Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 december 2022

Goede elektronische gegevensuitwisseling in de zorg wordt steeds belangrijker, voor zowel zorgverleners als patiënten. De vraag om het sneller en beter kunnen uitwisselen van gegevens neemt toe; een goed informatiestelsel is steeds vaker randvoorwaardelijk voor het kunnen leveren van goede zorg. Het wordt ook steeds duidelijker dat daarbij een stevige rol van de overheid nodig is. Het zorgveld en uw Kamer vragen al langer om meer regie en dit geeft mij de mogelijkheden om op het vraagstuk van elektronische gegevensuitwisseling in de zorg meer te sturen en te interveniëren.

Er is het afgelopen jaar veel vooruitgang geboekt op belangrijke onderwerpen, met het aannemen van de Wegiz door uw Kamer als belangrijkste mijlpaal. Als elektronische gegevensuitwisseling in de zorg verplicht wordt dan betekent dat echter ook dat het aanpalend beleid en de randvoorwaarden goed ingevuld moeten worden. Elektronische gegevensuitwisseling is een breed thema waar veel op gebeurt en ik ben over een breed scala aan onderwerpen met uw Kamer in gesprek geweest het afgelopen jaar. Over de volgende onderwerpen wordt uw Kamer gelijktijdig met deze brief via aparte brieven geïnformeerd: het afwegingskader generieke functies en de impactanalyses op de EHDS.

Deze brief is bedoeld om u een stand van zaken te geven op een aantal andere onderwerpen. De volgende onderwerpen komen aan de orde:

• 1. Coalitieakkoord, Integraal Zorgakkoord (IZA) en het informatieplan VWS 2023–2027: ik begin deze brief met voortgang op een aantal afspraken uit het Coalitieakkoord en het IZA. Dit betreft de nationale visie en strategie op gegevensuitwisseling die aangekondigd is in het IZA en de besteding van de in het Coalitieakkoord (Bijlage bij Kamerstuk 35 788, nr. 77) beschikbaar gestelde middelen voor de standaardisatie van gegevensuitwisseling in de zorg. Daarnaast beantwoord ik de vraag van lid Van den Berg over de planning bij het Informatieplan 2023–2027.

• 2. Landelijke infrastructuur: ik informeer uw Kamer over de stand van zaken van het rapport over scenario’s voor een landelijk dekkend netwerk voor gegevensuitwisseling en de API-strategie van Nictiz.

• 3. De ICT-markt in de zorg: ik informeer uw Kamer over de stand van zaken van het actieplan ten aanzien van de ICT-markt in de zorg.

• 4. Informatieveiligheid: ik rapporteer over de voortgang van het programma Informatieveilig gedrag in de zorg en ik kom terug op het amendement van de leden Hijink en Van den Berg over het gebruik van end-to-end encryptie in de zorg.

• 5. Bescherming gegevens: ik kom terug op de motie Van den Hil c.s. met het verzoek om eigenaarschap van medische gegevens te definiëren, de motie Van der Plas over het correct en veilig gebruik van data onder de Wegiz en een toezegging over het opslaan van gegevens van wearables in een Europese cloud.

• 6. Het programma Elektronische gegevensuitwisseling in de zorg (Egiz): Ten slotte rapporteer ik over de voortgang op het programma Egiz.

1. Coalitieakkoord, Integraal Zorgakkoord en het Informatieplan VWS

In zowel het Coalitieakkoord als het IZA zijn afspraken gemaakt over het standaardiseren van gegevensuitwisseling. Dit is het gevolg van het feit dat er vanuit de overheid meer sturing op het verbeteren van gegevensuitwisseling in de zorg wordt gevraagd. In het IZA is nog dit jaar een nationale visie en strategie op gegevensuitwisseling aangekondigd, met deze visie en strategie wil ik richting geven aan de manier waarop ik de afspraken uit zowel het IZA als het coalitieakkoord wil invullen. Daarnaast is eerder dit jaar in de planningsbrief naar aanleiding van het Coalitieakkoord1 uw Kamer voor het eind van dit jaar een brief toegezegd over de standaardisatie van gegevenswisseling. Over zowel de visie en strategie als de planningsbrief wil ik hier voortgang rapporteren. Daarnaast wil ik hier de vraag van het lid Van den Berg over de planning van de acties uit het Informatieplan VWS 2023–2027 beantwoorden, dit informatieplan schetst mijn beleid op standaardisatie van gegevensuitwisseling en ik ben van plan uw Kamer in Q1 van het volgend jaar op verschillende van deze acties nader te informeren.

Nationale visie en strategie

Aan de nationale visie en strategie over elektronische gegevensuitwisseling in de zorg wordt thans de laatste hand gelegd. De visie wordt met verschillende veldpartijen opgesteld en afgestemd, dit proces is nog niet helemaal afgerond. Uw Kamer ontvangt deze visie daarom in het eerste kwartaal van 2023.

Planningsbrief standaardisatie gegevensuitwisseling

Ik werk op dit moment nog aan de nadere uitwerking van de afspraken over gegevensuitwisseling in het Coalitieakkoord; de planningsbrief met de verdere uitwerking van de coalitieakkoord middelen kunt u daarom verwachten bij de voorjaarsnota van 2023. Ik wil uw Kamer hier wel alvast meenemen in de doelstellingen waarop ik de inzet van de coalitiemiddelen baseer. Deze zijn gebaseerd op het versnellen en verbeteren van lopende beleidsactiviteiten, de nationale visie en strategie (zie paragraaf 1), gemaakte afspraken met de sector (bijvoorbeeld IZA en WOZO) en het toekomstbestendig maken van de zorg. Meer specifiek werken we aan:

• 1. De basis van elektronische gegevensuitwisseling op orde brengen en verstevigen. Afspraken over en implementatie van standaarden, generieke functies en andere randvoorwaarden zijn nodig om elektronische gegevensuitwisseling op een eenvoudige en op een veilige wijze beschikbaar te stellen en daadwerkelijk gebruik te stimuleren.

• 2. Een goed functionerende persoonlijke gezondheidsomgeving (PGO).

  Een PGO draagt bij aan de doelstellingen rond eigen regie en samen beslissen, waardoor zorg effectiever kan worden ingezet en mensen actief kunnen werken aan hun eigen gezondheid. Over de stand van zaken met betrekking tot de PGO’s heb ik uw Kamer in juni 2022 geïnformeerd.2

• 3. Ondersteuning van de sector bij implementatie. Op het gebied van standaardisering en elektronische gegevensuitwisseling komt de komende jaren veel af op de zorg. Op dit moment wordt bekeken welke aanpassingen in het zorglandschap aanvullend financieel ondersteund moeten en kunnen worden.

Om een vollediger en reëler beeld te krijgen van de totale kosten die samenhangen met een goede infrastructuur voor gegevensuitwisseling is aan KPMG gevraagd om hiernaar onderzoek uit te voeren. Het rapport is als bijlage bij deze brief meegestuurd. Het rapport van KPMG beraamt de eerder genoemde componenten die moeten worden geregeld en in samenhang noodzakelijk zijn: (1) generieke functies; (2) standaardisatie afspraken; en (3) verbinden van infrastructuur. KPMG schat de kosten op ruim € 2,2 mld voor de komende 5 jaar. Belangrijk punt van aandacht is dat hierbij ook kosten zijn meegenomen die samenhangen met het implementeren van de afspraken over standaardisatie en die primair door het zorgveld moeten worden gedragen. Zoals ik ook in de plenaire behandeling van de Wegiz met uw Kamer heb besproken, ben ik van mening dat de zorginstellingen deze kosten zelf moeten dragen. Tegelijk is het belangrijk dat er geen vertraging ontstaat bij de implementatie van bijvoorbeeld de gegevensuitwisselingen. Daarom volgt in de meerjarige uitwerking die uw Kamer gaat ontvangen ook een aantal uitgangspunten met betrekking tot de voorgenomen inzet van coalitieakkoordmiddelen. Een ander aandachtspunt is dat de kosten in sommige gevallen zijn geraamd en afhankelijk zijn van onderzoeken of verdere beleidskeuzes. Afgelopen jaar zijn voor sommige activiteiten ook meer recente cijfers beschikbaar gekomen. In de meerjarige uitwerking van de inzet van coalitieakkoordmiddelen wordt gebruik gemaakt van op dat moment beschikbare (actuele) cijfers. Een voorbeeld hiervan is de keuze voor een landelijk dekkende infrastructuur. In de meerjarige uitwerking worden de resultaten van het onderzoek naar scenario’s voor benodigde infrastructuur voor landelijke dekking van zorgdata meegenomen.

Planning Informatieplan VWS 2023–2027

In de procedurevergadering van de vaste commissie voor VWS van 30 november 2022 ben ik door het lid Van den Berg verzocht een tijdspad aan te geven bij de actiepunten in zijn ICT brief van 11 november 2022 (Kamerstuk 36 200 XVI, nr. 125) (Informatieplan VWS 2023–2027). Het Informatieplan VWS bevat de prioritaire beleidsdoelstellingen op het gebied van informatisering en digitalisering binnen de beleidsdomeinen van VWS voor de komende vijf jaar. De doelstellingen zijn uitgewerkt in een aantal actiepunten. Deze actiepunten zijn onderdeel van diverse programma’s en hebben ieder verschillende start- en eindpunten. Het tijdpad van de beschreven actiepunten verschilt dan ook per beleidsonderwerp. Een deel van deze beleidsonderwerpen komt terug in de hierboven genoemde nationale visie en strategie over elektronische gegevensuitwisseling, daarnaast zal de Kamer begin 2023 over een aantal dossiers ook nog apart worden geïnformeerd. Zo ontvangt de Kamer nog dit jaar een brief over generieke functies, aansluitend bij het actiepunt «Opstellen beleidslijn generieke functies» uit het Informatieplan VWS. In Q1 2023 zal de Kamer een brief ontvangen over de beleidslijn grondslagen, aansluitend op het actiepunt «Herijking grondslagen». Hierbij wordt uw Kamer ook geïnformeerd over de motie met Kamerstuk 35 925 XVI, nr. 53 van de leden Van den Berg en Van der Staaij waarin de regering opgeroepen wordt te onderzoeken hoe wettelijke belemmeringen voor gegevensuitwisseling weggenomen kunnen worden. Daarnaast ontvangt uw Kamer een brief over secundair gebruik van data, aansluitend op het actiepunt «Opstellen visie en routekaart Secundair datagebruik». In deze brief wordt uw Kamer ook geïnformeerd over motie met Kamerstuk 35 570 XVI, nr. 112 van de leden Veldman en Van den Berg waarin de regering opgeroepen wordt te onderzoeken of er beleidsmatige aanpassingen nodig zijn voor het kunnen hergebruiken van gegevens voor gezondheidsdoelen en of hier op Europees niveau eisen aan kunnen worden gesteld.

2. Landelijke infrastructuur

Om gegevens te laten stromen is het nodig dat systemen van zorgaanbieders beter op elkaar aansluiten. Ik wil daarom steviger gaan sturen op de totstandkoming van een landelijke dekkende infrastructuur. Deze infrastructuur maakt cross-sectorale gegevensuitwisseling mogelijk tussen zorgverleners (voor primair en secundair gebruik), en ook tussen zorgverleners en burgers. Ik heb uw Kamer daarom in mei van dit jaar laten weten dat ik wil onderzoeken welke rol de overheid hierin kan spelen.3 Daarnaast werk ik aan eenheid van taal en eenheid van techniek. Ik wil eenheid van techniek verbeteren door ervoor te zorgen dat de koppelvlakken voor systemen, API’s, meer gestandaardiseerd en efficiënter ingezet worden. Daartoe is een strategie opgesteld door Nictiz, die wil ik met uw Kamer delen. Om eenheid van taal te bewerkstelligen wil ik regie nemen op de doorontwikkeling van informatiestandaarden, hiertoe heb ik een aantal onderzoeken laten uitvoeren die ik u met deze brief toestuur.

Onderzoek landelijk dekkend netwerk voor gegevensuitwisseling

Met bovengenoemd onderzoek heb ik, aanvullend op de ingezette koers van standaardisatie van elektronische gegevensuitwisseling en de Wegiz, laten onderzoeken of een grotere centrale, publieke rol noodzakelijk is voor de totstandkoming van een landelijk dekkend netwerk voor gegevensuitwisseling. In het onderzoek worden meerdere scenario’s geanalyseerd om inzichtelijk te maken in welke mate zij bij kunnen dragen aan het realiseren van een landelijk dekkend netwerk. Bijvoorbeeld het scenario dat uitgaat van het verbinden van bestaande (regionale) netwerken en knooppunten of het scenario waarbij een overkoepelend landelijk platform wordt ingericht. Per scenario zijn de voor- en nadelen uiteengezet in termen van financiën, wetgeving, privacy, draagvlak en implementatietermijnen en flexibiliteit om aan te sluiten op toekomstige wensen (vanuit Europa of elders).

De eerste resultaten van het onderzoek zijn zeer recent gepresenteerd. Op dit moment wordt de impact van de resultaten op de lopende initiatieven (zoals TWIIN, Nuts, Cumuluz, MedMij, Health-RI) en onze regierol als ministerie, inzichtelijk gemaakt waardoor meer tijd nodig is. Dit betekent dat ik het eindrapport niet zoals toegezegd nog dit jaar met uw Kamer kan delen. Dit rapport zal daarom samen met de beleidsreactie zo spoedig mogelijk in 2023 aan uw Kamer toegezonden worden. In deze reactie zal ik naast de impact op lopende initiatieven en de regierol van het ministerie ook een beeld schetsen van het vervolg.

API-strategie

Application Programming Interfaces (API’s) zijn de technische koppelvlakken binnen en tussen digitale informatiesystemen waardoor systemen op technisch niveau met elkaar kunnen communiceren. Op dit moment zit zorgdata veelal opgesloten in afzonderlijke datasilo’s. Ik wil sturen op het beschikbaar komen van data. Dit doe ik door te sturen dat de beschrijving van koppelvlakken openbaar en toegankelijk worden via een nationale API-bibliotheek voor de zorg. In het IZA is afgesproken dat er dit jaar een gestandaardiseerde (open) API-strategie vastgesteld wordt, deze strategie is inmiddels door Nictiz opgeleverd en gepubliceerd4. Hij is tot stand gekomen in samenspraak met het veld en leveranciers. Het Ministerie van VWS zal de strategie inzetten bij de elektronische uitwisseling in de zorg, deze is leidend in de wijze van openstelling van systemen. In de eerste helft van 2023 wordt de Tweede Kamer geïnformeerd over het groeipad van de API-strategie voor de komende jaren.

Informatiestandaarden

Informatiestandaarden zijn nodig voor de gegevensuitwisseling in de zorg. Eerder heb ik u geïnformeerd dat ik de regie pak op de doorontwikkeling van informatiestandaarden door het stelsel van standaarden in te richten.5 In dit kader heb ik onderzoeken uit laten voeren naar de knelpunten voor de implementatie van het terminologiestelsel SNOMED in informatiestandaarden en knelpunten bij de implementatie en toepassing van zorginformatiebouwstenen. Daarnaast heeft Nictiz een studie gedaan naar stelselregie. Deze onderzoeken treft u in de bijlage aan. De onderzoeken bieden waardevolle inzichten voor de verdere inrichting van het stelsel en het oplossen van de knelpunten.

3. Actieplan leveranciers

Bij verplichte elektronische gegevensuitwisseling horen betrouwbare en betaalbare ICT-systemen. Helaas functioneert de ICT-markt in de zorg nu niet optimaal. Zoals de Autoriteit Consument & Markt (hierna ACM) in zijn rapport «Marktwerking in de zorg-ICT-markt» aangeeft, kent de zorg-ICT-markt bepaalde kenmerken die maken dat deze markten niet goed functioneren en gevoelig zijn voor het ontstaan of versterken van marktmacht6. Deze problematiek is weerbarstig en oplossingen vragen inzet van mij, zorgaanbieders en ICT-leveranciers.

In mijn brief «De zorg-ICT-markt voor elektronische gegevensuitwisseling» van 2 september 20227 heb ik aangekondigd dat ik begin 2023 een actieplan over de zorg-ICT-markt presenteer. Tijdens het commissiedebat Gegevensuitwisseling van 15 september 2022 (Kamerstuk 27 529, nr. 284) heb ik uw Kamer toegezegd het actieplan dit najaar op te leveren.

De afgelopen maanden heeft mijn ministerie met verschillende partners hard gewerkt aan de totstandkoming van dit actieplan. Het doel van het actieplan is om bij te dragen aan een open, eerlijke en toegankelijke ICT-markt waarin ICT-leveranciers óók oog hebben voor het publieke belang dat ze dienen: de betaalbaarheid en kwaliteit van zorg.

De komende maanden staan in het teken van afstemming van het actieplan met onze partners in het zorgveld en ICT-leveranciers. Ik hecht eraan dat het plan gedragen wordt door al deze partijen, en verwacht van hen een constructieve bijdrage. Ik zet mij er dan ook maximaal voor in dat het actieplan ook concrete acties voor zorgaanbieders en ICT-leveranciers bevat. Er ligt immers ook een cruciale rol voor deze partijen. Het is belangrijk dat ze deze rol pakken.

Het opstellen en afstemmen van een breed gedragen en concreet actieplan vergt een zorgvuldige aanpak. Het actieplan zal ik daarom niet voor het einde van 2022, maar in het eerste kwartaal van 2023 aan uw Kamer aanbieden.

4. Informatiebeveiliging

Goede en veilige elektronische gegevensuitwisseling vraagt om goede ICT-systemen, maar het goed en veilig uitwisselen van gegevens is ook afhankelijk van het gedrag van zorgaanbieders. De meeste datalekken zijn immers het resultaat van menselijk handelen. Dit vraagt investeringen in ICT-systemen maar ook in mensen. Zorgaanbieders zijn in eerste instantie zelf verantwoordelijk voor het veilig opslaan en beheren van de gegevens van hun patiënten. Om de zorg hierbij te ondersteunen is mijn voorganger het project «Informatieveilig gedrag in de zorg»8 begonnen. Ik wil uw Kamer conform de toezegging uit het commissiedebat van 15 september jl. hier informeren over de voortgang. Daarnaast wil ik met betrekking tot informatieveiligheid ook ingaan op het amendement van de leden Hijink en Van den Berg over het verplicht stellen van end-to-end encryptie onder de Wegiz.

Het project informatieveilig gedrag in de zorg

Sinds 2019 werk ik via dit project aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. Deze methode is uitgewerkt in de «Aan de slag met informatieveilig gedrag9». Middels deze wegwijzer voorziet het project zorgorganisaties van manieren om informatieveilig gedrag te bevorderen. Sinds 1 maart 2022 is ECP10 de borgingspartij van het project. Als borgingspartij wil ECP het belang van de menselijke factor bij het managen van informatiebeveiligingsrisico’s agenderen en zorgorganisaties ondersteunen die hiermee aan de slag gaan. Sinds april 2022 hebben 313 partijen deelgenomen aan trainingsactiviteiten. Deelnemers zijn onder andere werkzaam in de volgende sectoren: gehandicaptenzorg, verpleeg- en verzorgingshuizen en thuiszorg, ziekenhuiszorg, geestelijke gezondheidszorg, jeugdzorg, sociaal werk en huisartsen- en eerstelijnszorg. De website van het project wordt sinds de livegang op 7 april 2022 gemiddeld meer dan 1.000 keer per maand bezocht, de Wegwijzer is in totaal al meer dan 1.000 keer gedownload en er zijn op dit moment 326 abonnees op de nieuwsbrief. Een positief bijeffect is dat zorgorganisaties die aan de slag gaan met informatieveilig gedrag hiermee een concrete invulling geven aan paragraaf 7.3 uit NEN 7510–1 en paragraaf 7.2 uit NEN 7510–2.

End-to-end encryptie

Tijdens het debat over de Wegiz van 14 september jl. (Handelingen II 2021/22, nr. 108, item 11) heb ik met uw Kamer gesproken over de eisen aan beveiliging van gegevens die onder de Wegiz gesteld worden. Door een aangenomen amendement van de leden Hijink en van de Berg is aan artikel 1.4 van de Wegiz toegevoegd dat gegevens op het volledige traject tussen zender en ontvanger «beveiligd» dienen te zijn.11 Uit de toelichting van het amendement blijkt dat de indieners daarmee doelen op end-to-end beveiliging, wat in dit geval zowel end-to-end authenticatie als end-to-end versleuteling omvat.

Tijdens het debat en in mijn brief «Appreciatie amendementen wetsvoorstel elektronische gegevensuitwisseling in de zorg» van 26 september jl. heb ik uitgelegd dat de bestaande en wettelijk verplichte NEN-norm 7512 reeds meerlaagsbeveiliging voorschrijft, waardoor in de praktijk al passende beveiliging op het volledige traject wordt bereikt.12 Daarnaast heb ik stilgestaan bij de technische en praktische problemen die het verplichtstellen van end-to-end versleuteling op dit moment oplevert. Een belangrijk knelpunt is dat bestaande systemen voor digitale gegevensuitwisseling in het zorgveld vaak niet zijn ingericht op end-to-end versleuteling. Het geschikt maken van deze systemen voor end-to-end versleuteling zoals bedoeld door de indieners van het amendement kost tijd en geld. Het direct verplichtstellen van end-to-end versleuteling brengt om die reden als risico met zich mee dat het tempo van digitalisering van gegevensuitwisseling in de zorg vertraagt. Dit staat op gespannen voet met mijn wens, en die van uw Kamer, om juist snelheid te maken met de digitalisering van gegevensuitwisseling in de zorg. Om die reden zal ik in de Begiz onder de Wegiz over «Versturen van Recept door Huisarts aan Terhandsteller» nog geen verplichting opnemen over end-to-end versleuteling. Een belangrijke overweging hierbij is dat, zoals ik eerder heb aangegeven, digitale gegevensuitwisseling in de zorg op grond van de NEN 7512 al voldoende is beveiligd.

Tegelijkertijd zie ik een wens en oproep van de Kamer, die om een uitwerking ervan vraagt. Op dit moment heb ik beperkt inzicht in de precieze gevolgen van het onverkort doorvoeren van end-to-end versleuteling, welke technische en organisatorische vraagstukken dit oplevert en welke kosten hieraan verbonden zijn, naast knelpunten die daarbij in ogenschouw moeten worden genomen. Ik zal daarom door een onafhankelijke partij een verkenning hiernaar laten uitvoeren. Het doel van deze verkenning is om in kaart te brengen wat er nodig is om end-to-end versleuteling te implementeren voor de digitale gegevensuitwisseling onder de Wegiz, welke knelpunten er zijn en op welke manier deze kunnen worden opgelost. De resultaten van deze verkenning wil ik gebruiken om uit te werken of en zo ja, hoe ik op termijn ook end-to-end versleuteling in de digitale gegevensuitwisseling onder de Wegiz kan verplichten, zonder de digitalisering van gegevensuitwisseling in de zorg te vertragen. De resultaten van verkenning zal ik ook met uw Kamer delen.

5. Bescherming gegevens

Gegevens worden niet alleen beschermd door goede informatiebeveiliging maar ook door goede wet- en regelgeving. In Nederland worden medische gegevens beschermd door de Algemene verordening gegevensbescherming (AVG), de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG), de Wet geneeskundige behandelingsovereenkomst (WGBO)13, de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Tijdens de behandeling van de Wegiz is een aantal moties ingediend die zien op gegevensbescherming, twee daarvan doe ik af in deze brief. Daarnaast vroeg uw Kamer tijdens de behandeling van de Wegiz of gegevens van wearables zoals smartwatches wel veilig opgeslagen kunnen worden in een Europese cloud, daar ga ik hieronder ook op in.

Motie Van den Hil c.s.

In deze motie wordt de regering verzocht om te komen tot een omschrijving van het eigendom van medische gegevens en de uitwerking ervan voor 2023 naar uw Kamer te sturen.14 Deze paragraaf plaats ik nadrukkelijk in het licht van de Kamerbrief van de Staatssecretaris van Binnenlandse zaken en Koninkrijkrelaties (BZK) van 9 mei 2022, waarin na onderzoek is geconcludeerd dat het concept van eigendom niet geschikt is om toe te passen op persoonsgegevens en dat privaatrechtelijke borging van zeggenschap over persoonsgegevens de burger niet meer houvast geeft.15 Deze conclusie geldt ook voor medische gegevens. Dat licht ik hieronder verder toe.

Eigenaarschap van medische gegevens

Er bestaat geen juridisch eigendom van (medische) gegevens, omdat het eigendomsrecht daar niet op ziet. Op grond van artikel 5:1 BW is het eigendomsrecht namelijk beperkt tot «zaken». Zaken zijn volgens artikel 3:2 BW «voor menselijke beheersing vatbare stoffelijke objecten». Gegevens zijn dat niet. De gegevensdrager (bijv. een usb-stick) waarop gegevens zich bevinden is wel een voor menselijke beheersing vatbaar stoffelijk object, maar dat geldt dus niet voor de gegevens zelf. Verder is in het verslag, dat samen met voornoemde Kamerbrief aan u is aangeboden, aangegeven waarom een eigendomsrechtelijke benadering voor persoonsgegevens niet passend is.16 Het eigendom van persoonsgegevens is bijvoorbeeld naar zijn aard niet overdraagbaar en ook het object van het eigendom zal bij persoonsgegevens onvoldoende duidelijk zijn.

Daarnaast loopt de ontwikkeling van Europese regelgeving op het gebied van zeggenschap over medische gegevens niet langs de lijnen van het eigendomsrecht. Zo heeft de concept verordening inzake de European Health Data Space (EHDS) als uitgangspunt dat burgers de «controle» over hun medische gegevens moeten krijgen en informatie kunnen toevoegen, verkeerde gegevens kunnen corrigeren en de toegang voor anderen kunnen beperken, zonder dat er gesproken wordt over eigenaarschap van medische gegevens.

Zeggenschap over medische gegevens

Dat er geen juridisch eigendom bestaat van medische gegevens betekent echter niet dat cliënten geen zeggenschap over eigen medische gegevens hebben. Zeggenschap over gegevens is geregeld in de AVG, de UAVG, de WGBO, de Wet BIG en de Wabvpz. Uit die regelgeving volgt bijvoorbeeld dat cliënten recht hebben op inzage en vernietiging van gegevens uit het medisch dossier.

Ook betekent het niet dat gegevens niet beschermd zijn tegen oneigenlijk gebruik. Immers, degenen die gegevens van de cliënt verwerken (bijvoorbeeld de zorgaanbieder) moeten bij het verwerken van persoonsgegevens te allen tijde de regels inzake de verwerking van persoonsgegevens in acht nemen. Zo moet op grond van de AVG elke verwerking rechtmatig, behoorlijk en transparant zijn, en moet de verwerking doelgebonden zijn en beperkt tot wat noodzakelijk is.

Bovendien mogen medische gegevens alleen worden verwerkt als er een grondslag is voor het verwerken van gegevens en een uitzondering op het verbod om bijzondere categorieën persoonsgegevens te verwerken van toepassing is. Zoals (uitdrukkelijke) toestemming van de cliënt.

Versterken zeggenschap over medische gegevens

Omdat er al veel geregeld is over de zeggenschap van burgers over hun eigen gegevens en de bescherming van die gegevens, acht ik regulering van eigendom van medische gegevens niet nodig. Dit sluit aan bij de conclusie uit de in deze uitwerking eerdergenoemde Kamerbrief van de Staatssecretaris van BZK.17 Bovendien sluit, zoals hierboven vermeld, het reguleren van zeggenschap over medische gegevens via het eigendomsrecht niet aan bij het Europese recht, waarin de zeggenschap over (medische) gegevens niet langs de lijnen van het eigendomsrecht loopt. Dit laat onverlet dat ik me inzet om de zeggenschap van burgers over hun gegevens te behouden en te versterken. Ik doe dit met name in Europees verband, aangezien veel van de regels over zeggenschap uit het Europees recht volgen. Ik zal dan ook alert blijven op manieren om zeggenschap over medische gegevens te verbeteren en te anticiperen op nieuwe Europese regelgeving. Bij de onderhandelingen op diverse EU-dossiers, zoals de concept verordening EHDS, zet ik in op borging van meer (digitale) zeggenschap van burgers over hun medische gegevens. Wij blijven daarover de komende tijd in nauwe dialoog.

Motie Van der Plas

In het kader van zeggenschap over medische gegevens wil ik hier ook terugkomen op een motie van lid Van der Plas18. Deze motie spreekt uit dat de data die worden verzameld ten behoeve van gegevensuitwisseling binnen de Wegiz, nooit gebruikt mogen worden voor andere zaken dan in de wet is bedoeld en dat de burger regisseur blijft over eigen medische gegevens. Deze motie vraagt daarbij speciaal aandacht voor gegevens die wellicht over de grens uitgewisseld gaan worden. Ik steun deze motie van harte. Zowel in Nederland als in Europa bestaat wetgeving die medische gegevens beschermt, denk hierbij aan de WGBO en de Wavbpz in Nederland en de AVG in Europa. In Nederland houdt de Autoriteit persoonsgegevens hier toezicht op, in Europa ligt er een vanuit de EHDS nu een voorstel om uitwisseling onder de EHDS onder toezicht te stellen van een nieuw op te richten Europese entiteit. Landen mogen daarnaast alleen aansluiten op de infrastructuur onder de EHDS als ze voldoen aan alle privacy eisen, hier wordt streng op toegezien.

Opslag gegevens in Europese Cloud

Tijdens de behandeling van de Wegiz vroeg uw Kamer of gezondheidsgegevens van wearables mogen worden opgeslagen in een Europese cloud. Dit met oog op de privacy van Nederlandse burgers die bijvoorbeeld een smartwatch gebruiken die hun hartslag monitort. Het antwoord is ja, dat mag. De AVG is namelijk van toepassing op alle cloudproviders die binnen de EU actief zijn. Hier vallen ook gegevens van wearables onder. Dit betekent dat de gegevens van wearables die nu in een Europese cloud opgeslagen volgens bestaande wetgeving goed en veilig beschermd moeten worden.

6. Voortgang programma Elektronische gegevensuitwisseling in de zorg

In vervolg op het unaniem aannemen van de Wegiz door uw Kamer afgelopen september informeer ik uw Kamer over de voortgang van het programma Egiz (hierna: het programma). Ik vind het van belang hier nogmaals de twee andere brieven te benoemen die uw Kamer gelijktijdig met deze brief ontvangt omdat deze nauw aan de Wegiz raken. Het goed invullen van generieke functies is randvoorwaardelijk om de implementatie van de Wegiz te laten slagen, net als een goede samenloop met de EHDS.

Ik zal hier eerst de aangenomen amendementen op de Wegiz bespreken, daarna de voortgang en planning op de vier geprioriteerde gegevensuitwisselingen en tenslotte zal ik reageren op enkele moties.

Amendementen op de Wegiz

Tijdens de wetsbehandeling Wegiz heeft uw Kamer amendementen aangenomen, waarvan enkele nadere uitwerking behoeven. Bij punt 4 van deze brief heb ik de uitwerking van het amendement over mogelijke end-to-end encryptie al toegelicht, hieronder geef ik op de andere amendementen een toelichting.

Kamerstuk 35 824, nr. 44

Dit gewijzigd amendement biedt de mogelijkheid om aan informatietechnologieproducten en -diensten en zorginformatiesystemen eisen te stellen met als doel de marktwerking van de zorg-ICT-markt te verbeteren. Dit onafhankelijk van de vraag of deze systemen worden gebruikt voor het uitwisselen van gegevens in een aangewezen gegevensuitwisseling onder de Wegiz. Deze eisen kunnen er op zien om zorgaanbieders in staat te stellen op eenvoudige wijze data uit hun huidige IT-systemen te gebruiken in aanvullende systemen van nieuwe leveranciers. Ook zouden de eisen er op kunnen zien dat het gemakkelijker wordt om geheel over te stappen naar een zorginformatiesysteem van een nieuwe leverancier. Dit wordt wel aangeduid als databeschikbaarheid en dataportabiliteit.

De wijze waarop deze eisen in het besluit onder de Wegiz kunnen worden opgenomen wordt nu onderzocht. Het uitgangspunt hierbij is dat de eisen gaan gelden voor alle relevante ICT-toepassingen en daarmee een bredere scope heeft dan alleen toepassingen in de aan te wijzen gegevensuitwisselingen. Bij het uitwerken van deze eisen zal gekeken worden naar hoe de API-strategie en de uitwerking daarvan in standaard API’s ingezet kunnen worden om te komen tot een fundamentelere data-beschikbaarheid en -portabiliteit.

Ook zal onderzocht worden welke randvoorwaarden voor dataportabiliteit en -beschikbaarheid gelden, welke kosten dit met zich meebrengt, hoe het toezicht ingericht kan worden, welke technische aspecten en welke overgangstermijnen redelijk zijn. Ook zal worden meegenomen hoe een en ander past binnen (Europese) regels en onder welke voorwaarden.

Wanneer de contouren hiervan helder zijn, zal over dit eisenpakket gesproken gaan worden met zorgaanbieders en ICT-leveranciers in de context van het Actieplan zorg-ICT-markt.

Kamerstuk 35 824, nr. 46

Dit nader gewijzigd amendement stelt gegevensuitwisseling met een Persoonlijke Gezondheidsomgeving (hierna: PGO) verplicht in de gevallen waarin dit kan. Ik bekijk per geprioriteerde gegevensuitwisseling de mogelijkheden, waarbij ik in samenspraak met IGJ ook bekijk wat dit betekent voor de inrichting van het toezicht op de Wegiz.

Ik heb in de voortgangsbrief over PGO’s19 toegezegd om na de zomer met een voorstel te komen hoe we de ontsluiting naar PGO’s minder vrijblijvend en zo compleet mogelijk kunnen maken en daarbij de uitkomsten van de Wegiz behandeling in uw Kamer mede in beschouwing te nemen. Zoals hierboven aangegeven bezie ik hoe het PGO amendement voor de eerste geprioriteerde gegevensuitwisselingen kan worden meegenomen en daarna bezie ik of nog aanvullende wetgeving nodig is om de ontsluiting naar PGO’s te stimuleren en te borgen. Ik kom hier op terug in de volgende PGO voortgangsrapportage in 2023 die ik aan uw Kamer heb toegezegd tijdens het Commissiedebat Gegevensuitwisseling /-bescherming in de zorg / E-Health/Slimme zorg / Administratieve lasten van 15 september 2022.

Kamerstuk 35 824, nr. 25

Dit gewijzigd amendement gaat over het gebruik van open en internationale standaarden. Voor gegevensuitwisselingen in een spoor 2-aanwijzing zullen de te gebruiken koppelvlakken (Application Programming Interfaces, API) gestandaardiseerd worden qua taal en techniek. Als onderdeel van de afspraak uit het Integraal Zorgakkoord (IZA) dat «Elektronische gegevensuitwisseling de standaard is in de zorg», heeft Nictiz de gestandaardiseerde (open) API-strategie opgeleverd (30 november 2022). De strategie zal worden ingezet bij de elektronische uitwisseling in de zorg. Deze is leidend in de wijze van openstelling van systemen. Op grond van de Wegiz kan een norm alleen worden aangewezen als deze voldoet aan de API-strategie in de zorg. Dit is daarmee een minimale vereiste waaraan moet worden voldaan. De specificaties van de koppelvlakken/API’s moeten derhalve worden uitgewerkt in de NEN-normen voor specifieke gegevensuitwisselingen, zodat ze voldoen aan de eisen beschreven in de API-strategie.

De vier geprioriteerde gegevensuitwisselingen

Momenteel wordt gewerkt aan het concept Besluit elektronische gegevensuitwisseling in de zorg (hierna: Begiz). Deze AMvB geeft uitvoering aan de Wegiz en bevat de uitwerking van het certificeringsstelsel dat nodig is voor spoor 2-aanwijzingen. Ook kunnen met dit besluit gegevensuitwisselingen worden gebracht onder de Wegiz. De komende jaren geldt dit voor de geprioriteerde gegevensuitwisselingen, die via wijzigingsbesluiten zullen worden toegevoegd aan de Begiz.

Vorig jaar, in een brief van 15 oktober 2021, heeft mijn voorganger u geïnformeerd over de vier geprioriteerde gegevensuitwisselingen op de Meerjarenagenda Wegiz20. In vervolg daarop informeer ik u met deze brief over de huidige stand van zaken. Hierbij wil ik uw Kamer erop attenderen dat de termijn waarop een AMvB van een geprioriteerde uitwisseling in werking treedt, mede afhankelijk is van toekenning van coalitieakkoordmiddelen. Ook het op tijd gereedkomen van de generieke functies is randvoorwaardelijk in het geval van de spoor 2 -aanwijzingen. Naar mijn brief over het afwegingskader generieke functies heb ik reeds verwezen.

Overdracht van patiëntgegevens tussen instellingen waar medisch specialistische zorg wordt verleend (BasisgegevenssetZorg)

De BasisgegevenssetZorg (afgekort BgZ) is een spoor 2-aanwijzing, dus met genormeerde eisen aan taal en techniek. Momenteel wordt de kwaliteitsstandaard door de Federatie van Medisch Specialisten opgesteld en wordt naar verwachting voor de zomer van 2023 opgenomen in het register van het Zorginstituut. De NEN-norm voor de BgZ is ter consultatie uitgezet en de verwachting is dat deze in het najaar van 2023 definitief gereed is. De precieze invulling van het PGO-amendement voor de BgZ wordt nu nog uitgewerkt. De aanwijzing van BgZ als een gegevensuitwisseling onder de Wegiz kan naar verwachting in 2024 gepubliceerd worden en in 2025 in werking treden. Dit is een jaar na publicatie, zodat het veld tijd heeft voor de laatste implementatiewerkzaamheden. Met de uitvoering van de VIPP-regeling zijn MSZ-instellingen ondersteund om de uitwisseling van de BgZ te realiseren.

Beeldbeschikbaarheid en bijbehorend verslag tussen MSZ-instellingen

In het kader van uitwisseling van beeld en verslag hebben de deelnemende partijen al een stap in de goede richting gezet door uitwisselen door middel van dvd’s te vervangen door online uitwisselen. Hiermee is al tijdwinst behaald voor patiënt en zorgverlener. De volgende stap is interoperabel beschikbaar stellen en uitwisselen, zodat de zorgverlener de beschikking heeft over eerder gemaakte beelden en datgene wat relevant is voor de behandeling, ook kan uitwisselen. Met een brede vertegenwoordiging vanuit zowel leveranciers als vanuit het zorgveld is het NEN medio vorig jaar gestart met het ontwikkelen van een norm. Het automatiseren van administratieve handelingen vergt veel van de techniek. De deelnemende partijen willen graag zekerheid dat de voorgestelde techniek ook de juiste is. Daarom ben ik voornemens om met zowel zorgverleners als leveranciers een praktijkbeproeving te doen met de huidige conceptnorm om te kijken in hoeverre de eisen hierin voldoen. Doel van deze tussenstap is om alsnog duidelijke afspraken te maken hoe (radiologie)beelden en verslagen uitgewisseld kunnen worden. Zorgvuldigheid en consensus acht ik van groot belang. Dit betekent echter dat in tegenstelling tot de eerder afgegeven datum van 1 juli 2024, de AMvB naar verwachting een jaar later in werking kan treden. Met het oog op de implementatie van Beeldbeschikbaarheid vindt momenteel een onderzoek plaats naar benodigde mogelijke (financiële) ondersteuning.

Verpleegkundige overdracht

De kwaliteitsstandaard met informatieparagraaf is ingediend bij het Zorginstituut ter publicatie. Naar verwachting wordt deze eind van het jaar gepubliceerd. De stimuleringsregeling InZicht is verlengd tot en met juni 2023, om deelnemers aan de subsidieregeling de tijd te geven aan de resultaatverplichtingen te voldoen. Hiervoor moeten hun ICT-leveranciers eerst technische randvoorwaarden scheppen. In het kader van deze gegevensuitwisseling heb ik in overleg met het veld gekozen om alleen een spoor 2-aanwijzing uit te laten werken. Momenteel laat ik verkennen wat er nodig is om verpleegkundige overdracht breed te implementeren. Daarnaast doen beroeps- en brancheverenigingen respectievelijk een effectmeting om te zien in hoeverre het werken met de informatiestandaard een positief effect heeft, en een onderzoek naar benodigde implementatieondersteuning van kleinere zorgaanbieders. Deze onderzoeken gaan naar verwachting een goed beeld geven van de toegevoegde waarde en het volwassenheidsniveau van de sector. De resultaten vormen de basis voor de startnota van de AMvB en het NEN-traject en zijn input voor een routekaart voor de verdere implementatie van verpleegkundige overdracht.

Medicatieoverdracht: Versturen recept door huisarts aan de terhandsteller (spoor 1) en medicatiegegevens (spoor 2)

De AMvB van de spoor 1-aanwijzing, Versturen recept door huisarts aan de terhandsteller, die ziet op de huidige praktijk, is zo goed als gereed, maar vraagt nog uitwerking rondom het PGO-amendement. De verwachte datum van inwerkingtreding is nu 1 januari 2024. De vervolgstap van de wettelijke verplichting inzake Medicatieoverdracht is het verplichten van de tweede gegevensuitwisseling: de spoor 2-aanwijzing van Medicatiegegevens. Deze verplichting richt zich op de medicatiegegevens die zorgverleners nodig hebben bij het veilig voorschrijven, ter hand stellen en toedienen van medicatie, waarbij het beschikbaar hebben van een medicatieoverzicht of een toedienlijst belangrijke hulpmiddelen zijn. Voor deze verplichting is recent een NEN-normtraject gestart. In de kickstart van het Programma Medicatieoverdracht wordt de kwaliteitsstandaard Medicatieoverdracht en de bijbehorende informatiestandaard Medicatieproces 9 geïmplementeerd in een beperkte setting in twee regio’s. De kickstart is recent gestart en heeft een looptijd van 2 jaar.

Wijzigingen MJA

De gegevensuitwisselingen medicatie- en toediengegevens, laboratoriumgegevens voor medicatie en contra-indicatie en overgevoeligheden maak ik prioritair. Verder ben ik voornemens om een selectie van de gegevensuitwisselingen uit de Richtlijn Gegevensuitwisseling Acute zorg in 2023 toe te voegen aan de Meerjarenagenda Wegiz, indien aan alle vereiste voorwaarden is voldaan. Deze afspraken zijn opgenomen in het Integraal Zorgakkoord (IZA). In mijn brief van 3 oktober jl. heb ik uw Kamer geïnformeerd over de Beleidsagenda Acute Zorg, waarin ik ook dit punt benoem.21 De MJA Wegiz wordt nog verder herijkt. Mogelijk ligt er weer een nieuwere versie op het moment dat de Wegiz wordt gepubliceerd.

Reactie op moties

Tot slot wil ik graag reageren op een aantal moties van uw Kamer die betrekking hebben op de uitvoering en implementatie van Wegiz.

Jaarlijkse monitoring van de markt voor ICT in de zorg (motie van het lid Van den Berg, Kamerstuk 35 824, nr. 28)

Het is belangrijk om te weten hoe ver het veld is op het gebied van elektronische uitwisseling van gegevens, zowel de zorgaanbieders als de ICT-leveranciers. Hiervoor zijn reeds instrumenten in gebruik. Denk hierbij aan de volwassenheidsscan voor de zorgaanbieders. Desondanks verdient de monitoring van de ICT-markt voor de zorg nog extra aandacht. Ik laat onderzoeken hoe dit het beste vormgegeven kan worden en neem het mee in het Actieplan Zorg-ICT-markt. Ik zal uw Kamer hier in het eerste kwartaal van 2023 nader over informeren.

Financieringsmogelijkheden die vertraging van implementatie Wegiz voorkomen (motie Kamerstuk 35 824, nr. 31 van de leden Ellemeet en Van den Berg)

Het is belangrijk dat er geen vertraging ontstaat bij de implementatie van gegevensuitwisselingen. Ook is het in het belang van betrokken zorgaanbieders dat baten en lasten eerlijk verdeeld worden. Per prioritaire gegevensuitwisseling op de Meerjarenagenda Wegiz laat ik daarom de implementatiekosten in beeld brengen, inclusief de incidentele en structurele kostenverdeling tussen sectoren. Vervolgens bepaal ik of en onder welke voorwaarden en voor wie dit compensatie behoeft en of hiervoor middelen beschikbaar kunnen worden gesteld. Dit kan zijn in de vorm van stimuleringsregelingen, implementatieprogramma’s en/of financiering. Hierbij bekijk ik ook in hoeverre de coalitieakkoordmiddelen standaardisatie ingezet kunnen worden (zie ook alinea CA-middelen in deze brief).

In het kader van de gegevensuitwisseling Beeldbeschikbaarheid vindt momenteel een onderzoek plaats naar benodigde ondersteuning.

Hiermee beoog ik de implementatie te bevorderen en vertraging te voorkomen.

Bij de voorjaarsnota 2023 zal ik een toelichting geven op de voorgenomen besteding van de Coalitieakkoordmiddelen. Voorts zal ik in mijn jaarlijkse rapportage over de voortgang op de gegevensuitwisselingen benoemen hoe vertraging van implementatie wordt voorkomen en welke middelen ik hiervoor ter beschikking heb kunnen stellen.

Ten slotte

In deze brief is een brede waaier aan onderwerpen aan bod gekomen. De onderwerpen in deze brief, en de andere brieven die uw Kamer voor het kerstreces ontvangt, raken aan een groot deel van mijn beleid rondom de standaardisatie van gegevensuitwisseling. Er gebeurt echter nog meer om gegevensuitwisseling te standaardiseren en te verbeteren, uw Kamer zal daarom in het eerste kwartaal van volgend jaar over nog een aantal andere onderwerpen geïnformeerd worden. Zo ontvangt uw Kamer dan de beleidslijn over het herijken van grondslagen voor gegevensuitwisseling en over hoe ik het gebruik van gezondheidsdata voor onderzoek wil vereenvoudigen. Ook zal ik uw Kamer informeren over de implementatie van de nieuwe Europese informatieveiligheidsrichtlijn NIS-2.

Standaardisatie van gegevensuitwisseling zorgt voor betere samenwerking tussen zorgverleners, ook patiënten hebben daar direct profijt van. Dit kan een groot verschil maken voor de dagelijkse praktijk waarin zorgverleners nu vaak nog veel moeite moeten doen om de medische gegevens van hun patiënten boven water te krijgen. De rol van de overheid in het standaardiseren van gegevensuitwisseling wordt groter, het speelveld waarop de zorg, uw Kamer en ik samen aan verbeteringen gaan werken wordt daarmee óók groter. Uw Kamer en ik hebben daarbij als gezamenlijk doel dat zorgverleners kunnen focussen op het geven van goede zorg, en patiënten sneller en beter toegang krijgen tot hun eigen medische gegevens.

Er gebeurt veel op dit thema, maar uit deze brief blijkt dat er ook nog heel veel meer werk te verzetten is. Ik kijk er naar uit om volgend jaar opnieuw met uw Kamer over dit al deze onderwerpen van gedachten te wisselen.

De Minister van Volksgezondheid, Welzijn en Sport, E.J. Kuipers