Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 27 juni 2011

In navolging op de verwerping van het EPD wetsvoorstel op 5 april jl. en de daarbij aangenomen moties – te weten de moties X en Y van het lid Tan c.s. – heeft er op 10 mei 2011 een mondeling overleg plaatsgevonden met de vaste commissie voor VWS/JG van de Eerste Kamer en op 24 mei 2011 een plenair debat in de Tweede Kamer.

Met deze brief doe ik u de toegezegde juridische analyse toekomen. Uitgangspunt voor de juridische analyse is motie Y van het lid Tan c.s. waarbij de regering onder meer is gevraagd om binnen de wettelijke kaders van WBP, BIG en WGBO te komen tot een nadere wettelijke regeling van:

• 1. normen en standaarden voor zowel digitale dossiervorming en -ontsluiting, als de overdracht van gegevens;

• 2. eisen met betrekking tot de veiligheid;

• 3. toezicht, handhaving en sancties; en

• 4. inzage door de patiënt, het verstrekken van afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt.

Tevens zijn de door de Tweede Kamer aangenomen moties – te weten moties nr. 68 en nr. 70 van het lid Omtzigt c.s., motie nr. 69 van het lid Kuiken c.s. en motie nr. 74 van de leden Leijten en Gerbrands – in de juridische analyse meegenomen voor zover niet specifiek betrekking hebbend op het Landelijk Schakelpunt.

Om te komen tot een zo volledig mogelijk inzicht van de eventuele lacunes binnen het huidig wettelijke kader zijn, naast de in de motie Y genoemde wetten, ook andere wetten in de juridische analyse betrokken waaronder de Kwaliteitswet zorginstellingen (hierna: Kzi), de Wet gebruik BSN in de zorg (hierna: Wet bsn-z) en het wetsvoorstel cliëntenrechten zorg (hierna: Wcz). Ook is bekeken in hoeverre bepalingen uit het verworpen wetsvoorstel EPD nog nadere wettelijke verankering behoeven.

Voor de overzichtelijkheid van deze analyse is aangesloten bij de in motie Y gehanteerde indeling, waarbij het eerste en het laatste punt zijn samengevoegd.

Uit de analyse komt naar voren dat – onder meer in het licht van bovengenoemde moties – in de huidige wetgeving al veel geregeld is en er daarnaast op een beperkt aantal punten een aanpassing van de huidige wetgeving aan de orde is. Daar is de huidige regelgeving onvoldoende toereikend of is het maatschappelijk gewenst aanvullende maatregelen te nemen. Het gaat dan om:

• – de mogelijkheid voor de patiënt om elektronische inzage in en een elektronisch afschrift van het dossier te eisen;

• – de plicht van de zorgverlener om toestemming aan de patiënt te vragen voordat medische gegevens opvraagbaar worden gemaakt ten behoeve van elektronische uitwisseling (opt-in);

• – het recht van de cliënt om (een) bepaalde (categorie van) hulpverleners op voorhand uit te sluiten van de gegevensuitwisseling;

• – het vragen van toestemming voor het elektronisch opvragen van gegevens;

• – het stellen van specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling in zijn algemeenheid.

Op genoemde punten zal een wetsvoorstel tot aanvulling van de Wcz worden voorbereid. Andere zaken blijken reeds afdoende te zijn geregeld in huidige wetgeving.

JURIDISCHE ANALYSE ELEKTRONISCHE GEGEVENSUITWISSELING IN DE ZORG

1. Normen en standaarden voor zowel digitale dossiervorming en -ontsluiting, als de overdracht van gegevens.

Normen en standaarden voor digitale dossiervorming en -ontsluiting en de overdracht van gegevens kunnen onderverdeeld worden in plichten voor de zorgaanbieder, rechten van de patiënt en (beveiligings)eisen waaraan het elektronische systeem moet voldoen. Onder punt 2 zal ik ingaan op de eisen met betrekking tot de veiligheid, op de overige punten zal ik hieronder ingaan.

Plichten van de zorgaanbieder

• a. de dossierplicht

• b. alleen die gegevens worden geregistreerd en uitgewisseld die noodzakelijk zijn voor de behandeling

• c. het dossier moet up-to-date worden gehouden

• d. elektronische dossiervorming moet voldoen aan de door het veld opgestelde richtlijnen aangaande, zoals bijv. ADEPD

• e. plicht tot «logging» (alle raadplegingen en aanmeldingen in een uitwisselingssysteem moeten geregistreerd worden)

• f. de plicht van de zorgaanbieder om toestemming aan de patiënt te vragen voordat medische gegevens opvraagbaar worden gemaakt ten behoeve van elektronische uitwisseling (opt-in) en het vragen van toestemming voor het elektronisch opvragen van gegevens.

Rechten van de patiënt

• g. het recht op afschermen van (bepaalde) gegevens

• h. het recht om een bepaalde (categorie van) hulpverleners uit te sluiten van de gegevensuitwisseling

• i. het recht om gegevens die zijn opgeslagen in het dossier of een uitwisselingssysteem te vernietigen

• j. het recht op aanvulling van het medicatiedossier met een overzicht van zelfmedicatie

• k. recht op een (elektronisch) afschrift en (elektronische) inzage in zowel het dossier als in de «logging» (welke gegevens in een systeem zijn ingevoerd en uit een systeem zijn opgevraagd en verstrekt)

Met betrekking tot de regels omtrent het verwerken van medische persoonsgegevens, de dossierplicht van de hulpverlener en de rechten van de cliënt met betrekking tot dat dossier zijn thans twee verschillende wetten van belang, de Wet op de Geneeskundige Behandelingsovereenkomst1 (hierna: WGBO) en de Wet bescherming persoonsgegeven (hierna: Wbp). Daarnaast is het wetsvoorstel Wcz van belang, dat voortbouwend op de artikelen in de WGBO de cliëntenrechten uitbreidt en verder versterkt. Waar in de WGBO vooral verplichtingen worden opgelegd aan de hulpverlener, worden in het wetsvoorstel Wcz rechten gegeven aan cliënten ten opzichte van de zorgaanbieder.

Ad a: de dossierplicht

Artikel 454, eerste lid, WGBO legt iedere hulpverlener een dossierplicht op. Artikel 19 van de Wcz geeft iedere cliënt er jegens de zorgaanbieder recht op dat deze laatste een dossier inricht met betrekking tot de zorgverlening. Iedere hulpverlener c.q. zorgaanbieder moet derhalve een dossier inrichten met betrekking tot de behandeling van de patiënt. Het begrip dossier is verder vormvrij. Alle bepalingen die in de WGBO en de Wcz zijn opgenomen ten aanzien van het dossier gelden daarom ook voor elektronische dossiers, ongeacht de vorm waarin deze zijn gegoten of de manier waarop de gegevens elektronisch worden uitgewisseld.

Ad b: alleen die gegevens worden geregistreerd en uitgewisseld die noodzakelijk zijn voor de behandeling

Op grond van artikel 454, eerste lid, WGBO en artikel 19 van de Wcz moeten in het dossier alle gegevens opgenomen worden omtrent de gezondheid van de patiënt en de diens aanzien uitgevoerde verrichtingen, voor zover dit voor een goede hulpverlening noodzakelijk is.

Ad c: het dossier moet up-to-date worden gehouden

Omdat op grond van artikel 454, eerste lid, WGBO en artikel 19 van de Wcz alle gegevens in het dossier moeten worden opgenomen die noodzakelijk zijn voor een goede hulpverlening, impliceert dit tevens dat het dossier up-to-date moet zijn. Alleen dan kan immers een vervangende huisarts of een andere arts in de huisartsenpraktijk er zeker van zijn dat hij op het dossier kan vertrouwen en dat alle voor de behandeling noodzakelijke gegevens in het dossier staan.

Ad d: elektronische dossiervorming moet voldoen aan de door het veld opgestelde richtlijnen aangaande, zoals bijv. ADEPD

Zorgaanbieders zijn gehouden zich aan de door het veld opgestelde richtlijnen, zoals bijvoorbeeld ADEPD, te houden op grond van de in artikel 40 van de Wet op de beroepen in de individuele gezondheidszorg (hierna: Wet BIG), artikel 2 van de Kzi en artikel 5 van de Wcz opgenomen verplichtingen tot het leveren van verantwoorde respectievelijk goede zorg. Het begrip «verantwoorde zorg» vormt de kwaliteitsnorm in de Wet BIG en de Kzi voor de zorgverlening door personen en instellingen. Deze norm kwam in 1996 in de plaats van «500 erkenningseisen» en werd onderbouwd met de stelling dat degenen die in de zorgsector werkzaam zijn, ook zonder precieze wettelijke voorschriften wel weten wat zij moeten doen om de zorg op een aanvaardbaar peil te houden. De inhoud en reikwijdte van de aanspraak op «goede zorg», welke artikel 5, eerste lid, van de Wcz regelt, impliceert net als het begrip «verantwoorde zorg» dat de zorg van een goed niveau moet zijn. De zorg moet veilig, doeltreffend, doelmatig en cliëntgericht zijn, tijdig worden verleend, afgestemd zijn op de reële behoefte van de cliënt. Bovendien moeten de personen die de zorg verlenen, met gebruikmaking van de geschikte hulpzaken, handelen in overeenstemming met de op hen rustende verantwoordelijkheid, voortvloeiende uit de voor hen geldende professionele standaard. De IGZ gaat bij haar toezichtstaak uit van deze professionele standaarden die in het veld gelden en ook de rechter zal bij de toetsing of voldaan is aan de wettelijke norm van verantwoorde of goede zorg, toetsen aan de regels en normen die op het gebied van de hulpverlening in de gezondheidszorg gelden.

Ad e: plicht tot «logging» (alle raadplegingen en aanmeldingen in een uitwisselingssysteem moeten geregistreerd worden)

Artikel 35 van de Wbp geeft de betrokkene een recht om zich tot de verantwoordelijke van de gegevensverwerking te wenden en te verzoeken om een volledig overzicht van de persoonsgegevens die van hem worden verwerkt in begrijpelijke vorm. Bij dit overzicht hoort ook een overzicht van alle ontvangers of categorieën van ontvangers van de gegevens uit het dossier en informatie over de herkomst van gegevens in het dossier. Op grond van deze artikelen kunnen patiënten derhalve aan hun zorgaanbieder inzage vragen in hun totale dossier, index- en medische gegevens en in de «logging» (de gegevens die in het systeem zijn ingevoerd en uit een systeem zijn opgevraagd en verstrekt). Dit recht van de patiënt impliceert a contrario een plicht voor de zorgaanbieder om een «logging» bij te houden. In deze logging dient hij gegevens op te nemen omtrent alle personen die gegevens ingevoerd hebben in het systeem en alle personen die gegevens ontvangen hebben uit het systeem.

Ad f en h: de plicht van de zorgaanbieder om toestemming aan de patiënt te vragen voordat medische gegevens opvraagbaar worden gemaakt ten behoeve van elektronische uitwisseling (opt-in) en het vragen van toestemming voor het elektronisch opvragen van gegevens; het recht om een bepaalde (categorie van) hulpverleners uit te sluiten van de gegevensuitwisseling

Artikel 457 van de WGBO regelt dat als een zorgverlener aan een ander dan de patiënt inzage in of een afschrift van het dossier wil verstrekken, hij hiervoor de toestemming van de patiënt nodig heeft. In het tweede lid wordt hierop een uitzondering gemaakt voor diegenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en diegene die optreden als vervanger voor de hulpverlener. Artikel 24 van de Wcz regelt dat de cliënt er jegens de zorgaanbieder recht op heeft dat aan anderen dan de cliënt geen inlichtingen over hem dan wel inzage in of afschrift van het dossier worden verstrekt dan met zijn toestemming. Ook hier wordt in het tweede lid een uitzondering gemaakt voor degenen die rechtstreeks betrokken zijn bij de zorgverlening en de zorgverlener die optreedt als vervanger van de zorgverlener van de cliënt voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden. De zorgaanbieder heeft geen toestemming van de cliënt nodig als hij inlichtingen verstrekt aan personen die rechtstreeks betrokken zijn bij de zorgverlening, bijvoorbeeld verpleegkundigen, doktersassistenten, tandartsassistenten of collega-vakgenoten die door de zorgaanbieder worden geraadpleegd met het oog op de te verlenen zorg. De zorgaanbieder kan gegevens ook aan vervangers geven zonder toestemming van de cliënt. De WGBO en de Wcz geven op dit punt een verbijzondering van de regels omtrent het dossier in de Wbp. De Wbp gaat in artikel 16 in eerste instantie uit van een verbod om persoonsgegevens betreffende iemands gezondheid te verwerken. Artikel 21 van de Wbp maakt een uitzondering op dit verbod voor zover het gaat om hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. In artikel 23 van de Wbp wordt verder geregeld dat het verbod ook niet van toepassing is indien de verwerking van de gegevens geschiedt met uitdrukkelijke toestemming van de betrokkene of indien de verwerking noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald.

Met betrekking tot elektronische uitwisselingssystemen betekent dit het volgende. Allereerst moet er onderscheid gemaakt worden tussen het opnemen van gegevens in een elektronisch uitwisselingssysteem aan de ene kant en het verstrekken van gegevens uit of het opvragen van gegevens uit een elektronisch uitwisselingssysteem aan de andere kant. Strikt juridisch gezien kan op grond van bovenstaande bepalingen betoogd worden dat een zorgaanbieder – voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is – zonder toestemming van de patiënt gegevens mag opnemen in een dossier. Dit te meer, nu een zorgaanbieder op grond van artikel 454 WGBO de wettelijke plicht heeft om een dossier bij te houden. Nu deze wettelijke plicht vormvrij is, mag de zorgaanbieder dit dossier ook in elektronische vorm bijhouden. Voor het opnemen van indexgegevens en gegevens omtrent de gezondheid van de cliënt in dit elektronisch dossier heeft hij juridisch gezien op grond van de WGBO, de Wcz en de Wbp dus geen toestemming van de patiënt nodig.

Voor het verstrekken of opvragen van gegevens uit een elektronisch uitwisselingssysteem geldt eigenlijk hetzelfde. Juridisch gezien is helder dat aan degene die rechtsreeks bij de zorgverlening betrokken is en de zorgverlener die optreedt als vervanger van de zorgverlener van de cliënt zonder toestemming van de cliënt die gegevens die noodzakelijk zijn voor de door hen in dat kader te verrichten werkzaamheden kunnen worden verstrekt en dat deze personen zonder toestemming van de patiënt deze gegevens uit het systeem kunnen opvragen. In de praktijk zal het ook hierbij echter door de ingewikkelde technische vormgeving niet altijd zo zijn dat alleen deze twee categoriëen hulpverleners toegang hebben tot het systeem, of dat alleen de voor hen noodzakelijke gegevens in het systeem staan. Tal van technische beveiligingen zullen ervoor zorg moeten dragen dat ook echt alleen die twee categorieën zorgaanbieders zonder toestemming van de cliënt toegang krijgen tot hun gegevens en dan ook nog eens alleen tot de specifiek voor hen noodzakelijke gegevens. Ook hier is het maatschappelijk gezien minder gewenst om de cliënt afhankelijk te laten zijn van het feit of de technische vormgeving van het systeem al dan niet op orde is, om zijn rechten gestand te kunnen doen. Ik wil ook voor het verstrekken en opvragen van gegevens uit een elektronisch uitwisselingssysteem een expliciete verplichting opnemen in de Wcz voor zorgaanbieders om toestemming te vragen aan de cliënt.

Ad g en i: het recht op afschermen van (bepaalde) gegevens; het recht om gegevens die zijn opgeslagen in het dossier of een uitwisselingssysteem te vernietigen

Artikel 455 van de WGBO bepaalt dat een hulpverlener alle door hem bewaarde bescheiden in het dossier op verzoek van de patiënt binnen drie maanden moet vernietigen. Artikel 20 van de Wcz bepaalt dat de cliënt er jegens de zorgaanbieder recht op heeft dat deze indien de cliënt daarom verzoekt, gegevens of bescheiden uit het dossier binnen drie maanden vernietigt. Artikel 36, eerste lid van de Wbp, regelt dat de betrokkene de verantwoordelijke voor de gegevensverwerking kan verzoeken om gegevens uit een dossier te verbeteren, aan te vullen, te verwijderen, of af te schermen, indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Onder de gegevens en bescheiden in het dossier vallen niet alleen de daadwerkelijke medische patiëntgegevens, maar ook de indexgegevens (naam, geboortedatum, burgerservicenummer, feit dat een hulpverlener gegevens heeft over een patiënt etc.). Het maakt daarbij niet uit hoe een elektronisch dossier feitelijk vormgegeven is. Of het dossier van de patiënt nu opgenomen is in één grote database met dossiers van verschillende patiënten of dat er een verwijsindex is met indexgegevens van verschillende patiënten en de medische gegevens in de eigen systemen van de hulpverleners blijven zitten maakt geen verschil. Ook de indexgegevens maken onderdeel uit van het medische dossier en dienen daarom op verzoek van de patiënt te worden vernietigd. Het afschermen van (bepaalde) gegevens is een recht op grond van de Wbp. De patiënt kan zich tot de zorgaanbieder wenden om dit recht af te dwingen.

Ad j: het recht op aanvulling van het medicatiedossier met een overzicht van zelfmedicatie

Met betrekking tot punt j, welke naar voren is gebracht in motie nr. 69 van het lid Kuiken c.s. geldt het volgende. Het tweede lid van artikel 454 WGBO en het vierde lid van artikel 19 van de Wcz stellen dat desgevraagd aan dit dossier een door de patiënt afgegeven verklaring moet worden toegevoegd door de hulpverlener respectievelijk de zorgaanbieder. Als de patiënt een lijst met zelfmedicatie wil toevoegen aan zijn dossier, zijn de hulpverlener en de zorgaanbieder hiertoe op grond van deze artikelen verplicht.

Ad k: het recht op een (elektronisch) afschrift en (elektronische) inzage in zowel het dossier als in de «logging» (welke gegevens in een systeem zijn ingevoerd en uit een systeem zijn opgevraagd en verstrekt)

Met betrekking tot punt k, deels naar voren gebracht in motie nr. 69 en 70 van respectievelijk het lid Kuiken c.s. en het lid Omtzigt c.s. gelden de volgende regels. Artikel 456 van de WGBO regelt dat de hulpverlener aan de patiënt desgevraagd zo spoedig mogelijk inzage in en een afschrift van het dossier verstrekt. Artikel 22 van de Wcz bepaalt dat de cliënt er jegens de zorgaanbieder recht op heeft dat deze hem desgevraagd zo spoedig mogelijk inzage geeft in of afschrift verstrekt van het dossier. Ook artikel 35 van de Wbp geeft de betrokkene een recht om zich tot de verantwoordelijke van de gegevensverwerking te wenden en te verzoeken om een volledig overzicht van de persoonsgegevens die van hem worden verwerkt in begrijpelijke vorm. Bij dit overzicht hoort ook een overzicht van alle ontvangers of categorieën van ontvangers van de gegevens uit het dossier en informatie over de herkomst van gegevens in het dossier. Op grond van deze artikelen kunnen patiënten derhalve aan hun zorgaanbieder inzage vragen in hun totale dossier, index- en medische gegevens en in de «logging» (de gegevens die in het systeem zijn ingevoerd en uit een systeem zijn opgevraagd en verstrekt). Niet geregeld is echter dat de patiënt kan eisen dat deze inzage en dit afschrift op elektronische wijze gebeurt. Ik wil een bepaling toevoegen aan artikel 22 van de Wcz die dit mogelijk maakt.

Ingevolge artikel 39 van de Wbp kan de verantwoordelijke voor de gegevensverwerking voor verstrekking van gegevens uit het dossier of de «logging» een bij of krachtens algemene maatregel van bestuur vast te stellen vergoeding van kosten verlangen die ten hoogste € 5 bedraagt. In artikel 2, tweede lid, van het Besluit kostenvergoeding rechten betrokkene Wbp, is vervolgens bepaald dat de verantwoordelijke voor de kosten van een bericht dat op een andere gegevensdrager wordt verstrekt dan papier, een redelijke vergoeding in rekening mag brengen met dien verstande dat deze ten hoogste € 4,50 bedraagt. Ingevolge artikel 3 van ditzelfde besluit mag de verantwoordelijke in afwijking van artikel 2 een redelijke vergoeding in rekening brengen met dien verstande dat deze ten hoogste  € 22,50 bedraagt in het geval dathet afschrift bestaat uit meer dan honderd pagina's, ofhet bericht bestaat uit een afschrift van een, vanwege de aard van de verwerking, moeilijk toegankelijke gegevensverwerking. Kosteloze inzage in papieren en/ofelektronische vorm, waar in motie nr. 69 van het lid Kuiken c.s. wordt verzocht, is derhalve mogelijk. Kosteloze verstrekking van gegevens uit het dossier echter, zou strijdig zijn met de huidige regels in de Wbp en het daarop gebaseerde Besluit kostenvergoeding rechten betrokkene Wbp. Mijns inziens kan het enkele verschil dat een afschrift elektronisch is in plaats van op papier niet rechtvaardigen om onderscheid te maken tussen het al dan niet kosteloos verstrekken van dit afschrift. Ik ben dan ook van mening dat de Wbp en het daarop gebaseerde besluit hierin leidend zouden moeten zijn.

Tussenconclusie 1:

De onderdelen a, b, c, d, e, g, i en j zijn reeds afdoende geregeld in bestaande wetgeving en vergen naar mijn mening geen wetswijzigingen. De dossierplicht in artikel 454 van de WGBO en artikel 19 van de Wcz geldt ook voor elektronische dossiers en op basis van het tweede, respectievelijk vierde lid moeten artsen, op verzoek hiertoe van de patiënt, aan dit dossier een verklaring over zelfmedicatie dit dossier toevoegen. In dit dossier worden alle voor een goede hulpverlening noodzakelijke gegevens opgenomen. Deze noodzakelijkheid impliceert dat het dossier up-to-date moet zijn en dat geen overbodige gegevens mogen worden opgenomen. Artikel 35 van de Wbp impliceert a contrario een plicht voor de zorgaanbieder om een «logging» bij te houden. De zorgaanbieder moet op grond van artikel 455 van de WGBO, artikel 20 van de Wcz en artikel 36 van de Wbp op verzoek van de patiënt gegevens uit het dossier (waaronder zowel wordt begrepen de daadwerkelijke medische gegevens van een patiënt als de indexgegevens) vernietigen. Artikel 36 van de Wbp biedt de patiënt tevens de mogelijkheid om zijn gegevens af te schermen.

Met betrekking tot de onderdelen f, h en k ben ik van mening dat de huidige regelgeving onvoldoende toereikend is, respectievelijk aangevuld kan worden. Ik wil in de Wcz een bepaling opnemen die de toestemming van de cliënt vereist voordat zijn gegevens worden opgenomen in een elektronisch uitwisselingssysteem (opt-in). Hierbij zal tevens aandacht geschonken worden aan het recht van de cliënt om een bepaalde (categorie van) hulpverleners op voorhand uit te sluiten van de gegevensuitwisseling. Verder wil ik ook een expliciete verplichting voor de zorgaanbieder opnemen in de Wcz om toestemming te vragen aan de cliënt voor het verstrekken en opvragen van gegevens uit een elektronisch uitwisselingssysteem. Tot slot kan een patiënt weliswaar inzage in en een afschrift van zijn dossier eisen, niet geregeld is dat de patiënt kan eisen dat dit elektronisch plaatsvindt. Ik wil een bepaling toevoegen aan artikel 22 van de Wcz die dit mogelijk maakt.

2. Eisen met betrekking tot de veiligheid

Om gegevens op een veilige wijze elektronisch te kunnen uitwisselen, dienen de systemen waarmee dit gebeurt te voldoen aan een samenstel van functionele, technische en organisatorische eisen. Het gaat daarbij niet alleen om het individuele zorginformatiesysteem van de zorgaanbieder, maar ook om een eventueel overkoepelend systeem dat de uitwisseling tussen individuele systemen van de zorgaanbieders mogelijk maakt, de verbindingsstructuren tussen de systemen van individuele zorgaanbieders en eventuele software die door zorgaanbieders gebruikt wordt om informatie-uitwisseling mogelijk te maken. Deze eisen moeten techniekonafhankelijk geformuleerd zijn, nu er vele verschillende vormen van elektronische uitwisselingssystemen bestaan. Zo kan er een systeem zijn gecreëerd met een verwijsindex waarin de indexgegevens staan en waarbij de patiëntgegevens in de afzonderlijke computers van de hulpverlener blijven staan (soortgelijk aan het landelijk EPD). Er kan echter ook gekozen worden voor één grote database van gegevens of bijvoorbeeld voor het versturen van gegevens van de ene computer naar de ander via een (beveiligde) datacommunicatielink.

In de huidige regelgeving is in artikel 13 van de Wbp geregeld dat de verantwoordelijke voor de gegevensverwerking (de zorgaanbieder) passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen moeten een passend beveiligingsniveau garanderen, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengt, en rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging. Artikel 14 van de Wbp stelt vervolgens dat als de verantwoordelijke de gegevens laat verwerken door een bewerker (bijvoorbeeld een systeembeheerder), hij zorg draagt dat deze bewerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen en dat de verantwoordelijke daar ook op toeziet.

Nu de Wbp techniekonafhankelijk is geformuleerd, is deze onverkort van toepassing op alle vormen van verwerking van persoonsgegevens. Hij is derhalve van toepassing op zowel de verwerking van gegevens in papieren dossiers, als ook in digitale of elektronische dossiers in welke vorm dan ook.

Om nadere invulling te geven aan het normatieve kader met betrekking tot elektronische zorginformatieuitwisseling heeft het CBP in de serie Achtergrondstudies en Verkenningen, de rapporten «Beveiliging van persoonsgegevens» en «Privacy bij ICT in de zorg» gepubliceerd. Het CBP heeft met deze rapporten een handreiking gegeven voor het realiseren van de eigen verantwoordelijkheid die de wet een ieder geeft voor de bescherming van persoonsgegevens. Vooral in het eerste rapport wordt ingegaan op wat er nu precies door een verantwoordelijke gedaan zou moeten worden om te kunnen voldoen aan de eis van passende technische en organisatorische beveiligingsmaatregelen.

Daarnaast geldt voor iedere zorgaanbieder in Nederland op basis van de artikelen 4 en 8 van de Wet bsn-z, dat hij bij de verwerking van persoonsgegevens in het kader van de verlening van zorg, het burgerservicenummer moet gebruiken en moet opnemen in zijn administratie. In het kader van deze verplichting moet iedere zorgaanbieder, ingevolge artikel 10 van de Wet bsn-z en de Regeling gebruik burgerservicenummer in de zorg, ook voldoen aan de door de Stichting Nederlands Normalisatie-Instituut uitgegeven norm NEN 7510. Deze norm ziet op de informatiebeveiliging binnen de zorgsector, meer specifiek het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. Naast het borgen van deze kwaliteitscriteria vereist de norm ook dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht. De norm kan beschouwd worden als een kader waarbinnen elke proceseigenaar de voor zijn proces relevante geachte informatiebeveiliging kan specificeren inclusief de daarbij behorende maatregelen.

In 2005 zijn de Nederlandse normen NEN 7511-1, 7511-2 en 7511-3 gepubliceerd. Deze normen zijn toetsbare voorschriften voor drie specifieke soorten zorginstellingen en vormen een verdere aanvulling op NEN 7510. Het CBP en de IGZ hanteren de NEN 7510 als referentiekader voor hun toezichtstaak.

In het concept-Besluit EPD waren verder specifieke functionele, technische en organisatorische eisen opgenomen ten behoeve van de gegevensbeveiliging, waaraan het zorginformatiesysteem van de zorgaanbieder, het LSP, de verbinding tussen het zorginformatiesysteem en het LSP (het datacommunicatienetwerk) en de software van de netwerkleverancier aan zouden moeten voldoen.

In de huidige regelgeving zijn dergelijke specifieke eisen als voor het EPD in het concept-Besluit EPD waren opgenomen, niet opgenomen voor elektronische gegevensverwerking in zijn algemeenheid. Dit is ook vrijwel onmogelijk, nu er, zoals hiervoor aangegeven, zoveel verschillende vormen van elektronische informatieuitwisseling mogelijk zijn. Wel kunnen op een minder specifiek niveau beveiligingseisen gesteld worden aan elektronische gegevensverwerking in de zorg. Artikel 26 van de Wbp biedt de mogelijkheid om bij algemene maatregel van bestuur voor een bepaalde sector nadere regels te stellen met betrekking tot dit onderwerp. Ik wil van deze mogelijkheid gebruik maken en bij algemene maatregel van bestuur nadere functionele, technische en organisatorische eisen opnemen die een veilige wijze van elektronische gegevensverwerking in de zorg moeten garanderen, onafhankelijk van de vorm waarin deze gegevensverwerking plaatsvindt. Hierbij zal tevens aandacht worden besteed aan de wijze waarop (zelf)controle en (zelf) toezicht geborgd dient te zijn op basis van bijvoorbeeld logging van raadplegingen, «intelligent» loggen, check op de behandelrelatie, etc.

Tussenconclusie 2:

In artikel 13 en 14 van de Wbp is de algemene eis neergelegd dat deverantwoordelijke voor de gegevensverwerking (de zorgaanbieder) passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Wat deze maatregelen moeten zijn is door het CBP nader gespecificeerd in een tweetal Achtergrondstudies en Verkenningen. Verder moet iedere zorgaanbieder, op grond van artikel 10 van de Wet bsn-z en de Regeling gebruik burgerservicenummer in de zorg, voldoen aan de NEN 7510.

Nadere specifieke eisen voor elektronische gegevensverwerking zijn echter niet in regelgeving opgenomen. Ik wil dan ook generieke functionele, technische en organisatorische eisen opnemen in een algemene maatregel van bestuur op basis van artikel 26 van de Wbp.

3. Toezicht, handhaving en sancties

Op het (elektronisch) verwerken van gegevens zijn de WGBO, de Wbp, de Wet BIG, de Kzi, en het Wetboek van Strafrecht van toepassing en in de toekomst de Wcz. De WGBO gaat uit van een privaatrechtelijke overeenkomst tussen de patiënt en de hulpverlener, waarbij de patiënt alle civielrechtelijke middelen ter beschikking staan om deze overeenkomst af te dwingen. Er is geen aparte toezichthouder benoemd en de WGBO kent ook geen ander handhavings- of sanctiemechanisme. Met betrekking tot de regels die betrekking hebben op het toezicht, de handhaving en de sancties moet daarom vooral gekeken worden naar de Wbp, de Wet BIG, de Kzi, de Wcz en het Wetboek van Strafrecht.

Op de bepalingen van de Wbp wordt toezicht gehouden door het College Bescherming Persoonsgegevens. Het College kan schendingen van de Wbp, of er nu sprake is van een geneeskundige behandelingsovereenkomst of niet een halt toe roepen door de toepassing van bestuursdwang of door een last onder dwangsom op te leggen.

Het op een verantwoorde en juridisch correcte manier omgaan met (elektronische) gegevensuitwisseling wordt tevens gezien als onderdeel van de verplichting tot het leveren van verantwoorde zorg in de zin van artikel 40 van de Wet BIG en artikel 2 van de Kzi of «goede zorg» in de zin van artikel 5 van de Wcz. Op de naleving van al deze bepalingen wordt toezicht gehouden door de Inspectie voor de Gezondheidszorg (hierna: IGZ). Als een instelling zich niet houdt aan de verplichting tot het leveren van verantwoorde zorg in artikel 2 van de Kzi, kan de Minister op basis van artikel 7, eerste lid van de Kzi de instelling een schriftelijke aanwijzing geven met daarin verplichtingen die door de instelling binnen een bepaalde tijdspanne moeten worden nageleefd. Als er sprake is van een spoedeisende situatie kan de IGZ een schriftelijk bevel geven. Naleving van de in de aanwijzing en het bevel gegeven verplichtingen kan vervolgens middels bestuursdwang of een dwangsom worden bewerkstelligd. Als een beroepsbeoefenaar – die niet in een instelling werkt – zich niet houdt aan de verplichting tot het leveren van verantwoorde zorg in artikel 40 van de Wet BIG, kan de IGZ op basis van artikel 87a van de Wet BIG de beroepsbeoefenaar een schriftelijk bevel geven. Op grond van artikel 100a, eerste lid, van de Wet BIG is de minister bevoegd tot toepassing van bestuursdwang ter handhaving van de in het bevel gestelde verplichtingen. Artikel 5 van de Wcz geeft de cliënt het recht op goede zorg. Zoals al eerder aangehaald kan dit begrip vergeleken worden met het begrip «verantwoorde zorg» uit de Wet BIG en de Kzi. Ingevolge artikel 58 van de Wcz is de IGZ belast met het toezicht op de naleving van de Wcz. De minister kan, indien artikel 5 van de Wcz niet wordt nageleefd, ingevolge artikel 60 van de Wcz een schriftelijke aanwijzing geven aan de zorgaanbieder. Als er sprake is van een spoedeisende situatie kan de IGZ een schriftelijk bevel geven. Naleving van de in de aanwijzing en het bevel gegeven verplichtingen kan vervolgens middels bestuursdwang of een dwangsom worden bewerkstelligd.

De Wet BIG kent verder nog de mogelijkheid om een beroepsbeoefenaar tuchtrechtelijk te vervolgen als deze de tuchtnormen genoemd in artikel 47, eerste lid, van de Wet BIG overtreedt. Misbruik van een elektronisch uitwisselingssysteem valt onder deze tuchtnormen. Deze normen gelden alleen voor degenen die in een der in het tweede lid van artikel 47 vermelde hoedanigheden in een register staan ingeschreven. Dit zijn: artsen, tandartsen, apothekers, gezondheidszorgpsychologen, psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen. Aan een geregistreerde beroepsbeoefenaar kan door de tuchtrechter als maximale tuchtmaatregel de doorhaling van de inschrijving in het register opgelegd worden.

Het tuchtrecht biedt geen mogelijkheden om beroepsbeoefenaren die niet geregistreerd zijn ingevolge artikel 3 van de Wet BIG, maar die ingevolge artikel 34 van de Wet BIG wel een beschermde titel hebben, tuchtrechtelijk ter verantwoording te roepen voor misbruik van een elektronisch uitwisselingssysteem. Zij vallen immers niet onder de reikwijdte van het tuchtrecht. Dat is namelijk alleen van toepassing op beroepsbeoefenaren die ingevolge artikel 3 van de Wet BIG in het BIG-register geregistreerd zijn. Zij kunnen door de tuchtrechter dan ook niet uit hun beroep worden ontzet.

Strafrechtelijk geldt het volgende. Misbruik van een elektronisch uitwisselingssysteem kan, afhankelijk van de vormgeving van het specifieke uitwisselingssysteem, strafrechtelijk vervolgd worden op grond van schending van het beroepsgeheim en op grond van computervredebreuk, respectievelijk de artikelen 272 en 138ab van het Wetboek van Strafrecht. Artikel 138ab ziet daarbij op misbruik door eenieder, terwijl artikel 272 alleen ziet op diegenen die vanuit hun ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht opgelegd hebben gekregen.

Ingeval van computervredebreuk kan hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of een deel daarvan, gestraft worden met een gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworvendoor het doorbreken van een beveiliging,door een technische ingreep,met behulp van valse signalen of een valse sleutel, ofdoor het aannemen van een valse hoedanigheid. Als de de dader vervolgens de gegevens voor zichzelf of een ander overneemt, aftapt of opneemt, kan hij gestraft worden met een gevangenisstraf van ten hoogste een jaar of een geldboete van de vierde categorie.

Hieronder kan bijvoorbeeld geschaard worden de situatie waarbij een persoon gegevens uit een elektronisch uitwisselingssysteem haalt, terwijl hij geen hulpverlener is en dus geen behandelrelatie met de patiënt heeft en de patiënt bovendien geen expliciete toestemming hiervoor heeft gegeven. De persoon zal dan waarschijnlijk een valse sleutel moeten gebruiken om toegang te krijgen tot het systeem en omdat hij geen behandelrelatie met de cliënt heeft zal hij een behandelrelatie met de cliënt moeten veinzen. Dit levert een valse hoedanigheid op, namelijk het zich voordoen als hulpverlener met een behandelrelatie, in de zin van artikel 138ab, eerste lid, onderdeel d, van het Wetboek van Strafrecht.

Schending van de geheimhoudingsplicht kan zich alleen voordoen in de relatie tussen een hulpverlener en zijn patiënt. Dit kan zich bijvoorbeeld voordoen als de hulpverlener weliswaar een behandelrelatie met de patiënt heeft en in die hoedanigheid gerechtigd is om gegevens van zijn cliënt te verwerken, maar vervolgens zonder toestemming van die cliënt gegevens uit het elektronisch uitwisselingssysteem openbaar maakt, verspreidt of verstrekt aan een ander dan die cliënt. Hierbij kan gedacht worden aan het verstrekken van gegevens uit het elektronisch uitwisselingssysteem aan een derde, bijvoorbeeld een levensverzekeraar of een roddelblad. Deze vorm van misbruik vormt een overtreding van artikel 272 van het Wetboek van Strafrecht inzake de geheimhoudingsplicht.

Uiteraard valt de hulpverlener die in het kader van een zorgvuldige zorgverlening aan zijn cliënt een elektronisch uitwisselingssysteem raadpleegt, gegevens hieruit verwerkt of in het kader van een consult bij een andere arts gegevens opvraagt of verzendt, niet onder de genoemde strafbepalingen.

Als aanvulling op alle reeds genoemde manieren om misbruik van elektronische uitwisselingssystemen te bestraffen, was specifiek ten aanzien van het EPD in een wijziging van het wetsvoorstel EPD een bepaling opgenomen die het mogelijk maakte voor de strafrechter, om beroepsbeoefenaren bij schending van de artikelen 138ab of 272 van het Wetboek van Strafrecht (resp. computervredebreuk en geheimhoudingsplicht), van het recht te ontzetten om het beroep uit te oefenen waarin hij deze feiten heeft begaan. Deze bepaling was opgenomen omdat het tuchtrecht geen mogelijkheden biedt om beroepsbeoefenaren die niet geregistreerd zijn ingevolge artikel 3 van de Wet BIG, maar die ingevolge artikel 34 van de Wet BIG wel een beschermde titel hebben, tuchtrechtelijk ter verantwoording te roepen voor misbruik van het EPD. Zij vallen immers niet onder de reikwijdte van het tuchtrecht. Dat is alleen van toepassing op beroepsbeoefenaren die ingevolge artikel 3 van de Wet BIG in het BIG-register geregistreerd zijn. Door het mogelijk te maken voor de strafrechter een beroepsbeoefenaar bij misbruik van het EPD uit zijn beroep te ontzetten, konden ook deze beroepsbeoefenaren worden bestraft.

Tussenconclusie 3:

Het toezicht en de handhaving met betrekking tot het gebruik van elektronisch gegevensuitwisselingssystemen is geregeld in verschillende wetten. Op de privacynormen in de Wbp wordt toezicht gehouden door het CBP, bij overtreding kan het CBP bestuursdwang toepassen of een last onder dwangsom opleggen. Op de norm van verantwoorde of goede zorg in de Wet BIG, de Kzi en de Wcz wordt toezicht gehouden door de IGZ. Handhaving vindt plaats door middel van een schriftelijk bevel door de IGZ of een schriftelijke aanwijzing door de minister. De verplichtingen opgenomen in het bevel en de aanwijzing kunnen gehandhaafd worden middels bestuursdwang of een last onder dwangsom. De Wet BIG kent verder tuchtnormen, waar het misbruik van een elektronisch uitwisselingssysteem onder geschaard kan worden, en de mogelijkheid een tuchtmaatregel op te leggen aan geregistreerde beroepsbeoefenaars die deze tuchtnormen overtreden. De zwaarste tuchtmaatregel die opgelegd kan worden is de doorhaling van de inschrijving in het register. Als laatste zijn de artikelen 272 en 138ab van het Wetboek van strafrecht van toepassing welke handelen over de schending van de geheimhoudingsplicht en computervredebreuk.

Eindconclusie

De meeste eisen die gesteld moeten worden aan elektronische uitwisselingssystemen van cliëntgegevens in de zorg zijn reeds afdoende opgenomen in de huidige wetgeving. Een groot aantal plichten voor hulpverleners, rechten van patiënten en algemene standaarden en normen met betrekking tot bestaande en toekomstige elektronische informatieuitwisselingssystemen zijn opgenomen in de Wbp, de WGBO, de Wet BIG, de Kzi en (het wetsvoorstel) Wcz. De regels die in deze wetgeving opgenomen zijn met betrekking tot dossiers in het algemeen gelden ook voor elektronische dossiers. Artsen moeten aan dit dossier een verklaring over zelfmedicatie toevoegen als de patiënt dat wil. In dit dossier worden alle voor een goede hulpverlening noodzakelijke gegevens opgenomen en het moet up-to-date zijn. De zorgaanbieder moet op verzoek van de patiënt gegevens uit het dossier vernietigen (waarbij met gegevens zowel wordt bedoeld inhoudelijke medische gegevens als indexgegevens) en de patiënt de mogelijkheid geven om zijn gegevens af te schermen. Een elektronisch dossier moet verder passend technisch en organisatorisch beveiligd zijn en de elektronische gegevensuitwisseling van iedere zorgaanbieder moet voldoen aan de NEN 7510. Ook het toezicht op en de handhaving van de regels omtrent elektronische gegevensuitwisseling is afdoende geregeld. Op overtreding van deze regels en op misbruik van elektronische uitwisselingssystemen kan via de Wbp, de Wet BIG, de Kzi, – op termijn – de Wcz en het Wetboek van Strafrecht toezicht worden gehouden en handhavend worden opgetreden. Het CBP, de IGZ en justitie beschikken nu al over de bijbehorende handhavingsinstrumenten.

Een aantal zaken worden nu nog niet bestreken door de bestaande wetgeving; zij behoeven nadere wettelijke regeling aangezien de huidige regelgeving daar naar mijn mening onvoldoende toereikend is of het maatschappelijk gewenst is iets extra’s te regelen. Het gaat dan allereerst om de plicht van de zorgaanbieder om toestemming aan de patiënt te vragen voordat medische gegevens opvraagbaar worden gemaakt ten behoeve van elektronische uitwisseling (opt-in) en het vragen van toestemming voor het elektronisch opvragen van gegevens. Hierbij wil ik tevens aandacht schenken aan het recht van de cliënt om een bepaalde (categorie van) hulpverleners op voorhand uit te sluiten van de gegevensuitwisseling. Alsook de mogelijkheid voor de patiënt om elektronische inzage in en een elektronisch afschrift van het dossier te eisen. Al deze zaken wil ik regelen in de Wcz.

Daarnaast zijn er geen nadere specifieke eisen voor elektronische gegevensverwerking in regelgeving opgenomen. Ik wil functionele, technische en organisatorische eisen opnemen in een algemene maatregel van bestuur op basis van artikel 26 van de Wbp.