30 380
Wet gebruik burgerservicenummer in de zorg

nr. 7
NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 21 april 2006

Met belangstelling heb ik kennisgenomen van het verslag van de vaste commissie voor Volksgezondheid, Welzijn en Sport met betrekking tot het voorstel van wet gebruik burgerservicenummer in de zorg (Wbsn-z). Ik ben verheugd over de steun voor het wetsvoorstel die in het verslag tot uitdrukking komt. De introductie van het burgerservicenummer in de zorg ten behoeve van de verbetering van de kwaliteit en de efficiency van de zorg en de invoering van het elektronisch patiëntendossier, wordt breed gedragen. Met deze nota beantwoord ik graag de vragen en opmerkingen die ter voorbereiding van de openbare behandeling in het verslag naar voren zijn gebracht. Daarbij houd ik zo veel mogelijk de volgorde van het verslag aan.

Voorts maak ik van de gelegenheid gebruik om een nota van wijziging in te dienen. Deze bevat wijzigingen van het wetsvoorstel naar aanleiding van het verslag en enkele wetgevings-technische aanpassingen.

Algemeen

Inleiding

De leden van de CDA- en PVDA-fractie geven er de voorkeur aan het wetsvoorstel gezamenlijk te behandelen met het voorstel van wet algemene bepalingen burgerservicenummer (Wabb, Kamerstukken II 2005–2006, nr. 30 312). Hoewel ik van mening ben dat het gelijktijdig behandelen van de wetsvoorstellen niet noodzakelijk is, is het uiteindelijk aan de Kamer om te bepalen of de Wbsn-z in samenhang met de Wabb wordt behandeld.

Evenals de leden van de CDA-fractie ziet de regering de introductie van het burgerservice-nummer (BSN) in de zorg ook als één van de basisvoorwaarden voor de invoering van het landelijk elektronisch patiëntendossier. Maar het BSN op zichzelf biedt ook voordelen en brengt niet louter administratieve lasten met zich mee. Het BSN is een uniek persoonsnummer waarmee eenvoudig en eenduidig vastgesteld kan worden op welke persoon bepaalde medische en financieel-administratieve gegevens betrekking hebben. Het aanduiden van een persoon bij het vastleggen en uitwisselen van persoonsgegevens in de zorg kan met het BSN simpeler en minder foutgevoelig dan door middel van een combinatie van naam, geslacht, geboortedatum en woonadres van de cliënt. Het gebruik van het BSN maakt aldus vereenvoudiging en verbetering van de werkprocessen in de zorg mogelijk. Deze werkprocessen betreffen zowel de verlening van zorg zelf, als de financieel-administratieve afhandeling daarvan. De verplichte controle van de identiteit en het BSN van de cliënt verhoogt bovendien in belangrijke mate de betrouw-baarheid van het verband tussen de cliënt en de persoonsgegevens. De verbetering van deze werkprocessen bevordert de kwaliteit en de efficiency van de zorg en draagt bij aan de bestrijding van identiteits- en declaratiefraude.

De leden van de CDA-fractie vragen wanneer het wetsvoorstel zal ingaan en wanneer de gegevens gebruikt zullen worden voor EPD/EMD/WDH-doeleinden. Mijn streven is om de wet op 1 januari 2007 in werking te laten treden. Het is van groot belang dat de gebruikers van het BSN in de zorgsector voldoende gelegenheid geboden wordt om zich voor te bereiden op de invoering van het BSN. Dat betekent dat hen na de parlementaire behandeling van het wetsvoorstel en de voltooiing van de lagere regelgeving enige tijd gegund moet worden om hun bedrijfsvoering aan te passen.

Het BSN zal direct na de inwerkingtreding van het wetsvoorstel kunnen worden aangewend voor gegevensuitwisseling tussen zorgaanbieders. In 2006 zullen koplopers het landelijke stelsel voor het EPD beproeven, te beginnen met het elektronisch medicatie dossier (EMD) en het waarneemdossier huisartsen (WDH). Het gebruik van het BSN is een basisvoorwaarde om het EMD en WDH na deze experimentele fase landelijk uit te kunnen rollen.

Burgerservicenummer algemeen

De PvdA-fractie vraagt of bij nadere regelingen voor de zorgsector de daar genoemde gebruikers (met name zorgaanbieders en zorgverzekeraars) in de toekomst nog vooral als publieke organen kunnen worden gezien waarover de Wabb nadrukkelijk spreekt. De Wabb regelt het gebruik van het BSN door overheidsorganen en laat de mogelijkheid open dat ook anderen bij of krachtens wet gehouden worden het BSN te gebruiken (art. 1, onder d, Wabb). Het is niet vereist dat die anderen een publieke taak verrichten. Een toename van de marktwerking in de zorg is derhalve geen belemmering voor de introductie van het BSN. Het wetsvoorstel houdt er bovendien rekening mee dat gebruikers van het BSN in de zorg, zoals de leden van de PvdA-fractie dat uitdrukken, heterogene organisaties kunnen zijn die verschillende commerciële activiteiten verrichten. Ik vestig hier de aandacht op twee belangrijke elementen van het wetsvoorstel. Ten eerste is het gebruik van het BSN beperkt tot het verlenen, indiceren of verzekeren van zorg door afgebakende categorieën, veelal geregistreerde zorgaanbieders, indicatieorganen en zorgverzekeraars. Zij zijn niet gerechtigd het BSN voor andere activiteiten te gebruiken. Ten tweede is in het wetsvoorstel de grondslag opgenomen om bovenop de wettelijke eisen die bijvoorbeeld uit hoofde van de Wet bescherming persoonsgegevens (Wbp) of de bepalingen in het Burgerlijk Wetboek omtrent de geneeskundige behandelingsovereenkomst reeds gelden, eisen te stellen aan de beveiliging van het verwerken van persoonsgegevens met behulp van het BSN. Indien daartoe aanleiding is, zal van deze grondslag gebruik gemaakt worden. Overigens regelt het wetsvoorstel uitsluitend het gebruik van het BSN. Het verwerken van persoonsgegevens op zichzelf is geen onderwerp van dit wetsvoorstel. De bestaande bevoegdheden met betrekking tot het verwerken van persoonsgegevens in de zorg worden, afgezien van het gebruik van het BSN daarbij, niet gewijzigd.

Door verschillende fracties is gevraagd hoe wordt voorzien in een basisregistratie voor niet-ingezetenen. Dit is een registratie ten behoeve van een relatief kleine groep personen die op grond van de Wabb geen BSN krijgen toegekend, zoals Nederlanders die niet in Nederland wonen of EU-onderdanen die tijdelijk in Nederland werken. Het ligt niet in de bedoeling om deze personen uit te sluiten van het burgerservicenummer. Om hen van een burgerservicenummer te voorzien, is het nodig dat er een goede registratie van deze groep personen wordt opgezet. De administratie van niet-ingezetenen (Registratie niet-ingezetenen of RNI) wordt als een afzonderlijk deelproject gerealiseerd door de minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties (BVK). Dat wil echter niet zeggen dat het een afzonderlijke administratie wordt die los staat van de GBA. Voor de afnemers van informatie, zoals de zorgsector, zal de RNI zich manifesteren als een uitbreiding van de GBA. Het RNI sluit daar technisch, juridisch en organisatorisch op aan. De voorbereidingen daarvoor zijn nu in volle gang. Het is echter niet wenselijk dat met de invoering van het burgerservicenummer wordt gewacht totdat deze nieuwe registratie volledig geregeld is. Mocht de registratie niet gereed zijn voor gebruik op het moment dat het wetsvoorstel gebruik van BSN in de zorg in werking treedt, dan zal het sociaal-fiscaalnummer zolang als aanvullend persoonsnummer worden gebruikt.

De leden van de ChristenUnie-fractie vragen op welke wijze de bescherming van persoonsgegevens kan worden gewaarborgd bij het gebruik van het sociaal-fiscaalnummer. In het verslag wordt terecht geconstateerd dat het sociaal-fiscaalnummer met minder waarborgen is omkleed dan het BSN. Om die reden zullen zorgaanbieders dit aanvullend sociaal-fiscaalnummer niet mogen gebruiken in het kader van de verlening of declaratie van zorg. Dat betekent dat het aanvullend sociaal-fiscaalnummer evenmin gebruikt mag worden bij de gegevensuitwisseling tussen een indicatieorgaan of een zorgverzekeraar enerzijds en een zorgaanbieder anderzijds. Voor zorgverzekeraars en indicatieorganen kan het sociaal-fiscaalnummer echter wel een belangrijke rol vervullen. Hierbij dient met name gedacht te worden aan het voeren van de eigen cliëntenadministratie en de gegevensuitwisseling met overheidsinstanties. Voor dergelijke louter administratieve doeleinden is het aanvullend sociaal-fiscaalnummer voldoende betrouwbaar. Het wetsvoorstel voorziet er derhalve in dat zorgverzekeraars en indicatieorganen bij het ontbreken van het BSN het sociaal-fiscaalnummer gebruiken.

Burgerservicenummer in de zorg

De CDA-fractie vraagt welke mogelijkheden dit wetsvoorstel biedt om verdere stappen in de bestrijding van fraude te nemen en zegt de in het verleden genoemde voordelen van fraudebestrijding en vermindering van administratieve lasten te missen in het wetsvoorstel. In de inleiding van deze nota naar aanleiding van het verslag heb ik de voordelen ten aanzien van de fraudebestrijding geschetst van het gebruik van het BSN in de zorg. Daar heb ik eveneens aandacht geschonken aan de administratieve lasten, die hieronder in een afzonderlijke paragraaf nader worden uitgewerkt. Met het wetsvoorstel wordt een grote stap voorwaarts gemaakt in de fraudebestrijding doordat àlle zorgaanbieders verplicht worden de identiteit en het BSN van een cliënt vast te stellen wanneer de cliënt zich voor de eerste maal tot de zorgaanbieder wendt en vervolgens wanneer dat redelijkerwijze nodig is om zich ervan te vergewissen dat BSN en cliënt bij elkaar horen.

De leden van de PvdA-fractie vragen welke invoeringsmaatregelen zijn voorzien om tot eenduidig gebruik van het BSN te komen en welke controle er op dit invoeringsproces zal worden uitgeoefend. Het wetsvoorstel bevat een eenduidige regeling van het gebruik van het BSN. Kort samengevat gebruiken zorgaanbieders het BSN bij het vastleggen van persoonsgegevens van hun cliënten en bij het uitwisselen van persoonsgegevens van hun cliënten met andere zorgaanbieders, indicatieorganen en zorgverzekeraars. Zolang een zorgaanbieder de identiteit en het BSN van een cliënt in verband met het verlenen van spoedeisende zorg noodzakelijkerwijze niet kan verifiëren, is het gebruik van het BSN beperkt tot het opvragen en raadplegen van persoonsgegevens van de cliënt. Indicatieorganen en zorgverzekeraars nemen het BSN in hun administratie op en verstrekken dat nummer bij het uitwisselen van persoonsgegevens van hun cliënten met zorgaanbieders, indicatieorganen, zorgverzekeraars en bepaalde overheidsinstanties die betrokken zijn bij (het toezicht op) de uitvoering van de wettelijke zorgverzekeringen.

De invoering van het BSN in de zorg is een belangrijk aandachtspunt. De invoering vraagt om aanpassingen in de ICT-systemen van degenen die het BSN in de zorg gaan gebruiken en in hun werkprocessen. Voor zorgaanbieders, zorgverzekeraars en indicatieorganen is het van belang om zo snel mogelijk te weten wanneer het BSN in de zorg wordt ingevoerd. De verwachting is niet dat de impact van het invoeren van het BSN voor alle sectoren, zorgaanbieders, zorginstellingen, indicatieorganen en zorgverzekeraars gelijk zal zijn. Factoren die daarbij een rol spelen zijn bijvoorbeeld de huidige automatiseringsgraad van organisaties, de bestaande organisatie van werkprocessen en het eventuele gebruik van het sociaal-fiscaalnummer daarin en de wijze waarop de invoering van het BSN ingepast kan worden bij bestaande systemen van gegevensuitwisseling op lokaal niveau. Binnen VWS houdt een implementatieorganisatie zich bezig met de invoering van het BSN. Deze organisatie zorgt voor de noodzakelijke ondersteuning bij de invoering, zoals voorlichting aan gebruikers en ICT-leveranciers en het vervaardigen van handboeken.

De leden van de PvdA-fractie vragen wat er gebeurt bij toekomstige uitbreiding of overheveling van zorg naar de Wet maatschappelijke ondersteuning (Wmo) met de gegevensuitwisseling rond die zorgvormen. Het gewijzigde voorstel voor de Wmo (Kamerstukken I 2005/2006, 30 131, A) geeft gemeenten, samenwerkingsverbanden van gemeenten en de rechtspersoon die de eigen bijdrage vaststelt en int, de bevoegdheid het sociaal-fiscaalnummer te gebruiken (artikel 18, eerste lid, Wmo). Aan die bepaling is bij de inwerkingtreding van de Wabb geen behoefte meer, aangezien het overheidsorganen betreft die op grond van de Wabb bevoegd zijn tot het gebruik van het BSN in het kader van de uitvoering van hun publiekrechtelijke taak (artikel 10 Wabb). Bij algemene maatregel van bestuur op grond van artikel 18, tweede lid, van de Wmo kunnen ook andere personen en instellingen aangewezen worden die het sociaal-fiscaalnummer mogen gebruiken. Daarbij is vooral gedacht aan de instellingen die huishoudelijke verzorging verlenen. De regering is voornemens de huishoudelijke verzorging aan te wijzen als zorg in de zin van de Kwaliteitswet zorginstellingen (Kamerstukken II 2005/2006, 30 131, nr. 36) en de Wbsn-z. Alsdan zijn de instellingen die huishoudelijke verzorging verlenen zorgaanbieder in de zin van de Wbsn-z en daarmee verplicht de identiteit en het BSN van de cliënt te verifiëren alsmede het BSN te gebruiken bij het vastleggen van persoonsgegevens van de cliënt en het verstrekken van persoonsgegevens van de cliënt aan andere zorgaanbieders. De instellingen voor huishoudelijke verzorging kunnen het BSN evenwel niet op grond van de Wbsn-z gebruiken bij de gegevensuitwisseling met de rechtspersoon die de eigen bijdrage uit hoofde van de Wmo vaststelt en int. Daarom blijft een bepaling als artikel 18, tweede lid, van de Wmo nodig. De nota van wijziging past de Wmo op de bovenbeschreven wijze aan.

De leden van de PvdA-fractie zouden graag in de wet een zware voorhang opnemen bij de algemene maatregel van bestuur waarmee een meer gedetailleerde afbakening van de begrippen zorg, zorgaanbieders, indicatieorganen en zorgverzekeraars kan worden gegeven. Naar aanleiding van het advies van de Raad van State is de beoogde reikwijdte van de wet op het gebruik van het BSN in de zorg reeds zoveel mogelijk in de wet neergelegd. Zoals het zich nu laat aanzien, zal bij algemene maatregel van bestuur op grond van artikel 2 hooguit een nuancering op de toepasselijkheid van de wet BSN in de zorg plaatsvinden. De delegatiebepaling in de wet is vooral bedoeld om met de reikwijdte van de wet aan te kunnen sluiten op hetgeen elders ten aanzien van zorg bij algemene maatregel van bestuur wordt bepaald. Een actueel voorbeeld is de in het antwoord op de vorige vraag genoemde huishoudelijke verzorging.

In het algemeen is terughoudendheid geboden met het opnemen van voorhangprocedures.

De leden van de VVD-fractie vragen naar de wijze waarop de informatievoorziening naar burgers wordt geregeld. Ten tijde van de inwerkingtreding van de Wbsn-z zal een voorlichtingscampagne voor cliënten in de zorgsector worden gehouden. Verder is de algemene voorlichting aan burgers over het BSN voorzien in de Wabb. Het belangrijkste instrument daarvoor is de zogenaamde Landkaart. Daarop wordt aangegeven welke gebruikers betrokken zijn bij de verwerking van persoonsgegevens waarbij het BSN wordt gebruikt, over welk soort persoonsgegevens het gaat en wat de wettelijke grondslag voor de verwerking is. Burgers kunnen de Landkaart ontsluiten via internet. De Landkaart verschaft niet alleen algemene informatie, de burger kan ook gericht vragen naar de aard van de informatie die een bepaalde organisatie vastlegt of uitwisselt. Burgers die niet zelf toegang tot het internet hebben, kunnen de Landkaart onder meer in bibliotheken raadplegen.

De PvdA en de VVD stellen vragen over de haalbaarheid van een invoering van het BSN in de zorg in 2006 en welke invoeringsmaatregelen hiervoor zijn voorzien. Zoals ook moge blijken uit de reguliere rapportages aan uw Kamer over de voortgang die met de ICT in de zorg wordt geboekt, acht ik de introductie van het BSN in de zorgsector per 1 januari 2007 zeer wel haalbaar. Alle overheidsvoorzieningen voor het gebruik van het BSN zijn al tot stand gebracht. Ik noem hier het nummerregister voor het BSN, de registers van zorgaanbieders, indicatieorganen en zorgverzekeraars, de faciliteiten om het BSN te verifiëren, te weten de beheervoorziening (BV-BSN) en de Sectorale Berichten Voorziening in de Zorg (SBV-Z), en de middelen waarmee zorgaanbieders, indicatieorganen en zorgverzekeraars zich tot die faciliteiten kunnen wenden, zoals de zogenaamde UZI-passen. Daarbij voorziet de SBV-Z in de mogelijkheid gehele cliëntenbestanden van zorgaanbieders via initiële vulling van BSN’s te voorzien. De automatiseringstechnische eisen en de beveiligingsnormen voor het verwerken van het BSN zijn vastgesteld. Zoals reeds in de inleiding vermeld, zal de zorgsector voldoende gelegenheid worden geboden om zich voor te bereiden op de invoering van het BSN. Dat zal vooral van belang zijn voor zorgaanbieders en indicatieorganen, aangezien zorgverzekeraars al gewend zijn aan het sociaal-fiscaalnummer. Het gaat er dan vooral om dat zij een termijn krijgen voor de benodigde aanpassingen in ICT-applicaties en in de organisatie van de werkprocessen.

De leden van de ChristenUnie-fractie vragen welke publieke voorziening de uitgifte van het BSN beheert. Het BSN wordt aan een burger toegekend door het college van burgemeester en wethouders en vervolgens in het GBA opgenomen. De Beheervoorziening BSN wordt door de minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties ingesteld. Die Beheervoorziening stelt gebruikers in staat burgerservicenummers te verifiëren en te controleren of identiteitsdocumenten als ongeldig geregistreerd staan. De SBV-Z is de publieke voorziening die ondersteuning biedt bij het gebruik van het BSN in de zorg. De SBV-Z is bedoeld als de toegangspoort van de zorgsector tot de Beheervoorziening BSN.

Stelsel voor het burgerservicenummer

De leden van de CDA-fractie vragen om een overgangstermijn, mogelijk tot de feitelijke uitrol van het EMD, waarin zorgaanbieders, indicatieorganen en zorgverzekeraars hun administratie op orde kunnen brengen. Hierboven heb ik betoogd dat de invoering per 1 januari 2007 zeer wel mogelijk is. Onderdeel van de invoering van het BSN is een termijn voor zorgaanbieders, indicatieorganen en zorgverzekeraars om hun ICT-systemen en hun werkprocessen aan te passen aan het gebruik van het BSN. Voor een overgangsperiode zoals het CDA voorstelt, is evenwel geen aanleiding. Bovendien gaan deze leden kennelijk uit van de noodzaak om onmiddellijk hele administraties op orde te brengen. Dit wetsvoorstel noodzaakt echter niet om onmiddellijk op het moment van inwerkingtreding de hele administratie voorzien te hebben van geverifieerde BSN’s. Wel moeten zorgaanbieders, indicatieorganen en zorgverzekeraars vanaf het moment dat het wetsvoorstel in werking treedt het BSN gebruiken bij het vastleggen en verstrekken van persoonsgegevens. Het BSN hoeft dus niet in één keer in de hele administratie ingevoerd moet zijn, maar wordt druppelsgewijs ingevoerd.

De leden van de CDA-fractie vragen over welke mogelijkheden zorgaanbieders en zorgverzeke-raars zullen beschikken om het juiste BSN te verifiëren. Het verifiëren van het BSN kan via de SBV-Z of rechtstreeks via de GBA, als de gebruiker daar een autorisatie voor heeft.

De leden van de PvdA-fractie stellen een voorhangprocedure voor met betrekking tot de algemene maatregel van bestuur op grond van artikel 11. Ik zie echter geen bijzondere redenen voor een voorhangprocedure. In de desbetreffende maatregel wordt bepaald dat het BSN niet gebruikt mag worden indien de identiteit van de cliënt niet is vastgesteld. In plaats daarvan dienen enkele alternatieve persoonsidentificerende gegevens verwerkt te worden, zoals naam, geboortedatum en adres van de cliënt. Uitzonderingen hierop zijn bijvoorbeeld de telefonische consulten van de huisarts. In deze uitzonderingsgevallen dienen de alternatieve persoons-identificerende gegevens verwerkt te worden en dient bij het verstrekken van gegevens vermeld te worden dat de identiteit van de cliënt niet is vastgesteld. Het gaat derhalve om weinig ingrijpende lagere regelgeving, die een voorhangprocedure niet rechtvaardigen.

De regering onderschrijft dat, zoals de leden van de D66-fractie aangeven, het gebruik van het BSN nooit een belemmering mag vormen voor het verkrijgen van de juiste zorg op het juiste moment. Daarom worden zorgaanbieders ontslagen van de verplichting de identiteit en het BSN van een cliënt op de voorgeschreven wijze te controleren voor zolang dat noodzakelijk is om spoedeisende zorg te verlenen. Tegelijkertijd kan het beschikken over medische persoonsgegevens ook in spoedeisende gevallen van belang zijn. Daarom zijn zorgaanbieders wel bevoegd om het BSN te gebruiken voor het opvragen en raadplegen van die informatie.

Bescherming van persoonsgegevens

De leden van de CDA-fractie vragen welke beveiligingsnormen ter bescherming van de privacy zullen gelden bij de invoering van dit wetsvoorstel. Daarnaast vragen deze leden om een reactie op het idee de ontwikkeling van nieuwe normen op het gebied van privacy en veiligheid toe te wijzen aan een gremium en daartoe een voorstel doen. Voorts vragen deze leden waarom niet expliciet is vastgelegd dat een norm niet eerder dan een aantal maanden na publicatie kan worden afgedwongen. Om te beginnen benadruk ik dat de strekking van het onderhavige wetsvoorstel beperkt is. Het ziet niet toe op de verwerking van persoonsgegevens als zodanig. De grondslagen voor de gegevensverwerking in de zorg en de wijze waarop die gegevensverwerking plaatsvindt veranderen niet. Het wetsvoorstel strekt er uitsluitend toe bij die gegevensverwerking in de zorgsector het BSN te doen gebruiken teneinde te waarborgen dat de verwerkte gegevens betrekking hebben op de juiste persoon. De leden van de CDA-fractie constateren terecht dat persoonsgegevens niet onbeschermd mogen zijn. Hieronder ga ik op enkele normen in die, gelet op de gestelde vragen, voor de CDA-fractie van bijzonder belang zijn. Voor de gegevensverwerking, met inbegrip van het gebruik van het BSN, gelden onder meer de algemene wettelijke normen van de Wbp. Die wet vereist dat – in casu – zorgaanbieders, indicatieorganen en zorgverzekeraars passende technische en organisatorische maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen dienen een beveiligingsniveau te garanderen dat, rekening houdend met de stand van de techniek, past bij de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen. Gelet op de toenemende elektronische uitwisseling van gegevens, is in nauw overleg met de zorgsector door het Nederlandse Normalisatie-instituut een norm ontwikkeld en vastgesteld: de NEN 7510. Deze norm gaat over informatiebeveiliging binnen de zorgsector. Onder informatiebeveiliging wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is. NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg dient te treffen ter beveiliging van de informatievoorziening. De te treffen maatregelen verschillen per type organisatie. De norm is een belangrijk richtsnoer bij het beantwoorden van de vraag of gegevensverwerking in de zorg afdoende beveiligd is en of voldaan wordt aan de beveiligings-eisen uit hoofde van de Wbp. De IGZ gebruikt de NEN 7510 als leidraad bij de toetsing van beveiligingstechnieken in de praktijk. Verder zal deze norm betrokken worden bij het opstellen van de ministeriële regeling omtrent de beveiliging van de elektronische uitwisseling van gegevens; de Wbsn-z, de Zorgverzekeringswet (Zvw) en de Algemene Wet Bijzondere Ziektekosten (AWBZ) bieden daartoe de facultatieve grondslag. Gelet op het raakvlak van deze technische eisen met de bescherming van persoonsgegevens zal ik deze ministeriële regeling afstemmen met het CBP. Het draagvlak in de zorgsector bij het opstellen van de ministeriële regeling is een belangrijk aandachtspunt. Wetgeving dient immers uitvoerbaar en handhaafbaar te zijn. Bij het bepalen van het tijdstip waarop wetgeving in werking treedt, zal dan ook altijd acht worden geslagen op de mate waarin de regels nageleefd kunnen worden, zoals de leden van de VVD en de fractie van de Christen-Unie dat ook aan de orde stellen. Overigens is de NEN-norm gepubliceerd in 2004, zodat de zorgsector al enige tijd rekening heeft kunnen houden met de toepassing van de NEN 7510.

De leden van de CDA-fractie verzoeken de regering een reactie te geven op alle punten in het advies van het CBP. In de memorie van toelichting bij het wetsvoorstel ben ik op alle punten waarover het CBP heeft geadviseerd ingegaan en is toegelicht hoe het advies van het college is meegenomen in het wetsvoorstel gebruik BSN in de zorg. Het advies van het CBP had betrekking op de reikwijdte van de wet, beveiligingsregels, verscherping van de identificatieplicht en het belang van goede afspraken over toezicht op het gebruik van het BSN. Zoals de Tweede Kamer op 30 november 2004 is bericht (Kamerstukken II 2004/05, 27 529, nr. 5) is met inachtneming van het commentaar van het CBP besloten tot invoering van het burgerservicenummer in de zorg.

De leden van de CDA-fractie vragen hoe identiteitsdiefstal wordt tegengegaan en de leden van de VVD-fractie vragen hoe identiteitsfraude wordt voorkomen. Zoals hierboven is aangegeven, draagt dit wetsvoorstel door middel van de identificatieplicht bij aan de bestrijding van identiteitsfraude. Bovendien kunnen zorgaanbieders, indicatieorganen en zorgverzekeraars via de SBV-Z nagaan of een Nederlands identiteitsdocument dat een cliënt ter identificatie aanbiedt, als vermist, gestolen of niet meer geldig is geregistreerd. Het wordt voor cliënten daardoor nauwelijks mogelijk om zich ter verkrijging van zorg voor te doen als iemand anders ofanders gezegd- de identiteit van een ander aan te nemen.

De leden van de PvdA-fractie vragen wat garandeert dat de beveiliging van het gesloten systeem van gebruikers voldoende is vormgegeven en welke maatregelen er voorliggen als beveiliging onvoldoende blijkt. Het gesloten systeem van gebruikers wordt vormgegeven door het opzetten van een register van zorgaanbieders, een register van zorgverzekeraars en een register van indicatieorganen. Inschrijving in deze registers geeft het recht op een authenticatiemiddel (pas of certificaat) waarmee toegang tot de SBV-Z mogelijk is. Op het moment dat een zorgaanbieder, zorgverzekeraar of indicatieorgaan zich met een verificatievraag richt tot de SBV-Z, controleert deze in de registers of het authenticatie-middel nog geldig is. Elke opvraging bij de SBV-Z wordt gelogd. Toezicht op het gebruik van het BSN via deze gelogde gegevens biedt een extra waarborg dat wettelijke eisen worden nageleefd. Vanwege het belang van een gesloten systeem van gebruikers stel ik voor ook de uitgifte van de authenticatiemiddelen publiek te beleggen bij de beheerder van de registers, namelijk het CIBG. Daarvoor is een wettelijke grondslag voor de uitgifte nodig. In de nota van wijziging op het wetsvoorstel, die ik u samen met deze nota aanbied is daartoe een aanvulling op artikel 15 opgenomen.

De leden van de PvdA-fractie vragen of de beveiliging, gezien de vermenging van rollen van zorgaanbieders en zorgverzekeraars, met de NEN 7510 en de diverse gedragscodes afdoende is vormgegeven en welke maatregelen er – gelet op de berichtgeving in de Volkskrant van 2 september 2005 – getroffen kunnen worden op het moment dat deze beveiliging onvoldoende blijkt. Ik onderschrijf de noodzaak van een adequate beveiliging van persoonsgegevens. Naar mijn oordeel zijn de NEN 7510 en de gedragscodes afdoende en is de beveiliging goed geregeld in de toepasselijke wettelijke voorschriften. De NEN 7510 heeft de instemming van het CBP en de gedragscodes zijn ter goedkeuring aan het CBP aangeboden. De NEN 7510 geeft invulling aan artikel 13 van de Wbp. Die bepaling vereist dat de te treffen maatregelen er mede op zijn gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Ook de gedragscode strekt daartoe. Een belangrijk onderdeel van de gedragscode is nu juist het voorkomen dat persoonsgegevens, waaronder het BSN, gebruikt worden voor andere doeleinden dan waarvoor ze bestemd zijn. Een bekend voorbeeld is dat de medische persoonsgegevens waarover een verzekeraar in het kader van een zorgverzekering beschikt, niet mogen worden benut bij het afsluiten van een levensverzekering met dezelfde cliënt. In de te ontwerpen ministeriële regeling wordt de bestaande regelgeving omtrent de beveiliging van de elektronische uitwisseling van gegevens betrokken. Deze facultatieve delegatiebepaling is het sluitstuk van de regelgeving omtrent de beveiligingseisen. Een ander punt is of de normen en regels in voldoende mate worden nageleefd. Dat is een kwestie van handhaving. Gericht toezicht en doeltreffende sancties zullen de gebruikers van het BSN ertoe aanzetten de beveiligingseisen in acht te nemen. In de volgende paragraaf ga ik nader in op de handhaving.

De leden van de VVD-fractie en van de D66-fractie stellen een aantal vragen over het optreden en verspreiden van fouten in het BSN. Door het stringente systeem van identificatie en verificatie zullen fouten bij het gebruik van BSN in de zorg bijna niet voorkomen. Mocht er toch een correctie nodig zijn omdat de SBV-Z een verkeerd nummer heeft verstrekt, dan wordt vanuit de SBV-Z een melding verstuurd naar alle gebruikers die dat nummer met behulp van de SBV-Z hebben vastgesteld. Bij de SBV-Z wordt een foutenmeldpunt ingericht voor gebruikers. Daar kan een betrokkene de SBV-Z van de fout op de hoogte stellen, waarna correcties kunnen worden gedaan.

De leden van de D66-fractie vragen of ICT-systemen van zorginstellingen voldoen aan de eisen voor een Goed Beheerd Zorgsysteem (GBZ). De GBZ-vereisten zijn geen eisen die gesteld worden aan het BSN, maar zijn eisen die in het kader van het EPD worden gesteld aan de zorgsystemen. Een zorgsysteem moet aan deze vereisten voldoen om via het Landelijk Schakelpunt aangesloten te kunnen worden op de landelijke basisinfrastructuur in de zorg teneinde met het EPD te kunnen werken. Voorbeelden van deze eisen zijn: het voldoen aan standaarden ten behoeve van het versturen en ontvangen van berichten; connectiviteitseisen (betreft koppelingen met systemen buiten de zorginstelling), eisen ten aanzien van de beschikbaarheid van systemen (bijvoorbeeld 7 x 24 uur «aan» staan) en eisen ten aanzien van de performance van systemen. In die zin is ook het BSN te beschouwen als een van de vereisten waaraan het systeem moet voldoen om onderling informatie te kunnen uitwisselen in het kader van het EPD. Het BSN is dus één van de GBZ vereisten voor het EPD.

De fractieleden van de D66-fractie vragen artikel 10 aan te passen ten einde duidelijk te maken dat het gebruik van het BSN alleen is toegestaan als is voorzien in passende maatregelen op het gebied van informatiebeveiliging. In een eerder antwoord in deze paragraaf heb ik tot uitdrukking gebracht dat de formele wet, namelijk artikel 13 van de Wbp, al verplicht tot het treffen van passende maatregelen ter beveiliging van (elektronische) gegevensverwerking. Er is derhalve geen reden tot het wijzigen van artikel 10 van het wetsvoorstel.

De leden van de fracties van VVD, D66 en CDA vragen de regering te reageren op het voorstel om voor burgers met klachten over de privacy in relatie tot het BSN of over fouten in het BSN, één loket in te richten dat een volledige en onafhankelijke ombudsfunctie zal vervullen. Ik sluit me aan bij het antwoord dat mijn collega voor Bestuurlijke Vernieuwing en Koninkrijksrelaties op deze vraag geeft in de nota naar aanleiding van het verslag van de Wabb. Het ligt in de rede dat de betrokken cliënt correctie van de fout vraagt op grond van zijn correctierecht zoals vastgelegd in de Wbp. Wordt correctie geweigerd dan kan de betrokken cliënt de bevoegde rechter vragen om de verantwoordelijke te dwingen correctie toe te passen. De cliënt kan de gebruiker van het nummer vragen de betreffende gegevens te corrigeren. De weg naar de ombudsman ligt open als het gaat om een overheidsorgaan, bijvoorbeeld de SBV-Z, en deze niets doet of zich anderszins niet behoorlijk gedraagt.

Bovendien kunnen cliënten klachten omtrent de bescherming van persoonsgegevens in relatie tot het BSN ook onder de aandacht brengen van toezichthoudende instanties. In de volgende paragraaf geef ik een overzicht van deze instanties.

Handhaving

Er zijn vragen gesteld door de fracties van de PvdA, CDA, VVD, D66 en de SGP over toezicht op het gebruik van het BSN; over wie toezicht houdt op het correct gebruik van het BSN, hoe dit in de wet is vastgelegd, hoe toezichthouders hun taken kunnen oppakken en welke middelen toezichthouders hebben om dit toezicht uit te kunnen voeren. Ik ben van oordeel dat het toezicht voldoende duidelijk is gewaarborgd in het wetsvoorstel.

Het gebruik van het burgerservicenummer is een aspect van verantwoorde zorg die zorgaanbieders in gevolge de Kwaliteitswet zorginstellingen en de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) gehouden zijn te verlenen. Dat geldt bijvoorbeeld ook voor de patiëntendossiers die zorgaanbieders aanleggen met inachtneming van de des-betreffende voorschriften in het Burgerlijk Wetboek. Het toezicht op het bieden van verantwoorde zorg wordt op grond van die wetten uitgeoefend door de IGZ. Artikel 16, aangaande de gegevensverwerking in het kader van het toezicht, gaat daar ook van uit. Voor zorgaanbieders die onder de Kwaliteitswet zorginstellingen of de Wet BIG vallen, is een bepaling in het onderhavige wetsvoorstel om de IGZ te belasten met het toezicht op de naleving derhalve overbodig. Een dergelijke bepaling zou zelfs zeer onwenselijk zijn, aangezien daaruit geconcludeerd zou kunnen worden dat bijvoorbeeld het beheer van patiëntendossiers geen onderdeel van verantwoorde zorg is. Het Burgerlijk Wetboek kent dan immers in tegenstelling tot de onderhavige wet geen bepaling met betrekking tot het toezicht.

Op grond van de Kwaliteitswet zorginstellingen kunnen aanwijzingen en bevelen worden gegeven, ter handhaving waarvan bestuursdwang toegepast kan worden. Ook de Wet BIG kent de bevoegdheid een bevel te geven en bestuursdwang toe te passen. Daarnaast biedt de Wet BIG de mogelijkheid een tuchtrechtelijke procedure te starten. Verder ben ik voornemens een bestuurlijke boete in te voeren als handhavingsinstrument voor de IGZ.

Het gebruik van het burgerservicenummer door indicatieorganen en zorgverzekeraars wordt voor wat betreft de wettelijk verzekerde zorg met het wetsvoorstel opgenomen in de AWBZ en de Zvw en valt daarmee onder het toezichtsregime van die wetten. Voor wat betreft de aanvullend verzekerde zorg belegt het wetsvoorstel met artikel 13, derde lid, het toezicht op zorgverzekeraars bij het College van Toezicht op de Zorgverzekeringen. Artikel 22 anticipeert op de vervanging van dat College door de Nederlandse Zorgautoriteit als gevolg van de inwerkingtreding van de Wet marktordening gezondheidszorg. De handhavingsinstrumenten die uit hoofde van de AWBZ en de Zvw kunnen worden ingezet ten aanzien van zorgverzekeraars zijn het geven van aanwijzingen, het toepassen van bestuursdwang, het opleggen van een last onder dwangsom, het doen van openbare kennisgevingen en het opleggen van bestuurlijke boeten. Deze instrumenten, die ook onder de Wet marktordening gezondheidszorg beschikbaar zullen blijven, mogen in gevolge artikel 13 eveneens worden gebruikt als het gaat om aanvullende zorgverzekeringen van zorgverzekeraars.

Behalve de bovengenoemde sectorale toezichthouders, is er ook het sectoroverstijgende toezicht dat het CBP uitoefent op de naleving van de Wbp. Waar de sectorale toezichthouders vooral zullen toezien op het correct gebruik van het burgerservicenummer in overeenstemming met de voorschriften in specifieke, sectorale wetgeving, zal het CBP zich vooral richten op oneigenlijk gebruik in strijd met de algemene kaders van de Wbp.

In het convenant dat tussen de IGZ en het CBP gesloten wordt het toezicht op het gebruik van het BSN in de zorg gewaarborgd. Een verplichting tot afspraken tussen de Zorgautoriteit en andere toezichthouders over de wijze waarop toezicht zal worden gehouden is opgenomen in het Wetsvoorstel marktordening gezondheidszorg.

De toepassing van de bovenbeschreven instrumenten zal bij wijze van handhavingsbeleid door de betrokken instanties worden uitgewerkt. Uiteraard zal daarbij acht geslagen worden op de ernst van de geconstateerde niet-naleving van de wettelijke voorschriften. Het gewicht van de in te zetten handhavingsinstrumenten hangt af van aard, omvang en gevolgen van de niet-naleving.

Administratieve lasten

De leden van de CDA-fractie vragen een totaalbeeld van de administratieve lastenverlichting van de Zorgverzekeringswet in de door ACTAL gevraagde vorm naar de Kamer te sturen. Het advies van 8 december 2005 betrof een advies over de Regeling Zorgverzekering. Het ingediende wetsvoorstel was de laatste fase van wet- en regelgeving van de Zvw en had geen verdere reikwijdte. Het adviescollege heeft in bovengenoemd advies gevraagd het totaalbeeld van de Zvw te presenteren. Dit totaalbeeld zal ik binnenkort naar de Tweede Kamer sturen.

Het BSN wordt verschillende keren genoemd als «administratieve lastenverlichter» bij uitstek. In een nader onderzoek van het Ministerie van BVK (elektronische overheid en lastenvermindering voor het bedrijfsleven, een toekomstverkenning, april 2005) wordt beschreven dat de wet zelf de administratieve lasten niet reduceert, maar dat reductie van administratieve lasten optreedt wanneer het BSN wordt ingevoerd en actief wordt gebruikt. Het BSN maakt vereenvoudiging van de werkprocessen in de zorg mogelijk; gegevens over personen zijn gemakkelijker uit te wisselen. Het gaat hierbij overigens voor een groot deel om administratieve lasten binnen zorginstellingen en in het verkeer tussen zorgaanbieders onderling of tussen aanbieders en verzekeraars. Het gaat daarbij dus niet altijd om door de overheid veroorzaakte lasten. Daarnaast is er substantiële kwaliteitswinst te behalen, doordat er minder fouten gemaakt worden in het berichtenverkeer en door het verwisselen van persoonsgegevens. Dit zijn voorbeelden van kwantitatieve en kwalitatieve winst die te behalen is door gebruik van het BSN:

Kwantitatieve winst

ReductieOpbrengst op gebied van administratieve lasten of kosten
Faciliteren en randvoorwaarden scheppen voor betrouwbaar digitaal receptenverkeerOpbrengst loopt mee bij de berekening van de vereenvoudiging van het receptenverkeer
Faciliteren van informatieverkeer over cliënten via AZROpbrengst loopt mee bij de berekening van de vereenvoudiging van de AWBZ/invoering AZR
Declaratieverkeer: minder fouten, minder controles nodig, minder kostenLoopt mee bij de declaratiecasus. Heeft als doel het verminderen van marktlasten bij het declaratieverkeer
Uitwisseling van gegevens tussen zorgverleners wordt gemakkelijker (EPD)Loopt mee bij het EPD traject. Verlaagt dus administratielasten in de zorg. Kostenreductie wordt gemonitord bij de invoering van het EPD

Kwalitatieve winst

– Controle op verzekeringsgerechtigheid wordt gemakkelijker en betrouwbaarder.

– Identificatie patiënt wordt gemakkelijker doordat dezelfde nummers op rijbewijs, paspoort, verzekeringspas en ziekenhuispas staan.

– Dossiervorming en factureringsproces binnen een zorginstelling wordt gemakkelijker en betrouwbaarder.

– Ordelijke verzekerdenadministratie van verzekeraars (treedt nu al op door gebruik van het sociaal-fiscaal nummer).

– Minder correcties nodig bij onderlinge restitutie van premies en declaraties tussen verzekeraars.

– Minder fraudekosten voor aanbieders: lagere kans op misbruik van zorgpasjes en op gebruik van zorg zonder verzekerd te zijn met bijbehorend incasso-risico.

De leden van de PvdA-fractie vragen een specificatie van de extra administratieve lasten die in de memorie van toelichting bij het wetsvoorstel gebruik BSN in de zorg worden genoemd. De leden van de VVD-fractie vragen om een overzicht van de administratieve lasten en of een onderscheid kan worden gemaakt tussen lasten voor patiënten/cliënten, zorgaanbieders en zorgverzekeraars. In de eerste plaats merk ik op dat het gebruik van het BSN geen extra administratieve lasten oplevert voor patiënten. De extra administratieve lasten voor zorgaanbieders en zorgverzekeraars, zoals deze in de memorie van toelichting opgenomen zijn, bestaan uit incidentele en structurele verplichtingen voor deze partijen. Actal heeft geconstateerd dat deze gevolgen zowel kwalitatief als kwantitatief goed in beeld zijn gebracht. Dit levert het volgende beeld op.

Incidentele lasten voor zorgaanbieders en zorgverzekeraars

HandelingDoelgroepLastenToelichting
Verzoek tot opname in registerZorgaanbieders€ 0,8 mlnVoorbereiding verzoek tot opname: 15 minuten ten behoeve van het invullen van het benodigde formulier
Verzoek tot opname in registerZorgaanbieders€ 2,9 mlnPersoonlijk afhalen pas door de zorgaanbieder
Verzoek tot opname in registerZorgverzekeraarGelet op het geringe aantal verzekeraars zijn de lasten te gering om te kwantificeren
Verzoek tot opname in registerZorgverzekeraarEr wordt een certificaat verstrekt. Hier vloeien geen administratieve lasten uit voort

Structurele lasten voor zorgaanbieders en zorgverzekeraars

HandelingDoelgroepLastenToelichting
Vaststellen BSN cliëntZorgaanbieders€ 1,5 mlnAanname hierbij is dat iedere inwoner van Nederland gedurende zijn/haar leven 15 «eerste» contacten heeft
Verzoek tot opname in het register van een nieuwe zorgaanbiederZorgaanbieders€ 0,1 mlnAanname hierbij is dat er ieder jaar 15 000 nieuwe zorgaanbieders bij komen
Verzoek tot opname in het register van een nieuwe zorgaanbiederZorgaanbieders€ 0,4 mlnPersoonlijk afhalen pas door nieuwe zorgaanbieder
Vaststellen BSNZorgverzekeraar€ 0,6Aanname hierbij is dat iedere inwoner van Nederland zes keer in diens leven van zorgverzekeraar wisselt

Artikelsgewijs

Artikel 7

Voor het antwoord op de vragen van de leden van de fracties van het CDA en de SGP over artikel 7 verwijs ik naar het antwoord op de vragen van de CDA-fractie in bovenstaande paragraaf Stelsel voor het burgerservicenummer.

Artikel 10

De leden van de CDA-fractie vragen of beveiligingseisen niet direct in de wet of bij algemene maatregel van bestuur worden vastgelegd. Zoals blijkt uit mijn antwoord op de vragen van de PvdA-fractie in bovenstaande paragraaf Bescherming van persoonsgegevens, is de eis dat zorgaanbieders, indicatieorganen en zorgverzekeraars persoonsgegevens dienen te beveiligen reeds opgenomen in de wet, namelijk in artikel 13 van de Wbp. In die paragraaf is eveneens uiteen gezet waarom het wetsvoorstel daarenboven een facultatieve delegatiebepaling kent. Net als in de Zvw en de AWBZ betreft deze delegatie een ministeriële regeling. Een regeling is bij uitstek geschikt voor gedetailleerde eisen die bovendien snel aangepast moeten kunnen worden aan de ontwikkelingen in de informatie- en communicatietechnologie.

Artikel 10, 11, 17

De leden van de VVD-fractie vragen de regering te reageren op het voorstel een voorhang-procedure op te nemen voor de op grond van de artikelen 10, 11 en 17 te stellen regels met het oog op de waarborgen voor de betrouwbaarheid van het gebruik van het BSN. Voor mijn reactie op het voorstel een voorhangprocedure op te nemen voor de algemene maatregel van bestuur op grond van artikel 11 verwijs ik naar het antwoord op de desbetreffende vraag van de leden van de PvdA-fractie in de paragraaf Stelsel voor het burgerservicenummer. Indien er regels worden gesteld ten aanzien van de beveiligingseisen, zal dat in de ministeriële regeling vervat worden vanwege het gedetailleerde en technische karakter van deze materie. Bovendien zullen dergelijke regels met de nodige voortvarendheid aangepast moeten kunnen worden wanneer nieuwe ontwikkelingen op het gebied van communicatie- en informatietechnologie daar aanleiding toe geven. Het is om dezelfde redenen dat een voorhangprocedure voor dergelijke regels niet opportuun is. Tot slot lijkt mij een voorhangprocedure voor de algemene maatregel van bestuur bij artikel 17 niet functioneel. Via deze maatregel kunnen regels gesteld worden die een rol spelen bij de invoering van het BSN. Van deze delegatiebepaling zal dus niet meer dan eenmaal gebruik gemaakt worden. Ik begrijp uit uw vragen wel dat er behoefte is aan inzicht in hetgeen er in de algemene maatregelen van bestuur geregeld zal worden. Daar kan ik mij in vinden. Om die reden zal ik ze, en dit geldt ook voor de algemene maatregel bij artikel 2, in concept toesturen.

Naar boven