33 509 Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens)

L VERSLAG VAN EEN DESKUNDIGENBIJEENKOMST

Vastgesteld 21 april 2016

De vaste commissie voor Volksgezondheid, Welzijn en Sport1 heeft op 5 april 2016 gesprekken gevoerd met deskundigen over cliëntenrechten bij elektronische verwerking van gegevens: kansen en risico's van de invoering van het wetsvoorstel.

Van deze gesprekken brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de commissie voor Volksgezondheid, Welzijn en Sport, Martens

De griffier van de commissie voor Volksgezondheid, Welzijn en Sport, De Boer

Voorzitter: Martens

Griffier: De Boer

Aanwezig zijn zeven leden der Eerste Kamer, te weten: Bredenoord, Bruijn, Ganzevoort, Gerkens, Van Hattem, Martens en Nooren,

alsmede de volgende deskundigen:

Thema 1: Uitvoerbaarheid en handhaafbaarheid

De heren Smals (KNMP), Nouwt (KNMG), Heldoorn (NPCF), Voest (Brancheorganisaties in de zorg/BoZ), mevrouw Van Leeuwen (Consumentenbond), de heer Tomesen (Autoriteit Persoonsgegevens).

Thema 2: Veiligheid en techniek

De heren Verheul (RU/KeyControls), Van 't Noordende (UvA/Whitebox Systems), Bosman (Nictiz), Van Miltenburg (VZVZ), Engelen (Radboudmc), Böhre (Privacy First/Specifieke toestemming.nl).

Aanvang 16.00 uur.

Thema 1: Uitvoerbaarheid en handhaafbaarheid

De voorzitter: Volgens mij is iedereen aanwezig. Dit is de tweede bijeenkomst waarin wij worden gebriefd over dit wetsvoorstel, om te bezien wat de kansen en de bedreigingen daarvan zijn. Het antwoord van de Minister is in december jl. tot ons gekomen. Inmiddels is de samenstelling van de Eerste Kamer een andere ten opzichte van die tijdens het vorige gesprek. Er zijn dus nieuwe woordvoerders. Ook dat was een aanleiding om te bezien hoe een en ander zit. We hebben nog één mogelijkheid om vragen te stellen voordat we in de eindfase van de afhandeling komen. Die fase zal plenair plaatsvinden.

U bent gevraagd om vanuit uw expertise te spreken over de kansen en bedreigingen. De tijd is kort en er zijn veel sprekers. Er wordt dus een beroep gedaan op de discipline van ons allen.

Ik maak gebruik van een timer, wat inhoudt dat er na vijf minuten subtiel een belletje begint te rinkelen dat erop duidt dat u moet afronden. Dat hoort u vanzelf.

Ik wens u allen een inspirerende en informatieve bijeenkomst toe. Ik geef de heer Smals het woord om te spreken namens de apothekers.

De heer Smals: Voorzitter. Dank voor de uitnodiging. De formele standpunten van de KNMP (Koninklijke Nederlandse Maatschappij ter beoordeling der Pharmacie) hebt u al per brief ontvangen.

Mijn naam is Bart Smals. Ik ben geen beleidsmedewerker. Evenmin ben ik ICT-deskundige of jurist. Ik ben gewoon apotheker in 's Gravenzande, het Westland. Ik heb enige tijd in het hoofdbestuur gezeten van de KNMP, maar nu besteed ik het grootste deel van mijn tijd aan het controleren van receptjes en aan het eind van de dag controleer ik de signaallijst. Ik heb de signaallijst van de laatste dagen nog even doorgenomen, onder andere ter voorbereiding op dit overleg. Ik wil namelijk met wat voorbeelden illustreren wat volgens mij voor u relevant is.

Op de signaallijsten staan de interacties en dat soort zaken. Die krijg je aan het eind van de dag. Mijn eerste voorbeeld betreft een antibioticumkuurtje voor een mevrouw – dit is een voorval van enkele dagen geleden – die bij de reumatoloog was geweest. Ik ken haar een beetje en vroeg haar hoe het met haar ging. Daarop antwoordde ze dat de reumatoloog haar een nieuw geneesmiddel had voorgeschreven, namelijk methotrexaat. Die naam zegt u waarschijnlijk niets. Dit middel is toxisch van aard en met het antibioticakuurtje is dat een probleem. Voor een apotheker is dit appeltje-eitje; het is standaardwerk voor ons. Wij hebben echter wel het liefst dat die gegevens beschikbaar zijn op het moment dat we die nodig hebben. In dit voorbeeld bleek dat niet het geval te zijn. Deze mevrouw had de medicatie die de reumatoloog had voorgeschreven van de poliklinische apotheek gekregen. Zij had daar geen toestemming verleend voor het uitwisselen van gegevens, want zij dacht: dat heb ik in de apotheek al gedaan. Dit is dus een voorbeeld van iets wat volgens mij geregeld moet worden.

Een ander voorbeeld heeft betrekking op laboratoriumwaarden. Deze worden door apothekers steeds meer gebruikt in de dagelijkse praktijk. Ik ben daar heel erg trots op en kan daar wel een uur over praten. Laat ik dat echter niet doen. Het komt regelmatig voor dat ik doseringen van bijvoorbeeld kuurtjes aanpas op basis van de nierfunctie van mensen, die blijkt uit die laboratoriumwaarden. Als een patiënt de huisarts of het laboratorium niet heeft toegestaan die gegevens te delen, moet ik bellen of mailen om die gegevens te krijgen. Mailen vind ik een probleem, want eigenlijk mag dat niet. Dit moet dan echter wel gebeuren. Er is overigens geen patiënt die daarvan op dat moment een probleem maakt. En je kunt daarmee voorkomen dat iemand iets krijgt waardoor hij net over het randje gaat en zijn nieren het helemaal niet meer doen, om maar een voorbeeld te noemen.

Ik wil met deze voorbeelden duidelijk maken dat het erg onhandig is dat een patiënt op verschillende plekken, bij verschillende zorgverleners, toestemming moet geven. De meeste patiënten hebben dat niet in de gaten. 99,9% van het aantal mensen dat bij mij aan de balie komt, zegt: goh, dat weet u toch gewoon? Nee, dat weet ik dus niet. Het zou handig zijn als dat generiek zou kunnen gebeuren. «Generiek» is waarschijnlijk het verkeerde woord in deze context, maar u snapt vast en zeker wat ik bedoel te zeggen.

De voorzitter: In één keer.

De heer Smals: Nee, in één keer voor de verschillende zorgverleners. Als je de apotheek wilt toestaan om de medicatiegegevens uit te wisselen, moet je dat voor de apotheek in één keer kunnen doen. In het voorbeeld dat ik aanhaalde, dacht de patiënte dat ze bij mij had aangegeven dat de medicatiegegevens uitgewisseld konden worden. Dat blijkt echter niet zo te zijn. Zij is namelijk bij een andere apotheek geweest en had dit ook daar moeten aangeven. Dat bedoel ik met «generiek», al is dit, zoals ik al zei, het verkeerde woord in deze context.

De heer Nouwt: Eenmalig.

Mevrouw Gerkens (SP): Of specifiek.

De heer Smals: Eenmalig, specifiek, op de juiste manier; de apotheek heeft dan het totaaloverzicht om dat te doen.

Op de eerste versie van het wetsvoorstel dat wij gezien hebben, hadden wij en andere partijen in de zorg nogal wat op- en aanmerkingen. Op onderdelen was het onuitvoerbaar. Uit de brief van de Minister van 22 december jl. blijkt dat de voor ons belangrijkste angels eruit zijn gehaald. De KNMP is nu van mening dat dit voldoende vertrouwen geeft om ermee door te gaan, om druk op het veld te houden, ook indien er problemen zijn die opgelost moeten worden. Wij hebben er dus vertrouwen in dat we eruit komen als problemen moeten worden opgelost.

De voorzitter: U bleef mooi binnen de tijd. Ik geef het woord aan de heer Nouwt.

De heer Nouwt: Voorzitter. Ik ben Sjaak Nouwt. Ik ben jurist en werk sinds 2009 als adviseur gezondheidsrecht bij de artsenfederatie KNMG (Koninklijke Nederlandse Maatschappij ter bevordering der Geneeskunst). Daar houd ik mij bezig met vraagstukken op het terrein van privacyrecht, medisch beroepsgeheim en juridische aspecten van ICT in de zorg. In deze inleiding wil ik vooral stilstaan bij een onderdeel in het wetsvoorstel, namelijk de gespecificeerde toestemming. In dat kader zal ik twee punten onder uw aandacht brengen.

Ik wijs erop dat de KNMG met de LHV (Landelijke Huisartsen Vereniging), de KNMP en de NPCF (Nederlandse Patiënten Consumenten Federatie), Nictiz en het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) constructief samenwerkt aan de voorbereiding van een tweetal projecten met betrekking tot de uitvoerbaarheid en de implementatiemogelijkheden van de gespecificeerde toestemming. De Minister heeft daarover op 22 december jl., in de nadere memorie van antwoord, aan de Eerste Kamer gerapporteerd. Die projectvoorstellen zijn inmiddels gereed en die zijn door VWS en de betrokken veldpartijen geaccordeerd. Daarover is dus overeenstemming bereikt.

Het tweede punt hangt hiermee samen; het is een logisch gevolg daarvan voor de behandeling van dit wetsvoorstel. Ondanks de zojuist genoemde constructieve samenwerking met als doel een mogelijkheid voor gespecificeerde toestemming in de zorgpraktijk te implementeren, zijn de Minister en de veldpartijen het er ook over eens dat het vragen en registreren, van gespecificeerde toestemming op dit moment in de zorgpraktijk nog niet uitvoerbaar zijn. Dat staat ook in de nadere memorie van antwoord. Staatsrechtelijk gezien betekent dit volgens mij dat hier een wetsvoorstel voorligt dat niet uitvoerbaar is en dat daardoor niet handhaafbaar is. Dat geldt althans voor dit onderdeel. Om die reden hebben de KNMG en de LHV in januari van dit jaar in het licht van de wetgevende taak van de Eerste Kamer bepleit om de behandeling van dit wetsvoorstel uit te stellen totdat er door middel van de genoemde onderzoeksprojecten meer zekerheid bestaat over de uitvoerbaarheid van het wetsvoorstel op dit onderdeel. Wij verwachten dat dit in een periode van negen maanden tot twaalf maanden het geval zal zijn, dus dat die projecten daarover meer zekerheid zullen opleveren.

Ik licht deze twee punten toe. Tijdens de behandeling van het wetsvoorstel door de Tweede Kamer is de inhoud van het amendement van het CDA over de gespecificeerde toestemming in het wetsvoorstel terechtgekomen. De Minister zegde toen in de Kamer toe in gesprek te gaan met het veld met als doel na te gaan wat een reële termijn is waarbinnen die elektronische uitwisselingssystemen technisch gereed konden zijn voor de gespecificeerde toestemming. Sinds die tijd werken we constructief samen en dat heeft geleid tot de projectvoorstellen over die gespecificeerde toestemming. In eerste instantie is het de bedoeling dat bij huisartsen en apothekers – de KNMP en LHV zullen immers de trekkers van deze projecten zijn – wordt onderzocht in hoeverre het geven van die toestemming haalbaar en uitvoerbaar is. Het uiteindelijke resultaat zou moeten zijn dat er een centrale voorziening komt – alle partijen zijn het daarover eens – waarmee burgers zelf hun toestemming voor verschillende vormen van elektronische gegevensuitwisseling in de zorg kunnen beheren. KNMG en LHV vinden het belangrijk dat burgers die dat willen, daardoor meer de regie kunnen nemen over elektronische uitwisseling van hun gezondheidsgegevens. Daarbij komt dat dit de administratieve lasten voor de zorgverleners kan doen verminderen. Die zorgverleners hoeven immers niet steeds toestemming te vragen, te herhalen of de toestemming nog steeds geldt en de toestemming te registreren. Ik benadruk graag dat KNMG en LHV daaraan constructief meewerken in de praktijk. Maar staatsrechtelijk is het de taak van de Eerste Kamer om de kwaliteit van wetsvoorstellen te toetsen. Een feit is dat het vragen, het registreren en het naleven van gespecificeerde toestemming in de zorgpraktijk op dit moment technisch en organisatorisch niet uitvoerbaar zijn. Ik denk dat de Eerste Kamer dat bij het toetsen van de kwaliteit van dit wetsvoorstel moet meewegen. Bovendien lijkt het wetsvoorstel in strijd met de Aanwijzingen voor de regelgeving, maar ik weet niet of de Eerste Kamer daar een boodschap aan heeft. Daarin staat dat er niet een regeling wordt voorgesteld of ontworpen voordat is nagegaan of er in voldoende mate handhaving te realiseren valt. Om die reden hebben wij eerder gepleit voor uitstel van behandeling.

Uit recente rechtspraak blijkt bovendien dat van een elektronisch uitwisselingssysteem niet het onmogelijke mag worden verlangd. In het arrest van het gerechtshof Arnhem-Leeuwarden van 8 maart over het landelijk schakelpunt (LSP) staat dat van de VZVZ (Vereniging van Zorgaanbieders voor Zorgcommunicatie) verwacht mag worden dat de «alles of niets»-toestemming wordt vervangen door een systeem dat gebaseerd is op gespecificeerde toestemming, maar dat dient pas te gebeuren zodra dit technisch mogelijk en uitvoerbaar is. Je ziet dus dat er ook in de rechtspraak aandacht is voor de uitvoerbaarheid en de haalbaarheid daarvan. Waarom zou er dus haast moeten worden gemaakt met het aannemen van dit wetsvoorstel? Er zijn reeds voldoende veldnormen voor elektronische gegevensuitwisseling. Ik wijs op de Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) en de NHG-richtlijnen over gegevensuitwisseling tussen huisartsen en centrale huisartsenposten. Die zijn gebaseerd op geldende wet- en regelgeving en zijn voor de praktijk voldoende duidelijk.

Mijn standpunt is dan ook: wacht met behandeling van het wetsvoorstel tot er meer zekerheid is over de uitvoerbaarheid van de eis van de gespecificeerde toestemming. Intussen doen wij, de veldpartijen, samen met VWS ons best om de gespecificeerde toestemming in de zorgpraktijk te realiseren.

De voorzitter: Dank u wel. Ik geef het woord aan de heer Heldoorn vanuit het patiënten perspectief.

De heer Heldoorn: Voorzitter. Goed dat u spreekt over het patiënten perspectief, al merk ik hierbij meteen op dat hét patiënten perspectief niet bestaat. Wij behartigen de belangen van enerzijds mensen die zeggen dat zij de complete controle willen over hun gegevens en dat zij het liefst zo min mogelijk digitale uitwisseling daarvan wensen in de zorg en anderzijds van personen die ertegenaan lopen dat de dokter te weinig van ze weet.

Ik concentreer mij vanmiddag op drie punten, te weten de gespecificeerde toestemming, het artikel dat patiënten het recht geeft op digitale inzage en een digitaal afschrift en het punt dat er niemand tussen wal en schip mag vallen.

Ik kom op de gespecificeerde toestemming. Hoe nuttig die ook is, deze mag niet een doel op zichzelf worden. Het moet een middel zijn om patiënten een beter overzicht te geven van wat er met hun gegevens gebeurt en misschien ook van hoe het er wat hun gezondheidstoestand voor staat. Het moet een middel zijn om patiënten daarbij beter te betrekken. Heel veel van de gegevensuitwisselingen in de zorg vinden op dit moment plaats buiten de patiënt om. Deels is dat goed. Ik kan mij geheel vinden in het zojuist door mijn buurman genoemde voorbeeld. Patiënten gaan er terecht van uit dat zaken in de zorg voor hen geregeld zijn. Het gaat over meer zeggenschap, wat bijdraagt aan vertrouwen. Het middel moet bijdragen aan een betere gezondheid door betere zorg en betere informatieverstrekking aan patiënten.

Ik ga in op het artikel dat ziet op digitale inzage en een digitaal afschrift. Dit middel biedt de mogelijkheid op een grotere betrokkenheid van patiënten. Wij vinden het dan ook jammer dat dit artikel pas over drie jaar in werking treedt. Dat vinden wij vooral jammer omdat er al heel goede voorbeelden zijn van ziekenhuizen, huisartsen en apothekers die patiënten betrekken via portalen of apps. Dit draagt bij aan vertrouwen en inzicht. Patiënten weten dan immers beter over welke gegevens de dokter beschikt en welke hij uitwisselt. Tevens draagt dit bij aan betrokkenheid en betere zorg. Patiënten gaan immers meekijken. Uit recent onderzoek blijkt dat, als patiënten kunnen beschikken over een medicatieoverzicht, zij dit kunnen aanvullen of corrigeren. Het is bijvoorbeeld mogelijk dat de patiënt bepaalde medicijnen niet meer gebruikt maar dat de apotheker daarvan nog niet op de hoogte is. Zodoende kun je samen met zorgverleners de zorg beter maken.

Vandaag de dag zijn er al patiënten, bijvoorbeeld van UMC St Radboud of van het UMC Utrecht, die daarvan kunnen profiteren. Ik zou het jammer vinden als de ontwikkeling tot stilstand komt als gevolg van uitstel van inwerkingtreding van dit artikel gedurende drie jaar.

Mijn laatste punt is dat niemand tussen wal en schip mag vallen. Het alternatief dat ik daarbij heb gezet, is: toestemming of vitaal belang. Er wordt met dit wetsvoorstel krachtig gefocust op de zelfbewuste patiënt die goed in staat is om bewust en goed geïnformeerd keuzes te maken en die tot op zekere hoogte inzicht heeft in zijn medische situatie. Er is in de zorg echter ook een andere werkelijkheid: er zijn genoeg mensen die dat niet kunnen. Uit een Motivaction-onderzoek blijkt dat iets minder dan de helft van de Nederlandse zorgconsumenten onder de categorie «minder zelfredzaam» valt. Onder die groep valt ook de groep zeer kwetsbare patiënten; mensen die er terecht van uitgaan dat de dokter of een andere zorgverlener datgene doet wat in hun belang is of wat goed is. Daar hoort het nemen van verantwoordelijkheid bij voor elektronische gegevensuitwisseling. Het probleem is echter dat de ICT-systemen nogal zwart-wit zijn: wel toestemming of geen toestemming. Die eenzijdige focus op geïnformeerd kiezen of op de gevaren van het uitwisselen van medische gegevens kan ongewenste effecten hebben en risico's met zich brengen voor kwetsbare mensen. Toestemming is overigens ook niet de enige grond om medische gegevens door te geven. In de Wet bescherming persoonsgegevens (Wbp) staat ook de grond vitaal belang. Dat kan zijn een dringende medische noodzaak, wat te lezen is op de website van de Autoriteit Persoonsgegevens. Aangehaald wordt een situatie waarin iemand buiten bewustzijn is waardoor hij geen toestemming kan geven. Een andere mogelijkheid is dat iemand niet in staat is om toestemming te geven omdat hij minder zelfredzaam is.

Ik sluit dan ook af met de vraag: hoe borgen we dat minder zelfredzame mensen niet de dupe kunnen worden en dat zorgverleners niet beperkt worden in het handelen in het vitaal belang van hun patiënten door een in het systeem ontbrekende toestemming?

De voorzitter: Dank u wel. Ik geef het woord aan de heer Voest. Hij spreekt namens meerdere organisaties. Dat is misschien wat ingewikkelder, maar ik neem aan dat dit hem wel is toevertrouwd.

De heer Voest: Voorzitter. Ik spreek inderdaad namens BoZ (Brancheorganisaties Zorg). Ik ben internist-oncoloog in Antoni van Leeuwenhoek. Ik ben ook lid van de raad van bestuur, medisch directeur en ik ben onderzoeker. Misschien zit ik daarom wel hier. Ik kan immers grotendeels meevoelen met de wijze waarop deze wetgeving invloed kan hebben.

De drie voorgaande sprekers hebben net uitstekend verwoord waar een aantal pijnpunten zit. Volgens mij is de kern van de vraag waar de fundamentele rechten van een individu op privacy kruisen met het fundamentele recht op optimale zorg. Ik denk dat die met elkaar op gespannen voet staan en ga proberen om dit toe te lichten aan de hand van een aantal voorbeelden uit onze praktijk.

Allereerst praat ik over de impact die deze wetgeving zal hebben op de complexiteit van ons handelen. In toenemende mate praten we over multidisciplinair werken, multidisciplinair overleg. Daarbij zijn heel grote groepen disciplines betrokken die bijdragen aan het op een eigen manier maken van het beste plan voor de patiënt. Dat alleen al goed coveren in wetgeving om te laten zien wie erbij betrokken zijn, betekent dat er sprake zal zijn van een enorme hoeveelheid extra werk.

Het kan echter ook op kleinere niveaus, zoals het automatisch doorsturen van een e-mail naar een pacemakertechnicus omdat een patiënt geopereerd wordt. Dat is enorm handig en enorm veilig, maar als dit vanwege de wetgeving op deze manier niet kan – e-mail is bijvoorbeeld een onveilig middel – kun je je voorstellen dat dit een rem zet op de kwaliteit van de zorg. Het bij elkaar kijken in gegevens – wij hebben een heel goede relatie met een ziekenhuis in de omgeving en intensivisten kunnen meekijken met onze zorg – kan dan niet meer een-twee-drie plaatsvinden.

Deze voorbeelden geven aan hoe dokters in hun handelen, dat complex is, ernstig worden belemmerd.

We praten over veiligheid. De zorg in Nederland is door registratie van kwaliteit en complicaties in handelen enorm veel beter geworden. Nu zijn er echter al terugtrekkende bewegingen te zien van mensen die zich afvragen: kan ik een en ander dan nog wel aanleveren? Heb ik daar wel toestemming voor en zo ja, welke consequenties heeft dit? Dit zet een enorme rem op het verder verbeteren van de zorg in het algemeen en van de oncologische zorg in het bijzonder. Juist omwille van de kwaliteit is herleidbaarheid naar instituut- en zelfs patiëntniveau belangrijk. Nu dat niet meer kan, terwijl dat een groot goed is van het leren, kan ik als bestuurder, als dokter en als onderzoeker niet goed inschatten hoe deze wetgeving ons daarbij specifiek gaat helpen. Dat is een kwaliteitsaspect.

Ik kom op de innovatie. Wij proberen de zorg natuurlijk steeds beter te maken. Voor innovatie heb je ook behoefte aan het analyseren van groepen patiëntengegevens. Patiënten zijn het daar overigens van harte mee eens en zij willen daaraan heel graag meewerken. Maar hoe moet je daarmee omgaan als je zo meteen dit soort datasets wilt beoordelen om na te gaan waar mogelijkheden tot verbetering zijn? Welke rechten heb je? Hoe moet je een en ander vastleggen? Hoe moet je een en ander uitleggen aan patiënten? Dit alles is buitengewoon lastig.

De heer Heldoorn heeft net al aangegeven dat we hier spreken over heel mondige patiënten die precies weten hoe en wat. Zij zijn echter niet degenen om wie het naar mijn idee gaat in relatie tot het fundamentele recht op privacy. We praten over die hele grote groep patiënten die zegt: dokter, ik wil graag goed geholpen worden en ga ervan uit dat u diegenen raadpleegt die daarbij kunnen helpen. Iedereen uitleggen op welk niveau wie toevallig nodig is, is een enorme taak. Voor patiënten is dan ook niet te zien aan wie er toestemming gegeven moet worden. Dat zijn puur dingen van de regelgeving. Je kunt je daarbij nog afvragen of dat zwaarder moet wegen. Als je echter spreekt over de handhaafbaarheid, zeg ik dat ik niet weet hoe we dit in «mijn» organisatie zouden moeten regelen: hoe kunnen we controleren wie er met wat bezig is en waarom, anders dan dat wij gewoon keurig netjes audits doen op systemen om na te gaan of er geen misbruik wordt gemaakt van gegevens. Het is echter een buitengewoon ingewikkelde zaak om van tevoren te kijken of het voor elke patiënt allemaal loopt.

Tot slot noem ik de kosten die dit alles met zich brengt. Als we alles moeten regelen zoals het zich nu laat aanzien, moeten er enorme investeringen worden gedaan in ICT en in infrastructuur. Nog belangrijker is dat dit de dokter en de verpleegkundige van de patiënt afhoudt. Zij moeten immers eerst uitleggen hoe het systeem in elkaar zit. Dat is buitengewoon vervelend.

Mevrouw de voorzitter, mijn conclusie is dat we de zorg vooral niet het stiefkind moeten laten worden van het privacybeleid. Ik hoop oprecht dat dit soort pijnpunten uit de wetgeving verwijderd kan worden.

De voorzitter: Ik geef het woord aan mevrouw Van Leeuwen van de Consumentenbond.

Mevrouw Van Leeuwen: Voorzitter. De Consumentenbond heeft de laatste jaren een draai gemaakt naar meer met en voor de consument doen en minder in achterkamertjes doen. We willen graag kenbaar maken waarvoor we ons inzetten. Vandaar dat ik campagneleider ben in plaats van beleidsadviseur. De Consumentenbond houdt zich met heel veel onderwerpen bezig, onder andere met de zorg. Dat is niet bij iedereen bekend; wij moeten nog steeds aan mensen uitleggen dat wij niet slechts wasmachines testen maar dat wij ook op het gebied van de zorg het nodige doen.

We zijn heel blij dat wij hier mogen zijn. Het is ook het uitgangspunt van de Consumentenbond dat hij graag wil inzetten op het uitwisselen van gegevens. Volgens mij wordt dat standpunt breed gedeeld. Vanuit het oogpunt van veiligheid en kwaliteit van zorg, met de huidige stand van de wetenschap en alles wat mogelijk is, moeten we er werk van maken om dit zo snel en zo goed mogelijk te regelen. De moeilijke vraag is echter hoe. We zitten hier om het daarover te hebben. Het gaat in dit geval immers om de meest privacygevoelige informatie die er over jou beschikbaar kan zijn. Het gaat ook om intieme informatie en bovenal om heel persoonlijke informatie. Daarom zijn zelfbeschikking en eigen regie voor de consument een heel groot goed. De regie over wat er met die gegevens gebeurt en wanneer, moet bij de consument liggen. Hij moet daar wetenschap van hebben en zijn keuzes kunnen maken. Dat zien wij in dit wetsvoorstel te weinig terug. In onze optiek is de oorzaak van dat probleem dat wordt voortgeborduurd op een systeem dat niet van dit principe uitgaat maar dat nadere invulling geeft aan de situatie die we nu kennen. Het uitgangspunt van zelfbeschikking in regie houdt in dat je weet en kunt kiezen welke informatie over jou gedeeld wordt, op welk moment en met wie. En op het moment dat je daarover moet beslissen, moet je natuurlijk in voldoende mate geïnformeerd zijn om te bepalen wie die informatie over jou in kan zien. Dat is in mijn ogen het moment waarop die informatie kan worden ingezien in plaats van het moment van beschikbaarstelling. Hoe weet iemand op het moment van beschikbaarstelling immers wat in de toekomst nodig is om eenieder in te laten zien? Dat is een ingewikkelde manier om de regie te behouden. Op deze wijze is de regiefunctie niet ingevuld op de wijze zoals wij dat graag zouden zien.

Jenny tot hier; 0.29.46, Dick vanaf hier.

Een klein uitstapje naar een ideale wereld: iemand komt bij de huisarts en beheert helemaal zijn eigen dossier. Ik noem de huisarts, maar bedoel zorgaanbieders in de brede zin van het woord. Als een arts tegen een patiënt zegt dat het handig is om bepaalde gegevens in te zien, kan de patiënt daarvoor toestemming geven. Die informatie is verzameld op een plek waar er met toestemming van de patiënt naar kan worden gekeken. Is dit ideaalbeeld realistisch? Het is in ieder geval een mooi streven. Met dit in het achterhoofd is het makkelijk om te zeggen: daar voldoet dit wetsvoorstel onvoldoende aan. Maar we moeten bekijken hoe we met de regels die er zijn en het voorstel dat er ligt, in de beste richting kunnen bewegen. In het voorstel moet er daarom nog meer aandacht zijn voor het leggen van de regie bij de patiënt. In dat licht zijn drie elementen van belang.

Ten eerste specifieke toestemming. In de ogen van de Consumentenbond is dat: precies weten wie wat wanneer beschikbaar stelt. Hoe specifieker gemaakt kan worden wat er gedeeld wordt, hoe meer stappen we in de goede richting zetten. Het moet duidelijker worden wie welke informatie kan inzien en benadrukt moet worden dat een patiënt dit zelf kan aangeven. Verder is de extra toestemming bij inzage mogelijk een goede waarborg voor de onvolkomenheid van inzage geven voor een lange termijn.

Ten tweede het patiëntenportaal. Ook dat is een goede stap. De patiënt kan daarmee zelf de regie voeren op wie wanneer inzage krijgt. Daar moeten we zo snel mogelijk naartoe bewegen; we moeten iets dergelijks ontwikkelen. Wel zijn er daarbij twee aandachtspunten. Allereerst is het enkel optuigen van zo'n systeem niet voldoende. De consument moet erin worden meegenomen, zodat hij het daadwerkelijk gaat gebruiken. Verder zijn drempels makkelijk opgeworpen in een patiëntenportaal. Dat zien we ook bij de mijnomgevingen en de verificatie. Daarvoor moet zeker aandacht zijn.

Ten derde – daarmee sluit ik aan bij Marcel – de digitale inzage in het dossier. Die is zeer wenselijk. Ik ben een beetje verbaasd dat dit een uitstel van drie jaar behoeft. Als ik het goed heb, zijn er al enkele best practices van ziekenhuizen beschikbaar met inzage in een patiëntenportaal. Op deze manier kan de regie bij de consument worden gelegd, maar dat lukt niet zonder ze de goede tools te bieden. Er moet ergens worden begonnen. Kortom, ik vraag aandacht voor de regie van de patiënt in dit voorstel.

De voorzitter: Dank u wel. Ik geef het woord aan de laatste spreker in dit eerste deel, de heer Tomesen.

De heer Tomesen: Dank u wel. Het komt niet vaak voor dat de Autoriteit Persoonsgegevens – of eerder het College bescherming persoonsgegevens – zonder veel omhaal niet negatief of zelfs positief is over een wetsvoorstel. Dat waren wij in dit geval, en kijk eens wat ervan komt. Er is van alles gebeurd. Ik heb al een expertbijeenkomst bijgewoond: dit is de tweede keer. Wat wij doen in gevallen als deze, is dat wij een voorstel afzetten tegen de Wet bescherming persoonsgegevens, en in dit geval ook de WGBO omdat daarin de grondslag ligt voor het uitwisselen van vertrouwelijke patiëntgegevens. Ik pak er drie dingen uit.

De toestemming zoals die aanvankelijk in dit voorstel was neergelegd en alles wat eromheen zit, voldeed en voldoet wat ons betreft aan de Wbp. Het is eigenlijk heel eenvoudig: als je toestemming geeft, moet dat gebaseerd zijn op behoorlijke informatie. Je moet heel goed weten waarvoor je toestemming geeft. Het moet expliciet gaan om het gevraagde. Dit zit erin. Ik weet natuurlijk dat er ook sprake is van een gespecificeerde toestemming en dat vind ik geweldig. Laat ik heel duidelijk zijn; ik pak nu echt mijn rol als wetgevingsadviseur vanuit de Wbp. De gespecificeerde toestemming is een politieke keuze die wij toejuichen. Maar als u mij zou vragen waar het echt om gaat, dan zou de generieke toestemming al kunnen volstaan. Ik zeg dus niet: u moet het vooral niet doen. Ik juich het toe, maar geef ook even mijn strikte benadering aan.

Hetzelfde geldt voor de elektronische inzage als patiënt, het toestemmingsprofiel. Op basis van de wetgeving – dat wordt niet anders als er straks Europese regelgeving komt – heb je die mogelijkheden. Als dit wordt uitgewerkt, dan juich ik dat toe. Ik ben nu een aantal jaren bij de Autoriteit werkzaam. Voor mij is het wezenlijk dat mensen geïnformeerd worden over wat er met hun gegevens gebeurt en dat men er zeggenschap over heeft. In de kern staat dat hierin. Het meerdere, waarvan de Minister zich afvraagt of we dat nu moeten doen dan wel even moeten wachten, juich ik toe. Als ik het goed begrijp, zeggen de Minister en de branche: luister even, dit gaat te ver, we kunnen dit nu niet doen. Ik heb daar geen opvattingen over. Wat ik ongelooflijk wezenlijk vind, is dat als het gebeurt, die gespecificeerde toestemming en elektronische inzage, het behoorlijk wordt beveiligd. Het College, en later de Autoriteit, heeft de afgelopen jaren heel veel aandacht besteed aan de beveiliging van dit soort gegevens. Dat is niet voor niets. We krijgen er heel veel signalen over en hebben nogal wat kritische geluiden laten horen. Wat er ook gebeurt, die beveiliging is ongelooflijk wezenlijk.

Een ander punt dat ik wil maken, naar aanleiding van en over dit voorstel, zijn de normen die ermee worden gesteld in combinatie met de AMvB: de NEN-normen. Het is ongelooflijk ingewikkeld, maar het komt erop neer dat er basale technische eisen worden gesteld aan de manier waarop je gegevens uitwerkt. Vanuit mijn gezichtspunt is dat op dit moment de belangrijkste winst van dit voorstel. Landelijk is er van alles geregeld, maar elk systeem is zo sterk als de zwakste schakel; om maar eens een ongelooflijk open deur in te trappen. Dat er overall een norm gaat gelden, is buitengewoon wezenlijk.

Ik vat het nog maar even heel kort samen. Ik vond en vind dat wat nu is voorgelegd, voor een belangrijk deel beantwoordt aan de eisen uit de Wbp en de WGBO. Voor ons zit de grote winst op korte termijn in het onderstrepen en algemeen geldend maken van de beveiligingsnorm, de elektronische inzage en de gespecificeerde toestemming. Ook dat laatste juich ik toe, maar het is een politieke keuze. Wat er al lag, voldeed aan de Wbp en de WGBO. Dat is ook onze aanvankelijke inzet geweest.

Ik ben binnen het belletje gebleven!

De voorzitter: Dat is heel bijzonder. Dank u wel. Even de glazen vullen en dan gaan we over naar de vragenronde van de woordvoerders van onze commissie.

De heer Ganzevoort (GroenLinks): We horen zelden vanuit verschillende gezichtspunten over het hoe en wat. De belangrijkste vraag in dit gesprek is voor mij nu niet wat wij overall van de wet vinden, want daarover hebben we al eerder informatie gekregen. Het gaat veel meer over wat de rompwet, als die wordt aangenomen, betekent in verhouding tot de totale wet. De heer Tomesen is daarop wat uitgebreider ingegaan. Dat geldt ook voor de heer Heldoorn, die er van een andere kant naar kijkt: het uitstel van delen van het wetsvoorstel zouden we niet moeten willen. Ik probeer het scherp te krijgen. Wat overblijft en nu in werking gaat treden, geeft minder rechten aan patiënten dan de totale wet. Als ik het goed begrepen heb, zegt ook de heer Tomesen dat. Van een aantal van u heb ik daar echter nog niets over gehoord. Hoe beoordeelt u het direct in werking tredende deel van de wet, los van delen die nu zijn uitgesteld? Ik vraag met name de heer Smals en de heer Voest om daar nog kort iets over te zeggen.

De heer Smals: Stukken van de wet treden niet in werking, omdat men tot de conclusie is gekomen dat de wet anders niet of moeilijk uitvoerbaar is. Het doet er dus niet zozeer toe of ik dat sympathiek vind. Er is dan direct een probleem omdat het gewoon in de praktijk niet kan. Als ik bijvoorbeeld de toestemming vooraf voor het opvragen nu zou moeten invoeren in mijn apotheek, dan heb ik morgen een rij staan tot aan de overkant van de straat, omdat het niet kan. Volgens mij is dat het antwoord op uw vraag, of niet?

Mevrouw Nooren (PvdA): De vraag was andersom bedoeld: is wat er wel wordt ingevoerd, waardevol?

De heer Smals: Sorry, natuurlijk. Andersom: waarom moet het wel worden ingevoerd? Dat vinden wij nu, met natuurlijk die uitzondering. Zorg ervoor dat wat er nu wel wordt ingevoerd, richting geeft aan de manier waarop we het moeten inrichten. Er moet druk op ketel worden gehouden voor de mensen die het moeten invoeren, zoals bij de softwarehuizen. Ik heb zelf ook heel veel wensen voor het softwaresysteem dat ik in mijn apotheek gebruik, maar als ik niet heel hard op de trom sla, gebeurt er helemaal niks. Ik ben oprecht bang – de ervaring leert dat – dat het in dit geval precies hetzelfde gaat. Als u het zou uitstellen, dan zitten we hier volgend jaar weer bij een deskundigenbijeenkomst en zijn we geen steek verder gekomen.

De heer Voest: Ik heb hieraan niet zo heel veel toe te voegen. Het ging mij – dat is de reden dat ik hier zit – vooral om de pijnpunten in het systeem. Daarop ben ik specifiek ingegaan. Uiteindelijk wil je een systeem dat de zorgen kan handelen. Zoals mijn voorganger al zei: als je die punten nu zou invoeren, geeft dat een enorm probleem. Over de grote lijnen zal iedereen het eens zijn: inzicht hebben in je gegevens en weten wat ermee gebeurt. Dat is prima, maar laat ik een heel concreet voorbeeld geven. Patiënten vinden in toenemende mate mijn e-mailadres en dat van mijn collega's. Vervolgens sturen ze een bericht met wat er aan de hand is en maken daar wat documenten aan vast. Het is heel gemakkelijk om dan even snel te reageren; patiënten stellen dat ook enorm op prijs. Dat kan dan echter niet meer, want ik ben op een onbeveiligde lijn aan het werken. Ik ben al fout bezig op het moment dat ik reply. Dit soort details leiden af van de grote lijnen, want ze zorgen ervoor dat het bestuurlijk en organisatorisch aftikken van dit soort wetgeving complex is. Het overschaduwt het algemene idee dat een patiënt inzicht moeten hebben in zijn gegevens en moet weten wat ermee gebeurt.

De heer Ganzevoort (GroenLinks): Die kritiek gaat over de hele wet.

De heer Voest: Ja, het gaat over de hele wet.

Mevrouw Nooren (PvdA): U zegt als vertegenwoordiger van de apothekers eigenlijk: voer de rompwet in want dat geeft richting aan het veld en houd pilots voor de detaillering en om te bezien hoe de gespecificeerde toestemming en het inzagerecht moeten worden geregeld. De BoZ is van mening – ik stel het even scherp – dat het geen meerwaarde heeft om de wet nu in te voeren.

De heer Voest: Dat vind ik ingewikkeld. Ik voel me enigszins gehandicapt omdat ik opeens wordt gevraagd om te reflecteren over een aantal specifieke thema's waarover de BoZ zich zorgen maakt. Ik zou niet voor mijn rekening willen nemen om namens de BoZ de hele wet af te wijzen.

De voorzitter: Maar wat vindt u zelf?

De heer Voest: In algemene termen vind ik het belangrijk dat je als patiënt toegang hebt tot je gegevens en weet wat ermee gebeurt, maar daar kan niemand het mee oneens zijn. De vraag is wel wat het realiteitsgehalte is. Als iemand hoort dat hij kanker heeft, is het eerste wat hij doet googelen. Google weet precies wie er vanuit welke URL aan het googelen is en kan dus identificeren wie er kanker heeft. De patiënt weet ook niet wat dat soort dingen betekent. De vraag is dan: wat is het realiteitsgehalte? Maar goed, dit mocht ik op persoonlijke titel zeggen.

Mevrouw Nooren (PvdA): De Autoriteit Persoonsgegevens zegt: de wet nu wel invoeren, werkt normerend voor het gehele veld via de NEN-normen. Heeft de BoZ daarover een opvatting? Het lijkt me toch wel handig om dat te weten.

De heer Voest: Dat is dan even mijn beperking. Ik kan u het antwoord schriftelijk doen toekomen.

De heer Bruijn (VVD): Ik heb een vraag aan de heer Tomesen. U noemde drie dingen: het algemeen maken van de norm, de elektronische inzage en de gespecificeerde toestemming. Dat laatste stuk wordt uitgesteld, althans in het voorstel zoals het er nu ligt. Hoe noodzakelijk is het dat die NEN-normen nu algemeen gemaakt worden en dat elektronische inzage wordt geregeld? Wat gebeurt er als we dat niet doen?

De heer Ganzevoort (GroenLinks): De inzage wordt ook uitgesteld.

De heer Tomesen: Hoe noodzakelijk is het? Het leven is soms vrij overzichtelijk. Dit soort gegevens zijn gevoelig van aard – dat heeft de Consumentenbond voortreffelijk verteld – en dienen daarom optimaal beschermd te worden. Die verplichting staat ook in de wet. Het is al technisch uitgewerkt in NEN-normen. Wij komen dan langs bij de zorg als het zo uitkomt en zeggen: u doet het niet goed genoeg. De NEN-norm naleven is een aanwijzing dat het voldoende gebeurt. De meerwaarde van NEN-normen is dat we weten waarop we elkaar toetsen. Iedereen, of het nou gaat om regionale of landelijke uitwisseling, moet dezelfde hoge normen hanteren. Dat is voor mij de winst. Mijn antwoord is voortdurend een beetje dubbel, omdat ik – dat moet u mij maar vergeven – terugval op de wet. Artikel 13 van de Wbp zegt: je moet gewoon adequaat beveiligen. Dat is uitgewerkt in die NEN-norm. Vanuit mijn positie bezien is het waardevol als de zorgwereld met elkaar zegt: laten we die norm gaan hanteren. Dat is mijn beste antwoord. Daarin zit ook de winst van dit voorstel en de bijbehorende AMvB.

De voorzitter: Zijn er nog andere vragen?

De heer Ganzevoort (GroenLinks): Ik wil hierop nog heel eventjes doorgaan. Als ik het goed begrijp – de heer Voest heeft dat heel scherp weergegeven – gaat het om de kruising van enerzijds het recht op privacy, de patiëntenrechten in brede zin, en anderzijds het recht op goede zorg. Vanuit de verschillende perspectieven hoor ik verschillende geluiden. De NPCF en de Consumentenbond vinden, als ik het goed begrijp, dat de uitgeklede wet te weinig regelt voor de bijzondere cliëntenrechten, zoals de inzage. De heer Tomesen zegt: dat is het toetje, het zou mooi zijn als het ook geregeld was, maar ook zonder is het goed. Vanuit de zorg zegt men: juist vanwege de noodzaak van de uitwisseling willen we verder met de ontwikkeling, ook als het nog niet lukt om de patiëntenrechten nog een stapje verder te borgen. Zo hoor ik de verschillende perspectieven. Wij moeten wegen hoe we daarmee omgaan.

Mevrouw Nooren (PvdA): Er is een soort dilemma: goede zorg en daarvoor noodzakelijk gegevensuitwisseling versus gespecificeerde toestemming vooraf, al dan niet aan groepen. Geven de pilots daarover helderheid? Wij kennen de lopende pilots natuurlijk niet.

De heer Nouwt: Nee, in die pilots wordt onderzocht in hoeverre het mogelijk is om in praktijken van huisartsen en apothekers met gespecificeerde toestemming te werken. Hoe organiseer je dat en hoe regel je dat technisch? Is het voor artsen en apothekers duidelijk wat ze moeten vragen aan patiënten? Is het voor patiënten duidelijk wat er van ze gevraagd wordt? Wat wordt bedoeld met «gespecificeerde toestemming»? Dan gaat het bijvoorbeeld om de vraag wie de huisartsgegevens mag inzien: wel op de huisartsenpost maar niet door de ambulancebroeder? Die projecten gaan over het maken van keuzes daarin. Hoe kunnen we het technisch en organisatorisch zo regelen dat het voor patiënten en artsen duidelijk is wat het inhoudt en dat het technisch werkt? De bedoeling is dat er over negen tot twaalf maanden duidelijkheid is over of het kan worden ingebouwd in de procedures, de spreekkamer en de informatiesystemen. Uiteindelijk moet er een centrale voorziening komen voor alle burgers, waar men met een elektronische identiteit met een veilige authenticatie – beter dan DigiD – kan inloggen en zelf kan beheren waarvoor men wel of geen toestemming geeft. Dit neemt natuurlijk een enorme administratieve last weg bij het veld, de huisartsen en de apothekers. De systemen moeten zo werken dat die centrale voorziening stuurt welke sluizen wel of niet open worden gezet. Daar moeten we naartoe. Wij verwachten met zijn allen binnen negen tot twaalf maanden zekerheid te hebben over of het mogelijk is. Op dit moment weten we zeker dat het nog niet kan, dus laten we wachten tot we het zeker weten. Laten we nu niet iets vastleggen waarvan we weten dat het niet uitvoerbaar is.

De heer Bruijn (VVD): Het wetsvoorstel voldoet aan wat u zegt als je dit onderdeel uitstelt, even los van hoelang. De vraag die dan terugkomt en die de heer Ganzevoort ook stelde, is: moet wat er overblijft aan rompwetgeving wel of niet worden ingevoerd? Daarover verschillen de meningen wel een beetje, met name tussen de twee sprekers op de flanken en sommige sprekers die meer centraal zitten in het rijtje. Volgens sommigen van u zijn er in ieder geval wel redenen om het rompwetsvoorstel nu vast in te voeren, en geen bezwaren om hetgeen wordt uitgesteld, uit te stellen.

De heer Nouwt: Op zich is het een beetje onlogisch om een wet aan te nemen die niet uitvoerbaar is.

De heer Bruijn (VVD): Het invoeren van die NEN-normen is toch uitvoerbaar?

De heer Nouwt: Ja, maar onderdelen van de wet zijn niet uitvoerbaar. Als je de hele wet aanneemt, voer je ook onderdelen in die niet uitvoerbaar zijn. Dat is een beetje onlogisch.

De heer Bruijn (VVD): Maar die onderdelen stellen we uit.

De heer Nouwt: Maar je neemt ze wel aan.

De heer Bruijn (VVD): U voorspelt dat ze over een jaar wel uitvoerbaar zijn?

De heer Nouwt: Nee, dan is er zekerheid over of ze uitvoerbaar zijn en kun je de beslissing nemen.

De heer Bruijn (VVD): U verwerpt dus de argumenten van anderen die zeggen dat het invoeren van NEN-normen nuttig is. Die kunnen worden toegepast op het al bestaande landelijk schakelpunt, waar 10.000 patiënten in zitten. Er zijn ook andere vormen van elektronische uitwisseling. U sluit zich dus niet aan bij de roep om daar normen aan te stellen en zegt: stel het maar uit. De KNMP zegt: we hebben druk op de ketel nodig. Daar ligt ons dilemma: is het noodzakelijk om het rompwetsvoorstel in te voeren of is het beter om het hele wetsvoorstel uit te stellen? Het gaat nu niet meer over de onderdelen die sowieso worden uitgesteld, want daarin hebben we geen keuze.

Mevrouw Gerkens (SP): Ik heb twee vragen, naar aanleiding van het debatje dat we net hadden. Wat gaat er mis als we deze wet nu niet invoeren? Welk groot probleem ontstaat er dan die het nu invoeren van de rompwetgeving nodig maakt? Mijnheer Nouwt zei net: over negen tot twaalf maanden is er meer helderheid over of we die gespecificeerde toestemming op een juiste manier kunnen realiseren. Is het denkbaar dat de conclusie wordt dat het nog heel veel jaren gaat duren voor we het überhaupt op een goede manier kunnen regelen? Zo ja, zou het niet beter zijn om dan pas wetgeving te maken, zodat we die specifiek kunnen aanpassen aan de situatie op dat moment? Kortom, zitten we straks niet opgescheept met verkeerde wetgeving?

De heer Nouwt: Over negen tot twaalf maanden is er meer zekerheid over of het haalbaar is. Het kan dat de conclusie dan is dat het niet haalbaar is op korte termijn. De consequentie is dan misschien dat je die gespecificeerde toestemming niet moet invoeren. Als je daar nu al toe zou besluiten, heb je dat in feite al gedaan. Vandaar dat we zeggen: doe het in een andere volgorde. Dan is er geen man overboord, zoals ook de heer Tomesen zegt, want de reguliere toestemming die oorspronkelijk in het wetsvoorstel stond, voldoet ook aan de eisen. Die moet op basis van de wet ook in vrijheid en geïnformeerd gegeven worden en moet voldoende specifiek zijn. Je hebt die gespecificeerde toestemming misschien niet eens nodig. De wet kan worden aangenomen zonder dat je die gespecificeerde toestemming invoert, als je weet dat die op korte termijn niet uitvoerbaar is.

De heer Voest: Ik wil daar nog iets aan toevoegen. De vraag is heel belangrijk: wat gaat er fout als je het nu niet invoert? Volgens mij gaat er niet heel veel fout. Ik deel niet helemaal de mening van de heer Nouwt. Over twaalf maanden weten we hoe het eruitziet. Als het doel wordt om te komen tot een centraal systeem waarin een patiënt op elk moment kan aangeven wat hij wel of niet wil, is dat een zeer ernstige belemmering voor nieuwe ontwikkelingen in de zorg. Dit is wat anders dan het toestemming geven aan de patiënt om zijn gegeven te beheren of in te zien. Bij elk kwaliteitskeurmerk moet je dan opnieuw aan de patiënt vragen om de knoppen goed te zetten. Je vraagt enorm veel van patiënten als je van ze verwacht dat ze dat een-op-een doen. Daar zou ik een groot tegenstander van zijn. Ik weet de uitkomsten over negen tot twaalf maanden al.

De heer Tomesen: De heer Bruijn vatte mij het beste samen, maar ik heb toch de behoefte om het zelf nog een keer te zeggen. Wat gaat er mis als het niet gebeurt? Zeker, de wet zegt dat gegevens adequaat moeten worden beveiligd. Op zichzelf staat het er dus in, maar de normstelling die uit deze wet voortvloeit, heeft nadrukkelijk meerwaarde. De heer Ganzevoort laat mij zeggen dat de rest een toetje is, maar daarmee doet hij mij tekort. Het heeft wel degelijk meerwaarde, maar ik heb het benaderd als wetgevingsadviseur en gezegd: het staat allemaal in de wet.

De heer Ganzevoort (GroenLinks): Ja, u was positiever.

De heer Tomesen: Er moet mij nog iets anders van het hart. Wij doen heel veel onderzoek en krijgen heel veel signalen van patiënten en artsen over lijnen die worden gebruikt, herhaalrecepten, regionale uitwisselingssystemen en patiëntgegevens in zorginstellingen. Ik leg dit toch maar even op tafel, dan ben ik het maar kwijt; het begon me dwars te zitten. De zorg moet zich niet het stiefkind van het privacybeleid voelen. De omgang met persoonsgegevens moet integraal onderdeel zijn van patiëntenzorg in ziekenhuizen, bij huisartsen en bij apothekers. Als dat niet zo blijkt te zijn, is het vastleggen van een NEN-norm geen kwestie van toegevoegde waarde maar is het noodzakelijk. De wetgever moet dan nog eens heel goed zeggen: dit is de norm.

Mevrouw Bredenoord (D66): Ik wil nog even doorvragen op dat centrale systeem. Wat bedoelt u daar precies mee en bedoelen we allemaal hetzelfde? Wat zit er in dat centrale systeem? Zitten de toegangsgegevens erin, de wijze waarop mensen kunnen inloggen? Is het dan toch een soort centraal epd – we mogen het niet meer zo noemen – of bedoelt u iets anders? Het is goed om dit scherp te krijgen.

De heer Heldoorn: De patiënt moet verschillende keren toestemming geven, zoals bij verschillende apothekers of de huisarts. De gespecificeerde toestemming in het wetsvoorstel zorgt ervoor dat de toestemming heel erg wordt versnipperd, waardoor de patiënt geen overzicht meer heeft. Waarvoor en aan wie heb ik ooit toestemming gegeven? De toestemming zou je daarom niet bij de zorgverlener maar bij de patiënt moeten vastleggen. Als men in de zorg gegevens nodig heeft, kan men dan zien of een patiënt iets heeft bepaald over die uitwisseling. Vervolgens gaat het licht op groen, of niet. Dat is het idee, maar ik ben niet zo technisch dat ik precies kan verzinnen hoe dat moet gebeuren. Het moet werkbaar zijn in de praktijk en heel begrijpelijk en overzichtelijk voor patiënten.

Mevrouw Nooren (PvdA): Dit lijkt op het landelijk schakelpunt. De cliënt moet zelf toestemming geven. Die cliënt gaat langs bij de huisarts, de reumatoloog, de apotheek en misschien wordt hij ook nog even opgenomen in het verpleeghuis. Al die organisaties hebben informatie en hebben elkaar ook nodig. Daar gaat het wetsvoorstel uiteindelijk over. Beheert iemand het totaal, of leg je met je DigiMV vast welke categorieën hulpverleners gegevens uitwisselen? Ik probeer te zoeken wat u wilt bouwen. Wat is het perspectief?

Mevrouw Bredenoord (D66): Ik heb er ook nog onvoldoende grip op.

De heer Nouwt: Het wetsvoorstel gaat niet over pushberichten, zoals het versturen van e-mail. Het gaan alleen om pullverkeer, toestemming voor het elektronisch beschikbaar stellen van gegevens uit medische dossiers voor raadpleging in de toekomst door andere zorgaanbieders. De toestemmingseis gaat dus niet over pushverkeer.

De voorzitter: In de memorie van antwoord staat inderdaad dat de wetgeving alleen betrekking heeft op pull, het mogen raadplegen van bepaalde gegevens.

De heer Bruijn (VVD): Bij de normen gaat het ook over push.

De heer Nouwt: Het is niet zo dat het hele wetsvoorstel alleen over pullverkeer gaat, want het gaat ook over digitale inzagerechten en het vastleggen van logging, en dat staat los van pull- of pushverkeer. De toestemmingseis heeft alleen betrekking op pullsystemen. Je kunt nu ook via ikgeeftoestemming.nl toestemming geven voor het LSP. Er worden buiten het LSP om ook regionaal gegevens uitgewisseld tussen huisartsen en huisartsenposten, ziekenhuizen en laboratoria. Dat zijn allemaal elektronische uitwisselingssystemen waarop deze wet van toepassing is. Voor dat soort toepassingen en dat soort uitwisselingssystemen moeten de patiënten toestemming geven. Om te voorkomen dat de patiënt bij iedereen afzonderlijk langs moet gaan, zou hij dat zelf moeten kunnen doen, bijvoorbeeld op de manier die wordt gebruikt bij ikgeeftoestemming.nl. Dat is het idee.

De heer Smals: Ik begon met een voorbeeld. Er komt een patiënt in de apotheek die in een andere apotheek wat heeft gehaald en die bij mij al een keer heeft aangegeven het goed te vinden dat zijn medicatiegegevens worden uitgewisseld. Die patiënt gaat er dan vanuit dat zijn medicatiegegevens al worden uitgewisseld. De medicatiegegevens die bij een andere apotheek liggen, worden namelijk niet uitgewisseld. Naar mijn idee zou je centraal moeten kunnen aangeven dat al je medicatiegegevens uitgewisseld mogen worden, met uitzondering van bijvoorbeeld de gegevens van die of die apotheek. Dat moet dus in de plaats komen van de huidige situatie, waarbij je het voor elke apotheek apart moet aangeven.

De voorzitter: Zijn er nog andere vragen?

Mevrouw Bredenoord (D66): Hoe zit het dan met de beveiliging van een dergelijke centrale toegang? Wellicht kan deze vraag ook worden meegenomen naar de volgende ronde, deel 2.

De heer Bruijn (VVD): Dat hoort inderdaad bij deel 2.

Mevrouw Nooren (PvdA): Ik zie een soort tweespalt. De mensen in de zorg willen liever uitstel van het wetsvoorstel, totdat ze zeker weten dat de gespecifieerde toestemming uitvoerbaar is. Eigenlijk zeggen die zorgverleners: voor mijn werk zou gespecificeerde toestemming heel ingewikkeld worden. De consumentenorganisaties zeggen daarentegen: het wetsvoorstel heeft voor ons pas meerwaarde op het moment dat gespecificeerde toestemming mogelijk is. Ik zou van de consumentenorganisaties daarom hun opvatting willen horen over een wetsvoorstel dat geen gespecificeerde toestemming kent maar dat daarop wel perspectief biedt. Dat is eigenlijk de kern van het wetsvoorstel, aangezien dat de basisassumptie is. Nu invoeren versus het wetsvoorstel niet invoeren is eigenlijk de kwestie die aan de orde is. Het is me nog niet helemaal duidelijk hoe de Consumentenbond en de Patiëntenfederatie NPCF hier tegenover staan.

Mevrouw Van Leeuwen: Het belangrijkste antwoord daarop is dat wij ons niet senang voelen bij dit wetsvoorstel. Wij hebben het idee dat voortborduren op het geven van toestemming op het moment van ter beschikking stellen, niet past bij onze ideale wereld. Ik vind het in die zin ook moeilijk om te zeggen «wij zijn voorstander van het invoeren van een dergelijk systeem», want wij zouden graag een heel ander systeem zien, met een rompwet en verdere verbreding. Ik denk dat de meerwaarde van aanvullingen, het meer specifiek maken en het uitbreiden van de regie, zit in de invoering van extra elementen. Ik zeg dat met als kanttekening dat we binnen de wettelijke waarborgen moeten blijven waarover we nu spreken.

De voorzitter: Als dat helder is, zijn we bijna aan het einde gekomen van deze ronde. Ik zie dat ook de heer Heldoorn en de heer Bruijn de vraag willen beantwoorden.

De heer Heldoorn: De invoering van de rompwet heeft wat mij betreft meerwaarde omdat het duidelijkheid biedt. Dat geldt ook voor de artikelen die nu worden uitgesteld, want je weet daardoor wel waar je de komende jaren naartoe gaat. Verder is duidelijk gemaakt dat dit het is. Op dit moment wordt er naar mijn idee vooral veel gewacht in het veld. Mensen denken: de wet hangt nog en daarom moeten we nog maar even afwachten. Hoe langer de wet wordt uitgesteld, hoe langer er wordt gewacht. Door het zo te doen geef je dus wel op de een of andere manier duidelijkheid.

Het is nodig dat de gespecificeerde toestemming wordt uitgesteld, want het is lastig, ook al brengt het in the end wel meer zeggenschap. Het wordt voor bepaalde categorieën patiënten ook lastiger. Een deel van mijn achterban zal zeggen: zoals we het nu in de wet hebben geregeld, is goed genoeg. Dat sluit aan bij wat de heer Tomesen al zei. Een ander deel zal zeggen: het mag wel een tandje strakker. Dat is het spanningsveld.

Het recht op inzage en afschrift is een beweging die wij van harte steunen. Wij betreuren het daarom dat het voorlopig wordt uitgesteld. Daarbij komt dat de ontwikkelingen zeker doorgaan, of je het nu wel of niet in werking laat treden of dat je het drie jaar uitstelt. Misschien zou je daarom moeten zeggen: stel het niet uit, maar handhaaf niet meteen heel strak, om het zo maar te zeggen.

De voorzitter: Er liggen nog twee vragen.

De heer Bruijn (VVD): Laat ik nog iets zeggen over een vraag waarop een kort antwoord mogelijk is. Ten tijde van de behandeling van het epd is er ook gesproken over het alternatief dat een patiënt zelf een geheugenstick meeneemt om daar alles op te zetten. Is dat een realistisch alternatief of moeten we daar maar geen aandacht aan besteden?

De heer Smals: Volgens mij is dat niet realistisch. Je verleent namelijk heel veel zorg als de patiënt niet aanwezig is. Ik doe medication reviews met de huisarts. Een heel groot deel van het werk dat je daarvoor moet doen, doe je samen met de huisarts, zonder dat de patiënt erbij is. Vervolgens haal je de patiënt er weer bij, enzovoort. Je doet het met zijn drieën, maar als altijd die stick aanwezig zou moeten zijn, gaan we echt een heel eind terug in de tijd.

Mevrouw Bredenoord (D66): Nog een vraag aan mevrouw Van Leeuwen.

U zei: in een ideale wereld zouden we een heel ander systeem voorstellen. Is dat een systeem met specifieke toestemming, waarbij de patient niet eenmalig maar elke keer toestemming moet geven?

Mevrouw Van Leeuwen: Vooral het moment zou idealiter anders moeten zijn. Het goede moment is niet het moment waarop je vraagt of je het ter beschikking mag stellen, want dat vermindert de regie op het inzien. Het goede moment is het moment waarop iemand de gegevens wil inzien en dat is moeilijk in te passen in het voorstel. Hoe het er precies uit zou moeten zien, vind ik moeilijk te verwoorden. We kijken nu naar wat er onder de huidige regels en bij het voorstel mogelijk is om de privacy zo goed mogelijk te waarborgen. Het is heel belangrijk om daarnaar te kijken. In een ideale wereld zou ik het mooier vinden om niet de vraag te moeten stellen of ik het ter beschikking mag stellen. In plaats daarvan zou het mogelijk moeten zijn om te zien wanneer iemand het wil inzien. Dan weet ik namelijk dat het over mijn fysiotherapeut gaat, die het belangrijk vindt om de informatie in te zien die mijn orthopeed twee maanden geleden heeft opgenomen.

Mevrouw Bredenoord (D66): Reageer dan eens op het verhaal van je buurman die zegt: ik ben oncoloog en ik moet overleggen met een deskundige in het lab. Ik vraag dat, omdat ik een beeld wil hebben van hoe dat gaat. Moet die oncoloog dan gaan bellen?

De voorzitter: Ik geef het woord aan de heer Voest. Ik weet dat het een vraag was, maar het was wel een vraag over de praktijk en ik moet nu eenmaal op de tijd letten. Ik beluister wat protest. Als mevrouw Van Leeuwen heel kort kan reageren op de vraag hoe het er in de praktijk uit moet gaan zien, geef ik haar nogmaals het woord.

Mevrouw Van Leeuwen: Ik vind het moeilijk om hierop te reageren. Ik heb namelijk nog geen uitgewerkt beeld van hoe het wel zou moeten. We zitten nu vast aan de bestaande regels, maar ik denk dat er mogelijkheden zijn om het op het moment van inzien in te zien. Als het daarbij gaat om overleg tussen artsen, is er nog steeds toestemming van de consument nodig.

De heer Bruijn (VVD): Iedere keer?

De voorzitter: Oké. U zegt eigenlijk: ik weet het nog niet, maar ik ben bereid om daarover een keer ... Mocht u wat bedenken, aarzel dan niet om het ons toe te zenden. Met het oog op de tijd moet ik u echt onderbreken. We zitten krap in de tijd en ik moet nu tot slot de heer Voest het woord geven.

De heer Voest: Ik heb geleerd om niet altijd primair te reageren, maar ik wil toch even op de vraag van de heer Tomesen ingaan. Laat het heel duidelijk zijn dat de zorg privacy ontzettend belangrijk vindt. De reden waarom ik het «het stiefkind» noemde, is dat het risico heel groot is dat je wetgeving invoert die niet handhaafbaar is, enorm veel tijd wegneemt van de zorgverleners en innovatie en kwaliteit van zorg in de weg staat, als je kiest voor het geven van gespecificeerde toestemming. Ik vraag dit forum om daarover heel goed na te denken. Dat staat los van de vraag of zorginstellingen al dan niet heel zorgvuldig met privacy omgaan, want het heeft ook met de uitvoerbaarheid te maken.

De voorzitter: Helder.

Ik sluit dit deel af. We hebben nu een kleine break van vijf minuten.

De vergadering wordt enkele minuten geschorst.

Thema 2: Veiligheid en techniek

De voorzitter: Ik stel voor dat we op dezelfde manier doorgaan. Ik geef u vijf minuten en na afloop daarvan hoort u dat inmiddels vertrouwde «tingeltje».

Ik geef als eerste het woord aan de heer Verheul uit Nijmegen.

De heer Verheul: Goedemiddag. Dank dat ik de kans krijg om over dit wetsvoorstel te spreken. Er is al gesproken over de gespecificeerde toestemming. Ik wil van mijn vijf minuten gebruikmaken door twee punten te bespreken, die wat mij betreft onderbelicht zijn in het wetsvoorstel. Dat hangt ook samen met de vraag die aan het einde van het vorige blok werd gesteld over de beveiliging van centrale uitwisselingssystemen. Dat is namelijk wat er in de wet wordt voorgesteld. Er zou een centraal uitwisselingssysteem tussen zorgaanbieders moeten komen, waarbij de patient wellicht de mogelijkheid krijgt om wel of geen toestemming te geven. Ik zal twee punten behandelen en enkele aanbevelingen doen. Ik heb ze ook op het A4-tje gezet dat naar de commissie is gestuurd.

Ik begin met de zogenoemde verwijsindex. Die kennen we ook van de voorloper van dit soort systemen, het landelijk schakelpunt van VZVZ. Dat is eigenlijk heel grote tabel in een centraal systeem. Je kunt het zien als een grote matrix, waarbij op de rijen de bsn-nummers van de gebruikers staan. De wet voorziet erin dat er toestemming wordt gegeven voor het gebruik van het bsn. In de kolommen staan de zorgaanbieders. Je kunt je voorstellen dat waar beide elkaar kruisen, staat: deze man of vrouw is patiënt bij deze zorgaanbieder. Zo'n verwijsindex wordt eigenlijk impliciet genoemd in het wetsvoorstel. Dat is een heel gevoelige tabel, die onwenselijk en technisch gezien niet noodzakelijk is. Dat is het belangrijkste punt dat ik wil maken.

In eerdere besprekingen van landelijke schakelpunten is al naar voren gekomen waarom het onwenselijk is. Als zo'n tabel in verkeerde handen valt, is plots duidelijk wie waar patiënt is. Het kan ook om een hiv-kliniek of een ggz-instelling gaan. Daarom wil je een centraal systeem met zo'n verwijsindex vermijden. Het is een heel grote tabel die heel lastig te beveiligen is.

Het is technisch gezien niet noodzakelijk en dat biedt een perspectief dat in het verleden niet echt is besproken of bekeken. Ik ben hoogleraar informatiebeveiliging aan de Radboud Universiteit en daarnaast ben ik betrokken bij het nationale eID, het nationale identiteitsstelsel. In 2014 hebben we allerlei cryptografische technieken ontwikkeld om de privacy binnen zo'n eID-stelsel te beschermen. De technieken die in 2014 zijn ontwikkeld, zou je relatief gemakkelijk kunnen toepassen in verwijsindexen die volledig gepseudonimiseerd zijn. De functionaliteit van de systemen van VZVZ en de gespecificeerde toestemming kun je daarin regelen, maar je houdt wel een systeem over dat veel cleaner is, omdat er geen persoonsgegevens maar pseudoniemen in worden verwerkt.

In het A4-tje dat ik aan de commissie heb gegeven, heb ik een referentie opgenomen naar de uitspraken van het CBP over de eisen die daarvoor gelden. Als je aan die eisen voldoet, is zo'n verwijsindex niet meer gevoelig; de angel is dan uit dat centrale systeem gehaald. Ik beveel daarom aan om dat aspect een prominente plaats te geven in het wetsvoorstel. Daarmee geef je explicit aan dat zo'n verwijsindex gepseudonimiseerd moet worden of dat er gebruik moet worden gemaakt van privacy enhancing technologies, om ervoor te zorgen dat deze banale tabel in ieder geval niet centraal wordt toegepast. Als deze manier om het te regelen niet gebruikelijk is, zou je het in ieder geval in de algemene maatregel van bestuur kunnen regelen. In de vorige sessie werd de NEN-norm genoemd en ook ik denk dat het in vergelijking met de huidige systemen een pluspunt is om het zo te doen.

Mijn tweede opmerking heeft ook te maken met de landelijke schakelpunten die in de praktijk worden gebruikt door VZVZ. Het gaat mij om de techniek waarmee gegevens door de ene aan de andere zorgaanbieder worden verstrekt. Hoe gaat dat nu? Die gegevens worden versleuteld verstuurd naar het landelijk schakelpunt, zeg maar de hub, de centrale spil. Ze worden daar ontsleuteld en vervolgens opnieuw versleuteld naar de opvragende zorgaanbieder verstuurd. Dat is een manier van werken die tien jaar geleden, toen dit soort systemen werd ontwikkeld, misschien nog wel logisch was, maar op dit moment is het niet meer gebruikelijk dat gegevens eventjes in the clear, onversleuteld, in zo'n centraal systeem staan.

Met het eID kun je met een bankmiddel, bijvoorbeeld een bankpas van de ING, aanloggen bij de Belastingdienst. Uiteindelijk krijgt dan de Belastingdienst het bsn van de gebruiker, maar dat bsn staat op geen enkel moment eventjes in plain text op de systemen van de ING.

Die oude manier van werken, waarbij die versleuteling even ongedaan wordt gemaakt op een centrale plek, is niet meer van deze tijd. Ik denk dan ook dat daar aandacht aan moet worden besteed in de algemene maatregel van bestuur of de NEN-norm, waarover we zojuist spraken. Zo zal expliciet moeten worden geëist dat de gegevens niet beschikbaar komen voor het centrale systeem zelf, als dat systeem een actieve rol speelt bij de uitwisseling van de gegevens.

Mijn laatste punt is de NEN-norm. Ik weet niet precies wat voor NEN-norm het is, maar ik zag wel dat in de memorie van toelichting de NEN 7510 werd genoemd. Dat is dus geen technische norm, maar een norm voor informatiemanagementsystemen. Die norm voegt in deze context niet zo heel veel toe aan de beveiliging. Als we het al willen hebben over NEN-normen, dan zouden we het over nieuwe NEN-normen moeten hebben waarin in ieder geval de twee punten die ik net heb aangedragen, een prominente plaats krijgen.

De voorzitter: Knap hoe iedereen in heel korte tijd toch heel veel weet te zeggen. Ik geef het woord aan de heer Van 't Noordende; hij heeft in de vorige sessie ook al iets gezegd.

De heer Van 't Noordende: Ik kan dan ook ten dele verwijzen naar wat ik de vorige keer heb gezegd. Ik heb het niet helemaal uitgeschreven, want omdat er zoveel verschillende aspecten spelen, zal ik waarschijnlijk ook terug moeten komen op wat er eerder is gezegd. De normering kan overigens waarschijnlijk beter in de discussie hierna worden behandeld.

Ik ben al een tijdje betrokken bij deze discussie, namelijk sinds in 2010 het eerste wetsvoorstel voor het epd werd behandeld. Het is heel interessant om te zien hoe de ideeën over het geven van toestemming door de tijd heen zijn veranderd. Indertijd ging het vooral over de WGBO en de Wbp. In de motie-Tan (31 466-Y) is expliciet aangeven dat de nieuwe wetgeving, de wetgeving die nu voorligt, moet voldoen aan de kaders van de WGBO en de Wbp. De Minister heeft ook gezegd dat te willen doen, maar dat is eigenlijk niet het geval. Eigenlijk verandert door deze wetgeving de hele betekenis van de WGBO en de Wbp. Het was de bedoeling dat door de WGBO en de Wbp de zeggenschap zo zou worden geregeld dat de arts samen met de patiënt zou bespreken met wie er gegevens worden uitgewisseld, maar nu wordt het veel meer bij de patiënt neergelegd. Straks zal de patiënt zelfs via een portaal een soort afvinklijstje moeten intypen. Dat roept heel veel vragen op en naar mijn gevoel gebeurt het overhaast.

Als je een centraal portaal hebt waar de patiënt zelf vinkjes moet gaan zetten, geheid datdie patiënt dan denkt dat de gynaecoloog nooit nodig zal zijn, maar dat dat het jaar erop wel het geval blijkt te zijn. Zij moet dan eerst inloggen op haar portaal om ervoor te zorgen dat de huisarts gegevens kan uitwisselen met de gynaecoloog. Dat is natuurlijk echt een probleem.

Het is ook de vraag hoe het met de aansprakelijkheid en de verantwoordelijkheid zit. Indien als gevolg van een beslissing gegevens niet opvraagbaar zijn, is de patiënt dan verantwoordelijk en aansprakelijk voor die beslissing? Ik denk dat het heel goed is dat we in de WGBO en de Wbp uitgaan van het professionele dossier en het professionele handelen van de arts. Voor de zeggenschap van de patiënt is dan ook een andere wet nodig.

Vorig jaar is onder anderen door Theo Hooghiemstra gezegd dat er nog een aantal dingen ontbreken, bijvoorbeeld het patiëntgeheim. Een inzagerecht voor patiënten is prachtig, maar daar hebben we deze wet niet voor nodig. Dat recht is er namelijk al, zoals daarstraks duidelijk is gezegd. Er zijn al projecten gaande. Wat er nodig is, zijn kaders om de patiënt te beschermen tegen werkgevers en zorgverzekeraars die de patiënt op de schouder tikken en zeggen: mag ik die gegevens ook even zien. Dat soort dingen ontbreekt volledig in deze wet.

Van een wetsvoorstel dat ooit bedoeld was voor communicatie tussen zorgverleners onderling gaan we naar een wetsvoorstel dat helemaal uitgaat van de patiënt. Ik denk dat de manier waarop dat gebeurt, ondoordacht is.

Tot slot ga ik in op de op zichzelf terechte opmerking van Bart Smals dat de patiënt uitgaat van communicatie tussen partijen. Het is interessant dat juist in het kader van de WGBO scenario's worden beschreven waarin zorgverleners zelfs zonder toestemming gegevens mogen uitwisselen. In die wet ging het helemaal niet over push of pull, wat in deze wet wel het geval is, maar over situaties met een waarnemer, een direct betrokkene of een recept dat naar de apotheek wordt gestuurd. Als je systemen goed inregelt op de WGBO en de Wbp, kun je zorgvolgend communiceren zonder dat je de patiënt daar per se mee lastig hoeft te vallen of dat je te maken krijgt met blokkades als vinkjes zetten in een centraal portaal.

Dat waren een paar opmerkingen. Er speelt zoveel rond deze wet dat ik niet alles kan behandelen. Hopelijk kan ik in het «vragenuurtje» nog wat meer zeggen dan wat ik nu in deze observaties zei.

De heer Bosman: Voorzitter en leden van de commissie, dank voor de mogelijkheid om mijn standpunt naar voren te brengen. Een jaar geleden heb ik dat ook gedaan. Ik zal de punten die ik toen naar voren heb gebracht, nu niet herhalen. Ik neem aan dat die bekend zijn. De problemen die wij toen hadden met de wet, waren vooral ingegeven door onze zorgen over de positie van de patiënt. Naar onze stellige overtuiging kwam die in het wetsvoorstel eigenlijk heel weinig aan bod. De patiënt wordt wel een positie gegeven, maar er worden geen middelen gecreëerd waarmee hij die positie kan waarmaken.

Het afgelopen jaar hebben wij met een aantal partijen gesproken; de Minister refereert er ook aan in haar brief. Het is onze indruk dat er voldoende support is om wat de wet beoogt, werkelijkheid te laten worden. De partijen willen dat en er wordt ook aan gewerkt. De ruimte die de Minister voorstelt in haar brief, is nodig om tot een juiste en concrete implementatie te komen van datgene wat nodig is. Dat is iets wat wij onderschrijven. Wij denken ook dat het nuttig is. Het tijdpad blijft desalniettemin ambitieus.

Terugkomend op de vraag of de wet op zichzelf belangrijk is: vorig jaar hebben we aangegeven dat we eigenlijk vinden dat dat niet zo is. Daarover is ons standpunt ook niet wezenlijk veranderd. Het creëren van druk op het veld om activiteiten te ontplooien is echter wel nuttig en noodzakelijk. Je ziet het afgelopen jaar dan ook dat er, mede onder druk van de wet, activiteiten zijn gekomen. In die zin is het nuttig om de rompwet, ook al worden een aantal dingen uitgesteld, aan te nemen.

Overleggen met de partijen hebben het afgelopen jaar geleid tot een aanpak om te komen tot daadwerkelijke implementatie. Die bestaat eigenlijk uit twee delen, zoals Sjaak Nouwt in het eerste deel al zei. Een deel richt zich op de eerste lijn en dan met name op de interactie tussen zorgverlener en patiënt. Daarbij gaat het er vooral om welke vraag je moet stellen. Hoe kan de informatievoorziening tussen die twee partijen op een zo goede manier worden vormgegeven dat ook duidelijk is waar toestemming voor gegeven wordt en waarom?

Het andere deel is ook al eerder aan bod gekomen, namelijk dat er in de wet zo weinig staat over het faciliteren van de patiënt in zijn rol. Als de patiënt toestemming wil geven, moet aan de ene kant duidelijk zijn waarvoor toestemming wordt gegeven en aan de andere kant welke mogelijkheden hij heeft om het op een zinnige en effectieve manier bij te houden. Het werkt niet als een patiënt bij tien of twaalf verschillende zorgverleners moet aangeven wat hij wel of niet wil en als die patiënt ook nog eens moet bijhouden wat hij op die verschillende momenten heeft aangegeven.

Bij de techniek liggen ook de nodige uitdagingen als je het op een goede manier wilt doen. De authenticatie is genoemd, maar ook zoiets als een zorgaanbiedersadresboek is nodig om te kunnen verifiëren wie de zorgaanbieders zijn. Er wordt gesproken over categorisering van zorgverleners, maar er is geen gestandaardiseerde lijst van categorieën van zorgverleners. Net zo min bestaat er een duidelijke categorisering van medische gegevens waartegen ja of nee gezegd zou moeten worden. Dat zijn wel zaken die moeten worden geregeld om het mogelijk te maken.

Het tweede spoor is bedoeld om te komen tot een centrale beheerfaciliteit. Daarbij zou heel goed een verbinding kunnen worden gelegd met het project van de NPCF onder de naam Meer regie voor gezondheid. In de oude terminologie wordt dat ook wel het pgd genoemd.

Er moeten nog verschillende zaken worden bekeken; de NEN-norm is al genoemd. Ik denk dat de NEN-norm hier heel goed bij zou passen. In het verleden is de NEN-norm 7521 voorbijgekomen. Er is aangegeven dat we daarmee eigenlijk te veel stappen vooruit zouden zetten. Wat uit het onderzoek in de komende periode zou moeten komen, is dan ook zeker noodzakelijke input om te komen tot een dergelijke NEN-norm. Men kan dan met een zinnige NEN-norm komen voor de eisen waaraan systemen moeten voldoen. De huidige NEN-normen geven wel informatie over authenticatie, autorisatie en logging, maar eigenlijk niet over de gespecialiseerde toestemming die wij nu bespreken.

Het tijdpad is ambitieus. Wij denken dat de tijd die ons wordt gegund, een basis is om te komen tot zinnige besluitvorming. Wij zijn ervan overtuigd dat het kan en dat het veld ook wil dat het op een werkbare manier wordt geïmplementeerd. Patient empowerment is wat ons betreft niet een technisch implementatietraject, maar het gaat om het creëren van een omgeving waarin de cliënt, de burger, de patiënt geïnformeerde keuzes kan maken over zijn zorgproces. Dat betekent ook dat men ervoor moet kunnen kiezen om het over te laten aan de zorgverlener, want niet elke patiënt is in staat om het zelf te doen. De patiënt is de enige echte ervaringsdeskundige, zowel in ziekte als in behandeling. De empowered patient is ook de patiënt die het respect krijgt dat hij verdient voor die deskundigheid.

De heer Van Miltenburg: Dank voor de gelegenheid om een bijdrage te leveren aan dit belangrijke wetsvoorstel.

Om te beginnen wil ik er aandacht voor vragen dat we het niet alleen hebben over het voorbereiden van de technische ontwikkelingen en de uitvoering van de wet, maar dat er op zijn minst een gelijkwaardige rol moet zijn voor onderhoud, beheer en toezicht. Toezicht is in het vorige gedeelte al even aan de orde gekomen; ik zal daar zo nog even op terugkomen.

Het is heel belangrijk dat er een goede organisatie komt te staan om de patiënt en de zorgverleners in staat te stellen om met de juiste tools een stukje ketenbeheer te doen. We hebben hierbij met ontzettend veel partijen te maken, die door het wetsvoorstel allemaal op een verschillende manier geraakt worden, soms in positieve en soms in negatieve zin. Het is heel belangrijk dat de privacy en het beroepsgeheim geborgd zijn – dat was een van de vragen die mij door de commissie is voorgelegd – tijdens de periode van drie jaar waarin we uitproberen of ervoor zorgen dat we naar de horizon toe kunnen werken. Mede door het arrest dat het gerechtshof op 8 maart heeft uitgevaardigd, zijn wij van mening dat dat voldoende is geborgd. Als wij de voorliggende wet ongewijzigd zouden aannemen, verwachten wij op dat punt geen problemen.

Vanochtend heb ik het nog even nagekeken: op dit moment zijn er zo'n 16,5 miljoen toestemmingen van burgers, patiënten verwerkt. En dat is nog maar het begin. Mocht deze wet erdoor komen, dan zullen we zien dat dit aantal nog heel sterk zal toenemen. Voor de patiënt en de zorgverlener is het heel belangrijk – het is in de vorige ronde al gememoreerd – dat er behoorlijk wordt gesleuteld aan de systemen als de artikelen 15a en 15c daadwerkelijk doorgang vinden. We zullen echt voorzieningen moeten treffen om de administratieve last van zorgverleners en de zelfregie van patiënten werkelijkheid te laten worden. Een goed functionerend systeem is daarvoor noodzakelijk.

De afgelopen jaren hebben we bij het landelijke schakelpunt gezien wat er allemaal bij komt kijken om een centraal systeem in te richten. We hebben ook gezien dat het algemene veiligheidsniveau in Nederland door de ICT-systemen omhoog is gegaan. Vorige sprekers hebben daarover ook al iets gezegd. Er blijft natuurlijk altijd iets te wensen over, maar we hebben kunnen vaststellen dat we voldoen aan de keuzes die we hebben gemaakt in de wet- en regelgeving, de normeringen en de standaarden.

Een ander belangrijk aspect, aan de patiëntenkant, betreft de vraag hoe je het moet inrichten om de patiënt een stuk zelfregie te geven. Je hebt immers een totaalpalet aan verschillende typen burgers en patiënten met allemaal verschillende wensen. Daarvoor kun je eigenlijk maar twee grote mechanismes gebruiken: je kunt een centrale voorziening regelen of het decentraal doen. Als je voor decentrale methodieken kiest, zowel technisch als organisatorisch, kun je de organisatie, het toezicht en de veiligheidsaspecten heel moeilijk in de hand houden. Wij pleiten daarom in ieder geval voor centrale portalen, waarin patiënten het zelf kunnen regelen. Dat staat los van de vraag waar je het regelt en hoe je ze inricht.

Daarnaast is het ook belangrijk dat er een adequaat authenticatiemiddel komt. Daarmee kom ik op de termijn van drie jaar. We hebben nog geen centrale portalen in dit land. We hebben nog geen afdoende authenticatiemiddel. Als we vandaag een beslissing zouden nemen, hebben we op z'n minst die drie jaar nodig om het met al die partijen technisch voor elkaar te krijgen. Om een beeld te schetsen: er zijn ongeveer vijftien commerciële leveranciers van softwaresystemen in dit land. Al die software moet aan elkaar worden geknoopt en dat vergt nu eenmaal de nodige aanpassingen. Daarom zijn wij er een voorstander van dat normering en standaardisering een onderdeel worden van de rompwet. Dat is nodig om stappen te kunnen zetten.

Een ander belangrijk aspect is de timing, de tijd die het veld krijgt om dit te doen. Het zijn echt niet alleen de ICT-leveranciers die een inspanning moeten leveren, want ook de zorgverleners zullen dat moeten doen. Zij zullen hun bedrijfs- en praktijklogistiek hierop moeten aanpassen. Wij hebben waargenomen dat de wijze waarop de toestemmingen zijn geregeld, zowel voor de zorgverleners als de patiënten, behoorlijk belastend is. Wij wijzen de commissie er dan ook op dat er gekeken moet worden naar de eenvoud en de hanteerbaarheid voor zowel patiënt als zorgverlener. Dat zal als speerpunt meegenomen moeten worden. Wat betekent dat in de praktijk? In de praktijk betekent dat dat de patient naar een pagina op het portaal moet kunnen gaan om daar zijn toestemming te regelen, conform hetgeen we in de wet hebben bepaald. Verder moet de patiënt niet alleen op het moment dat hij dat doet, maar ook maanden of jaren later, terug kunnen zien waarvoor hij of zij toestemming heeft gegeven. Ik zeg dat omdat we vandaag de dag het probleem zien dat patiënten de angst ontwikkelen dat ze te weinig toestemmingen hebben gegeven aan de partijen die ze belangrijk vinden.

Tot slot pleit ik ervoor om niet alleen te kijken naar de uitvoerbaarheid van de wet, maar ook naar een manier om het begrip van de burgers en de consumenten voor het toestemmingsvraagstuk te verhogen. De kennis van burgers en consumenten is op dit moment niet toereikend. We hebben de praktijkvoorbeelden al gehoord. Patiënten komen op het moment dat ze zorg nodig hebben voor onverwachte situaties te staan, bijvoorbeeld als er geen toestemming is verleend of de toestemming ontbreekt voor die dokters en zorgverleners die nog niet in het toestemmingscircuit zitten. Ik zou er een lans voor willen breken dat tegelijk met de invoering van een dergelijke wet het aspect van de kennis en de informatievoorziening richting patiënten aandacht krijgt. Dat is heel belangrijk om begrip en draagvlak voor je keuzes te krijgen.

De voorzitter: Dan geef ik nu graag het woord aan de heer Van Engelen van de Radboud Universiteit. Hij is directeur van het REshape Innovation Center en misschien houdt hij zich wel met al die technische vernieuwingen bezig.

De heer Van Engelen: Dat is een van de dingen waarmee we ons bezig mogen houden.

Ik ben inderdaad werkzaam bij het Radboud UMC, het universitair medisch centrum. Daar hebben we negen jaar geleden een innovatiecentrum mogen neerzetten om een beetje te kunnen snappen waar het in de toekomst naartoe gaat. Die kennis vertalen we vervolgens naar handzame producten en projecten om onszelf als huis en de mensen buiten mee te nemen in waar het over gaat.

In reactie op de uitnodiging heb ik een stukje geschreven met als titel Omdat het 2016 is. Ik zou niet inhoudelijk willen ingaan op de technische vraagstukken die al de revue zijn gepasseerd, omdat ik anderen veel meer deskundig acht op die terreinen. Ik wil vooral nog een keer een antwoord geven op de vraag waarom we dit ook alweer zijn gaan doen. Dat was ook mijn reactie toen ik de uitnodiging onder ogen kreeg en de onderliggende stukken nog een keer heb geprobeerd door te wandelen. Ik merkte dat de aangehaalde punten zich eigenlijk niet anders laten positioneren dan als ten behoeve van de professional. Daar is niks mis mee, zeker niet omdat we zelf een academisch centrum zijn, maar ik vind wel dat het belang van de patiënt, voor wie het volgens mij ooit begonnen is, toch steeds meer op een andere plek op de tafel terechtgekomen is.

We beschikken inmiddels over onze eigen energieverbruiksdata thuis. We hebben onze bancaire data digitaal tot onze beschikking en zelfs de belastingaangifte, ook geen kleine klus, is volledig online. De blauwe envelop hebben we vaarwel gezegd en toch hebben we het hier nog steeds over dit soort onderwerpen.

Ik vind dat data langzamerhand echt een soort munteenheid zijn geworden waar je macht aan kunt ontlenen, waar je geld mee kunt verdienen en waarmee je jezelf relevant kunt maken en laten blijven. Daarmee kun je hele processen gijzelen. Ik ben dan ook van mening dat het steeds meer in het belang van de professionals, instellingen en bedrijven is dat er iets wordt gedaan aan het feit dat de gezondheidszorg de enige sector is in onze maatschappij waar ik nog steeds geen digitale toegang heb tot mijn eigen gegevens. Dat zijn wel mijn meest intieme gegevens, zeg ik erbij. Uiteraard is er wel het recht op de niet-digitale inzage. Ik zou de senatoren willen uitdagen om het zelf een keer te proberen, zeker als je zes behandelaren hebt. Vraag je gegevens eens een keer op, niet alleen om te zien hoe het is om naar een balie te gaan en daar iedere keer afzonderlijk, soms zelfs op afdelingsniveau, apart te moeten betalen, maar vooral ook om de blikken waar te nemen van de mensen daar, die ook nog een keer aan je vragen waarom je die gegevens nou eigenlijk nodig hebt. Ik denk met het oog hierop dat digitale toegang wel degelijk enorm drempelverlagend kan werken en in dat kader wil ik dan ook mijn reactie geven op artikel 15d.

De discussie over artikel 15d is niet van gisteren. Niemand kan zeggen dat hij het niet aan zag komen en toch is er nog steeds onvoldoende op voorgesorteerd door instellingen en professionals. De invoering lijkt nu drie jaar uitgesteld te worden. Eerlijk gezegd denk ik dat vooral de prikkel ontbreekt of ontbroken heeft om er daadwerkelijk iets mee te doen. Het is voor de ander. Het is voor de patiënt. Het is niet voor jezelf. Het wordt lastiger. Het kost je ook nog een keer geld. Ik ben ervan overtuigd dat we deze discussie hier vandaag niet zouden voeren als de financiering en de betaling van interventies hiervan afhankelijk zouden zijn geweest.

Dan kom ik op de elektronische inzage en de koppeling aan een specifieke toestemming. De onveiligheid duurt maar voort, terwijl we het juist zijn gaan doen om vermijdbare fouten te voorkomen. Als Radboud hebben we in 2012 al alle dossiers opengesteld en recent, eind vorig jaar, voegden onze collega's in Utrecht daar nog de realtime component aan toe. Ik vind het zeer prijzenswaardig dat dat is gelukt. Ziekenhuizen zijn niet de kleinste organisaties. We worden vaak betitteld als mammoettankers en logge organen, maar we hebben wel zelf een innovatiecentrum ingericht om ervoor te zorgen dat het wat sneller gaat. En dat kan! Laten we niet meer zeggen dat het niet kan. Klaarblijkelijk lukt het. Mijn wens is dan ook om het juist nu te regelen voor hen die hierbij het meeste belang hebben, de patiënten, en dan vooral in de eerste plaats en niet, zoals het er nu in staat, in de laatste plaats. Maak van de invoeringstermijn van drie jaar een einddatum waarvoor het geregeld moet zijn. Leg vast dat we volgend jaar eindtermen hebben in de vorm van een nieuwe NEN-normering, dat we het jaar daarna de testen laten plaatsvinden en dat we het jaar daarna weer de nationale implementatie hebben afgerond. Doen we dat niet, dan zitten we hier over drie jaar met hetzelfde clubje en dezelfde boodschap weer.

Ik heb ooit Jan Schrijer horen zeggen dat hij vroeger idealen had maar inmiddels weet dat alles om geld draait. Ik denk dat dat hier ook de situatie is. Koppel daarom ook de betaling van de behandeling – uiteindelijk alleen voor die behandelingen waar de patiënt daadwerkelijk inzage heeft kunnen krijgen – aan het verhaal en gijzel die 5% totdat de organisatie het heeft geregeld. Ik voorspel u dat het dan volgend jaar is opgelost.

Ik verbaas me echt al jaren over het feit dat we vandaag de dag de bestaande en beschikbare hoogwaardige identificatie en authenticatie nog steeds niet inzetten. Ik ben het dus niet eens met mijn buurman. We beschikken allemaal over een bankpas, een random reader of een scanner. Volgens de laatste cijfers voldoet 90% van de Nederlanders daaraan, of ze nu wel of niet hooggeschoold zijn of daarbij hulp hebben. Kennelijk gebeurt dat op deze manier. Ik denk dat dit systeem overmorgen inzetbaar is en dat de banken dat ook zouden willen.

Ik ben dan ook vol onbegrip dat de onveiligheid, de onduidelijkheid en de ongelijkheid voor de patiënt anno 2016 blijven bestaan, terwijl de komende Nobelprijs waarschijnlijk zal worden toegekend aan twee wetenschappers die in staat zijn om een DNA-stukje weg te knippen en op een andere plek te plaatsen, om een defect op te lossen. En dan praten we hier over dit soort situaties. Er worden missies naar Mars voorbereid. Ik vind dat dit onderwerp door het gelobby en door de politiek zodanig complex is gemaakt dat het oorspronkelijke doel vrijwel volledig is gemarginaliseerd. We zouden ons echt moeten schamen.

Ik kom vaak in de omringende landen en ik krijg daaruit vaak bezoek. Dan merk ik dat ik mij aan het verontschuldigen ben. De ons omringende landen hebben dit al tien jaar geregeld, zonder een kik te geven. Dat is niet alleen in Estland, waarover vaak wordt gesproken, maar ook in Zweden, Finland en Andalucia. Al tien jaar geleden mocht ik daar zijn en zag ik hoe met een pasje de dokter en de patiënt keurig netjes gezamenlijk toegang kregen. Israël, de Arabische Emiraten en ook Singapore hebben dit gewoon gefikst en wij zijn echt niet anders.

Ik rond af. Dit alles gebeurt omdat we het zogenaamd goed voorhebben met een patiënt, die in alle verhandelingen het minst voorkomt. Soms heb ik de indruk dat het debat vooral gevoerd wordt door gezonde mensen. Als ik spreek met mensen met een chronische aandoening, blijkt dat zij vaak anders in de wedstrijd zitten. Zij zeggen: zet het maar op een groot billboard naast mij, op het moment dat het nodig is. Laten we nu niet stoppen, maar vooral beginnen; het wetsvoorstel aannemen, gefaseerd stappen zetten, met duidelijke deadlines, en bij wijze van spreken de betaling daarvan afhankelijk stellen.

Waarom nu en niet over drie jaar, zult u zich afvragen. Op gevaar af dat het enigszins populistisch klinkt, parafraseer ik de premier van Canada, die op de vraag waarom hij een gender equal kabinet had geïnstalleerd, zei: omdat het 2015 is.

De heer Böhre: Voorzitter. Allereerst dank voor de uitnodiging. Ik verwijs naar onze schriftelijke input. Ik zal niet alles herhalen, maar ik herhaal wel de kern van de boodschap en wat extra dingen. Specifieketoestemming.nl is een onafhankelijke campagne, die enkele jaren geleden is gelanceerd door Stichting Privacy First, samen met het Platform Bescherming Burgerrechten. Ik ben zelf werkzaam bij Privacy First, dus ik zit hier voornamelijk met die pet op. De kernmissie van Privacy First is om Nederland tot een privacygidsland te maken. Dat hoeft niet van de ene op de andere dag. Als iedere relevante organisatie in Nederland daarnaartoe werkt, en zeker de Eerste Kamer, denk ik dat we snel een heel eind kunnen komen en dan is dit een heel mooi dossier.

Wat mijzelf al jaren intrigeert bij dit wetsvoorstel is dat ik het voornamelijk zie als iets wat het landelijk schakelpunt (LSP) legitimeert en faciliteert. Zo zag ik het althans een aantal jaren geleden, toen het elektronisch patiëntendossier (epd) werd verworpen door de Eerste Kamer. De infrastructuur van het epd werd door private partijen doorgestart in de vorm van het landelijk schakelpunt. Zo zagen wij het destijds en zo zien wij het nog steeds grotendeels, met alle manco's die destijds in de infrastructuur zaten en nog steeds zitten.

De kern van de campagne specifieketoestemming.nl is om de toestemming die hierbij een kernbegrip is, zo specifiek mogelijk te laten zijn en blijven. Dan hebben we het over een gerichte, welbepaalde toestemming over specifieke patiëntgegevens ten behoeve van specifieke zorgverleners en specifieke doeleinden. Doelbinding, noodzakelijkheid, proportionaliteit en subsidiariteit zijn de kernbegrippen die daarbij leidend dienen te zijn. Nogmaals, wij zagen het wetsvoorstel vooral als een wetsvoorstel dat het LSP legitimeerde en faciliteerde. In onze optiek is de infrastructuur te grootschalig en inherent onveilig, met generieke, ongerichte en onbepaalde toestemming.

Om even in te gaan op de stukken die voorliggen bij dit wetsvoorstel, ik ben zelf jurist, maar het is mij nog steeds niet duidelijk hoe wij artikel 15a moeten interpreteren. Gespecificeerde toestemming is eigenlijk een nieuw begrip, dat door de Minister is geïntroduceerd. De generieke toestemming die eerst in het wetsvoorstel zat, is eruit gehaald, en terecht. Wij verschillen erover van mening met het CBP, nu de Autoriteit Persoonsgegevens, dat die generieke toestemming zelf al legitiem zou zijn onder de Wet bescherming persoonsgegevens in verband met het recht op privacy, als mensenrecht. Wij zien dat anders. Wij vinden generieke toestemming per definitie onrechtmatig. Dat is trouwens ook de inzet van een rechtszaak tussen VPHuisartsen tegen VZVZ over het LSP. Onlangs heeft het hof Arnhem arrest gewezen. Het zou ons niet verbazen als hiertegen binnenkort cassatie zal worden ingesteld bij de Hoge Raad. Er is dus nog het een en ander gaande op dit onderwerp.

Je kunt ook van mening verschillen over de interpretatie van gespecificeerde toestemming. De interpretatie hiervan is volgens ons nog steeds generiek, maar je zou het begrip ook gespecificeerd generiek kunnen noemen, want het geeft carte blanche voor toekomstige uitwisseling. Wij vinden het standpunt van de Minister hierover onbegrijpelijk. Zij reageerde onlangs op een brief van ons, die gericht was aan de Eerste Kamer, met een afschrift aan de Tweede Kamer. De Tweede Kamer vroeg de Minister om een reactie op onze brief. Met alle respect, haar brief komt op mij over als gegoochel met termen, waardoor het alleen maar onduidelijker wordt. We hadden blijkbaar een gevoelig punt geraakt.

De Minister schrijft in die brief dat er momenteel geen sprake is van generieke toestemming en dat daar ook geen sprake van zal zijn. Ik pak het arrest van het hof Arnhem erbij. Door het hof wordt letterlijk gezegd dat er nu een toestemming is voor niemand of iedereen, oftewel een generieke toestemming. Het standpunt van de Minister is dus op de dag waarop zij haar brief verstuurde, onderuitgehaald door het hof te Arnhem.

Even in een nutshell. Het wetsvoorstel 33 509 over het LSP komt wat ons betreft neer op function creep by design in plaats van privacy by design. Function creep is sluipende doelverschuiving. Dat zie je de laatste jaren op heel veel terreinen optreden. Ook bij dit dossier is dat heel duidelijk aan de orde.

Overigens pleit Privacy First altijd voor privacy by design, maar ook voor security by design. Er zitten hier een paar mensen, rechts van mij, die veel expertise op dit gebied hebben. Het patiëntenportaal komt nu ook opeens naar voren. Wat ons betreft is dat prima, maar dan wel als een optie of recht. Je moet het niet opleggen; het zou geen plicht moeten worden. Vandaag kwam het rapport van de Nationale ombudsman uit, waarin hij het standpunt inneemt dat communicatie tussen de overheid en de burger nooit verplicht digitaal mag zijn. Om een kleine zijstap te maken, onder de huidige Algemene wet bestuursrecht (Awb) heeft iedere burger het recht om ook op niet-digitale wijze met de overheid te communiceren, dus in persoon, telefonisch of op papier. Daar kun je een parallel mee trekken, denk ik.

Wat ons betreft zijn het patiëntenportaal, de eigen regie voor de burger en de informationele zelfbeschikking prima. Daar zijn we helemaal voor. Dat bepleiten wij ook al jaren. Maar leg het niet op. Maak het geen plicht. Er zijn heel veel mensen in deze maatschappij die zich daar waarschijnlijk nauwelijks raad mee weten en die liever de dingen persoonlijk, ter plekke met hun huisarts regelen. De arts is ook verantwoordelijk voor het zorgdossier. Je mag dat niet allemaal bij de arts wegtrekken en bij de patiënt neerleggen. Wij vinden dat een onverantwoorde verschuiving van de verantwoordelijkheid en ook van de aansprakelijkheid in sommige gevallen. De regie over de inhoud en de toegang tot het zorgdossier dient altijd bij arts en patiënt gezamenlijk te blijven, conform het huidige medisch beroepsgeheim en de medische privacy.

De voorzitter: Dank u wel. Dan komen we nu toe aan de vragen van de collega's.

Mevrouw Nooren (PvdA): In de voorbereiding hebben wij de volgende vraag gesteld. Er zijn mensen die zeggen: begin nou, want het gaat de goede richting op, en er zijn mensen die een voorbehoud maken. Hierbij is sprake van een dilemma. Gaat de ontwikkeling de goede kant op, ook al wordt er nog verder nagedacht over generieke of gespecificeerde toestemming? Of zeggen jullie: als je nu dit wetsvoorstel aanneemt, staat het andere mogelijkheden in de weg? De Consumentenbond zei dat ook, hoewel ik dat nog niet helemaal kon pakken. De heer Van Engelen zei dat we tien jaar geleden misschien voorop liepen, maar dat we nu tien jaar achter lopen. Is het wetsvoorstel een stap in de goede richting?

De heer Verheul: Ik denk dat het wetsvoorstel een stap in de goede richting is, ook omdat er extra eisen kunnen worden gesteld in een algemene maatregel van bestuur. Hier aan tafel merk ik dat het als de heilige graal wordt gezien dat mensen zelf in patiëntendata kunnen kijken. Dat zou heel fijn zijn, maar we moeten ons heel goed realiseren dat de computers van veel burgers niet veilig zijn. 10% van de pc's van gebruikers is besmet met malware. Je kunt je voorstellen dat, als een gebruiker inlogt op zijn eigen patiëntendossier bij de zorgaanbieder, er door mensen allerlei gegevens worden ontvreemd zodat deze tegen kunnen worden gehouden. Ik denk dat we heel voorzichtig moeten zijn met het snel aan mensen toegang geven tot hun dossier. Dat is misschien wel mooi voor de privacy of het inzagerecht, maar voor de betrouwbaarheid moeten we daar heel voorzichtig mee zijn.

De heer Van Engelen: Dit is het andere Nijmeegse geluid. Ik word een beetje onrustig van zo'n opmerking. Ik denk dat mensen prima in staat zijn om daarin zelf keuzes te maken. Ik heb daarnet ook het telebankieren genoemd. Daarbij doen ze dat ook. We moeten de systemen zo maken dat dit wordt voorkomen. We hebben niet een compleet paternalistische instelling nodig om de patiënt/burger daartegen te beschermen, denk ik.

De heer Verheul: Het fraudecijfer bij de Nederlandse banken was in 2010 30 miljoen en ligt nu rond 5 miljoen. Dat komt niet doordat de gebruikers veiliger werken, maar doordat de banken het verkeer van al die besmette pc's als een idioot zijn gaan monitoren. Nu kun je door een besmette pc geen geld meer kwijtraken, maar je kunt nog wel je patiëntgegevens kwijtraken. We moeten voorkomen dat de burgers allerlei patiëntdossiers gaan bekijken op pc's die niet betrouwbaar zijn. Ik denk dat dit een heel belangrijk punt is. Een op de tien pc's is besmet met malware. Daar moeten we serieus rekening mee houden.

De heer Van Engelen: Dan moet je of het systeem gebruiken van de banken die het kennelijk snappen, of die computers terug gaan halen. Het is een van de twee.

De voorzitter: Ik denk dat het meningsverschil helder is.

Mevrouw Gerkens (SP): We moeten niet vergeten dat de banken allemaal campagnes voeren om mensen te overtuigen om niet hun wachtwoord via de telefoon te geven of hun bankpasje op te sturen. Laten we niet zeggen dat het paternalistisch is, maar het is een feit dat mensen onvoorzichtig zijn. Het systeem dat de banken hebben, is ook onveilig, maar dat is het meest veilige systeem dat we kennen, dus een veilig patiëntensysteem bestaat gewoon niet. Dat bestaat in ieder geval nu nog niet, maar misschien komt dat er ooit.

Door een aantal sprekers is gezegd dat er standaardisering moet komen van de normen. Ik vind dat wel een belangrijk pleidooi. Dat is belangrijk als er behoorlijk wat systemen aan elkaar worden gekoppeld; als we dat al gaan doen. Er zit nog veel meer in deze wet dan alleen de NEN-normering. Zou je dat ook op een andere manier kunnen regelen? Dat is een vraag aan de twee technische heren.

De voorzitter: Mag ik zo vrij zijn om daar een vraag aan toe te voegen die in het verlengde daarvan ligt, als woordvoerder van de CDA-fractie? Ik heb net kennisgenomen van het besluit van de Europese Commissie betreffende de vaststelling van profielen op het gebied van Integrating the Healthcare Enterprise (IHE), als referentie bij overheidsopdrachten. Dit gaat ook over de gezondheidszorg. Zijn die IHE-normen bekend? Daarin is sprake van allerlei standaarden. Als je daaraan voldoet, wordt alles communiceerbaar en compatible. Het gaat hierbij ook om de normen voor de beveiliging van apparatuur. Ik had ook begrepen dat de NEN-norm veel meer gaat over het proces, bijvoorbeeld dat je geen geel stickertje met het wachtwoord op je computer moet plakken, en niet over de beveiliging van de apparatuur. Deze norm ziet juist op de veiligheid van de apparatuur, de processen, de software en de communicatie via die software. Stelt dat wat voor of niet?

De heer Verheul: Ik ken deze specifieke norm niet, maar in het algemeen denk ik dat de Europese normen niet zo specifiek zijn dat je daar heel vrolijk van wordt. Het zijn uiteindelijk juridische teksten.

De voorzitter: Het zou open source en voor iedereen toegankelijk zijn.

De heer Verheul: Open source is ook geen garantie voor veiligheid. We moeten ons ook realiseren dat we in Nederland eigen ideeën hebben over privacy. Privacy is een nationaal principe. In Scandinavische landen hebben ze heel andere ideeën over privacy dan in Nederland. Als je in België een eID-kaart krijgt van de overheid, zit daar een certificaat met je bsn in. Als je met dat certificaat inlogt bij Bol.com, wordt dat bsn verstrekt aan Bol.com, met de verzekering dat Bol.com er niets mee doet. Je ziet dat men sommige landen in Europa toch wat anders over privacy denkt dan wij in Nederland.

De heer Van 't Noordende: Ik wil op een paar dingen reageren. Er is de hele tijd spraakverwarring over de NEN-normen. In 2008 zijn de NEN-normen al bij ministeriële regeling verplicht gesteld. Ik weet niet wanneer dat gestopt is. Het regelen of verplichten van de NEN-normen hoeft niet bij wet, maar kan per AMvB. Ik snap niet zo goed waarom hierover de hele tijd een discussie wordt gevoerd. Deze wet is niet nodig voor de NEN-normen. Sterker nog, die worden in de praktijk al toegepast door het CBP. Ik zie niet in waarom wij deze wet moeten ophangen aan die AMvB over de NEN-normen.

Ik zal proberen de discussie over veiligheid en de banken in perspectief te plaatsen. Die discussie komt heel sterk voort uit de legacy van het landelijk schakelpunt. Het idee daarbij was dat er op grote schaal gegevens worden opengezet. Nu is er gespecificeerde toegang gekomen. Eigenlijk is dat een beperkende maatregel om het wat kleiner te maken. Volgens mij is een portaal daarvoor niet het meest geschikte middel. Een andere manier is een pasje, zoals dat jaren geleden al is voorgesteld door senator Tan. Dat werd toen afgeserveerd door de Minister, maar nu wordt het opgevoerd alsof we dat over drie jaar zullen hebben, om te kunnen inloggen op een portaal. Als je kunt inloggen op een portaal, met een pasje met een smartcard en een certificaat erop, kun je ook met zo'n pasje artsen autoriseren in het proces, doordat een specifieke arts een pasje in de lezer kan stoppen. Dat is hartstikke kostbaar. Zorgverleners hebben er ongetwijfeld geen zin in om lezers op hun bureau te hebben, maar het kan dus wel. Ik probeer dit even in perspectief te plaatsen.

Dan nog het punt van de beveiliging of de onveilige computers. Dat is een van de dingen waar ik bij Whitebox mee bezig ben. Het systeem dat we in Amsterdam aan het ontwikkelen zijn, is om te proberen alleen maar autorisaties of toegang te verlenen aan die partijen die deze ook echt nodig hebben voor het zorgproces. Dan heb je een paar artsen om je heen die toegang krijgen. Daarmee is het aanvalsvlak heel klein. Dat zijn heel concrete maatregelen om de beveiliging te verbeteren. Daar heb je geen normen voor nodig, daar heb je gewoon een actieve houding voor nodig. Eerlijk gezegd geloof ik niet dat dit wetsvoorstel wat dat betreft de goede kant op gaat, want daarin wordt er juist heel erg op aangestuurd om het via dat portaal bij de patiënt neer te leggen. Het blijft een beetje onduidelijk, maar dat is mijn reactie hierop.

De heer Bosman: Mijn buurman zegt terecht dat de NEN-normen 7510, 7511, 7512, 7513 an sich al toepasbaar zijn gesteld en worden gebruikt. Let wel op de daadwerkelijke implementatie in de praktijk. Ik ben zelf met eerstelijnspartijen de afgelopen tweeënhalf jaar bezig geweest om die NEN-normen toepasbaar te maken. De NEN-normen zijn geen alledaagse lectuur voor iedereen. Het is verstandig om er een verhaal bij te hebben hoe je dat moet doen. Is de NEN op zich noodzakelijk? Nee, het zou ook heel goed een gedragscode voor de zorg kunnen zijn. Dat geldt voor deze zaken net zo.

Om nog even terug te komen op het IHE-verhaal. IHE biedt kaders waarbinnen standaarden ontwikkeld kunnen worden. Wil je tot concrete uitwisseling komen, dan zul je die standaarden toch veel specifiek moeten uitwerken. Dat past wel binnen dat kader. Ik denk dat dit heel goed toepasbaar is. Wij maken er ook veel gebruik van, maar het is niet het ultieme antwoord, in de zin dat als je de term IHE laat vallen, het probleem is opgelost. Helaas is dat niet het geval.

De heer Van Hattem (PVV): Ik heb nog een vraag over de rechtszaak die bij het hof in Arnhem heeft gespeeld. In een artikel in De Telegraaf van 8 maart staat dat het LSP wel zou voldoen aan de privacywetgeving. Klopt deze constatering of zitten er nog een hoop haken en ogen aan?

De heer Böhre: Daar zitten veel haken en ogen aan, maar het zal u niet verbazen dat ik dat zeg. Het voornaamste punt waar wij over vielen in het arrest van het hof is dat het hof wel heel makkelijk heen wandelt over het vereiste van subsidiariteit en het vereiste dat het systeem zo privacyvriendelijk mogelijk dient te zijn. Onder artikel 13 Wbp is dat een relatief harde eis in deze context, omdat het hier gaat om gevoelige persoonsgegevens, medische gegevens. Je kunt de geschiedenis erbij betrekken; de verwerping van het wetsvoorstel over het epd. Vervolgens wordt de hele boel privaat doorgestart met min of meer hetzelfde systeem en de epd-infrastructuur. In onze optiek is er niet grondig genoeg gekeken naar alternatieven, hoe het anders of beter had kunnen worden opgetuigd. Het hof Arnhem wandelt daar relatief makkelijk overheen.

Ik kan er nog iets aan toevoegen. Ik volg dit soort zaken al jaren. Ik heb een stuk of dertig rechtszaken bijgewoond, de laatste zes jaar. Wat mij in het algemeen opvalt, met alle respect voor de Nederlandse rechterlijke macht, is dat het weleens ontbreekt aan kennis van privacyrecht en mensenrechten, technische kennis en visie en rechterlijke moed bij rechters, ook in vergelijking met sommige andere landen en op Europees niveau. Dan zijn wij toch aangewezen op de hoogste rechters, de Raad van State, de Hoge Raad en het Europese Hof in Luxemburg en Straatsburg om gevoelige knopen door te hakken. Het gaat vaak om grote, politiek gevoelige zaken en nationale infrastructuur. Rechters vinden dat een beetje eng, is mijn indruk, na zes jaar in privacyland rondgewandeld te hebben. Je ziet dat vaker; ook in militaire zaken en andere mensenrechtenzaken. Onze hoop is nu vooral gevestigd op de Hoge Raad en misschien zal het Europees Hof zich nog over deze kwestie uitlaten; wie weet.

De heer Van Miltenburg: Misschien verwacht u dat ik het niet eens ben met de vorige spreker. Van een discussie over de rechterlijke macht wil ik wegblijven. Ik zal heel concreet ingaan op deze vraag. Daar hebben inmiddels zes rechters naar gekeken. Zij hebben getoetst of het landelijk schakelpunt voldoet aan de wet- en regelgeving over normering en standaardisering die we in dit land met elkaar hebben afgesproken. Zes rechters zijn tot dusver tot de conclusie gekomen dat dit geen enkel probleem is en dat we hier een veilige methodiek hebben, waarbij de privacy van de patiënt en het beroepsgeheim van de zorgverlener – vlak dat ook niet uit, want dat is ook belangrijk – niet in het geding zijn. Als partijen deze uitspraak nog steeds niet bevredigend vinden, kunnen ze nog in cassatie gaan en misschien naar het Europees Hof, dat gaan we zien. Dit is wat er feitelijk is gebeurd bij die toets, om antwoord te geven op die vraag.

De heer Bruijn (VVD): Ik had nog twee vragen aan de heer Van Engelen, maar misschien willen de anderen er ook op reageren. De heer Van 't Noordende sprak over de NEN-normen die al gelden. Dat is in tegenstelling met wat wij van andere sprekers hoorden over het toepasbaar maken van NEN-normen, welke dat ook zijn, want dat is een ingewikkeld oerwoud. Dat is een van de dingen die invoering van de rompwet nu noodzakelijk maken, dus dat is voor ons een belangrijk onderwerp. Ik ben benieuwd of de heer Van Engelen, of een van de andere sprekers, kan ingaan op die tegenstelling.

Ik heb ook nog een vraag over een andere opmerking van uw buurman, namelijk of patiënten zich, als je deze wet invoert, kunnen onttrekken aan het systeem. Kunnen zij dan in het Radboudziekenhuis zeggen dat zij er niet aan meedoen; dat zij het aan de dokter overlaten; dat zij een uitdraai willen, dat zij niet zelf elektronisch actief willen zijn, dat zij dat ook niet durven, omdat zij het risico niet willen lopen dat zij een van die computers hebben die niet veilig zijn? Kan de patiënt zelf de afweging maken of hij dat risico neemt, of niet? Of wordt de patiënt die mogelijkheid ontnomen na de invoering van deze wet, zoals uw andere buurman zei?

De heer Van Engelen: Om vooral op de laatste vraag te reageren, patiënten hebben daarin hun eigen vrije wil. Zij kunnen zich aanmelden om bij ons elektronisch toegang te krijgen. Daarvoor moeten zij zich uiteraard bij ons identificeren. Vanaf dat moment hebben zij die mogelijkheid en die kunnen zij op ieder moment thuis ook weer uitzetten. Dan moeten zij zich wel opnieuw aanmelden, maar in de tussenliggende tijd zit het hele verhaal op slot. Ik denk dat andere mensen meer verstand hebben van de specifieke toepassing en wat nodig is voor de NEN-normering dan ik. Het gaat er vooral om dat de patiënt hierin zelf een keuze heeft. Het Radboud kiest voor digital first, physical next. Wij denken dat het van deze tijd is om mensen vooral een digitaal pad aan te bieden. Ook hier is het weer voor de mensen die het kunnen en die het willen. De keuze ligt uiteindelijk bij de patiënt zelf, ook bij de mensen die het niet willen. Voor hen hebben we dan misschien ook meer tijd, omdat we sommige routinezaken niet meer in persoon hoeven te doen.

De heer Bruijn (VVD): Voorziet u dat bij doorontwikkeling van het systeem die keuze bij de patiënt zal blijven? Als iemand niet in het LSP wil of thuis geen informatie wil inzien, gezien het risico, ook al zou slechts 1 op de 1.000 computers onveilig zijn, zal de mogelijkheid blijven bestaan dat de patiënt het zelf afweegt in plaats van dat het wordt opgelegd door het bijvoorbeeld niet in te voeren?

De heer Van Engelen: Ik kan alleen maar spreken over de strategie van het Radboudumc. Dat zal onze lijn zijn. Als dat wordt geblokkeerd door de wetgeving, hebben we een ander probleem, maar misschien ook een andere discussie en een andere commissie.

De heer Van 't Noordende: Ik reageer even op het «onttrekken aan». Er is een opvallende passage in de brief die de Minister heeft geschreven naar aanleiding van de brief van Privacy First, die de heer Böhre ook noemde. Zij zegt dat als de gespecificeerde toestemming er eenmaal is, een simpele, gerichte vraag om toestemming niet langer met ja of nee beantwoord mag worden. Dat zou impliceren dat, als een patiënt bij zijn arts zit en als die vraagt of hij de gegevens mag ontsluiten voor een gynaecoloog – dat is niet hetzelfde als push, maar Whitebox-achtig ontsluiten, bijvoorbeeld voor een gynaecoloog in het OLVG – en als die patiënt ja of nee zou willen zeggen, dat misschien al niet meer kan. Ik denk dat het heel zinvol is om de Minister hierover goed te bevragen. Zij lijkt daarbij een wat rigidere opstelling te hebben.

De heer Verheul: Ik denk dat alle bestaande NEN-normen niet geschikt zijn om als basis te fungeren voor beveiliging van het systeem. Er moet echt iets anders komen.

De voorzitter: Dat is heldere taal, denk ik.

Mevrouw Bredenoord (D66): De heer Verheul begon te vertellen dat er inmiddels allerlei nieuwe cryptografische technieken in ontwikkeling zijn, die maken dat je veel veiliger gegevens zou kunnen uitwisselen. Hij zei dat de manier waarop dat nu bij het LSP gebeurt, wellicht achterhaald is. Zal het aannemen van het wetsvoorstel in deze vorm een aanjagende functie hebben om die nieuwe vormen te ontwikkelen? Het kan ook dat er gebruik wordt gemaakt van de dingen die al gebeuren of die er al zijn. Kunt u daarop reageren?

De heer Verheul: Dat hangt een beetje af van het verantwoordelijkheidsbesef van de mensen die gaan over de implementatie van de wet en die de algemene maatregel van bestuur schrijven. In bredere zin zie ik een kans, als de uitwisselingssystemen zouden aanhaken bij de ontwikkelingen op het gebied van de elektronische identiteit en als dat één geheel wordt. Dat geldt niet alleen voor de zorg, maar dat geldt ook voor het onderwijs. Daarover zou je een vergelijkbare discussie kunnen houden. Als er op een goede manier dingen worden gecombineerd, komen we in een veilige situatie terecht, maar wat ook kan is dat dit niet overgenomen wordt en dat patiëntgegevens in the clear bij een uitwisselingssysteem komen, waarvan je mag hopen dat het niet gehackt is. Het kan ook dat er een verwijsmatrix is met allerlei gevoelige gegevens. Dat zou ik ten koste van alles willen vermijden.

De heer Van Miltenburg: Wij volgen hierin een heel praktische route. Het is een balans tussen patiëntveiligheid en privacy. Je hebt te maken met visies van beveiligingsexperts. Over het LSP hadden wij altijd het standpunt dat wij de normering en de regelgeving volgen die we kennen. Dat betekent dat er een uitnodiging ligt voor iedere partij die op een praktische manier de balans kan vinden voor een verbetering. Daarmee kunnen we ook de normering aanscherpen. Als je dat doet, moet je daar een draagvlak of brede consensus voor hebben, of dat nou op wettelijke basis is, via NEN-normering of wat dan ook. Dan heeft het veld zich daaraan te conformeren. Dat is meer een politiek vraagstuk. Er moet een keuze worden gemaakt tussen de diverse visies. VZVZ zal zich altijd inspannen om aan die nieuwe regelgeving of normering te voldoen. Ik nodig het veld daarbij ten zeerste uit. Ik wil ook een lans breken voor ICT Nederland. Ik heb al gezegd dat er minimaal 15 concurrerende partijen zijn die aan die normering moeten voldoen. Er zijn partijen bij die daar nog ver vanaf zijn, als je die normering gaat aanpassen. Dat betekent dat je ook een soort grace period zou moeten hebben, waarin je partijen de gelegenheid geeft om die aanpassingen te doen. Volgens mij zijn dat de basisaspecten. Ik ben het hartgrondig met mijn buurman eens. Kijk vooral vanuit het belang van de patiënt. De verhouding tussen privacy en patiëntveiligheid is niet zwart-wit. Soms moet je het ene afwegen tegen het andere. Dan moet je een keuze maken op grond van praktische overwegingen, waarbij je ook aan de wet- en regelgeving voldoet. Als wij vinden dat we die norm omhoog moeten trekken, kunnen we dat doen.

De heer Verheul: In de nieuwe Europese privacyverordening die eraan komt, staat expliciet: dataminimalisatie. Als je met minder toe kunt, moet je dat doen. In het VZVZ-systeem staat een verwijsindex waarvan ik beweer dat je het met minder kunt doen. Dan ben je dus eigenlijk wettelijk verplicht om dat te doen. Het is geen keuze of je dat gaat doen als iemand dat zegt, maar het is eigenlijk al een wettelijke verplichting om dat te gaan doen.

De heer Ganzevoort (GroenLinks): Ik heb een vraag over de technische aspecten op het gebied van veiligheid en privacy, die ik in de vorige ronde ook heb gesteld. Deze vraag gaat over het deel dat nu voorligt om al in te voeren, in verhouding tot de delen die uitgesteld worden. Sommige sprekers hebben zich hier al over uitgelaten, maar de heren Verheul en Van 't Noordende nog niet zo specifiek. Als we het wetsvoorstel zouden aannemen en een deel ervan in werking treedt, is er dan een meerwaarde ten opzichte van de huidige situatie, door dat ene deel dat in werking treedt? Of ontbreken dan belangrijke elementen op het gebied van veiligheid en privacy? Zou het misschien als totaal in balans zijn, terwijl die rompwet zonder die elementen toch tekortschiet? Zou u kunnen zeggen hoe u dat ziet?

De heer Verheul: Als we deze kans gebruiken om goede normen neer te leggen in een algemene maatregel van bestuur om daar extra aandacht aan te besteden, denk ik dat dit meerwaarde heeft, zoals ik al zei. Eerlijk gezegd zou ik het ook een slecht idee vinden om te verplichten dat inzage door een patiënt mogelijk is. Het risico is dan dat zorgaanbieders veel te snel ertoe overgaan om die gegevens beschikbaar te stellen.

De heer Ganzevoort (GroenLinks): Bedoelt u nu dat die inzage wel of nog niet geregeld moet worden?

De heer Verheul: Dat die nog niet geregeld wordt, is op zich geen slecht idee. Dan hebben we meer tijd om dat op een verantwoorde manier te doen. Aan het begin van deze sessie hadden we het over de banken en dat je kunt aanloggen met een bankmiddel. Daar werd over gesproken. Dat was een goed idee, maar daar zit ook een privacykant aan. Hoe acceptabel vind jij het dat een bank waar je naartoe gaat om een hypotheek aan te vragen, kan zien dat je de ene keer aanlogt bij het UMC in Utrecht en dan misschien bij het Radboud in Nijmegen of bij een ggz-instelling? Dat geeft allerlei informatie die een bank eigenlijk niet zou moeten hebben. Met dat soort issues zijn wij nu hard bezig bij het eID. Je kunt de bestaande middelen van de banken niet zomaar inzetten in deze context, omdat daar ook allerlei privacy-issues aan vastzitten.

De heer Ganzevoort (GroenLinks): Dit soort vragen raken aan de minimalisering van data, zoals terecht genoemd. Sommige elementen die buiten de rompwet staan, zijn bedoeld om te matigen of om wat meer zorgvuldigheid in te bouwen. Als je die nu niet regelt bij het invoeren van deze rompwet, bijvoorbeeld hoeveel gegevens over welke patiënt door wie worden geraadpleegd, en dergelijke, zal die rompwet dan niet een veiligheidsrisico in zich hebben?

De heer Verheul: Volgens mij is het uitgangspunt dat patiënten die niet bij hun eigen zorgaanbieder kunnen navragen of op een andere manier het gevoel hebben dat zij voldoende in control zijn, kunnen zeggen dat er geen uitwisseling mag plaatsvinden. Dan is het gewoon klaar. Ik denk dat iedereen die er weinig vertrouwen in heeft, het kan stoppen.

De heer Van 't Noordende: De vraag gaat over de rompwet aannemen en een aantal artikelen niet. Het is op zichzelf interessant dat de Minister zelf een precedent geeft. Er is dan ook een andere optie, namelijk om de artikelleden 15a, b en c niet in werking te stellen. De Minister stelt artikellid 15b al niet in werking. Ik denk dat er aan deze wet niets verloren gaat, sterker nog, ik denk dat de wet generieker blijft, als de artikelleden15a, b en c verdwijnen. Dan vallen we voor de toestemming terug op de WGBO en dan kunnen we gaan nadenken over de vraag hoe we patiëntenrechten echt gaan borgen in een wet die op de patiënt gericht is, in plaats van op de zorgverlening. Als je die drie artikelleden 15a, b en c eruit haalt houd je over: het recht op inzage. Dat is geen verplichting, maar dat recht op inzage is prima. Daar zijn al ontwikkelingen gaande. Dan houd je eventueel die NEN-normering over, hoewel dat ook op een andere manier kan, en boetebepalingen. Dat is allemaal prima, maar die drie artikelleden zijn omstreden. We lopen hartstikke op de tijd vooruit. Er wordt ingezet op een patiëntenportaal waarvan Google een aantal jaren geleden al heeft gezegd: we stoppen ermee, want we snappen niet hoe we het moeten gaan doen. Dat is geen kleine club. En wij denken dat wel even in een paar jaar te gaan fiksen. Schrap die drie onderdelen, dan wordt het wettelijke stelsel niet verslechterd. We houden de WGBO (Wet op de Geneeskundige Behandelovereenkomst) en de Wbp. Dan kunnen we gaan nadenken en experimenteren met betere manieren om patiëntenrechten te waarborgen, bijvoorbeeld door een patiëntenportaal te bouwen zonder dat het een verplichting impliceert.

Mevrouw Nooren (PvdA): De eindvraag is of het wijs is om die rompwet nu in te voeren of niet.

De heer Van 't Noordende: Alleen als je de artikelleden15a, b en c schrapt, wat mij betreft.

Mevrouw Nooren (PvdA): Niet de variant die de Minister nu voorstelt.

De heer Van 't Noordende: Niet de variant met uitstel, want dat heeft een aanjagende functie in de richting van iets waarvan ik denk dat het een heel slecht idee is, namelijk een patiëntenportaal om de toestemming te regelen en dat wordt dan ook nog zo'n beetje verplicht.

Mevrouw Bredenoord (D66): Eigenlijk zegt u daarmee: maak de rompwet echt tot een rompwet, met alleen bepalingen voor de professional, en denk na over aanpassing van de WGBO.

De heer Van 't Noordende: Ik zou de WGBO niet aanpassen, want die gaat juist uit van situaties in de zorg die heel vaak voorkomen. Dat is een heel mooie, technologie-onafhankelijke wet. Ik zou zeggen: regel een aantal dingen voor patiënten die wel zelf hun eigen regie willen voeren. Hoe bescherm je die dan effectief? Dat is een andere vraag. Die wordt nu helemaal niet opgelost.

De voorzitter: We zijn bijna aan het eind van deze sessie, maar we zijn nog niet bij de eindtijd. Heeft een van de collega's nog een dringende vraag?

De heer Ganzevoort (GroenLinks): We worstelen ermee dat je heel erg moet afwegen tussen het ene en het andere belang. Met het oog op de veiligheid zou je de artikelleden 15a, b en c er niet in moeten zetten, volgens u, ook niet als uitstelbepaling. Dat betekent dat je daarmee afziet van het digitale inzagerecht op portaalniveau.

De heer Van 't Noordende: Nee, dat inzagerecht blijft erin staan. Dat is niet 15a, b en c.

De heer Van Engelen: Dat is d.

De heer Ganzevoort (GroenLinks): Over welk punt zegt u dan dat er geen zicht op is dat we dat technisch voor elkaar gaan krijgen?

De heer Van 't Noordende: Gespecificeerde toestemming is een nieuw concept dat we nog niet snappen. We schieten door als we dat nu willen gaan verplichten. Dat is mijn punt.

Mevrouw Nooren (PvdA): Verschillende mensen hebben iets gezegd over artikellid 15d, over de informatieverstrekking. Ik hoorde her en der ook de vraag of die drie jaar wel nodig is. Dat is eigenlijk nog niet zo aan de orde geweest. Als de artikelleden a, b en c wegvallen, blijft artikellid d over. Is de veronderstelling dat alles drie jaar wordt uitgesteld? Na een jaar weten we of a, b en c kunnen. Er zijn ook mensen die vragen waarom we daar zo lang mee wachten.

De voorzitter: In het eerste deel zeiden mensen: we weten helemaal niet of het over drie jaar kan. En hier wordt gevraagd: waarom wacht u zo lang?

Mevrouw Nooren (PvdA): Het is wel interessant om dat te horen.

De heer Van Engelen: Wij hebben gezegd dat je met artikellid15d morgen al kunt beginnen. Dat kan al. Dat zou ik absoluut niet willen uitstellen. Een punt dat nog niet aan de orde is geweest, is dat van de globalisering van de gezondheidszorg. Er werd al gesproken over Google. Er zijn allerlei grote bedrijven op wereldschaal met dit soort elementen bezig, zoals ons eigen Philips, Google en Apple, dat het grootste elektronisch patiëntendossier ter wereld aan het vormen is. Daarmee zullen wij te maken krijgen. Volgens mij zou het recht op elektronische inzage voor de patiënt zelf als een paal boven water moeten staan. Daar kun je morgen mee beginnen. Dat moet je zeker niet uitstellen tot over drie jaar, want dan hebben we weer andere redenen om dat niet te doen.

De voorzitter: Ik geef de gelegenheid voor een hartenkreet van een van de sprekers, ook degenen op de tweede rij.

De heer Böhre: Ik heb nog een kleine opmerking. Eerder vanmiddag werd door iemand opgemerkt dat het recht op privacy op gespannen voet zou staan met het recht op goede zorg. Daar schrok ik een beetje van. Beide zijn mensenrechten en beide dienen optimaal te worden gewaarborgd. De kunst is om ze zo goed mogelijk met elkaar in balans te brengen. Dat is een lastige opgave, maar het moet gebeuren. Het ene mensenrecht gaat nooit boven het andere. Het is de uitdaging voor de Kamer om alle belangen die bij dit dossier spelen, zoals privacy en veiligheid, mooi in balans te brengen, zodat Nederland daarmee een stap vooruit zet.

De voorzitter: Buitengewoon hartelijk dank dat de aanwezigen hier hebben willen komen en dat zij erin zijn geslaagd om in vijf minuten te zeggen wat zij wilden zeggen. In de discussie is er nog wat verhelderd. Wij gaan er zeker ons voordeel mee doen. Ik denk dat we blij mogen zijn dat we deze sessie gehad hebben. Wij gaan ons volgende week bezinnen op de vraag hoeveel tijd we nog nemen om vragen te stellen aan de Minister. Er is afgesproken dat we nog een vragenronde willen. Mocht er toch nog iets zijn wat men kwijt wil, aarzel dan niet om daarover contact op te nemen. Daar staan wij van harte voor open. Ik mag u allen een kleinigheidje aanbieden van de Eerste Kamer. Wij hebben onlangs gevierd dat de Staten-Generaal 200 jaar bestaat, zoals u wellicht weet. Alle medewerkers van de Eerste Kamer hebben meegewerkt aan het maken van een boek met feitelijkheden en ervaringen uit die geschiedenis van 200 jaar. Dat is erg leuk gedaan en dat mag ik u aanbieden.

Sluiting 18.29 uur.


X Noot
1

Samenstelling:

Ten Hoeve (OSF), Koffeman (PvdD), Kuiper (CU), De Vries-Leggedoor (CDA), Flierman (CDA), Barth (PvdA), Beuving (PvdA), Ganzevoort (GL), De Grave (VVD), Martens (CDA) (voorzitter), Schouwenaar (VVD), Bruijn (VVD) (vice-voorzitter), Gerkens (SP), Kops (PVV), Atsma (CDA), Bredenoord (D66), Dercksen (PVV), Van Dijk (SGP), Don (SP), Van Hattem (PVV), Krikke (VVD), Nooren (PvdA), Oomen-Ruijten (CDA), Prast (D66), Van Rooijen (50PLUS), Schnabel (D66), Wezel (SP)

Naar boven