33 509 Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens)

N NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 21 juni 2016

Algemeen

Met belangstelling heb ik kennis genomen van het verslag van de vaste commissie voor Volksgezondheid, Welzijn en Sport betreffende het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens d.d. 24 mei 2016.

Bij de beantwoording van de vragen houd ik zoveel mogelijk de volgorde van het verslag aan, maar ik heb daarnaast waar mogelijk en logisch een clustering aangebracht rond bepaalde thema’s. Dit geldt met name voor de vragen met betrekking tot de gefaseerde invoering van het wetsvoorstel.

Belang van dit wetsvoorstel

De zorg verandert in hoog tempo. Elektronische uitwisseling van gegevens is aan de orde van de dag. Apothekers die het dossier van een patiënt inzien om bij het uitgeven van medicatie rekening te kunnen houden met intoleranties. Huisartsen die via teledermatologie een foto van een verdacht plekje op de huid kunnen opsturen naar de specialist en zo snel uitsluitsel kunnen geven of doorverwijzing nodig is. Mensen met depressie die online onder behandeling zijn en/of met hun behandelaar communiceren over hun gemoedstoestand en hun vorderingen bij de behandeling.

We staan pas aan het begin van deze veranderingen. Uitwisseling van gegevens speelt hierin een centrale rol. Zo biedt het groeiende aantal e-health toepassingen veel actuele monitorgegevens op over de patiënt die bij kunnen dragen aan preventie, het tijdig signaleren van ziekte en een adequate behandeling. Daarbij zullen de regiemogelijkheden van de patiënt de komende jaren enorm toenemen met de ontwikkeling van een Persoonlijke Gezondheidsomgeving. Deze en vele andere ontwikkelingen dragen bij aan kwalitatief goede, veilige en samenhangende zorg en de betaalbaarheid.

Het is in het belang van de patiënt dat zorgverleners snel kunnen beschikken over goede en relevante medische informatie over de cliënt. Tegelijkertijd is medische informatie gevoelig en persoonlijk. Juist in een samenleving waar technologie massaal beschikbaar komt en informatie in toenemende mate wordt gedeeld moet de patiënt er van op aan kunnen dat dit op een veilige manier gebeurt en dat hij hier regie op kan voeren.

Waarom een gefaseerde invoering?

Meerdere fracties (CDA, D66, PvdA, Groen Links) vragen zich af wat de meerwaarde is van een gefaseerde invoering van dit wetsvoorstel. Zo vragen de leden van de CDA-fractie zich af wat het nadeel is als de wet pas over drie jaar ingaat. En de leden van de fractie van D66, PvdA en Groen Links vragen of de regering overweegt de behandeling van het wetsvoorstel (met een jaar) uit te stellen tot er meer duidelijkheid is over de uitvoerbaarheid van gespecificeerde toestemming en de realisatie van een portaal voor patiënten. En de leden van de PvdA-fractie vragen wat er gaat gebeuren als de uitgestelde bepalingen toch niet uitvoerbaar blijken te zijn.

Ik vind dat we met het oog op de zich snel ontwikkelende praktijk haast moeten maken met het vastleggen van de spelregels ter bescherming van de patiënt. En die spelregels ook daadwerkelijk in te laten gaan. Er worden op dit moment al veel gegevens elektronisch uitgewisseld. Het klopt als de leden van de CDA-fractie stellen dat er niet heel veel mis gaat omdat er al het nodige is geregeld rond privacy en gegevensuitwisseling. Maar, die regels hebben niet specifiek betrekking op elektronische gegevensuitwisseling. Daarvoor dient dit wetsvoorstel dat invulling geeft aan de motie Y van het lid Tan c.s. (Kamerstukken I 2010/11, 31 466, Y). Ik vind het belangrijk dat ook voor elektronische gegevensuitwisseling de kaders helder zijn en dus dat het wetsvoorstel – al is het nog niet in zijn geheel – zo snel mogelijk inwerking treedt. Verder uitstel zorgt voor vertraging van de implementatie van maatregelen die de bescherming van de patiënt ten goede komen.

Graag licht ik dit toe.

Elektronische gegevensuitwisseling is nuttig

Het feit dat er veel elektronisch berichtenverkeer is, zegt iets over het nut ervan.

Het nut voor de patiënt die niet steeds dezelfde vragen hoeft te beantwoorden of dezelfde onderzoeken hoeft te ondergaan. Die door betere beschikbaarheid van gegevens ook kalitatief betere zorg kan ontvangen. Het nut voor de zorgverlener die kan zien wat de voorgeschiedenis is van deze patiënt, welke onderzoeken al zijn gedaan en welke contra-indicaties er zijn. Geen geërgerde patiënt voor zich die meldt dat hij «dat al zo vaak verteld heeft». Niet langer situaties waarbij een patiënt naar een ander ziekenhuis wordt doorverwezen en opnieuw onder de scan wordt gelegd en onnodig wordt blootgesteld aan straling. En, het nut voor de samenleving als geheel. Als de juiste informatie op het juiste moment op de juiste plek is scheelt dat tijd en geld. Elektronische gegevensuitwisseling kan leiden tot kwaliteits- en efficiencywinst, zo is mijn overtuiging.

Maar het moet wel veilig gebeuren

Het is belangrijk dat de zorgaanbieder zorgvuldig omgaat met medische – en dus persoonlijke, gevoelige – informatie. De burger heeft er recht op dat zorgvuldig met zijn gegevens wordt omgesprongen. Dat hij weet welke gegevens door welke zorgverleners kunnen worden ingezien. Dat hij daar op grond van goede informatie toestemming voor kan geven. Dat hij bij twijfel dankzij de logbestanden kan (laten) nagaan wie zijn gegevens heeft ingezien. Dat de zorgverzekeraars geen gegevens kunnen inzien via het elektronische uitwisselingssysteem. Dat daar ook stevig tegen kan worden opgetreden. Allemaal zaken waarop de burger moet kunnen vertrouwen en waarborgen die ik burgers niet drie jaar wil onthouden.

Dat is dus precies wat we regelen via dit wetsvoorstel.

En aanvullend worden in een algemene maatregel van bestuur (AMvB) op grond van artikel 26 Wbp specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling in zijn algemeenheid vastgelegd.

Ter aanvulling op de bestaande wetgeving

Een aantal randvoorwaarden is niet nieuw maar vormt een nadere invulling op de bestaande wet- en regelgeving. Ook nu al moeten zorgaanbieders bij uitwisseling van gegevens voldoen aan de eisen uit de Wet bescherming persoonsgegevens (Wbp) en de Wet geneeskundige behandelingsovereenkomst (WGBO). De eisen die daarin worden gesteld worden met dit wetsvoorstel meer toegespitst op elektronische gegevensuitwisseling en aangevuld met een aantal belangrijke waarborgen zoals het verbod op toegang tot de gegevens voor zorgverzekeraars, bedrijfsartsen, verzekeringsartsen, keuringsartsen.

Uitstel van bepalingen, niet van behandeling

Zorgaanbieders zijn op dit moment nog niet in staat om een aantal bepalingen in het wetsvoorstel uit te voeren. Dat geldt voor het vragen en registreren van gespecificeerde toestemming en voor het recht op elektronische inzage en afschrift. In de nadere memorie heb ik aangegeven dat gespecificeerde toestemming organisatorische en technische aanpassingen vergen aan de werkwijze en de uitwisselingsystemen van zorgaanbieders. Zorgaanbieders hebben hiervoor tijd nodig. En voor elektronische inzage en afschrift is het randvoorwaardelijk dat de burger beschikt over veilige authenticatiemiddelen op voldoende hoog betrouwbaarheidsniveau waarmee hij toegang kan krijgen tot zijn gegevens. Daaraan wordt op dit moment gewerkt.

Ik zie hierin geen reden om de behandeling van dit wetsvoorstel uit te stellen. Dit wetsvoorstel heeft ook zonder dat deze bepalingen al in werking treden meerwaarde. De leden van de Groen Links-fractie vragen of de interpretatie juist is dat vanuit patiëntenperspectief de belangrijkste waarborgen van eigen regie en inzicht in privacy-aspecten gelegen zijn in de artikelen die (nog) niet in werking zullen treden. Inderdaad bevatten de artikelen die nog niet in werking treden belangrijke waarborgen voor eigen regie en inzicht in privacy aspecten. Maar een andere belangrijke bepaling ten aanzien van privacy – het verbod op toegang voor zorgverzekeraars – en de beveiligingseisen zoals neergelegd in de AMvB, treden al wel in werking. Daarnaast is een belangrijke overweging om de wet nu in werking te laten treden dat vanaf het moment waarop dat gebeurt zorgaanbieders en ICT aanbieders zekerheid hebben dat het gaat gebeuren, wanneer dat gaat gebeuren en waarin ze moeten investeren. Door de behandeling met een jaar uit te stellen bieden we zorgaanbieders en ICT-leveranciers nu niet de duidelijkheid die nodig is om over te gaan op de vereiste investeringen. Dat zal resulteren in uitstel van investeringen in deze broodnodige omslag.

Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst (KNMG), Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP), Landelijke Huisartsen Vereniging (LHV) en Nederlandse Patiënten en Consumenten Federatie (NPCF) hebben, gefaciliteerd door het Ministerie van VWS en Nictiz, een gezamenlijk plan opgesteld, waarin ze toewerken naar het geschetste eindperspectief en al concrete stappen zetten voor de implementatie van gespecificeerde toestemming. Bij de uitwerking van het plan worden ook andere partijen betrokken zoals Actiz en de Nederlandse Vereniging van Ziekenhuizen (NVZ). Ik heb er vertrouwen in dat ze samen tot een werkbare oplossing gaan komen die recht doet aan de positie van de cliënt en de administratieve verplichtingen voor zorgaanbieders niet onnodig verzwaart.

Tegelijkertijd wordt gezamenlijk gewerkt aan de persoonlijke gezondheidsomgeving. NPCF trekt dit traject gesteund door de zorgaanbieders, -verzekeraars en VWS. Al deze actoren zijn er op gericht om de omslag in drie jaar gemaakt te hebben. Dit wetsvoorstel sluit hier naadloos bij aan.

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie vragen de regering of de op 6 april 2016 door het Europees parlement aangenomen Algemene Verordening Gegevensbescherming (AVG) meer regelt dan het wetsvoorstel of juist beperkingen aan de verwerking en verstrekking van gegevens door of aan zorgverleners en ziektekostenverzekeraars stelt zoals zal plaatsvinden op grond van het onderhavige wetsvoorstel?

De Algemene Verordening Gegevensbescherming (AVG) zal de Wet bescherming persoonsgegevens (Wbp) zoals deze nu bestaat vervangen. Momenteel worden de exacte gevolgen van de AVG in kaart gebracht. Gegevens over iemands gezondheid mogen ook op grond van de AVG worden verwerkt. De beperkingen die daarbij gelden komen overeen met de beperkingen zoals die op grond van de Wbp gelden. Voorlopige conclusie op dit punt lijkt derhalve te zijn dat de AVG voldoende ruimte laat voor een nationale regeling zoals voorgesteld wordt met dit wetsvoorstel. Ook voor zover de AVG elementen bevat die een uitbreiding vormen ten opzichte van de Wbp, lijken die niet te botsen met de nu voorgestelde bepalingen.

Vragen en opmerkingen van de leden van de CDA-fractie

De leden van de SP-fractie geven aan dat ze zich aansluiten bij de vragen van de leden van de fractie van het CDA.

Gefaseerde invoering; recht op elektronische inzage

De leden van de CDA-fractie vragen waarom – in het licht van gefaseerde invoering van de wet – het recht op inzage voor patiënten wordt uitgesteld.

Het recht op inzage als zodanig wordt niet uitgesteld, immers, op grond van de WGBO heeft de patiënt recht op inzage in zijn (papieren) dossier. Het onderhavige wetsvoorstel regelt aanvullend hierop het recht het dossier ook langs elektronische weg in te zien. Om je gegevens elektronisch in te kunnen zien is een authenticatiemiddel op hoog betrouwbaarheidsniveau nodig. Helaas is dat nog niet op brede schaal beschikbaar voor burgers. Vandaar het voorstel de bepalingen over elektronische inzage en elektronisch afschrift niet eerder dan drie jaar na inwerkingtreding van dit wetsvoorstel in werking te laten treden. Dit betekent niet dat het zorgverleners niet is toegestaan elektronische inzage in het dossier te geven binnen de geldende wet- en regelgeving. Het betekent dat dit over drie jaar een recht is om het ook elektronisch te kunnen inzien.

De leden van de CDA fractie vragen welke normen met betrekking tot de veilige apparatuur en communicatie nu nog niet gelden en met het wetsvoorstel wel direct van toepassing worden?

De NEN 7513 over logging is op dit moment nog niet vastgelegd in regelgeving. Met het besluit behorend bij dit wetsvoorstel maakt deze norm onderdeel uit van een passende beveiliging bij elektronische verwerking van medische gegevens.

De leden van de CDA-fractie vragen de regering aan te geven op grond van welke gegevens zij tot de conclusie komt dat hetgeen nu nog niet mogelijk is, over drie jaar wel beschikbaar is en geïmplementeerd kan zijn, ook met betrekking tot adequate, veilige en betrouwbare authenticatiemiddelen? De leden van de fracties van het CDA en van de PVV vragen naar de stand van zaken rond het afsprakenstelsel en de ontwikkeling van authenticatiemiddelen.

Op dit moment worden er pilots uitgevoerd met publieke en private inlogmiddelen. Ook in de zorgsector wordt er getoetst met authenticatiemiddelen op hoog betrouwbaarheidsniveau. De Minister van Binnenlandse Zaken en Koninkrijksrelaties houdt de Tweede Kamer op de hoogte van het verloop van alle pilots1. Hij verwacht nog voor het zomerreces met de Tweede Kamer te spreken over de verdere stappen op weg naar beschikbaarheid van publieke en private authenticatiemiddelen. Gezien deze ontwikkelingen vertrouw ik erop dat over drie jaar na inwerkingtreding van deze wet authenticatiemiddelen op hoog betrouwbaarheidsniveau beschikbaar zijn. Ten aanzien van de aanpassingen bij de aanbieders verwijs ik naar de trajecten die momenteel lopen en die ervoor moeten zorgen dat in lijn met dit wetsvoorstel over 3 jaar iedereen klaar is om de verplichtingen te kunnen vervullen die het wetsvoorstel vraagt.

Normen

De leden van de CDA-fractie vragen of de regering bekend is met het Besluit (EU) 2015/1302 van de Europese Commissie betreffende de vaststelling van de profielen op het gebied van «Integrating the Healthcare Enterprise» (IHE) als referentie bij overheidsopdrachten, of Nederland uitwerking geeft aan dit besluit, of de regering kan aangeven in hoeverre deze standaarden kunnen bijdragen aan betere veiligheid van apparatuur en communicatie zoals beoogd in onderhavig wetsvoorstel en of de standaard wordt opgenomen in de AMvB.

De regering is inderdaad bekend met het genoemde besluit. Daar waar sprake is van een Europese aanbesteding en van relevantie vanuit aard en toepassing zal verwezen worden naar deze «IHE profielen». De IHE profielen leveren een bijdrage aan betere veiligheid van apparatuur, communicatie en interoperabiliteit vanwege de wijze waarop deze profielen ontwikkeld en getest worden. Dit betekent evenwel niet dat de profielen a priori voldoen aan de eisen en wensen die de praktijk of wet- en regelgeving stelt aan apparatuur, communicatie en interoperabiliteit.

De CDA fractie vraagt of er al iets te zeggen is over de uitwerking van de AMvB waarin specifieke, technische en organisatorische eisen aan de elektronische gegevensuitwisseling in zijn algemeenheid worden vastgelegd, en waarin deze mogelijk zal verschillen met de huidige eisen dienaangaande?

In de AMvB wordt dwingend verwezen naar de NEN 7510, 7512 en 7513, daarnaast worden eisen gesteld aan de beheerder van een elektronisch uitwisselingsysteem. De eisen in de AMvB vormen een aanvulling op eisen op grond van de bestaande wet- en regelgeving. De eisen van NEN 7510 en 7512 gelden nu overigens ook al voor systemen waarmee het bsn wordt verwerkt. Als de stand van de techniek vordert kan de AMvB daaraan worden aangepast, zoals bijvoorbeeld de adviezen van de heer Verheul rond het veilig elektronisch uitwisselen van gegevens uit de deskundigenbijeenkomst kunnen worden verwerkt.2

Privacy/uitwisseling gegevens

De leden van de CDA-fractie vragen of de regering preciezer kan aangeven hoe het wetsvoorstel borgt dat alleen de behandelend arts toegang heeft tot een dossier en of voorkomen kan worden dat dossiers (door onbevoegden) gekopieerd worden?

Dit wetsvoorstel is kaderstellend. Zo moeten elektronische systemen voor het bijhouden van dossiers alsmede elektronische uitwisselingssystemen op zo’n manier zijn ingericht dat onbevoegden niet vrijelijk over de daarin opgenomen gegevens kunnen beschikken. De inrichting moet zo zijn dat de zorgverlener aan zijn geheimhoudingsplicht kan voldoen en gegevens alleen te raadplegen zijn binnen de behandelrelatie en voor zover de cliënt toestemming heeft gegeven bepaalde gegevens beschikbaar te stellen. Het wetsvoorstel stelt geen eisen aan de daarvoor gebruikte systemen. Wel worden in de algemene maatregel van bestuur op grond van art. 26 Wbp technische en organisatorische eisen opgenomen. Hierin zal worden verwezen naar de relevante NEN-normen 7510, 7511 en 7513. Daarin zijn beveiligingseisen opgenomen en eisen voor de logging zodat duidelijk is wie wanneer toegang heeft gehad tot bepaalde gegevens.

De zorgaanbieder zal zich aan deze randvoorwaarden moeten houden. De patiënt kan hem «controleren» op basis van de loggegevens. De Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg (IGZ) zijn verantwoordelijk voor het toezicht en de handhaving.

De CDA fractie vraagt hoe de regering de relatie ziet tussen het belang van privacy en veilige communicatie enerzijds en de onveiligheid van veel thuisapparatuur anderzijds, alsmede wat dat betekent voor voorliggend wetsvoorstel?

Het wetsvoorstel richt zich op randvoorwaarden aan elektronische verwerking van gegevens door zorgaanbieders en de rechten van de patiënt daarbij. De regering is van mening dat wanneer medische gegevens tussen zorgaanbieders worden uitgewisseld dit op een veilige wijze moet gebeuren. Zorgaanbieders zijn verantwoordelijk voor een veilige communicatie, waarbij de privacy van de patiënt gewaarborgd is. Dat betekent dat indien de patiënt via een onbeveiligde verbinding een email stuurt met daarin medische gegevens de zorgaanbieder hier niet zomaar op kan antwoorden. Indien patiënten er zelf voor kiezen bepaalde wijzen van communicatie te gebruiken, zonder dat de zorgaanbieder daarbij betrokken is, die niet voldoen aan de geldende normen dan is dit de eigen verantwoordelijkheid van de patiënt. Het wetsvoorstel ziet daar niet op. Wel zullen de eisen die met deze wet in werking treden richting gevend worden voor de fabrikanten van thuisapparatuur. De zorgaanbieder kan immers de patiënt aanraden apparatuur aan te schaffen die daaraan voldoet en waarmee toch mogelijkheden van monitoring van de patiënt vorm kunnen krijgen.

Gespecificeerde toestemming

De leden van de CDA fractie vragen of er inmiddels een mede door het veld geaccordeerde, te implementeren definitie van gespecificeerde toestemming is.

In samenwerking met een aantal brancheorganisaties in de zorg is een uitwerking gemaakt van het amendement gespecificeerde toestemming. De uitwerking geeft een invulling aan het begrip gespecificeerde toestemming dat als basis dient voor de implementatie van gespecificeerde toestemming3.

De leden van de CDA-fractie vragen of met dit wetvoorstel ten opzichte van de WGBO en de Wbp een verschuiving plaatsvindt van de regie van de arts naar meer zeggenschap bij de patiënt en wat de regering vindt van het pleidooi dat het beter zou zijn geweest rechten en bescherming van patiënten via een andere wet te regelen.

Dit wetsvoorstel verandert niets aan de WGBO. Er vindt niet zozeer een verschuiving als wel een uitbreiding plaats ten opzichte van de nu bestaande regels over dossiers in de WGBO en het verwerken van gezondheidsgegevens op grond van de Wbp. Die uitbreiding heeft met name betrekking op de regels voor het gebruik van elektronische uitwisselingssystemen en logging en inzage bij elektronische verwerking van gegevens.

De arts houdt op grond van de WGBO de regie over het dossier dat hij van een patiënt bijhoudt. In de passage van de deskundigenbijeenkomst, waar de leden van de PvdA-fractie naar verwijzen, lees ik een bevestiging dat het goed is dat dit stelsel van de WGBO in stand blijft waarbij we uitgaan van het professionele dossier van de arts.

De leden van de CDA fractie vragen of het juist is dat er op dit moment geen gestandaardiseerde lijsten bestaan van (categorieën van) zorgverleners en er geen duidelijke categorisering is van medische gegevens waartegen ja of nee gezegd kan worden. Zo ja, kan de regering aangeven of, en zo ja, hoe dit probleem ondervangen zal worden?

Zorgaanbieders wisselen ook op dit moment medische gegevens uit. Welke gegevens zij uitwisselen is vastgelegd in protocollen die de beroepsgroep met elkaar opstelt. Op basis van deze gegevensset kan toestemming worden gevraagd. Daarbij zijn grote groepen zorgverleners geregistreerd in het BIG-register. Deze categorieën kunnen worden gebruikt bij de uitwerking van gespecificeerde toestemming, zoals koepels daar nu mee bezig zijn.

Patiëntenportaal

De leden van de CDA fractie vragen wat de regering vindt van een patiëntenportaal: in de deskundigenbijeenkomst werd het portaal niet als plicht, maar als een optie of een recht voorgesteld. Ook de leden van de SP-fractie vragen of het gebruik van zo’n portaal verplicht is.

De regering deelt het perspectief dat de zorgpartijen voor ogen hebben waarin de patiënt zelf zijn toestemmingsprofiel kan vastleggen, inzien en vastleggen. Gedacht kan worden aan systemen waarin de patiënt desgewenst op ieder moment op iedere plaats zijn toestemming kan aanpassen. Maar ook een patiëntenportaal waarin patiënten inzage hebben in hun medische gegevens hebben bij een zorgaanbieder zou hiervoor een instrument kunnen zijn. Wellicht dat dergelijke portalen, zoals de portalen die al in gebruik zijn bij het UMCU, LUMC of UMC Radboud, kunnen toegroeien richting een instrument waar ook het persoonlijk toestemmingsprofiel beheerd kan worden.

De leden van de CDA-fractie vragen verder hoe een patiënt zonder een patiëntenportaal kan zien wie zijn gegevens heeft geraadpleegd?

De patiënt heeft op grond van dit wetsvoorstel het recht in te zien wie zijn gegevens heeft geraadpleegd (logging), ongeacht of hij is aangesloten bij een patiëntenportaal. Inzage in de logging is niet verbonden met een patiëntenportaal, waarbij men zich richt op de registratie van de toestemming. De zorgaanbieder zal de patiënt deze informatie desgevraagd moeten verschaffen.

De leden van de CDA-fractie vragen wie uiteindelijk verantwoordelijk is dan wel zou moeten zijn, ook financieel, voor het beheer van een eventueel patiëntenportaal.

Het patiëntenportaal betreft toegang tot een informatiesysteem van een zorgaanbieder en krijgt momenteel vorm via vooroplopende ziekenhuizen, zoals het LUMC, het Radboud en het UMCU. Bij de uitwerking van gespecificeerde toestemming werkt de sector samen aan een oplossing waarbij patiënten hun eigen toestemmingsprofiel kunnen vastleggen en beheren bijvoorbeeld via een toestemmingsportaal. De verantwoordelijkheid hiervoor wordt meegenomen in het traject van zorgpartijen tot uitwerking van gespecificeerde toestemming.

De leden van de CDA-fractie vragen of het wetsvoorstel het mogelijk wil maken dat naast een zorgverlener, ook de patiënt en een vervolgbehandelaar een dossier kan bewerken en wie eindverantwoordelijk is voor de juistheid van het dossier respectievelijk een veilige uitwisseling?

Het wetsvoorstel geeft patiënten en of vervolgbehandelaars niet het recht om gegevens te bewerken zonder tussenkomst van de zorgaanbieder die de gegevens beschikbaar heeft gesteld. Wel geeft het wetsvoorstel patiënten het recht zelfmedicatie door de apotheker beschikbaar te laten stellen via een elektronisch uitwisselingssysteem. Dit betekent niet dat de patiënt deze gegevens zelf kan toevoegen. Bij de ontwikkelingen ten aanzien van een persoonlijke gezondheidsomgeving is veel aandacht voor de mogelijkheden voor patiënten om zelf gegevens aan zijn medisch dossier toe te voegen. Daarvoor zal ongetwijfeld ruimte komen, waarbij ieder verantwoordelijk is en blijft voor het deel dat hij toevoegt. Iedereen kan alleen zijn eigen teksten wijzigen. De Persoonlijke Gezondheidsomgeving wordt momenteel gezamenlijk onder leiding van patiënten (NPCF) met behulp van zorgaanbieders (KNMG, KNMP, LHV, NVZ) en VWS ontwikkeld.

Algemeen met betrekking tot het wetsvoorstel

De leden van de CDA-fractie vragen of dit wetsvoorstel regelt dat de gegevens kunnen worden gebruikt voor wetenschappelijk onderzoek en wat daarbij de eventuele voorwaarden zijn.

Voor het gebruik van gegevens voor statistiek of wetenschappelijk onderzoek geldt het bepaalde in art. 7:458 BW (WGBO) en artikel 23, tweede lid Wbp. In deze artikelen zijn de voorwaarden opgenomen voor het gebruik van gegevens voor wetenschappelijk onderzoek en statistiek. Het geven van toestemming is daarbij het uitgangspunt. Dit wetsvoorstel verandert niets aan deze regels. Dit wetsvoorstel geeft niet de mogelijkheid dat voor onderzoek zonder toestemming gegevens uit een elektronisch uitwisselingssysteem worden gehaald.

De leden van de CDA fractie vragen of het juist is dat pull-berichten op dit moment nog niet of nauwelijks zijn toegestaan en dat met het aannemen van de rompwet de mogelijkheden hiervoor worden vergroot?

Pull-berichten zijn nu ook al mogelijk als daarvoor – zoals op grond van de Wbp verplicht is – uitdrukkelijke toestemming van de cliënt is verkregen. Het aannemen van deze wet vergroot die mogelijkheden niet maar verduidelijkt de kaders en vergroot de rechten van de cliënt, namelijk voor wat betreft het specificeren van zijn toestemming en de logging op alle acties die op zijn gegevens worden uitgevoerd.

De leden van de CDA en PvdA fractie vragen of het wetsvoorstel alleen betrekking heeft op pull berichten en niet op push berichten.

Er is enige onduidelijkheid ontstaan over de reikwijdte van het wetsvoorstel. Het wetsvoorstel is zowel gericht op push als pull verkeer. Wel kent het wetsvoorstel een aantal bepalingen dat in de uitwerking alleen ziet op pull berichten, namelijk de bepalingen die betrekking hebben op het gebruik van een elektronisch uitwisselingssysteem. Een dergelijk systeem wordt gebruikt voor pull-verkeer. Het betreft de artikelen 15a, 15b, 15e onder a, 15f, 15h. De overige bepalingen, waaronder de logging en beveiligingsmaatregelen gelden zowel voor push als pull berichten.

De leden van de CDA-fractie vragen in hoeverre het wetsvoorstel borgt dat de toestemming van de patiënten geen onderdeel wordt van tariefonderhandelingen en contracten van de zijde van de zorgverzekeraar.

Op grond van de Wbp moet toestemming vrijelijk worden gegeven. Als daar niet aan wordt voldaan is er geen sprake van een geldige toestemming. Het is van belang alert te blijven op signalen die afbreuk doen aan de vrije toestemming.

De leden van de CDA-fractie vragen nader in te gaan op de relatie en zo mogelijk de spanning tussen enerzijds de toestemming van de patiënt en anderzijds het vitale belang als bedoeld in artikel 8 van de Wbp op grond waarvan een zorgverlener ook zonder toestemming van de patiënt gegevens zou kunnen raadplegen. Kunnen minder zelfredzame mensen er niet de dupe van worden als ze geen toestemming hebben gegeven?

Het vitale belang als bedoeld in artikel 8, onderdeel d Wbp, is geen grondslag om het ontbreken van toestemming in een gewone behandelingsrelatie te «overrulen». Dit vitale belang moet eng worden geïnterpreteerd: het vitale belang (ofwel het leven) van de patiënt of een derde is in het geding en het vragen van uitdrukkelijke toestemming is onmogelijk, bijvoorbeeld vanwege bewusteloosheid. Ook in de WGBO is een dergelijke «nood»-bepaling opgenomen voor het verrichten van medische handelingen zonder toestemming (art. 7:466 BW).

Als cliënten geen toestemming hebben gegeven hun gegevens beschikbaar te stellen via een elektronisch uitwisselingssysteem, zal een (nieuwe) behandelaar van die cliënt geen gegevens over hem kunnen inzien via dat elektronisch uitwisselingssysteem. Op grond van de WGBO kan deze behandelaar wel beschikken over informatie die als push berichten aan hem zijn verstuurd, zoals een verwijzing van de huisarts. Verder heeft de cliënt op grond van art.7:452 BW de verplichting naar beste weten inlichtingen te verstrekken aan de zorgverlener. Voor minder zelfredzame mensen kan dit moeilijk zijn en kan het verlenen van toestemming om via een elektronisch uitwisselingssysteem inzage te geven in zijn gegevens bij andere zorgverleners van grote toegevoegde waarde zijn. Goede voorlichting en eventuele hulp bij het geven van toestemming kan deze mensen helpen om in het belang van hun gezondheid in een betere positie te komen.

Vragen en opmerkingen van de leden van de D66-fractie.

De leden van de fracties van het CDA en D66 stellen vragen over de NEN normen en of deze voldoende adequaat zijn voor het beveiligen van de uitwisseling van elektronische uitwisseling van medische gegevens?

Uitgangspunt voor de beveiliging van persoonsgegevens is artikel 13 van de Wbp. Gegevens moeten passend worden beveiligd. Aan het begrip passend is invulling gegeven door de NEN normen in de AMvB op te nemen. De verplichte NEN normen stellen randvoorwaarden aan de informatiebeveiliging en de logging. In aanvulling op de NEN normen worden enkele andere eisen in de AMvB opgenomen. Mede gelet op de opmerkingen van de heer Verheul in de deskundigenbijeenkomst is de regering voornemens de AMvB aan te vullen met de eis dat naar de laatste stand van wetenschap en techniek privacy versterkende maatregelen moeten worden genomen. Daarmee wordt voorkomen dat voortschrijdende technologische verbeteringen ten aanzien van privacybescherming niet worden toegepast.

Vragen en opmerkingen van de leden van de PVV-fractie

De leden van de fractie van de PVV stellen vast dat het onderzoek naar het gebruik van een zorgpas waarnaar in de nadere memorie van antwoord wordt verwezen inmiddels vijf jaar oud is; zij vragen of er nieuwe technologische ontwikkelingen zijn die de destijds geconstateerde bezwaren bij een zorgpas wegnemen, of dat deze ontwikkelingen binnen afzienbare tijd kunnen worden verwacht.

De regering zijn geen ontwikkelingen bekend die de bezwaren bij een zorgpas in spoedgevallen, bij nood of bij verlies/diefstal wegnemen. Deze ontwikkelingen zijn ook niet meer te verwachten in een tijdperk waarin juist wordt ingezet op nieuwe technologieën.

De leden van de PVV-fractie vragen of de regering kan aangeven hoe de in dit wetsvoorstel bedoelde toestemmingsmogelijkheden en beschermingsniveaus zich verhouden tot monitorgegevens uit e-health toepassingen? Hoe kan een patiënt hierover concreet controle en inzicht behouden, en wie kan er toegang tot deze informatie krijgen?

Onderhavig wetsvoorstel en de AMvB bieden de kaders voor een veilige uitwisseling van gegevens tussen zorgaanbieders en de rechten van de cliënt hierbij. De wijze waarop deze gegevens zijn verzameld is daarbij niet van belang. Of gegevens door middel van een eHealth toepassing (zoals een teleconsult) of op een traditionele wijze (het gesprek in de spreekkamer van de huisarts) zijn verzameld, de gegevens mogen pas elektronisch worden uitgewisseld als aan alle wettelijke eisen is voldaan. Dit betekent dus ook dat de gegevens pas elektronisch beschikbaar mogen worden gesteld na toestemming van de cliënt.

De leden van de PVV-fractie vragen naar aanleiding van het initiatief van Philips voor een datacloud in samenwerking met verzekeraar Allianz of er ondanks het toegangsverbod voor verzekeraars als voorgesteld in artikel 15f, toch mogelijkheden zijn dat (commerciële) partners van verzekeringsmaatschappijen toegang krijgen tot patiënteninformatie.

Het toegangsverbod van artikel 15f ziet op elektronische uitwisselingssystemen zoals gedefinieerd in dit wetsvoorstel: een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier. Een datacloud zoals Philips wil faciliteren is niet een systeem dat door zorgaanbieders wordt gebruikt om gegevens raadpleegbaar te maken, en daarom dus geen elektronisch uitwisselingssysteem. Een partij als Philips mag alleen gezondheidsgegevens verwerken als zij daarvoor op grond van art. 23, eerste lid onderdeel a, Wbp uitdrukkelijke toestemming heeft gekregen. Alleen als die toestemming ook uitdrukkelijk ziet op het doorgeven van die gegevens aan bijvoorbeeld een verzekeraar, zou een verzekeraar over die gegevens mogen beschikken. Dit wetsvoorstel is nu juist opgesteld om in deze zich snel ontwikkelende technologische wereld de rechten van de patiënt beter te borgen.

De leden van de PVV-fractie stellen een aantal vragen naar aanleiding van de bijdrage van de heer Verheul aan de deskundigheidsbijeenkomst. Zo vragen zij zich af of de regering zich genoodzaakt ziet maatregelen te nemen gelet op de gevoeligheid van een verwijsindex, zoals de heer Verheul heeft aangegeven. En, of de regering de stelling van de heer Verheul over een veiligheidsrisico deelt:» Die gegevens worden versleuteld verstuurd naar het landelijk schakelpunt, zeg maar de hub, de centrale spil. Ze worden daar ontsleuteld en vervolgens opnieuw versleuteld naar de opvragende zorgaanbieder verstuurd. Dat is een manier van werken die tien jaar geleden, toen dit soort systemen werd ontwikkeld, misschien nog wel logisch was, maar op dit moment is het niet meer gebruikelijk dat gegevens eventjes in the clear, onversleuteld, in zo’n centraal systeem staan. (…) Die oude manier van werken, waarbij die versleuteling even ongedaan wordt gemaakt op een centrale plek, is niet meer van deze tijd.»4 Tot slot vraagt de PVV-fractie of de constatering van De heer Verheul klopt: «NEN 7510 werd genoemd. Dat is dus geen technische norm, maar een norm voor informatiemanagementsystemen. Die norm voegt in deze context niet zo heel veel toe aan de beveiliging.»

De regering is van mening dat de suggesties van de heer Verheul in de deskundigenbijeenkomst een bijdrage leveren aan het veilig uitwisselen van gegevens.

Uitgangspunt voor de beveiliging van persoonsgegevens is artikel 13 van de Wbp. Gegevens moeten passend worden beveiligd. Aan het begrip passend is invulling gegeven door in ieder geval de NEN normen in de AMvB op te nemen. De NEN 7510 is een norm voor informatiebeveiliging. Deze norm bevat belangrijke eisen voor de omgang met informatie. Gelet op deze vragen ben ik voornemens om in de AMVB op te nemen dat naar de laatste stand van wetenschap en techniek privacy versterkende maatregelen moeten worden genomen. Daarmee wordt voorkomen dat voortschrijdende technologische verbeteringen ten aanzien van privacybescherming niet worden toegepast.

Op 13 mei 2016 heeft de heer Böhre van Privacyfirst een brief naar de Eerste Kamer gestuurd met daarin aandachtspunten en daarop gebaseerde vragen.5 De PVV-fractieleden verzoeken de regering de in de brief gestelde vragen van een antwoord te voorzien.

Een aantal van de door Privacy First gestelde vragen zijn ook gesteld door de leden van de SP-fractie. Die vragen en antwoorden vindt u hieronder bij het onderdeel «Vragen en opmerkingen van de leden van de SP-fractie». In antwoord op de overige vragen en opmerkingen van Privacy First:

  • Het is niet meer mogelijk om voor een specifieke zorgvraag binnen de context van een behandeling, een specifieke set gegevens te ontsluiten voor uitsluitend bij die behandeling betrokken zorgverleners. Deze veronderstelling is niet juist: het blijft in die situatie mogelijk een specifieke set gegevens te ontsluiten.

  • Hoe kan een toestemmingsvraag specifiek zijn maar het antwoord hierop generiek? Een vraag kan specifiek zijn, bijvoorbeeld «Mag ik uw medicatie gegevens beschikbaar stellen aan alle apothekers in Amersfoort?». Een generiek antwoord op die vraag kan ja of nee zijn.

  • Is de vraag «Mag ik uw medische gegevens ontsluiten via dit zorgcommunicatiesysteem?», zonder daarbij aan te duiden voor welk concreet doel en voor wie deze gegevens worden ontsloten, een specifieke toestemmingsvraag? Ik beschouw dit niet als een specifieke vraag, aangezien niet helder is voor wie en welke gegevens worden ontsloten en voor welk doel.

  • Wie is eindverantwoordelijk en aansprakelijk voor de toegankelijkheid en de vertrouwelijkheid van medische gegevens als de patiënt daar meer zeggenschap over krijgt? Vereist dit een «patiëntgeheim», zodat voorkomen kan worden dat een patiënt onder druk gezet wordt om toegang te geven tot zijn of haar gegevens, en dit alles tezamen nieuwe wetgeving? Een zorgverlener is er voor verantwoordelijk geen gegevens buiten de behandelrelatie beschikbaar te stellen tenzij de patiënt daartoe uitdrukkelijke toestemming heeft gegeven. Een patiëntengeheim voegt niets toe aan de al geldende regels op grond van de Wbp dat toestemming vrijelijk moet zijn gegeven. Overigens versterkt dit wel de positie van de patiënt ten opzichte van zijn huidige positie.

Vragen van de leden van de SP-fractie

De leden van de SP-fractie vragen hoe «gespecificeerde toestemming»6 kan voldoen aan de eisen van een geïnformeerde, weloverwogen en uitdrukkelijke toestemming, zoals vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en Wbp, wanneer deze in potentie alsnog een generieke reikwijdte behelst?

Gespecificeerde toestemming behelst geen generieke reikwijdte. Toestemming dient altijd voldoende specifiek te zijn, ook gespecificeerde toestemming. Zoals ook in de deskundigenbijeenkomst door de vertegenwoordiger van de Autoriteit Persoonsgegevens werd gezegd, voldoet de toestemmingsbepaling aan de eisen die daaraan worden gesteld. Verderop wordt nader ingegaan op wat wordt gezien als specifiek.

De leden van de SP-fractie vragen welke bescherming het wetsvoorstel biedt tegen het risico dat patiënten toestemming geven, dan wel wordt gevraagd, waarvan ze de gevolgen voor de toegankelijkheid van hun medische gegevens niet kunnen overzien?

Dit is een bestaande situatie, patiënten krijgen extra bescherming met dit wetsvoorstel, daar waar ze dat in het kader van elektronische gegevensuitwisseling nog niet hebben. Patiënten moeten op grond van dit wetsvoorstel uitdrukkelijke toestemming geven voor een bepaalde gegevensuitwisseling tussen bepaalde (categorieën van) zorgaanbieders. Zij moeten dus vooraf een beeld hebben hoever de toestemming reikt. Op grond van artikel 15c heeft de zorgaanbieder een informatieplicht: hij moet de patiënt informeren dat hij gegevens elektronisch wil uitwisselen, met welke (categorieën) van zorgverleners dat (in potentie) kan en om welke (categorieën van) gegevens het gaat. De zorgaanbieder zal zodanige informatie moeten geven, dat patiënten hiervan een goed beeld kunnen krijgen en een weloverwogen keuze kunnen maken.

De leden van de SP-fractie vragen zich af of het geven van toestemming aan de ene zorgverlener ook leidt tot het ontsluiten van gegevens bij andere zorgverleners die een dossier van de patiënt bijhouden.

Dat is alleen mogelijk als de zorgaanbieder ook toestemming vraagt voor het beschikbaar stellen van gegevens door de andere zorgaanbieder. Deze vraag moet specifiek gesteld worden, zodat voor de patiënt helder is waarvoor hij toestemming geeft. Daarnaast zal de andere zorgaanbieder wel moeten nagaan of hij inderdaad toestemming heeft om gegevens beschikbaar te stellen, dat zou bijvoorbeeld via registratie in een portaal kunnen.

De leden van de SP-fractie vragen of de vraag «Mag ik uw medicatiegegevens via het LSP uitwisselen met andere zorgverleners ten behoeve van toezicht op veilig medicijngebruik?» een specifieke vraag is waarop een generiek antwoord mogelijk is. Ook vragen zij zich af of hoe een gespecificeerd antwoord op de vorige vraag eruit ziet.

Uit de gespecificeerde toestemmingsvraag moet blijken welke gegevens aan welke zorgaanbieders of categorieën van zorgaanbieders mogen worden gesteld. In dit specifieke voorbeeld van de leden van de SP-fractie is de vraag niet voldoende specifiek, de vraag zou meer informatie moeten bevatten over de zorgverleners aan wie de gegevens beschikbaar worden gesteld. Een betere vraag zou zijn: «Mag ik uw medicatiegegevens via het LSP uitwisselen met andere apothekers in de gemeente Den Haag ten behoeve van toezicht op veilig medicijngebruik?» Met een toelichting welke apotheken zijn aangesloten. Een gespecificeerd antwoord zou kunnen zijn: «Dat mag, maar alleen aan apotheek X en Y».

De leden van de SP-fractie stellen een aantal vragen over de manier waarop het idee van een toestemmingsprofiel (portaal) als hulpmiddel bij de uitvoering van de bepalingen rond gespecificeerde toestemming precies wordt ingericht.

Hoe gespecificeerde toestemming wordt ingericht wordt steeds meer helder. Zoals ook in de inleiding werd aangegeven hebben KNMG, KNMP, LHV en NPCF, gefaciliteerd door VWS en Nictiz, een gezamenlijk plan opgesteld, waarin ze toewerken naar het geschetste eindperspectief en al concrete stappen zetten voor de implementatie van gespecificeerde toestemming. Dit traject loopt, een aantal elementen waar de leden van de SP-fractie op wijzen zal in de komende tijd nog moeten worden ingevuld.

Het programma is gestart vanuit de visie dat de cliënt zelf zijn toestemmingsprofiel online moet kunnen vastleggen, inzien en aanpassen. Juist door het beheer van het toestemmingprofiel bij de cliënt zelf te leggen is hij of zij in staat om goed te overzien waarvoor hij toestemming geeft en hier regie op te voeren. Zo wordt voorkomen dat de zorgaanbieder een complexe en gedetailleerde toestemmingsregistratie per patiënt moet voeren. Organisatorische aanpassingen aan de werkwijze in de praktijk en technische aanpassingen aan de informatie- en uitwisselingsystemen van zorgaanbieders volgen hieruit, zodat medische gegevens alleen uitgewisseld worden op basis van de toestemmingen die zijn vastgelegd en beheerd worden door de patiënt.

Door gezamenlijk en zorgbreed de opzet en uitvoering van gespecificeerde toestemming op te pakken, conform de nadere uitwerking die in december 2015 aan de Tweede Kamer is gestuurd7, kan een kwaliteits- en efficiencyslag worden bereikt voor patiënt en zorgaanbieder.

Het eerste resultaat van het programma is een globaal bedrijfsplan voor de te realiseren zorgbrede voorziening voor online toestemming, inclusief financiering van de ontwikkel- en exploitatiekosten. Dit bedrijfsplan is voorzien voor oktober 2016 en wordt in overleg met de verschillende partijen in de zorgsector, zorgaanbieders, patiëntenvertegenwoordigers, zorgverzekeraars en het Ministerie van VWS opgesteld.

Vervolgens kunnen in samenspraak met vertegenwoordigers van patiënten en zorgverleners de toestemmingsvragen voor het zorgdomein van de patiënt bepaald worden. Voor de patiënt ontstaat een totaalbeeld en iedere beroepsgroep kan zo bepalen wat de organisatorische impact is binnen de eigen geledingen. Een informatiestandaard zorgt ervoor dat het uitwisselen op basis van de toestemming van de patiënt zorgbreed op een eenduidige wijze wordt ingevoerd.

Aan koepelorganisaties wordt gevraagd om kennis en tijd te investeren in het verder ontwikkelen en realiseren van het eindperspectief: het uitwisselen van medische gegevens op basis van online toestemmingsprofielen. Dit gebeurt via een netwerk van inhoudelijke deskundigen die gezamenlijk de oplossing vormgeven. Voor het ontwikkelen en exploiteren van de online toestemmingsregistratie wordt gezocht naar een of meerdere financiers.

Een stuurgroep met zorgbrede samenstelling ziet er op toe dat de activiteiten van het programma volgens planning worden uitgevoerd en de resultaten aan de voorwaarden voor een zorgbreed draagvlak voldoen.

De leden van de SP-fractie vragen of een arts dan nog zelfstandig, vanuit zijn professionele opvatting, een specifieke collega van deze categorie toegang kan geven tot deze gegevens wanneer hij dat (medisch) noodzakelijk acht, indien de patiënt via zo'n portaal «gespecificeerd» heeft aangegeven dat een bepaalde categorie zorgverleners geen toegang mag krijgen?

Op grond van de WGBO kan een arts binnen een behandelrelatie medische gegevens verstrekken aan een specifieke collega (push verkeer). Dit verandert niet met onderhavig wetsvoorstel. De arts mag echter geen gegevens beschikbaar stellen via een elektronisch uitwisselingssysteem (pull berichten) aan een collega indien de patiënt hiertoe geen toestemming heeft verleend. Dat is nu ook al zo.

De leden van de SP-fractie vragen of de patiënt het recht krijgt om digitalisering van zijn of haar patiëntendossier te weigeren.

Dit wetsvoorstel heeft geen betrekking op de manier (papier of digitaal) waarop de zorgaanbieder zijn dossiers bijhoudt. Wel heeft de patiënt het recht de zorgaanbieder geen toestemming te geven deze gegevens digitaal uit te wisselen met andere zorgaanbieders via een elektronisch uitwisselingssysteem.

De leden van de SP-fractie vragen hoe de patiënten ondersteund worden bij het geven van toestemming zodat een afgewogen keuze mogelijk is. Verder vragen de leden zich af of er een beeld is van wat dit extra gaat kosten aan tijd en geld voor de zorgverlener en of hier calculaties voor zijn gemaakt.

De patiënt moet die keuzes op basis van de Wbp en de WGBO nu ook al maken. De regering vindt het van belang dat de patiënt een goede afweging moet kunnen maken bij het verlenen van toestemming. De informatieplicht voor het verwerken van persoonsgegevens is geregeld in de Wbp. In onderhavig wetsvoorstel wordt geregeld over welke onderdelen de zorgaanbieder de cliënt moet informeren. Het geven van informatie is dus al verplicht; dit wetsvoorstel geeft richting aan welke informatie gegeven moet worden. Zo moet de zorgaanbieder de cliënt informeren over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen, over de werking van het elektronisch uitwisselingssysteem en over substantiële wijzigingen. Zorgpartijen werken samen aan een traject voor de implementatie van gespecificeerde toestemming. Uitgangspunt is dat het informeren van de patiënt en het vragen en registreren van toestemming uitvoerbaar is en vermijdbare toename van administratieve lasten wordt voorkomen. De kosten in tijd en geld zijn afhankelijk van de wijze waarop gespecificeerde toestemming in de zorgpraktijk wordt geïmplementeerd en is daarmee onderdeel van het traject dat zorgpartijen met elkaar aan zijn gegaan.

De leden van de SP-fractie wijzen erop dat er meerdere elektronische uitwisselingssystemen zijn en vragen zich af of deze wetgeving flexibel genoeg is.

Het wetsvoorstel regelt de rechten van de patiënten ongeacht de elektronische uitwisselingssystemen. Dit wetsvoorstel geldt dus voor alle vormen van elektronische uitwisseling van medische gegevens: systemen voor elektronische uitwisseling met zorgaanbieders buiten de instelling of praktijk en systemen voor intern gebruik (binnen de instelling of praktijk). Er is dan ook geen sprake van – in de woorden van de leden van de SP-fractie – tunnelvisie of een wetsvoorstel dat gericht is op het oude EPD. Een aantal bepalingen geldt alleen voor uitwisseling via een elektronisch uitwisselingssysteem, maar het recht op bijvoorbeeld elektronische inzage en de eisen ten aanzien van beveiliging gelden voor alle vormen van elektronische gegevensverwerking – dus ook voor systemen die alleen voor intern gebruik bedoeld zijn.

De leden van de SP-fractie vragen waarom niet gekozen is om eigen regie door middel van gespecificeerde toestemming optioneel te maken voor mensen die dit graag willen en kunnen, in aanvulling op (maar niet in plaats van) de gezamenlijke regie die arts en patiënt op dit moment hebben volgens de WGBO?

De gespecificeerde toestemming komt niet in plaats van de gezamenlijke regie van de arts en de patiënt op grond van de WGBO. Dit wetsvoorstel verandert dit niet. De gespecificeerde toestemming wordt daar aan toegevoegd. Dit geeft een patiënt de mogelijkheid zelf te bepalen aan welke andere zorgverleners de arts gegevens beschikbaar mag stellen.

De leden van de SP-fractie vragen wat dit wetsvoorstel betekent voor de professionele verantwoordelijkheid van de zorgverlener zoals dat op grond van de WGBO uitgangspunt is.

Dit wetsvoorstel verandert niets aan dit uitgangspunt van de WGBO.

De leden van de SP-fractie vragen onder verwijzing naar de bijlage bij de «Factsheet gespecificeerde toestemming» bij de nadere memorie van antwoord, naar het «overrulen» van de WGBO als gegevens beschikbaar worden gesteld via een elektronisch uitwisselingssysteem en een vervanger van de zorgverlener wil die gegevens inzien. Is het dan ook zo dat het beschikbaar stellen van medische gegevens voor een rechtstreeks bij de behandeling betrokken zorgverlener uit artikel 7:457, tweede lid, wordt overruled door het wetsvoorstel?

Degenen die rechtstreeks betrokken zijn bij de behandeling of de vervanger van de zorgverlener, mogen op grond van artikel 7:457, tweede lid BW, het dossier inzien dat de zorgverlener bijhoudt. De situatie wordt anders als men voor de inzage van gegevens door anderen dan de zorgverlener zelf, gebruik wil maken van een elektronisch uitwisselingssysteem. In dat geval zal de zorgverlener eerst uitdrukkelijke (gespecificeerde) toestemming moeten vragen. Als die toestemming is verleend, kunnen gegevens door de vervanger en door degenen die rechtstreeks bij de behandeling betrokken zijn, worden ingezien. Met het «overrulen» van de WGBO wordt dus bedoeld dat op grond van het voorliggende wetsvoorstel echt alleen gebruik mag worden gemaakt van een elektronisch uitwisselingssysteem, als de cliënt daar uitdrukkelijke toestemming voor heeft gegeven. De zorgverlener mag niet op basis van de genoemde bepaling uit de WGBO de gegevens voor zijn vervanger beschikbaar stellen via een elektronisch uitwisselingssysteem zonder uitdrukkelijke toestemming van de cliënt.

De leden van de SP-fractie vragen nadere uitleg over de push- en pull-communicatie van dit wetsvoorstel en vragen hoe dit zich verhoud met de WGBO en Wbp.

Het wetsvoorstel bepaalt dat bij gebruik van elektronische uitwisselingssystemen toestemming nodig is voor het elektronisch beschikbaar stellen van gegevens. Dit betreft pull verkeer, daarvoor geldt gespecificeerde toestemming. Voor push verkeer, actief gegevens aan een specifieke zorgaanbieder sturen – bijvoorbeeld voor een verwijzing -geldt de WGBO en dat blijft ook zo na inwerkingtreding van dit wetsvoorstel. De Wbp gaat over alle verwerking van gegevens, waarbij gegevens betreffende de gezondheid, als bijzondere persoonsgegevens worden aangemerkt. De gespecificeerde toestemming voor het gebruik van elektronische uitwisselingssystemen zoals neergelegd in dit wetsvoorstel, is gebaseerd op het vereiste van de Wbp dat uitdrukkelijke toestemming moet zijn verleend.

Vragen en opmerkingen van de leden van de PvdA-fractie

Reikwijdte van het wetsvoorstel

De leden van de PvdA-fractie vragen of voor de zorg onder de Wlz, de Jeugdwet (jeugdhulp) en onder de Wmo (maatschappelijke ondersteuning) de belangen die de cliënt beschermen bij elektronische gegevensuitwisseling, adequaat geregeld zijn en welke spelregels gelden voor medische gegevens die gehanteerd worden binnen de Wlz, de Jeugdwet en de Wmo.

De bepalingen uit voorliggend wetsvoorstel zullen ook voor aanbieders van Wlz-zorg gelden. De beveiliging bij elektronische uitwisseling van gegevens in het kader van de Jeugdwet en de Wmo 2015 dient te voldoen aan de in de Uitvoeringsregeling Wmo 2015 of de Regeling Jeugdwet gestelde normen voor informatiebeveiliging (zie art. 5.2.9, zesde lid, Wmo 2015 juncto artikel 3 Uitvoeringsregeling Wmo 2015 en art. 7.2.5 Jeugdwet juncto art. 6 van de Regeling Jeugdwet).

Bij en krachtens de Wlz, de Jeugdwet en de Wmo 2015 is geregeld in welke gevallen en onder welke voorwaarden persoonsgegevens omtrent de gezondheid als bedoeld in artikel 16 van de Wet bescherming persoonsgegevens (hieronder vallen de medische gegevens) mogen worden verwerkt.

Fasegewijze implementatie

De leden van de PvdA-fractie vragen hoeveel tijd de zorgaanbieders krijgen, nadat de wet van kracht wordt, om te voldoen aan alle eisen die voortvloeien uit dit wetsvoorstel en de AMvB?

Zoals eerder aangegeven zal voor de bepaling rondom gespecificeerde toestemming en elektronische inzage een termijn van 3 jaar gelden na inwerkingtreding van het wetsvoorstel. Dit geldt ook voor de bepaling over de registratie van de gespecificeerde toestemming en de aanvulling op artikel 35 Wbp op het afschrift van de logginggegevens. Alle bepalingen die betrekking hebben op het verbod voor zorgverzekeraars, bedrijfsartsen en keuringsartsen, om zich toegang te verschaffen tot een elektronisch uitwisselingssysteem, kunnen direct in werking treden. Ook de voorhangbepaling voor de AMvB op grond van artikel 26 Wbp met technische en organisatorische eisen, kan direct in werking treden, evenals de AMvB zelf.

Organisatorische consequenties en administratieve lasten

De leden van de PvdA-fractie vragen hoe de regering de rolverdeling ziet tussen individuele medische specialisten en de bestuurlijke verantwoordelijkheid van de maatschappen en zorginstellingen waarbinnen zij veelal werkzaam zijn.

Het wetsvoorstel legt de plicht tot het vragen van toestemming, het geven van elektronische inzage en het informeren van patiënten op aan de zorgaanbieder. Grote instellingen zullen dat centraal vormgeven en daarover zo nodig met bijvoorbeeld maatschappen afspraken maken. Bij de individuele zorgverlener ligt de verantwoordelijkheid om na te gaan of hij gegevens beschikbaar stelt of inziet zoals past binnen iemands toestemmingsprofiel. Een elektronisch uitwisselingssysteem dat voldoet aan alle technische en organisatorische eisen zou een zorgverlener hierbij ook moeten ondersteunen. Hij zou geen inzage moeten kunnen doen, waarvoor de patiënt geen toestemming heeft verleend.

De leden van de PvdA-fractie vragen opheldering over de inschatting van de administratieve lasten bij de inwerkingtreding van de bepaling rond gespecificeerde toestemming. De leden geven aan dat in de nadere memorie van antwoord enerzijds wordt gezegd dat nu nog niet kan worden ingeschat wat de administratieve lasten zijn en anderzijds wel wordt geconcludeerd dat verwacht wordt dat die in de eindsituatie mee zullen vallen.

De regering is het eens met de leden van de PvdA-fractie dat deze twee zinsneden (onbedoeld) tegenstrijdig lijken. De regering deelt het perspectief dat de zorgpartijen voor ogen hebben in het traject rond de uitvoerbaarheid en nadere invulling van gespecificeerde toestemming, dat cliënten in de toekomst zelf hun toestemmingsprofiel kunnen beheren. In dit perspectief verwacht ik dat de administratieve lasten voor zorgverleners beperkt kunnen blijven als cliënten op een toegankelijke en gebruiksvriendelijke manier vanuit huis of een ziekenhuisportaal goed geïnformeerd toestemming kunnen verlenen. Voor een goed onderbouwde inschatting van de administratieve lasten is het echter nog te vroeg. Hiervoor is meer duidelijkheid nodig over de wijze waarop gespecificeerde toestemming in de zorgpraktijk wordt geïmplementeerd en andere factoren zoals de mate waarin cliënten daadwerkelijk zelf beheer gaan voeren. Doordat de aanbieders en patiënten nauw betrokken zijn bij de uitwerking hiervan, zullen de administratieve lasten daarin wel de aandacht krijgen.

Vragen en opmerkingen van de leden van de Groen Links-fractie

De leden van de Groen Links-fractie vragen of de interpretatie juist is dat ook bij volledig uitstel van invoering de basale bescherming van de privacy al is geregeld in onder andere de WGBO en de Wbp?

De basale bescherming van de privacy is inderdaad geregeld in de WGBO en Wbp, het wetsvoorstel stelt aanvullende eisen specifiek gericht op de elektronische verwerking van medische gegevens en uitwisseling daarvan via een elektronisch uitwisselingssysteem. Het wetsvoorstel versterkt de rechten van de patiënt, betere beveiliging van zijn gegevens en privacy.

Het klopt inderdaad als de leden van de Groen Links-fractie stellen dat met het niet invoeren van artikel 15b van het wetsvoorstel (toestemming vragen bij raadplegen gegevens) zorgaanbieders nog steeds alleen gegevens mogen raadplegen als er een behandelrelatie is. De cliënt zal door het amendement Bruins Slot gespecificeerd toestemming geven aan de zorgaanbieder met wie hij een behandelrelatie heeft om gegevens beschikbaar te stellen aan bepaalde (categorieën) zorgaanbieders.8 Nogmaals toestemming vragen als een zorgaanbieder (met wie de patiënt een behandelrelatie heeft) gegevens wil raadplegen zal door veel cliënten als herhaling worden ervaren.

De interpretatie van de leden van de Groen Links-fractie dat met het nog niet invoeren van artikel 15d en 15e van het wetsvoorstel (elektronisch afschrift, inzage en logging) zorgaanbieders met wie op dat moment geen behandelrelatie bestaat, gegevens zouden kunnen raadplegen zonder dat de patiënt dat kan achterhalen is niet juist. De patiënt heeft ook nu al, op grond van artikel 35 Wbp recht op inzage in de logging.

De leden van de Groen Links fractie vragen op welke termijn de gespecificeerde toestemming uitvoerbaar en handhaafbaar is en op welke termijn er zicht is op een patiëntenportaal waar de toestemmingen veilig en klantvriendelijk kunnen worden beheerd en of dit ook wordt gekoppeld aan inzage in logging-bestanden?

De inschatting- ook die van de zorgpartijen – is dat drie jaar een redelijke termijn is voor de uitvoerbaarheid van gespecificeerde toestemming en het realiseren van een portaal. Sommige zorgaanbieders zullen hier mogelijk eerder klaar voor zijn, omdat ze nu al een portaal aan patiënten kunnen aanbieden. Op basis van het HIMMS EMRAM model bevinden zich 10 ziekenhuizen op niveau 6 (één na hoogste) en 1 ziekenhuis op niveau 7 (hoogste). Deze ziekenhuizen zullen mogelijk eerder in staat zijn om gespecificeerde toestemming in te voeren.

Eerder in dit verslag heb ik u de stand van zaken toegelicht van het traject dat de zorgpartijen zijn gestart rond de invulling van gespecificeerde toestemming. Het project van de zorgpartijen ten aanzien van gespecificeerde toestemming is niet gekoppeld aan de inzage van de logging. De inzage van de logging hoort bij het recht op elektronische inzage. Bij elektronische inzage moet desgevraagd ook inzage in de loggegevens worden gegeven.

De leden van de Groen Links-fractie vragen op welke wijze het risico van een inbreuk op de anonimiteit van gegevens in het LSP wordt uitgesloten (zoals tijdens de deskundigenbijeenkomst door de heer Verheul beschreven als een verwijsindex9)?

De inbreng van de heer Verheul is relevant. Ik ben voornemens om aan de AMvB bepalingen ten aanzien van privacy enhanced technologies toe te voegen. Daarmee wordt voorkomen dat voortschrijdende technologische verbeteringen ten aanzien van privacybescherming niet worden toegepast. In algemene zin geldt dat de verantwoordelijke voor een systeem ervoor moet zorgen dat de verwerkte gegevens afdoende beveiligd zijn. Wellicht ten overvloede: dit geldt niet alleen voor het LSP maar voor alle elektronische uitwisselingssystemen. Dit wetsvoorstel en de AMvB zijn immers niet specifiek bedoeld voor het LSP, maar voor alle gebruikte elektronische infrastructuur.

Tenslotte vragen de leden van de Groen Links of voor het vaststellen van nadere NEN-normen voor de gegevensuitwisseling een ministeriële regeling volstaat, omdat daar al een wettelijke grondslag voor bestaat.

De NEN normen worden verplicht op grond van artikel 26 van de Wbp. Hiervoor is het niveau van een AMvB vereist, een ministeriele regeling is niet voldoende. Wel is het zo dat de NEN 7510 en 7512 reeds verplicht zijn bij het gebruik van het burgerservicenummer op grond van de Wet gebruik burgerservicenummer in de zorg.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers


X Noot
2

Kamerstukken I, 2015–2016, 33 509, nr. M.

X Noot
3

Bijlage bij de nadere memorie van antwoord, Kamerstukken I, 2015–2016, 33 509, nr J.

X Noot
4

Kamerstukken I 2015–2016, 33 509, L, p. 19.

X Noot
5

Brief van 13 mei 2016, griffienummer 156848.38.

X Noot
6

Artikel 15a van het wetsvoorstel.

X Noot
7

Bijlage bij de nadere memorie van antwoord, Kamerstukken I, 2015–2016, 33 509, nr J.

X Noot
8

Kamerstukken II, 2013–2014, 33 509 nr. 13

X Noot
9

Kamerstukken I 2015–2016, 33 509, L, p. 8.

Naar boven