﻿<?xml version="1.0" encoding="utf-8"?>
<officiele-publicatie xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://technische-documentatie.oep.overheid.nl/repository/schemas/op-consolidated/op-consolidated_2014-05-15/xsd/op-xsd-2014-05-15.xsd">
  <metadata>
    <meta name="OVERHEIDop.externMetadataRecord" scheme="" content="https://zoek.officielebekendmakingen.nl/kst-36264-E/metadata.xml" />
  </metadata>
  <kamerstuk>
    <kamerstukkop>
      <tekstregel inhoud="vergaderjaar">Vergaderjaar 2025-2026</tekstregel>
      <tekstregel inhoud="kameraanduiding">Eerste Kamer der Staten-Generaal</tekstregel>
      <tekstregel inhoud="kamernummer">1</tekstregel>
      <tekstregel inhoud="documenttype">Kamerstukken</tekstregel>
    </kamerstukkop>
    <dossier>
      <dossiernummer>
        <dossiernr>36 264</dossiernr>
      </dossiernummer>
      <titel>Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming)</titel>
    </dossier>
    <stuk>
      <stuknr>
        <ondernummer kamer="1">E</ondernummer>
      </stuknr>
      <titel>NOTA NAAR AANLEIDING VAN HET TWEEDE VERSLAG</titel>
      <datumtekst>Ontvangen <datum isodatum="2026-05-18">18 mei 2026</datum></datumtekst>
      <algemeen>
        <vrije-tekst>
          <divisie opmaak="default">
            <kop kopopmaak="vetcur">
              <nr status="officieel">1.</nr>
              <titel>Inleiding</titel>
            </kop>
            <al-groep>
              <al>De regering heeft met belangstelling kennisgenomen van de tweede schriftelijke inbreng van de vaste commissie voor digitalisering bij de Verzamelwet gegevensbescherming. Uit die inbreng volgt dat de leden van de met belangstelling hebben kennisgenomen van de nota naar aanleiding van het verslag.</al>
              <al>De leden van de fracties van GL-PvdA, BBB, CDA, SP, ChristenUnie, Volt en Fractie-Van de Sanden hebben gezamenlijk enkele vragen over het voorgestelde artikel 23a van de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG), naar aanleiding van een signaal dat deze leden ontvingen van de Koninklijke Nederlandse Beroepsorganisatie van Accountants (hierna: NBA) en Brancheorganisaties Zorg (hierna: BoZ).<noot id="ID-1249199-d40e79" type="voet"><noot.nr>1</noot.nr><noot.al>Koninklijke Nederlandse Beroepsorganisatie van Accountants, «NBA luidt noodklok over dreigende oncontroleerbaarheid financiële verantwoordingssector», 24 november 2025, <extref doc="https://www.nba.nl/nieuws/2025/november/nba-luidt-noodklok-over-dreigende-oncontroleerbaarheid-financiele-verantwoording-zorgsector/#%3A%7E%3Atext%3DVerzamelwet%2520gegevensbescherming" soort="URL" status="actief">https://www.nba.nl/nieuws/2025/november/nba-luidt-noodklok-over-dreigende-oncontroleerbaarheid-financiele-verantwoording-zorgsector/#:~:text=Verzamelwet%20<?xpp afbreek?>gegevensbescherming</extref>.</noot.al></noot> Zij hebben ook enkele vragen over het toetsen op uitvoerbaarheid. Ook de leden van de VVD-fractie hebben kennisgenomen van de zorgen die de NBA heeft geuit over het voorgestelde artikel 23a van de UAVG en wensen naar aanleiding daarvan nog enkele vragen te stellen, mede namens de leden van de CDA-fractie. De leden van de FVD-fractie maken zich ernstige zorgen over de omvang, reikwijdte en legitimiteit van de nieuwe verwerkingsbevoegdheden in het wetsvoorstel en hebben daarover enkele vragen. De leden van de JA21-fractie hebben ook de signalen opgevangen van de NBA over artikel 23a, tweede lid, van de UAVG. Zij hebben naar aanleiding daarvan enkele vragen, waarbij de leden van de BBB-fractie en de Fractie-Van de Sande zich aansluiten.</al>
            </al-groep>
            <al-groep>
              <al>De regering is de leden van de fracties van GL-PvdA, BBB, CDA, SP, ChristenUnie, Volt, Fractie-Van de Sanden, VVD, FVD en JA21 erkentelijk voor de gestelde vragen. Op de vragen die door de leden zijn gesteld is in de hierna volgende tekst gereageerd. Daarbij is de volgorde en indeling van het verslag aangehouden.</al>
              <al>De regering heeft vastgesteld dat het overgrote deel van de vragen gaat over het voorgestelde artikel 23a van de UAVG en de gevolgen van dit artikel voor accountants in de zorg. Deze vragen en de door de NBA en BoZ gegeven signalen leiden de regering tot de conclusie dat het onderdeel van deze wet waarin dit artikel is vervat, zonder een aanvullend artikellid niet in werking kan treden. De redenen daarvoor worden in de antwoorden op uw vragen hierna nader toegelicht. Met voorrang wordt gewerkt aan een separaat wetsvoorstel voor een derde lid. Als dit in uw Kamer is aanvaard kan het betreffende onderdeel alsnog in werking treden.</al>
              <al>De regering hecht niettemin groot belang aan een spoedige afronding van het traject van de onderhavige wet aangezien zij zoveel mogelijk recht wil doen aan alle daarbij betrokken belangen. Deze verzamelwet gaat immers over veel verschillende onderwerpen en bevat daarmee veel andere wijzigingen die geen samenhang hebben met artikel 23a en waarvoor inwerkingtreding van groot belang is.</al>
            </al-groep>
            <al>Deze nota naar aanleiding van het verslag wordt gegeven mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties.</al>
          </divisie>
          <divisie opmaak="default">
            <kop kopopmaak="vetcur">
              <nr status="officieel">2.</nr>
              <titel>Hoofdlijnen van het voorstel</titel>
            </kop>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 1</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de FVD-fractie vragen de regering om toe te lichten wat de concrete probleemdefinitie is die ten grondslag ligt aan dit wetsvoorstel. Op welke manier is vastgesteld dat bestaande wet- en regelgeving deze problematiek onvoldoende adresseert?</nadruk>
              </al>
              <al>De doelstelling van het wetsvoorstel is het stroomlijnen en actualiseren van het gegevensbeschermingsrecht door middel van wijzigingen van zowel technische als inhoudelijke aard. De aanleiding voor het wetsvoorstel is dat ten tijde van de behandeling van de UAVG al de toezegging aan de Tweede Kamer is gedaan om de mogelijkheden te gaan verkennen voor verdere modernisering en verbetering van het gegevensbeschermingsrecht.<noot id="ID-1249199-d40e115" type="voet"><noot.nr>2</noot.nr><noot.al>Handelingen TK 2017/2018, nr. <extref doc="h-tk-20172018-59-4" soort="document" status="actief">59, item 4</extref>.</noot.al></noot> Dit resulteerde in het onderhavige wetsvoorstel Verzamelwet gegevensbescherming.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 2</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de FVD-fractie vragen de regering op welke onderbouwde noodzaak de regering de voorgestelde uitbreiding van de gegevensverwerkingsbevoegdheden baseert. In hoeverre is daarbij expliciet afgewogen dat deze uitbreiding proportioneel is ten opzichte van de fundamentele privacyrechten van burgers (artikel 10 Grondwet)? Kan de regering dit onderbouwen met verwijzingen naar concrete juridische en/of beleidsmatige overwegingen?</nadruk>
              </al>
              <al>Het wetsvoorstel is een verdere nationale uitwerking en invulling van de normen in de Algemene verordening gegevensbescherming (hierna: AVG). Waar het wetsvoorstel ruimere mogelijkheden creëert voor bijvoorbeeld de verwerking van bijzondere persoonsgegevens, gelden er eisen aan de voorwaarden waaronder dat mag en worden waarborgen opgenomen. Bij iedere bepaling is de afweging gemaakt of sprake is van de vereiste noodzaak, proportionaliteit en evenredigheid. Deze afweging is toegelicht in onder meer de artikelsgewijze toelichting.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 3</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de FVD-fractie vragen de regering op welke concrete wijze wordt verzekerd dat de institutionele onafhankelijkheid van de Autoriteit Persoonsgegevens, zoals geborgd in hoofdstuk 6, afdeling 1 van de AVG, behouden blijft nu de regering zowel de leden benoemt als de benoemingscriteria vaststelt.</nadruk>
              </al>
              <al>Op grond van artikel 52 van de AVG is en blijft de AP volledig onafhankelijk bij de uitvoering van haar taken en de uitoefening van de bevoegdheden die haar overeenkomstig de AVG zijn toegewezen. Artikel 54 AVG legt aan de lidstaten evenwel de verplichting op om vereisten voor kwalificaties voor alle leden van de toezichthoudende autoriteit op te stellen. Deze zijn op dit moment in beleidsregels vastgelegd, maar deze zullen op basis van artikel 7, vijfde lid, UAVG in een ministeriële regeling worden neergelegd, omdat dit beter aansluit bij de eisen die volgen uit artikel 54 AVG. Beleidsregels missen volgens het Hof van Justitie van de EU de onbetwistbare dwingende kracht die een implementatiemaatregel vergt.<noot id="ID-1249199-d40e139" type="voet"><noot.nr>3</noot.nr><noot.al>HvJEU 30 mei 1991, C-361/88 en C-59/89 (Commissie v. Duitsland; TA Luft), ECLI:EU:C:1991:224 en ECLI:EU:C:1991:225, en HvJEU 19 mei 1999, C-225/97 (Commissie tegen Frankrijk), ECLI:EU:C:1999:252, r.o. 37.</noot.al></noot> Een ministeriële regeling heeft die wel.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 4</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de FVD-fractie vragen of de regering kan toelichten of de cumulatie van sectorale grondslagen, verdere verspreiding van persoonsgegevens en uitbreiding van biometrische verwerking de risico’s op datamisbruik vergroot? Op welke concrete wijze worden dergelijke risico’s geminimaliseerd en geborgd, inclusief specifieke maatregelen en/of toetsbare waarborgen?</nadruk>
              </al>
              <al>Omdat een voorstel voor een verzamelwet naar zijn aard beperkt moet blijven, zoals ook volgt uit aanwijzing 6.4 van de Aanwijzingen voor de regelgeving, is ernaar gestreefd in het onderhavige voorstel uitsluitend wijzigingsvoorstellen op te nemen die in omvang en complexiteit geen zelfstandig wetsvoorstel rechtvaardigen. Het onderhavige wetsvoorstel introduceert niet zodanige vormen van of grondslagen voor gegevensverwerking, dat dit wetsvoorstel aanleiding geeft om te veronderstellen dat de cumulatie van bepalingen de risico’s op datamisbruik vergroot.</al>
              <al>Op elke verwerking, ongeacht de grondslag, zijn de regels en waarborgen uit de AVG van toepassing. Zo moet de verwerking plaatsvinden op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is, gebonden is aan specifieke doelen en niet verder gaat dan voor het betreffende doel noodzakelijk is. Ook moeten passende organisatorische en technische maatregelen zijn genomen voor de beveiliging daarvan. Hiermee worden eventuele risico’s geminimaliseerd.</al>
            </al-groep>
          </divisie>
          <divisie opmaak="default">
            <kop kopopmaak="vetcur">
              <nr status="officieel">3.</nr>
              <titel>ARTIKEL I. Uitvoeringswet Algemene verordening gegevensbescherming</titel>
            </kop>
            <tussenkop kopopmaak="cur">Onderdeel I</tussenkop>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 5</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De NBA en BoZ komen tot de gezamenlijke analyse dat de route via pseudonimiseren en sleutelbeheer – zoals in de huidige toelichting bij artikel 23a UAVG wordt gesuggereerd – niet uitvoerbaar is. Kan de regering aan de leden van de fracties GL-PvdA, BBB, CDA, SP, ChristenUnie, Volt en Fractie-Van de Sanden toelichten hoe zij hierover oordeelt? Deze leden verzoeken de regering om bij de beantwoording in te gaan op:</nadruk>
              </al>
              <lijst type="expliciet" start="1" level="single" nr-sluiting=".">
                <li>
                  <li.nr>•</li.nr>
                  <al>
                    <nadruk type="cur">De technische en organisatorische lasten van sleutelbeheer voor zorgaanbieders;</nadruk>
                  </al>
                </li>
                <li>
                  <li.nr>•</li.nr>
                  <al>
                    <nadruk type="cur">De praktische onuitvoerbaarheid van pseudonimisering bij omvangrijke en complexe zorgdata;</nadruk>
                  </al>
                </li>
                <li>
                  <li.nr>•</li.nr>
                  <al>
                    <nadruk type="cur">De toename van aansprakelijkheidsrisico’s en de impact hiervan op uitvoerbaarheid;</nadruk>
                  </al>
                </li>
                <li>
                  <li.nr>•</li.nr>
                  <al>
                    <nadruk type="cur">De proportionaliteit van deze lasten in verhouding tot de beoogde privacybescherming.</nadruk>
                  </al>
                </li>
              </lijst>
              <al>Artikel 23a UAVG geldt voor accountants en de accountantsorganisaties in het geval van bij wettelijk voorschrift voorgeschreven accountantsopdrachten (verplichte opdracht). De verwerkingsverantwoordelijken stellen doel en middelen vast voor de verwerking van de persoonsgegevens. De accountants en -organisaties mogen op dit moment voor de uitvoering van verplichte opdrachten geen bijzondere categorieën van persoonsgegevens verwerken. Gegevens over gezondheid (medische persoonsgegevens) en persoonsgegevens waaruit politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen blijken, zijn voorbeelden van bijzondere categorieën van persoonsgegevens. Het eerste lid van het voorgestelde artikel 23a UAVG maakt het mogelijk voor de accountants en accountantsorganisaties om bijzondere categorieën van persoonsgegevens te verwerken voor zover dat noodzakelijk is voor de uitvoering van een verplichte opdracht.</al>
            </al-groep>
            <al>Een aantal door accountants te controleren instanties is gebonden aan het medisch beroepsgeheim. Een voorbeeld hiervan is een zorgaanbieder of een zorgverlener. De accountants controleren bij verplichte opdrachten met betrekking tot die instanties persoonsgegevens die vallen onder het medisch beroepsgeheim. De betrokken accountants en accountantsorganisaties zijn derden en hun kennisneming vormt een doorbreking van het medisch beroepsgeheim. De verplichte pseudonimisering is een beveiligingsmaatregel ter beperking van de gevolgen voor de persoonlijke levenssfeer van betrokkenen. Het tweede lid van het voorgestelde artikel 23a UAVG schrijft niet voor hoe de pseudonimisering moet plaatsvinden. Er zijn dan ook verschillende wijzen van uitvoering mogelijk. Het gaat erom dat de te verwerken gegevens niet meer direct kunnen worden gekoppeld aan geïdentificeerde of identificeerbare natuurlijke personen. Waar het gaat om medische gegevens kan het zo zijn dat de vervanging van de NAW-gegevens (naam, adres en woonplaats) en van het burgerservicenummer (BSN) door een code (bijvoorbeeld een patiëntnummer/cliëntnummer) of pseudoniem al volstaat. De pseudonimisering van persoonsgegevens vindt nu bij de verplichte opdrachten bij te controleren zorgaanbieders op grote schaal plaats. De verplichte pseudonimisering vormt volgens de NBA geen probleem voor data-analytische werkzaamheden (controle van grootschalige gegevensbestanden of «grootschalige verwerking»). De regering twijfelt dan ook niet aan de praktische uitvoerbaarheid van de verplichte pseudonimisering. De regering vindt ook dat de te realiseren bescherming van de persoonlijke levenssfeer in redelijke verhouding staat tot de lasten voor zorgaanbieders in geval van die data-analytische werkzaamheden.</al>
            <al>Door slechts gepseudonimiseerde persoonsgegevens te verwerken, kan de accountant zich geen oordeel vormen over de gezondheidstoestand van betrokkenen en wordt het medisch beroepsgeheim niet op ontoelaatbare wijze geschonden. Deze stellingname werd ook bevestigd in het advies van de Autoriteit Persoonsgegevens (AP) op het wetsvoorstel.</al>
            <al>In de internetconsultatie in 2020 gaf NBA aan dat een toereikende controle volgens de NBA ook met pseudonimiseren mogelijk was onder een beperkt aantal randvoorwaarden. Met voortschrijdend inzicht heeft de NBA kort geleden geconstateerd dat er toch geen randvoorwaarden denkbaar zijn die een in het geheel toereikende controle mogelijk maakt op basis van gepseudonimiseerde medische persoonsgegevens. De NBA heeft de regering namelijk toegelicht dat de verplichte opdrachten in de zorgsector bestaan uit een combinatie van werkzaamheden. Dit omvat data-analytische werkzaamheden en detailwerkzaamheden. De data-analytische werkzaamheden (controle van grootschalige gegevensbestanden of «grootschalige verwerking») ondervinden volgens de NBA geen probleem van eventuele pseudonimisering.</al>
            <al>Bij de detailwerkzaamheden (controle van kleinschalige bronbestanden of «kleinschalige verwerking») vormt de pseudonimisering wel een probleem. Een voorbeeld hiervan zijn representatieve steekproeven. De accountant kan de werking van en het proces van pseudonimisering en de juistheid van de brondata niet anders beoordelen dan met representatieve steekproeven. De accountant moet de medische dossiers inzien om de betrouwbaarheid en werking van het proces van pseudonimisering door zorgaanbieders te kunnen beoordelen. Zonder authentieke – of brongegevens kan de accountant de betrouwbaarheid van die grote databestanden niet vaststellen. Zo moet de externe accountant bijvoorbeeld om de rechtmatigheid van een zorgdeclaratie of -uitbetaling te kunnen beoordelen, zelf door middel van steekproeven hebben kunnen beoordelen of aan zo’n zorgdeclaratie of -uitbetaling een medische diagnose ten grondslag ligt die de declaratie of uitbetaling rechtvaardigt. De accountant moet voor detailwerkzaamheden kennis kunnen nemen van originele en ongepseudonimiseerde brongegevens. Indien accountants geen toegang hebben tot die originele gegevens, kunnen zij de juistheid van de brondata en de werking van het proces van pseudonimisering niet vaststellen. De accountant controleert namelijk of een verwijsbrief daadwerkelijk afkomstig is van een specialist, of er een geldige indicatiestelling voor opname aanwezig is, en of de betreffende zorg daadwerkelijk door de zorgverlener is geleverd. De accountant heeft de resultaten van die uitgevoerde detailwerkzaamheden onder een beperkt deel van de onderzoekspopulatie nodig voor de beoordeling van de gehele onderzoekspopulatie.</al>
            <al>In een brief van 3 december 2025, ontvangen op 5 december 2025, geeft de BoZ aan dat pseudonimiseren door zorgaanbieders heroverwogen zou moeten worden. Reden voor dit verzoek is dat de pseudonimisering volgens de BoZ kan leiden tot aanzienlijke en structurele problemen, zoals complex sleutelbeheer, hoge technische en organisatorische lasten, een forse administratieve en personele belasting, en extra juridische risico’s bij fouten of incidenten.</al>
            <al>De regering is van oordeel dat artikel 23a UAVG een verbetering is ten opzichte van de huidige situatie waarin de accountant als verwerkingsverantwoordelijke bij gebrek aan wettelijke privacywaarborgen geen enkele vorm van bijzondere persoonsgegevens mag verwerken. Het blijft daarom voor alle accountants en accountantsorganisaties met verplichte opdrachten van belang dat de grondslag en waarborgen opgenomen in artikel 23a wettelijk worden vastgelegd. Daarbij is, zoals hierboven vermeld, de regering van oordeel dat pseudonimisering gelet op het medisch beroepsgeheim nodig is, praktisch uitvoerbaar is en voor de grootschalige verwerking ook als passend moet worden beoordeeld. De regering wil daarbij ook benadrukken dat het nooit de intentie is geweest om de werkzaamheden van accountants te bemoeilijken en het steeds de bedoeling is geweest om alle werkzaamheden van de accountants en accountantsorganisaties die gegevensverwerking betreffen, van een grondslag te voorzien. Daarom zijn de Ministeries van Financiën en van Volksgezondheid, Welzijn en Sport naar aanleiding van de ontvangen signalen al voortvarend in gesprek gegaan met de NBA over een aanpassing van het voorgestelde artikel 23a UAVG. Doel van dit overleg is om dit artikel zo aan te passen dat ook de detailwerkzaamheden die noodzakelijk zijn voor het trekken van conclusies over de gehele onderzoekspopulatie van een verplichte opdracht, van een grondslag worden voorzien.</al>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 6</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de fracties GL-PvdA, BBB, CDA, SP, ChristenUnie, Volt en Fractie-Van de Sanden vragen of de regering de conclusie van de NBA en BoZ deelt dat de oplossing niet dient te worden gezocht in het pseudonimiseren van data voor accountants, maar in een duidelijke, specifieke wettelijke grondslag die onder waarborgen toegang verleent tot niet-gepseudonimiseerde bijzondere persoonsgegevens uitsluitend voor de wettelijke controleopdracht. Zo nee, op welke gronden acht de regering pseudonimisering wél een passende en uitvoerbare route?</nadruk>
              </al>
              <al>De regering is van mening dat dat de verwerking van niet-gepseudo<?xpp afbm?>nimiseerde bijzondere persoonsgegevens uitsluitend voor de «wettelijke controleopdracht», geen oplossing biedt. Reden is dat er maar een beperkt aantal zorgaanbieders is dat een wettelijke controle van de financiële verantwoording moeten laten uitvoeren. Daarom is in artikel 23a UAVG gekozen voor de term «bij wettelijk voorgeschreven opdracht». Het gaat bij een wettelijk voorschrift om een nationaal wettelijk voorschrift of een verordening van een instelling van de Europese Unie. Voorbeelden van een nationaal wettelijk voorschrift zijn een formele wet, een algemene maatregel van bestuur, een ministeriële regeling, een algemeen verbindend voorschrift van een zelfstandig bestuursorgaan of een verordening van een decentrale overheid. Een bekend voorbeeld van een accountantscontrole bij wettelijk voorschrift is de jaarverantwoording als bedoeld in artikel 40b van de Wet marktordening gezondheidszorg (Wmg).</al>
              <al>Daarnaast heeft de NBA in haar brief en besprekingen toegelicht dat pseudonimisering niet voor alle werkzaamheden voor verplichte opdrachten van een accountant een probleem vormt. De data-analytische werkzaamheden (grootschalige verwerking) ondervinden geen problemen bij dit voorstel. Voor deze categorie van werkzaamheden is pseudonimisering wél een uitvoerbare waarborg ter bescherming van de persoonlijke levenssfeer.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 7</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de fracties GL-PvdA, BBB, CDA, SP, ChristenUnie, Volt en Fractie-Van de Sanden vragen de regering daarnaast aan te geven hoe het huidige voorstel van artikel 23a UAVG zich verhoudt tot de vereisten voor uitvoerbaarheid, proportionaliteit en handhaafbaarheid, zoals neergelegd in de Aanwijzingen voor de Regelgeving en de toetsingskaders van de Afdeling advisering van de Raad van State.</nadruk>
              </al>
              <al>Zoals hierboven beschreven is er zowel bij de NBA als de regering voortschrijdend inzicht over de uitvoerbaarheid van artikel 23a UAVG. Daarom zijn de Ministeries Financiën en van Volksgezondheid, Welzijn en Sport voortvarend met de betrokkenen in gesprek gegaan om artikel 23a UAVG zo aan te passen dat ook de detailwerkzaamheden (kleinschalige verwerking, zoals steekproeven) die noodzakelijk zijn voor de controle van de gehele onderzoekspopulatie van een verplichte opdracht, van een grondslag worden voorzien.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 8</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de fracties GL-PvdA, BBB, CDA, SP, ChristenUnie, Volt, en Fractie-Van de Sanden vragen of het voorstelbaar is dat het voorgestelde artikel 23a UAVG in de huidige vorm kan leiden tot situaties waarin jaarrekeningen van zorgaanbieders feitelijk niet (meer) controleerbaar zijn. Zo nee, op basis waarvan acht de regering dat niet, in geen enkele situatie, voorstelbaar? Zo ja, kan de regering een toelichting geven op de situaties waarin dit zich mogelijk kan voordoen en een beoordeling geven van de gevolgen hiervan.</nadruk>
              </al>
              <al>De NBA heeft de regering uitgelegd dat accountants verplichte opdrachten zoals rechtmatigheidscontroles in de zorgsector moeten kunnen uitvoeren met een combinatie van werkzaamheden. Dit omvat data-analytische werkzaamheden en detailwerkzaamheden. De data-analytische werkzaamheden (grootschalige verwerking) ondervinden volgens de NBA geen probleem van eventuele pseudonimisering. Bij de detailwerkzaamheden (kleinschalige verwerking) vormt de pseudonimisering wel een probleem. Een voorbeeld hiervan zijn representatieve steekproeven. De accountant trekt op basis van zijn bevindingen bij de geselecteerde individuele posten in de representatieve steekproeven, conclusies over de betrouwbaarheid van grote databestanden van verwerkte uitbetalingen of over de werking van het proces van pseudonimisering van het geheel. Zonder authentieke – of brongegevens kan de accountant de betrouwbaarheid van die grote databestanden niet vaststellen. Als gevolg daarvan is de accountant verplicht om zijn oordeel bij de controle van de jaarrekening aan te passen. De NBA heeft aangegeven dat een accountant dan enkel een verklaring van oordeelonthouding kan afgeven. Het niet kunnen uitvoeren van steekproeven onder een groot bestand van data van zorgdeclaraties raakt namelijk een te groot deel van de informatie in de jaarrekening. Een gevolg hiervan kan zijn dat deze oordeelonthouding ook zijn weerslag heeft op de financiële verantwoordingen en de hierbij af te geven oordelen van ketenpartijen. Te denken valt aan financiële verantwoordingen van zorgverzekeraars of Wlz-uitvoerders, bestuurlijke oordelen van een toezichthouder of op te stellen fondsverslagen door het Zorginstituut Nederland.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 9</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Kan de regering aan de leden van de fracties GL-PvdA, BBB, CDA, SP, ChristenUnie, Volt en Fractie-Van de Sanden aangeven of de regering het wenselijk acht om de inwerkingtreding van artikel 23a UAVG uit te stellen totdat er – in samenwerking met zorgkoepels, accountantsorganisaties, de Autoriteit Persoonsgegevens (AP), de Autoriteit Financiële Markten (AFM), de Nederlandse Zorgautoriteit (NZa), de Inspectie Gezondheidszorg en Jeugd (IGJ) en andere relevante partijen – een juridisch houdbare en in de praktijk uitvoerbare grondslag is uitgewerkt die zowel privacybescherming als controleerbaarheid borgt? Zo nee, waarom niet?</nadruk>
              </al>
              <al>In de hierboven beschreven problemen met de uitvoerbaarheid van artikel 23a voor accountants in de zorg heeft de regering aanleiding gezien om te bezien of en in hoeverre dit artikel in de huidige vorm in werking kan treden. Hierbij is betrokken dat artikel 23a een grondslag en waarborgen biedt voor de verwerking van bijzondere persoonsgegevens door alle accountants en accountantsorganisaties die een verplichte opdracht uitvoeren. Een keuze over de inwerkingtreding van het artikel raakt dus niet alleen accountantscontroles in de zorg, maar ook controles op bijvoorbeeld politieke partijen en delen van het onderwijs. Ook bij die verplichte opdrachten kan er, zolang artikel 23a niet in werking is getreden, geen enkele vorm van bijzondere categorieën van persoonsgegevens door accountants of accountantsorganisaties worden verwerkt. Het grootste deel van de verplichte opdrachten waarbij bijzondere persoonsgegevens worden verwerkt, ligt echter in de zorg. Ook is het risico op het ontbreken van goedkeurende verklaringen, volgens de NBA veelal in de vorm van oordeelsonthoudingen, groot. De regering vindt de gevolgen daarvan voor de zorgsector, de beheersing van zorguitgaven en de taakuitoefening door de NZa té ingrijpend en te groot. Daardoor vindt de regering dat er sprake is van een zwaarwegend belang om artikel 23a nog niet in de huidige vorm in werking te laten treden.</al>
              <al>Het nog niet in werking laten treden van héél artikel 23a in de huidige vorm, is volgens de regering het beste alternatief. Het enkel in werking laten treden van het eerste lid zou immers tot gevolg hebben dat er een grondslag voor de verwerking van bijzondere persoonsgegevens komt zonder de beveiligingsmaatregel voor de verwerking van medische persoonsgegevens die nu in het tweede lid is opgenomen. Dit heeft als ongewenst gevolg dat het medisch beroepsgeheim zonder de waarborgen van pseudonimisering van grootschalige gegevensbestanden wordt doorbroken. Gelet hierop is de regering voornemens om het wetsvoorstel in werking te laten treden met uitzondering van artikel 23a in de huidige vorm. Dit artikel zal pas in werking treden als de toevoeging in dit artikel van een grondslag voor de hierboven beschreven detailwerkzaamheden in het Staatsblad is gepubliceerd. Daarna zullen artikel 23a en de aanpassing daarvan samen in werking treden.</al>
              <al>De huidige situatie zonder grondslag en waarborgen voor de verwerking van bijzondere persoonsgegevens bij verplichte opdrachten zal hierdoor nog tijdelijk voortduren. Dit vindt de regering aanvaardbaar gelet op de beschreven gevolgen van de inwerkingtreding van dit artikel in de huidige vorm en omdat de periode dat deze situatie voortduurt naar verwachting overzienbaar is. Zoals hierboven vermeld zijn de Ministeries van Financiën en van Volksgezondheid, Welzijn en Sport al voortvarend in overleg gegaan met betrokken partijen. Dit overleg verloopt goed en constructief. Er is ook al voortvarend aan de slag gegaan met de vormgeving van de voorgenomen aanpassing van artikel 23a. De ministeries en betrokkenen partijen hebben het vertrouwen dat zo spoedig mogelijk tot een goede oplossing kan worden gekomen.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 10</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Kan de regering daarnaast aan de leden van de fracties GL-PvdA, BBB, CDA, SP, ChristenUnie, Volt en Fractie-Van de Sanden uiteenzetten op welke onderdelen er, door uitvoeringsorganisaties of andere betrokkenen, kwetsbaarheden, risico’s of nadelen ten aanzien van de uitvoerbaarheid gemeld zijn? Zo ja, welke kwetsbaarheiden, risico’s of nadelen worden gesignaleerd? Zo nee, waarom niet?</nadruk>
              </al>
              <al>Dit wetsvoorstel heeft het gebruikelijke proces doorlopen. Er heeft vooroverleg met de NBA en een internetconsultatie plaatsgevonden.</al>
              <al>De AP heeft opgemerkt dat persoonsgegevens ook na pseudonimisering persoonsgegevens blijven daar zij door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld. Verstrekking van deze gegevens is derhalve wel een (toelaatbare) inbreuk op het medisch beroepsgeheim. De AP adviseerde om de toelichting op deze punten aan te passen en zo nodig in aanvullende waarborgen in verband met het medisch beroepsgeheim te voorzien.</al>
              <al>Bij de internetconsultatie in 2020 heeft de NBA aangegeven dat een toereikende controle met pseudonimisering volgens de NBA onder een beperkt aantal randvoorwaarden mogelijk was. Met voortschrijdend inzicht heeft de NBA eind 2025 aangegeven dat er toch geen randvoorwaarden mogelijk zijn voor een toereikende controle louter op basis van gespeudonimiseerde databestanden met medische persoonsgegevens. De brief van de BoZ van 3 december 2025 heeft het Ministerie van Volksgezondheid, Welzijn en Sport op 5 december 2025 ontvangen.</al>
              <al>Naar aanleiding van de berichtgeving van de NBA eind 2025 heeft het Ministerie van Volksgezondheid, Welzijn en Sport een reactie van de NZa ontvangen. De NZa is de externe toezichthouder op de openbare jaarverantwoording en stelt zelf diverse accountantsprotocollen voor zorgaanbieders op. De NZa heeft het Ministerie van Volksgezondheid, Welzijn en Sport gemeld dat door het ontbreken van een goedkeurende controleverklaring de juistheid van de verantwoording van meer dan 80% van het zorggeld (samen 95 miljard euro), van de middelgrote – en grote zorgaanbieders, niet langer met zekerheid is vast te stellen.<noot id="ID-1249199-d40e273" type="voet"><noot.nr>4</noot.nr><noot.al>Bron: data uit DigiMV, het digitale portaal voor het aanleveren van jaarverantwoording in de zorg, geraadpleegd op 18 november 2025.</noot.al></noot> Het niet met zekerheid kunnen vaststellen van de juistheid heeft gevolgen voor het uitvoeren van de wettelijke taken van de NZa. Daarnaast heeft het volgens de NZa ook gevolgen voor de solidariteit in de zorg, die uitgaat van een juiste besteding van collectieve middelen. Daarnaast constateert de NZa dat het risico op zorgfraude toeneemt en de pakkans in het geval van fraude daalt. Ook vormt een goedkeurende controleverklaring soms een voorwaarde van bijvoorbeeld de financiers (o.a. banken) van zorgaanbieders. Hierdoor kan de NZa ook indirect problemen ondervinden van de impact van deze wettelijke bepaling op bedrijfsvoering van de zorgaanbieders.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 11</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Tot slot willen leden van de fracties GL-PvdA, BBB, CDA, SP, ChristenUnie, Volt en Fractie-Van de Sanden ook weten of de regering bereid is om een actuele uitvoerbaarheidstoets te laten uitvoeren op de voorliggende wet door de (koepel)organisaties die door deze wetsaanpassing wordt geraakt. Zo nee, waarom niet?</nadruk>
              </al>
              <al>Nee. Voor de aanpassing van artikel 23a UAVG zal het gebruikelijke wetgevingsproces worden doorlopen, met daarbij alle bijhorende voorbereiding, waaronder de nodige uitvoerings- en handhavingstoetsen en advisering door de Afdeling advisering van de Raad van State. De uitvoerbaarheidstoetsen van de aanpassing van artikel 23a UAVG zullen de meest actuele en dus meest relevante zijn. De regering vindt een actuele uitvoerbaarheidstoets weinig zinvol omdat zij de inschatting van de NBA en de NZa over het huidige voorgestelde artikel 23a UAVG onderschrijft.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 12</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de fracties van de VVD en CDA vragen of de regering bekend is met de brief van de NBA? Waarom is hierop niet gereageerd in de nota naar aanleiding van het verslag? Deelt de regering de zorgen van de NBA?</nadruk>
              </al>
              <al>Ja, de brief van de NBA is bekend bij de regering. In de vragen gesteld in de eerste nota naar aanleiding van het verslag kwam deze brief of het onderwerp daarvan niet terug, waardoor de regering niet naar deze brief heeft verwezen. Dat laat onverlet dat de regering de zorgen van de NBA en die van de BoZ uit hun brief van december 2025, deelt. De Ministeries van Financiën en van Volksgezondheid, Welzijn en Sport zijn daarom ook voortvarend in overleg gegaan met de NBA om artikel 23a UAVG zodanig aan te passen dat er een grondslag wordt toegevoegd voor de detailwerkzaamheden bij de kleinschalige verwerking (bijvoorbeeld «steekproeven»).</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 13</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Kan de regering aan deze leden aangeven of het klopt dat accountants door artikel 23a, tweede lid, UAVG geen goedkeurende verklaringen meer kunnen geven bij jaarrekeningen van zorginstellingen? Daarnaast willen deze leden weten wat dit betekent voor toezicht en financiering.</nadruk>
              </al>
              <al>Zoals hierboven is beschreven, is het aannemelijk dat accountants geen goedkeurende verklaringen meer kunnen afgeven bij de jaarrekeningen van zorgaanbieders. De NBA verwacht dat accountants vooral nog een verklaring met een oordeelonthouding zullen afgeven.</al>
              <al>De NZa heeft het Ministerie van Volksgezondheid, Welzijn en Sport gemeld dat het niet met zekerheid kunnen vaststellen van de juistheid van de jaarrekeningen gevolgen heeft voor het uitvoeren van de wettelijke taken van de NZa. Ook kunnen er gevolgen zijn voor de verantwoordingen van ketenpartijen indien zij gelijksoortige controles moeten uitvoeren en/of gebruik maken van deze verantwoordingen van zorgaanbieders en bijbehorende accountantsproducten. Of indien zij gebruik maken van de bestuurlijke oordelen van de NZa zoals bijvoorbeeld de fondsverslagen van het Zorginstituut Nederland dit doen. Daarnaast constateert de NZa dat het risico op zorgfraude toeneemt en de pakkans in het geval van fraude daalt. Ook vormt een goedkeurende verklaring soms een voorwaarde van bijvoorbeeld de financiers van zorgaanbieders. Hierdoor kan de NZa ook indirect problemen ondervinden van de impact van deze wettelijke bepaling op bedrijfsvoering van de zorgaanbieders.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 14</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Kan de regering aan de leden van de fracties van de VVD en CDA toelichten waarom pseudonimisering nodig is, gezien de bestaande geheimhoudingsplicht?</nadruk>
              </al>
              <al>In het voorstel is gekozen om de accountant slechts gepseudonimiseerde persoonsgegevens te laten ontvangen, zodat de accountant zich geen oordeel kan vormen over de gezondheidstoestand van betrokkenen en wordt het medisch beroepsgeheim niet op ontoelaatbare wijze doorbroken. Deze stelling werd ook bevestigd in de consultatiereactie van de Autoriteit Persoonsgegevens (AP). De wettelijke geheimhoudingsplicht van accountants is daarbij overwogen als extra waarborg voor de uitvoering van het voorstelde artikel 23a UAVG.</al>
              <al>Bij het vormgegeven van de aanpassing van artikel 23a UAVG zal de regering ook de wettelijke geheimhoudingsplicht van accountants meewegen in de belangenafweging. Accountants moeten op grond van de Wet op het accountantsberoep en de Verordening Gedrags- en Beroepsregels accountants (VGBA) hun werkzaamheden uitvoeren met inachtneming van de Nadere Voorschriften Controle- en Overige Standaarden (NV COS). De plicht tot geheimhouding is geregeld in de VGBA. Accountants moeten vertrouwelijke informatie geheimhouden. Hierop bestaan uitzonderingen, zoals wettelijke bepalingen die boven de NBA-Verordeningen gaan, gegevensverstrekking in een gerechtelijke procedure waar deze gegevens relevant zijn, toestemming van de opdrachtgever of informatie-uitwisseling met een andere accountant die bij dezelfde organisatie een opdracht uitvoert of gaat uitvoeren. Als de accountant gebruik maakt van de mogelijkheid om vertrouwelijke informatie te controleren en dus te verwerken, moet de accountant een belangenafweging maken waarin ook de belangen van betrokkenen, het algemeen belang en de belangen van de beoogde ontvanger moeten worden meegewogen. Expliciet is bepaald dat vertrouwelijke gegevens niet voor eigen gewin of andermans gewin mogen worden gebruikt.</al>
              <al>Op het niveau van de accountantsorganisatie legt Standaard voor Kwaliteitsmanagement 1 (SKM1) de verplichting op om de relevante ethische voorschriften in het interne kwaliteitsbeheerssysteem op te nemen. Hierbij gaat het ook om de fundamentele beginselen, waaronder vertrouwelijkheid. De kwaliteitsdoelstellingen volgen uit een risico-inschattingsproces, waarbij vervolgens ook maatregelen dienen te worden opgezet en geïmplementeerd om de risico’s te mitigeren. Accountants moeten de toegang tot hun dossiers en informatie nauwgezet bewaken en beperken en de daarin opgenomen gegevens goed beschermen.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 15</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de fracties van de VVD en CDA vragen welke extra waarborgen de regering ziet.</nadruk>
              </al>
              <al>De regering ziet in de eerste plaats de beginselen inzake verwerking van persoonsgegevens van de AVG (artikel 5) als extra waarborgen. De dataminimalisatie is één van die beginselen. De passende waarborgen bestaan in de tweede plaats uit de verplichte pseudonimisering van persoonsgegevens die onder het medisch beroepsgeheim vallen of hebben gevallen. De passende waarborgen bestaan in de derde plaats uit de technische en organisatorische maatregelen die een accountant als verwerkingsverantwoordelijke treft om te waarborgen dat de verwerking in overeenstemming is met de AVG. De accountants moeten zich tenslotte houden aan de beroepsregels van de NBA die borgen dat de accountants de fundamentele beginselen van o.a. zorgvuldigheid en geheimhouding in acht nemen.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 16</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de fracties van de VVD en CDA vragen of de regering in beeld heeft hoeveel zorginstellingen worden geraakt en wat de waarde aan zorgkosten is die hierdoor onvoldoende gecontroleerd wordt.</nadruk>
              </al>
              <al>Op grond van artikel 40b van de Wet marktordening gezondheidzorg moeten ongeveer 1.900 middelgrote en grote zorgaanbieders de jaarrekening door een accountant laten controleren. Deze zorgaanbieders vertegenwoordigen gezamenlijk meer dan 80% van de uitgaven, tezamen ongeveer 95 miljard euro.<noot id="ID-1249199-d40e339" type="voet"><noot.nr>5</noot.nr><noot.al>Bron: data uit DigiMV, het digitale portaal voor het aanleveren van jaarverantwoording in de zorg, geraadpleegd op 18 november 2025.</noot.al></noot></al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 17</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Deze leden vragen de regering wat de gevolgen zijn voor het beheersen van de zorguitgaven.</nadruk>
              </al>
              <al>Als accountants van zorginstellingen de juistheid en volledigheid van de gerealiseerde zorg niet kunnen vaststellen en daardoor geen goedkeurende controleverklaring kunnen afgeven, heeft dit een negatieve impact op de beheersing van de zorguitgaven. De financiële verantwoording verliest aan betrouwbaarheid, waardoor zorgverzekeraars en overheid minder grip hebben op de rechtmatigheid van declaraties. Dit vergroot het risico op ondoelmatige besteding van middelen en het in stand houden van inefficiënte zorg. Daarnaast wordt het moeilijker om tijdig overschrijdingen van budgetten te signaleren en bij te sturen. Ook wordt het vergelijken van prestaties en kosten tussen instellingen minder betrouwbaar, wat sturing op doelmatigheid belemmert. Beleidsmakers moeten besluiten nemen op basis van onzekerheden, terwijl corrigerende maatregelen zoals terugvorderingen of sancties lastiger toepasbaar zijn. Hierdoor neemt de onzekerheid in het stelsel toe en verzwakt uiteindelijk de beheersing en betaalbaarheid van de zorguitgaven.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 18</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Kan de regering aan de leden van de fractie van de VVD en CDA aangeven waarom is afgezien van het voorstel van de NBA om accountants enkel niet-gepseudonimiseerde gegevens te laten raadplegen, terwijl hun dossiers gepseudonimiseerd blijven?</nadruk>
              </al>
              <al>De medische persoonsgegevens waarover het hier gaat zijn niet enkel bijzondere persoonsgegevens als bedoeld in de AVG waarvoor in beginsel een verbod op verwerking geldt, maar vallen ook binnen het medisch beroepsgeheim van de door accountants te controleren instanties als zorgaanbieders. De betrokken accountants en accountantsorganisaties zijn derden en hun kennisneming van deze gegevens vormt een doorbreking van het medisch beroepsgeheim. De verplichte pseudonimisering is een beveiligingsmaatregel ter beperking van de gevolgen voor de persoonlijke levenssfeer van betrokkenen. De Autoriteit Persoonsgegevens heeft ook aangegeven dat pseudonimisering van de gegevens die aan accountants worden verstrekt in dit geval noodzakelijk is. Deze omstandigheden maken dat de regering bedoeld voorstel niet volgt. Zoals hierboven beschreven zijn de Ministeries van Financiën en van Volksgezondheid, Welzijn en Sport voortvarend in gesprek met de NBA over de benodigde aanpassingen van artikel 23a UAVG zodat detailwerkzaamheden, zoals de uitvoering van een representatieve steekproef, in de controle van zorginstanties op zinvolle wijze kunnen plaatsvinden. De aanpassing van artikel 23a UAVG houdt in dat er een grondslag wordt toegevoegd om voor de detailwerkzaamheden bedoelde persoonsgegevens zonder pseudonimisering in te kunnen zien.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 19</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Deze leden vragen of de regering bereid is artikel 23a, tweede lid, UAVG te schrappen of aan te passen volgens het voorstel van de NBA? Zo niet, kan gegarandeerd worden dat accountantscontroles in de zorg probleemloos blijven verlopen?</nadruk>
              </al>
              <al>Ja. De Ministeries van Financiën en van Volksgezondheid, Welzijn en Sport zijn voortvarend in gesprek met de NBA om artikel 23a UAVG aan te passen. De regering heeft het voornemen het voorgestelde artikel 23a UAVG pas in werking te laten treden nadat de aanpassing van artikel 23a UAVG bekendgemaakt is in het Staatsblad. Het risico op het ontbreken van goedkeurende verklaringen, volgens de NBA veelal in de vorm van oordeelsonthoudingen, is te groot. De regering vindt de gevolgen daarvan voor de zorgsector, de beheersing van zorguitgaven en de taakuitoefening door de NZa te ingrijpend.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 20</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Kan de regering aan de leden van de fracties van JA21 en BBB en Fractie-Van de Sanden aangeven of de regering de zorgen van de NBA herkent? Kan de regering deze zorgen wegnemen? Dat wil zeggen: kan de regering garanderen dat het wetsvoorstel geen onevenredige gevolgen zal hebben voor de controlerende taken van accountants bij zorginstellingen?</nadruk>
              </al>
              <al>De ministeries van Financiën en van Volksgezondheid, Welzijn en Sport delen de zorgen van de NBA. Daarom is de regering ook voortvarend in overleg gegaan met de NBA om artikel 23a UAVG zodanig aan te passen dat ook de detailwerkzaamheden mogelijk worden gemaakt. De regering heeft het voornemen het voorgestelde artikel 23a UAVG pas in werking te laten treden nadat de aanpassing van dat artikel bekendgemaakt is in het Staatsblad.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 21</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de fracties van JA21 en BBB en Fractie-Van de Sanden merken op dat artikel 23a, tweede lid, UAVG bepaalt dat vóór aanvang van de verwerking van persoonsgegevens, waarop het medisch beroepsgeheim berust, pseudonimisering onafgebroken moet worden toegepast. Welke uitzonderingsgronden zijn er nog meer voor deze verplichting volgens de regering?</nadruk>
              </al>
              <al>In het voorgestelde artikel 23a UAVG zijn nog geen uitzonderingsgronden op de verplichte pseudonimisering geregeld. De aanpassing van artikel 23a UAVG bestaat uit een uitzonderingsgrond voor de detailwerkzaamheden die noodzakelijk zijn voor de beoordeling van de gehele onderzoekspopulatie.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 22</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Kan de regering aan deze leden toelichten wat de gevolgen zijn voor de uitvoerbaarheid van (wettelijke) accountantsopdrachten in de zorgsector, in het geval dat de verplichting tot onafgebroken pseudonimisering verhindert dat accountants toegang krijgen tot herleidbare persoonsgegevens die noodzakelijk zijn voor het waarachtig en betrouwbaar opstellen van financiële verantwoordingen?</nadruk>
              </al>
              <al>De NBA heeft de regering uitgelegd dat rechtmatigheidscontroles in de zorgsector moeten worden uitgevoerd door een combinatie van werkzaamheden. Dit omvat data-analytische werkzaamheden en detailwerkzaamheden. De data-analytische controlewerkzaamheden (grootschalige verwerking) ondervinden volgens de NBA geen probleem van eventuele pseudonimisering. Bij de detailwerkzaamheden (kleinschalige verwerking) vormt de pseudonimisering wel een probleem. Eén voorbeeld hiervan zijn representatieve steekproeven. De accountant trekt op basis van zijn bevindingen bij de geselecteerde brongegevens in de representatieve steekproeven conclusies over de betrouwbaarheid of over de werking van het proces van pseudonimisering van grootschalige databestanden met zorgdeclaraties en -uitbetalingen. De accountant moet originele ongepseudonimiseerde brongegevens kunnen inzien voor de controle van de juistheid van de brongegevens en het proces van pseudonimisering door zorgaanbieders.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 23</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">Onlangs is bekend geworden dat ziekenhuizen jaarlijks ongeveer 800.000 no-shows registreren, wat resulteert in een geschatte financiële schade van tientallen miljoenen euro’s. Voor een goede controle van deze kosten kan het voor accountants noodzakelijk zijn om gebruik te maken van herleidbare persoonsgegevens. Kan de regering aan deze leden aangeven wat de gevolgen voor de uitvoerbaarheid van wettelijke accountantsopdrachten zijn als de onafgebroken pseudonimiseringsplicht verhindert dat accountants toegang krijgen tot herleidbare persoonsgegevens wanneer die noodzakelijk zijn voor het opstellen van een betrouwbare financiële verantwoording?</nadruk>
              </al>
              <al>De gevolgen voor de wettelijke accountantsopdrachten zijn beperkt. Reden is dat er maar een beperkt aantal zorgaanbieders is dat een wettelijke controle op de financiële verantwoording moeten laten uitvoeren. Daarom is in artikel 23a UAVG gekozen voor de term bij wettelijk voorschrift voorgeschreven opdracht. Het gaat bij een wettelijk voorschrift om een nationaal wettelijk voorschrift of een verordening van een instelling van de Europese Unie. Voorbeelden van een nationaal wettelijk voorschrift zijn een formele wet, een algemene maatregel van bestuur, een ministeriële regeling, een algemeen verbindend voorschrift van een zelfstandig bestuursorgaan of een verordening van een decentrale overheid.</al>
            </al-groep>
            <al-groep>
              <al>
                <nadruk type="cur">
                  <nadruk type="ondlijn">Vraag 24</nadruk>
                </nadruk>
              </al>
              <al>
                <nadruk type="cur">De leden van de fracties van JA21 en BBB en Fractie-Van de Sanden vragen hoe de regering voorkomt dat accountants hun wettelijk controlerende taak niet kunnen vervullen, wanneer in dergelijke situaties geen uitzondering mogelijk is op de pseudonimiseringsplicht.</nadruk>
              </al>
              <al>De Ministeries van Financiën en Volksgezondheid, Welzijn en Sport zijn, zoals hierboven toegelicht, in gesprek met de NBA om artikel 23a UAVG aan te passen. De aanpassing van artikel 23a UAVG bestaat uit een uitzonderingsgrond op de verplichte pseudonimisering voor de detailwerkzaamheden, zoals steekproeven, die noodzakelijk zijn voor de beoordeling van de gehele onderzoekspopulatie.</al>
            </al-groep>
          </divisie>
        </vrije-tekst>
        <tekst-sluiting>
          <ondertekening>
            <functie>De Staatssecretaris van Justitie en Veiligheid,</functie>
            <naam>
              <voornaam>K.T. van</voornaam>
              <achternaam>Bruggen</achternaam>
            </naam>
          </ondertekening>
        </tekst-sluiting>
      </algemeen>
    </stuk>
  </kamerstuk>
</officiele-publicatie>