33 509 Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens)

M VERSLAG VAN DE VASTE COMMISSIE VOOR VOLKSGEZONDHEID, WELZIJN EN SPORT1

Vastgesteld 24 mei 2016

De nadere memorie van antwoord heeft de commissie aanleiding gegeven tot het maken van de volgende opmerkingen en het stellen van de volgende vragen. De commissie verzoekt de regering de vragen uiterlijk 17 juni 2016 te beantwoorden. Vertrouwende op een volledige en tijdige reactie achten de leden van de commissie de openbare behandeling van het wetsvoorstel voldoende voorbereid.

Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de nadere memorie van antwoord en hebben nog een enkele vraag.

De leden van de CDA-fractie danken de regering voor de nadere memorie van antwoord. Naar aanleiding daarvan, alsmede naar aanleiding van de technische briefing van 16 februari 20162 en de inbrengen tijdens de deskundigenbijeenkomst van 5 april 20163, hebben zij nog enkele vragen. De leden van de SP-fractie sluiten zich aan bij de vragen van de leden van de CDA-fractie.

Naar aanleiding van de onlangs gehouden deskundigenbijeenkomst, leggen de leden van de D66-fractie de volgende vragen graag voor aan de regering.

De fractieleden van de PVV hebben met belangstelling kennisgenomen van de nadere memorie van antwoord. Zij hebben nog enkele vragen.

De leden van de fractie van de SP danken de regering voor haar beantwoording. Zij hebben echter nog een aantal vragen.

De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van de antwoorden van de regering op het nader voorlopig verslag. Zij danken de regering daarvoor. De antwoorden geven een nadere duiding van wat geregeld gaat worden met dit wetvoorstel, de potentiële meerwaarde die de regering ziet en hoe zij invulling wil geven aan de uitvoerbaarheid van artikel 15a van het wetsvoorstel dat gericht is op gespecificeerde toestemming. De PvdA-fractieleden hebben op basis van deze antwoorden, de technische briefing, reacties uit het veld en de deskundigenbijeenkomst die in het kader van de nadere memorie van antwoord is gehouden, nog een aantal vragen.

De leden van de fractie van GroenLinks hebben – na lezing van de nadere memorie van antwoord en na overweging van de informatie die werd gedeeld tijdens de technische briefing en de deskundigenbijeenkomst – nog enkele vragen bij dit wetsvoorstel.

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie vragen de regering of de op 6 april 2016 door het Europees Parlement aangenomen Algemene Verordening Gegevensbescherming (AVG)4 en het daarin geregelde rondom verwerking en verstrekking van gezondheidsgegevens van invloed is op dit wetsvoorstel. Zo ja, regelt de AVG meer, of stelt deze juist beperkingen aan de verwerking en verstrekking van gegevens door of aan zorgverleners en ziektekostenverzekeraars zoals deze op grond van het onderhavige wetsvoorstel zullen plaatsvinden?

De leden van de VVD-fractie wachten de beantwoording met belangstelling af.

Vragen en opmerkingen van de leden van de CDA-fractie

Gefaseerde invoering

Wat betreft de gefaseerde invoering verzoeken de CDA-fractieleden de regering om nog eens duidelijk aan te geven wat de meerwaarde en de urgentie van de voorgestelde gefaseerde invoering is ten opzichte van invoering van de gehele wet over drie jaar. Ook dan is immers nu al helder wat de verplichtingen over drie jaar zijn en kan de wet bijdragen aan het versneld produceren en aanschaffen van adequate soft- en hardware, dit mede in het licht van de opmerkingen tijdens de deskundigenbijeenkomst dat er niet veel mis zal gaan, omdat er ook nu al voldoende veldnormen zijn en er wél veel mis kan gaan door de wet eerst slechts ten dele in te voeren5. Dit moet ook gezien worden in het licht van de opmerking van de regering dat patiënten ook zonder toestemming verzekerd zijn van goede zorg. Anders gezegd: kan de regering aangeven wat het nadeel is als de wet in zijn geheel over drie jaar ingaat?

Als sprake is van gefaseerde invoering, kan de regering aangeven waarom zij afziet van de mogelijkheid ook in de rompwet het recht op inzage voor patiënten op te nemen, tenminste voor degenen die het dossier hebben geconsulteerd? Die gegevens zijn immers nu al beschikbaar.

Kan de regering aangeven welke normen met betrekking tot de veilige apparatuur en communicatie nu nog niet gelden en met het wetsvoorstel wel direct van toepassing worden?

Kan de regering aangeven op grond van welke gegevens zij tot de conclusie komt dat hetgeen nu nog niet mogelijk is, over drie jaar wel beschikbaar is en geïmplementeerd kan zijn, ook met betrekking tot adequate, veilige en betrouwbare authenticatiemiddelen?

In de nadere memorie van antwoord zegt de regering dat er wordt gewerkt aan de totstandkoming van een afsprakenstelsel en de ontwikkeling van authenticatiemiddelen die in het Idensys-stelsel kunnen worden gebruikt.6 Kan de regering aangeven wat de stand van zaken is in dezen?

Normen

Is het juist dat de aangegeven respectievelijk bestaande NEN-normen met betrekking tot veilige communicatie vooral over interne processen en het gebruik van ICT-apparatuur gaan en niet zozeer technische normen voor de apparatuur betreffen? Kan de regering aangeven op welke wijze zij overweegt om naast de procesnormen, normen in te voeren ten behoeve van veilige communicatie en veilige apparatuur, zodanig dat er een adequaat inhoudelijk referentiekader is voor het bepaalde in artikel 13 van de Wet bescherming persoonsgegevens (Wbp), waar het gaat om passende technische en organisatorische maatregelen?

Is de regering bekend met het Besluit (EU) 2015/1302 van de Europese Commissie betreffende de vaststelling van de profielen op het gebied van «Integrating the Healthcare Enterprise» (IHE) als referentie bij overheidsopdrachten? Het besluit wijst op het belang van vrijwillige normalisatie op de markten voor producten en diensten teneinde de compatibiliteit en interoperabiliteit tussen diensten en producten te waarborgen, technologische ontwikkelingen te stimuleren en innovatie te ondersteunen. De – inmiddels 27 – profielen betreffen technische specificaties voor het uitwisselen of delen van medische gegevens en zijn erop gericht om de interoperabiliteit van diensten en applicaties op het gebied van e-gezondheid te vergroten, dit in het belang van patiënten en de medische wereld. Kan de regering aangeven of Nederland uitwerking geeft aan dit besluit en zo ja, hoe? Zo nee, waarom niet? Kan de regering aangeven in hoeverre deze standaarden kunnen bijdragen aan betere veiligheid van apparatuur en communicatie zoals beoogd in onderhavig wetsvoorstel? Overweegt de regering om deze standaard op te nemen in de AMvB?

Is er overigens al iets te zeggen over de uitwerking van de AMvB waarin specifieke, technische en organisatorische eisen aan de elektronische gegevensuitwisseling in zijn algemeenheid worden vastgelegd, en waarin deze mogelijk zal verschillen met de huidige eisen dienaangaande?

Privacy/uitwisseling gegevens

Kan de regering preciezer aangeven hoe het wetsvoorstel borgt dat alleen de behandelend arts toegang heeft tot een dossier? In de nadere memorie van antwoord lezen de CDA-fractieleden slechts dat het niet de bedoeling is dat onbevoegden erbij kunnen en dat dat ook strafbaar is7. Concluderen zij daaruit terecht dat het – ook al is het niet de bedoeling – wél mogelijk is? Kan de regering ook aangeven of voorkomen kan worden dat dossiers (door onbevoegden) gekopieerd worden en hoe men dat kan voorkomen?

Kan de regering aangeven hoe zij de relatie ziet tussen het belang van privacy en veilige communicatie enerzijds en de onveiligheid van veel thuisapparatuur anderzijds, alsmede wat dat betekent voor voorliggend wetsvoorstel?

Gespecificeerde toestemming

Is er inmiddels een mede door het veld geaccordeerde, te implementeren definitie van gespecificeerde toestemming? Zo ja, welke?

Van verschillende kanten is erop gewezen dat het wetsvoorstel de betekenis van de Wet op de geneeskundige behandelingsovereenkomst (WBGO) en de Wbp verandert. Voorliggend wetsvoorstel is bedoeld om de communicatie tussen zorgverleners te verbeteren, maar regelt in hoge mate vooral de rechten van patiënten. Waar bij de WBGO en de Wbp de arts «in charge» is, komt er nu meer en meer (ook) bij de patiënt te liggen. Gaarne een reactie van de regering.

Kan de regering daarbij ook reageren op het pleidooi dat te horen was tijdens de deskundigenbijeenkomst, dat het beter zou zijn geweest de rechten en bescherming van patiënten via een andere wet te regelen8?

Bij de gespecificeerde toestemming gaat het erom dat patiënten toestemming kunnen geven aan onderscheiden zorgaanbieders, categorieën zorgverleners en/of individuele zorgverleners gespecificeerd ook naar type medische gegevens. In de deskundigenbijeenkomst werd opgemerkt dat er op dit moment geen gestandaardiseerde lijsten bestaan van (categorieën van) zorgverleners en er geen duidelijke categorisering is van medische gegevens waartegen ja of nee gezegd kan worden.9 Is dit juist? Zo ja, kan de regering aangeven of, en zo ja, hoe dit probleem ondervangen zal worden?

Patiëntenportaal

Met betrekking tot de wenselijkheid van een patiëntenportaal: in de deskundigenbijeenkomst was er een pleidooi om dit niet als plicht op te nemen, maar als een optie of een recht.10 Kan de regering aangeven wat zij als voor- en nadelen ziet van deze optie?

Als de regering een patiëntenportaal niet wenselijk acht, op welke manier kunnen patiënten dan overzicht houden over de door hen gegeven gespecificeerde toestemming (aan alle individuele zorgverleners)? En hoe kan een patiënt dan zien wie zijn of haar gegevens heeft geraadpleegd?

Kan de regering aangeven wie uiteindelijk verantwoordelijk is dan wel zou moeten zijn, ook financieel, voor het beheer van een eventueel patiëntenportaal?

Is het zo dat het wetsvoorstel het mogelijk wil maken dat naast een zorgverlener, ook de patiënt en een vervolgbehandelaar een dossier kan bewerken? Kan de regering nog eens aangeven wie eindverantwoordelijk is voor de juistheid van het dossier respectievelijk een veilige uitwisseling? Deze vraag stellen de CDA-fractieleden mede in het licht van het gegeven dat de dossiers bij een zorgaanbieder raadpleegbaar worden zonder dat de zorgaanbieder die de gegevens beschikbaar heeft gemaakt, daarvoor nog een actieve handeling moet verrichten. Kan de regering ook aangeven hoe deze verantwoordelijkheid controleerbaar en handhaafbaar in de wet geregeld wordt?

Algemeen met betrekking tot het wetsvoorstel

Kan de regering aangeven of het wetsvoorstel ook regelt dat gegevens gebruikt kunnen worden voor wetenschappelijk onderzoek? Zo ja, hoe? En onder welke voorwaarden?

Is het juist dat pull-berichten op dit moment nog niet of nauwelijks zijn toegestaan en dat met het aannemen van de rompwet de mogelijkheden hiervoor worden vergroot? Zo ja, kan de regering aangeven naar aanleiding van welke problemen (en de omvang ervan) geconcludeerd is dat het push-systeem niet meer voldoet en een pull-systeem daar een adequaat antwoord op is?

In de nadere memorie van antwoord stelt de regering enkele malen dat het wetsvoorstel alléén betrekking heeft op pull-berichten en niet op push-berichten.11 Als dat zo is, is het dan niet des te belangrijker dat ook de logging en listing tegelijkertijd worden geregeld? En kan de regering aangeven hoe gegarandeerd wordt dat de regelingen in het wetsvoorstel met betrekking tot veiligheid van apparatuur en veilige communicatie ook geldig worden voor push-berichten?

Het is niet de bedoeling, maar in hoeverre bórgt het wetsvoorstel ook dat de toestemming van de patiënten geen onderdeel wordt van tariefonderhandelingen en contracten van de zijde van de zorgverzekeraar?

Een van de nadere vragen van de CDA-fractieleden ging over de vraag naar de wenselijkheid dat een zorgverlener de cliënt kan «overrulen» als deze weigert bepaalde gegevens te delen. De regering antwoordt daarop dat zorgverlener altijd de behandelrelatie kan opzeggen als deze beschikt over te weinig informatie voor een goede behandeling. Het al of niet opzeggen acht de regering onafhankelijk van de wijze van aanleveren van gegevens (elektronisch of anderszins).12 De CDA-fractieleden zien dit niet als een antwoord op de gestelde vraag. De vraag gaat over de relatie respectievelijk spanning die er kan bestaan tussen enerzijds toestemming en anderzijds vitaal belang. Hoe borgt het wetsvoorstel dat minder zelfredzame mensen niet de dupe kunnen worden en dat zorgverleners niet beperkt worden in hun handelen in het vitaal belang van hun patiënten door een in het systeem ontbrekende toestemming? Met andere woorden: in hoeverre acht de regering het wenselijk dat een zorgverlener in dat geval de mogelijkheid heeft te «overrulen», bijvoorbeeld als het vitaal belang in het geding is waarover ook de Wbp spreekt13?

Vragen en opmerkingen van de leden van de D66-fractie

Ten eerste zouden de D66-fractieleden graag van de regering horen of zij overweegt de behandeling van het voorliggende (romp)wetsvoorstel uit te stellen totdat er meer duidelijkheid bestaat over de technische uitvoerbaarheid van de gespecificeerde toestemming. En zo ja, waarom wel, en zo nee, waarom niet? Graag ontvangen deze leden een nadere toelichting van de regering.

Is de regering voorts van mening dat de gestelde NEN-normen – die bij inwerkingtreding van het wetsvoorstel zouden worden ingevoerd – voldoende adequaat zijn voor het beveiligen van de uitwisseling van elektronische uitwisseling van medische gegevens, en zo ja, om welke redenen?

Vragen en opmerkingen van de leden van de PVV-fractie

Op de vragen over de mogelijkheid van een autorisatiepas voor de patiënt antwoordt de regering in de nadere memorie van antwoord dat zij geen aanleiding ziet om de introductie van zo’n pas te overwegen, waarbij zij zich beroept op onderzoek uit 2011 waaruit zou zijn gebleken dat het gebruik van een pas voor autorisatie dezelfde nadelen zou kennen als een zorgpas voor opslag en autorisatie.14 Aangezien het genoemde onderzoek dus inmiddels vijf jaar oud is: is bij de regering bekend of er inmiddels nieuwe technologische ontwikkelingen zijn die de destijds geconstateerde bezwaren bij een zorgpas wegnemen, of dat deze ontwikkelingen binnen afzienbare tijd kunnen worden verwacht?

Tegelijkertijd stelt de regering in de nadere memorie van antwoord dat het een wenkend perspectief is dat burgers beschikken over veilige authenticatiemiddelen op voldoende hoog betrouwbaarheidsniveau waarmee zij toegang kunnen krijgen tot hun gegevens, maar dat de ontwikkeling minder snel loopt dan verwacht. Dit voert de regering aan als reden om de bepalingen ten aanzien van elektronische inzage en afschrift pas na drie jaar in werking te laten treden, omdat zij verwacht dat dit dan wél beschikbaar zal zijn.15 Welke concrete aanwijzingen heeft de regering dat over drie jaar er wél een authenticatiemiddel beschikbaar is op het gewenste niveau?

In de nadere memorie van antwoord stelt de regering: «Het is voor het bieden van goede, veilige en samenhangende zorg belangrijk dat zorgverleners kunnen beschikken over goede en relevante medische informatie over de cliënt. Deze informatie komt in toenemende mate digitaal beschikbaar. Zo levert het groeiende aantal e-health toepassingen veel actuele monitorgegevens op over de patiënt die bij kunnen dragen aan een adequate behandeling.»16 Kan de regering aangeven hoe de in dit wetsvoorstel bedoelde toestemmingsmogelijkheden en beschermingsniveaus zich verhouden tot monitorgegevens uit e-health toepassingen? Hoe kan een patiënt hierover concreet controle en inzicht behouden, en wie kan er toegang tot deze informatie krijgen?

Op 22 februari waren in de media uitspraken te lezen van Philips-topman Frans van Houten over voorliggend wetsvoorstel. De Philips-CEO gaf aan dat hij hoopt dat de Eerste Kamer dit wetsvoorstel aanneemt zodat zorgverleners makkelijker toegang kunnen krijgen tot patiënteninformatie.17 Tegelijkertijd maakte het concern bekend in te zetten op nieuwe e-healthtechnologieproducten met de inzet op het verzamelen, analyseren en toepassen van big data, zoals het monitoren van patiënten in ziekenhuizen en deze informatie verwerken in een datacloud.18 Opvallend is dat Philips bij deze cloud gaat samenwerken met verzekeraar Allianz. Kan de regering aangeven of, ondanks dat het wetsvoorstel in artikel 15f de toegang van verzekeraars tot de elektronische uitwisselingssystemen uitdrukkelijk verbiedt, er toch mogelijkheden zijn dat (commerciële) partners van verzekeringsmaatschappijen toegang kunnen krijgen tot patiënteninformatie? Geldt het in artikel 15f van het wetsvoorstel bedoelde verbod ook voor samenwerkingspartners van verzekeraars? Kan de regering uitsluiten dat monitorgegevens van patiënten met behulp van deze wet gebruikt gaan worden voor commerciële big datatoepassingen?

Verder zijn in de deskundigenbijeenkomst nog enkele stellingen naar voren gebracht, waarvan we de regering zouden willen verzoeken hierop te reageren.

De heer Verheul van de Radboud Universiteit en Keycontrols heeft het volgende aangegeven: «Zo’n verwijsindex wordt eigenlijk impliciet genoemd in het wetsvoorstel. Dat is een heel gevoelige tabel, die onwenselijk en technisch gezien niet noodzakelijk is. Dat is het belangrijkste punt dat ik wil maken. In eerdere besprekingen van landelijke schakelpunten is al naar voren gekomen waarom het onwenselijk is. Als zo’n tabel in verkeerde handen valt, is plots duidelijk wie waar patiënt is. Het kan ook om een hiv-kliniek of een ggz-instelling gaan. Daarom wil je een centraal systeem met zo’n verwijsindex vermijden. Het is een heel grote tabel die heel lastig te beveiligen is. (...) Daarmee geef je expliciet aan dat zo’n verwijsindex gepseudonimiseerd moet worden of dat er gebruik moet worden gemaakt van privacy enhancing technologies, om ervoor te zorgen dat deze banale tabel in ieder geval niet centraal wordt toegepast.»19

Deelt de regering de stelling over dit veiligheidsrisico? Ziet de regering zich gelet hierop genoodzaakt om maatregelen te nemen in de uitvoering?

De heer Verheul heeft voorts gezegd: «Die gegevens worden versleuteld verstuurd naar het landelijk schakelpunt, zeg maar de hub, de centrale spil. Ze worden daar ontsleuteld en vervolgens opnieuw versleuteld naar de opvragende zorgaanbieder verstuurd. Dat is een manier van werken die tien jaar geleden, toen dit soort systemen werd ontwikkeld, misschien nog wel logisch was, maar op dit moment is het niet meer gebruikelijk dat gegevens eventjes in the clear, onversleuteld, in zo’n centraal systeem staan. (...) Die oude manier van werken, waarbij die versleuteling even ongedaan wordt gemaakt op een centrale plek, is niet meer van deze tijd.»20

Deelt de regering de stelling over dit veiligheidsrisico? Ziet de regering zich gelet hierop genoodzaakt om maatregelen te nemen in de uitvoering?

De heer Verheul heeft ook het volgende betoogd: «NEN 7510 werd genoemd. Dat is dus geen technische norm, maar een norm voor informatiemanagementsystemen. Die norm voegt in deze context niet zo heel veel toe aan de beveiliging.»21

Kan de regering aangeven of deze constatering klopt? Aangezien de aspecten van beveiliging in dit wetsvoorstel overwegend zijn onderbouwd met deze NEN-norm, kan de regering aangeven of er technisch gezien voor de uitvoerbaarheid sprake is van voldoende mate van veiligheid van uitwisseling van patiënteninformatie?

Op 13 mei 2016 heeft de heer Böhre van Privacyfirst een brief naar de Eerste Kamer gestuurd met daarin aandachtspunten en daarop gebaseerde vragen.22 De PVV-fractieleden hebben met belangstelling kennisgenomen van deze brief. Zij willen de regering verzoeken de in de brief gestelde vragen van een antwoord te voorzien en hen daarvan in kennis te stellen.

Vragen en opmerkingen van de leden van de SP-fractie

Hoe kan volgens de regering de door haar geïntroduceerde «gespecificeerde toestemming»23 voldoen aan de eisen van een geïnformeerde, weloverwogen en uitdrukkelijke toestemming, zoals vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en Wbp, wanneer deze in potentie alsnog een generieke reikwijdte behelst?

Welke bescherming biedt dit wetsvoorstel tegen het risico dat patiënten een toestemming geven, dan wel wordt gevraagd, waarvan ze de gevolgen voor de toegankelijkheid van hun medische gegevens niet kunnen overzien?

Klopt het dat volgens artikel 15c van het wetsvoorstel de toestemming van een patiënt bij de ene zorgverlener ook kan leiden tot het ontsluiten van medische gegevens bij andere zorgverleners die een dossier van de patiënt bijhouden? Hoe verhoudt dit zich tot de individuele verantwoordelijkheid van zorgverleners voor het beroepsgeheim? Hoe moet de patiënt bij het geven van die toestemming worden geïnformeerd over welke gegevens voor wie toegankelijk worden (wanneer medische gegevens door derde zorgverleners worden ontsloten)?

Is de vraag «Mag ik uw medicatiegegevens via het LSP uitwisselen met andere zorgverleners ten behoeve van toezicht op veilig medicijngebruik?» een specifieke vraag met een generiek antwoord?24 Hoe ziet een gespecificeerd antwoord op de vorige vraag eruit?

De regering zegt het volgende in haar beantwoording: «In het perspectief dat partijen voor ogen hebben, zal de patiënt zelf zijn toestemmingsprofiel kunnen vastleggen, inzien en aanpassen, bijvoorbeeld met behulp van een te ontwikkelen patiëntenportaal. Juist door het beheer van het toestemmingprofiel bij de patiënt zelf te leggen is hij in staat om goed te overzien waarvoor hij toestemming geeft en hier regie op te voeren.»25 Betekent dit dat de patiënt straks de enige is die kan beslissen wie wat inziet? Op welke wijze denkt de regering dat een dergelijk patiëntenportaal vellig kan worden ontwikkeld? In hoeverre kent de regering systemen die veilig genoeg zijn om dit te kunnen verzorgen? In hoeverre denkt de regering dat de patiënt in staat is zijn eigen IT-omgeving veilig genoeg te houden om een dergelijk patiëntenportaal te kunnen gebruiken? Op welk percentage inbreuk (hacks) wordt er gerekend? Vindt de regering dit een acceptabel aantal?

Specifieke toestemming wordt in dit wetsvoorstel wel voorgesteld, maar tegelijkertijd weer buiten werking gesteld. De diverse partijen die werken aan het geven van specifieke toestemming (Artsenfederatie KNMG en de Landelijke Huisartsen Vereniging (LHV)) geven aan dat er op dit moment nog geen zicht is op of specifieke toestemming überhaupt wel op korte termijn haalbaar is. Dan nog blijft de vraag hoe de specifieke toestemming eruit gaat zien. Betekent het specifiek toestemming per behandelaar? Of is het per behandeldoel? Of is specifiek voor alle gelijke zorgaanbieders (bijvoorbeeld alle apothekers)?

Betekent het idee van een toestemmingsportaal waarmee patiënten overzicht houden over en kunnen regelen wie toegang krijgt tot hun gegevens, dat alle systemen moeten koppelen met één groot portaalsysteem dat de «toestemmingsprofielen» bevat van alle patiënten? Zo ja, is dan het gebruik van zo'n portaal optioneel (voor patiënten die meer regie willen) of verplicht voor iedereen? Hoe wordt toestemming geregeld voor het kunnen plaatsen van persoonlijke informatie in zo'n portaal? En, gegeven de verwerking van gevoelige persoonsgegevens (toestemmingsregels, logging) die zo'n centraal systeem impliceert, vereist de invoering van zo'n systeem geen aparte en/of aanvullende wetgeving? Is zo'n systeem in zichzelf geen enorm privacyrisico?

Als de patiënt via zo'n portaal «gespecificeerd» heeft aangegeven dat een bepaalde categorie zorgverleners geen toegang mag krijgen, mag een arts dan nog zelfstandig, vanuit zijn professionele opvatting, een specifieke collega van deze categorie toegang geven tot deze gegevens wanneer hij dat (medisch) noodzakelijk acht? En wie is verantwoordelijk voor de keuzes die hierin gemaakt worden? Wanneer de patiënt geen toestemming heeft gegeven waar dit nodig was of andersom, wie is dan verantwoordelijk voor de gevolgen daarvan?

Krijgt de patiënt het recht om digitalisering van zijn of haar patiëntendossier te weigeren? Alle data is immers nu digitaal beschikbaar en het risico op lekken neemt hiermee toe. Welke mogelijkheden heeft een patiënt wanneer hij of zij uitermate vertrouwelijke gegevens niet gedigitaliseerd wil zien? Op welke wijze worden minderjarigen hierin beschermd?

Kan de regering uitleggen hoe zij de patiënten wil ondersteunen bij het al dan niet geven van de toestemming? Zoals in de deskundigenbijeenkomst nadrukkelijk werd gezegd door meerdere mensen, is dat de meeste patiënten niet sterk genoeg zijn om te weten wat zij moeten doen. Ze kunnen teveel ja zeggen tegen toestemming of uit angst nee zeggen. Hoe gaat de regering ervoor zorgen dat ieder een afgewogen keus kan maken? Heeft de regering ook een beeld van wat dit extra gaat kosten aan zorg? Veel patiënten zullen met name door hun zorgverlener op de hoogte moeten worden gesteld. Dat kost extra tijd en dus geld. Zijn hier calculaties voor gedaan?

Er zijn inmiddels ook andere initiatieven voor het uitwisselen van gegevens. Deze kunnen ook zonder het wetsvoorstel ten uitvoering worden gebracht. Is dit wetsvoorstel niet teveel gebaseerd op het oude idee van het elektronisch patiëntendossier (EPD)? Waarom heeft de regering niet gekozen voor meer flexibele wetgeving? Zorgt deze wetgeving niet voor een tunnelvisie?

Waarom is er niet voor gekozen om eigen regie door middel van gespecificeerde toestemming (dit geldt ook zónder portaal) optioneel te maken voor mensen die dit graag willen en kunnen, in aanvulling op (maar niet in plaats van) de gezamenlijke regie die arts en patiënt op dit moment hebben volgens de WGBO?

Uitgangspunt van de WGBO is de professionele verantwoordelijkheid van de zorgverlener. Hoe staat het met dit uitgangspunt als het onderhavige wetsvoorstel is aangenomen?

In de bijlage «Factsheet gespecificeerde toestemming» bij de nadere memorie van antwoord staat: «Ook voor het beschikbaar stellen van gegevens aan vervangers is op grond van het wetsvoorstel toestemming nodig, indien de beschikbaarstelling via een elektronisch uitwisselingssysteem plaatsvindt. Het wetsvoorstel «overruled» op dit punt de WGBO.»26 Dit refereert aan artikel 7:457, tweede lid, van het Burgerlijk Wetboek. Indien dit punt van de WGBO wordt «overruled», is het dan ook zo dat het beschikbaar stellen van medische gegevens voor een rechtstreeks bij de behandeling betrokken zorgverlener uit hetzelfde lid, wordt overruled door het wetsvoorstel? Dit wetsartikel maakt gegevensuitwisseling in een aantal in de zorg veel voorkomende situaties (vervanging/waarneming, communicatie met directe collega's) mogelijk vanuit de discretionaire bevoegdheid van de zorgverlener, dus onder zijn verantwoordelijkheid. Dit is heel belangrijk om gegevens uit te kunnen wisselen met veronderstelde toestemming, als dat medisch noodzakelijk is, ook op momenten dat een patiënt dit zelf niet kan beslissen of regelen. Zou de regering hier nader op kunnen ingaan?

De leden van de fractie van de SP zouden graag van de regering nadere uitleg willen over de push- en pull-communicatie van dit wetsvoorstel. Bij de WGBO en Wbp ging het er, versimpeld samengevat, om of (a) gegevens extern worden opgeslagen (Wbp-eis voor toestemming) en (b) of zorgverleners die géén vervanger waren en die geen rechtstreekse betrokkenheid bij de behandeling hadden, toegang tot gegevens zouden krijgen. Hoe zou dit nu werken onder dit wetsvoorstel?

Vragen en opmerkingen van de leden van de PvdA-fractie

Reikwijdte van het wetsvoorstel

Het voorliggende wetsvoorstel is gericht op het realiseren van een veilige en cliëntgerichte wijze om medische gegevens over een cliënt/patiënt beschikbaar te stellen aan andere zorgverleners die zorg aan de cliënt leveren en aan de cliënt zelf. De eerste vraag heeft betrekking op de antwoorden van de regering in de nadere memorie van antwoord. De leden van de PvdA-fractie gaan ervan uit dat het wetsvoorstel regels stelt voor de uitwisseling van alle medische informatie van cliënten tussen zorgverleners. In de nadere memorie van antwoord wordt twee keer aangegeven dat het wetsvoorstel uitsluitend betrekking heeft op zogenaamde pull-verkeer en niet van toepassing is op push-berichten.27 Dit leidt bij de PvdA-fractieleden tot verwarring. Zij verzoeken de regering de reikwijdte van het wetsvoorstel te verhelderen.

De PvdA-fractieleden constateren dat de voorgestelde wetswijzigingen betrekking hebben op de Zorgverzekeringswet (Zvw), Wet gebruik burgerservicenummer in de zorg (Wgb) en de Wet marktordening gezondheidszorg. Feit is dat medische zorg ook geleverd wordt binnen instellingen die gefinancierd worden door de Wet langdurige zorg (Wlz). Cliënten die gebruik maken van de Wlz maken bovendien veelal ook gebruik van de zorg die gefinancierd worden vanuit de Zvw. Medische gegevens spelen daarnaast een rol voor de zorg en ondersteuning die geleverd worden, gefinancierd uit de Wet op de jeugdzorg en Wet maatschappelijke ondersteuning (WMO).

De PvdA-fractieleden gaan ervan uit dat voor het uitwisselen van medische gegevens in de hiervoor geschetste situaties dezelfde spelregels gelden als voor de zorg die gefinancierd wordt vanuit de Zvw. Onderschrijft de regering dit? Indien dit het geval is: betekent het feit dat de regering geen wetswijzigingen voorstelt in deze wetten dat de regering van oordeel is dat in deze wetten de regels die de belangen van de cliënt beschermen bij elektronische uitwisseling, al toereikend zijn? Is de regering van oordeel dat voor deze zorg al adequaat is geregeld hoe de cliënt toestemming kan geven voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaanbieders of categorieën van zorgaanbieders, en dat daarbij voorkomen is dat de financiers (zorgverzekeraars in hun rol als Wlz-uitvoerders en gemeenten) geen beschikking kunnen krijgen over de medische gegevens? Indien de regering onze stelling niet onderschrijft: welke spelregels gelden voor medische gegevens die gehanteerd worden binnen de Wlz, Wet op de jeugdzorg en WMO?

Fasegewijze implementatie

Een belangrijke reden om het wetsvoorstel nu in te voeren, hangt samen met het feit dat de huidige wetgeving niet specifiek gericht is op de elektronische uitwisseling van gegevens binnen de zorg. Het wetsvoorstel biedt heldere kaders voor nieuwe initiatieven in het zorgveld en realiseert transparantie wat betreft de (toekomstige) eisen, zodat leveranciers van ICT-systemen en zorgaanbieders weten waar ze aan moeten voldoen en hun systemen daarop kunnen inrichten. In de nadere memorie van antwoord meldt de regering dat de praktijk nog niet op alle onderdelen op korte termijn in overeenstemming te brengen is met het wetsvoorstel. Voor dit inrichten (met name voldoen aan de NEN-normen) hebben zorgaanbieders tijd nodig. Hoeveel tijd krijgen de zorgaanbieders, nadat de wet van kracht wordt, om te voldoen aan alle eisen die voortvloeien uit dit wetsvoorstel en de AMvB?

Wat betreft de bepalingen die gericht zijn op de introductie van gespecificeerde toestemming (artikel 15a, tweede lid en artikel 15,c, tweede lid) en het recht op elektronische inzage en een elektronische afschriften (artikel 15d en artikel 15e), stelt de regering voor deze bepalingen drie jaar na invoering van het wetsvoorstel in werking te laten treden. De PvdA-fractieleden vinden het positief dat het Ministerie van VWS, samen met partijen als de Patiëntenfederatie NPCF, Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP), LHV en Artsenfederatie KNMG, werkt aan het voorbereiden van de invoering en de stappen die gezet moeten worden om toe te kunnen werken naar het eindperspectief. Daarbij wordt door deze partijen begin dit jaar aangegeven dat het nog een jaar duurt voordat duidelijk zal zijn of de hiervoor genoemde bepalingen uitvoerbaar zijn. Hierover hebben de PvdA-fractieleden nog een aantal vragen.

In reactie op de naar de Eerste Kamer verzonden nadere memorie van antwoord is door een deel van de veldpartijen gepleit voor uitstel van de behandeling van het wetsvoorstel totdat duidelijk is of de gevonden knelpunten kunnen worden opgelost. Andere veldpartijen pleiten juist voor invoering om een onomkeerbare stap te kunnen maken in de weg naar (wettelijke eisen voor) elektronische uitwisseling van medische gegevens. De benadering die de regering kiest – invoering over drie jaar van de hierboven genoemde bepalingen – lijkt gebaseerd op de veronderstelling dat het dan mogelijk is voor het veld om aan de genoemde artikelen te voldoen. Waarop is deze veronderstelling gebaseerd? Waarom wordt gekozen voor een periode van drie jaar en niet een eerder of later tijdstip? Hoe kijkt de regering aan tegen het voorstel om met de behandeling van het wetsvoorstel te wachten tot helder is of de invoering van de bepalingen uitvoerbaar is? En, indien de regering de voorkeur geeft aan het niet uitstellen van de behandeling: waarop baseert de regering het kennelijke vertrouwen dat het wetsvoorstel uitvoerbaar zal zijn? Wat gaat er gebeuren als in de komende tijd zal blijken dat de genoemde bepalingen niet uitvoerbaar mochten zijn?

Organisatorische consequenties en administratieve lasten

In de technische briefing is naar voren gekomen dat in het hiervoor genoemde plan van aanpak uitsluitend gekeken wordt naar de technische voorwaarden om de genoemde bepalingen in te voeren. Een deel van de veldpartijen heeft aangegeven dat nader onderzoek nodig is om zicht te krijgen op de praktische uitvoerbaarheid van de deze bepalingen. Het gaat daarbij zowel over de organisatie van de gegevensuitwisseling, als de praktische uitwerking als voldaan moet worden aan de privacy-eisen in de dagelijkse zorgpraktijk. Daarbij geven de veldpartijen bijvoorbeeld aan dat het onduidelijk is hoe omgegaan moet worden met het beschikbaar stellen van medische gegevens via een pull-benadering binnen verschillende organisatorische eenheden van een zorgorganisatie en/of in acute situaties en/of in situaties dat de cliënt niet aanspreekbaar is. Een vraag die hier aan gerelateerd is, is de vraag hoe de regering de rolverdeling ziet tussen individuele medische specialisten en de bestuurlijke verantwoordelijkheid van de maatschappen en zorginstellingen waarbinnen zij veelal werkzaam zijn.

In de nadere memorie van antwoord geeft de regering aan dat nog weinig kan worden gezegd over de administratieve lasten zolang niet duidelijk is hoe gespecificeerde toestemming wordt geïmplementeerd en tegelijkertijd verwacht ze dat in het eindperspectief, waarin de cliënt zelf zijn toestemmingsprofiel beheert, de toename van de administratieve lasten voor de zorgpraktijk beperkt zullen blijven.28 Kan de regering aangeven waarom ze enerzijds zegt nu niet in te kunnen schatten wat de administratieve lasten zijn en tegelijkertijd nu al tot de conclusie komt dat ze verwacht dat die in de eindsituatie mee zullen vallen? Van welke gedragsveronderstellingen is de regering daarbij uitgegaan, bijvoorbeeld wat betreft het gebruik van slimme ICT-oplossingen en devices door cliënten en zorgverleners? Hoe kijkt de regering aan tegen de betekenis van het wetsvoorstel voor de administratieve lasten van de zorg in de weg naar dit eindperspectief? Wat zijn voor de regering aanvaardbare administratieve lasten zowel in de weg naar het eindperspectief als in de eindsituatie?

De PvdA-fractieleden zien met belangstelling uit naar de antwoorden van de regering.

Vragen en opmerkingen van de leden van de GroenLinks-fractie

Is de interpretatie juist dat ook bij volledig uitstel van invoering de basale bescherming van de privacy al is geregeld in onder andere de WGBO en de Wbp?

Is de interpretatie juist dat met het niet invoeren van artikel 15b van het wetsvoorstel (toestemming vragen bij raadplegen gegevens) zorgaanbieders nog steeds alleen gegevens mogen raadplegen als er een behandelrelatie is?

Is de interpretatie juist dat met het nog niet invoeren van artikel 15d en 15e van het wetsvoorstel (elektronisch afschrift, inzage en logging) zorgaanbieders met wie op dat moment geen behandelrelatie bestaat, gegevens zouden kunnen raadplegen zonder dat de patiënt dat kan achterhalen?

Is de interpretatie juist dat vanuit patiëntenperspectief de belangrijkste waarborgen van eigen regie en inzicht in privacy-aspecten gelegen zijn in de artikelen die (nog) niet in werking zullen treden?

Op welke termijn is er zicht op een patiëntenportaal waar de toestemmingen veilig en klantvriendelijk kunnen worden beheerd? Wordt dit ook gekoppeld aan inzage in logging-bestanden?

Op welke termijn is de gespecificeerde toestemming uitvoerbaar en handhaafbaar?

Op welke wijze wordt het risico uitgesloten van een inbreuk op de anonimiteit van gegevens in het LSP (zoals tijdens de deskundigenbijeenkomst door de heer Verheul beschreven als een verwijsindex29)?

Is de interpretatie correct dat voor het vaststellen van nadere NEN-normen voor de gegevensuitwisseling een ministeriële regeling volstaat, omdat daar al een wettelijke grondslag voor bestaat?

Is de regering bereid om verdere behandeling van dit wetsvoorstel gedurende een jaar aan te houden en in die tijd helderheid te verkrijgen of de gespecificeerde toestemming uitvoerbaar zal worden en hoe de patiëntenregie in een portaal kan worden georganiseerd?

De leden van de vaste commissie voor Volksgezondheid, Welzijn en Sport zien de antwoorden van de regering met belangstelling tegemoet.

De voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en Sport, Martens

De griffier van de vaste commissie voor Volksgezondheid, Welzijn en Sport, De Boer


X Noot
1

Samenstelling:

Ten Hoeve (OSF), Koffeman (PvdD), Kuiper (CU), De Vries-Leggedoor (CDA),Flierman (CDA), Barth (PvdA), Beuving (PvdA), Ganzevoort (GL), De Grave (VVD), Martens (CDA) (voorzitter), Schouwenaar (VVD), Bruijn (VVD) (vice-voorzitter), Gerkens (SP), Kops (PVV), Atsma (CDA), Bredenoord (D66), Dercksen (PVV), Van Dijk (SGP), Don (SP), Van Hattem (PVV), Krikke (VVD), Nooren (PvdA), Oomen-Ruijten (CDA), Prast (D66), Van Rooijen (50PLUS), Schnabel (D66), Wezel (SP)

X Noot
2

Ambtenaren van het Ministerie van VWS verzorgden op 16 april 2016 een technische briefing over het wetsvoorstel.

X Noot
3

Kamerstukken I 2015/16, 33 509, L.

X Noot
4

Zie ook E-dossier E120003 op de Europapoort (www.eerstekamer.nl/eu/).

X Noot
5

Kamerstukken I 2015/16, 33 509, L.

X Noot
6

Kamerstukken I 2015/16, 33 509, J, p. 14.

X Noot
7

Kamerstukken I 2015/16, 33 509, J, p. 6.

X Noot
8

Kamerstukken I 2015/16, 33 509, L, p. 20.

X Noot
9

Kamerstukken I 2015/16, 33 509, L, p. 21.

X Noot
10

Kamerstukken I 2015/16, 33 509, L, p. 26.

X Noot
11

Zie bijvoorbeeld Kamerstukken I 2015/16, 33 509, J, p. 12.

X Noot
12

Kamerstukken I 2015/16, 33 509, J, p. 10.

X Noot
13

Artikel 8, onder d, van de Wbp.

X Noot
14

Kamerstukken I 2015/16, 33 509, J, p. 12.

X Noot
15

Kamerstukken I 2015/16, 33 509, J, p. 4.

X Noot
16

Kamerstukken I 2015/16, 33 509, J, p. 5.

X Noot
19

Kamerstukken I 2015/16, 33 509, L, p. 18–19.

X Noot
20

Kamerstukken I 2015/16, 33 509, L, p. 19.

X Noot
21

Kamerstukken I 2015/16, 33 509, L, p. 19.

X Noot
22

Brief van 13 mei 2016, griffienummer 156848.38.

X Noot
23

Artikel 15a van het wetsvoorstel.

X Noot
24

Kamerstukken I 2015/16, 33 509, J, p. 6–7.

X Noot
25

Kamerstukken I 2015/16, 33 509, J, p. 3.

X Noot
26

Kamerstukken I 2015/16, 33 509, J, bijlage Factsheet gespecificeerde toestemming, p. 2.

X Noot
27

Kamerstukken I 2015/16, 33 509, J, p. 12–13.

X Noot
28

Kamerstukken I 2015/16, 33 509, J, p. 5.

X Noot
29

Kamerstukken I 2015/16, 33 509, L, p. 8.

Naar boven