ALGEMEEN

1. Aanleiding wetsvoorstel

Een belangrijke randvoorwaarde voor zorgverleners om goede zorg2 te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt3 op de juiste plek op het juiste moment. Denk bijvoorbeeld aan de situatie dat na overdracht door de medisch specialist een verpleeghuisarts tijdig de beschikking heeft over de gegevens van een cliënt, zodat hij precies weet wat de cliënt aan zorg nodig heeft. De urgentie van het beschikbaar hebben van deze gegevens doet zich bijvoorbeeld voor wanneer een cliënt met een herseninfarct wordt overgeplaatst naar een intra arteriële thrombectomie-centrum voor een acute ingreep. Als de gegevens op papier of via cd-rom pas met de cliënt meekomen, kan het medische behandelteam zich niet voorbereiden. Dit kan onnodig tijdverlies en risico’s voor de behandeling opleveren. Door het tijdig elektronisch uitwisselen van de juiste gegevens op een eenduidige manier kan goede zorgverlening worden bevorderd.

Zorgaanbieders maken op dit moment echter gebruik van verschillende manieren van uitwisseling van gegevens die vaak niet op elkaar aansluiten. Uitwisseling van gegevens gebeurt vaak nog via de analoge fax, papier, per post, DVD, of ontbreekt zelfs volledig waardoor actuele informatie niet (op tijd) voor de zorgverlener beschikbaar kan zijn.

Door gebruik te maken in de zorg van het elektronisch uitwisselen van gegevens aan de hand van eenduidige eisen aan taal en techniek kunnen de juiste gegevens op een eenduidige manier tijdig worden uitgewisseld. Om zorgverleners elektronisch met elkaar te laten communiceren zal hierbij gebruik gemaakt worden van een elektronische infrastructuur. Onder een dergelijke infrastructuur wordt verstaan: een geheel van netwerken alsmede de benodigde hardware en software waarmee personen en organisaties elektronisch met elkaar kunnen communiceren. Daartoe behoort niet het uitwisselen van gegevens door gebruik te maken van bijvoorbeeld een USB-stick of DVD.

Momenteel vindt elektronische gegevensuitwisseling echter nog zeer beperkt plaats. Daar waar gegevensuitwisseling al wel elektronisch plaatsvindt, verloopt deze vaak niet zonder problemen aangezien er op dit moment een gebrek is aan eenduidigheid in taal en techniek.

Daarbij komt dat de uitwisseling van gegevens in de zorg steeds belangrijker wordt, nu steeds meer cliënten zorg uit verschillende domeinen en regio’s ontvangen waarbij meerdere zorgverleners en zorgaanbieders betrokken zijn. Hierdoor is meer coördinatie van de zorg nodig en ontstaat dus een toenemende behoefte aan eenduidige elektronische gegevensuitwisseling. Zorgverleners moeten van elkaar weten wat zij doen en waarom. In deze context is het op elektronische wijze uitwisselen van gegevens van grote toegevoegde waarde voor het verlenen van goede zorg. Ook tijdens de coronacrisis is gebleken dat het kunnen beschikken over medische gegevens van de huisarts in spoedsituaties op de huisartsenpost en de spoedeisende eerste hulp voor de juiste behandeling van cliënten van groot belang is.

De Tweede Kamer heeft op meerdere momenten en in meerdere moties de Minister voor Medische Zorg (hierna: de Minister) gevraagd om meer regie te nemen om te komen tot elektronische gegevensuitwisseling tussen zorgverleners.4 De vraag om meer regie is ook gesteld vanuit de zorgpartijen, verenigd in het Informatieberaad Zorg. Het regelen hoe gegevens moeten worden uitgewisseld, vormt een randvoorwaarde voor het verlenen van goede zorg.

In verschillende brieven aan de Tweede Kamer5 en in het Algemeen Overleg met de Tweede Kamer van 9 oktober 2019 inzake Gegevensuitwisseling in de zorg, heeft de Minister aangegeven de gevraagde regie te willen nemen en het voorliggende wetsvoorstel aangekondigd.6

Dit wetsvoorstel vormt een onderdeel van de regie die op verzoek van het zorgveld en de Tweede Kamer is gevraagd.

Het doel is het bereiken van volledige interoperabiliteit als het gaat om elektronische gegevensuitwisseling tussen zorgverleners aan de hand van eenduidige eisen aan taal en techniek. Dit wordt bereikt door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij de genormaliseerde eisen aan taal en techniek onafhankelijk zijn van een specifieke elektronische infrastructuur. Daarmee wordt voorkomen dat niet slechts één systeem voor een specifieke gegevensuitwisseling gaat gelden. Het wetsvoorstel leidt daarmee niet tot de introductie van het gebruik van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling.

Deze memorie van toelichting is mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (hierna: BZK) vanwege zijn verantwoordelijkheid voor de Kaderwet zelfstandige bestuursorganen (hierna: Kaderwet zbo’s).

2. Doel en hoofdlijnen van het wetsvoorstel

2.1 Probleembeschrijving

Er zijn verschillende oorzaken aan te wijzen voor het niet volledig tot stand komen van het op elektronische wijze uitwisselen van gegevens:

• – Gebrek aan eenduidigheid in taal. «De zorg» is groot en divers, met veel verschillende beroepsgroepen. Vrijwel alle beroepsgroepen hebben een eigen vaktaal. Hierdoor begrijpen zorgverleners de uitgewisselde gegevens niet altijd of ontstaan er misverstanden. Bij het op elektronische wijze uitwisselen van gegevens is dit een groot probleem, omdat geen menselijke interpretatie meer is die voor de benodigde vertaling zorgt. Immers in dat geval worden gegevens direct, dus zonder menselijke tussenkomst, overgedragen tussen informatietechnologieproducten of -diensten. Daarom zijn eenduidige afspraken nodig voor termen die gebruikt worden bij het uitwisselen van gegevens. Die eenduidige afspraken zijn er nog niet voldoende, en waar ze er zijn worden ze nog niet zorgbreed toegepast.

• – Gebrek aan eenduidigheid in techniek. Er is op dit moment geen volledige interoperabiliteit tussen de verschillende gebruikte informatietechnologieproducten of -diensten, omdat voor bepaalde gegevensuitwisselingen geen afspraken over eenduidigheid van techniek bestaan en de afspraken voor andere gegevensuitwisselingen niet op elkaar aansluiten (bijvoorbeeld voor de uitwisseling van radiologische beelden). Hierdoor kan het voor zorgverleners moeizaam of niet mogelijk zijn om gegevens uit te wisselen.

• – Gebrek aan een integrale aanpak om tot het elektronisch uitwisselen van gegevens te komen en uiteenlopende belangen van verschillende betrokken partijen. Zorgaanbieders, zorgverleners en aanbieders van informatieproducten of -diensten werken parallel en in decentrale verbanden aan digitalisering van gegevensuitwisselingen. Er is daardoor geen zorgbrede focus op welke gegevensuitwisselingen als eerste elektronisch moeten verlopen, wat tot gevolg heeft dat er geen zorgbrede afspraken gemaakt worden op het gebied van taal en techniek. Daardoor komt de zorgbrede gegevensuitwisseling niet tot stand.

De omvang van het probleem laat zich illustreren door de volgende voorbeelden:

• – Mensen met een chronische ziekte hebben met verschillende zorgverleners te maken. In Nederland heeft 70 procent van de mensen van 65 jaar en ouder een chronische ziekte. Van de mensen van 75 jaar en ouder met een chronische ziekte, heeft 63 procent twee of meer chronische ziekten (multimorbiditeit) en 32 procent drie of meer. Ouderen hebben daarom met verschillende zorgverleners te maken die van elkaar moeten weten wat ze doen. Zoals wie welke medicatie heeft voorgeschreven, omdat eerder voorgeschreven medicatie van invloed kan zijn op de werking van nieuwe medicatie.7

• – Jaarlijks vinden meer dan 460.000 verpleegkundige overdrachten plaats tussen zorgaanbieders. Een verpleegkundige overdracht kan nu in totaal 4 uur kosten omdat er tot 8 keer dezelfde informatie moet worden overgetypt.8 Dit brengt een hoog risico op fouten en een grote administratieve last met zich mee. Ook zorgt dit ervoor dat onvolledige informatie, geen overdracht of een onduidelijke overdracht momenteel als belangrijke knelpunten worden gezien bij het uitwisselen van verpleegkundige gegevens. Zo geeft 64% van de verpleegkundigen en verzorgenden aan essentiële informatie te missen in de huidige verpleegkundige overdracht om het zorgproces in de nieuwe zorgsetting te kunnen continueren.9

2.2 Doelstellingen en noodzaak wetgeving

Goede gezondheidszorg is een publiek belang. Het bevorderen van de volksgezondheid is een verantwoordelijkheid van de overheid en is neergelegd in artikel 22 van de Grondwet (hierna: Gw). De overheid heeft echter in de zorg bij het realiseren van het elektronisch uitwisselen van gegevens een terughoudende rol gehad. Dit omdat veldpartijen zelf verantwoordelijk zijn voor goede zorg en daarmee ook voor de inrichting en totstandbrenging van een dergelijke gegevensuitwisseling. Deze terughoudendheid kwam mede voort uit het verwerpen van het wetsvoorstel dat zag op het landelijk Elektronisch Patiëntendossier10 door de Eerste Kamer op 5 april 2011 en de motie van het lid Tan (PvdA) c.s.11 uit 2011, waar in paragraaf 2.2.1 nader op in wordt gegaan.

De afgelopen periode – zoals eerder aangegeven – hebben zowel de Tweede Kamer als de zorgpartijen de Minister gevraagd om meer regie te nemen op het gebied van elektronische gegevensuitwisseling tussen zorgverleners. Er is een duidelijke behoefte aan meer overheidsbetrokkenheid op dit onderwerp. In feite is sprake van een inhaalslag, nu de overheid zich lange tijd terughoudend heeft opgesteld.

2.2.1 Verhouding voorliggend wetsvoorstel tot wetsvoorstel landelijk EPD

Het wetsvoorstel dat zag op het landelijk Elektronisch patiëntendossier (EPD) regelde de grondslag voor een verplichting van het gebruik van een landelijk systeem waarbij de zorgverleners op basis van een in de wet gecreëerde grondslag (wettelijke plicht) werden verplicht om (bijzondere) persoonsgegevens van de cliënt in een EPD (niet centraal maar bij de zorgaanbieder, afgeleid van het reguliere medisch dossier) vast te leggen en beschikbaar te stellen via het Landelijk Schakelpunt (LSP). De Eerste Kamer had bezwaar tegen de generieke opzet en een te alomvattend systeem en de wettelijke verplichting die werd gecreëerd voor de zorgverlener om het medisch beroepsgeheim te doorbreken zonder dat de cliënt daarvoor afzonderlijk toestemming behoefde te geven. Daarnaast zag de Eerste Kamer een te groot risico op het gebied van privacy. De motie van het lid Tan verzocht de regering om verdere beleidsinhoudelijke, financiële en organisatorische medewerking aan de ontwikkeling van het LSP te beëindigen.

2.2.2 Ondersteuning zorgveld realisering elektronische gegevensuitwisseling

In de afgelopen jaren heeft de overheid zonder een grote regierol op zich te nemen op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering van gestandaardiseerde elektronische gegevensuitwisseling:

• – In 2014 is een eerste stap tot samenwerking en coördinatie gezet door het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) met de oprichting van het Informatieberaad Zorg. In het Informatieberaad Zorg wordt samen met veldpartijen gewerkt aan een duurzaam informatiestelsel. Het Informatieberaad Zorg werkt aan een aantal doelen, waaronder gestandaardiseerde gegevensuitwisseling en het eenmalig vastleggen van gegevens.

• – In de verschillende Hoofdlijnenakkoorden heeft gestandaardiseerde elektronische gegevensuitwisseling een prominente plek gekregen. Zo is in het Hoofdlijnenakkoord Medische Specialistische Zorg 2019–2022 opgenomen dat partijen de afgesproken standaarden implementeren, waaronder de Basisgegevensset Zorg (BgZ) en andere Zorginformatie bouwstenen (ZIB’s) en de MedMij standaarden.13

• – Er zijn programma’s gestart ter ondersteuning van de standaardisatie van gegevensuitwisseling, zoals het programma Registratie aan de bron14 en het programma Medicatieproces.15

• – Vanaf 2017 stimuleert het kabinet diverse versnellingsprogramma’s voor de informatie-uitwisseling tussen cliënt en professional (VIPP-regelingen) in onder meer de geestelijke gezondheidszorg (GGZ), ziekenhuizen, zelfstandige behandelcentra, de geboortezorg, en huisartsen. Tevens is er een versnellingsprogramma in de langdurige zorg waarbij gestandaardiseerde elektronische gegevensuitwisseling tussen zorgorganisaties in de care (VVT, GGZen Gehandicaptenzorg) en met zorgorganisaties in de cure zoals ziekenhuizen en huisartsen) wordt gestimuleerd. Deze VIPP-regelingen zijn er voor zowel de uitwisseling tussen zorgverleners, als tussen de zorgverlener met de cliënt. De VIPP-regelingen hebben als primair doel ervoor te zorgen dat cliënten digitaal over hun medische gegevens kunnen beschikken en deze kunnen gebruiken voor regie op hun zorg en gezondheid. Zorgaanbieders ontvangen subsidie om ervoor te zorgen dat deze gegevens digitaal op een veilige en gestandaardiseerde manier aan de cliënt verstrekt kunnen worden, gebruikmakend van landelijke standaarden die zorgbreed en binnen sectoren zijn vastgelegd. Hiermee hebben VIPP-programma’s een belangrijke basis gelegd voor gestandaardiseerde elektronische vastlegging en informatie-uitwisseling.

• – Voor de informatie-uitwisseling met de cliënt is het MedMij-afsprakenstelsel ingericht. MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de cliënt, bijvoorbeeld in een persoonlijke gezondheidsomgeving (PGO). Daarvoor moet zo’n PGO veilig kunnen communiceren met alle plekken waar informatie van de cliënt staat opgeslagen. Denk aan het ziekenhuis of de huisarts. Een dergelijk afsprakenstelsel bestaat niet voor het onderling uitwisselen van gegevens tussen zorgverleners, wat betekent dat gegevens over cliënten nog niet altijd op elektronische wijze uitgewisseld kunnen worden. De MedMij afspraken16 definiëren specifieke gegevensuitwisselingen tussen professionals en cliënten, waar zoveel mogelijk gebruik van wordt gemaakt voor het elektronisch uitwisselen tussen professionals. Het gaat immers bij de uitwisseling van gegevens tussen zorgverleners in de regel om dezelfde gegevens die ook met de cliënt worden uitgewisseld en waarbij gebruik kan worden gemaakt van dezelfde standaarden.

2.2.3 Meer regie noodzakelijk

Door het veld zijn – met deze ondersteunende programma’s en maatregelen – belangrijke stappen in de goede richting gezet en is er een basis gelegd op weg naar het realiseren van genormaliseerde en daarmee het onafhankelijk van een specifieke elektronische infrastructuur uitwisselen van gegevens. Dit betekent dat geen specifieke elektronische infrastructuur zal worden voorgeschreven. Ondanks dat belangrijke stappen in de goede richting zijn gezet, zijn deze echter nog onvoldoende gebleken om de hierboven genoemde problemen over gebrek aan eenduidige taal, techniek en regie op te lossen.

2.3 Reikwijdte wetsvoorstel

Dit wetsvoorstel ziet op het op elektronische wijze uitwisselen van gegevens tussen zorgverleners bij aangewezen gegevensuitwisselingen binnen en tussen de zorgdomeinen. Het gaat daarbij over het delen en benaderen van gegevens. Het wetsvoorstel stelt met het oog daarop verplichtingen aan zorgaanbieders en eisen aan degene die een informatietechnologieproduct of -dienst aanbiedt.

2.3.1 Zorgdomeinen

Het wetsvoorstel ziet op het (genormaliseerd) elektronisch uitwisselen van gegevens tussen zorgverleners onderling, binnen en tussen de zorgdomeinen en op informatietechnologieproducten of -diensten die gebruikt worden voor het uitwisselen van die gegevens. Dat betekent dat het wetsvoorstel geldt voor:

• – zorg of dienst als omschreven bij of krachtens de Zorgverzekeringswet (hierna: Zvw) (Zvw-zorg);

• – zorg of dienst als omschreven bij of krachtens de Wet langdurige zorg (hierna: Wlz) (Wlz-zorg); en

• – handelingen op het gebied van de individuele gezondheidszorg als bedoeld in artikel 1 van de Wet op de beroepen in de individuele gezondheidszorg, niet zijnde Zvw-zorg of Wlz-zorg, en handelingen met een ander doel dan het bevorderen of bewaken van de gezondheid van de cliënt (andere zorg).

Het wetsvoorstel ziet daarmee niet op het op elektronische wijze uitwisselen van gegevens tussen de zorgverlener en de cliënt, maar enkel op uitwisseling tussen zorgverleners onderling.

De zorg die een cliënt ontvangt, is lang niet altijd beperkt tot één zorgverlener. Immers, een cliënt kan bij bepaalde problematiek met meerdere zorgverleners, al dan niet binnen een zorgaanbieder, te maken krijgen. Ook op deze situaties ziet dit wetsvoorstel.

In de eerdergenoemde brieven van de Minister aan de Tweede Kamer zijn in concept dertien gegevensuitwisselingen17 genoemd die als eerste in aanmerking komen om de gegevensuitwisseling elektronisch te laten plaatsvinden. Deze prioritaire gegevensuitwisselingen passen allemaal binnen de reikwijdte van het wetsvoorstel.

2.3.2 Uitwisselen door middel van een elektronische infrastructuur

Met het elektronisch uitwisselen van gegevens wordt gedoeld op het delen en benaderen van gegevens waarbij ten minste gebruik wordt gemaakt van een elektronische infrastructuur. Een elektronische infrastructuur geldt, zoals reeds in hoofdstuk 1 is vermeld, als het geheel van netwerken en de benodigde hardware en software waarmee personen en organisaties elektronisch met elkaar kunnen communiceren. Het wetsvoorstel ziet niet op de uitwisseling via fysieke gegevensdragers, zoals een papieren fax, Cd-rom of USB-stick. Het uitwisselen van gegevens door middel van een Pdf-bestand die via een computerverbinding wordt verzonden kan daarentegen wel worden beschouwd als een gegevensuitwisseling door middel van een elektronische infrastructuur.

Delen en benaderen omvat het verzenden, ontvangen, inzien, uploaden, downloaden, verzamelen, opvragen, enzovoort van gegevens.

Met delen wordt gedoeld op het rechtstreeks tussen zorgverleners delen van gegevens al dan niet op genormaliseerde wijze.

Met benaderen wordt gedoeld op het verkrijgen van toegang tot die gegevens. Op deze wijze worden gegevens indirect verkregen van een andere zorgverlener. Een voorbeeld van «benaderen» is de situatie waarbij een behandelend arts op de spoedeisende hulp inzage krijgt in de relevante gegevens van de cliënt in het dossier dat zich bij zijn huisarts bevindt.

Het resultaat van de aanwijzing in spoor 2 is dat eisen aan taal en techniek genormaliseerd zijn, zodat gegevens van een cliënt door zorgverleners eenduidig kunnen worden vastgelegd en gedeeld, zodat een zorgverlener meteen bij binnenkomst van een cliënt over de belangrijkste algemene en medische gegevens van de cliënt kan beschikken en de behandeling zonder onnodige vertraging kan worden gestart of voortgezet. In spoor 1 wordt op korte termijn nog geen volledige interoperabiliteit nagestreefd en blijft de mogelijkheid bestaan om ongestructureerde data (zoals een Pdf-bestand) uit te wisselen.

Het staat zorgverleners uiteraard vrij om naast de verplichte uitwisseling van gegevens door middel van een elektronische infrastructuur ook op een andere wijze met elkaar gegevens uit te wisselen. Zorgverleners kunnen eventueel parallel ook gegevens telefonisch of mondeling delen. Dit geldt ook voor de verplicht uit te wisselen gegevens van bij AMvB aangewezen gegevensuitwisselingen.

2.3.3 Gegevens

Kwaliteitsstandaarden

Welke gegevens nodig zijn als onderdeel van de goede zorg wordt – met het oog op de professionele autonomie – bepaald door de zorgverleners. Zo bepalen zorgverleners bijvoorbeeld dat gegevens over bloeddruk nodig zijn voor goede zorg en dus ook – bijvoorbeeld in het kader van overdracht – moeten worden uitgewisseld. Zorgverleners leggen dit neer in onderdelen van de professionele standaard of in kwaliteitsstandaarden. Bij kwaliteitsstandaarden geldt dat deze gezamenlijk met organisaties van zorgverleners/zorgaanbieders, cliënten en zorgverzekeraars/zorgkantoren worden opgesteld. Daarbij blijft het uitgangspunt van kracht dat de kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens uit te wisselen. Hierin wordt met dit wetsvoorstel geen wijziging aangebracht.

Op grond van de Wkkgz moeten zorgaanbieders ervoor zorgen dat zorgverleners overeenkomstig kwaliteitsstandaarden handelen. Dat laat onverlet dat de zorgverlener altijd nog zelf een afweging moet maken of het in het kader van de behandeling daadwerkelijk noodzakelijk is om alle in de kwaliteitsstandaarden opgenomen gegevens uit te wisselen. De zorgverlener maakt in een concreet geval zelf de afweging of en welke gegevens moeten worden uitgewisseld voor het leveren van goede zorg in die specifieke situatie en passend bij de behoeften van de individuele cliënt.

De eisen die in de AMvB onder dit wetsvoorstel worden gesteld over hoe de gegevens uitgewisseld moeten worden (bijvoorbeeld via eisen aan taal en techniek), moeten aansluiten op de gegevens die volgens de professionals nodig zijn voor de goede zorg. Gedacht kan worden aan de eisen die zijn opgenomen in de zorginformatiebouwsteen over bloeddruk, waarin bijvoorbeeld staat dat aangegeven dient te worden wat de boven- en onderdruk is in welke meetwaarde, en kan meegegeven worden wat de houding van de cliënt was bij het meten van de bloeddruk.

Kwaliteitsstandaarden lenen zich goed als bron waarnaar in de bij AMvB te stellen eisen kan worden verwezen als het gaat om welke gegevens nodig zijn voor goede zorg en moeten worden uitgewisseld.

Een kwaliteitsstandaard is altijd kenbaar doordat die wordt opgenomen in het openbaar register van het Zorginstituut Nederland (hierna: Zorginstituut).18 Ook is geborgd dat alle relevante partijen betrokken zijn bij de totstandkoming van de kwaliteitsstandaard (tripartiete indiening).

De verwachting is dat het veld – waar nodig – zelf kwaliteitsstandaarden voor de bij AMvB aan te wijzen gegevensuitwisselingen zal opstellen of wijzigen, aangezien het verzoek om regie op gegevensuitwisseling onder andere vanuit het veld afkomstig is. Bijvoorbeeld wanneer er nog geen kwaliteitsstandaarden zijn of de huidige kwaliteitsstandaarden onvoldoende basis geven. Echter, mocht een kwaliteitsstandaard onverhoopt niet tot stand komen, dan kan de Minister het Zorginstituut vragen de betreffende kwaliteitsstandaard op de Meerjarenagenda van het Zorginstituut te plaatsen. Het Zorginstituut heeft in dat geval al doorzettingsmacht op grond van het huidige recht. Mochten de tripartiete partijen er dan niet (op tijd) uitkomen, dan kan het Zorginstituut de Adviescommissie Kwaliteit (in overleg met de tripartiete partijen) vragen de kwaliteitsstandaard op te stellen, waarna het Zorginstituut betreffende kwaliteitsstandaard kan opnemen in het Openbare Register.

De huidige kwaliteitsstandaarden zijn niet altijd volledig als het gaat om de beschrijving welke gegevens nodig zijn voor goede zorg. Dit betekent dat in de huidige kwaliteitsstandaarden mogelijk niet altijd ingegaan wordt op welke gegevens nodig zijn als onderdeel van de goede zorg. Bovendien zijn er nog niet veel sector overstijgende kwaliteitsstandaarden. Sommige sectoren werken nog zeer beperkt met kwaliteitsstandaarden. Dit betekent dat een aanvullings- of actualisatieslag nodig kan zijn op de kwaliteitsstandaarden voordat bij AMvB een gegevensuitwisseling in spoor 1 dan wel spoor 2 aangewezen wordt. Dit proces kan parallel lopen aan de ontwikkeling van de eisen aan hoe uitgewisseld moet worden. Uiteraard hoeven niet alle kwaliteitsstandaarden meteen aangepast te worden met het oog op dit wetsvoorstel. Dit kan stapsgewijs, in het verlengde van de stapsgewijze aanwijzing van gegevensuitwisselingen bij AMvB. Soms zal de aanpassing van de kwaliteitsstandaard beperkt zijn tot het opnemen van een paragraaf over noodzakelijk uit te wisselen gegevens. Voor de gegevensuitwisselingen waarvan beoogd is om die op korte termijn bij AMvB aan te wijzen, maar de kwaliteitsstandaard nog moet worden opgesteld of aanpassing behoeft, geldt een overgangsperiode van 5 jaar. In paragraaf 10.3 van deze memorie wordt hier uitgebreid op ingegaan.

Zoals hierboven is weergegeven zal de kwaliteitsstandaard leidend zijn voor welke gegevens worden uitgewisseld en zal de hoe door dit wetsvoorstel worden bepaald. Een wijziging van goede zorg en daarmee een wijziging in welke gegevens worden uitgewisseld, kan dan ook alleen worden bewerkstelligd door middel van (een wijziging van) de kwaliteitsstandaard.

In het geval een kwaliteitsstandaard wijzigt die betrekking heeft op een reeds bij AMvB aangewezen gegevensuitwisseling, wordt in artikel 7.2 een nieuw artikel 11k in de Wkkgz voorgesteld dat bepaalt dat het Zorginstituut de Minister informeert over een voorgedragen kwaliteitsstandaard.

Dit wetsvoorstel wijzigt overigens de bestaande toetsingsprocedure van het Zorginstituut van kwaliteitsstandaarden niet. Het is en blijft de verantwoordelijkheid van de tripartiete partijen om waar nodig met het oog op het op elektronische wijze uitwisselen van gegevens, een of meerdere kwaliteitsstandaarden op te stellen of te wijzigen.

Bij AMvB zal bij de aanwijzing van een gegevensuitwisseling worden verwezen naar de desbetreffende kwaliteitsstandaard. Welke versie van die kwaliteitsstandaard geldt zal bij ministeriële regeling worden bepaald. De verwijzing naar de kwaliteitsstandaard is dus statisch: verwezen wordt naar de tekst zoals die op een bepaald tijdstip luidde. Een dynamische verwijzing (zijnde een verwijzing naar de tekst zoals die met inbegrip van sinds de totstandkoming vastgestelde wijzigingen luidt of zal luiden) is onwenselijk omdat dit niet zorgt voor maximale duidelijkheid voor het zorgveld en de aanbieders van informatietechnologieproducten of -diensten en niet passend is bij de regie van de overheid op de bepaling van eisen.

Wet- en regelgeving voor het verlenen van goede zorg of met het oog daarop

In bepaalde gevallen wordt in wet- en regelgeving bepaald wat goede zorg is en welke gegevens noodzakelijk zijn voor het verlenen van goede zorg of met het oog daarop. Bijvoorbeeld bij de jeugdgezondheidszorg. Jeugdgezondheidszorg is onderdeel van de publieke gezondheidszorg als bedoeld in de Wet publieke gezondheid (hierna: Wpg). Welke zorg noodzakelijk is voor een goede jeugdgezondheidzorg staat in het geval van jeugdgezondheidzorg op grond van artikel 5, tweede lid, in samenhang met het vijfde lid, van de Wpg in hoofdstuk III van het Besluit publieke gezondheid (hierna: Bpg). Dit maakt dat de jeugdgezondheidszorg als gegevensuitwisseling kan worden aangewezen bij algemene maatregel van bestuur (hierna: AMvB) onder dit wetsvoorstel en dat daarbij verwezen kan worden naar de Bpg. Bij de aanwijzing zal worden bezien of er een aanscherping nodig is van de Bgp zodat voldoende duidelijk is welke gegevens worden uitgewisseld ten behoeve van goede jeugdgezondheidzorg. De AMvB waarin de jeugdgezondheidzorg als gegevensuitwisseling in een spoor 1 of spoor 2 wordt aangewezen, bepaalt vervolgens hoe de gegevens worden uitgewisseld.

2.3.4 Uitwisseling gegevens tussen zorgverleners

Dit wetsvoorstel ziet op de uitwisseling van gegevens tussen zorgverleners. Voor wat verstaan wordt onder een zorgverlener is aangesloten bij het begrippenkader van de Wkkgz. Dit geldt ook voor het begrip «cliënt», «zorg» en «zorgaanbieder». Een zorgverlener is een natuurlijke persoon die beroepsmatig zorg verleent. Hiermee wordt gedoeld op degene die de zorg daadwerkelijk verleent, oftewel «de handen». Dat kan een zorgverlener in loondienst zijn, een vrijgevestigde zorgverlener of zzp’er die binnen een organisatorisch verband werkzaam is, maar ook een solistisch werkende zorgverlener, in zijn rol als daadwerkelijke zorgverlener.

Met het begrip «zorgaanbieder» wordt gedoeld op «de bestuurder». Een zorgaanbieder kan een instelling zijn, maar ook een solistisch werkende zorgverlener, in zijn rol als bestuurder.

Het is de zorgaanbieder die verantwoordelijk is voor de materiële middelen (zoals informatietechnologieproducten of -diensten) waarvan gebruik wordt gemaakt en voor de organisatie van de informatiehuishouding. De zorgverleners hebben hier in beginsel geen rol in en kunnen de verplichtingen niet realiseren. Daarom zijn de verplichtingen uit dit wetsvoorstel opgelegd aan de zorgaanbieder, en niet aan de zorgverlener. Om zijn verantwoordelijkheid te kunnen waarmaken, moet de zorgaanbieder het zo organiseren, dat de zorgverleners verantwoording afleggen aan de zorgaanbieder. Daarbij is het niet relevant of deze personen in loondienst zijn van de zorgaanbieder of op andere wijze door de zorgaanbieder worden ingeschakeld. Hoewel de verplichtingen op grond van dit wetsvoorstel dus zien op uitwisseling van gegevens tussen zorgverleners, is de zorgaanbieder ervoor verantwoordelijk dat de uitwisseling door zorgverleners plaatsvindt overeenkomstig die verplichtingen.

Het wetsvoorstel betreft het uitwisselen van gegevens over de cliënt, maar niet de uitwisseling van gegevens met de cliënt. Voor de informatie-uitwisseling richting de cliënt is het MedMij- afsprakenstelsel ingericht. Dit afsprakenstelsel is onder paragraaf 2.2 toegelicht. Dit laat onverlet dat het wetsvoorstel ook positieve effecten kan hebben op de gegevensuitwisseling met de cliënt. Doordat gegevens met behulp van een elektronische infrastructuur beschikbaar worden en tussen zorgverleners op die wijze worden uitgewisseld, kunnen deze logischerwijs ook makkelijker uitgewisseld worden met de cliënten. Dit positieve effect wordt nog eens versterkt doordat bij de ontwikkeling van een NEN-norm rekening zal worden gehouden met het MedMij- afsprakenstelsel. Wanneer een NEN-norm wordt ontwikkeld, zal namelijk altijd gestart worden met een brede inventarisatie. Het proces staat open voor alle belanghebbenden. Tijdens deze inventarisatie wordt onder meer in kaart gebracht welke (internationale) standaarden en andersoortige afspraken beschikbaar zijn, die als input kunnen dienen voor de normontwikkeling. Hierbij worden onder meer de afspraken vanuit het MedMij-stelsel meegenomen. Bovendien zal de Minister bij de opdrachtverlening als richtinggevend kader meegeven dat de norm zoveel mogelijk rekening dient te houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij.

2.3.5 Gegevensuitwisselingen

De in dit wetsvoorstel opgenomen verplichtingen zullen stapsgewijs van kracht worden. Bij AMvB zullen gegevensuitwisselingen worden aangewezen waarvoor de verplichtingen gaan gelden. Een gegevensuitwisseling kan bijvoorbeeld zijn »digitaal receptenverkeer», «verpleegkundige overdracht van ziekenhuis naar instelling of thuiszorg» of «beelduitwisseling tussen ziekenhuizen». De reikwijdte van een gegevensuitwisseling kan op verschillende manieren worden begrensd. Bijvoorbeeld door te specificeren welke gegevens het betreft, of door aan te geven om welke zorgaanbieders het gaat. Bij de duiding van de zorgaanbieders kunnen allerlei criteria worden toegepast, zoals de grootte van de zorgaanbieder in termen van omzet, personeelsbezetting of cliënten. Zoals in paragraaf 2.3.1 al is aangegeven zijn in de eerdergenoemde brieven van de Minister aan de Tweede Kamer in concept dertien gegevensuitwisselingen genoemd die als eerste in aanmerking komen om te worden aangewezen. De prioritering van de gegevensuitwisselingen zal worden opgenomen in de Meerjarenagenda Wegiz. Op welke wijze de Meerjarenagenda Wegiz tot stand komt en hoe besloten wordt welke gegevensuitwisseling prioritair is, wordt nader toegelicht in paragraaf 3.2.

3. Nadere toelichting structuur wetsvoorstel

3.1 Inleiding

Voordat een gegevensuitwisseling bij AMvB zal worden aangewezen, zal die gegevensuitwisseling eerst als prioritair worden aangemerkt. Welke gegevensuitwisselingen prioritair zijn volgt uit de zogenoemde Meerjarenagenda Wegiz.

In dit hoofdstuk zal worden ingegaan op de totstandkoming van de Meerjarenagenda Wegiz (paragraaf 3.2), degenen voor wie de verplichtingen gelden (paragraaf 3.3), de verplichting om met behulp van een elektronische infrastructuur gegevens uit te wisselen (paragraaf 3.4), normalisatie en standaardisatie (paragraaf 3.5), initiatiefmogelijkheden voor de Minister (paragraaf 3.6), certificering (paragraaf 3.7) en de Kaderwet zelfstandige bestuursorganen (paragraaf 3.8).

3.2 Aan te wijzen gegevensuitwisselingen

De Meerjarenagenda Wegiz betreft een lijst van gegevensuitwisselingen waarvan de Minister van oordeel is dat ze prioritair zijn. Het kan gaan om gegevensuitwisselingen die door het zorgveld zijn aangedragen als prioritair, of de Minister zelf prioritair acht. In dat laatste geval zal uiteraard overleg plaatsvinden met het zorgveld. Voordat gegevensuitwisselingen op de Meerjarenagenda Wegiz worden geplaatst, worden ze op een verzamellijst gezet. Voor elke aangeleverde gegevensuitwisseling op de verzamellijst wordt beoordeeld wat de verwachting is over:

• a. De toegevoegde waarde voor het verlenen van goede zorg: het risico op vermijdbare fouten moet bijvoorbeeld merkbaar kleiner worden. Daarbij is ook van belang hoeveel cliënten direct gezondheidsvoordeel hebben van een wettelijke verplichting.

• b. De realiseerbaarheid: het is noodzakelijk dat duidelijk is welke gegevens verplicht uitgewisseld moeten worden voor het verlenen van goede zorg (in een kwaliteitsstandaard of in wet- en regelgeving, zie ook de toelichting in paragraaf 2.3.3). Daarnaast moet het technisch mogelijk zijn dat de gegevens worden uitgewisseld, bijvoorbeeld door landelijke dekking van onderling verbonden infrastructuren.

• c. Het draagvlak: in beginsel geldt dat voor het plaatsen van een gegevensuitwisseling op de Meerjarenagenda Wegiz er voldoende draagvlak voor moet zijn bij het veld.

De Minister toetst deze elementen aan de hand van een effectenverkenning19 en daarbij behorende eenduidige, vooraf aan het veld gecommuniceerde, criteria. Met dit analyse-instrument kan op een relatief snelle manier inzicht worden verkregen in de kwalitatieve effecten van de op de verzamellijst vermelde gegevensuitwisselingen.

Om op de lijst van geprioriteerde gegevensuitwisselingen te kunnen worden aangewezen, is ook vereist dat:

• – er tijdig een kwaliteitsstandaard is, waarin beschreven is welke informatie moet worden uitgewisseld in het kader van goede zorgverlening; of

• – de ontwikkeling van de kwaliteitsstandaard is geplaatst op de Meerjarenagenda van het Zorginstituut en concreet is wanneer de ontwikkeling hiervan gereed is; of

• – een wettelijke basis aanwezig is of ontwikkeld wordt en concreet is wanneer de ontwikkeling hiervan gereed is, die bepaalt welke gegevens moeten worden uitgewisseld.

Op basis van de beoordeling van al deze aspecten, stelt de Minister een concept op van de lijst met geprioriteerde gegevensuitwisselingen. Deze concept-lijst wordt ter consultatie voorgelegd aan het Informatieberaad Zorg. Na de beoordeling van de inbreng van het Informatieberaad Zorg, stelt de Minister de definitieve lijst als onderdeel van de Meerjarenagenda Wegiz vast. De Minister informeert de Tweede Kamer over de gegevensuitwisselingen die aangewezen kunnen worden op grond van artikel 1.4, eerste lid, door toezending van de Meerjarenagenda Wegiz (artikel 1.3, eerste lid) en geeft voor die gegevensuitwisselingen de uitkomst weer van de verwachtingen op de hiervoor genoemde onderdelen.

Periodiek wordt een nieuwe Meerjarenagenda Wegiz opgesteld. De Minister zendt de geactualiseerde Meerjarenagenda Wegiz weer aan de Tweede Kamer.

3.3 Verplichtingen voor zorgaanbieders en eisen aan informatie- en technologieproducten

De verplichting om bij een aangewezen gegevensuitwisseling door middel van een elektronische infrastructuur gegevens uit te wisselen, wordt in dit wetsvoorstel opgelegd aan zorgaanbieders. In paragraaf 2.3, onder «Uitwisseling gegevens tussen zorgverleners», is toegelicht waarom de verplichting is opgelegd aan zorgaanbieders en niet aan zorgverleners.

De zorgaanbieder moet erop toezien dat – als op grond van de aanwijzing in spoor 2, eisen zijn gesteld – de zorgverlener hieraan voldoet. De zorgaanbieder hoeft niet aan alle eisen te voldoen die bij of krachtens AMvB zijn gesteld. De zorgaanbieder hoeft namelijk niet te voldoen aan de (technische) eisen die gesteld worden aan een informatietechnologieproduct of -dienst waarvoor een certificaat is vereist. De zorgaanbieder is dan uiteraard wel verplicht op grond van artikel 2.1, derde lid, om de zorgverlener alleen gebruik te laten maken van die gecertificeerde informatietechnologieproducten of -diensten bij het uitwisselen van gegevens. Dit voor zover bij AMvB verplicht is gesteld dat informatietechnologieproducten of -diensten moeten zijn voorzien van een certificaat.

De bij AMvB gestelde eisen over de manier waarop het elektronisch uitwisselen van gegevens moet plaatsvinden, zullen zodanig zijn, dat zorgaanbieders vrij blijven in de keuze voor informatietechnologieproducten of -diensten. Zolang deze maar voorzien zijn van een geldig certificaat. Daarmee wordt zo min mogelijk getreden in de bedrijfsvoering van de zorgaanbieder.

Om te kunnen voldoen aan de verplichting om bij aangewezen gegevensuitwisselingen gegevens elektronisch uit te wisselen, zullen gegevens elektronisch moeten worden geregistreerd en opgeslagen door de zorgaanbieder, daar waar de gegevens ontstaan. Het is aan de zorgaanbieder om hierop toe te zien waarbij de zorgaanbieder ook de verantwoordelijkheid draagt dat kan worden uitgewisseld conform de afspraken en regie kan uitoefenen op de informatiehuishouding van de zorgaanbieder.

Degene die voor het uitwisselen van gegevens in een aangewezen gegevensuitwisseling informatietechnologieproducten of -diensten aanbiedt aan een zorgaanbieder dan wel die producten of diensten ondersteunt, dient voor die desbetreffende producten of diensten over een certificaat te beschikken. Indien informatietechnologieproducten of -diensten, die zijn bestemd voor het uitwisselen van gegevens, zonder een certificaat worden aangeboden aan zorgaanbieders, dan kan aan degene die deze producten of diensten aanbiedt een boete worden opgelegd. Wanneer de zorgaanbieder een product of dienst zonder certificaat gebruikt en de dienstverlening aan dat product of dienst wordt voortgezet door middel van technische ondersteuning zoals software updates, dan wordt dit beschouwd als het aanbieden van producten en diensten en kan een boete worden opgelegd aan degene die deze ondersteuning van het product of dienst biedt.

Het certificaat voor informatietechnologieproducten of -diensten wordt door een door de Raad voor Accreditatie (hierna: RvA) geaccrediteerde en door de Minister aangewezen gecertificeerde instelling, of bij het ontbreken van een gecertificeerde instelling in het uiterste geval door de Minister zelf (paragraaf 3.7), verleend als het informatietechnologieproduct of de informatietechnologiedienst voldoet aan de in de norm gestelde eisen voor taal en techniek waar in de AMvB naar wordt verwezen.

Volledigheidshalve wordt opgemerkt dat wanneer een zorgaanbieder zelf informatietechnologieproducten of -diensten ontwikkelt, de zorgaanbieder verplicht is te voldoen aan de eisen die gelden voor die producten of diensten. Ook deze producten of diensten dienen te zijn voorzien van een certificaat.

3.4 Verplichting om gegevens elektronisch uit te wisselen

Mede aan de hand van de uit te voeren MKBA-toets en een beoordeling van de realiseerbaarheid (de volwassenheidsscan) wordt beoordeeld of een gegevensuitwisseling wordt aangewezen in spoor 1, dan wel in spoor 2.

Bij deze beoordeling worden technische, inhoudelijke, economische en bestuurlijke invalshoeken gehanteerd die bijdragen aan de beoordeling van toegevoegde waarde, realiseerbaarheid en draagvlak van een gegevensuitwisseling. Per gegevensuitwisseling worden deze toegepast om te bepalen of een aanwijzing in spoor 1 of spoor 2 gerechtvaardigd is. De uitkomsten daarvan zijn echter niet zonder meer voor alle gegevensuitwisselingen te vergelijken, omdat gegevensuitwisselingen zelf onderling verschillen. Deze onderbouwing wordt daarom per uitwisseling met behulp van een zorgvuldig gewogen proces vastgesteld.

Als een gegevensuitwisseling wordt aangewezen in spoor 1 is altijd de ambitie om op een later moment die gegevensuitwisseling aan te wijzen in spoor 2. Het doel is immers om te komen tot volledige interoperabiliteit, wat een genormaliseerde wijze van het elektronisch uitwisselen van gegevens vereist. Echter, niet elke gegevensuitwisseling is al gereed om te worden aangewezen in spoor 2, bijvoorbeeld omdat nog een groei doorgemaakt moet worden om tot normalisatie van eisen aan taal en techniek te komen. In dat geval vindt een aanwijzing plaats in spoor 1.

Voor zowel spoor 1 als spoor 2 geldt dat om daadwerkelijk tot een aanwijzing van een gegevensuitwisseling bij AMvB te komen, de aanwezigheid van een kwaliteitsstandaard of wettelijke basis die bepaalt welke gegevens moeten worden uitgewisseld, randvoorwaardelijk is.

3.4.1 Spoor 1

3.4.2 Spoor 2

Met de aanwijzing van een gegevensuitwisseling als bedoeld in artikel 1.4, derde lid, onder b, wordt volledige interoperabiliteit nagestreefd. Daartoe geldt een wettelijke verplichting om gebruik te maken van bij AMvB gestelde eisen ten aanzien van taal en techniek. Deze eisen worden per aangewezen gegevensuitwisseling in spoor 2 neergelegd in een daarop toegespitste norm, waarnaar in de AMvB wordt verwezen. Deze eisen hebben tot doel dat de gegevens:

• – in taal eenduidig zijn;

• – in de systemen gelezen kunnen worden zoals ze zijn bedoeld.

Beoogd is dat zender en ontvanger onder de uitgewisselde gegevens hetzelfde verstaan en dat hun informatietechnologiesystemen met elkaar kunnen communiceren. Door de eisen inzake taal en techniek verplicht te stellen, ontstaat interoperabiliteit en wordt gegevensuitwisseling tussen en binnen zorgdomeinen mogelijk. Het neemt immers de in hoofdstuk 1 en paragraaf 2.1 geschetste problemen weg.

Net als bij de aanwijzing in spoor 1 moet ook bij een aanwijzing in spoor 2 uiteraard voldaan worden aan de eisen die gelden op grond van andere wet- en regelgeving.

3.5 Normalisatie

3.5.1 Algemeen

3.5.2 Ontsluiting markt- en veldexpertise

Door gebruik te maken van normalisatie wordt de brede expertise van de markt goed benut. De verschillende partijen, zoals zorgaanbieders, zorgverleners en aanbieders van informatietechnologieproducten of -diensten, beschikken bij uitstek over de deskundigheid om adequate eisen op te stellen. De verwachting is dat het stelsel van normalisatie goed zal functioneren. In de eerste plaats, omdat binnen de zorgsector sprake is van een hoge organisatiegraad en structuur om vorm en inhoud aan de normen te geven. In de tweede plaats, omdat binnen de sector voldoende draagvlak is en er dus een hoge inzet van betrokken private partijen wordt verwacht. Verwezen wordt naar het Informatieberaad Zorg, waarin vertegenwoordigers uit het zorgveld en VWS samenwerken aan een duurzaam informatiestelsel in de zorg. Om te voorkomen dat eisen worden gesteld waaraan aanbieders van informatietechnologieproducten of -diensten niet kunnen of willen voldoen, is het van belang dat deze aanbieders betrokken zijn bij het tot stand komen van de normen. In het manifest «Samen Vooruit» van VNO-NCW en diverse zorgpartijen committeren het bedrijfsleven en de zorg zich aan afspraken over makkelijke en veilige gegevensuitwisseling in de zorg.20

3.5.3 Normen voor specifieke gegevensuitwisselingen

In spoor 2 worden bij AMvB eisen gesteld die zien op het op genormaliseerde wijze uitwisselen van specifieke gegevens (de eisen voor taal en techniek). De eisen waaraan voldaan moet worden in spoor 2 worden opgelegd bij AMvB, middels een verwijzing naar één norm die alle eisen voor een specifieke gegevensuitwisseling beschrijft. Normalisatie al eerder succesvol ingezet en een bekend instrument bij het zorgveld en de aanbieders van informatietechnologieproducten of -diensten. Dit is bijvoorbeeld het geval bij ontwerpNEN 7503:2021 Gegevensuitwisseling in de zorg – Elektronische verwerking en uitwisseling van gegevens voor het voorschrijven en ter hand stellen van medicatie.

Norm

De norm waarin de eisen staan kan zijn een nationale norm (NEN-norm) of een Europese of internationale norm (NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO).

In de meeste gevallen zal een NEN-norm voor de specifieke gegevensuitwisseling ontwikkeld moeten worden. Die zal worden opgesteld in opdracht van de Minister, die hierbij richtinggevende kaders meegeeft (zie voor een uitleg over deze richtinggevende kaders paragraaf 3.5.4). Wanneer verwezen wordt naar een bestaande NEN-norm of een Europese of internationale norm is er geen sprake van normontwikkeling in opdracht van de Minister, en dus niet van vooraf gestelde richtinggevende kaders. Dit laat onverlet dat de bestaande nationale, Europese of internationale normen, alvorens aangewezen te kunnen worden bij AMvB, beoordeeld worden aan de hand van richtinggevende kaders die van belang worden geacht voor een aan te wijzen gegevensuitwisseling.

Wanneer een opdracht tot de ontwikkeling van een NEN-norm wordt gegeven met het oog op de aanwijzing van een gegevensuitwisseling in spoor 2, wordt een normalisatietraject gestart. Voorafgaande aan de ontwikkeling van een NEN-norm voor een specifieke gegevensuitwisseling benadert NEN alle belanghebbenden en roept hen op om deel te namen aan de werkgroep die de normontwikkeling uitvoert.

Eisen in norm

Geen wederzijdse erkenning

Voorgesteld wordt dat de normen waarnaar wordt verwezen, dwingend en exclusief worden voorgeschreven bij AMvB, nadat ze getoetst zijn aan de richtinggevende kaders (zie paragraaf 3.5.4), en als ze zien op een gegevensuitwisseling die bij AMvB wordt aangewezen. Deze dwingende en exclusieve verwijzing is noodzakelijk om de gegevensuitwisseling tussen zorgverleners tot stand te brengen en een goede werking daarvan te kunnen garanderen. Om die reden wordt geen andere wijze toegestaan om te bewijzen dat wordt voldaan aan de eisen die zijn opgenomen in de normen. In het wetsvoorstel of de daaronder hangende AMvB wordt voor spoor 2 dus geen clausule tot wederzijdse erkenning opgenomen. Een dergelijke clausule is alleen mogelijk als de materiële eisen waaraan getoetst wordt in wet- en regelgeving zijn opgenomen. De eisen die gesteld worden aan een gegevensuitwisseling worden echter opgenomen in een norm. Zoals aangegeven in paragraaf 3.5.2 van deze memorie is hiervoor gekozen zodat aangesloten kan worden bij de kennis en expertise van het zorg- en ICT-veld. Zo wordt voorkomen dat de wetgever eisen stelt aan een gegevensuitwisseling waaraan niet kan worden voldaan of die innovatie in de weg staat die juist gewenst is. Wat de beste eisen zijn om te komen tot interoperabiliteit op het moment van aanwijzen van een gegevensuitwisseling kunnen het zorg- en ICT-veld het beste zelf bepalen. De enige materiële eis die in het wetsvoorstel is opgenomen, is dat interoperabiliteit bereikt moet worden met de norm. Het wel opnemen van een wederzijde erkenning van andere normen zou tot gevolg hebben dat die normen getoetst zullen worden aan het vereiste van interoperabiliteit, en daaraan op zichzelf kunnen voldoen, maar dat deze erkenning desondanks het risico in zich heeft dat er onderling in die aangewezen gegevensuitwisseling geen interoperabiliteit ontstaat. Door de erkenning van een andere norm wordt de gegevensuitwisseling als geheel dan niet interoperabel, wat nu juist beoogd wordt met dit wetsvoorstel. De afgelopen jaren is precies dit probleem opgetreden bij de digitalisering in de zorg. Er zijn tal van elektronische gegevensuitwisselingen ontstaan die volgens verschillende standaarden uitwisselen. Binnen een specifieke gegevensuitwisseling bestaat hierdoor vaak geen interoperabiliteit. Om voor specifieke gegevensuitwisselingen interoperabiliteit te borgen is het daarom noodzakelijk om één norm per uitwisseling vast te stellen.

Licentiekosten

De overheid zal de licentiekosten die verbonden zijn aan het gebruik van NEN-normen (voor zowel de NEN-norm voor een specifieke gegevensuitwisseling als de NEN-normen waarnaar binnen die NEN-norm voor een specifieke gegevensuitwisseling verwezen wordt) afkopen met als doel die normen openbaar en kosteloos beschikbaar te kunnen stellen. Dit sluit aan bij het kabinetsbeleid inzake de kenbaarheid van normen en normalisatie.21 Wanneer het gaat om Europese en internationale normen is het openbaar en kosteloos beschikbaar stellen in dit geval niet mogelijk is, omdat Europese en internationale regels hieraan in de weg staan. Europese of internationale normen verplichtend voorschrijven in wet- of regelgeving zonder dat de licentiekosten die verbonden zijn aan het gebruik van deze normen worden afgekocht is mogelijk, mits de prijs van die norm niet onredelijk hoog is.

3.5.4 Eisen voor NEN-normen

In de vorige paragraaf is al aangegeven dat in de meeste gevallen voor een spoor 2 aanwijzing een NEN-norm voor de specifieke gegevensuitwisseling ontwikkeld moet worden. Deze NEN-norm zal dan via een AMvB onder dit wetsvoorstel dwingend en exclusief voorgeschreven worden.

Voor de ontwikkeling van NEN-normen worden onder toezicht van NEN steeds de volgende aspecten geborgd:

• 1. De NEN-norm is ontwikkeld op basis van een vastgelegd, transparant proces waarbij alle belanghebbende partijen in staat zijn gesteld een bijdrage te leveren;

• 2. De NEN-norm kent een breed draagvlak;

• 3. De NEN-norm is voor eenieder beschikbaar;

• 4. De NEN-norm voldoet aan geldende wet- en regelgeving;

• 5. De NEN-norm bevat geen patenten en leidt niet naar één partij of techniek;

• 6. De NEN-norm mag niet in conflict zijn met een bestaande nationale, Europese of internationale norm (NEN, NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO);

• 7. De NEN-norm is norm technisch goed geformuleerd. De norm bevat te allen tijde eenduidige eisen en afspraken die niet voor meerder uitleg vatbaar zijn;

• 8. Het proces voor onderhoud en beheer van de NEN-norm standaard is helder beschreven en is duurzaam geborgd;

• 9. De verantwoordelijke normcommissie stelt de NEN-norm naar de standaard vast;

• 10. Voorafgaande aan een normontwikkeling wordt altijd het bestaan van eventuele Europese en internationale normen verkent. Er wordt geen Nederlandse norm ontwikkeld als er al een Europese of internationale norm beschikbaar is, die zonder wijzigingen in Nederland kan worden geïmplementeerd en ook voldoet aan de door de Minister meegegeven richtinggevende kaders (zie toelichting in de volgende alinea). Het gebruik van Europese en internationale normen en standaarden is daarmee een leidend principe voor iedere norm, die onder de toezicht van NEN wordt ontwikkeld.

Aanvullend aan de hierboven genoemde eisen aan het ontwikkelen van NEN-normen, geeft de Minister bij de opdrachtverlening voor de ontwikkeling van een NEN-norm richtinggevende kaders mee, die bestaan uit specifieke aspecten voor die gegevensuitwisseling en een aantal algemene aspecten die voor elke normontwikkeling voor een gegevensuitwisseling zullen worden meegegeven. De algemene kaders zien op aspecten, zoals:

• – in de norm (en de standaarden waar de norm naar verwijst) moet altijd duidelijk zijn welke eisen gelden, voor wie of wat de eisen gelden en op welke gegevens de eisen zien;

• – de norm dient te verzekeren dat een informatietechnologieproduct- of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder of zorgverlener aan zijn verplichtingen uit de AVG kan voldoen;

• – de norm dient te verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren – zoals het recht op inzage, rectificatie of gegevenswissing en het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden;

• – de norm mag er gelet op het doel van het wetsvoorstel (artikel 1.2) niet toe leiden dat het uitwisselen van gegevens enkel kan via een elektronisch uitwisselingssysteem als bedoeld in de Wabvpz (zie paragraaf 5.2);

• – de norm dient in overeenstemming te zijn met de architectuurprincipes van DIZRA22;

• – de norm dient zoveel mogelijk rekening te houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij;

• – de norm wordt door de normencommissie Informatievoorziening in de zorg 23, beoordeeld op aansluiting bij en onderlinge samenhang van alle binnen aangewezen gegevensuitwisselingen vallende normen; en

• – de norm mag niet tot gevolg hebben dat gegevensuitwisseling buiten de directe behandelingsrelatie om (secundair gebruik van gegevens) bemoeilijkt wordt. Zeker gezien de ondersteuning die dit wetsvoorstel geeft aan het principe van eenmalig vastleggen en meervoudig gebruiken (zie paragraaf 2.2.2). Dit wetsvoorstel en de normen waar dit wetsvoorstel naar verwijst houden op die manier rekening met de FAIR-principes (die internationaal omarmd worden) en met mogelijke andere toepassingen van gegevens, zoals het gebruik voor onderzoek, het toepassen van kunstmatige intelligentie en het vormen van een lerend/intelligent zorgsysteem.

Bij een opdracht aan NEN voor het ontwikkelen van een NEN-norm worden door de Minister richtinggevende kaders meegegeven om te voorkomen dat een NEN-norm tot stand komt die uiteindelijk niet zou kunnen worden aangewezen onder het wetsvoorstel. Maar het zijn met nadruk richtinggevende kaders vóóraf, waarbij nog niet voldoende zicht is op de beoogde inhoud van de NEN-norm. Er kunnen gedurende het NEN-traject goede redenen zijn waarom voor een specifieke gegevensuitwisseling voor een andere (technische) benadering wordt gekozen dan vooraf bij het startdocument van het normeringstraject werd voorzien.

3.5.5 Statische verwijzing naar normatieve documenten

Bij AMvB wordt verwezen naar een norm waarin de eisen voor die gegevensuitwisseling staan opgenomen. In beginsel zal dat een NEN-norm betreffen. Welke versie van die norm geldt zal bij ministeriële regeling worden bepaald. De verwijzing naar de norm is dus statisch: verwezen wordt naar de tekst zoals die op een bepaald tijdstip luidde. Een dynamische verwijzing op het niveau van normen (zijnde een verwijzing naar de tekst zoals die met inbegrip van sinds de totstandkoming vastgestelde wijzigingen luidt of zal luiden) is onwenselijk omdat dit niet zorgt voor maximale duidelijkheid voor het zorgveld en de aanbieders van informatietechnologieproducten of -diensten en niet passend is bij de regie van de overheid op de bepaling van eisen. Daarnaast is bij dynamische verwijzing een met de maatstaven van de Bekendmakingswet vergelijkbaar niveau van bekendmaking bij private normatieve documenten niet gegarandeerd.

In de norm zelf zal, waar nodig, wel dynamisch worden verwezen naar onderliggende gedetailleerde standaarden, zoals bijvoorbeeld informatiestandaarden van Nictiz. Deze standaarden worden meerdere malen per jaar aan de stand der techniek aangepast. Om de rechtszekerheid te waarborgen geldt dat bij dergelijke ongedateerde verwijzingen de laatste versie van het document (met inbegrip van wijzigingsbladen) waarnaar is verwezen van toepassing is. Vervolgens zal in het certificeringsschema opgenomen worden aan de hand van welke versie het certificaat getoetst wordt.

3.5.6 Rol NEN

Met NEN vindt afstemming plaats over de ontwikkeling en inhoud van de NEN-normen of – in voorkomend geval – de bruikbaarheid van Europese of internationale normen. De NEN volgt – overeenkomstig verordening 1025/2012 – een proces dat ervoor zorgt dat iedereen met een aantoonbaar belang kan deelnemen. Dat betekent dat het veld betrokken wordt bij de ontwikkeling van de NEN-norm of de bruikbaarheid van Europese of internationale normen en zeggenschap heeft over de inhoud ervan. Hiermee wordt de verantwoordelijkheid voor het leveren van goede zorg en het handelen in overeenstemming met de kwaliteitsstandaarden en daarmee ook hoe gegevens uitgewisseld moeten worden zoveel mogelijk in acht genomen. De betrokkenheid van het veld heeft tot gevolg dat de normen goed aansluiten bij specifieke kenmerken van de zorgsector en de innovatiekracht van deze sector en aanbieders van informatietechnologieproducten of -diensten.

NEN-normen komen tot stand na consensus onder de leden van de normcommissie. In principe komen normwerkgroepen zelf tot vaststelling van de norm, na openbare consultatie (openbare kritiekronde van het normontwerp). Daarbij geldt dat de Minister streeft naar het samen doen vallen van de internetconsultatie van de AMvB met de openbare kritiekronde van het normontwerp, die in de AMvB verplicht wordt gesteld.

NEN borgt op grond van de statuten van NEN tijdige actualisatie. Zo moeten normen minimaal eens in de vijf jaar worden geëvalueerd, of zoveel eerder als belanghebbende partijen dat nodig achten. Herziening van de norm kan hier een gevolg van zijn. Deze procedure volgt uit het huishoudelijk reglement van NEN. Daarbij is het in verband met de relatie tussen de NEN-norm en de kwaliteitsstandaarden (zie paragraaf 2.3.3) van belang dat de herziening aansluit bij eventuele herziening van kwaliteitsstandaarden. Hierin zullen belanghebbende partijen, zoals onder andere het zorgveld en het Zorginstituut een rol spelen.

3.6 Initiatiefmogelijkheden door de Minister

Aangezien het zorgveld zelf heeft aangegeven stappen te willen zetten in het verder brengen van elektronische gegevensuitwisseling in de zorg, is de verwachting en het uitgangspunt dat het zorgveld zelf initiatief neemt om dit te realiseren. In deze situatie (het zogenoemde reguliere proces) zal het veld zorgdragen voor het ontwikkelen of aanpassen van een kwaliteitstandaard waarin staat welke gegevens noodzakelijk zijn voor het leveren van goede zorg, wordt de gegevensuitwisseling vanuit het zorgveld aangemeld voor de Meerjarenagenda Wegiz en wordt – na een besluitvormingsproces waarbij de conclusie is dat een spoor 2-aanwijzing wenselijk is en een NEN-norm ontwikkelt moet worden – door de Minister de opdracht gegeven voor de ontwikkeling van een NEN-norm. Op verschillende momenten in dit proces kan de Minister ingrijpen.

De regierol van de Minister is uiteraard niet beperkt tot de wettelijk vastgelegde taken en bevoegdheden. De Minister kan ook initiatief nemen door bijvoorbeeld te sturen op een prominente plek van gestandaardiseerde elektronische gegevensuitwisseling in convenanten zoals Hoofdlijnenakkoorden en versnellingsprogramma’s. Daarnaast heeft de Minister nog de mogelijkheid om middels richtinggevende kaders enige sturing te geven aan de ontwikkeling van NEN-normen (zie ook paragraaf 3.5.4 van deze memorie).

3.7 Certificatie van informatietechnologieproducten en -diensten

In paragraaf 3.3 is reeds weergegeven dat op grond van dit wetsvoorstel informatietechnologieproducten en -diensten die gebruikt worden bij een aangewezen gegevensuitwisselingen in spoor 2 ingevolge artikel 3.1 voorzien moeten zijn van een certificaat. Een certificaat wordt verleend als is voldaan aan de eisen die gesteld zijn voor een aangewezen gegevensuitwisseling en die gelden voor dat betreffende informatietechnologieproduct of die betreffende informatietechnologiedienst. De zorgaanbieder is, wanneer voor informatietechnologieproducten – of diensten is bepaald dat ze voorzien moeten zijn van een certificaat, ingevolge artikel 2.1, derde lid, verplicht gebruik te maken van gecertificeerde informatietechnologieproduct of -diensten.

Certificering betreft een systeem van conformiteitsbeoordeling (een proces waarin wordt aangetoond of voldaan is aan de vastgestelde eisen aan systeem, product of dienst). Door gebruik te maken van conformiteitsbeoordelingen wordt aangesloten bij het zelfregulerende vermogen van private sectoren om publieke belangen te dienen en wordt de expertise van de markt goed benut. Veldpartijen als aanbieders van informatietechnologieproducten of -diensten en zorgaanbieders zullen wanneer een NEN-norm wordt ontwikkeld, in die NEN-norm afspraken maken over de eisen waaraan informatietechnologieproducten en -diensten moeten voldoen om te kunnen borgen dat gegevens elektronisch kunnen worden uitgewisseld.

Er zijn verschillende manieren om te borgen dat informatietechnologieproducten en -diensten en zorgaanbieders voldoen aan normen. Dit varieert van zeer lichte middelen, zoals zelfbeoordeling door aanbieders, tot zwaardere middelen, zoals certificering door een geaccrediteerde certificerende instelling. In dit wetsvoorstel is gekozen voor certificering door geaccrediteerde en aangewezen instellingen in beginsel het uitgangspunt. Deze accreditatie vindt plaats op basis van de EN-ISO/IEC 17065. Dit zorgt namelijk voor een kwalitatief goede en transparante toetsing, zodat gebruikers en aanbieders van informatietechnologieproducten of -diensten zekerheid wordt geboden over de mate waarin aan (delen van) de norm voldaan wordt. Om de Minister de mogelijkheid te geven stelseltoezicht te houden, wordt voorgesteld dat naast het vereiste van accreditatie, certificerende instellingen aangewezen moeten worden door de Minister (artikel 3.2, eerste en tweede lid). De Minister kan namelijk deze aanwijzing intrekken of schorsen wanneer een certificerende instelling onvoldoende opereert. Daarmee heeft de Minister altijd het laatste woord en kan invulling gegeven worden aan zijn stelselverantwoordelijkheid.

Om accreditatie te kunnen verlenen aan een certificerende instelling die nog niet is geaccrediteerd voor het certificeren van informatietechnologieproducten- of diensten als bedoeld in dit wetsvoorstel, dient de RvA mee te kijken bij het doorlopen van een certificatieproces van deze producten of diensten. Een certificerende instelling kan deze activiteiten echter alleen uitvoeren als zij een aanwijzing heeft van de Minister. In afwijking met de hoofdregel dat een aanwijzing door de Minister enkel kan worden verkregen als de certificerende instelling geaccrediteerd is, zal de Minister ten behoeve van het verkrijgen van de accreditatie een tijdelijke aanwijzing van ten hoogste één jaar als bedoeld in artikel 3.2, vijfde lid, onderdeel a, verlenen in afwachting van een volledige accreditatie.

Het gaat bij certificering om een vrijwillig en privaat stelsel. De Minister is voor het realiseren van dit stelsel afhankelijk van de bereidheid van certificerende instellingen om hieraan deel te nemen. Deze bereidheid zal worden onderzocht als onderdeel van de toetsing van de realiseerbaarheid voorafgaand aan de aanwijzing bij AMvB van een gegevensuitwisseling in spoor 2. Indien geconstateerd wordt dat de bereidheid bij certificerende instellingen om deel te nemen aan dit stelsel niet aanwezig is en die bereidheid zich ook niet zal ontwikkelen, dan staat dit in de weg aan een aanwijzing van een gegevensuitwisseling in spoor 2.

Nadat een gegevensuitwisseling in spoor 2 is aangewezen, kan de situatie ontstaan dat een ministeriële aanwijzing van een certificerende instelling wordt ingetrokken. Deze situatie kan zich voordoen in het geval de certificerende instelling zelf beslist zich terug te trekken uit de markt of failliet gaat. Ook kan de aanwijzing door de Minister worden ingetrokken wanneer de certificerende instelling niet meer aan de aanwijzingseisen voldoet of haar accreditatie verliest. In deze gevallen zal de certificaathouder zijn certificaat bij een andere certificerende instelling continueren.

In het uiterste geval dat er geen andere certificerende instelling is, waarbij het certificaat kan worden gecontinueerd, zal de Minister vanuit zijn regierol zelf certificaten moeten kunnen verstrekken om zo de continuïteit van het stelsel te waarborgen. De voorgestelde wetstekst (artikel 3.2, zevende lid) voorziet in deze mogelijkheid.

Onder regie van NEN zullen, op basis van de NEN-normen, certificatieschema’s worden opgesteld in speciale certificeringscommissies. In het certificatieschema worden de spelregels opgenomen voor het certificeren van informatietechnologieproducten en -diensten. Voorafgaande aan het gebruik van het certificeringsschema zal de schemabeheerder de RvA verzoeken om te toetsen of het schema voldoet aan de accreditatievereisten voortvloeiende uit de EN-ISO/IEC 17065. De RvA toetst vervolgens de conformiteit van het schema aan deze accreditatievereisten.

De RvA zal in het kader van accreditatie van een certificerende instelling toetsen of de certificerende instelling de werkzaamheden zoals beschreven in het door de NEN-commissie voor een aangewezen gegevensuitwisseling opgesteld certificatieschema, kan uitvoeren in overeenstemming met dat schema. Om in aanmerking te komen voor een aanwijzing als bedoeld in artikel 3.2, eerste lid, is het vervolgens aan de certificerende instelling om bij de aanvraag tot aanwijzing als certificerende instelling aan te tonen dat de instelling in staat is een aanvraag voor een certificaat te beoordelen aan de hand van eisen die zijn vastgelegd in het desbetreffende certificatieschema.

Het beheer van bij conformiteitsbeoordelingen te hanteren certificatieschema’s is een activiteit die primair door de certificerende instellingen zelf wordt uitgevoerd. Wel kunnen de certificerende instellingen, gezien de gewenste uniformiteit van de certificeringsactiviteiten, de NEN verzoeken om ten behoeve van een gecentraliseerd schemabeheer als schemabeheerder op te treden.

3.8 Kaderwet zelfstandige bestuursorganen

Ten tijde van de invoering van de Kaderwet zbo’s is besloten dat die wet niet van toepassing behoort te zijn op certificerende instellingen die aan bepaalde voorwaarden voldoen. Deze voorwaarden zijn dat de certificerende instellingen zelf kiezen om de taak uit te voeren door zich te laten aanwijzen, zij marktpartijen zijn en ook andere activiteiten uitvoeren, zij voor hun diensten worden betaald door de partijen die een certificaat vragen en niet uit de rijksbegroting worden bekostigd. Bovendien betreft het een open systeem, waarbij meerdere certificerende instellingen de taak kunnen verrichten en dus in concurrentie kunnen treden.

De ervaring in vergelijkbare Europese trajecten is dat er te weinig auditoren zijn om de certificeringstrajecten van alle aanbieders van producten en diensten te begeleiden. Voldoende capaciteit is een randvoorwaarde om tijdig certificaten te kunnen verstrekken, zodat concurrentie tussen certificerende instellingen wordt bevorderd. De Minister zal dit daarom betrekken bij de beoordeling of een gegevensuitwisselingen realiseerbaar is en dus uiteindelijk aangewezen kan worden bij AMvB. Verder moet een certificerende instelling, die onderdeel uitmaakt van een wettelijk stelsel conform het kabinetsstandpunt voor conformiteitsbeoordeling en accreditatie, door de verantwoordelijke Minister zijn aangewezen voor het verstrekken van certificaten. In dit wetsvoorstel is bepaald dat de Minister voor Medische Zorg de certificerende instellingen kan aanwijzen. Indien een certificerende instelling zich niet houdt aan de gestelde voorwaarden, kan de Minister ingrijpen door bijvoorbeeld de aanwijzing te schorsen of en in het uiterste geval de aanwijzing in te trekken. Dit zal in de lagere regelgeving worden uitgewerkt.

In de AMvB zullen eisen worden gesteld aan certificerende instellingen, zoals met betrekking tot de behandeling van een aanvraag van een certificaat, het handelen volgens de aan de aanwijzing verbonden voorschriften, het verstrekken van informatie tussen certificerende instellingen onderling en met de Minister in het kader van toezicht en handhaving en het doen van mededeling aan de Minister van een intrekking of een schorsing van een certificaat of accreditatie. Op gezette tijden dient de certificerende instelling vast te stellen of wordt voldaan aan de voorwaarden van certificatie. Tijdens de geldigheidsduur van het certificaat, zal de certificerende instelling regelmatig onderzoeken of de certificaathouder nog steeds in staat is om volgens de vastgestelde normen te werken. Daartoe bevat het certificatieschema controle- en sanctierichtlijnen die certificerende instellingen dienen te volgen.

De certificerende instellingen zijn marktpartijen. Hun activiteiten worden niet vergoed uit overheidsmiddelen. Dit betekent dat de certificerende instelling kosten in rekening zal brengen bij de aanvrager van een certificaat. De certificaathouder kan deze kosten vervolgens terugverdienen door het leveren van gecertificeerde informatietechnologieproducten of -diensten. De verwachting is dat aanbieders van informatietechnologieproducten en -diensten deze kosten (deels) zullen doorberekenen aan de zorgaanbieders.

4. Verhouding tot hoger recht

4.1 Verhouding met regels over gegevensbescherming

Dit wetsvoorstel gaat uit van en past binnen de bestaande kaders en regels rondom gegevensbescherming (in onder meer de Gw, AVG en UAVG en EVRM). Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan die eisen. In paragraaf 8.3 worden de effecten op de gegevensbescherming verder toegelicht.

4.2 Verhouding met regels over cyberveiligheid

Verordening (EU) 2019/881 van het Europese Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (Cyberbeveiligingsverordening) (PbEU 2019, L151) geeft een kader voor de certificering van producten, processen en diensten op het gebied van cyberveiligheid. Binnen dit kader wordt een mechanisme ontwikkelt voor het Europese cybersecurity certificatieschema. Een dergelijk schema ziet in het bijzonder op beveiligingsvoorschriften en bevat daartoe een aantal minimum vereisten. Deze verordening sluit niet expliciet uit dat niet-beveiligingselementen ook deel uitmaken van een dergelijk schema en daarmee betrekking kunnen hebben op met name de bij AMvB te stellen eisen aan techniek. Bij het opstellen van de AMvB (en de daarin opgenomen normen) wordt de Cyberbeveiligingsverordening in acht genomen.

4.3 Verhouding tot vrijheid van ondernemerschap

De vrijheid van ondernemerschap is vervat in artikel 16 van het Handvest van de grondrechten van de Europese Unie26 (Handvest EU) en – meer indirect – in de artikelen 10 en 11 van het op 4 november 1950 te Rome tot stand gekomen Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (Trb. 1951, 154) (EVRM) en artikel 1 van het Protocol bij het EVRM. De vrijheid van ondernemerschap wordt door dit wetsvoorstel beperkt, omdat informatietechnologieproducten en -diensten voortaan (voor aangewezen gegevensuitwisselingen) voorzien moeten zijn van een certificaat, dat wordt verleend als aan bepaalde eisen wordt voldaan. Dit raakt de vrijheid van ondernemerschap voor aanbieders van informatietechnologieproducten of -diensten.

Uit de vaste jurisprudentie van het Europees Hof van de Rechten van de Mens27 en het Hof van Justitie van de Europese Unie28 volgt dat dit toegestane uitzonderingen zijn op de vrijheid van ondernemerschap.

4.4 Verhouding tot vrij verkeer van goederen

Met dit wetsvoorstel worden eisen gesteld aan informatietechnologieproducten. Het stellen van eisen aan goederen is op grond van het Europese recht toegestaan als hiervoor een toegestane uitzondering geldt en het proportioneel en subsidiair is.

In het voorliggende geval is sprake van het stellen van eisen met het oog op de bescherming van de gezondheid van personen.29 Bescherming van de gezondheid van personen is in de Nederlandse wetgeving vervat onder het beginsel van het verlenen van goede zorg. Zonder het stellen van eisen aan informatietechnologieproducten die gebruikt worden in (bepaalde onderdelen van) de zorg, kunnen gegevens niet goed worden uitgewisseld. In hoofdstuk 1 van deze memorie is al toegelicht welke negatieve effecten dit heeft op het verlenen van goede zorg. Zoals aangegeven in paragraaf 2.1 van deze memorie zijn verschillende oorzaken aan te wijzen voor het niet volledig tot stand komen van elektronische gegevensuitwisseling: (1) gebrek aan eenduidigheid in taal, (2) gebrek aan eenduidigheid in techniek en (3) gebrek aan een integrale aanpak om tot gegevensuitwisseling door middel van een elektronische infrastructuur te komen en uiteenlopende belangen van verschillende betrokken partijen. De afgelopen jaren zijn – zoals ook beschreven in paragraaf 2.2 van deze memorie – verschillende stappen gezet om te komen tot volledige interoperabiliteit bij een zorgbrede gegevensuitwisseling. Maar zoals ook beschreven in voorgenoemde paragraaf is het onvoldoende gebleken om de hierboven genoemde problemen met betrekking tot gebrek aan eenduidige taal, techniek en regie op te lossen. Er is behoefte aan overheidsbetrokkenheid op dit onderwerp. Immers, verlening van goede zorg kan alleen worden bereikt als de interoperabiliteit van de informatietechnologieproducten die de gegevensuitwisselingen moeten bewerkstelligen, wordt gegarandeerd. Om deze reden wordt voorgesteld vast te leggen bij AMvB dat bij die gegevensuitwisselingen alleen informatietechnologieproducten mogen worden gebruikt waarvan is vastgesteld dat zij de beoogde interoperabiliteit kunnen bewerkstelligen. Dit zijn de informatietechnologieproducten die voldoen aan de voorschriften in de normen die bij AMvB zullen worden aangewezen.

Zoals beschreven in paragraaf 3.5.3 wordt dwingend en exclusief verwezen naar deze normen. Het garanderen van volledige interoperabiliteit is noodzakelijk omdat anders de elektronische gegevensuitwisseling niet tot stand komt. De normen zijn geschikt om dit doel te bereiken, omdat de daarin opgenomen eisen voor taal en techniek bij AMvB dwingend en exclusief worden voorgeschreven waardoor volledige interoperabiliteit verzekerd wordt. Zoals weergegeven in paragraaf 2.2 van deze memorie is de afgelopen jaren op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering van gestandaardiseerde gegevensuitwisseling door middel van een elektronische infrastructuur. Deze minder vergaande eisen zijn echter zoals hierboven is weergegeven, onvoldoende gebleken om de genoemde problemen over gebrek aan eenduidige taal, techniek en regie op te lossen. De bij AMvB te stellen eisen gaan daarom niet verder dan nodig is om het gestelde doel van volledige interoperabiliteit te bereiken. De eisen die gesteld worden aan informatietechnologieproducten zullen daarbij geen onderscheid maken tussen nationale en buitenlandse goederen.

Het dwingend en exclusief verwijzen naar de normen zal plaatsvinden op het niveau van de AMvB.30

4.5 Verhouding tot vrij verkeer van diensten

De Europese dienstenrichtlijn beoogt de Europese interne dienstenmarkt te harmoniseren door de belemmeringen voor het vrije verkeer van diensten weg te nemen. Deze richtlijn is met name geïmplementeerd door middel van de Dienstenwet. Het wetsvoorstel bevat bepalingen die onder het toepassingsbereik van de dienstenrichtlijn kunnen vallen.

Het uitwisselen van gegevens gaat via een geheel van hardware en software, waarbij in bepaalde gevallen de software ook gebruik maakt van een geavanceerde onlinedienst. Deze dienstverlening valt onder de dienstenrichtlijn. Net als hiervoor beschreven ten aanzien van de informatietechnologieproducten, geldt ook voor de informatietechnologiediensten dat ze moeten voldoen aan de voorschriften in de normen die bij AMvB zullen worden aangewezen. Het stellen van eisen aan diensten is op grond van het Europese recht toegestaan als hiervoor een toegestane uitzondering geldt en het proportioneel en subsidiair is. In het voorliggende geval is sprake van het stellen van eisen met het oog op de volksgezondheid.31 De onderbouwing die in paragraaf 4.4 van deze memorie is gegeven van het stellen aan eisen aan informatietechnologieproducten, is van overeenkomstige toepassing op het stellen van eisen aan diensten. Kortheidshalve wordt daarom verwezen naar die genoemde paragraaf.

Van verplichtingen die gelden voor grensoverschrijdende dienstverrichting (hoofdstuk IV van de dienstenrichtlijn) kan sprake zijn bij verplichtingen voor dienstverrichters die grensoverschrijdende activiteiten (kunnen) verrichten, zoals van certificerende instellingen of aanbieders van informatietechnologiediensten. Artikel 16 van de Dienstenrichtlijn bepaalt dat lidstaten het recht van dienstverrichters om diensten te verrichten in een andere lidstaat dan die waar zij zijn gevestigd moeten eerbiedigen. De lidstaat waar de dienst wordt verricht moet zorgen voor vrije toegang tot en vrije uitoefening van een dienstenactiviteit op zijn grondgebied. Dit artikel regelt verder dat de lidstaten de toegang tot en de uitoefening van een dienstenactiviteit op hun grondgebied niet afhankelijk mogen maken van de naleving van eisen die discrimineren (onderscheid naar nationaliteit of vestiging) of niet noodzakelijk of evenredig zijn.

De eisen in dit wetsvoorstel zijn van toepassing op alle dienstverrichters en maken daarbij geen onderscheid waardoor voldaan wordt aan het discriminatieverbod. Zoals hierboven is toegelicht, zijn de bepalingen noodzakelijk uit hoofde van de volksgezondheid.33 De eis van evenredigheid houdt in dat de eis geschikt moet zijn om het doel te bereiken en dat de eis niet verder mag gaan dan nodig is om dit doel te bereiken. Hierboven is toegelicht waarom de eisen in dit wetsvoorstel evenredig zijn.

5. Verhouding tot nationale regelgeving

5.1 Aanpassing wetten

Met dit wetsvoorstel wordt een belangrijke koppeling gelegd met kwaliteitsstandaarden. Om deze koppeling te borgen wordt voorgesteld in de Wkkgz een regeling te treffen voor het geval een onderdeel van de professionele standaard niet in overeenstemming is met eisen die gesteld worden op grond van de Wegiz. Hiermee wordt afgedwongen dat een wijziging van goede zorg die afwijkt van de wettelijk verplichte gegevensuitwisseling door middel van een elektronische infrastructuur alleen kan via de weg van de kwaliteitsstandaarden. Daarnaast wordt voorgesteld om in de Wkkgz te regelen dat de Minister geïnformeerd wordt over wijzigingen van een kwaliteitsstandaard die gebruikt wordt in een aangewezen gegevensuitwisseling.

Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop elektronische uitwisseling van gegevens moet plaatsvinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom worden onderstaande wetten aangepast:

• – Wabvpz; met dit wetsvoorstel wordt geregeld dat artikel 15j, eerste lid, Wabvpz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling;

• – Wvggz; met dit wetsvoorstel geregeld dat artikel 8.22, tweede lid, Wvggz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling;

• – Wzd; met dit wetsvoorstel wordt geregeld dat artikel 18c, zesde lid, Wzd niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.

Met dit wetsvoorstel wordt verder geregeld dat de op grond van de Wpg bij regeling voor de jeugdgezondheidszorg opgenomen verplichting om software af te nemen die elektronische gegevensuitwisseling mogelijk maakt, te zijner tijd – als de jeugdgezondheidszorg bij AMvB als gegevensuitwisseling wordt aangewezen – vervalt. Deze eis zal, zoals in paragraaf 5.1 aangegeven, als de jeugdgezondheidszorg bij AMvB als gegevensuitwisseling wordt aangewezen, aangepast wordt in een verplichting om gegevens uit te wisselen door middel van een elektronische infrastructuur. Ook de andere eisen die op grond van de Wpg worden gesteld met het oog op het elektronisch uitwisselen van gegevens in de jeugdgezondheidzorg, zoals het registreren in rubrieken, zullen dan worden overgenomen. Hiermee wordt het bestaande beleid (stimuleren gegevensuitwisseling via een elektronische infrastructuur) bestendigd. De effecten van deze aangepaste verplichting zijn naar verwachting minimaal, omdat de noodzakelijke software al is afgenomen en het veld al gewoon is elektronisch gegevens uit te wisselen.

5.2 Verhouding met de WGBO (medisch beroepsgeheim)

Het algemene uitgangspunt van «goed hulpverlenerschap» is in de WGBO verankerd.34 Daarnaast is wat goed hulpverlenerschap is nader uitgewerkt in de (tucht-)rechtspraak en in de door de beroepsgroep opgestelde protocollen en richtlijnen. Voor hulpverleners brengt het «goed hulpverlenerschap» een aantal verplichtingen met zich mee met betrekking tot de verwerking van informatie over cliënten. Zo moeten hulpverleners voldoen aan: de dossierplicht en de bewaarplicht, de geheimhoudingsplicht, en een aantal patiëntenrechten, zoals het recht op inzage en afschrift, aanvulling en vernietiging. Het voorliggende wetsvoorstel zal vaak zien op de uitwisseling van gegevens uit het medisch dossier. De bijbehorende plichten ten aanzien van het dossier en de geheimhouding en de patiëntenrechten zijn onverminderd van kracht.

Zoals reeds in paragraaf 2.2.1 is weergegeven regelt het wetsvoorstel niet óf uitgewisseld mag worden maar – als uitgewisseld mag of moet worden – hoe uitgewisseld moet worden (door middel van een elektronische infrastructuur, en eventueel volgens bepaalde eisen).

Dat betekent dat de kaders en regels rondom grondslagen voor gegevensverwerking (in onder meer de AVG en de UAVG) en het (doorbreken van) medisch beroepsgeheim, zoals hierboven is weergegeven niet ter discussie staan en onverminderd van kracht zijn.

Concreet wil dit zeggen dat wanneer vanwege bijvoorbeeld het medisch beroepsgeheim of het ontbreken van een grondslag voor het verwerken van (bijzondere) persoonsgegevens geen uitwisseling van die gegevens kan plaatsvinden, niet toe wordt gekomen aan de regels in dit wetsvoorstel. Kortom: er geldt géén verplichting om elektronisch gegevens uit te wisselen als er geen grondslag is voor gegevensuitwisseling of dit strijd oplevert met het medisch beroepsgeheim. In paragraaf 8.3 wordt verder ingegaan op de effecten van het wetsvoorstel op de gegevensbescherming.

5.3 Verhouding met elektronisch uitwisselingssysteem (artikel 15a Wabvpz)

Zoals bovenstaand beschreven geldt voor zorgverleners het medisch beroepsgeheim. Als een zorgverlener de gegevens van een cliënt wil uitwisselen – en dus het medisch beroepsgeheim wil doorbreken – heeft de zorgverlener een grond voor doorbreking nodig. Bijvoorbeeld, de cardioloog wil graag de medicijngegevens van een cliënt ontvangen die eerder zijn voorgeschreven door een internist, omdat een bepaalde combinatie van medicijnen een gevaar voor de gezondheid kan opleveren. De cliënt kan vervolgens de internist toestemming geven deze gegevens te delen (in de praktijk geeft de cliënt de opvolgende hulpverlener toestemming de gegevens op te vragen bij de voorgaande hulpverlener, in dit voorbeeld zal de cliënt dus toestemming geven aan de cardioloog om bij de internist de gegevens op te vragen). Als de cliënt toestemming geeft, vraagt de cardioloog aan de betreffende internist om de gegevens. De internist kan het beroepsgeheim dan doorbreken want er is sprake van toestemming. Als de gegevensuitwisseling vervolgens elektronisch plaatsvindt, zoekt de internist de noodzakelijke gegevens op in het dossier van de cliënt en verstuurt deze via een elektronische infrastructuur of zorgt dat de cardioloog de gegevens zelf kan benaderen via een elektronische infrastructuur.

Er zijn echter ook elektronische systemen die anders werken. Bij deze systemen worden de gegevens van de cliënt al van tevoren beschikbaar gesteld door de zorgverlener die deze gegevens heeft. De zorgverlener zorgt er dan voor dat de gegevens die hij heeft over de cliënt alvast raadpleegbaar zijn voor een nog onbekende zorgverlener. Die zorgverlener weet dan nog niet op welk moment en welke collega die gegevens in de toekomst gaat raadplegen. Ze staan in elk geval alvast klaar voor een uitwisseling met een andere zorgverlener.

Als wordt gewerkt met elektronische systemen die de gegevens al van tevoren beschikbaar stellen, is in de Wabvpz geregeld dat voor dat vooraf beschikbaar stellen uitdrukkelijke toestemming nodig is van de cliënt (artikel 15a Wabvpz). Dan worden er dus nog geen gegevens uitgewisseld, ze zijn alleen beschikbaar. De elektronische systemen die op deze manier functioneren worden «elektronische uitwisselingssystemen» genoemd in de Wabvpz.

De situatie kan zich voordoen dat het uitwisselen van gegevens is toegestaan op basis van de WGBO; bij bijvoorbeeld een verwijzing van een huisarts naar een specialist wordt uitgegaan van veronderstelde toestemming van de cliënt aan de huisarts om zijn medisch beroepsgeheim te doorbreken. Als de uitwisseling via (beveiligde) e-mail plaatsvindt, kan de huisarts de gevraagde gegevens op basis van die veronderstelde toestemming naar de specialist sturen of de specialist toegang geven tot die gegevens.

5.4 Verhouding ten aanzien van wetsvoorstel digitale overheid

Het wetsvoorstel digitale overheid (hierna: Wdo)37 heeft tot doel het regelen van het veilig en betrouwbaar kunnen inloggen voor Nederlandse burgers en bedrijven bij de (semi-) overheid (eID stelsel). De Wdo gaat ook gelden voor categorieën van zorgaanbieders die vallen onder de Wabvpz, in het kader van de taken waarvoor zij op basis van de Wabvpz het BSN gebruiken. Dit betekent dat deze zorgaanbieders bij de uitwisseling van gegevens (in aanvulling op eventuele eisen die gelden op grond van het voorliggende wetsvoorstel) zullen moeten voldoen aan de eisen en normen ten aanzien van veilig inloggen uit de Wdo. Op grond van dit wetsvoorstel worden dergelijke regels voor elektronische gegevensuitwisseling dan ook vooralsnog niet vastgesteld. Wel zal, wanneer NEN-normen ontwikkeld worden, bij het opstellen van die normen de AMvB de Wdo in acht genomen worden.

6. Implementatie en uitvoering

De ervaring met verschillende wetgevingstrajecten heeft geleerd dat een goede implementatie veel voorbereidingstijd kost. Op tijd starten is noodzakelijk om te voorkomen dat de invoering van een wettelijke verplichting tot elektronische gegevensuitwisseling vertraging oploopt. Echter de basis voor een succesvolle implementatie ligt bij de betrokkenheid en het draagvlak van het veld om gezamenlijk de met het wetsvoorstel beoogde doelstelling te behalen. De inbreng van kennis en kunde van het zorgveld is belangrijk om het wetsvoorstel uiteindelijk met succes te kunnen implementeren. Hieraan wordt invulling gegeven door het zorgveld een belangrijke en noodzakelijke rol te geven vanaf het proces van de totstandkoming van een Meerjarenagenda Wegiz (paragraaf 3.2) tot en met de daadwerkelijke implementatie van de AMvB, met inbegrip van de daarin aangewezen norm.

Draagvlak en betrokkenheid zijn ook aspecten die maken of een gegevensuitwisseling uiteindelijk bij AMvB wordt aangewezen in spoor 1 of in spoor 2 (paragraaf 3.4). Belangrijk hierbij is om te onderkennen dat ondanks dat de Minister met dit wetsvoorstel regie neemt hij geen doorzettingsmacht heeft om de totstandkoming van een NEN-norm af te dwingen. Dit vergt tijd, betrokkenheid bij de uitvoering, vereist een breed draagvlak binnen het zorgveld en gezamenlijke inspanning om interoperabiliteit op het gebied van gegevensuitwisseling te realiseren. Het veld, waaronder zorgaanbieders en aanbieders van technologieproducten en -diensten, kan actief participeren bij het ontwikkelen van de NEN-norm per gegevensuitwisseling, waarnaar in de AMvB voor de eisen aan taal en techniek zal worden verwezen. Ook worden betrokkenen in de gelegenheid gesteld om op de concept-NEN-norm te reageren gedurende de openbare consultatie daarvan (paragraaf 3.5).

In de periode nadat de AMvB in werking is getreden, dienen bijvoorbeeld certificeringsschema’s te worden opgesteld, certificerende instellingen te worden geaccrediteerd en informatietechnologieproducten of -diensten te worden gecertificeerd. Bij het bepalen van de duur van de transitieperiode zal bij de totstandkoming van de AMvB nadrukkelijk aandacht worden besteed aan onder meer de hiervoor genoemde aspecten.

Door middel van zelfevaluatie zullen individuele zorgaanbieders in staat worden gesteld, om een inschatting te kunnen maken welke maatregelen getroffen dienen te worden en de tijd en inspanning die dat vergt om uitvoering te kunnen geven aan de AMvB.

Een andere succesfactor voor implementatie en uitvoering van het wetsvoorstel is de inzet op kennis, kunde, houding en gedrag van degenen die met het wetsvoorstel moeten werken. Dat er geschikt instrumentarium is, betekent niet vanzelfsprekend dat dit ook wordt benut en op de juiste wijze wordt ingezet. Implementatie is dus niet alleen het overdragen van feitelijke kennis, maar vooral het overdragen van succesvolle werkwijzen (bepaalde vaardigheden en werkprocessen) en gedrag. Het delen van ervaringen die zijn opgedaan met de aan te wijzen gegevensuitwisseling kunnen hierbij behulpzaam zijn. Dit is ook een succesfactor gebleken bij de uitvoering van de VIPP-regelingen waarover in paragraaf 2.2.1 geschreven is.

Implementatie van deze wet vraagt veel van het zorgveld en alle betrokken partijen. Daarom is een beoordeling op effectiviteit en leren van ervaring belangrijk om te beoordelen of aanvullende maatregelen nodig zijn. Om te beoordelen of het met het wetsvoorstel beoogd doel wordt bereikt, is in artikel 8.1 een evaluatiebepaling op genomen.

7. Toezicht en handhaving

Hoofdstuk 4 van het wetsvoorstel bevat de bepalingen inzake het toezicht op en de handhaving van de bij of krachtens het wetsvoorstel gestelde bepalingen. Deze zijn deels ontleend aan hoofdstuk 4 Wkkgz.

7.1 Toedeling van de taak tot bestuursrechtelijke handhaving

Bestuursrechtelijke handhaving omvat het houden van toezicht op de naleving van regels. Ook valt onder deze taak het behandelen van klachten over de naleving van regels en het opleggen van bestuurlijke sancties in geval van overtreding van regels. Het wetsvoorstel deelt de taak tot bestuursrechtelijke handhaving toe aan de Minister. De Minister zal de handhaving veelal mandateren aan de instantie die belast is met het toezicht, de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ). De IGJ is gespecialiseerd in en heeft veel ervaring met het toezicht houden op zorgaanbieders, en heeft daarmee zicht op de aanbieders van informatietechnologieproducten of -diensten.

De Minister wijst ambtenaren aan als toezichthouder. De bevoegdheden van de toezichthouder zijn beschreven in titel 5.2 van de Awb. Aanvullend hierop kan de bevoegdheid tot het betreden van een woning zonder toestemming van de bewoner worden toegekend voor het toezicht op de regels, gesteld bij of krachtens het wetsvoorstel maar alleen voor zover de woning deel uitmaakt van een bouwkundige voorziening voor het verlenen van zorg. Met betrekking tot binnentreden zijn artikel 12 van de Grondwet en de Algemene wet op het binnentreden onverkort van toepassing. Er is dan ook een schriftelijke machtiging vooraf nodig voor het binnentreden van het deel van de bouwkundige eenheid waarin de huisartsenpraktijk is gevestigd.

In het kader van het houden van toezicht op de naleving van de verplichtingen kan het noodzakelijk zijn dat de toezichthouder inzage krijgt in bijzondere persoonsgegevens. Het spreekt voor zich dat voorkomen moet worden dat deze gegevens, tenzij met toestemming van de cliënt, onder ogen van derden zouden komen. Daarom geldt voor deze gegevens een geheimhoudingsverplichting voor de toezichthouder.

In de Inspectieraad zal worden besproken hoe de samenwerking op het vlak van gegevensuitwisselingen tussen de IGJ en andere inspecties kan worden vormgegeven. Gedacht kan worden aan samenwerking met het Agentschap Telecom, dat toezicht houdt op aspecten van gegevensuitwisselingen die zijn of zullen worden geregeld in de Wdo en de Cyberbeveiligingsverordening.

Ook de IGJ en de Autoriteit Persoonsgegevens zullen moeten bespreken hoe samenwerking en taakverdeling kan worden vormgegeven, gezien de samenloop van bevoegdheden van de IGJ en de Autoriteit Persoonsgegevens aangaande het uitoefenen van toezicht op de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer binnen de zorg. Er bestaat hieromtrent al een samenwerkingsprotocol, namelijk het Samenwerkingsprotocol AP- IGJ io, Autoriteit Persoonsgegevens (Staatscourant 2018, nr. 7023). Door de IGJ en de Autoriteit Persoonsgegeven zal moeten worden bezien of dit wetsvoorstel of de AMvB’s die op grond van dit wetsvoorstel worden opgesteld, nopen tot wijziging van dit protocol.

7.2 Keuze sanctiestelsel

Bij de keuze van het sanctiestelsel is gekeken naar de discussie die in Nederland al enige jaren speelt over de wijze van sanctioneren (bestuurlijk, strafrechtelijk of duaal), de hoogte van de op te leggen sancties en de rechtsbescherming in dat kader. Hierbij is met name relevant het advies van de Raad van State uit 201538, en de reactie daarop van het kabinet in het uitgebrachte nader rapport39 en de documenten die in dat nader rapport worden genoemd, zoals met name de kabinetsnota over de uitgangspunten bij de keuze van een sanctiestelsel.40

Uit de hierboven aangehaalde documenten blijkt dat met betrekking tot sanctionering in beginsel alle modaliteiten (bestuurlijke, strafrechtelijke of duale handhaving) mogelijk zijn. In dit wetsvoorstel is gekozen voor de bestuurlijke modaliteit en kan de Minister, wanneer een informatietechnologieproduct of -dienst in strijd met artikel 3.1 niet vergezeld gaat van een certificaat, een bestuurlijke boete opleggen. Dit is een bestuursrechtelijke punitieve sanctie. Voor dit sanctiestelsel is om de volgende redenen gekozen.41 De feitelijke pakkans wordt verhoogd door de keuze van een bestuursrechtelijke punitieve sanctie. Het gaat om een eenvoudig te identificeren maar kleine doelgroep. Bij de aard van de overtreding past veel beter een financiële sanctie dan een vrijheidsbenemende sanctie. De keuze voor een bestuursrechtelijke sanctie is proportioneel tot het herstel van de rechtsorde in algemene zin. Bovendien is bij de IGJ gespecialiseerde kennis en ervaring aanwezig om de overtreding te kunnen constateren.

In het voorgestelde artikel 4.3 is, conform artikel 5:46 Awb, de maximale hoogte van de op te leggen boete vastgelegd op een boete van de zesde categorie als bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht of, indien die boetecategorie geen passende bestraffing toelaat, een geldboete tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbeschikking. Dit maximum weerspiegelt het belang dat moet worden gehecht aan het gebruik van gecertificeerde informatietechnologieproducten of -diensten. Voor grote ondernemingen is de mogelijkheid opgenomen om wanneer de maximale boete in de zesde categorie niet voldoende is om afschrikwekkende werking te hebben, voor een hogere boete te gaan gebaseerd op de jaaromzet van de onderneming. Het omgekeerde is ook van toepassing ten aanzien van kleine ondernemingen. Het opleggen van het maximumbedrag dat mogelijk is zal bij kleine bedrijven in beginsel niet aan de orde zijn. Uiteindelijk blijft de precieze boetehoogte in een specifieke casus maatwerk en zal het bedrag altijd proportioneel moeten zijn in relatie tot de begane overtreding en onder meer de financiële draagkracht van het bedrijf. Een certificaat geeft immers zekerheid dat de beoogde gegevensuitwisseling kan plaatsvinden op een wijze dat zorgverleners op het juiste moment en op de juiste plek beschikken over adequate, actuele en uniforme informatie over cliënten. Overtreding kan gevolgen hebben voor de kwaliteit van de gegevensuitwisseling én daarmee uiteindelijk in een verder verband voor de gezondheid van cliënten. Van de mogelijkheid om een bestuurlijke boete op te leggen voor het aanbieden én op de ondersteuning van een informatietechnologieproduct of -dienst, wordt ook een preventief effect verwacht. Zowel de zorgaanbieder als de leverancier van de informatietechnologieproducten en -diensten zullen ervoor willen zorgen dat de juiste certificaten aanwezig zijn en de functionaliteiten van de informatietechnologieproducten en -diensten op de juiste wijze gebruikt worden bij aangewezen gegevensuitwisselingen. De informatietechnologieproducten en -diensten die gebruikt worden voor het uitwisselen van gegevens, maar die niet uitgewisseld worden in een aangewezen gegevensuitwisseling, vallen niet onder de wettelijke verplichting en daarop kan de handhaving in het kader van dit wetsvoorstel dan ook niet zien.

7.3 Toezicht op aanwijzing in spoor 1 en aanwijzing in spoor 2

7.4 Verplichtingen voor zorgaanbieders

7.5 Eisen aan informatietechnologieproducten of -diensten

Voor gegevensuitwisselingen die zijn aangewezen in spoor 2, is de eis gesteld dat informatietechnologieproducten of -diensten voorzien moeten zijn van een certificaat. Certificerende instellingen geven op aanvraag en voor zover aan de eisen wordt voldaan een certificaat af voor een informatietechnologieproduct of -dienst. De certificerende instelling zal er ingevolge de certificatieschema’s op moeten toezien dat een informatietechnologieproduct of -dienst blijft voldoen aan de eisen. De certificerende instelling zal hiertoe steekproefsgewijs controles en administratieve audits uitvoeren. De certificerende instelling kan, wanneer het tot de conclusie komt dat niet voldaan wordt aan de eisen, het certificaat schorsen of intrekken. Een aanbieder die het daarmee niet eens is, kan zich wenden tot de bestuursrechter. Omdat in dit wetsvoorstel conformiteitbeoordelingen verplicht zijn gesteld, kunnen de certificerende instanties die deze beoordelingen uitvoeren worden aangemerkt als bestuursorgaan. Immers, een certificerende instelling beslist feitelijk of een informatietechnologieproduct of -dienst al dan niet in de markt mag worden gezet. Hiermee moet een certificerende instelling geacht te zijn bekleed met openbaar gezag. Dit houdt in dat de certificerende instellingen voor het verstrekken van certificaten op grond van dit wetsvoorstel bestuursorganen zijn en de besluiten die ze in dat kader nemen, besluiten zijn in de zin van de Awb. Een certificerende instelling moet bij deze activiteiten aan alle eisen voor een bestuursorgaan voldoen en haar besluiten staan open voor bezwaar en beroep.

Certificerende instellingen kunnen alleen toezien op informatietechnologieproducten of -diensten waarvoor een certificaat is verleend. Wanneer geen aanvraag om een certificaat wordt ingediend, of het certificaat wordt geweigerd, is het informatietechnologieproduct of -dienst niet in beeld bij de certificerende instelling. Daarom houdt de door de Minister aangewezen toezichthouder, de IGJ, toezicht op de aanwezigheid van een certificaat.

In het geval de Minister in het uiterste geval ter waarborging van de continuïteit van het systeem gebruik maakt van de bevoegdheid om zelf te certificeren, komt de Minister in die specifieke omstandigheid de bevoegdheid toe om het certificaat te schorsen of in te trekken. Daarvan kan sprake zijn in het geval de Minister tot de conclusie komt dat niet wordt voldaan aan de gestelde eisen.

Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling wordt ingetrokken. Dit kan bijvoorbeeld zijn omdat de certificerende instelling zich van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing. Uit het intrekken van de aanwijzing van de certificerende instelling kan niet direct een oordeel gegeven worden over de vraag of het informatietechnologieproduct of – dienst voldoet aan de norm die geldt voor de aangewezen gegevensuitwisseling waarvoor het informatietechnologieproduct of -dienst wordt gebruikt. In het geval de accreditatie van de certificerende instelling wordt ingetrokken kan niet met zekerheid worden gesteld dat certificaat voor het informatietechnologieproduct of -dienst terecht is verleend. Maar in alle gevallen geldt dat een overgangstermijn nodig is waarin de aanbieder van het informatietechnologieproduct of -dienst de tijd heeft om een nieuwe certificerende instelling te vinden die de taken van de vorige certificerende instelling overneemt. Voorgesteld wordt daarom dat de afgegeven certificaten voor een informatietechnologieproduct of -dienst nog twaalf maanden geldig zijn. Deze geldigheid vloeit voort uit de wet zelf en geldt ook wanneer de geldigheid van het certificaat zelf op een korte termijn was bepaald. In deze twaalf maanden kan de aanbieder van het product doorgaan met het product op de markt te brengen. Zoals hiervoor aangegeven zegt het wegvallen van de certificerende instelling in eerste instantie namelijk niets over de conformiteit van het informatietechnologieproduct of -dienst met de norm. Mocht er geen opvolgende certificerende instelling zijn dan kan worden teruggevallen op artikel 3.2, zevende lid, waarbij de Minister vanwege de borging van de continuïteit van het systeem de dossiers van de certificerende instelling en ook diens taken overneemt.

Wanneer een certificerende instelling of in het uiterste geval de Minister een certificaat schorst of intrekt, dient de zorgaanbieder in de gelegenheid te worden gesteld om een nieuw informatietechnologieproduct of -dienst aan te schaffen en te implementeren binnen de eigen organisatie. Dit om te voorkomen dat de continuïteit van de gegevensuitwisseling in gevaar wordt gebracht. De termijn voor deze transitie dient zo kort mogelijk te zijn. Immers het informatietechnologieproduct of -dienst voldoet niet (volledig) aan de voor die aangewezen gegevensuitwisseling geldende norm. Daarom is ervoor gekozen een standaardtermijn van zes maanden te hanteren (artikel 3.6, derde lid). Dat gegevensuitwisseling ook in de termijn van zes maanden (of langer) op zijn minst veilig moet gebeuren spreekt voor zich. Zie hierover ook paragraaf 8.3 (Effecten op de gegevensbescherming). Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat de zesmaandentermijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (artikel 3.6, vierde lid). Aan dit besluit tot verlenging kan de Minister voorwaarden verbinden. Tegen het besluit van de Minister om het voortgezet gebruik na zes maanden verder te verlengen, kunnen rechtsmiddelen worden aangewend.

7.6 Verplichtingen voor certificerende instellingen

De certificerende instellingen die certificaten mogen verlenen, worden aangewezen door de Minister. De Minister wijst alleen certificerende instellingen aan die geaccrediteerd zijn door de RvA volgens Europese geharmoniseerde normen of die hiervoor ten minste een aanvraag tot accreditatie hebben ingediend. Het toezicht op het functioneren van de certificerende instellingen vindt primair plaats door de RvA. De RvA ziet toe op de deskundigheid, onafhankelijkheid, onpartijdigheid en betrouwbaarheid van de certificerende instellingen. Dit doet de RvA door periodiek te controleren. De RvA kan, wanneer de RvA tot de conclusie komt dat niet voldaan wordt aan de eisen, de accreditatie intrekken of schorsen. Dit volgt uit de Wet aanwijzing nationale accreditatie-instantie en de daarbij behorende beleidsregel Accreditatie.42 Een certificerende instelling die het daarmee niet eens is, kan bezwaar indienen en zich vervolgens wenden tot de bestuursrechter. Immers, de RvA beslist feitelijk of een certificerende instelling zich op de markt mag bewegen (voor het verlenen van certificaten voor informatietechnologieproducten of -diensten die voorzien moeten zijn van een certificaat). Hiermee moet de RvA geacht te zijn bekleed met openbaar gezag. Dit houdt in dat de RvA voor het accrediteren van certificerende instellingen op grond van dit wetsvoorstel een bestuursorgaan is en de besluiten die hij in dat kader neemt besluiten zijn in de zin van de Awb. De RvA moet bij deze activiteiten aan alle eisen voor een bestuursorgaan voldoen en zijn besluiten staan open voor bezwaar en beroep.

Van de beslissing van de RvA om een accreditatie in te trekken of te schorsen moet de Minister worden geïnformeerd, omdat de beslissing gevolgen kan hebben voor de aanwijzing van de certificerende instelling door de Minister. Doorgaans zal intrekking of schorsing van een accreditatie leiden tot intrekking of schorsing van de aanwijzing door de Minister. Dit zal bij AMvB nader worden geregeld op grond van artikel 3.3, aanhef en onder c, van het wetsvoorstel.

Aangezien de RvA al in belangrijke mate toezicht houdt op certificerende instellingen, zal het toezicht door de Minister op certificerende instellingen terughoudend zijn en georganiseerd worden in overleg met de RvA. Dit laat onverlet dat de Minister stelselverantwoordelijk is en dus toezicht moet kunnen houden en, wanneer dit nodig is, moet kunnen ingrijpen. Dit volgt ook uit het kabinetsstandpunt voor conformiteitsbeoordeling en accreditatie.43 Dit is kwaliteitstoezicht dat erop is gericht om het stelsel goed te laten functioneren. Het is er niet op gericht om te controleren of iedere individuele aangewezen certificerende instelling aan de eisen voldoet. Immers, de RvA houdt al in belangrijke mate toezicht op certificerende instellingen zodat het toezicht door de Minister op certificerende instellingen terughoudend zal zijn. Kortom, het toezicht door de Minister op aangewezen certificerende instellingen moet worden ingevuld als stelseltoezicht. Het toezicht door de Minister zal georganiseerd worden in overleg met de RvA. Gelet op het terughoudende karakter van het stelseltoezicht, zal reactief toezicht gehouden worden op basis van signalen over het functioneren van specifieke aangewezen certificerende instellingen. De IGJ heeft dus eerst en vooral een onderzoeks- en signaalfunctie. De toezichthouder zet signalen door naar certificerende instellingen, de RvA of de Minister, waarna wordt bepaald welke vervolgstappen worden gezet. Ook kan stelseltoezicht op een projectmatige manier worden ingevuld om een beeld te vormen van het functioneren van het stelsel, bijvoorbeeld ten aanzien van een specifiek thema. Afhankelijk van risico’s en de kenmerken van een bepaalde gegevensuitwisseling kan (de intensiteit van) het toezicht door de toezichthouder verschillend worden ingevuld.

Daarnaast is in dit wetsvoorstel geregeld dat bij AMvB regels gesteld kunnen worden over onder meer:

• – de voorwaarden waaronder een certificerende instelling wordt aangewezen, zoals het hebben van rechtspersoonlijkheid, financiële stabiliteit, in staat om te beslissen op bezwaar, voldoende deskundigheid, en of een certificerende instelling in staat is te beoordelen of een informatietechnologieproduct of -dienst voldoet aan een voor die gegevensuitwisseling aangewezen norm;

• – de gevolgen van vrijwillige of gedwongen beëindiging van de werkzaamheden als certificerende instelling, zoals overdracht van de dossiers;

• – de voorwaarden waaronder de Minister de aanwijzing van een certificerende instelling kan wijzigen, schorsen of intrekken. Het gaat duidelijkheidshalve niet om een privaatrechtelijke handhaving, maar om een bestuursrechtelijk sanctiemiddel. Dit sanctiemiddel moet worden gezien als een uiterst middel als de privaatrechtelijke handhaving door de RvA onverhoopt niet het gewenste resultaat oplevert. Een certificerende instelling die het niet eens is met het intrekken, wijzigen of schorsen van de aanwijzing, kan in bezwaar bij de Minister en in beroep gaan bij de bestuursrechter.

8. Effecten van het wetsvoorstel

Dit hoofdstuk geeft een overzicht van de effecten die het wetsvoorstel naar verwachting op de Nederlandse samenleving zal hebben. Daarbij wordt ingegaan op zowel de sociale (regeldruk en rechtspraak) als de economische effecten (lasten).

8.1 Financiële gevolgen

Met dit wetsvoorstel wordt stap voor stap (gegevensuitwisseling na gegevensuitwisseling) de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners bij het uitwisselen van gegevens ten minste gebruik maken van een elektronische infrastructuur en worden genormaliseerde eisen gesteld aan informatietechnologieproducten of -diensten. De financiële effecten zullen per aangewezen gegevensuitwisseling verschillend zijn. De financiële gevolgen van dit wetsvoorstel zijn daarmee vooral verbonden aan de AMvB, waarbij gegevensuitwisselingen worden aangewezen.

8.1.1 Lasten voor zorgaanbieders

De verplichting voor zorgaanbieders om in spoor 2 gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten, zal tot implementatiekosten en nalevingskosten leiden. De kosten en baten zullen per gegevensuitwisseling verschillen en, zoals hiervoor besproken, vooraf in kaart worden gebracht. Hierbij zal uiteraard per gegevensuitwisseling rekening worden gehouden met de grote diversiteit binnen het zorgveld. Het zorgveld strekt zich uit van academische ziekenhuizen tot solistisch werkende zorgverleners. Wel is belangrijk om te vermelden dat het uitgangspunt is dat de (investerings)kosten voor de implementatie van de wettelijk verplichte gegevensuitwisseling worden opgebracht uit de bedrijfsvoeringsmiddelen van de zorgaanbieders.

Gezien de aard van het wetsvoorstel is in de fase van beleidsontwikkeling een bedrijfseffectentoets (hierna: BET) uitgevoerd. Uit de BET volgt dat zorgaanbieders te maken krijgen met eenmalige effecten en structurele effecten.

Eenmalige effecten waar zorgaanbieders mee te maken krijgen zijn:

• – kosten voor kennisname van de nieuwe regelgeving;

• – kosten voor het eventueel zoeken naar en aanschaffen van nieuwe informatietechnologieproducten en -diensten als de bestaande informatietechnologieproducten of -diensten niet voldoen;

• – kosten voor aanpassing van bestaande dossiervoering, communicatie en werkprocessen;

• – kosten voor het opleiden van zorgverleners om te kunnen werken met nieuwe of aangepaste informatietechnologieproducten en -diensten; en

• – kosten voor het implementeren van nieuwe informatietechnologieproducten en -diensten.

De kosten en baten hiervan zullen per te verplichten gegevensuitwisseling en per organisatie verschillen.

Structurele effecten waar zorgaanbieders mee te maken krijgen zijn:

• – voldoen aan de eisen die mogelijk gaan gelden voor zorgaanbieders. In de nog op te stellen normen kunnen namelijk ook verplichtingen worden opgelegd aan de zorgaanbieders;

• – toezien dat bij aangewezen gegevensuitwisselingen het uitwisselen van gegevens door zorgverleners elektronisch en volgens de daarvoor geldende eisen plaatsvinden. Hiertoe zullen zij naar verwachting periodiek controles uitvoeren bij zorgverleners; en

• – toename in beheerkosten (bijvoorbeeld door stijgende kosten van licenties).

Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen, moet duidelijk zijn om welke gegevens het gaat. Daarbij zal het vaak van belang zijn om te kunnen verwijzen naar een of meer kwaliteitsstandaarden. Een mogelijk effect van het wetsvoorstel is dat bij het ontbreken van een kwaliteitsstandaard deze alsnog dient te worden opgesteld. Daarnaast is bekend dat in de thans bestaande kwaliteitsstandaarden niet in alle gevallen een beschrijving van het «wat» aanwezig is die ook zal moeten worden opgesteld. Dit brengt lasten mee voor partijen die de kwaliteitsstandaarden opstellen.

Aangezien bij het veld de ambitie zal bestaan om te komen tot een spoor 2 aanwijzing, is de verwachting dat het veld zelf aan de slag gaat met de normalisatie van eisen die gesteld worden aan taal en techniek. Het is van belang dat alle betrokken partijen kunnen participeren in de totstandkoming van de NEN-norm per gegevensuitwisseling. Dit is geborgd door de werkwijze van NEN. In de NEN-normwerkgroepen worden immers alle belanghebbenden betrokken bij het opstellen van de eisen aan taal en techniek, zoals die gelden bij een aanwijzing in spoor 2. Het effect van deze werkwijze is dat het een tijdsinvestering van het zorgveld zal vergen om de NEN-norm te ontwikkelen.

Mocht daarnaast blijken dat bepaalde zorgaanbieders meer tijd en middelen nodig hebben om te voldoen aan de eisen, dan kan zo nodig in de AMvB ervoor gekozen worden een langere overgangstermijn aan te houden.

8.1.2 Lasten voor cliënten

Dit wetsvoorstel brengt geen lasten mee voor cliënten. Het wetsvoorstel richt zich namelijk op de gegevensuitwisseling door middel van een elektronische infrastructuur tussen zorgverleners over de cliënt. Het wetsvoorstel heeft wel positieve gevolgen voor de cliënt. Niet alleen is de verwachting dat met dit wetsvoorstel het risico op vermijdbare fouten merkbaar wordt verkleind, ook heeft dit wetsvoorstel positieve effecten op de lasten van cliënten. Zo is het niet meer nodig dat gegevens bij een opvolgende zorgverlener opnieuw moeten worden aangeleverd. Dit leidt tot de uitvraag van minder (administratieve) gegevens en tot minder onnodige onderzoeken met mogelijk verkeerde behandelingen tot gevolg. Omdat gegevens elektronisch beschikbaar worden, kunnen deze bovendien makkelijker elektronisch worden uitgewisseld met de cliënt zelf. Het gaat immers bij gegevensuitwisseling tussen zorgverleners vaak om dezelfde gegevens.

8.1.3 Lasten voor certificerende instellingen

8.1.4 Lasten voor aanbieders van informatietechnologieproducten of -diensten

Aanbieders van informatietechnologieproducten of -diensten zullen (initieel) extra werk moeten verzetten en investeringen moeten doen om ervoor te zorgen dat de informatietechnologieproducten of -diensten voldoen aan de eisen en dat er een certificaat kan worden aangevraagd en toegekend.

Uit de hierboven genoemde BET volgt dat aanbieders van informatietechnologieproducten of -diensten te maken krijgen met eenmalige effecten en structurele effecten.

Eenmalige effecten waar aanbieders van informatietechnologieproducten of -diensten mee te maken krijgen zijn:

• – kosten voor kennisname van de nieuwe regelgeving (waaronder de technische eisen die gaan gelden);

• – initiële kosten voor het aanvragen van een certificaat voor hun product of dienst. Dit betreft kosten voor het aanschaffen van het certificaat zelf en voor het proces om het certificaat te verkrijgen. Hoe hoog de kosten voor het certificeren van een product zullen zijn, hangt af van het aantal aangewezen gegevensuitwisselingen dat het product of de dienst ondersteunt en het aantal deelcertificaten dat nodig is voor een certificaat;

• – kosten om de producten en diensten inhoudelijk aan te passen of te ontwikkelen zodat ze aansluiten op de eisen uit de norm en daarvoor een certificaat kan worden verkregen;

• – kosten voor het opleiden van medewerkers om te kunnen werken volgens de nieuwe (technische) eisen; en

• – kosten voor de aanpassing van werkprocessen, het aanpassen en opstellen van handleidingen, communicatie en informatie richting bestaande klanten.

De hoogte van de kosten voor het aanpassen van de informatietechnologieproducten en -diensten zal per norm en per product of dienst verschillen. Dit omdat de aanpasbaarheid van producten en diensten verschilt per aanbieder en product of dienst. Ook omdat de normen kunnen verschillen in de impact op de techniek van een product of dienst.

Structurele effecten waar aanbieders van informatietechnologieproducten of -diensten mee te maken krijgen zijn:

• – periodiek hercertificeren om aan te tonen dat een informatietechnologieproduct of -dienst nog steeds voldoet aan de gestelde eisen. De kosten hiervoor zullen naar verwachting lager zijn dan de initiële kosten voor het certificeren van de producten en diensten;

• – kosten van steekproefsgewijze controles en administratieve audits vanuit de certificerende instellingen.

Een bijkomend positief effect van het wetsvoorstel is dat het voor aanbieders van informatietechnologieproducten of -diensten eenvoudiger wordt om hun product of dienst zonder aanpassingen te doen inpassen bij meerdere zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer.

De kosten die aanbieders van informatietechnologieproducten of -diensten maken, zullen zij naar verwachting grotendeels doorberekenen aan zorgaanbieders. Voor kleine aanbieders van informatietechnologieproducten of -diensten betekent dit dat de prijs van de producten en diensten waarschijnlijk meer zal stijgen ten opzichte van de grote aanbieders, omdat zij minder klanten hebben waarover de gemaakte kosten verdeeld kunnen worden. Zie ook paragraaf 8.2.1.

8.1.5 Lasten voor de overheid

Lasten normalisatie, ontwikkelen en beheer standaarden en lasten afkoop normen

Naar schatting zullen de totale kosten in het kader van normalisatie in de eerste jaren ongeveer 1,5 miljoen euro per jaar bedragen. Dit zal met name bestaan uit:

• – de kosten voor de ontwikkeling en de validatie van nieuwe normen en certificatieschema’s; en

• – de kosten voor het beheer en de overdracht van de auteursrechten aan de overheid van de in opdracht ontwikkelde normen (ten behoeve van de openbare beschikbaarstelling van deze normen).

De kosten voor het afkopen van de licentiekosten die verbonden zijn aan het gebruik van de normen zullen de komende jaren toenemen naarmate er meer naar normen wordt verwezen bij AMvB. Deze kosten zullen worden meegenomen in de begroting van het Ministerie van VWS. Overigens is van een aantal normen de auteursrechten al overgenomen (NEN 7510, NEN 7512 en NEN 7513). De verwachting is dat bij AMvB naar deze normen zal worden verwezen.

Lasten toezicht en handhaving

Onder hoofdstuk 7 inzake toezicht en handhaving is geduid dat de IGJ een belangrijke rol gaat spelen in het toezicht (en gemandateerd de handhaving) van de plichten die gaan gelden voor zorgaanbieders en eisen die gesteld worden aan informatietechnologieproducten of -diensten.

De IGJ gaat ook toezicht houden op de plicht voor informatietechnologieproducten of -diensten om voorzien te zijn van een certificaat. Deze vorm van toezicht is nieuw voor de IGJ. Dit betekent dat deze vorm van toezicht ingebed moet worden in de organisatie, het personeel hiervoor opgeleid moet worden en meer personeel nodig is. De exacte gevolgen van deze nieuwe taak is pas te bepalen wanneer er duidelijkheid is hoeveel informatietechnologieproducten of -diensten zijn gecertificeerd. Dit wordt pas duidelijk als een gegevensuitwisseling en de relevante eisen worden aangewezen bij AMvB. Bij de AMvB zal dan ook steeds worden ingegaan op de effecten van deze taak voor de IGJ.

Lasten voor de rechtspraak

Lasten voor decentrale overheden

Dit wetsvoorstel ziet op zorgaanbieders en leveranciers van informatietechnologieproducten of -diensten. Decentrale overheden kunnen zorgaanbieders zijn in de zin van dit wetsvoorstel, zoals in het geval van jeugdgezondheidszorg. Voor die gevallen geldt wat in paragraaf 8.1.1 is toegelicht.

Lasten voor Caribisch Nederland

Dit wetsvoorstel ziet niet op zorgaanbieders en leveranciers van informatietechnologieproducten of -diensten in Caribisch Nederland. Voor het effectief elektronisch uitwisselen van gegevens over cliënten tussen zorgverleners is een zekere schaalgrootte noodzakelijk. Deze schaalgrootte is in Caribisch Nederland niet aanwezig. Er zijn daarom geen lasten voor Caribisch Nederland.

8.2 Effecten op de markt en innovatie

8.2.1 Markt van informatietechnologieproducten of -diensten

Met dit wetsvoorstel wordt de marktwerking beperkt, doordat zorgaanbieders worden verplicht om binnen de aangewezen gegevensuitwisselingen gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten (als voor die informatietechnologieproducten of – diensten is bepaald dat ze voorzien moeten zijn van een certificaat) en het certificaat voor een product of dienst alleen wordt verleend als voldaan is aan de eisen die opgenomen zijn in een aangewezen norm. Het is immers niet langer voor elke aanbieder van informatietechnologieproducten of -diensten mogelijk om deze producten of -diensten aan te bieden. In de paragrafen 4.4 en 4.5 van deze memorie is al toegelicht dat deze inbreuk op het vrij verkeer van goederen en diensten gerechtvaardigd wordt geacht.

De verwachting is dat het wetsvoorstel twee negatieve effecten heeft op de markt:

• – Hoewel in de normen zoveel mogelijk gebruik wordt gemaakt van (internationale) open standaarden, kan dit wetsvoorstel ervoor zorgen dat aanbieders van informatietechnologieproducten of -diensten maatwerkoplossingen zullen moeten ontwikkelen voor de Nederlandse markt. Dit kan tot gevolg hebben dat aanbieders van informatietechnologieproducten of -diensten ervoor kiezen om hun producten niet (langer) op de Nederlandse markt aan te bieden, omdat ze liever willen investeren in schaalbare oplossingen.

• – Kleine aanbieders van informatietechnologieproducten of -diensten kunnen de kosten die zij moeten maken voor certificering en het aanpassen van hun producten of diensten over minder klanten spreiden en zullen daarom op prijs niet gemakkelijk kunnen concurreren met grote aanbieders. Dit kan ertoe leiden dat deze kleine aanbieders niet meer mee kunnen doen op de markt.

De verwachting is dat het wetsvoorstel ook positieve effecten heeft op de marktwerking:

• – Het stellen van eisen aan informatietechnologieproducten of -diensten beperkt naar verwachting de afhankelijkheid van klanten van hun leverancier voor deze producten en diensten, omdat ze beter in staat zijn om van leverancier te veranderen zonder substantiële omschakelingskosten of ongemak. Ook leidt het stellen van eisen ertoe dat producten en diensten volledig interoperabel worden. Dit maakt het voor aanbieders van deze producten of diensten makkelijker om toe te treden tot de zorgmarkt. Het wordt namelijk minder makkelijk om klanten en data af te schermen voor andere aanbieders, zodat zorgaanbieders makkelijker over kunnen stappen naar een ander product of een andere dienst. Doordat meer aanbieders informatietechnologieproducten of -diensten op de zorgmarkt zullen komen, krijgen zorgaanbieders keuze tussen verschillende informatietechnologieproducten of -diensten.

• – De eisen die worden gesteld over het genormaliseerd uitwisselen van gegevens door middel van een elektronische infrastructuur (aanwijzing in spoor 2), versterken de marktwerking. Genormaliseerde eisen zien niet op eén specifieke elektronische infrastructuur. Het gebruik van standaarden maakt ook dat een informatietechnologieproduct of -dienst zonder grote aanpassingen bij veel zorgaanbieders bruikbaar is. Daarmee is het voor aanbieders van informatietechnologieproducten of -diensten eenvoudiger om hun product of dienst zonder aanpassingen te doen inpassen bij zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer.

• – Certificering versterkt de transparantie en daarmee de marktwerking. Het wordt namelijk voor alle zorgaanbieders helder welke informatietechnologieproducten of -diensten aantoonbaar voldoen aan de eisen. Dit maakt het beter mogelijk om producten te vergelijken.

Om de positieve effecten op de marktwerking te kunnen realiseren, is het van groot belang dat ook kleine aanbieders van informatietechnologieproducten of -diensten en potentiële nieuwe toetreders worden betrokken bij de ontwikkeling van de normen. Dit is geborgd door de werkwijze van NEN (zie paragraaf 3.5.3). Zo zijn zij vroegtijdig op de hoogte, zodat zij op tijd kunnen starten met het inbouwen van de normen in de informatietechnologieproducten en -diensten, en kunnen zij invloed uitoefenen op de ontwikkeling van de standaarden.

Voor aangewezen gegevensuitwisselingen zal uiteindelijk de verplichting gelden (aanwijzing in spoor 2) dat deze op genormaliseerde wijze dienen plaats te vinden. Het kan zijn dat normalisatie een dempend effect heeft op innovatie. Bijvoorbeeld als het gebruik van een bepaald product wordt voorgeschreven hetgeen de ontwikkeling van een ander, beter product kan belemmeren. Dit wordt ondervangen door de normen periodiek te herzien. Zo kunnen innovatieve ontwikkelingen tijdig meegenomen worden. Bovendien kan normalisatie ook indirect bijdragen aan innovatie. Normalisatie leidt namelijk tot volledige interoperabiliteit die op zijn beurt kan bijdragen aan innovatie van primaire zorgprocessen. Daarnaast dragen normen bij aan het ontstaan van een gelijk speelveld waarmee concurrentie en daarmee innovatie worden bevorderd.

8.2.2 Arbeidsmarkt

8.3 Effecten op de gegevensbescherming

Het wetsvoorstel laat dus ook onverlet dat betrokkenen hun rechten kunnen uitoefenen bij elke verwerkingsverantwoordelijke die hun persoonsgegevens verwerkt. Indien persoonsgegevens van een cliënt tussen zorgaanbieders onderling worden uitgewisseld, kan de cliënt dus bij beide zorgaanbieders – bijvoorbeeld – zijn recht op inzage uitoefenen op basis van artikel 7:456 van het BW in samenhang met artikelen 12 en 15 van de AVG. Ook kunnen cliënten bij beide zorgaanbieders een elektronische inzage en een elektronische kopie van hun dossier opvragen op basis van artikel 15d, eerste lid, van de Wabvpz in samenhang met de artikelen 12 en 15 van de AVG. De verwerkingsverantwoordelijken (zorgaanbieders), die in het kader van dit wetsvoorstel gegevens uitwisselen door middel van een elektronische infrastructuur, blijven ook verplicht om cliënten te informeren over onder meer de doeleinden van de verwerking, de rechten die cliënten in het kader van de verwerking van hun persoonsgegevens toekomen en de wijze waarop zij deze rechten kunnen uitoefenen. Dit recht op informatie van cliënten vloeit voort uit de artikel 15c, eerste lid, van de Wabvpz in samenhang met de artikelen 13 en 14 van de AVG.

De AVG brengt verder met zich dat bij elke uitwisseling in het kader van dit wetsvoorstel moet worden nagegaan welke persoonsgegevens noodzakelijk zijn om uit te wisselen gelet op de doeleinden van de uitwisseling. Als binnen het bestaande wettelijke kader geen grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens, kan deze niet plaatsvinden. Immers het wetsvoorstel biedt geen grondslag als bedoeld in artikel 6, eerste lid, van de AVG om het verwerken van persoonsgegevens mogelijk te maken. Al bij de ontwikkeling van NEN-normen, waarin de eisen aan taal en techniek zijn opgenomen, moet worden nagegaan of met de desbetreffende NEN-norm – ten minste – uitdrukking wordt gegeven aan de vereisten ingevolge de AVG, bijvoorbeeld op het gebied van de beveiliging van persoonsgegevens (opgenomen in onder meer artikel 32 van de AVG).

Bij AMvB worden gegevensuitwisselingen aangewezen. Bij elke aanwijzing zal steeds worden toegelicht op welke wijze in de praktijk zal worden voorzien hoe cliënten worden geïnformeerd over de gevolgen die het elektronisch uitwisselen van gegevens voor hen heeft. Hierbij zal aandacht worden besteed aan de manier waarop cliënten in een interoperabel systeem hun dossier in kunnen zien, hun gegevens kunnen controleren en eventuele fouten kunnen herstellen en bij wie ze daarvoor terecht kunnen.

8.4 Fraude

De precieze gevolgen van dit wetsvoorstel zijn vooral verbonden aan de AMvB, waarbij gegevensuitwisselingen worden aangewezen. Bij elke (aanpassing van de) AMvB zal steeds ingegaan worden op de fraudegevoeligheid van de regelgeving. In deze paragraaf zal om die reden alleen in algemene zin worden ingegaan op fraudegevoeligheid.

De mogelijkheden tot fraude zullen niet toenemen door dit wetsvoorstel. Ook in termen van fraudemogelijkheden in de bekostiging van het stelsel van (te ontwikkelen) normen en de implementatie daarvan is niet voorzienbaar dat hier een wezenlijk andere situatie kan ontstaan dan in de huidige.

Wel moet opgemerkt worden dat, omdat dit wetsvoorstel het uitwisselen van gegevens via een elektronische infrastructuur tussen zorgverleners beoogt te stimuleren, de impact van bijvoorbeeld identiteitsfraude of fouten in zorgregistraties kan worden versterkt. Wat nu nog een geïsoleerde fout kan zijn, kan gaan doorwerken in ketens van de zorgverleners. Het is aan de zorgaanbieder en de zorgverlener als directe behandelaar om te controleren of de gegevens juist en actueel zijn, zoals dat overigens ook bij andere vormen van gegevensuitwisseling noodzakelijk is.

9. Advies en consultatie48

9.1 Toezicht- en handhaafbaarheidstoets IGJ

Op 18 juni 2020 heeft de IGJ een toezicht- en handhaafbaarheidstoets inzake het wetsvoorstel uitgebracht. De IGJ concludeert dat aanpassing, dan wel aanscherping van het wetsvoorstel op enkele onderdelen noodzakelijk is om op een goede manier te kunnen handhaven. De opmerkingen van de IGJ hebben geleid tot aanpassingen van de definitie van het begrip «informatietechnologieproduct of -dienst», artikelen 1.2 en 1.4, eerste lid, aanhef en onderdeel b, onder 1° (oud, vernummerd tot 1.4, tweede lid, onder a). Voorts is in de memorie van toelichting verduidelijkt dat het wetsvoorstel ook betrekking heeft op het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners onderling (al dan niet binnen een zorgaanbieder), binnen en tussen de zorgdomeinen (paragraaf 2.3), is de samenhang met de Wabvpz toegelicht (paragraaf 5.2) en is het onderscheid tussen de aanwijzing in spoor 1 dan wel spoor 2 verhelderd (paragrafen 3.4.1 en 3.4.2). Daarnaast is de beoogde rol van de IGJ met betrekking tot het stelseltoezicht op de certificerende instellingen en het toezicht op de zorgaanbieders in aanwijzing in spoor 1 verduidelijkt (paragraaf 7.3). Hierover wordt nog opgemerkt dat, gelet op het terughoudende karakter van het stelseltoezicht, geen reguliere controles door de IGJ plaatsvinden om na te gaan of de certificerende instellingen nog aan de eisen voor aanwijzing voldoen. Gelet op het stelsel, waarin de certificerende instellingen beoordelen of informatietechnologieproducten of -diensten voldoen aan de hieraan gestelde eisen, past bij het toezicht ook niet dat de IGJ toezicht houdt op naleving van de norm op het niveau van taal en techniek. De IGJ heeft nog verzocht om de mogelijkheid van een tijdelijke ontheffing van de certificeringsplicht in het geval een certificaat wordt ingetrokken. Hier is echter niet voor gekozen. Wanneer een certificaat is geschorst of ingetrokken voorziet het wetsvoorstel erin dat een informatietechnologieproduct- of dienst voor de duur van zes maanden kan worden gebruikt in een aangewezen gegevensuitwisseling (artikel 3.6, derde lid). Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat de zesmaandentermijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (artikel 3.6, vierde lid). Aan dit besluit tot verlenging kan de Minister voorwaarden verbinden. Hiermee wordt de zorgaanbieder in de gelegenheid gesteld om over te stappen op een ander informatietechnologieproduct of -dienst. Op deze wijze is geborgd dat zo kort mogelijk gebruik wordt gemaakt van een informatietechnologieproduct of -dienst die of dat niet voldoet aan de eisen, zodat interoperabiliteit geborgd blijft.

9.2 Uitvoering- en handhaafbaarheidstoets Nederlandse Zorgautoriteit (NZa)

Het ontwikkelen van eenheid van taal en techniek is niet eenvoudig. In de te ontwikkelen AMvB’s zal worden verwezen naar kwaliteitsstandaarden of naar wet- en regelgeving en zal, bij een aanwijzing in spoor 2, waarin de aangewezen gegevensuitwisseling verplicht wordt gesteld, een specifieke norm aanwezig zijn. De verantwoordelijkheid om bij nieuwe ontwikkelingen rekening te houden met bestaande kwaliteitsstandaarden is daarmee een verantwoordelijkheid van het veld (NEN-normen) en het Zorginstituut (kwaliteitsstandaarden). Voor de NZa wordt geen aanvullende rol voorzien.

9.3 Toets Zorginstituut Nederland (Zorginstituut)

Het Zorginstituut heeft op het gebied van kwaliteit als hoofdtaken het bevorderen van de kwaliteit van zorg en het transparant maken van de kwaliteit van de geleverde zorg. Hiervoor heeft het Zorginstituut een aantal instrumenten ter beschikking, waaronder het stimuleren van de ontwikkeling van kwaliteitsstandaarden en bijbehorende meetinstrumenten. Het wetsvoorstel legt de verbinding tussen een te verplichten gegevensuitwisseling tussen zorgverleners en de kwaliteitsstandaarden in het Openbare Register. Zie in dit verband paragraaf 2.3.3.

In zijn reactie op het wetsvoorstel geeft het Zorginstituut aan de toegekende rol passend te vinden bij de wettelijke taak die het Zorginstituut al heeft. Het Zorginstituut omarmt de maatregelen om in de zorg elektronische gegevensuitwisseling te bevorderen en zal zoveel mogelijk ondersteunen bij het bereiken van dit doel. Het Zorginstituut legt in zijn reactie de nadruk op de verbondenheid van het «wat», de informatieparagraaf in de kwaliteitsstandaard en het «hoe» zoals beschreven wordt in de NEN-norm en wil een meer actievere, verbindende rol spelen. Gelet op de noodzaak van een (blijvende) goede aansluiting van de op grond van een AMvB verplichte NEN-norm(en) op kwaliteitsstandaard(en), is in het wetsvoorstel voorzien in een wijziging van de Wkkgz door artikel 11k toe te voegen. Het Zorginstituut zal daarmee de taak worden toebedeeld om bij wijzigingen in een kwaliteitsstandaard die van invloed zijn op een wettelijke gegevensuitwisseling de Minister te informeren.

9.4 Toets Adviescollege toetsing regeldruk (ATR)

Het conceptwetsvoorstel is voor advies voorgelegd aan het Adviescollege toetsing regeldruk (hierna: ATR). De ATR heeft het wetsvoorstel getoetst op nut en noodzaak (namelijk of er een taak is voor de overheid en of regelgeving het meest aangewezen instrument is), de mogelijkheid van minder belastende alternatieven, of de uitvoeringswijze werkbaar is voor de doelgroepen die de wetgeving moeten naleven, en of de gevolgen voor de regeldruk volledig en juist in beeld zijn gebracht. De ATR komt samengevat met de volgende adviezen:

• – Nut en noodzaak: Het college onderschrijft nut en noodzaak van het zetten van stappen naar regie in de uitwisseling van gegevens via een elektronische infrastructuur en deze zijn toereikend beschreven.

• – Werkbare uitvoeringswijze: De keuze voor een kaderwet – als instrument – is volgens het college passend. De toelichting op het wetsvoorstel geeft het college op het punt van minder belastende alternatieven geen aanleiding tot opmerkingen.

• – Werkbare uitvoeringswijze: Het verdient volgens het college aanbeveling ook expliciet te kijken naar de werkbaarheid voor zorgaanbieders, zorgverleners en leveranciers en de effecten voor hun regeldruk (administratieve lasten en inhoudelijke nalevingskosten). Ook adviseert het college in de toelichting inzicht te bieden in de termijn waarbinnen de voorgestane wijze van gegevensuitwisseling in de zorg klaar moet zijn (de einddatum), een concretisering van de doelen (betere kwaliteit van de zorg, meer cliëntveiligheid en minder regeldruk) en de monitoring van voortgang en resultaten.

• – Gevolgen regeldruk: Het college adviseert om de regeldrukparagraaf aan te vullen met een beschrijving van de regeldrukeffecten voor burgers (cliënten) en de opstellers van professionele en kwaliteitsstandaarden.

Het advies van het college is om het wetsvoorstel in te dienen, nadat met de adviespunten rekening is gehouden.

De adviezen van ATR hebben geleid tot de volgende aanpassingen in deze memorie van toelichting:

• – In hoofdstuk 8 worden de effecten van het wetsvoorstel beschreven. Deze komen overeen met de uitgevoerde BET.

• – Paragraaf 8.1.1 aangevuld met de effecten voor de opstellers van kwaliteitsstandaarden.

• – In paragraaf 10.1 is toegelicht dat de werking van de wet wordt geëvalueerd.

• – In paragraaf 10.2 is beschreven welke stappen gezet moeten worden voordat een AMvB in werking kan treden. Een volwassenheidsscan moet inzicht bieden welke overgangs- en implementatietermijnen in de AMvB opgenomen kunnen gaan worden.

• – Omdat pas bij het aanwijzen van een gegevensuitwisseling bij AMvB inzichtelijk wordt wat de gevolgen zijn voor de regeldruk, zal bij de totstandkoming van de AMvB in dit kader aan de ATR worden gevraagd de regeldruk per gegevensuitwisseling te toetsen.

9.5 Toets Vereniging Nederlandse Gemeenten (VNG)

De Vereniging Nederlandse Gemeenten (hierna: VNG) acht de uitvoeringseffecten voor gemeenten in eerste aanleg niet groot. Daarom voorziet zij geen belemmeringen voor de uitvoering. Omdat de effectuering later verder zal worden geconcretiseerd in de vorm van één of meerdere AMvB’s wil de VNG graag betrokken blijven bij de verdere ontwikkelingen en de implementatie, en bieden daarbij ondersteuning aan.

9.6 Toets Autoriteit Persoonsgegevens (AP)

De AP heeft bij brief van 30 juli 2020 haar advies gegeven over het wetsvoorstel. De AP heeft bezwaar tegen het concept en adviseert de procedure niet voort te zetten, tenzij het bezwaar is weggenomen.

Hierna wordt op hoofdlijnen ingegaan op het advies van de AP. De toelichting is naar aanleiding van het advies van de AP op meerdere punten aangepast en nader gemotiveerd. Voor zover het advies van de AP niet is overgenomen, is dit nader toegelicht.

• 1. De voorgestelde wettekst laat te veel ruimte voor twijfel over de vraag of het alleen verplicht tot uitwisselen door middel van een elektronische infrastructuur of (ook) tot het uitwisselen als zodanig. De AP adviseert de wettekst zo aan te passen dat de intentie van het wetsvoorstel volstrekt helder wordt.

  In reactie hierop is in paragraaf 2.2.1 van deze memorie expliciet gemaakt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens maar als er gegevens worden uitgewisseld, dit door middel van een elektronische infrastructuur dient plaats te vinden.

• 2. Ervan uitgaand dat het wetsvoorstel uitsluitend verplicht tot het uitwisselen door middel van een elektronische infrastructuur, is er een risico dat de zorgverlener in een feitelijke dwangpositie komt die zijn beroepsgeheim kan aantasten. De AP adviseert dit risico te adresseren in de memorie van toelichting en daarbij zo nodig aan te geven welke maatregelen worden voorzien om dit te voorkomen.

  Het door de AP gesignaleerde risico wordt niet herkend. Welke gegevens nodig zijn als onderdeel van de goede zorg wordt bepaald door de zorgprofessionals en zullen zijn neergelegd in kwaliteitsstandaarden of in wet- en regelgeving. Op grond van de Wkkgz handelen zorgverleners overeenkomstig deze kwaliteitsstandaarden. Dat laat onverlet dat in het concrete geval de zorgverlener altijd nog zelf een afweging dient te maken welke gegevens noodzakelijk zijn in het kader van de behandeling. De zorgverlener maakt in een concreet geval zelf de afweging of en welke gegevens moeten worden uitgewisseld voor het leveren van goede zorg in die specifieke situatie en passend bij de behoeften van de individuele cliënt. Het voorgaande brengt met zich dat een zorgverlener in het concrete geval altijd nog zelf een afweging dient te maken of een doorbreking van het medisch beroepsgeheim aangewezen is en zelf het laatste woord heeft welke gegevens worden uitgewisseld. Het voorgaande is toegelicht in paragraaf 2.3.3.

• 3. De wettelijke beveiligingsnormen in de zorg zijn straks niet meer eenduidig terug te vinden in het Besluit elektronische gegevensverwerking in de zorg (hierna: Begiz) maar ook in de diverse op het wetsvoorstel gebaseerde AMvB’s. Uit oogpunt van kenbaarheid, samenhang en eenduidigheid adviseert de AP alle beveiligingseisen te concentreren in één wettelijke regeling.

  Met de AP is de Minister van mening dat eenduidigheid van wettelijke beveiligingsnormen belangrijk is. Concentratie van beveiligingseisen in één wettelijke regeling achten we echter niet noodzakelijk. Immers, het beveiligingsregime in de zorg is reeds genormaliseerd (NEN 7510, NEN 7512 en NEN 7513). Deze normen sluiten aan bij de algemene eisen van de AVG. De Begiz verwijst ook naar deze normen. Door in de nog op te stellen NEN-normen in spoor 2 geen aparte beveiligingseisen op te nemen maar te verwijzen naar bestaande en binnen de zorg toegepaste beveiligingsnormen, wordt een (potentiële) wildgroei van beveiligingsnormen voorkomen.

• 4. De AP adviseert de delegatie van regelgevende bevoegdheid in artikel 1.3 concreter en nauwkeuriger te begrenzen. De begrenzing tot het doel als omschreven in artikel 1.2, eerste lid: «goede zorg als bedoeld in artikel 2, tweede lid, van de Wet kwaliteit, klachten en geschillen zorg» acht de AP onvoldoende concreet en nauwkeurig.

  Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats omdat het wetsvoorstel geen nieuwe grondslagen creëert voor de verwerking van persoonsgegevens. In de tweede plaats omdat wat onder goede zorg moet worden verstaan is omschreven in artikel 2 Wkkgz. Voor zover dit geen concrete en nauwkeurige begrenzing biedt, vindt deze plaats in de kwaliteitsstandaarden die door het veld worden opgesteld. In deze standaarden wordt immers vastgelegd welke (bijzondere) persoonsgegevens in het kader van goede zorg nodig zijn.

9.7 Raad voor Rechtsbijstand

9.8 Raad voor de rechtspraak

Met betrekking tot binnentreden zijn artikel 12 van de Grondwet en de Algemene wet op het binnentreden uiteraard onverkort van toepassing. Er is dan ook een schriftelijke machtiging vooraf nodig voor het binnentreden van het deel van de bouwkundige eenheid waarin de huisartsenpraktijk is gevestigd. Volledigheidshalve is dit verduidelijkt in paragraaf 7.1 van deze memorie.

9.9 Internetconsultatie

Van 10 maart 2020 tot en met 10 juni 2020 heeft het wetsvoorstel ter consultatie voorgelegen op internetconsultatie.nl. De oorspronkelijk termijn is tussentijds verlengd vanwege COVID-19 om op die manier zorgpartijen in de gelegenheid te stellen te reageren op het conceptwetsvoorstel. Hierop zijn 66 openbare en 26 niet-openbare reacties ontvangen. De reacties op de internetconsultatie zijn afkomstig van zorgverleners, patiëntenorganisaties, leveranciers van ICT-producten, adviesbureaus en particulieren. Het wetsvoorstel is in zijn algemeenheid positief ontvangen. Nut en noodzaak van het wetsvoorstel is door de meeste respondenten onderschreven. Wel waren er nog opmerkingen en adviezen ter verbetering en verduidelijking van het wetsvoorstel en de memorie van toelichting. Hieronder worden de ontvangen opmerkingen en adviezen per thema en op hoofdlijnen besproken en van een reactie voorzien.

Particulieren maken zich met name zorgen over de veiligheid van de gegevensuitwisseling vanuit het gegevensbeschermingsperspectief. In reactie hierop wordt benadrukt dat de verplichtingen die voortvloeien uit de AVG onverkort van toepassing zijn en wordt voorzien in waarborgen om een toereikend beschermingsniveau te bieden. In paragraaf 8.3 is dit verder verduidelijkt.

Veel reacties hadden betrekking op (onduidelijkheid over) de reikwijdte van het wetsvoorstel. Volgens sommige respondenten zouden gegevensuitwisselingen tussen cliënt en zorgverlener, tussen zorgdomeinen en binnen de Wmo-ondersteuning binnen de reikwijdte van het wetsvoorstel moeten vallen. Andere respondenten brachten naar voren dat het wetsvoorstel ook het hergebruik van gegevens ten behoeve van medisch onderzoek zou moeten regelen. Dit is aanleiding geweest om in de memorie van toelichting de reikwijdte van het wetsvoorstel te verduidelijken (paragraaf 2.3).

Ook bestond bij veel respondenten onduidelijkheid over de verhouding van het wetsvoorstel tot het toestemmingsvereiste in artikel 15a van de Wabvpz en het medisch beroepsgeheim. Dit is verhelderd in paragraaf 5.2.

Bij veel respondenten bestond onduidelijkheid over de totstandkoming van de roadmap, de verhouding van spoor1 tot spoor2 en het NEN-proces. Dit is aanleiding geweest deze onderwerpen in paragrafen 3.2 en 3.5 nader toe te lichten. Ook werd aangegeven dat de gebruikte terminologie niet helder was. Daarom is de benaming van de roadmap gewijzigd in Meerjarenagenda Wegiz, dit doet meer recht aan het meerjarige karakter van het traject.

Een aantal respondenten hebben hun zorg geuit dat normalisatie innovatie belemmert. In paragraaf 8.2 is toegelicht hoe eventuele effecten op innovatie worden gemitigeerd en welke positieve effecten worden verwacht.

Ook bestaat bij een aantal respondenten de vrees dat certificering, gelet op de kosten ervan, negatieve gevolgen zal hebben voor de marktwerking. In paragraaf 8.2 zijn de positieve effecten van het wetsvoorstel op de marktwerking toegelicht.

In de internetconsultatie is ook gewezen op het ontbreken van een evaluatiebepaling. In reactie hierop is in het wetsvoorstel een evaluatiebepaling toegevoegd. Kortheidshalve wordt verwezen naar paragraaf 10.1.

10. Evaluatie, overgangsrecht en inwerkingtreding

10.1 Evaluatie

Met dit wetsvoorstel wordt een substantiële beleidswijziging beoogd. Om die reden zal de verwerkelijking van de doelstellingen van dit wetsvoorstel en de effecten daarvan binnen vijf jaar na inwerkingtreding van de wet worden geëvalueerd en zal verslag worden gedaan aan de Staten-Generaal. Om inzicht te verkrijgen in de doelmatigheid en doeltreffendheid van het voorziene stelsel zal geëvalueerd worden hoe de werking van het wettelijk stelsel en de daarbinnen voorgestane wijze van prioritering heeft plaatsgevonden, de wijze waarop gegevensuitwisselingen worden geselecteerd om uiteindelijk bij AMvB aangewezen te worden in spoor 1 of spoor 2 en de implementatie en uitvoering van de AMvB. Daarnaast zal de keuze om te komen tot interoperabiliteit via normalisatie in een spoor 2-aanwijzing worden geëvalueerd, waarbij onder meer bezien wordt of die keuze voldoende recht doet aan de gevraagde regierol van de Minister. Eveneens wordt in het kader van het evaluatieonderzoek in beeld gebracht of de verwachte effecten van individuele AMvB’s, zoals voorzien in onder meer de uitgevoerde MKBA’s, daadwerkelijk zijn opgetreden. Bovendien zal de werking van het toezicht op en de handhaving van het wettelijk stelsel worden geëvalueerd. Mocht deze evaluatie aantonen dat de gekozen aanpak in de praktijk onvoldoende effect sorteert, dan zal een nadere afweging plaatsvinden over de te nemen maatregelen.

10.2 Overgangsrecht

In dit wetsvoorstel wordt geen overgangsrecht opgenomen. Daarbij wordt in aanmerking genomen dat de beoogde verplichting pas effect heeft als bij AMvB ten minste één aangewezen gegevensuitwisseling onder het stelsel wordt gebracht.

Om betrokken partijen voldoende tijd te geven om zich voor te bereiden op en te voldoen aan de bij AMvB gestelde eisen, zal tussen de publicatie van de AMvB en inwerkingtreding van die AMvB een dan nader te bepalen termijn in acht worden genomen.

Bij de afweging van een redelijke overgangstermijn zullen verschillende aspecten in aanmerking worden genomen, zoals de duur en voorwaarden van afgesloten contracten tussen zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten, de beschikbaarheid van certificatieschema’s en de hoeveelheid certificerende instellingen met noodzakelijke kennis en de tijd die nodig is voor het accrediteren door de RvA van certificerende instellingen. Daarbij dient in ieder geval in aanmerking te worden genomen dat het accreditatieproces naar verwachting ongeveer 18 maanden in beslag zal nemen. De optelsom van deze factoren zal uiteindelijk de duur van de overgangsperiode bepalen.

Het wetsvoorstel kan ertoe leiden dat overeenkomsten tussen zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten (moeten) worden beëindigd, omdat het product of de dienst niet (meer) voldoet aan de eisen die bij AMvB worden gesteld, waaronder de eis dat het product of de dienst voorzien moet zijn van een certificaat. De verwachting is dat de voorzienbare groep van zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten die in een geschilsituatie (bijvoorbeeld over eventuele aansprakelijkheidskwesties of boetes vanwege contractbreuk) zullen komen dermate klein zal zijn, dat dit geen wettelijke (overgangsrechtelijke) regeling vergt:

• – In de eerste plaats wordt, zoals hierboven aangegeven, gewerkt met gefaseerde invoering, waardoor bestaande overeenkomsten binnen de invoeringstermijn zullen eindigen.

• – In de tweede plaats zijn er geen problemen te verwachten rondom de overdracht van gegevens naar een nieuw informatietechnologieproduct of -dienst. Op de grond van de AVG is het verboden om zonder grondslag persoonsgegevens te verwerken. Wanneer een overeenkomst tussen een zorgaanbieder en aanbieder van een informatietechnologieproduct of -dienst beëindigd wordt, zal de aanbieder van het product of dienst geen grondslag hebben om persoonsgegevens te verwerken. De aanbieder moet de persoonsgegevens dan verwijderen. Hierover moeten op grond van artikel 28 AVG nadere afspraken zijn vastgelegd in een verwerkingsovereenkomst en -in het geval van gezamenlijke verwerkingsverantwoordelijkheid – in een overeenkomst als bedoeld in artikel 26 AVG. Daarbij geldt dat uit de NEN 7510, die op grond van verschillende wet- en regelgeving verplicht is50, volgt dat de overeenkomsten tussen zorgaanbieders en aanbieders van bepaalde informatietechnologieproducten of -diensten moeten voldoen aan wet- en regelgeving. Dit is een extra waarborg dat een verwerkersovereenkomst wordt gesloten.

• – In de derde plaats is het bestaande praktijk in het zorgveld dat voor software die de primaire processen faciliteert (zoals ziekenhuisinformatiesystemen en huisartseninformatiesystemen) onderhoudscontracten worden afgesloten waarbij aanbieders van informatietechnologieproducten of -diensten (op basis van vergoedingen) zich verplicht hebben om de software onder meer in lijn te houden met de geldende wet- en regelgeving. Een bij AMvB aangewezen norm waarin een standaard wordt voorgeschreven om gegevens uit te wisselen, zal veelal binnen de reikwijdte van dergelijke zogenaamde adaptieve onderhoudsverplichtingen vallen.

10.3 Inwerkingtreding

Zoals aangegeven in paragraaf 2.3.1 zijn er momenteel dertien concept gegevensuitwisselingen in beeld. Daarvan worden momenteel vier nader uitgewerkt, te weten Digitaal receptenverkeer, Ziekenhuizen BgZ, Verpleegkundige overdracht en Beeld-Ziekenhuizen. Bij deze vier concept gegevensuitwisselingen zijn er nog geen (passende) kwaliteitsstandaarden of is de kwaliteitsstandaard niet specifiek genoeg als basis voor een wettelijke verplichting op grond van de dit wetsvoorstel. Naar verwachting geldt dit ook voor de overige (negen) concept gegevensuitwisselingen.

Voor deze dertien concept gegevensuitwisselingen gaat een overgangsperiode van vijf jaar gelden waarin wat wordt uitgewisseld nog niet neergelegd hoeft te zijn in een kwaliteitsstandaard of in wetgeving. Gedurende deze periode kunnen de gegevensuitwisselingen wel aangewezen worden bij AMvB, maar zullen parallel de benodigde kwaliteitsstandaarden opgesteld respectievelijk aangepast moeten worden of eventueel in wet- of regelgeving moeten worden vastgelegd. Om te komen tot een interoperabele elektronische gegevensuitwisseling in de zorg en een goede werking van het wetsvoorstel is het immers noodzakelijk dat er heldere afspraken komen over welke gegevens moeten worden uitgewisseld, die worden vastgelegd in een kwaliteitsstandaard of in wetgeving. De vraag of een kwaliteitsstandaard of wet- en regelgeving noodzakelijk is voor het vastleggen van de afspraken zal mede beantwoord worden aan de hand van de vraag of een kwaliteitsstandaard niet alleen gegevens bevat voor het verlenen van goede zorg, maar ook de gegevens die met het oog op het verlenen van die zorg worden uitgewisseld, de zogenaamde basisgegevens van een cliënt.

Voor de vier gegevensuitwisselingen die momenteel uitgewerkt worden geldt dat er al afspraken zijn waarbij bepaald is welke gegevens worden uitgewisseld. Voor Digitaal Receptenverkeer is dit de informatiestandaard Medicatieproces 9.0 waarin staat welke gegevens door welke zorgverlener op welk moment worden uitgewisseld. Voor Beeld-Ziekenhuizen geldt dat gegevens in de meeste gevallen al elektronisch uitgewisseld wordt, maar dat er nog geen heldere afspraken zijn gemaakt in welke gevallen beelden tussen ziekenhuizen en andere medisch-specialistische instellingen worden uitgewisseld. Voor Ziekenhuizen Bgz is ook een informatiestandaard ontwikkeld die bepaalt welke gegevens ten minste van een patiënt beschikbaar moeten zijn. In de informatiestandaard is afgesproken dat bij het overdragen van een patiënt deze «patiëntsamenvatting» mee overgedragen wordt. Voor Verpleegkundige overdracht wordt momenteel een kwaliteitsstandaard ontwikkeld die mogelijk voldoende bepaalt welke gegevens bij de verpleegkundige overdracht mee overgedragen moeten worden.

Om de komende jaren alvast stappen te kunnen zetten in de vier hiervoor genoemde gegevensuitwisselingen (en eventueel in de overige negen wanneer blijkt dat die vanuit de praktijk als zeer wenselijk wordt gezien), is het voornemen om het tweede lid van het voorgestelde artikel 1.4 pas vijf jaar na inwerkingtreding van het eerste lid van artikel 1.4 in werking te laten treden. Op grond van artikel 1.4, eerste lid, van het wetsvoorstel kunnen de vier genoemde gegevensuitwisselingen worden aangewezen waarbij in plaats van verwijzen naar een kwaliteitsstandaard of wettelijke grondslag, de gemaakte afspraken benoemd zullen worden in de AMvB. Waarbij dit wetsvoorstel niet bepaalt dát die gegevens moeten worden uitgewisseld, maar alleen regelt dat als er wordt uitgewisseld, dit gebeurt overeenkomstig een elektronische infrastructuur (spoor 1) of volgens een voor die gegevensuitwisseling geldende norm (spoor 2).

Voor artikel 7.3 geldt dat dit artikel gelijktijdig in werking moet treden met het aanwijzen van de gegevensuitwisseling jeugdgezondheidzorg onder dit wetsvoorstel. Wanneer dit naar verwachting het geval zal zijn, zal onderdeel vormen van de Meerjarenagenda Wegiz. Zolang deze aanwijzing niet geschiedt, geldt de huidige wetgeving onverkort.

Met uitzondering van de hierboven beschreven situatie ten aanzien van de artikelen 1.4, tweede lid, en 7.3 kunnen de artikelen in dit wetsvoorstel in werking treden met ingang van een bij koninklijk besluit (KB) te bepalen tijdstip, waarbij aangesloten zal worden bij het beleid van het kabinet inzake vaste verandermomenten van regelgeving. De inwerkingtreding van het wetsvoorstel heeft in eerste instantie tot gevolg dat de Minister over kan gaan tot het formeel vaststellen van de Meerjarenagenda Wegiz en het aanwijzen van certificerende instellingen, die als taak hebben op aanvraag informatietechnologieproducten of -diensten van een certificaat te voorzien. De inwerkingtreding van een gegevensuitwisseling in spoor 2 kan namelijk pas plaatsvinden als er gecertificeerde informatietechnologieproducten of -diensten zijn en zorgaanbieders voldoende tijd hebben gekregen om deze informatietechnologieproducten of -diensten te implementeren. Materieel heeft voor het overige het wetsvoorstel pas daadwerkelijk betekenis als een gegevensuitwisseling bij AMvB wordt aangewezen in spoor 1 of spoor 2.

ARTIKELSGEWIJS DEEL

Artikel 1.1 (begripsbepalingen)

Aangewezen gegevensuitwisseling

In de begripsbepalingen is een verkorte aanduiding opgenomen voor wat onder een aangewezen gegevensuitwisseling wordt verstaan. Voor een inhoudelijk toelichting wordt verwezen naar de toelichting op artikel 1.4.

Benaderen

Zie voor een uitleg wat onder benaderen in dit wetsvoorstel wordt verstaan paragraaf 2.3.2 van het algemeen deel van de memorie van toelichting.

Certificaat

Op grond van dit wetsvoorstel wordt aan bepaalde informatietechnologieproducten of -diensten die bij aangewezen gegevensuitwisselingen worden gebruikt de eis gesteld voorzien te zijn van een certificaat. In de begripsbepalingen is voor «certificaat» een verkorte aanduiding opgenomen. In artikel 3.1 is uitgewerkt wat dit certificaat betreft (zie toelichting bij dat artikel).

Certificerende instelling

Een certificerende instelling is een instelling die krachtens artikel 3.2 beschikt over een aanwijzing van de Minister om certificaten te verstrekken aan informatietechnologieproducten of -diensten die voldoen aan de voor die aangewezen gegevensuitwisseling vastgestelde norm.

Cliënt, Zorg, Zorgaanbieder, Zorgverlener

Zoals aangegeven in het algemeen deel van deze memorie (zie hoofdstuk 1) wordt met dit wetsvoorstel voorgesteld randvoorwaarden te stellen voor goede zorg door het elektronische uitwisselen van gegevens, al dan niet op genormaliseerde wijze, te bevorderen. De gehanteerde terminologie en begrippenkader uit de Wkkgz worden voor zover nodig overgenomen in dit wetsvoorstel.

Informatietechnologieproducten of -diensten

De eisen en de certificeringsverplichting kunnen over verschillende onderdelen van de informatietechnologie gaan. Het kan gaan over de software en hardware die bij de aangewezen gegevensuitwisseling gebruikt wordt om de gegevens uit te wisselen, maar ook over bepaalde diensten die worden geleverd. Het kan gaan om een combinatie van software of hardware, maar dat hoeft niet. Het gaat hierbij onder meer om de koppelvlakken waarvoor specificaties gaan gelden, en waarop de software, hardware of diensten zien.

Norm

In de begripsbepalingen is een verkorte aanduiding opgenomen voor wat onder norm wordt verstaan. Het kan daarbij gaan om een door de Stichting Nederlands Normalisatie-instituut uitgegeven norm (NEN-norm), zoals omschreven onder 1°, en om Europese of internationale normen (NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO), zoals omschreven onder 2° tot en met 6°. Voor een inhoudelijk toelichting wordt verwezen naar de toelichting op artikel 1.4.

Uitwisselen

Zoals aangegeven in paragraaf 2.3.2 van het algemeen deel van de memorie van toelichting wordt onder uitwisselen van gegevens niet alleen verstaan het delen van gegeven van de ene zorgverlener met de andere zorgverlener, maar kan het ook gaan om het benaderen van gegevens die ergens anders zijn vastgelegd. Maar in beide gevallen geldt steeds dat de uitwisseling van gegevens aan de bij of krachtens dit wetsvoorstel opgenomen eisen zal moeten voldoen. Het delen én benaderen van gegevens zal steeds ten minste via een elektronische infrastructuur dienen plaats te vinden (zie hierna de artikelsgewijze toelichting bij artikel 2.1).

Artikel 1.2 (doel)

Goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit van zorg. Artikel 3 Wkkgz geeft de zorgaanbieder, of deze nu zorg verleent op individuele basis of in instellingsverband, opdracht de zorgverlening zodanig in te richten dat goede zorg redelijkerwijs het resultaat is. Met dit wetsvoorstel wordt hieraan nadere invulling gegeven door duidelijk te maken dat de zorgaanbieder de organisatie zodanig moet inrichten dat de gegevens in een aangewezen gegevensuitwisseling ten minste door middel van een elektronische infrastructuur kunnen worden uitgewisseld en eventueel op genormaliseerde wijze. Als de zorgaanbieder dit nalaat dan is dit een overtreding van artikel 3 Wkkgz in verbinding met artikel 2.1 van dit wetsvoorstel. Met elektronische gegevensuitwisseling kan veel winst bereikt worden om de goede zorg te verbeteren. Uitwisselen van gegevens door middel van een elektronische infrastructuur – al dan niet op genormaliseerde wijze – is dus geen doel op zich, maar randvoorwaardelijk voor het verlenen van goede zorg. Zie ook paragraaf 2.2 van het algemeen deel van deze memorie. Ook het verminderen van tijd die zorgverleners kwijt zijn aan het administreren van het zorgproces draagt eraan bij dat meer tijd besteed kan worden aan het daadwerkelijk verlenen van goede zorg. Een gegevensuitwisseling kan daarom ook worden aangewezen als daarmee primair bereikt wordt dat de administratieve lasten worden verlaagd.

Artikel 1.3 (Meerjarenagenda Wegiz)

Op grond van het hierna toe te lichten artikel 1.4 is het mogelijk om bij AMvB gegevensuitwisselingen aan te wijzen. De Minister inventariseert voorafgaand hieraan welke gegevensuitwisselingen eventueel voor aanwijzing in aanmerking komen. Deze lijst met geprioriteerde gegevensuitwisselingen wordt met de Tweede Kamer gedeeld. Voor een toelichting op het tweede lid wordt verwezen naar paragraaf 3.2 van het algemeen deel van de memorie van toelichting.

Artikel 1.4 (aanwijzen van gegevensuitwisselingen en gegevens, en stellen van eisen daaraan)

Dit artikel bevat de delegatiegrondslag voor het aanwijzen van gegevensuitwisselingen, het noemen en aanwijzen van gegevens, het stellen van eisen om het in artikel 1.2 opgenomen doel te bereiken en voor het eventueel uitzonderen van militaire gezondheidszorg van de wettelijke verplichtingen.

Eerste lid

Om het in artikel 1.2 opgenomen doel te bereiken, worden bij AMvB gegevensuitwisselingen aangewezen waarbij zorgverleners gegevens van en over een cliënt uitwisselen. Het aanwijzen kan alleen voor zover deze gegevensuitwisselingen zijn opgenomen in de Meerjarenagenda Wegiz, zie paragraaf 3.2 van het algemeen deel van deze memorie. In paragraaf 2.3.1 van het algemeen deel van deze memorie is aangegeven aan welke soorten gegevensuitwisselingen als eerste wordt gedacht. Het wetsvoorstel gaat dus niet om gegevensuitwisseling in algemene zin, maar alleen om het uitwisselen van gegevens die plaatsvindt binnen een bij AMvB afgebakend terrein.

Tweede lid

In paragraaf 2.3.3. van het algemeen deel van deze memorie is uitvoerig toegelicht dat een gegevensuitwisseling onder dit wetsvoorstel alleen kan worden aangewezen, als de gegevens die worden uitgewisseld zijn vastgelegd in een kwaliteitsstandaard of in andere wet- en regelgeving. Duidelijkheidshalve wordt opgemerkt dat de formulering in dit lid met zich brengt dat een onderdeel van de professionele standaard niet als basis kan dienen voor een gegevensuitwisseling. Een onderdeel van de professionele standaard heeft weliswaar gevolgen voor de invulling van goede zorg als bedoeld in de Wkkgz, maar is zelf geen wet- of regelgeving. De inwerkingtreding van dit lid zal vijf jaar na inwerkingtreding van het eerste lid plaatsvinden. Verwezen wordt naar hoofdstuk 10.3 van het algemeen deel van deze memorie voor een toelichting hierop.

Derde lid

Dit lid biedt een basis om nadere eisen te stellen aan de uitwisseling van gegevens in de aangewezen gegevensuitwisseling.

Onder a

De nadere eisen kunnen in de eerste plaats minimale eisen betreffen die gesteld worden aan het door middel van een elektronische infrastructuur uitwisselen van gegevens. Het gaat om eisen die zien op de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens door middel van een elektronische infrastructuur plaats moet vinden. Gedacht kan worden aan een eis dat de elektronische gegevensuitwisseling op een veilige manier verloopt (zoals NEN 7510), of dat er eisen worden gesteld aan logging. In de toekomst worden mogelijk nog andere normen ontwikkeld. Wanneer de aanwijzing plaatsvindt onder a wordt gesproken over een «spoor 1-aanwijzing». Zie voor een uitgebreide toelichting hierop paragraaf 3.4.1 van het algemeen deel van deze memorie.

Onder b

In de tweede plaats kunnen nadere eisen worden gesteld die als doel hebben te komen tot het genormaliseerd uitwisselen van gegevens in de aangewezen gegevensuitwisseling, zodat volledige interoperabiliteit mogelijk is. Het gaat hierbij om:

• – technische eisen die gesteld worden aan bijvoorbeeld informatietechnologieproducten of -diensten;

• – eisen aan taal die zorgverleners hanteren voor de omschrijving van de medische aandoening; en

• – eisen die de goede zorg ten goede komen omdat ze de administratieve lasten verminderen.

Vierde lid

Alleen op grond van de aanwijzing op grond van het derde lid, onderdeel b, kan er sprake zijn van certificering van informatietechnologieproducten of -diensten. Om die reden wordt in dit lid alleen naar het derde lid, onderdeel b, verwezen. De certificering ziet maar op een deel van de eisen die in de norm staan waarnaar bij AMvB zal worden verwezen, namelijk alleen die eisen die zien op informatietechnologieproducten of -diensten. De certificering ziet dus niet op de eisen die betrekking hebben op bijvoorbeeld organisatorische aspecten. De eisen waar certificering niet op ziet, richten zich tot de zorgaanbieder (zie hiervoor paragraaf 2.3.4. van het algemeen deel van de toelichting). Uit de norm waarnaar bij AMvB naar verwezen zal voldoende duidelijk moeten blijken welke eisen zich richten op het gebruik van informatietechnologieproducten of -diensten bij het uitwisselen van gegevens.

Artikel 1.5 (zorg in justitiële inrichtingen, forensische zorg en militaire gezondheidszorg)

Eerste lid

Ten aanzien van de zorg die wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra kan het vanuit veiligheidsoverwegingen noodzakelijk zijn dat op andere wijze gegevens worden uitgewisseld dan voorgeschreven door onderhavig wetsvoorstel. Voor deze instellingen en inrichtingen is derhalve een uitzondering opgenomen. Het gaat hier om de gegevensuitwisseling tussen de uitgezonderde inrichtingen en instellingen onderling, maar uiteraard ook – vanwege bovengenoemde redenen – om de uitwisseling tussen de uitgezonderde inrichtingen, instellingen en reguliere zorgaanbieders. Dit laat onverlet dat zij waar mogelijk de in dit wetsvoorstel voorziene wijze van het uitwisselen van gegevens zullen volgen. De bijzondere omstandigheden van deze instellingen nopen er echter toe dit niet als verplichting vorm te geven. Gezien het karakter van dit wetsvoorstel, waarbij bij AMvB concrete vormen van gegevensuitwisseling onder het bereik van de wet zullen worden gebracht, is de mogelijkheid opengehouden om de uitgezonderde inrichtingen en instellingen alsnog onder de reikwijdte van onderhavig wetsvoorstel te brengen voor zover een concrete vorm van gegevensuitwisseling zich verhoudt met de justitiële of forensische zorgsetting.

Tweede lid

In beginsel valt de forensische zorg die niet wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra onder dit wetsvoorstel. Dit zijn bijvoorbeeld GGZ-instellingen die zowel reguliere zorg verlenen als forensische zorg. Wat de gevolgen zijn voor de forensische zorg voor de aan te wijzen gegevensuitwisselingen is op dit moment onvoldoende te overzien. Voorgesteld wordt om deze reden de mogelijkheid op te nemen bij AMvB af te wijken van de voorgeschreven wijze van uitwisselen van gegevens, wanneer dit vanwege de forensische setting noodzakelijk is. Ook hierbij valt bijvoorbeeld te denken aan veiligheidsaspecten. De voordracht voor een zodanige AMvB zal worden gedaan door de Minister voor Rechtsbescherming.

Derde lid

Ook de militaire gezondheidszorg kan geraakt worden door dit wetsvoorstel. Zo zal er tijdens operationele omstandigheden niet steeds sprake zijn van een degelijke digitale infrastructuur om de gegevens elektronisch uit te wisselen. De voordracht voor een zodanige AMvB zal worden gedaan door de Minister van Defensie.

Artikel 2.1 (verplichting zorgaanbieders)

Eerste lid

Tweede en derde lid

Naast de eis die geldt op grond van het wetsvoorstel dat gegevens binnen aangewezen gegevensuitwisselingen door middel van een elektronische infrastructuur moeten worden uitgewisseld, kunnen nadere eisen worden gesteld. Dit is geregeld in artikel 1.4, derde lid (zie toelichting bij dat lid). Uit het tweede lid volgt dat de verplichting om te voldoen aan artikel 1.4, derde lid, is neergelegd bij de zorgaanbieder (zie ook paragraaf 2.3.4 van het algemeen deel van deze memorie is), tenzij het gaat om de (technische) eisen die gesteld worden aan een informatietechnologieproduct of -dienst waarvoor een certificaat is vereist (zie ook in paragraaf 3.3 van het algemeen deel van deze memorie). Als dit laatste het geval is, rust op de zorgaanbieder ingevolgde het derde lid slechts de verplichting om gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten.

Vierde lid

Artikel 1, zesde lid, Wkkgz regelt dat in het geval een instelling (zoals een medisch specialistisch bedrijf) (hierna: onderaannemer) zorg verleent binnen een andere instelling (zoals een ziekenhuis) (hierna: hoofdaannemer), de onderaannemer niet aangemerkt wordt als een instelling in de zin van de Wkkgz en dus ook niet als een zorgaanbieder in de zin van de Wkkgz. Door het van overeenkomstige toepassing verklaren van artikel 1, zesde lid, Wkkgz wordt een onderaannemer ook voor dit wetsvoorstel niet als zorgaanbieder aangeduid. De hoofdaannemer is daarmee dan verantwoordelijk voor het voldoen aan de verplichting zoals opgenomen in het eerste tot en met derde lid. De onderaannemer is in dit geval zorgverlener. Artikel 1, zevende lid, Wkkgz bepaalt dat als een instelling wordt gevormd door een organisatorisch verband van natuurlijke personen, de uit die wet voortvloeiende verplichtingen zich tot ieder van die personen richten. Voor dit wetsvoorstel geldt dit daarom ook.

Artikel 3.1 (certificering van informatietechnologieproducten of -diensten)

Artikel 3.2 (aanwijzen certificerende instellingen op verzoek)

Eerste lid

Tweede lid

Derde lid

De RvA is op grond van artikel 2, eerste lid, van de Wet aanwijzing nationale accreditatie-instantie aangewezen als nationale accreditatie-instantie. De RvA beoordeelt certificerende instellingen op basis van normen die door de Europese Commissie zijn aangewezen als de enige normen die door nationale accreditatie-instanties kunnen worden gebruikt om certificerende instellingen te accrediteren. In dit geval gaat het alleen om de geharmoniseerde norm NEN-EN-ISO/IEC 17065:2012; Conformiteitsbeoordeling – Eisen voor certificatie-instellingen die certificaten toekennen aan producten, processen en diensten. Daarnaast beoordeelt de RvA of aan de eisen voor het verkrijgen van een aanwijzing wordt voldaan, die bij AMvB zullen worden vastgelegd. Te denken valt aan eisen over de rechtsvorm van de certificerende instelling, onafhankelijkheid, deskundigheid en organisatie van de certificerende instellingen.

In paragraaf 7.6 van het algemeen deel van deze memorie is de accreditatie door de RvA nader toegelicht.

Vierde lid

In verband met de erkenning van verkregen vergelijkbare documenten is in dit lid opgenomen dat met een accreditatie gelijk wordt gesteld een accreditatie afgegeven in een lidstaat van de Europese Unie of een staat waarmee Nederland een verdrag heeft die strekt tot erkenning van dergelijke documenten. Eis daarbij is dat de verkregen accreditatie gebaseerd is op documenten of onderzoekingen die tenminste een beschermingsniveau bieden dat wordt gewaarborgd met de verkrijging van de accreditatie in Nederland voor het afgeven van deze certificaten. Dit betekent dat de accreditatie moet zien op algemene waarden als onafhankelijkheid en onpartijdigheid, maar ook op de inhoudelijke eisen die neergelegd zijn in de AMvB op grond van artikel 3.3, onderdeel a, om voor een aanwijzing in aanmerking te komen. Overigens is elk nationaal accreditatie-orgaan in principe verantwoordelijk voor accreditatie van de organisaties uit het desbetreffende land. Zie hiervoor ook verordening 765/2008.

Vijfde lid

Onder a

Het uitgangspunt is dat een certificerende instelling een accreditatie van de RvA heeft. Daarbij is het zo dat in het kader van accreditatie een instelling aan moet tonen dat zij de werkzaamheden zoals beschreven in het certificatieschema, uitvoert in overeenstemming met dat schema. Dat betekent dat de instelling een klant moet hebben waar zij het certificatietraject volledig doorloopt en dat de RvA deze werkzaamheden bijwoont en beoordeeld. Dit is echter niet mogelijk zonder aanwijzing door de Minister. In dat geval is het mogelijk dat de instelling die een volledige aanvraag heeft ingediend bij de RvA een tijdelijke aanwijzing kan krijgen. De instelling wordt beoordeeld en geaccrediteerd, zonder dat er al een bijwoning van de werkzaamheden plaatsvindt. Nadat deze beoordeling met positief resultaat wordt afgerond, wordt de tijdelijke accreditatie onder beperkende voorwaarden verleend. Daarmee kan de certificerende instelling een (tijdelijke) aanwijzing aanvragen bij de Minister. En na aanwijzing kan de certificerende instelling vervolgens een klant werven, waar de bijwoning kan plaatsvinden. Eventuele afwijkingen die volgen uit de bijwoning moeten worden opgelost voordat de tijdelijke accreditatie in een definitieve accreditatie kunnen worden omgezet. Daarna kan de certificerende instelling ook andere klanten gaan bedienen en certificeren.

Onder b

Het kan in bepaalde gevallen voorkomen dat het accreditatieproces langer duurt dan verwacht. Aangezien certificerende instellingen een essentiële rol spelen in onderhavig wetsvoorstel en het belangrijk is dat de certificering van informatietechnologieproducten of -diensten wordt voortgezet, kan de Minister in het systeem van accreditatie ingrijpen door te bepalen dat – tijdelijk – van de eis van accreditatie wordt afgezien. De certificerende instelling kan in die tijd alsnog zorgdragen voor de benodigde accreditatie.

Zesde lid

De certificerende instellingen, bedoeld in dit wetsvoorstel, worden uitgezonderd van de werking van de Kaderwet zbo’s. Zie voor een toelichting paragraaf 3.7.1 van het algemeen deel van deze memorie.

Zevende lid

In artikel 23 van de Kaderwet zbo’s is een bevoegdheid opgenomen voor de Minister om in te grijpen bij een zbo in geval van ernstige verwaarlozing van de bestuurstaak, waarbij ontwrichting van de uitoefening van de taak dreigt. Het ingrijpen kan bijvoorbeeld inhouden dat de Minister de taak die aan het zelfstandig bestuursorgaan is opgedragen, zelf uitvoert. De bepaling in artikel 23 van de Kaderwet zbo’s is vanwege de veelheid van situaties waarin het toegepast zou kunnen worden, noodzakelijkerwijs ruim geformuleerd. In onderhavig lid is een soortgelijke bepaling opgenomen die echter een beperktere strekking heeft en die meer recht doet aan de gekozen systematiek van dit wetsvoorstel. Zoals aangegeven in paragraaf 3.7 van het algemeen deel van deze memorie kan de Minister de aanwijzing van de certificerende instelling om verschillende redenen intrekken. Het vervolgens overnemen van de taken van de certificerende instelling is niet aan de orde als er nog andere certificerende instellingen zijn die de taken van de instelling waarvan de aanwijzing is ingetrokken kunnen overnemen. Zoals aangegeven in paragraaf 3.7 kan de Minister dit alleen wanneer er geen andere certificerende instellingen zijn.

Artikel 3.3 (nadere regels rond certificering)

Eerste lid

Tweede lid

Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te bepalen regels voor de certificerende instellingen. Te denken valt bijvoorbeeld aan de wijze waarop en de snelheid waarmee de Minister op de hoogte dient te worden gebracht van een intrekking of schorsing van een certificaat door een certificerende instelling.

Artikel 3.4 (kosten aanvraag en andere werkzaamheden certificering door de Minister)

Eerste lid

In dit artikel is een grondslag opgenomen om bij AMvB nadere regels te stellen over de vergoeding van de kosten die betrekking hebben met certificering, wanneer die door de Minister wordt verzorgd. Aan certificering zijn immers kosten verbonden. Normaliter worden die door de aanvrager betaald aan de certificerende instellingen. De Minister kan echter overgaan tot certificering, indien de continuïteit van het uitwisselen van gegevens in een aangewezen gegevensuitwisseling dit vereist (artikel 3.2, zevende lid). Dat wil zeggen dat de Minister de werkzaamheden waarneemt in het geval er geen enkele certificerende instelling beschikbaar is voor een aangewezen gegevensuitwisseling. De grondslag maakt het mogelijk om de kosten die de Minister dan maakt door te berekenen aan de aanvragen voor een certificaat of de al bestaande certificaathouder. Hiermee kan worden voorkomen dat de overheid – en dus de belastingbetaler – de kosten dragen voor een partij die een marktactiviteit verricht, wat onwenselijk is en overigens ook staatssteunvragen opwerpt.

Tweede lid

Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te bepalen regels inzake de kosten die de Minister bij certificering. Beoogd is dat bij AMvB rekenregels worden opgenomen en bij ministeriële regeling tarieven worden vastgesteld.

Artikel 3.5 (verstrekken certificaat)

Eerste lid

Degene die een informatietechnologieproduct of – dienst wil aanbieden aan een zorgaanbieder om te gebruiken bij een aangewezen gegevensuitwisseling zal een aanvraag moeten indienen bij een aangewezen certificerende instelling. Om een certificaat te kunnen verkrijgen dient een aanvrager aan te tonen dat het informatietechnologieproduct of de -dienst voldoet aan de eisen die gesteld zijn aan dat informatietechnologieproduct of die -dienst op grond van artikel 1.4, tweede lid (aanwijzing onder b, spoor 2). Concreet betekent dit dat voldaan moet worden aan de eisen die in de bij AMvB aangewezen norm zijn opgenomen en zoals die vervolgens zijn neergelegd in een door de NEN te ontwikkelen certificatieschema. Hierop toetst een certificerende instelling bij het verstrekken van certificaten en bij het verrichten van audits.

Tweede lid

Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling wordt ingetrokken. Dit kan bijvoorbeeld zijn om de certificerende instelling zich van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing. Uit het intrekken van de aanwijzing of accreditatie van de certificerende instelling kan niet direct een oordeel gegeven worden over de vraag of het informatietechnologieproduct of – dienst voldoet aan de norm die geldt voor de aangewezen gegevensuitwisseling waarvoor het informatietechnologieproduct of -dienst wordt gebruikt. In alle gevallen geldt echter dat een overgangstermijn nodig is waarin de aanbieder van het informatietechnologieproduct of -dienst een nieuwe certificerende instelling kan vinden die de taken van de vorige certificerende instelling kan overnemen. In het tweede lid wordt daarom voorgesteld dat de door de weggevallen certificerende instelling afgegeven certificaten voor een informatietechnologieproduct of -dienst nog twaalf maanden geldig zijn. Deze termijn geldt ook wanneer de geldigheid van het certificaat zelf korter was. In deze twaalf maanden kan de aanbieder van het informatietechnologieproduct of de -dienst doorgaan met het product of de dienst op de markt te brengen. Zoals hiervoor aangegeven zegt het wegvallen van de certificerende instelling in eerste instantie namelijk niets over de conformiteit van het informatietechnologieproduct of -dienst met de norm. Mocht er geen opvolgende certificerende instelling zijn dan kan eventueel worden teruggevallen op artikel 3.2, zevende lid, waarbij de Minister de dossiers en de taken overneemt van de wegvallende certificerende instelling.

De nieuwe certificerende instelling (of de Minister) neemt de taken voor het gecertificeerde informatietechnologieproduct of -dienst over van de vorige certificerende instelling. In bepaalde gevallen kan worden volstaan met het voortzetten van de reguliere audits en toezicht. Bijvoorbeeld in het geval de certificerende instelling die het certificaat oorspronkelijk heeft afgegeven zich vrijwillig van de markt terugtrekt. Het kan ook echter zijn dat een certificerende instelling gedwongen wordt zich terug te trekken doordat de accreditatie of aanwijzing wordt ingetrokken. In die gevallen kunnen twijfels bestaan over het gecertificeerde informatietechnologieproduct of -dienst. In dat geval zal de nieuwe certificerende instelling (of de Minister) die de dossiers heeft overgenomen dienen te onderzoeken of het certificaat voor het informatietechnologieproduct of -dienst op terechte gronden is verleend. Wanneer de uitkomst daarvan negatief is zal de opvolgende certificerende instelling (of in uitzonderlijke situaties de Minister) het certificaat schorsen of intrekken. Voor een toelichting wat de gevolgen zijn van het intrekken van het certificaat van een informatietechnologieproduct of -dienst wordt verwezen naar de toelichting op artikel 3.6, derde en vierde lid.

Artikel 3.6 (schorsen of intrekken van een certificaat)

Eerste lid

Het is van groot belang voor de zorgaanbieders dat erop vertrouwd kan worden dat het informatietechnologieproduct of de -dienst aan de eisen voldoet en blijft voldoen. Wanneer bij bijvoorbeeld een audit blijkt dat het eerder afgegeven certificaat niet of niet langer voldoet aan de eisen, bijvoorbeeld omdat niet aan de laatste versie van de norm wordt voldaan, kan de certificerende instelling het certificaat schorsen of intrekken, afhankelijk van de ernst van de gebreken. Er is gekozen om de bevoegdheid bij de certificerende instelling neer te leggen om te bepalen of er redenen zijn om tot schorsing of intrekking over te gaan. Wanneer slechts sprake is van niet voldoen op ondergeschikte punten kan dit reden zijn om de certificaathouder tijd te geven om alsnog te voldoen, zonder dat overgegaan wordt tot schorsing. Het is primair aan de RvA om in zijn rol als toezichthouder op de certificerende instellingen erop toe te zien dat de certificerende instellingen op een juiste manier gebruik maken van hun bevoegdheid. Secundair houdt de Minister – op afstand – als stelselverantwoordelijke ook toezicht op de certificerende instellingen. In paragraaf 7.4 van het algemeen deel van deze memorie is dit nader toegelicht.

De gevolgen van het intrekken van het certificaat betekent voor de zorgaanbieder dat deze in strijd handelt met artikel 2.1, derde lid. Afhankelijk van de aard van de tekortkoming en of sprake is van schorsing of intrekking van het certificaat, betekent dit voor de zorgaanbieder dat aanvullende maatregelen moeten worden genomen om aan de eisen voor die aangewezen gegevensuitwisseling te blijven voldoen. Bij schorsing kunnen tijdelijke maatregelen overwogen worden, bij intrekking van het certificaat zal de zorgaanbieder een ander informatietechnologieproduct of -dienst moeten inkopen die wel beschikt over het vereiste certificaat.

Tweede lid

Wanneer een certificaat wordt geschorst of ingetrokken is dat ook voor de toezichthouder van groot belang om over geïnformeerd te worden. Daarin voorziet dit lid. De zorgaanbieder zal immers actie moeten ondernemen op het moment dat de informatietechnologieproducten of – diensten die gebruikt worden, maar niet langer voorzien zijn van een geldig certificaat. De toezichthouder zal erop moeten toezien of de zorgaanbieder dat ook doet.

Derde en vierde lid

Wanneer een certificaat wordt ingetrokken kan een zorgaanbieder niet van de een op de andere dag het gebruik van het informatietechnologieproduct of -dienst staken zonder de gegevensuitwisseling in gevaar te brengen. Het zal immers tijd kosten voordat een nieuw informatietechnologieproduct of -dienst is aangeschaft en is geïmplementeerd. Het is wel de bedoeling dat deze tijd zo kort mogelijk is, omdat het informatietechnologieproduct of -dienst niet (volledig) voldoet aan de voor die aangewezen gegevensuitwisseling geldende norm. Daarom is ervoor gekozen een standaardtermijn van zes maanden te hanteren (derde lid). Wanneer blijkt (uit onder andere de informatie die de IGJ verstrekt) dat de zes-maanden-termijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (vierde lid).

Artikel 4.1 (toezicht op de naleving)

In dit artikel is het toezicht op het bepaalde bij of krachtens dit wetsvoorstel geregeld. Het gaat om toezicht op de verplichtingen die aan zorgaanbieders worden opgelegd en op de eisen die aan informatietechnologieproducten of -diensten worden gesteld. Bovendien wordt naast het private toezicht door de RvA voorzien een publiekrechtelijk stelseltoezicht op certificerende instellingen. In paragraaf 7.1 van het algemeen deel van deze memorie is de regeling van het toezicht nader toegelicht.

Artikel 10 van de Gw bepaalt dat eenieder, behoudens bij of krachtens de wet te stellen beperkingen, recht heeft op eerbiediging van zijn persoonlijke levenssfeer. Ingevolge artikel 8, tweede lid, van het EVRM, is beperking van dit recht uitsluitend toelaatbaar indien de beperking is voorzien bij wet, zij een legitiem doel dient en zij «noodzakelijk is in een democratische samenleving». Het onderhavige voorstel voorziet in een wettelijke beperking van dit grondrecht, namelijk het zonder toestemming van de betrokkene inzage krijgen in of gebruik maken van (kopieën maken of de gegevens voor korte tijd mee te nemen) persoonsgegevens, waaronder gegevens over de gezondheid van de clíënt. Aan artikel 10 Gw en het eerste criterium van artikel 8, tweede lid, van het EVRM wordt derhalve voldaan. Het legitieme doel dat gediend wordt en de noodzaak hiervan (artikel 8, tweede lid, EVRM), betreft de bescherming van de volksgezondheid. Immers, goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit van zorg. Door te regelen hoe gegevens moeten worden uitgewisseld kunnen de randvoorwaarden worden gesteld om goede zorg te verlenen. Voor het toezicht op de naleving van dit wetsvoorstel is het noodzakelijk dat de toezichthoudende ambtenaren, zonder toestemming, de persoonsgegevens van cliënten kunnen inzien om te kunnen controleren of de gegevens correct zijn uitgewisseld en of bijvoorbeeld informatie die van belang is voor de veiligheid van een cliënt niet ontbreekt in de uitgewisselde gegevens. Inzage in de gegevens over de gezondheid van de cliënt is belangrijk om de betrouwbaarheid, volledigheid en de correctheid van de elektronische uitwisseling van gegevens te kunnen verifiëren.

Als de toezichthoudende ambtenaren (bijzondere persoons)gegevens nodig hebben kunnen zij deze ingevolge dit voorstel door inzage ter plaatse verkrijgen. De toezichthoudende ambtenaren beschikken op grond van dit voorstel ook over de bevoegdheid om inlichtingen te vorderen, waarbij degene bij wie de gegevens of bescheiden worden gevorderd deze zelf aan de toezichthoudende ambtenaren verstrekt, en over de bevoegdheid om afschriften van de gegevens te maken. Zo nodig kunnen gegevens voor korte tijd worden meegenomen om daarvan een afschrift te maken.

Artikel 4.2 (handhaving artikel 2.1)

In dit artikel is de handhaving op de verplichtingen, bedoeld in artikel 2.1, geregeld. In paragraaf 7.1 van het algemeen deel van de memorie van toelichting is hier al uitgebreid op ingegaan. Aangezien de verplichtingen zich richten tot de zorgaanbieders, richt de handhaving (en in het verlengde daarvan, het toezicht, bedoeld in artikel 4.1) zich ook tot de zorgaanbieders.

Artikel 4.3 (handhaving artikel 3.1)

In dit artikel is de handhaving op naleving van de eisen, bedoeld in artikel 3.1, geregeld. In paragraaf 7.3 van het algemeen deel van de memorie van toelichting is hier al uitgebreid op ingegaan. De handhaving (en in het verlengde daarvan, het toezicht, bedoeld in artikel 4.1) richt zich tot de degene die de informatietechnologieproducten of -diensten aanbiedt aan de zorgaanbieders. Dit kunnen de producenten zijn, tussenpersonen of eindleveranciers. Ook kan een bestuurlijk boete worden opgelegd aan degene die het mogelijk maakt dat de zorgaanbieder een niet-gecertificeerd informatietechnologieproduct of -dienst gebruikt of blijft gebruiken door ondersteuning in het product- of dienstgebruik te bieden. Er bestaat vaak een (langdurige) relatie tussen de leverancier en de zorgaanbieder bij de ondersteuning van het ingekochte softwarepakket met bijbehorende dienstverlening en in bepaalde gevallen bijbehorende hardware. Op de leverancier blijft in dat geval de verantwoordelijkheid rusten voor een juiste certificering van de informatietechnologieproducten – en diensten.

Artikel 5.1 (nadere regels over informatieverwerking)

Eerste lid

In dit artikel is geregeld dat bij AMvB regels gesteld kunnen worden over de verwerking van informatie die noodzakelijk is voor de uitvoering van de wettelijke taken of beleidsvorming. Gedacht kan bijvoorbeeld worden aan informatie van certificerende instellingen of van de Raad van Accreditatie ten behoeve van de evaluatie van het wetsvoorstel (artikel 9.1). Het begrip informatie dient breed opgevat te worden. Het kan bijvoorbeeld ook persoonsgegevens betreffen.

Tweede lid

Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te bepalen regels voor informatie-uitwisseling. Te denken valt bijvoorbeeld aan regels over de wijze waarop en de frequentie waarmee de informatie uitgewisseld wordt.

Artikel 6.1 (voorhangprocedure)

In dit artikel is een waarborg voor parlementaire betrokkenheid opgenomen bij de uitwerking van de normstelling, in de vorm van een voorhangprocedure bij beide kamers der Staten-Generaal. Dat betekent dat ontwerpen van AMvB eerst aan het parlement worden voorgelegd, voordat die aan de Afdeling advisering van de Raad van State voor advies worden voorgelegd. Met die voorhangprocedure heeft het parlement de mogelijkheid om, naast de sturing op de hoofdlijnen van de wet, vroegtijdig rechtstreeks invloed uit te oefenen op de uitwerking van de regels op het gebied van gegevensuitwisseling in de zorg door middel van een elektronische infrastructuur.

Deze bepaling geldt als vervanging van de voorhangbepalingen in artikel 15j, tweede lid, van de Wabvpz, artikel 8:22, derde lid, van de Wvggz, en artikel 18c, zevende lid, van de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling. Op grond van de bepalingen in paragraaf 6 van het wetsvoorstel vallen deze gegevens dan niet langer onder de genoemde wetten (met bijbehorende voorhangprocedure), maar komen dan onder het wetsvoorstel te vallen. Het is evident dat de bijbehorende voorhangprocedure mee over gaat in dit wetsvoorstel.

Van de drie genoemde wetten kent de Wabvpz de meest zware voorhangprocedure. De in dit wetsvoorstel opgenomen voorhangbepaling is gelijk aan de voorhangprocedure, bedoeld in die wet. Zo wordt de vroegtijdige rechtstreeks invloed van het parlement in dit wetsvoorstel stevig geborgd. Dit betekent wel een verzwaring van de voorhangprocedure van de Wvggz en de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling. Omwille van de uniformiteit en duidelijkheid is echter niet gekozen om verschillende voorhangbepalingen op te nemen.

Artikel 7.1 (aanpassing Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg)

Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop (hoe) gegevens door middel van een elektronische infrastructuur moeten worden uitgewisseld. Dit kan ook gaan om eisen aan zorginformatiesystemen of een elektronisch uitwisselingssystemen als bedoeld in de Wabvpz. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 15j, eerste lid, Wabvpz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.

Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels die gesteld zijn op grond van artikel 15j van de Wabvpz op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wabvpz valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Begz en het Besluit vaststelling bewaartermijn logging opgenomen worden. Opgemerkt wordt dat bij AMvB daarnaast aanvullende eisen opgenomen kunnen worden.

Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent, ontstaat op dit punt geen nieuwe situatie.

Artikel 7.2 (aanpassing Wet kwaliteit, klachten en geschillen zorg)

Onderdeel A

In paragraaf 2.3.3 van het algemeen deel van deze memorie is toegelicht dat onderdelen van de professionele standaard zich niet lenen als bron waarnaar in de eisen die bij het wetsvoorstel worden gesteld naar verwezen kan worden vanwege het ontbreken van rechtszekerheid.

In dit onderdeel is in het verlengde daarvan daarom bepaald dat een wijziging van goede zorg die afwijkt van de wettelijk verplichte gegevensuitwisseling door middel van een elektronische infrastructuur alleen kan via de weg van de kwaliteitsstandaarden. Als het gewenst is om afspraken te maken over de goede zorg die niet in overstemming zijn met de eisen die bij AMvB zijn gesteld, moeten zorgverleners en zorgaanbieders de procedure voor de kwaliteitsstandaarden bij het Zorginstituut volgen. Het gaat daarbij uitsluitend over het onderdeel in de kwaliteitsstandaard waarin is vastgelegd welke gegevens voor de andere zorgverleners nodig zijn en dus uitgewisseld moeten worden.

Onderdeel B

Om te borgen dat de relatie tussen welke gegevens die onderdeel zijn van de goede zorg (vastgelegd in kwaliteitsstandaarden) en de eisen hoe moeten worden uitgewisseld actueel en correct blijft, zal zicht gehouden moeten worden op die relatie. Wanneer een kwaliteitsstandaard als grondslag dient voor een aangewezen gegevensuitwisseling en daarmee als basis dient voor een norm is het van belang dat het Zorginstituut de Minister informeert wanneer een wijziging van de in die norm gehanteerde kwaliteitsstandaard wordt voorgedragen.

Artikel 7.3 (aanpassing Wet publieke gezondheid)

De zorg die verleend wordt onder de Wpg valt onder de reikwijdte van het wetsvoorstel. Jeugdgezondheidszorg is onderdeel van de publieke gezondheidszorg als bedoeld in de Wpg. Het college van burgemeester en wethouders is bij deze vorm van zorg zorgaanbieder.

In de Wpg staat in artikel 5, derde lid, onderdeel b, dat het college van burgemeester en wethouders er zorg voor moet dragen dat bij de uitvoering van de taak, bedoeld in artikel 5, eerste lid, (zorgdragen voor de uitvoering van de jeugdgezondheidszorg) gebruik moet worden gemaakt van digitale gegevensopslag, onder bij regeling van Onze Minister te stellen eisen aan de daarbij te gebruiken software, voor zover het gaat om vastleggen van patiëntgegevens als bedoeld in artikel 7:454 van het BW. In de Regeling eisen software ex artikel 5, derde lid, Wet publieke gezondheid (hierna: Regeling software) is hier uitvoering aan gegeven. In de Regeling software staat dat gebruik moet worden gemaakt van software die digitale overdracht en uniforme registratie mogelijk maakt en die ten minste een aantal nader genoemde rubrieken bevat. In de Regeling software wordt dus bepaald hoe gegevens geregistreerd moeten worden (de genoemde rubrieken) en wordt aangegeven dat digitale overdracht mogelijk moet zijn. Er wordt niet bepaald met welke software deze gegevens moeten worden vastgelegd opdat digitale uitwisseling mogelijk is. Welke software hiervoor toepasselijk is, is aan de uitvoerende partijen overgelaten.

Artikel 7.4 (aanpassing Wet verplichte geestelijke gezondheidszorg)

Met dit wetsvoorstel wordt het mogelijk om bij of krachtens AMvB eisen te stellen aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 8.22, tweede lid, Wvggz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.

Artikel 7.5 (aanpassing Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten)

Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 18c, zesde lid, Wzd niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.

Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels van de Wzd op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wzd valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Bzd en de Rzd opgenomen worden. Uiteraard kunnen bij AMvB daarnaast aanvullende eisen opgenomen worden.

Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent en de mogelijkheid biedt om een last onder dwangsom op te leggen, ontstaat op die punten geen nieuwe situatie.

Artikelen 8.1 en 8.2 (eerste en tweede samenloopbepaling)

De formulering van het voorliggende wetsvoorstel is afhankelijk van de inwerkingtreding van de Wet van 3 maart 2021 tot wijziging van de Algemene wet bestuursrecht en enkele andere wetten in verband met het nieuwe omgevingsrecht en nadeelcompensatierecht (Stb. 2021, 135) (hierna: Wet wijziging Awb). Daarom zijn twee samenloopbepalingen opgenomen. Artikel 8.1 regelt de situatie dat de Wet wijziging Awb gelijktijdig met of eerder inwerking treedt dan het voorliggende wetsvoorstel. Artikel 8.2 regelt de situatie dat het de Wet wijziging Awb later in werking treedt dan het voorliggende wetsvoorstel.

Artikelen 9.1 tot en met 9.3 (evaluatiebepaling, inwerkingtreding en citeertitel)

In de slotbepalingen zijn artikelen opgenomen met betrekking tot evaluatie (zie paragraaf 10.1 van het algemeen deel van deze memorie), inwerkingtreding (zie paragraaf 10.3 van het algemeen deel van deze memorie) en de citeertitel.

De Minister voor Medische Zorg, T. van Ark