld?». De MKBA toetst de maatschappelijke toegevoegde waarde van een specifieke gegevensuitwisseling. Met het inzetten van beide instrumenten wordt de beslissing om een gegevensuitwisseling wel of niet te gaan verplichten onderbouwd. Hierbij worden ook de implicaties voor de bekostiging betrokken. In de toetsing wordt meegenomen of de wettelijke verplichting in een spoor 1 of spoor 2 traject gestart wordt. Het instrument «volwassenheidsscan» wordt momenteel ontwikkeld en wordt naar verwachting aan het einde van dit jaar voor het eerst beproefd voor de gegevensuitwisseling digitaal receptenverkeer.

In de uitvoeringsfase worden voorstellen voor de bekostiging, implementatie en de transitieperiode gebaseerd op de uitkomsten van de volwassenheidsscan en de MKBA. Het reviseren van bestaande NEN-normen of ontwikkelen van nieuwe NEN-normen, om deze per AMvB te kunnen verplichten wordt ook in deze fase uitgevoerd. In een AMvB kunnen eisen worden gesteld die ertoe leiden dat uitwisseling van gegevens niet alleen elektronisch, maar ook volledig op interoperabele wijze plaatsvindt. Er kunnen meerdere gegevensuitwisselingen tegelijkertijd in de uitvoeringsfase bevinden, aangezien de doorlooptijd tot de realisatie van een wettelijke verplichting verschilt per gegevensuitwisseling. De geschatte doorlooptijd per AMvB en bijbehorend normeringstraject ligt tussen de 1 tot 3 jaar.

In de nazorgfase wordt toegezien op de afspraken over onder andere het onderhoud van normen (door de NEN) en het stelseltoezicht (door de IGJ, certificerende instellingen en de RvA).

Stand van zaken prioritaire gegevensuitwisselingen

Vanaf begin dit jaar is, gelijktijdig met het wetstraject (Wegiz), begonnen met het uitwerken van een van de geprioriteerde gegevensuitwisselingen: digitaal receptenverkeer. Hierin zijn afgelopen periode veel stappen gezet. Dit jaar zijn voor deze gegevensuitwisseling belangrijke randvoorwaarden gecreëerd voor de implementatie, in februari van dit jaar is de kwaliteitsstandaard «Overdracht van medicatiegegevens in de keten» in het Openbaar Register van het Zorginstituut Nederland ingeschreven. De voorbereidingen van de implementatie van deze gegevensuitwisseling zijn in volle gang en de verwachting is dat er in de eerste helft van 2021 wordt gestart met de realisatie van digitaal receptenverkeer samen met het veld.

De eerste verkennende MKBA is op deze uitwisseling uitgevoerd, en heeft genoeg baten getoond om hier op in te zetten. Voor digitaal receptenverkeer is de noodzakelijke revisie van de NEN-norm in de afrondende fase, en ik werk aan het opstellen van een AMvB voor deze gegevensuitwisseling. Beoogd is dat eind van dit jaar zowel de concept-AMvB voor digitaal receptenverkeer als de bijbehorende NEN-7503 norm in samenhang in publieke consultatie gaan. Ik streef ernaar de concept-AMvB voor digitaal receptenverkeer gelijktijdig met het wetsvoorstel naar uw Kamer te sturen.

Gateway Review

Om een onafhankelijk oordeel te hebben waar ik met het programma sta is in juni 2020 een Gateway review 0 uitgevoerd. De Gateway Review is een onafhankelijke, collegiale en vertrouwelijke toetsing van de programma-start. Uit deze gateway blijkt dat er veel draagvlak is zowel binnen als buiten de overheid om dit programma tot een succes te maken. Tegelijkertijd doet het reviewteam aanbevelingen om het programma tot een goed einde te brengen. De Gateway Review is als bijlage bij deze brief gevoegd11.

De Gateway Review is gehouden op een moment dat het programma nog volop bezig was met de voorbereiding van het wetsvoorstel. Inmiddels wordt het programma omgevormd naar een professioneel inhoudelijk en goed gepositioneerd uitvoeringsprogramma. Hiermee volg ik het belangrijkste advies van het reviewteam op. De aanbeveling over de governance heeft geleid tot een heldere en kortere sturingslijn vanuit het programma naar de ambtelijk opdrachtgever en stuurgroep. Vanwege de complexe omgeving en de vele verschillende stakeholders wil de Bestuursraad de rol van stuurgroep (blijven) vervullen. In de afgelopen maanden is de aanpak «Van idee naar AMvB» uitgedacht, waarover ik u eerder in deze brief informeer. Er wordt gewerkt in multidisciplinaire projectteams om daarmee zo goed mogelijk de aanwezige kennis vanuit VWS en de zorgsector te betrekken. Het programma maakt nu de overgang van «wetgevingsprogramma» naar «uitvoeringsprogramma». Hierbij wordt de communicatie met en betrokkenheid van het zorgveld verder versterkt door onder andere een afstemmings- en overlegstructuur op te zetten.

Er staat inmiddels een sterkere programmaorganisatie, maar het invulling geven aan alle aanbevelingen en het borgen daarvan duurt naar verwachting nog tot het einde van dit jaar. Als eerder toegezegd informeer ik uw Kamer jaarlijks over de voortgang en bereikte resultaten van het programma gegevensuitwisseling in de zorg.

Beschikbare gegevens bij spoed en de corona opt-in

In het bijzonder in spoedsituaties waarbij tijd een cruciale factor is, is het van belang zoveel mogelijk tot elektronische gegevensuitwisseling te komen. Dit wordt benadrukt in de motie van de leden Van den Berg en Raemakers12; in een acute situatie moeten essentiële gegevens snel toegankelijk zijn, zoals ziektes waaraan een patiënt lijdt, medicijngebruik, recente labuitslagen en allergieën. In de brief van maart 202013 zijn de lijnen en uitgangspunten geschetst waarmee bij spoed meer gegevens beschikbaar kunnen komen. Op het moment van het verschijnen van de brief, brak echter de coronacrisis uit. Dit leidde onder andere tot de tijdelijke Corona Opt-In.

Corona Opt-in

Om de druk op de zorg te ontlasten is de Corona Opt-in ontwikkeld. De Minister van VWS informeerde u al eerder hierover in de COVID-19 brieven14. De Corona Opt-in is een tijdelijke maatregel waarmee de belangrijkste gegevens van de huisarts beschikbaar komen op de huisartsenpost en de spoedeisende hulp (SEH) van mensen die nog niet eerder hun toestemming over gegevensdeling hebben kenbaar gemaakt. Het is de intentie om deze maatregel niet langer dan strikt noodzakelijk van kracht te laten zijn. De noodzaak en proportionaliteit van de maatregel zijn leidend en worden voortdurend getoetst. Zo kijkt de Autoriteit Persoonsgegevens (AP) opnieuw naar de maatregel en de uitvoering daarvan. Uiterlijk 1 oktober 2020 beoordeelt de AP of de maatregel mag worden gecontinueerd.

De Minister van VWS kondigde aan dat bezien wordt of een algemene maatregel van bestuur (AMvB) nodig is om de uitzondering op de toestemmingsvereiste te borgen. De AP is inderdaad van mening dat de Corona Opt-in – een gedoogsituatie – een juridische basis moet hebben. Daar wordt momenteel aan gewerkt. De AMvB gaat voor advies naar de AP en naar verwachting in december naar de Raad van State. Het streven is om de AMvB daarvoor in de Tweede en Eerste Kamer voor te hangen. Hij zou dan in het eerste kwartaal van 2021 in werking moeten treden.

Stappen op weg naar meer beschikbare gegevens bij spoed

De Corona Opt-In is geen blijvende oplossing omdat de gegevensuitwisseling in dit geval nog niet de zorg volgt maar gewerkt wordt met ongerichte beschikbaarstelling van gegevens voorafgaand aan het ontstaan van de zorgbehoefte zelf. Naast de tijdelijke Corona Opt-In maatregel is daarom ook tijdens de coronacrisis doorgewerkt aan de actielijnen uit de brieven van december 2019 en maart 202015. In de brief van 20 december 201916 kondigde mijn ambtsvoorganger onder andere aan dat hij zich in het Informatieberaad wil inzetten om de uitwisseling van de Basis Gegevensset Zorg (BgZ) tussen ziekenhuizen de hoogste prioriteit te geven. Uit de besprekingen in het Informatieberaad, maar ook met de Vereniging van Spoedeisende Hulpartsen bleek dat informatie over de BgZ inderdaad relevant is, maar dat op korte termijn allereerst behoefte is aan de meest relevante informatie uit de professionele samenvatting van de huisarts.17 Het Informatieberaad Zorg heeft in vervolg hierop op 20 april 2020 besloten dat de gehele richtlijn «Gegevensuitwisseling tussen huisarts, huisartsenpost, ambulancedienst en spoedeisende hulp» voor het einde van 2021 wordt geïmplementeerd, zodat de voor acute zorg benodigde gegevens kunnen worden uitgewisseld.

Ook aan de andere actielijnen die in de voorgaande brieven zijn beschreven, zal gewerkt blijven worden, zoals het standaardiseren van de toestemmingsvraag. Ook de gesprekken met leveranciers wil ik weer op gaan pakken. Niet alleen over de mogelijkheden en snelheid waarmee relevante gegevens van de huisarts op de SEH beschikbaar kunnen komen, maar ook over de onderlinge koppeling van systemen tussen ziekenhuizen, zodat gegevens ook van het ene ziekenhuis naar de SEH van het andere ziekenhuis kunnen stromen.

Herijking Gespecificeerde toestemming (GTS)

Medische gegevens zijn bijzonder gevoelige gegevens. Zoals eerder gemeld aan uw Kamer18 is voor mij bij het delen van medische gegevens de behandelrelatie zoals gedefinieerd in de Wet op de geneeskundige behandelovereenkomst (Wgbo) het uitgangspunt. Gegevens moeten dan ook bij voorkeur de zorg zelf volgen. Daar biedt de Wgbo ook grondslagen voor. Bijvoorbeeld vanwege verwijzing, consultatie of medebehandeling. Dan mag de toestemming om gegevens uit te wisselen worden verondersteld.

De Wabvpz ziet als het gaat om gespecificeerde toestemming toe op een bepaalde technische inrichting van gegevensuitwisseling in de zorg. Namelijk die waarbij de zorgprofessional die over medische gegevens beschikt deze met toestemming vooraf van de patiënt beschikbaar stelt voor nog ongericht, onbekend later gebruik. Dit vereist toestemming van de patiënt, omdat er nog geen sprake is van een andere grondslag voor het uitwisselen van gegevens. Waar de Wabvpz spreekt over «uitwisselingssystemen» ziet dit dus niet op alle gegevensuitwisseling maar op uitwisseling die gebruik maakt van deze specifieke technische inrichting.

Op 4 oktober 2019 heeft mijn voorganger beide Kamers geïnformeerd over de uitkomsten van de onderzoeken door het programma Gespecificeerde Toestemming Structureel (GTS) en het Adviescollege Toetsing Regeldruk (ATR) naar gespecificeerde toestemming19. Daarbij is aangegeven dat de inwerkingtreding van artikel 15a, tweede lid en artikel 15c van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) per 1 juli 2020 niet haalbaar was en dat met een voorstel voor herijking van de gespecificeerde toestemming gekomen zou worden. Wel of geen toestemming (ja/nee) of 28 vinkjes aankruisen is niet voldoende gespecificeerd en als het wel voldoende gespecificeerd is (160 vinkjes), is het voor de burger niet werkbaar.20

Het doel van gespecificeerde toestemming is maximale zeggenschap te geven aan burgers over wie welke gegevens wanneer kan inzien in het kader van zorg en behandeling. Die zeggenschap werkt alleen als de wijze van toestemmingsverlening duidelijk, gebruiksvriendelijk en hanteerbaar kan worden uitgevoerd.

De afgelopen maanden ben ik met het veld in gesprek geweest hierover en het blijkt niet mogelijk om toestemming voor het vooraf beschikbaar stellen van medische gegevens op een hanteerbare manier te specificeren zoals vooraf wel voorzien was. Hierom besluit ik om artikel 15a, tweede lid en artikel 15c, tweede lid van de Wabvpz niet in werking te laten treden. Dit betekent dat voor het gebruik van elektronische uitwisselingssystemen zoals gedefinieerd in de Wabvpz de huidige situatie van uitdrukkelijke toestemming (ja/nee) – op vrijwillige basis- blijft bestaan. In deze paragraaf licht ik dit nader toe.

Oplossingsrichtingen naar aanleiding van herijking GTS

Ik streef om die reden naar een situatie waarbij het delen van gegevens zoveel mogelijk gericht verloopt. Waarbij dus niet alleen sprake meer is van infrastructuren waarin gegevens ongericht, vooraf klaargezet zijn. Maar waarbij gegevens – net zoals nu in de analoge wereld – digitaal beschikbaar komen in het kader van een behandelrelatie. Dit is ook zo opgenomen in het wetsvoorstel elektronische gegevensuitwisseling in de zorg.

Dat is anders voor uitwisselingen waarvoor de WGBO geen grondslag geeft anders dan uitdrukkelijke toestemming van de patiënt (zoals bij het opvragen van gegevens uit een vorige behandelrelatie). Op dit moment, in de analoge wereld, worden deze gegevens bijvoorbeeld op papier of dvd bij de vorige behandelaar opgevraagd. De patiënt geeft daar in de praktijk aan de behandelend, opvragend arts toestemming voor. Maar feitelijk wordt dan toestemming gegeven aan de geraadpleegde vorige behandelaar omdat deze het beroepsgeheim doorbreekt en informatie verstrekt. Wanneer toestemming nodig is en waarom is niet altijd voor iedereen duidelijk. Om het veld te ondersteunen wanneer welke grondslag voor uitwisseling vereist is draag ik zorg voor een factsheet waarin het toestemmingsvraagstuk voor zowel zorgverleners als patiënten inzichtelijk wordt gemaakt.

Het verkrijgen van de juiste toestemmingen is in de huidige praktijk voor zorgverleners soms erg ingewikkeld. Wanneer informatie uit een andere behandelrelatie elders opgevraagd moet worden, moet allereerst een vorige behandelaar gevonden en gecontacteerd worden. De toestemming van de patiënt hiervoor moet, bijvoorbeeld met een schriftelijke verklaring, worden bewezen. En tot slot moeten de gegevens ook nog worden uitgewisseld. Daarom wil ik ook samen met het veld een digitale variant uitwerken waarbij de uitwisseling gericht kan plaatsvinden na digitale uitdrukkelijke toestemming door de burger en waarbij de zorgverlener die gegevens verstrekt kan vertrouwen op deze toestemming.

Ik acht het – in de geest van de motie van de leden Van den Berg en Raemaekers en de achterliggende bedoeling van de betreffende artikelen – van groot belang dat de burger kan kiezen om zijn/haar medische gegevens vooraf beschikbaar te stellen als een uitwisseling toch via een elektronisch uitwisselingssysteem verloopt. Op deze manier behoudt de burger de regie over zijn medische gegevens.21 Die regie kan alleen vorm krijgen als het geven van deze toestemming duidelijk, hanteerbaar en gebruiksvriendelijk kan. Mijns inziens is dit niet mogelijk.

De ATR wijst in haar advies tot slot op het belang van helderheid van de herkomst van gegevens en inzage in wie bepaalde informatie heeft ingezien en op welk moment. In dat kader is per 1 juli 2020 de plicht van de zorgaanbieders om deze gegevens te loggen wettelijk geregeld. Zo kan de burger uitwisselingen achteraf controleren en zo de regie houden.

Uitwisselingen die in de toekomst wettelijk verplicht elektronisch gaan verlopen moeten, zo is opgenomen in het voorstel voor de Wegiz, ook anders dan ongericht via een elektronisch uitwisselingssysteem, kunnen verlopen. Hiervoor is dan geen aanvullende uitdrukkelijke toestemming conform de Wabvpz vereist.

Daarnaast ben ik een apart spoedzorgtraject gestart waarover u in de vorige paragraaf heeft kunnen lezen. Uitgangspunt bij het uitwisselen van (medische) gegevens bij spoedzorg is het principe van informed consent: toestemming van de patiënt is vereist.

Tenslotte ga ik met het veld aan de slag om gegevens uit een vorige behandelrelatie eenvoudiger beschikbaar te krijgen. Met deze drie acties draag ik bij aan regie voor de patiënt op zijn medische gegevens die ik en uw Kamer zo van belang achten. De omvang van de gegevensuitwisseling waarop gespecificeerde toestemming van toepassing zou zijn zal hierdoor de komende jaren ook dalen.

Medicatieoverdracht

Medicatieveiligheid is belangrijk. Op dit moment zijn er jaarlijks meer dan 25.000 vermijdbare ziekenhuisopnames en 1000 dodelijke slachtoffers door medicatiefouten.22 Onder meer omdat sommige patiënten meerdere voorschrijvers (huisarts, verpleeghuisarts, specialist, SEH-arts) en verstrekkers hebben die onvoldoende zicht hebben op reeds voorgeschreven medicatie. Vanzelfsprekend moet de kans op medicatiefouten verkleind worden.

In eerdere brieven heb ik u meegenomen in mijn wens om te komen tot versnelling van de elektronische gegevensuitwisseling in de zorg. Daarbij is voor mij niet de techniek maar het primaire zorgproces leidend. Het verheugt mij u te kunnen melden dat door het gehele zorgveld gewerkt wordt aan verbetering en verdere digitalisering van de medicatieoverdracht. Naast een verdere digitalisering van het receptenverkeer kan een grootschalige reductie van het aantal medicatiefouten en -slachtoffers met name gerealiseerd worden door het beschikbaar hebben van een kloppend, actueel medicatieoverzicht. Een dergelijk actueel medicatieoverzicht – inclusief laboratoriumuitslagen en informatie over intoleranties, contra-indicaties en allergieën – geeft belangrijke informatie aan zorgverleners voor het geven van de juiste medicatie en daarmee de juiste zorg. Als een zo compleet mogelijk medicatieoverzicht bij elke stap van het medicatieproces geraadpleegd kan worden, verkleint dit de kans op medicatiefouten.

Zoals in deze brief aangegeven (onder digitaal receptenverkeer Wegiz) heeft eerder dit jaar inschrijving bij het Zorginstituut Nederland (ZiN) plaatsgevonden met een overkoepelende kwaliteitsstandaard. Deze bevat ook een master implementatieplan geaccordeerd door de bestuurders van de 24 koepels in het zorgveld. Alle partijen in het zorgveld willen nu starten met de implementatie van de herziene richtlijn Medicatieoverdracht om te komen tot een verbetering van de medicatieveiligheid. Bovenstaand actueel medicatieoverzicht is onderdeel van deze herziene Richtlijn Medicatieoverdracht. Essentieel voor goede zorg is een actueel medicatieoverzicht. Tegelijkertijd kan dit alleen opgesteld worden met uitdrukkelijke toestemming van de patiënt. Dat heeft te maken met het feit dat een actueel medicatieoverzicht samengesteld wordt uit informatie uit mogelijke andere of eerdere behandelrelaties. De zorgverlener die dergelijke informatie uit een andere behandelrelatie verstrekt aan de samensteller van het medicatieoverzicht doorbreekt het beroepsgeheim. De WGBO kent geen grondslag voor het doorgeven van dergelijke informatie aan een andere behandelaar dan uitdrukkelijke toestemming.

Daarnaast is het opstellen van een medicatieoverzicht complex. Immers: elke andere zorgprofessional in Nederland kan medicatie hebben voorgeschreven of verstrekt, gegevens hebben over allergieën, etc. Er is geen eenduidige bron van deze informatie. In de huidige praktijk wordt daarom voornamelijk gewerkt met beschikbaarstelling vooraf van relevante informatie voor nog onbekend later gebruik. Daarvoor wordt het Landelijk Schakelpunt (LSP) samen met aanpalende voorzieningen, zoals voor zorgadressen (Zorgadresboek) en toestemmingen23 in combinatie met regionale (zgn. XDS) netwerken gebruikt. Op dit moment zijn er ruim 6.000 zorgaanbieders aangesloten op het LSP. In februari 2020 zijn via de zorgaanbieders 12,6 miljoen toestemmingen geregistreerd voor de uitwisseling van medicatie, contra-indicaties en allergieën. Er zijn op dit moment geen andere infrastructuren met een dergelijke adoptiegraad.

Net als mijn voorganger in zijn brief van 16 maart 202024 heeft aangegeven in relatie tot spoedgevallen, wil ik deze toestemmingen voor medicatiegegevens, contra-indicaties en allergieën zoveel mogelijk kunnen hergebruiken opdat zorgverleners bij een behandeling een zo compleet mogelijk medicatieoverzicht kunnen samenstellen. Om snel stappen te kunnen zetten in de reductie van medicatiefouten hebben de sectoren vorig jaar zelf besloten om naast eventuele andere infrastructuren vooralsnog te willen gaan starten met het LSP.

Tegelijkertijd wijs ik in lijn met het wetsvoorstel elektronische gegevensuitwisseling in de zorg niet één infrastructuur verplichtend aan. Met mijn inzet nu op het (her)gebruik van bestaande toestemmingen en het LSP wil ik voorkomen dat een gebruikelijke efficiënte route wordt afgesloten met mogelijk tot gevolg een afname van raadpleegbare en zo compleet mogelijke medicatiegegevens, en daarmee een toename van medicatiefouten. Dat laat onverlet dat ook andere leveranciers in de toekomst, als zij aan open standaarden voldoen, de gegevensuitwisseling kunnen (blijven) ondersteunen. In mijn brief over open standaarden en open architecturen die ik binnenkort naar uw kamer stuur zeg ik meer over het gewenste open karakter van het informatiestelsel zorg. Daarbij wordt ook het op dit moment ontbreken van een grondslag voor het melden van relevante informatie ten behoeve van een dergelijk overzicht meegenomen.

Informatiebeveiliging

Het delen en benaderen van gegevens moet veilig verlopen. Of het nu gaat over gegevens ten tijde van spoed of in het kader van een verwijzing naar een andere zorgverlener. Cyberincidenten en datalekken komen helaas nog met enige regelmatig voor. Het onderzoek van de Onderzoeksraad voor Veiligheid dat u eerder dit jaar ontving25 benadrukt de kwetsbaarheid van zowel digitale informatievoorziening als de continuïteit van patiëntenzorg.

Het Cybersecuritybeeld Nederland (CSBN2020)26 laat bovendien zien dat ik waakzaam moet zijn op cyberspionage in verband met de bestrijding van covid-19.

Gedurende de coronacrisis is er een tijdelijk wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni) tot stand gekomen om de digitale weerbaarheid te vergroten van bij de COVID-19-bestrijding betrokken organisaties (Kamerstuk 35 497). Met deze wetswijziging kunnen deze organisaties informatie, advies en bijstand van het Nationaal Cyber Security Centrum (NCSC) krijgen. Uw Kamer heeft deze wet op 2 juli 2020 (Handelingen II 2019/20, nr. 91, item 27). besproken en aangenomen. Mijn uitgangspunt blijft dat zorginstellingen primair zelf verantwoordelijk zijn voor eigen informatiebeveiliging. Een ondersteunende en kaderstellende overheid is wel essentieel om zorginstellingen digitaal veilig te houden.

Stand van zaken her-beoordelen vitaal verklaren zorg

Ik heb u eerder geïnformeerd over het wel of niet Vitaal verklaren van de zorg27. Zo op het eerste oog ligt het voor de hand de zorg in Nederland vitaal te verklaren, de zorg is immers voor ons allen een essentiële dienst.

Vitaal verklaren geeft het NCSC eerder zicht op digitale incidenten, omdat organisaties verplicht worden incidenten te melden en daarnaast krijgen deze organisaties het recht om ondersteund te worden door het NCSC in het geval van dreiging. Hierdoor kunnen zij de dreiging beter bestrijden. Een vitaal verklaring levert niet alleen maar voordelen op voor de zorgorganisatie; zo kan het verplicht bij het NCSC melden van incidenten, ook als deze niet-verstorend zijn, en het technisch en organisatorisch kunnen verwerken van meldingen van het NCSC leiden tot hoge administratieve lasten. Ik kijk de komende periode in overleg met het veld of hierin voor onderdelen van de gezondheidszorg iets veranderd is, conform de motie van het Kamerlid Van den Berg28. Begin 2021 rapporteer ik hierover aan uw Kamer. Ondertussen bereik ik de voordelen van vitaal verklaren, zoals een betere digitale weerbaarheid, ook op een andere manier. Bijvoorbeeld is het door mij gesteunde Z-CERT sinds 24 januari van dit jaar aangewezen als computercrisisteam zoals bedoeld in de wet Beveiliging Netwerk- en Informatiesystemen (Wbni), waarmee de bij Z-CERT aangesloten partijen, waaronder alle ziekenhuizen, al aanspraak kunnen maken op dreigingsinformatie en beveiligingsadviezen van het NCSC.

Versterking Z-CERT

Als expertisecentrum cybersecurity voor de zorg heeft Z-CERT tijdens de coronacrisis opnieuw zijn meerwaarde bewezen. Een groot aantal informatiebeveiligingsbedrijven in Nederland heeft met Z-CERT de krachten gebundeld in het platform «Wij helpen ziekenhuizen». Het platform werkte aan het voorkomen van cyberaanvallen op de zorgsector. In de afgelopen maanden heeft het initiatief een aantal keren expertise aangeboden aan zorginstellingen. Grote incidenten zijn volgens Z-CERT in die periode niet voorgekomen. Begin juli is het platform in sluimerstand gegaan, maar indien nodig kan het weer worden geactiveerd. Daarnaast is Z-CERT begin dit jaar opgenomen in het Landelijk Dekkend Stelsel en aangewezen als computercrisisteam. Dit maakt het mogelijk voor het NCSC om zoveel mogelijk dreigingsinformatie en handelingsperspectieven over cybersecurity te delen met Z-CERT en daarmee met de daarbij aangesloten zorginstellingen.

In februari van 2019 riep uw Kamer mij op om te verkennen of deelname van zorgaanbieders aan Z-CERT verplicht kan worden29. Met dit middel, verplichte aansluiting, moet een betere informatiebeveiliging in de zorg bereikt worden, ook in geval een zorginstelling niet wil aansluiten. Zoals ik in mijn brief Informatieveiligheid en Privacy van oktober 201930 heb aangegeven wil ik deelname aan Z-CERT in beheerst tempo laten verlopen, zodat de continuïteit en kwaliteit van de dienstverlening van Z-CERT gelijke tred kan houden. Om een beheerst tempo te kunnen aanhouden onderzoek ik samen met Z-CERT welke sectoren in de zorg nu de meeste risico’s lopen en baat hebben bij een versnelde aansluiting bij Z-CERT. Hiermee bereik ik een gepast tempo van aansluiten én het zo veel mogelijk terugdringen van risico’s. De eerste bevindingen wijzen erop dat de jeugdzorg (met name de gecertificeerde instellingen), de huisartsenzorg en de GGD-en prioriteit moeten krijgen bij aansluiten bij Z-CERT. Wat betreft zorgverleners die niet kunnen of willen aansluiten, neem ik de regie door zorginstellingen te ondersteunen in het bewust maken van de risico’s en van het belang van informatiebeveiliging. Dit past in mijn beleid van het bewust worden, beveiligen, bewaken en blussen. Van belang is dat organisaties zich eerst bewust worden van de risico’s die zij lopen en de waarde van informatiebeveiliging voor hun werk. Daarna heeft aansluiting bij Z-CERT het meeste effect. Verplichte deelname is hierbij minder effectief.

Naar aanleiding van eerdere datalekken medio 2019 in de jeugdzorg zijn er pentesten uitgevoerd op ICT-systemen in de jeugdzorg. De Minister van VWS heeft uw Kamer op 20 juni 2020 geïnformeerd over de informatiebeveiliging in de jeugdzorg. De Staatssecretaris van VWS houdt u op de hoogte van de vervolgstappen31.

De leden van GGZ Nederland hebben in samenspraak met Z-CERT recentelijk besloten om in het eerste kwartaal van 2021 over te gaan tot collectieve aansluiting bij Z-CERT. Naast de collectieve aansluiting van de GGZ zijn inmiddels ook alle ziekenhuizen (academisch, topklinisch en algemeen) aangesloten, eveneens de categorale instellingen zoals revalidatiecentra en diagnostische centra voor zover ze lid zijn van de NVZ en een aantal care- en jeugdhulpinstellingen. Met de collectieve aansluiting van de GGZ-sector heeft Z-CERT in totaal circa 200 deelnemers. Dit waren in 2019 nog circa 120 en in 2018 circa 60 deelnemers.

Conclusie OVV-rapport: Ziekenhuizen niet goed voorbereid op ICT-storingen

Op basis van eigen onderzoek naar «patiëntveiligheid bij ICT-uitval in ziekenhuizen» concludeert de Onderzoeksraad voor Veiligheid (OVV)32 dat ziekenhuizen niet goed voorbereid zijn op ICT-storingen. Het «ononderbroken functioneren van digitale systemen» is cruciaal en is tegelijk een vraagstuk dat continue aandacht van de zorgsector behoeft om de zorgcontinuïteit te kunnen waarborgen. Meer inzicht en bewustzijn over de risico’s en gevolgen van ICT-storingen draagt bij aan een meer adequate sturing van dit vraagstuk, aldus de OVV. Het rapport richt zich met het advies tot de koepels Nederlandse Federatie van Universitair Medische Centra (NFU) en Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Inspectie Gezondheidszorg en Jeugd (IGJ). Daarom neem ik de reactie van deze partijen op het OVV-rapport mee.

De koepelorganisaties NFU en NVZ onderschrijven33 de conclusies van de OVV dat er in de gezondheidszorg sprake is van een groeiende afhankelijkheid van geautomatiseerde informatievoorziening in de (primaire) bedrijfsprocessen. Als eerste stap ontwikkelen de NVZ en de NFU, in samenwerking met hun leden, praktische handvatten voor de beheersing van en reactie op digitale storingen.

De IGJ geeft in een schriftelijke reactie aan zich te herkennen in het beeld dat de OVV schetst. Naar aanleiding van de aanbevelingen van de OVV neemt de IGJ dit onderwerp nog uitgebreider mee in de gesprekken met het veld. Ook scherpt de IGJ het toezicht verder aan. Ik neem de ervaringen van IGJ mee in mijn beleid voor meer bewustwording om dit te bewerkstelligen op die plekken waar dat het hardst nodig is.

Bewustwording

Zoals ik u in mijn vorige brief meldde steun ik de vereniging Brancheorganisaties Zorg (BOZ) in het project «Informatieveilig gedrag in de zorg». Er lopen op dit moment meerdere pilots om gestructureerde gedragsverandering van informatieveilig gedrag in de praktijk toepasbaar te maken. Verder wordt er gekeken naar vormen om de resultaten uit de pilots om te zetten in concrete acties die te benutten zijn voor alle zorgorganisaties.

Het verbeteren van informatieveiligheid en privacybescherming is een continu en meerjarig proces. Ik blijf daarom werken aan het voortdurend uitwerken en up-to-date houden van de eerder met u gedeelde 4B aanpak (Bewust worden, Beveiligen, Bewaken en Blussen).

Zorgverlener identificatie

Voor de juiste zorg op de juiste plek is het randvoorwaardelijk dat zorgprofessionals toegang krijgen tot de juiste (medische) informatie op het juiste moment, waarbij de privacy van patiënten en cliënten gewaarborgd is. Daarvoor is het van belang dat zorgaanbieders en zorgverleners zich op een veilig en betrouwbare manier digitaal kunnen identificeren, authentiseren en autoriseren voor het uitwisselen van medische gegevens. Daarom geef ik op dit moment elektronische identificatiemiddelen uit aan zorgaanbieders en zorgprofessionals via het Unieke Zorgverlener Identificatie Register (UZI-register)34.

De techniek achter de huidige UZI-middelen raakt verouderd en is niet toekomstbestendig. Daarom ben ik deze zomer gestart met het project «toekomstbestendig maken UZI». Doel van dit project is om – in samenspraak met het zorgveld – te komen tot digitale identificatiemiddelen voor algemeen gebruik in het zorgveld. Dit moet de uitgifte van de huidige UZI-middelen op termijn vervangen. Mijn streven is om in de eerste helft van 2021 een eerste concept te presenteren van de oplossingsrichting en uw Kamer te informeren over verdere ontwikkelingen.

Overige

Kwaliteitsregistraties

In het AO Gegevensuitwisseling van 9 oktober 2019 (Kamerstuk 27 925, nr. 195) heeft uw Kamer met de motie van het lid Van den Berg35 de regering verzocht «te zorgen dat er een wettelijke basis wordt gemaakt dat zowel gegevensuitwisseling tussen zorgverleners als kwaliteitsregistraties adequaat kunnen geschieden». Op dit moment werk ik aan verschillende trajecten om gegevensuitwisseling ten behoeve van kwaliteitsregistraties van een wettelijke basis te voorzien.

Zo heb ik inmiddels voor twee kwaliteitsregistraties een wetsvoorstel naar uw Kamer gestuurd, het gaat bij dit wetsvoorstel om de registraties LADIS en LTR36. Eveneens werk ik aan een wetsvoorstel om de benodigde rechtsgrondslagen te creëren voor de verwerking van gepseudonimiseerde persoonsgegevens door kwaliteitsregistraties in de medisch specialistische zorg in vervolg op het advies van de commissie Governance van kwaliteitsregistraties en het advies van de kwartiermaker Hugo Keuzenkamp dat ik 25 augustus 2020 naar uw Kamer heb gestuurd37. Naar verwachting zal ik voor dit wetsvoorstel dit jaar de internet consultatie starten. Tenslotte bereid ik het maken van wettelijke verwerkingsgrondslagen voor kwaliteitsregistraties binnen de GGZ voor.

Recht op elektronische inzage in dossier, verwijsindex en logging

Op 1 juli 2014 heeft uw Kamer de Wet cliëntrechten bij elektronische verwerking van gegevens in de zorg, thans de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg aangenomen38 (Handelingen II 2013/14, nr. 100, item 11). Hierin is toegezegd dat beide Kamers jaarlijks worden geïnformeerd over de voortgang van de wet. Vanaf 1 juli 2020 hebben patiënten en cliënten het recht op kosteloze elektronische inzage in en een elektronisch afschrift van het medisch dossier. De norm NEN7513, die betrekking heeft op logging, wordt dit najaar de betrokken brancheorganisaties van zorgaanbieders in samenwerking met NEN en VWS gereviseerd. Over de voortgang van deze revisie zal ik u in de vierde voortgangsrapportage eind dit jaar nader berichten.

Moties open standaarden

Op de motie van het lid Van den Berg39 over uitbreiding van de set aan basiseisen voor gegevensuitwisselingssystemen en de motie van het lid Hijink40 over open standaarden en koppelingen voor gegevensuitwisseling kom ik terug in mijn brief over open standaarden en open architectuur later dit jaar.

Tot slot

Het mogelijk maken van effectieve elektronische gegevensuitwisseling tussen zorginstellingen is een van de dragers van een toekomstbestendige sector. Het blijkt geen eenvoudige opgave: zowel de techniek, wet- en regelgeving als het zorgveld zijn in ontwikkeling en stellen kaders die nog niet altijd goed op elkaar aansluiten. Ik ben positief gestemd over de toenemende betrokkenheid van partijen in het veld om gezamenlijk te werken aan het realiseren van meer elektronische gegevensuitwisselingen. De technologische mogelijkheden die we hebben, staan ten dienste van goede zorg voor patiënten. Ik heb dan ook goede hoop dat het gebruik van de fax binnen afzienbare tijd echt tot het verleden behoort.

De Minister voor Medische Zorg, T. van Ark