Kamerstuk

Datum publicatieOrganisatieVergaderjaarDossier- en ondernummer
Tweede Kamer der Staten-Generaal2013-201433509 nr. 11

33 509 Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens)

Nr. 11 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 3 april 2014

In de vaste commissie voor Volksgezondheid, Welzijn en Sport bestond er bij enkele fracties behoefte een aantal aanvullende vragen en opmerkingen voor te leggen aan de Minister van Volksgezondheid, Welzijn en Sport over wetsvoorstel Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens (Kamerstukken 33 509).

De op 14 februari 2014 toegezonden vragen en opmerkingen zijn met de door de Minister bij brief van 2 april 2014 toegezonden antwoorden hieronder afgedrukt.

De voorzitter van de commissie, Neppérus

Adjunct-griffier van de commissie, Sjerp

Inhoudsopgave

I.

Vragen en opmerkingen vanuit de fracties

2

II.

Reactie van de Minister

7

I. Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de VVD-fractie

De leden van de VVD-fractie danken de collega’s van de Kamercommissie voor Volksgezondheid, Welzijn en Sport voor het mogelijk maken van het stellen van extra vragen over de wet cliëntenrechten bij elektronische verwerking van gegevens naar aanleiding van het rondetafelgesprek inzake Regels voor het kunnen verlenen van verplichte zorg aan een persoon met een psychische stoornis (Wet verplichte geestelijke gezondheidszorg, 32 399)

Reikwijdte wetsvoorstel

Uit het rondetafelgesprek inzake de Verplichte GGZ bleek dat het patiëntendossier in het wetsvoorstel Verplichte GGZ een cruciale rol speelt in het proces dat verplichte GGZ mogelijk maakt. In algemene zin willen de leden van de VVD-fractie graag weten hoe het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens aansluit bij de noodzakelijke processtappen om verplichte GGZ op te leggen. Valt het patiëntendossier van een GGZ-cliënt onder de wet cliëntenrechten bij elektronische verwerking van gegevens?

Zo ja, hoe is de opt-in geregeld voor GGZ-cliënten? Hoe wordt een patiëntendossier van Verplichte GGZ-cliënten gedeeld met de noodzakelijke betrokkenen (zoals de gemeente, politie, patiënten vertrouwenspersoon, geneesheer-directeur, behandelaar, rechter, etc.) in het proces? Zijn de betrokkenen in het Verplichte GGZ-proces noodzakelijkerwijs BIG-geregistreerd? Hoe wordt geregeld dat niet-BIG-geregistreerde betrokkenen toegang krijgen tot een patiëntendossier bij het wetsvoorstel Verplichte GGZ? Hoe kan een cliënt terugzien wie in zijn of haar dossier heeft gekeken als er sprake is geweest van een acute opname? Valt de zorgmachtiging zoals bedoeld in het wetsvoorstel Verplichte GGZ onder de definitie patiëntendossier?

Valt het patiëntendossier van een GGZ-cliënt onder de wet cliëntenrechten bij elektronische verwerking van gegevens? Zo nee, door welke wet is de privacy van patiënten die onder de Wet Verplichte GGZ gaan vallen gewaarborgd bij het uitwisselen van zijn of haar gegevens?

Vragen en opmerkingen van de SP-fractie

De leden van de SP-fractie maken zich zorgen over het gegeven dat het landelijke schakelpunt (LSP) wordt beheerd door Computer Sciences Corporation (CSC), een bedrijf met een basis in de Verenigde Staten. Zoals de Minister in de nota naar aanleiding van verslag aangeeft dat de Patriot Act mogelijk van toepassing zou kunnen zijn op het LSP. De Minister stelt vast dat men zich hier bewust van moet zijn en zal moeten afwegen of daarover goede afspraken vastgelegd kunnen worden. De leden van de SP-fractie hebben enkele vragen over die opstelling van de Minister en de brief over deze kwestie die zij op 13 november 2013 (27 529, nr. 127) naar de Kamer stuurde. Allereerst vragen deze leden waarom de Minister de verantwoordelijkheid van zich wegschuift. De opstelling van de Minister zoals verwoord in de nota naar aanleiding van het verslag laat de indruk achter dat de Minister van mening is dat zij hier niet (mede)verantwoordelijk voor is. Naar de mening van de leden van de SP-fractie is het de verantwoordelijkheid van de Minister om te waarborgen dat privacygevoelige informatie als gegevens over de gezondheid niet in verkeerde handen komen. In de brief van 13 november 2013 gaat de Minister nader in op de bescherming van de privacy van patiënten. Daarin stelt zij dat het College Bescherming Persoonsgegevens (CBP) verantwoordelijk is voor de bescherming van de privacy van patiënten. Waar zij echter niet op ingaat is het argument van het CBP dat bij een vordering van gegevens door een buitenlandse mogendheid op basis van wetgeving met extraterritoriale werking (zoals de Patriot Act), dit meestal gecombineerd wordt met een verplichting tot geheimhouding van die vordering. Derhalve kan en zal CSC dit niet kenbaar maken aan Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) of het College bescherming persoonsgegevens (CBP). Kan de Minister hier uitgebreid op ingaan? Voorts vragen de leden van de SP-fractie of de conclusie juist is dat VZVZ derhalve niet kan constateren of er sprake is van wanprestatie en het CBP niet handhavend kan optreden. Zij vragen de Minister of gegevens die over het LSP netwerk worden verstuurd daarmee in handen kunnen komen van de overheid van de Verenigde Staten.

Komt de Minister net als de leden van de SP-fractie tot de conclusie dat het gezien het voorafgaande onwenselijk is dat een bedrijf uit de Verenigde Staten het LSP gegund heeft gekregen? Zij schrijft dat CSC heeft kunnen aantonen dat zij aan de Wet bescherming persoonsgegevens voldoen. Gezien het voorgaande verbaast dit de leden van de SP-fractie. Genoemde leden vragen de Minister hier uitgebreid op in te gaan en hierbij de problemen die de Patriot Act met zich meebrengt te betrekken. Het voldoen aan de Wet bescherming persoonsgegevens was een voorwaarde voor gunning. Wanneer een bedrijf zich niet aan deze wet kan houden dan is er alle reden om dat bedrijf het LSP niet uit te laten voeren. De Minister schrijft dat het uitsluiten van een Amerikaanse onderneming niet kan. De leden van de SP-fractie stellen echter vast dat het criterium niet is of het een Amerikaanse onderneming betreft maar dat het criterium is of een onderneming kan voldoen aan de Wet bescherming persoonsgegeven. Genoemde leden vragen de Minister of zij deze conclusie deelt. Voorts vragen zij of de Minister de conclusie juist acht dat CSC op grond daarvan wel uitgesloten had kunnen worden. Vervolgens vragen zij waarom daar niet voor is gekozen.

Gegevens die over het LSP netwerk worden verzonden zijn versleuteld. Er blijkt echter een moment te zijn waarop deze gegevens onversleuteld zijn. Kan de Minister bevestigen dat de gegevens die binnen het LSP-netwerk worden gewisseld korte tijd onversleuteld op een centrale LSP-computer aanwezig zijn of op enig andere wijze of moment onversleuteld zijn? Kan de Minister uitgebreid ingaan op de implicaties die dit heeft voor de privacy van patiënten?

Er bestaat formeel geen verplichting voor zorgverleners om zich bij het LSP aan te sluiten. Maar via de achterdeur worden bijvoorbeeld huisartsen alsnog verplicht zich aan te sluiten bij het LSP. Zorgverzekeraars nemen het op als voorwaarde in contracten die zij aan zorgverleners voorleggen, andere uitwisselingssystemen worden niet gefinancierd. Nadat onder de dreiging van een kort geding passages die tot deelname verplichtten uit de contracten werden geschrapt, deden zorgverzekeraars bij de contractering voor 2014 een hernieuwde poging. De leden van de SP-fractie zijn hier ongelukkig mee en vragen de Minister wat zij hiervan vindt. Is het wat haar betreft acceptabel dat zorgverleners op deze wijze het LSP opgedrongen krijgen? Is zij het met de leden van de SP-fractie eens dat zorgverleners de volledige vrijheid moeten hebben om zich niet aan te sluiten bij het LSP?

Voorts vragen de leden van de SP-fractie waarom de Minister voor generieke toestemming met de mogelijkheid voor het uitsluiten van specifieke zorgverleners is. Zij vragen waarom de Minister er niet voor heeft gekozen dat patiënten per zorgverlener toestemming moeten verlenen. Door te kiezen voor generieke toestemming met mogelijkheid tot uitsluiting kan het patiënten ontbreken aan het inzicht welke zorgverlener inzage heeft in het dossier.

Vragen en opmerkingen van de PVV-fractie

De leden van de PVV-fractie hebben met blijvende teleurstelling kennisgenomen van voorliggend wetsvoorstel en de laatste nota van wijziging. Deze leden vinden dat het wetsvoorstel absoluut niet tegemoet komt aan de bezwaren die de leden van de Eerste Kamer hadden tegen het voorgaande verworpen wetsvoorstel. Ook met deze laatste nota van wijziging wordt in de ogen van deze leden nog steeds niet voldaan aan de privacy- en veiligheidseisen die bij het uitwisselen van medische gegevens noodzakelijk zijn. Noch krijgt de patiënt voldoende zeggenschap over de eigen medische gegevens. De leden hebben een paar aanvullende vragen en opmerkingen over de vorm en reikwijdte van de opt-in toestemming.

De leden van de PVV-fractie vinden een generieke opt-in onwenselijk, dat houdt in dat teveel mensen toegang krijgen tot teveel patiëntgegevens. Deze leden vinden het onbegrijpelijk dat niet wordt vastgelegd wat onder noodzakelijke gegevens wordt verstaan. Met de uitbreiding naar ketenzorg in het vooruitzicht moet hier duidelijkheid over komen. Ook het begrip behandelrelatie moet worden afgebakend. Deze leden willen voorkomen dat straks een pedicure toegang krijgt tot medische gegevens op basis van een vermeende behandelrelatie bij de ketenzorg diabetes. Is de Minister het met deze leden eens dat afbakening noodzakelijk is?

Dat er naast de generieke opt-in een gespecificeerde toestemming mogelijk wordt gemaakt is in de ogen van de leden van de PVV-fractie geen verbetering. Als patiënt kun je heel moeilijk vooraf een inschatting maken met welke zorgaanbieders je te maken krijgt en welke daarvan al dan niet toegang dienen te hebben tot je medische gegevens. Bij twijfel zullen patiënten eerder geneigd zijn om voor de generieke opt-in te kiezen. Volgens deze leden is de enige oplossing om telkens per behandelrelatie vast te stellen wie toegang krijgt tot wat en voor hoe lang. Is de Minister het met dit principe eens?

Tot slot missen de leden van de PVV-fractie afdoende waarborgen dat zorgverzekeraars geen toegang krijgen tot medische gegevens. De toenemende materiele controle door zorgverzekeraars in de bestrijding van zorgfraude mag er niet toe leiden dat ze inzage krijgen in medische dossiers. Wanneer kunnen de leden deze waarborgen verwachten? De leden van de PVV-fractie zetten ook vraagtekens bij het begrip «vrijwillige deelname» nu zorgverzekeraars financiële prikkels hanteren en verplichte deelname gaan afdwingen via contractering. Waaruit bestaat die vrijwilligheid dan nog? Kan de Minister dit uitleggen? Genoemde leden zijn van mening dat stopzetting van het LSP het beste besluit zou zijn. Wanneer kunnen zij dit besluit verwachten?

Vragen en opmerkingen van de CDA-fractie

De leden van de CDA-fractie hebben nog enkele vragen naar aanleiding van de nota van wijziging en de nota naar aanleiding van verslag van het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens. Op pagina 15 van de nota naar aanleiding van het verslag wordt het een en ander gezegd over de centrale registratie van toestemming, waarbij gesteld wordt dat of de gegeven toestemming zichtbaar is in het uitwisselingssysteem afhangt van de technische vormgeving. De leden van de CDA-fractie willen graag weten of het uitwisselen van toestemmingsprofielen op zichzelf al een potentieel privacylek kunnen vormen. Indien een patiënt bijvoorbeeld toestemming heeft gegeven of geweigerd voor oncologische dossiers of gegevens over een psychiatrische aandoening, dan geeft centrale registratie al inzicht in de ziektegeschiedenis van de patiënt.

Artikel 15d geeft invulling aan de motie Omtzigt (27 529, nr. 70) waarin verzocht wordt om een (digitaal) inzage- en afschriftrecht voor de patiënt. Waarom is artikel 15d niet zodanig gedefinieerd dat hier ook het, gratis, verkrijgen van een papieren afschrift onder valt?

De Minister heeft wijzigingen aangebracht in artikel 15a. Het is de leden van het CDA-fractie nog niet helemaal duidelijk hoe het nieuwe toestemmingsregime werkt. «Gespecificeerde toestemming» is nu als optie opgenomen. Maar biedt het voorstel nog steeds de expliciete mogelijkheid van generieke toestemming?

Indien voor generieke toestemming gekozen is, houdt dit het risico in dat de generieke toestemming mogelijk in tegenspraak met Nederlandse en Europese richtlijnen en jurisprudentie omtrent geïnformeerde toestemming. Geïnformeerde toestemming veronderstelt immers dat de reikwijdte van toestemming voor burgers kenbaar is. Bij generieke toestemming, waarbij uitbreiding van een uitwisselingssysteem met allerlei (soorten) zorgverleners mogelijk is zonder dat de patiënt hiervoor opnieuw toestemming moet geven, is de reikwijdte van de toestemming voor burgers inherent niet te overzien. Hoe kijkt de Minister hier tegen aan, zo vragen de leden van de CDA-fractie.

Klopt het dat er een verschil is tussen de «gespecificeerde toestemming» van de Minister en het begrip «specifieke toestemming»?

Gespecificeerde toestemming voor het beschikbaar stellen van alle of bepaalde gegevens zou bijvoorbeeld ook kunnen betekenen dat de uitkomst van een «uitsluiting» geregistreerd wordt. In dat geval zou nog steeds de mogelijkheid van toekomstige uitbreidingen zonder dat daar opnieuw toestemming voor hoeft te worden gevraagd kunnen bestaan. Bij specifieke toestemming is dit niet mogelijk. De leden van de CDA-fractie zouden graag een reactie van de Minister op het voorgaande krijgen of dit klopt.

Is de Minister van mening dat wijzigingen of uitbreidingen waarbij nieuwe soorten zorgverleners toegang tot het dossier krijgen nooit ongemerkt aan de patiënt voorbij moeten kunnen gaan? Is de Minister van mening dat de patiënt altijd op individueel niveau goed geïnformeerde en doelgebonden toestemming moet kunnen geven?

De leden van de CDA-fractie willen nog nader ingaan op het antwoord van de Minister op pagina 16 over de Patriot Act. De Minister heeft in een eerdere brief aangegeven dat «indien VZVZ een verzoek krijgt om gegevens te verstekken, VZVZ dan dit verzoek moet toetsen aan de Nederlandse wet- en regelgeving. Overigens heb ik van VZVZ begrepen dat zij nooit een dergelijk verzoek hebben ontvangen.» De leden van de CDA-fractie menen echter dat niet VZVZ maar CSC als Amerikaans bedrijf het betreffende verzoek zal krijgen en dit niet aan VZVZ zal mogen melden. De Amerikaanse Patriot Act verplicht bedrijven om mee te werken aan verzoeken om informatie en verbiedt het bedrijven om hiervan melding te doen aan andere partijen. Is de Minister het eens met deze redenering?

De Minister verwacht veel van de Gedragscode elektronische gegevensuitwisseling in de zorg. Deze gedragscode is echter niet voorgelegd aan het College Bescherming Persoonsgegevens. De leden van de CDA-fractie zouden dit graag wel willen zien.

Concept-amvb

De leden van de CDA-fractie willen graag van de Minister weten of het klopt dat de amvb niet aan de eis van end-to-end-beveiliging uit de NEN7512 norm refereert. Genoemde leden krijgen de indruk dat de amvb slechts stelt dat de beveiligde netwerkverbinding tussen zorginformatiesysteem en elektronisch uitwisselingssysteem moet bestaan – netwerkbeveiliging dus. Is dit niet een stap terug in de tijd? Is het niet wenselijk om toch uit te gaan van end-to-end-beveiliging mede met het oog op de recente discussie over privacy (NSA en dergelijke)?

Klopt het dat artikel 5, tweede lid, op zichzelf geen goede beveiliging oplevert, omdat de eis uit het tweede lid slechts betrekking op het netwerk heeft? Leidt dit tweede lid er niet toe dat een (private) verantwoordelijke die een elektronisch uitwisselingssysteem beheert, eenzijdig specifieke criteria kan opleggen op de netwerkverbinding van een zorgverlener? Hoe verhoudt zich dit tot de eis uit de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) dat de zorgverlener/aanbieder verantwoordelijk en aansprakelijk is voor de beveiliging van de medische gegevens die hij of zij beheert of ontsluit?

De leden van de CDA-fractie vragen ook of deze mogelijkheid uit het tweede lid er toe kan leiden dat een netwerkbeheerder gaat verplichten dat er geen verbindingen naar een ander systeem mogen worden opgebouwd.

De leden van het CDA-fractie hebben nog een vraag over het LSP. Eerder in de Tweede Kamer heeft de Minister aangegeven dat deelname van patiënten geheel vrijwillig is, en dat zorgverleners zoals huisartsen en apothekers geen perverse prikkels van zorgverzekeraars moeten krijgen. In Twente circuleert een folder, dat huisartsen een bonus krijgen als ze meer patiënten registreren. Dat vindt genoemde leden een ongelukkige term. Een redelijke onkostenvergoeding voor het vragen van de toestemming en verwerking ervan mag. Maar een bonus? Dat is de verkeerde richting op. Wat is het oordeel van de Minister hierover en houdt VZVZ zich aan de gemaakte afspraken?

Vragen en opmerkingen van de D66-fractie

Inleiding

De leden van de D66-fractie hebben met interesse kennisgenomen van de nota naar aanleiding van het verslag en de nota van wijziging met betrekking tot het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens. Deze leden constateren dat de nota van wijziging voor een deel tegemoetkomt aan de door hen in het verslag geformuleerde wensen om de cliëntenrechten in geval van elektronische verwerking van medische gegevens verder te versterken. Deze leden hebben nog wel enkele aanvullende vragen en opmerkingen.

De leden van de D66-fractie constateren dat het wetsvoorstel het mogelijk maakt dat naast het geven van generieke toestemming ook per behandeling aan de cliënt kan worden gevraagd of en in hoeverre hij wil dat zijn gegevens worden uitgewisseld. Deze leden vragen in dit kader waarom de Minister er niet voor gekozen heeft dit standaard in de wet op te nemen. Zij vragen de Minister verder in hoeverre de reikwijdte van generieke toestemming voor burgers te overzien is. Zij denken daarbij bijvoorbeeld aan het geval dat een bepaalde categorie van gegevens op termijn aan het elektronische uitwisselingssysteem wordt toegevoegd. Voorts vragen deze leden hoe generieke toestemming zich verhoudt ten opzichte van de Europese regelgeving op het gebied van databescherming.

De leden van de D66-fractie stellen vast dat een systeem dat op twee of meer locaties van een zorgaanbieder wordt gehanteerd op grond van de in het voorliggende wetsvoorstel opgenomen definitie niet als elektronische uitwisselingssysteem wordt beschouwd. Deze leden vragen de Minister uit een te zetten, waarom hier niet voor gekozen is.

Opzet en inhoud van het wetsvoorstel

De leden van de D66-fractie constateren dat de gebruikte systemen technisch in staat moeten zijn om bepaalde zorgaanbieders of categorieën van zorgaanbieders uit te sluiten. Deze leden vragen of al duidelijk is op welke termijn de technische realisatie hiervan mogelijk is.

De leden van de D66-fractie blijven waarde hechten aan een centraal loket waar patiënten terecht kunnen met vragen over hun rechten en plichten als het gaat om elektronische verwerking van gegevens en de werking van elektronische uitwisselingssystemen. Deze leden stellen met tevredenheid vast dat in reactie op de opmerkingen van genoemde leden in de nota van wijziging is opgenomen dat voorlichting dient te worden gegeven over de werking van het elektronische uitwisselingssysteem waarop de zorgaanbieder is aangesloten. Deze leden blijven echter van mening dat een klantenloket waar cliënten terecht kunnen met aanvullende vragen noodzakelijk blijft.

De leden van de D66-fractie stellen vast dat in het kader van de handhaving van het voorliggende wetsvoorstel een goede onderlinge samenwerking tussen de Inspectie voor de Gezondheidszorg (IGZ) en het CBP van groot belang is. Deze leden constateren echter ook dat bij de toekomstige handhaving van het voorliggende wetsvoorstel de Nederlandse Zorgautoriteit (NZa) een rol krijgt, waar het aankomt op de naleving door de zorgverzekeraars. Deze leden vragen in dat kader of de Minister de mening deelt dat het wenselijk is dat de NZa onderdeel gaat uitmaken van het samenwerkingsprotocol en reguliere overleg tussen de IGZ en CBP.

Toezicht en handhaving

De leden van de D66-fractie constateren dat de Minister voorziet in de mogelijkheid tot ontzetting uit het beroep als bijkomende straf voor een beroepsbeoefenaar bij veroordeling wegens computervredebreuk of schending van het beroepsgeheim. Deze leden vragen of de ontzetting uit het beroep ook betekent dat iemands opleidingstitel wordt ontnomen.

Amvb

De leden van de D66-fractie constateren dat in de algemene maatregel van bestuur (amvb) op grond van artikel 26 Wbp waarmee uitwerking wordt gegeven aan specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling dwingend wordt verwezen naar de NEN normen 7510, 7512, 7513 en 7521. Deze leden vragen de Minister wat zij verstaan onder de term «dwingend verwijzen». Zij vragen de Minister welke plichten hieruit voortvloeien. Deze leden vragen ook of de Minister de mening deelt dat het NEN-normenkader voor burgers kosteloos toegankelijk is.

II. Reactie van de Minister

Met belangstelling heb ik kennis genomen van de aanvullende vragen van een aantal fracties van uw Kamer over het wetsvoorstel Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens (33 509).

Bij de beantwoording van de vragen houd ik zoveel mogelijk de volgorde van de vragen aan maar daar waar meerdere fracties vragen stelden die nauw samenhingen zijn de vragen in samenhang beantwoord. Dat geldt met name voor vragen over het geven van toestemming door de patiënt.

Verplichte GGZ

De leden van de VVD-fractie stellen een aantal vragen rond de samenhang tussen het onderhavige wetsvoorstel en het wetsvoorstel Verplichte GGZ (WvGGZ). Zo vragen zij of het patiëntendossier van een GGZ-cliënt onder het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens valt. En zo ja, hoe de opt-in voor GGZ-cliënten is geregeld. En zo nee, door welke wet de privacy van cliënten die onder de verplichte GGZ gaan vallen is geregeld. Ook vragen zij of de zorgmachtiging zoals bedoeld in het wetsvoorstel Verplichte GGZ onder de definitie patiëntendossier valt.

Met dossier wordt zowel in het wetsvoorstel Verplichte GGZ als het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens hetzelfde bedoeld als patiëntendossier zoals beschreven in de Wet geneeskundige behandelovereenkomst (WGBO). Op grond van het bepaalde in het wetsvoorstel Verplichte GGZ moeten aan dat dossier gegevens worden toegevoegd die verband houden met de uitvoering van de verplichte GGZ. Indien er een zorgmachtiging wordt afgegeven wordt een afschrift daarvan opgenomen in het dossier.

Op grond van het wetsvoorstel Verplichte GGZ kunnen gegevens worden uitgewisseld tegen de wil van de cliënt voor zover dat noodzakelijk is ter voorbereiding of uitvoering van een zorgmachtiging of crisismaatregel op grond van die wet. Dit kunnen gegevens zijn die behoren tot het patiëntendossier. Voor zover de betrokken zorgaanbieder is aangesloten op een elektronisch uitwisselingssysteem zijn er twee mogelijkheden. Indien de desbetreffende cliënt niet eerder toestemming heeft gegeven om gegevens beschikbaar te stellen via een elektronisch uitwisselingssysteem (opt-in), dan is het in het kader van een zorgmachtiging of crisismaatregel niet mogelijk via dat elektronisch uitwisselingsysteem toegang te krijgen tot het dossier van de cliënt. Indien de cliënt wel op grond van artikel 15a van het wetsvoorstel heeft gekozen voor (generieke) opt-in, dan dient de zorgverlener in een normale situatie op grond van artikel 15b van het wetsvoorstel aan de cliënt toestemming te vragen om gegevens van de cliënt die beschikbaar zijn via het systeem te mogen raadplegen. In de bijzondere situatie dat op grond van de WvGGZ een zorgmachtiging of crisismaatregel wordt voorbereid dan wel ten uitvoer wordt gelegd, prevaleert het wetsvoorstel Verplichte GGZ als zogeheten lex specialis. Omwille van de duidelijkheid zal nog via een invoeringswet worden bepaald dat het toestemmingsvereiste (artikelen 15a en 15b uit het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens) niet geldt voor de verplichte GGZ.

Voor wat betreft de privacy van de cliënt geldt dat naast de eisen van het onderhavige wetsvoorstel, de Wet Bescherming Persoonsgegevens (WBP) en de WGBO onverkort van toepassing zijn.

Ook vragen de leden van de VVD-fractie hoe een patiëntendossier van verplichte GGZ-cliënten wordt gedeeld met de noodzakelijk betrokkenen en of die betrokkenen noodzakelijkerwijs BIG-geregistreerd zijn.

Het patiëntendossier als zodanig wordt op grond van het wetsvoorstel Verplichte GGZ niet tussen de betrokkenen in het GGZ-proces gedeeld. Alleen die gegevens worden gedeeld die noodzakelijk zijn ter voorbereiding of uitvoering van een zorgmachtiging of crisismaatregel op grond van die wet. De betrokkenen in het verplichte GGZ-proces zijn niet noodzakelijkerwijs BIG-geregistreerd. Zo moet de burgemeester (verantwoordelijk voor de crisismaatregel) bepaalde informatie verkrijgen en verschaffen.

In antwoord op de vraag hoe de cliënt kan zien wie zijn dossier heeft ingekeken het volgende. Voor zover het zorg betreft op grond van het wetsvoorstel Verplichte GGZ is in dat voorstel bepaald dat de zorgverantwoordelijke een aantekening moet maken van de verstrekking van gegevens (uit het patiëntendossier maar ook daarbuiten) zonder toestemming van de cliënt. Indien gegevens worden ingezien via een elektronisch uitwisselingssysteem, geldt daarvoor dat op grond van artikel 15e van het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens dat het inzien en opvragen van gegevens moet worden gelogd. Voor zover elektronische uitwisseling van gegevens plaatsvindt zonder gebruik te maken van een elektronisch uitwisselingssysteem, geldt de plicht tot logging op grond van artikel 35 Wbp.

Patriot Act

De leden van de SP-fractie vragen hoe ik mijn verantwoordelijkheid zie ten aanzien van het voorkomen dat medische gegevens in verkeerde of buitenlandse handen vallen.

Zoals ik heb aangegeven in mijn brief van 13 november 2013 (27 529, nr. 127) richt mijn verantwoordelijkheid zich op het creëren van randvoorwaarden waaronder veilige elektronische gegevensuitwisseling kan plaatsvinden. In het nu voorliggende wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens zijn de rechten voor cliënten opgenomen bij de elektronische uitwisseling van gegevens in de zorg. In de algemene maatregel van bestuur die ik u heb toegezonden, zijn alle technische eisen opgenomen waaraan elektronische uitwisselingssystemen en zorginformatiesystemen moeten voldoen. Daarnaast gelden de wettelijke eisen van de Wbp en de Wet op de geneeskundige behandelingsovereenkomst (WGBO). De verantwoordelijke voor een elektronisch uitwisselingssysteem moet ervoor zorgen dat de uitwisseling veilig is en voldoet aan deze wet- en regelgeving. Dit houdt onder andere in dat de verantwoordelijke voor de gegevensverwerking ervoor moet zorgen dat de gegevens niet in verkeerde handen terecht kunnen komen.

Het College Bescherming Persoonsgegevens (CBP) houdt toezicht op de verwerking van de persoonsgegevens en de Inspectie voor de Gezondheidszorg (IGZ) op het leveren van verantwoorde zorg. Mochten de toezichthouders daartoe aanleiding zien dan kunnen zij handhavend optreden.

De leden van de SP-fractie vragen mij nader in te gaan op het feit dat bij een vordering van gegevens door een buitenlandse mogendheid op basis van wetgeving met extraterritoriale werking (zoals de Patriot Act), dit meestal gecombineerd wordt met een verplichting tot geheimhouding van die vordering. De leden van de SP-fractie leiden hieruit af op dat de beheerder van het LSP, Computer Sciences Corporation (CSC) een dergelijk verzoek niet kenbaar zal maken waardoor de VZVZ niet kan constateren of er sprake is van wanprestatie, het CBP niet handhavend kan optreden en gegevens die via het LSP worden uitgewisseld aldus in handen kunnen komen van de overheid van de Verenigde Staten. Ook de leden van de CDA-fractie vragen mij nadere toelichting op het punt van de geheimhouding van een verzoek om informatie aan CSC.

Zoals u weet betreft het vraagstuk van de Patriot Act alle maatschappelijke sectoren. In Brussel wordt onderhandeld over een Algemene verordening gegevensbescherming. Deze verordening zal een nieuw kader bevatten voor grensoverschrijdende doorgifte van persoonsgegevens. Daarbij wordt ook aandacht geschonken aan doorgifte van gegevens op grond van eenzijdige verplichtingen op basis van buitenlands recht van derde staten. De Europese Commissie gaat ervan uit dat een redelijk evenwicht is te bieden tussen de dilemma’s waarin bedrijven zich soms kunnen bevinden en de bescherming van persoonsgegevens.

Namens het kabinet houdt de Staatssecretaris van Veiligheid en Justitie uw Kamer periodiek op de hoogte van de voortgang met betrekking tot de onderhandelingen over de Algemene verordening gegevensbescherming. De Staatssecretaris heeft uw Kamer bij brieven van 26 april en 2 september 2013 (Kamerstuk 32 761, nr. 48 en 51) uitgebreid geïnformeerd over de stand van zaken van deze onderhandelingen, met inbegrip van dat deel van de onderhandelingen dat betrekking heeft op de doorgifte van persoonsgegevens aan derde landen.

Als niet VZVZ maar CSC een verzoek tot het verstrekken van informatie krijgt, geldt net als bij de VZVZ dat CSC dit verzoek zal moeten toetsen aan de Nederlandse wet- en regelgeving.

Zolang de nieuwe Verordening nog niet in werking is getreden moet voldaan worden aan de Wbp en de huidige Privacyrichtlijn. Mocht er sprake zijn van een verplichting tot geheimhouding op grond van de Patriot Act is er mogelijk een conflict van wetgeving. Zoals hierboven aangegeven wordt in Brussel gesproken over de Algemene verordening gegevensbescherming waarbij ook aandacht wordt geschonken aan het vraagstuk van de Patriot Act.

Het verbaast de leden van de SP-fractie dat ik in mijn brief van 13 november 2013 meld dat CSC heeft kunnen aantonen dat zij aan de Wet bescherming persoonsgegevens voldoen en vragen in het licht van de zojuist besproken geheimhoudingsplicht een nadere toelichting.

Zoals ik uw Kamer eveneens in genoemde brief van 13 november 2013 heb gemeld, heeft VZVZ gemeld dat in het lopende contract met CSC de naleving van de Nederlandse (privacy) wet- en regelgeving als contractuele voorwaarde is opgenomen. CSC heeft zich hiermee verplicht te voldoen aan onder andere de Wbp bij het beheer van het landelijk Schakelpunt (LSP). Overtreding van de Wbp wordt in het contract aangemerkt als wanprestatie en is reden voor ontbinding van het contract en schadeloosstelling.

De leden van de SP-fractie achten het onwenselijk dat een bedrijf uit de Verenigde Staten de opdracht voor het LSP heeft gekregen. Zij concluderen dat CSC op grond van de overtuiging van de leden van de SP-fractie dat CSC niet kan voldoen aan de Wbp, uitgesloten had kunnen worden van deelname aan het aanbestedingstraject.

Zoals ik u in mijn brief van 21 juni 2013 heb aangegeven vloeien de huidige contracten met CSC voort uit een openbare Europese aanbesteding. De Minister van Binnenlandse Zaken en Koninkrijksrelaties heeft uw Kamer (brief van 16 april 2013, Kamerstuk 26 643, nr 274) een advies van de landsadvocaat gestuurd waarin is toegelicht dat bij een aanbesteding Amerikaanse ondernemingen niet kunnen worden uitgesloten. Openbare aanbesteding is een wettelijke verplichting en bij die aanbesteding mag geen onderscheid worden gemaakt naar land van oorsprong of eigendom van een bedrijf.

Dit betekent niet dat daarmee de wetgeving op het terrein van aanbesteding boven de Wbp wordt gesteld. Partijen moeten zowel voldoen aan de wetgeving op het terrein van aanbesteding als aan de Wbp. Bij aanbesteding van opdrachten waarbij aan de Wbp dient te worden voldaan, moet dit blijken uit de gunningscriteria: inschrijvers moeten dan aantonen dat zij aan de Wbp kunnen voldoen. Overigens heeft mijn collega voor Buitenlandse Handel en Ontwikkelingssamenwerking op 7 februari 2014 aan uw Kamer gemeld dat het deze problematiek in uiteenlopende verbanden aankaart, waaronder bij onderhandelingen over de algemene verordening gegevensbescherming, onderhandelingen over een nieuw EU-VS vrijhandelsakkoord en de Nationale Cybersecurity Strategie II.

Het landelijk schakelpunt

De leden van de SP-fractie vragen of het juist is dat de gegevens die via het LSP worden uitgewisseld op een bepaald moment onversleuteld zijn.

Van de beheerder van het LSP, de VZVZ, ontving ik daarover de volgende informatie.

Het LSP voldoet aan de ISO 27000 normen en NEN norm 7510 en wordt daarop ook periodiek geaudit. Voor zover de NEN 7512 van toepassing is op het LSP is de beveiliging ook conform de uitgangspunten van de NEN 7512. Alle verwijsindex- en loggegevens die worden opgeslagen en alle communicatie van het LSP met de communicatiepartners in de vertrouwensketen zijn versleuteld. De vraag van de leden van de SP-fractie heeft waarschijnlijk betrekking op het moment van de koppeling van vraag en antwoord; het moment van routering van de gegevens binnen de centrale LSP-computer. Alleen op dat moment zijn de gegevens niet versleuteld, maar wel passend beveiligd. Deze bewerking gebeurt onder toezicht van een vertrouwde partij (Trusted third party) zoals de NEN norm die ook beschrijft. De dienstverlening en expertise van deze partij is specifiek op het vervullen van die rol gericht. De gegevens worden niet opgeslagen.

De NEN normen 7510 en 7512 stellen dat betrouwbare gegevensuitwisseling betrouwbare gegevens vereist uit een betrouwbare bron, die een betrouwbare ontvanger bereiken langs een betrouwbaar kanaal. De inrichting van de gegevensverwerking door VZVZ is in lijn met dit uitgangspunt.

Het LSP controleert en bewaakt als vertrouwde partij de identiteit van de communicatiepartners en de integriteit van de berichten. Op haar beurt wordt de identiteit van het LSP als vertrouwde schakel bij de communicatie met de communicatiepartners door hen gecontroleerd. Alle voorzieningen die de NEN 7512 verlangt in het vertrouwensdomein worden in het VZVZ-domein geborgd en zijn in overeenstemming met de risicoprofielen. Daarmee is de privacy van de patiënt eveneens geborgd.

De leden van zowel de SP-fractie, de PVV-fractie en de CDA-fractie stellen vragen over de mate van keuzevrijheid van zorgaanbieders om te kiezen voor aansluiting bij het LSP. Dit naar aanleiding van berichten over het feit dat zorgverzekeraars zorgaanbieders (huisartsen en apothekers) tegemoet komen in de kosten die zij maken voor aansluiting en deelname aan het landelijk schakelpunt (LSP).

Ik ben het met de leden van de SP-fractie eens dat zorgaanbieders de vrijheid moeten hebben om zich niet aan te sluiten bij het LSP. Die vrijheid is er ook. Zorgverzekeraars Nederland (ZN) heeft mij verzekerd dat het niet de bedoeling van zorgverzekeraars is om aansluiting bij het LSP verplicht op te leggen aan zorgaanbieders die dit niet wensen. Met de tegemoetkoming in de kosten willen zorgverzekeraars voorkomen dat financiële overwegingen een drempel voor gebruik van het LSP zouden vormen.

De zorgaanbieders bepalen dus zelf of zij deelnemen aan het LSP, net zoals de patiënt zelf bepaalt of hij wil deelnemen aan de uitwisseling van zijn medische gegevens via het LSP.

De leden van de PVV-fractie zijn van mening dat stopzetting van het LSP een goed besluit zou zijn.

Ik hecht belang aan goede en veilige (elektronische) informatie-uitwisseling in de zorg. Als zorgaanbieders snel over de juiste informatie kunnen beschikken over hun patiënt en de patiënt op zijn beurt niet meerdere malen hetzelfde verhaal hoeft te vertellen dan draagt dat bij aan de efficiency en kwaliteit van zorg. Uiteraard is het daarbij van groot belang dat de gegevensuitwisseling veilig gebeurt met respect voor de privacy van de patiënt.

Als zou blijken dat het gebruik van het LSP – en dit geldt evenzeer voor andere elektronische uitwisselingsystemen – niet voldoet aan de geldende wet- en regelgeving is het aan de toezichthouder hierop actie te ondernemen.

Het geven van toestemming

Gezien het feit dat meerdere fracties (SP, PVV, CDA) vragen stellen over het verlenen van toestemming geef ik daarop graag een nadere toelichting.

Zo vragen de leden van de CDA-fractie of het naast het geven van specifieke toestemming ook mogelijk blijft generieke toestemming te geven. De leden van de fractie van de SP, PVV en D66 uiten hun twijfels bij de wenselijkheid generieke toestemming als optie te handhaven en vragen zich af waarom het per zorgaanbieder of per behandelrelatie vastleggen van de toestemming niet als standaard is vastgelegd. De leden van de SP-fractie en de leden van de fractie van D66 vragen zich af of de patiënt bij generieke toestemming voldoende overzicht houdt over de reikwijdte van de gegeven toestemming. De leden van de PVV-fractie vrezen dat bij generieke toestemming teveel zorgaanbieders toegang tot teveel patiëntgegevens krijgen.

Op grond van artikel 15a van het wetsvoorstel moet elke zorgaanbieder bij aanvang van een behandelrelatie apart toestemming vragen aan de patiënt of hij gegevens van die patiënt beschikbaar mag stellen voor uitwisseling via een elektronisch uitwisselingssysteem. Bij ketenzorg, bijvoorbeeld in het kader van diabetes, zal veelal sprake zijn van meerdere behandelrelaties omdat er verschillende zorgaanbieders betrokken zijn in de keten. Zij moeten allemaal bij aanvang van de behandelrelatie toestemmingvragen aan de cliënt om gegevens via een elektronisch uitwisselingssysteem beschikbaar te stellen.

Het wetsvoorstel biedt op grond van artikel 15a, tweede lid, de patiënt de mogelijkheid om die toestemming generiek of specifiek in te kleuren. Of om helemaal geen toestemming te geven om gegevens via een elektronisch uitwisselingssysteem raadpleegbaar te maken.

In geval van generieke toestemming, verleent de cliënt toestemming voor het elektronisch ter beschikking stellen van zijn gegevens aan zijn behandelend zorgaanbieder en alle andere zorgaanbieders die zijn aangesloten op het elektronisch uitwisselingssysteem waarmee deze cliënt nu of in de toekomst een behandelrelatie heeft. Generieke toestemming betekent derhalve niet dat iedere zorgaanbieder toegang heeft, slechts die zorgaanbieders waarmee de patiënt een behandelrelatie heeft. Bij specifieke toestemming kiest de patiënt ervoor toestemming te geven om (alle of bepaalde) gegevens beschikbaar te stellen voor bepaalde zorgaanbieders of voor bepaalde categorieën van zorgaanbieders. Desgevraagd door de leden van de CDA-fractie merk ik op dat er geen verschil is tussen «gespecificeerde» en «specifieke» toestemming.

Overigens geldt voor alle categorieën van toestemming, dat alleen gegevens die voor de behandeling noodzakelijk zijn mogen worden geraadpleegd. Het is dus niet zo dat elke zorgaanbieder die is aangesloten op een elektronisch uitwisselingssysteem recht heeft op inzage in het volledige medische dossier van een patiënt die generieke toestemming heeft gegeven. Op grond van artikel 15b, eerste lid is het raadplegen van gegevens die beschikbaar zijn gesteld via een elektronisch uitwisselingssysteem alleen toegestaan indien de cliënt binnen die behandelrelatie daartoe uitdrukkelijke toestemming heeft gegeven aan een behandelende zorgaanbieder.

De vraag van de zorgaanbieder om de gegevens in te mogen zien, geeft de cliënt de mogelijkheid om op dat specifieke moment en bij die specifieke zorgaanbieder nog de afweging te maken of hij de gegevens die andere zorgaanbieders over hem hebben, wil delen met deze zorgaanbieder.

Met de leden van de fracties van de SP en D66 ben ik het eens dat het belangrijk is dat de patiënt overzicht heeft en houdt over de reikwijdte van de toestemming die hij geeft voor de uitwisseling en raadpleging van zijn gegevens. Ook als er sprake is van wijzigingen of uitbreidingen, iets waar de leden van de fractie van het CDA en D66 terecht op wijzen.

Artikel 15c van het wetsvoorstel gaat over de informatieplicht voor de zorgaanbieder. De zorgaanbieder moet zijn cliënten informeren over de rechten bij elektronische gegevensuitwisseling, hoe hij die rechten kan uitoefenen en over de werking van het elektronisch uitwisselingssysteem. Daarnaast moet op grond van artikel 33 Wbp voorlichting worden gegeven over de doeleinden van de gegevensverwerking, en alle andere zaken die van belang zijn om voor de cliënten een behoorlijke en zorgvuldige verwerking van zijn gegevens te waarborgen. Dit betekent dat een zorgaanbieder bij belangrijke wijzigingen of uitbreidingen van het elektronisch informatiesysteem cliënten opnieuw moet voorlichten over het geven van toestemming en het eventueel beperken van die toestemming. Cliënten kunnen dan opnieuw een bewuste keuze maken en een eerdere generieke toestemming beperken, of juist eerder gemaakte uitsluitingen opheffen. Het gaat erom dat voor de cliënt volstrekt helder is waarvoor hij toestemming geeft en hoever die toestemming reikt.

De leden van de PVV-fractie vragen duidelijk vast te leggen wat noodzakelijke gegevens zijn en het begrip behandelrelatie af te bakenen.

Ik ben het met de leden van de PVV-fractie eens dat een heldere afbakening van het begrip behandelrelatie zinvol is. Daarom heb ik in de nota van wijziging bij het wetsvoorstel een definitie opgenomen.

Onder een behandelrelatie wordt verstaan, de relatie tussen de cliënt en de zorgaanbieder met wie de cliënt een behandelingsovereenkomst als bedoeld in de WGBO heeft, of degene die rechtstreeks betrokken is bij de uitvoering van die behandelingsovereenkomst, of degene die optreedt als vervanger van degene die een behandelingsovereenkomst heeft met de cliënt.

Net als in de WGBO moet onder degenen die rechtstreeks betrokken zijn bij de zorgverlening, worden verstaan: de verpleegkundige, de doktersassistent of bijvoorbeeld de collega-vakgenoot die over de te verlenen zorg wordt geraadpleegd.

Ook met de «vervanger van de zorgaanbieder» wordt hetzelfde bedoeld als in de WBGO wordt bedoeld met de «vervanger van de hulpverlener», bijvoorbeeld als het een huisarts betreft: de waarnemer of huisarts bij de huisartsenpost.

Wat noodzakelijke gegevens zijn wordt binnen de beroepsgroepen bepaald en vastgelegd in protocollen.

De leden van de CDA-fractie vragen zich af of het uitwisselen van toestemmingsprofielen op zichzelf al een potentieel lek kunnen vormen.

Op grond van het wetsvoorstel houdt de zorgaanbieder een registratie bij van de verleende generieke of specifieke toestemming. Niet voorgeschreven wordt of en op welke wijze een toestemmingsprofiel via het elektronisch uitwisselingssysteem zichtbaar wordt gemaakt.

Dat is aan de gebruikers en beheerder van de gebruikte systemen om te bepalen, uiteraard met inachtneming van de geldende wet- en regelgeving op het gebied van veiligheid en privacy. Daarbij zullen de op grond van artikel 26 Wbp bij AMvB te stellen veiligheidseisen een belangrijke rol spelen.

De leden van de CDA-fractie stellen de vraag of generieke toestemming wellicht in tegenspraak is met Nederlandse en Europese richtlijnen en jurisprudentie omtrent geïnformeerde toestemming.

Zoals ik bij het antwoord op vragen over de reikwijdte van de toestemming van de leden van de SP-fractie en de D66-fractie al uiteen heb gezet, zijn zorgaanbieders gehouden om cliënten niet alleen bij de opt-in vraag maar ook bij belangrijke aanpassingen of uitbreidingen van het systeem te informeren, zodat voor deze cliënten steeds kenbaar is waarvoor zij toestemming hebben gegeven en zij eventueel de toestemming kunnen beperken of intrekken. Met behulp van goede en volledige informatie van de zorgaanbieder is de ondubbelzinnige toestemming van cliënten mijns inziens voldoende gewaarborgd.

In mijn nota naar aanleiding van verslag van 20 november 2013 heb ik aangegeven dat gebruikte elektronische uitwisselingssystemen technisch in staat moeten zijn voor de optie «specifieke toestemming» voor het beschikbaar stellen van (bepaalde) gegevens voor bepaalde (categorieën van) zorgaanbieders. De leden van de fractie van D66 vragen op welke termijn de technische realisatie hiervan voor zorgpartijen mogelijk is. Dat is op dit moment nog niet bekend. Dit laat onverlet dat – zoals ik hierboven heb aangegeven – de toestemmingsvraag van een zorgverlener voor het mogen inzien van gegevens, de cliënt de mogelijkheid biedt om op dat specifieke moment en bij die specifieke zorgaanbieder alsnog de afweging te maken of hij daarmee wil instemmen.

AMvB

De leden van de CDA-fractie vragen of het klopt dat in de algemene maatregel van bestuur (AMvB) op grond van artikel 26 Wbp waarmee uitwerking wordt gegeven aan specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling niet wordt gerefereerd aan de eis van end-to-end beveiliging uit de NEN7512.

Dat is onjuist: in de AMvB wordt dwingend verwezen naar de hele NEN 7512, de nadere invulling van NEN7510 betreffende de veiligheid van gegevensuitwisseling tussen partijen in de zorg, specifieke onderdelen van die norm niet uitgezonderd.

De leden van de CDA -fractie vragen of het klopt dat artikel 5, tweede lid, op zichzelf geen goede beveiliging oplevert, omdat de eis uit het tweede lid slechts betrekking op het netwerk heeft en daarnaast of dit tweede lid er niet toe leidt dat door de verantwoordelijke voor een elektronisch uitwisselingsysteem eenzijdig specifieke criteria kan opleggen voor de netwerkverbinding?

In artikel 5 wordt verplicht gesteld dat wordt voldaan aan NEN 7512. Deze norm betreft een nadere invulling van NEN 7510 en heeft inderdaad specifiek betrekking op de veiligheid van de gegevensuitwisseling tussen de verschillende betrokken partijen. Dit is één van de noodzakelijke elementen in een betrouwbaar en veilig elektronisch uitwisselingssysteem. Daarnaast dient het systeem alsmede de daarop aangesloten zorginformatiesystemen van de zorgaanbieder, voor de beveiliging te voldoen aan NEN 7510. Dit wordt geregeld in artikel 3 van de AMVB op grond van artikel 26 Wbp. Dit totale pakket aan beveiligingseisen levert een goede beveiliging op. Artikel 5, tweede lid, regelt dat de verantwoordelijke voor een elektronisch uitwisselingsysteem criteria moet vaststellen voor zorgserviceproviders die een netwerkverbinding verzorgen. Dit moeten op grond van artikel 5, tweede lid, eisen zijn om te voldoen aan NEN 7512 en die gericht zijn op het tot stand brengen van voldoende beveiligde verbindingen. Een verantwoordelijke moet die eisen kunnen stellen om een veilig en betrouwbaar elektronisch uitwisselingssysteem te kunnen realiseren.

In de AMvB wordt dwingend verwezen naar de NEN normen 7510, 7512 en 7513. De leden van de fractie van D66 scharen ook NEN 7521 onder deze dwingende verwijzing, die norm – die nog niet is gepubliceerd – hoort echter niet in dit rijtje thuis. In de nota naar aanleiding van het verslag refereer ik weliswaar aan deze NEN-norm, maar in de AMvB wordt er niet dwingend naar verwezen. NEN 7521 moet leiden tot uniforme en veilige gegevensuitwisseling tussen betrokken zorgaanbieders en zorginstellingen rond de behandeling van een patiënt. Zodra NEN 7521 gepubliceerd wordt, zal worden bezien of opname van deze norm in aanvulling op het besluit noodzakelijk is. De leden van de fractie van D66 vragen wat moet worden verstaan onder «dwingend verwijzen». Hieronder moet worden verstaan dat gebruikers en beheerder van elektronische uitwisselingssystemen moeten voldoen aan de in de betreffende normen gestelde eisen. Het College Bescherming Persoonsgegevens (CBP) ziet toe op de handhaving.

De leden van de fractie van D66 zijn van mening dat het NEN-normenkader kosteloos toegankelijk moet zijn. Dat zal inderdaad het geval zijn; de NEN-normen waarnaar verwezen wordt in het besluit worden door het Ministerie van VWS afgekocht. Daarmee zijn de normen voor een ieder kosteloos toegankelijk en vrij raadpleegbaar.

Overig

Zorgverzekeraars

De leden van de PVV-fractie geven aan dat zij het van groot belang vinden dat er afdoende waarborgen zijn dat zorgverzekeraars niet zomaar toegang hebben tot medische gegevens. Ik ben het daarmee eens. Daarom heb in artikel 15f een verbod opgenomen voor zorgverzekeraars voor toegang tot elektronische uitwisselingssystemen, evenals voor bedrijfsartsen, verzekeringsartsen en keuringsartsen. De handhaving en sanctionering van overtreding van artikel 15f is geregeld in artikel IV van het wetvoorstel met een wijziging van de Wet marktordening gezondheidszorg. Daarin wordt geregeld dat de NZa toezicht houdt op de naleving door zorgverzekeraars van het in artikel 15f neergelegde verbod. De NZa kan in dat kader een aanwijzing geven aan een zorgverzekeraar die niet voldoet aan artikel 15f en verzekerden waarvan de NZa heeft vastgesteld dat de zorgverzekeraar zich toegang heeft verschaft tot zijn gegevens, ontvangt daarvan een mededeling van de NZa. In artikel III van het wetsvoorstel wordt in een wijziging van de Zorgverzekeringswet geregeld dat een verzekeringnemer binnen zes weken na het ontvangen van zo’n mededeling zijn verzekering mag opzeggen. Dit opzegrecht geldt ook als de NZa wegens overtreding van artikel 15f aan de zorgverzekeraar een bestuurlijke boete heeft opgelegd. Ook hiervan ontvangen de verzekerden die het betreft een kennisgeving. Zodra het opleggen van een bestuurlijke boete van maximaal 500.000 euro of, indien dat meer is, 10 procent van de omzet, rechtens onaantastbaar is, wordt dit openbaar gemaakt. Een dergelijke openbaarmaking kan grote consequenties hebben voor een zorgverzekeraar omdat verzekerden deze informatie zullen meewegen bij het al dan niet overstappen naar een andere zorgverzekeraar. Ik ben van mening dat het wetsvoorstel hiermee afdoende waarborgen omvat, om toegang van zorgverzekeraars tot elektronische uitwisselingssystemen te voorkomen.

Kosten papieren afschrift

De leden van de CDA-fractie vragen waarom artikel 15d, over het inzage- en afschriftrecht voor de patiënt, niet zodanig is geformuleerd dat het verkrijgen van een papieren afschrift van het medisch dossier gratis is.

Artikel 15d, derde lid, heeft alleen betrekking op een elektronisch afschrift. Op het verstrekken van een papieren afschrift is artikel 7:456 BW van toepassing. Daarvoor mag een redelijke vergoeding worden gevraagd aangezien het afdrukken op papier kosten met zich meebrengt waarvan het niet redelijk is dat die voor rekening van de zorgaanbieder zouden zijn.

Gedragscode

Ik ben het met de leden van de CDA-fractie eens dat het is aan te bevelen dat de gedragscode Elektronische Gegevensuitwisseling in de Zorg (gedragscode EGiZ) ter toetsing wordt voorgelegd aan het College Bescherming Persoonsgegevens (CBP). Het is aan de stellers of beheerder van de EGiZ gedragscode zelf om te besluiten om dat al dan niet te doen.

Intern systeem

In reactie op de vraag van de leden van de D66-fractie waarom interne systemen die op meerdere locaties van de zorgaanbieder kunnen worden gebruikt niet als elektronisch uitwisselingssysteem worden beschouwd het volgende.

Dit wetsvoorstel is gericht op elektronische gegevensuitwisseling met derden. Een intern systeem is bedoeld voor intern gebruik, voor het vastleggen en raadplegen van de (eigen) gegevens. Ergo, alleen als er sprake is van elektronische gegevensuitwisseling met derden, buiten de zorginstelling, is er sprake van een elektronisch uitwisselingssysteem waarop het wetsvoorstel betrekking heeft.

Interne zorginformatiesystemen moeten zodanig functioneren dat wordt voldaan aan de geldende wet- en regelgeving (Wbp en WGBO). De cliëntenrechten bij interne digitale dossiervorming zijn met de huidige wetgeving voldoende gewaarborgd.

Dit wetsvoorstel richt zich in aanvulling hierop op de cliëntenrechten die in de huidige wetgeving nog onvoldoende gewaarborgd zijn door randvoorwaarden te scheppen voor het eventuele gebruik van een elektronische uitwisselingssysteem door zorgaanbieders.

De eisen die in de AMvB worden gesteld, gelden breed voor elektronische gegevensverwerking door zorgaanbieders, dus zowel voor interne zorginformatiesystemen als voor elektronische uitwisselingssystemen. Ook een intern zorginformatiesysteem moet immers aan de veiligheidseisen voldoen.

Ontzetting uit het beroep

De leden van de D66-fractie vragen of de mogelijkheid tot ontzetting uit het beroep als bijkomende straf voor een beroepsbeoefenaar bij veroordeling wegens computervredebreuk of schending van het beroepsgeheim ook betekent dat iemands opleidingstitel wordt ontnomen. Dat is niet het geval. Ontzetting uit zijn beroep leidt ertoe dat iemand zijn vak niet meer mag uitoefenen. Daarmee wordt de opleidingstitel niet ontnomen. Iemand die het beroepsgeheim schendt, heeft daarmee immers niet op onrechtmatige wijze zijn opleidingstitel verkregen.

NZa

De leden van de D66-fractie constateren dat bij de toekomstige handhaving van het voorliggende wetsvoorstel de Nederlandse Zorgautoriteit (NZa) een rol krijgt bij de naleving door de zorgverzekeraars. Zij vragen of het wenselijk is dat de NZa deel gaat uitmaken van het samenwerkingsprotocol en reguliere overleg tussen de IGZ en CBP.

Het is voor een goede uitoefening van het toezicht inderdaad van belang dat toezichthouders met elkaar overleg voeren. In de Wet Marktordening Gezondheidszorg (Wmg) is voorzien in de bepaling dat de NZa met onder meer het CBP en de IGZ afspraken maakt. Deze afspraken zijn neergelegd in samenwerkingsprotocollen. Zo is bepaald dat als een toezichthouder een melding of signaal krijgt dat betrekking heeft op een norm waar de andere toezichthouder op toeziet, de toezichthouder die melding of dat signaal doorzet naar de andere toezichthouder. Ook is bepaald dat de toezichthouders elkaar betrekken bij de voorbereiding en uitvoering van onderzoeken, als dat voor het verrichten van een wettelijke taak relevant is. De NZa voert op regelmatige basis overleg met andere toezichthouders, waaronder het CBP en de IGZ. In die overleggen worden signalen en meldingen uitgewisseld en houden de toezichthouders elkaar op de hoogte van relevante ontwikkelingen. De samenwerkingsprotocollen bieden de basis voor die overleggen.