In mijn vorige rapportage heb ik u gemeld dat de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg is opgenomen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: Wabvpz).

De Wabvpz regelt de randvoorwaarden voor elektronische gegevensuitwisseling en de beschikbaarheid van gegevens via een elektronisch uitwisselingssysteem, zoals bijvoorbeeld gespecificeerde toestemming. Deze voortgangsrapportage heeft daarom raakvlakken met de brief over gegevensuitwisseling die tijdens het Algemeen Overleg (AO) van 30 mei 2018 is toegezegd toe te sturen. De brief over gegevensuitwisseling zal binnenkort verzonden worden naar de Tweede Kamer.

In de vorige voortgangsrapportage heb ik aangegeven dat dataprotectie by design geldt als uitgangspunt voor elektronische verwerking van gegevens en dat het toepassen van privacy-by-design principes volgt uit de regelgeving rondom privacy: de Algemene Verordening Gegevensbescherming (AVG). Dit principe is ook vastgelegd in het Besluitelektronische gegevensverwerking door zorgaanbieders. De AVG is sinds 25 mei 2018 van toepassing. Dat betekent dat in de gehele Europese Unie dezelfde privacywetgeving geldt. Alle organisaties, dus ook zorgorganisaties, zijn verplicht om de bescherming van persoonsgegevens vanaf het begin in het ontwerpproces van registraties of systemen mee te nemen.

In de aanloop naar 25 mei 2018, kwamen uit het zorgveld signalen dat er grote twijfels en onzekerheden waren bij de transitie van de Wet bescherming persoonsgegevens naar de AVG. Daarom heb ik, in een unieke samenwerking met twaalf koepelorganisaties in de zorg en het sociaal domein, de «AVG-Helpdesk voor Zorg en Welzijn» opgezet. Deze helpdesk is op 15 mei 2018 live gegaan.

De AVG-Helpdesk4 is een website waarop informatie en praktische tips over gegevensverwerking en privacy staan vermeld. Het doel is om informatie en kennis te delen en toegankelijk te maken voor alle medewerkers in het zorgveld.

Voor zorgaanbieders en sociaalwerkorganisaties die verantwoordelijk zijn voor de implementatie van de AVG is van 22 mei 2018 tot en met 31 december 2018 een telefonische hulplijn ingesteld die op werkdagen beschikbaar is5. Ook bestaat de mogelijkheid om per e-mail6 vragen te stellen.

Tot en met oktober 2018 bezochten 14.129 unieke bezoekers de AVG-Helpdesk. Daarnaast heeft de AVG-Helpdesk in diezelfde periode meer dan 1.000 vragen via de e-mailpostbus van de website beantwoord. De vragen zijn vaak niet enkel gericht op privacy, maar ook bijvoorbeeld over het gebruik van het burgerservicenummer (bsn), beveiliging of toestemming. Deze onderwerpen betreffen de Wabvpz. Voor de beantwoording van deze vragen worden veelal juristen en ervaringsdeskundigen ingezet. De antwoorden worden eerst afgestemd met de Autoriteit Persoonsgegevens en deze worden ook op de website geplaatst als FAQ’s. Vanuit koepelorganisaties komen steeds meer modellen en handreikingen beschikbaar. Zo beweegt de AVG-Helpdesk mee met wat er leeft in het veld en wordt het een echte informatie- en kennisbank. Per 1 november 2018 is Sport toegevoegd aan het aandachtsgebied van de AVG-Helpdesk. De activiteiten van de AVG-Helpdesk worden in 2019 gecontinueerd.

In de vorige rapportage heb ik aangegeven dat de Autoriteit Persoonsgegevens (AP) onder meer de thema’s bijzondere persoonsgegevens en beveiliging van persoonsgegevens bovenaan de agenda heeft gezet. Deze thema’s raken specifiek privacy in de zorg. Met de AP ben ik van mening dat patiënten erop moeten kunnen vertrouwen dat de informatie die zij met hun arts delen geheim blijft. Daarom gelden voor de bescherming van gezondheidsgegevens extra hoge eisen. Ook in het Toezichtkader van de AP voor 2018–2019 is de gezondheidszorg één van de belangrijke speerpunten. De AP legt bij zorginstellingen extra focus op de beveiliging van medische gegevens en op de vraag of de verwerking gebaseerd is op de juiste grondslag. Daarnaast zal de AP toezien op de naleving van de verplichting om een register van verwerkingen op te stellen, de verplichting om een functionaris gegevensbescherming (FG) aan te stellen, alsmede de wijze waarop de organisatie de FG positioneert en hem in staat stelt de taken en verplichtingen te vervullen die hij op grond van de AVG heeft7.

Een specifiek onderwerp betreft patiëntauthenticatie. De komende jaren neemt het aanbod van online-dienstverlening in de zorg verder toe. Omdat in het zorgveld onduidelijk was op welk niveau patiëntauthenticatie gebruikt moet worden voor het uitwisselen van gegevens tussen zorgverleners en patiënten, heb ik van de AP op 4 oktober 2018 een brief hierover ontvangen. In die brief benadrukt de AP dat technologische ontwikkelingen kunnen bijdragen aan kwalitatief goede, veilige en doelmatige zorg voor patiënten. De AP heeft herbevestigd dat voor toegang tot medische persoonsgegevens voor patiënten het betrouwbaarheidsniveau «substantieel»8 geldt en als het gaat om gegevens over gezondheid waarop het medisch beroepsgeheim rust betrouwbaarheidsniveau «hoog». Deze betrouwbaarheidsniveaus zijn momenteel niet breed beschikbaar. De AP acht van belang dat de nodige voortvarendheid wordt betracht bij de ontwikkeling en het beschikbaar maken van de benodigde betrouwbaarheidsniveaus binnen het eID-stelsel. Daarnaast moet binnen de zorgsector gebruik worden gemaakt van deze betrouwbaarheidsniveaus, zodra die breed beschikbaar komen. In de tussentijd dient patiëntauthenticatie plaats te vinden met ten minste tweefactorauthenticatie9. Daarbij moeten zo nodig aanvullende maatregelen genomen worden om risico’s te beperken.

Uit de informatie die ik van het programma GTS heb ontvangen, blijkt dat het programma GTS diverse onderzoeken heeft afgerond. De onderzoeksresultaten van de eerste onderzoeksfase van het programma zijn:

• 1. artikel 15a lid 2 van de Wabvpz over gespecificeerde toestemming is vertaald naar een juridisch kader;

• 2. er is een toestemmingsmodel ontwikkeld voor het registeren van het toestemmingen passend bij het juridisch kader en in lijn met informatiestandaarden in de zorg;

• 3. het juridisch kader en toestemmingsmodel zijn ter toetsing voorgelegd aan PBLQ10 die deze uitwerking als juridisch optimum heeft betiteld;

• 4. er is een prototype ontwikkeld passend bij het toestemmingsmodel en in een eerste oriëntatie op uitvoerbaarheid en werkbaarheid aan cliënten voorgelegd;

• 5. een eerste versie van het architectuurmodel is opgesteld die op technische haalbaarheid wordt beproefd.

De Proof of Concept om de complexiteit van het programma GTS te beheersen – waarover ik u in de vorige rapportage informeerde – vindt nog plaats. Deze zal begin 2019 afgerond zijn.

Het programma heeft als opdracht hoe gespecificeerde toestemming werkbaar en uitvoerbaar gemaakt kan worden voor de burger – de cliënt – en zorgaanbieder.

Uit informatie van de stuurgroep maak ik op dat de stuurgroep serieuze zorgen heeft over met name werkbaarheid en uitvoerbaarheid van gespecificeerde toestemming voor burgers en zorgaanbieders. De stuurgroep heeft dit op 12 juni 2018 besproken in een technische briefing die zij verzorgde voor de Eerste Kamer. Ook heeft de stuurgroep het vorenstaande besproken met verschillende organisaties, waaronder het Adviescollege toetsing regeldruk (ATR), de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en het Platform voor de InformatieSamenleving (ECP). De stuurgroep heeft haar zorgen recent, op 4 december 2018, ook voorgelegd aan de Tweede Kamer in een technische briefing. De stuurgroep heeft haar zorgen in een brief aan mij geuit. De brief van de stuurgroep heb ik als bijlage bijgevoegd bij deze voortgangsrapportage.

Graag ga ik met uw Kamer in gesprek over het voorstel van de stuurgroep om na te denken over een scenario, waarbij de bedoeling van het wetsartikel als uitgangspunt worden genomen en dat een burger bepaalt hoe gespecificeerd hij zijn toestemmingsprofiel wil vastleggen. Dit omdat er verschillende behoeften zijn in bijvoorbeeld: de zorgvraag, digitale vaardigheden, privacybehoeften et cetera.