Inhoud				blz.
ALGEMEEN				2
1.	Inleiding			2
2.	Hoofdlijnen van het voorstel			3
	2.1	Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C)		3
		2.1.1	Formeel handhavingsinstrumentarium	4
		2.1.2	Schriftelijke aanwijzing	4
		2.1.3	Schriftelijk bevel	5
		2.1.4	Last onder dwangsom	5
	2.2	Verwerken BSN van vertegenwoordigers en gemachtigden door zorgaanbieders (Artikel I, onderdeel B)		5
	2.3	Inzagerecht VN-Subcomité en het Europese Comité tegen foltering (Artikel II, V en VI)		7
	2.4	Vektis (Artikel III en VII)		9
	2.5	Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV)		9
3.	Verhouding hoger recht			11
	3.1	Mensenrechtelijke bescherming		11
	3.2	EVRM		12
	3.3	Grondwet		13
	3.4	AVG		14
		3.4.1	Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C)	14
		3.4.2	Verwerken BSN van vertegenwoordigers en gemachtigden door zorgaanbieders (Artikel I, onderdeel B)	14
		3.4.3	Inzagerecht VN-Subcomité en het Europese Comité tegen foltering (Artikel II, V en VI)	15
		3.4.4	Vektis (Artikel III en VII)	17
		3.4.5	Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV)	18
	3.5	Beroepsgeheim		18
	3.6	Caribisch Nederland		18
4.	Verhouding tot nationale wetgeving			19
5.	Gegevensbeschermingseffectbeoordeling (DPIA)			19
	5.1	Inleiding		19
	5.2	Ondersteuning gemeenten bij borging privacy en gegevensuitwisseling		20
6.	Gevolgen (m.u.v. financiële gevolgen)			20
	6.1	Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C)		20
	6.2	Verwerken BSN van vertegenwoordigers en gemachtigden door zorgaanbieders (Artikel I, onderdeel B)		20
	6.3	Inzagerecht VN-Subcomité en het Europese Comité tegen foltering (Artikel II, V en VI)		21
	6.4	Vektis (Artikel III en VII)		21
	6.5	Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV)		21
7.	Uitvoering			21
8.	Regeldruk			22
9.	Toezicht en handhaving			22
10.	Financiële gevolgen			23
11.	Advies en consulatie			23
	11.1	Internetconsultatie		23
	11.2	Uitvoeringstoetsen		24
ARTIKELSGEWIJZE TOELICHTING				25

ALGEMEEN DEEL

1. Inleiding

Bij het leveren van zorg aan mensen hoort ook de zorg voor hun gegevens. Het kabinet heeft om die reden aandacht voor zorgvuldige gegevensverwerking (waaronder gegevensuitwisseling) en het wegnemen van knelpunten op het VWS-terrein. In het wetsvoorstel houdende wijziging van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport (hierna: Ministerie van VWS) om de grondslagen voor gegevensverwerking te verstevigen (Verzamelwet gegevensverwerking VWS II.a) (hierna: het wetsvoorstel) worden onderwerpen geregeld waarvoor een zelfstandig wetsvoorstel niet opportuun is, omdat de onderwerpen beperkt zijn qua omvang en complexiteit. De onderwerpen in onderhavig wetsvoorstel zien op gegevensverwerking, op één onderwerp na. Artikel I, onderdeel A en C, regelt het toezicht en de handhaving van de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ) op onder andere een veilige gegevensverwerking. Al hoewel het sec geen gegevensverwerking betreft, maar hier wel een grote samenhang mee heeft én voldoet aan de overige voorwaarden om mee te kunnen in een Verzamelwet (zoals beperkt qua omvang en complexiteit), is besloten dit mee te nemen in dit wetsvoorstel. Het bundelen van verschillende wijzigingen in een Verzamelwet is een effectieve manier om het wetgevingsproces te stroomlijnen en de wetgeving overzichtelijk te houden. De uitwerking van de onderwerpen staat in hoofdstuk 2.

2. Hoofdlijnen van het voorstel

2.1 Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C)

Cliënten en zorgverleners moeten erop kunnen vertrouwen dat de toegankelijkheid, continuïteit, en betrouwbaarheid van de informatievoorziening is gegarandeerd. Toezicht en handhaving op gegevensverwerking en informatieveiligheid speelt hierin een belangrijke rol. Dit zal de komende jaren nog verder toenemen door het toenemend belang van digitalisering in de zorg en toenemende elektronische gegevensuitwisseling onder de Wet elektronische gegevensuitwisseling in de zorg (hierna: Wegiz). Om effectief toezicht te houden zijn toezichts- en handhavingsmogelijkheden noodzakelijk. In dit wetsvoorstel wordt het toezicht en handhaving op de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: Wabvpz) expliciet in de wet geregeld.

De wettekst van de Wabvpz schrijft niet expliciet voor welke toezichthouder toeziet op de artikelen uit de wet die verplichtingen voor zorgaanbieders beschrijven. Tot op heden is het toezicht op deze artikelen door IGJ vormgegeven in relatie tot het begrip «goede zorg» uit artikel 2 van de Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz). Dit betekent dat de IGJ alleen handhavend kan optreden bij overtreding van de Wabvpz, als hieruit eveneens een overtreding van artikel 2 Wkkgz zou volgen. Dit speelt bijvoorbeeld wanneer gebrekkige informatiebeveiliging leidt tot een verslechtering van de kwaliteit van geleverde zorg.

Vanwege het toenemende belang van digitalisering en elektronische gegevensuitwisseling neemt ook het belang van goede informatieveiligheid in de zorg toe. Het is wenselijk dat de IGJ de expliciete bevoegdheid heeft om hierop toe te zien, ook wanneer er geen directe relatie is tot de kwaliteit van geleverde zorg. Patiënten en zorgverleners moeten er immers te allen tijde op kunnen vertrouwen dat de toegankelijkheid, continuïteit, en betrouwbaarheid van de informatievoorziening is gegarandeerd. Daarnaast raakt de onduidelijkheid en het gebrek aan een eenduidige opdracht van de wetgever de legitimiteit van de IGJ als toezichthouder op de verplichtingen van zorgaanbieders bij elektronische verwerking van gegevens. Verder zorgt het opnemen van het formeel wettelijk toezicht, met bijbehorende handhavingsinstrumenten, voor rechtszekerheid ten aanzien van de verantwoordelijkheden en bevoegdheden van de IGJ als toezichthouder.

De NEN 7510 beschrijft de inrichting van een managementsysteem voor informatiebeveiliging en naleving van deze norm is op grond van de Wabvpz verplicht. De NEN 7510 gaat verder dan enkel het borgen van de kwaliteit van zorgverlening en daarom is het denkbaar dat een zorgverlener met tekortschietende informatiebeveiliging toch goede zorg verleent. Bij inspecties bij zorgaanbieders constateert de IGJ geregeld dat de naleving van de belangrijkste norm voor informatiebeveiliging (NEN 7510) te wensen overlaat. De NEN 7510 strekt echter verder dan de kwaliteit van zorgverlening. Zodoende kan de IGJ alleen handhavend optreden bij een overtreding van de Wabvpz, als hieruit eveneens een overtreding van artikel 2 Wkkgz volgt. Om die reden ervaart de IGJ dat formele handhaving op de Wabvpz tegen een toezichtsrechtelijke hindernis aanloopt, aangezien handhaving van de IGJ op de Wabvpz moet worden gemotiveerd via artikel 2 Wkkgz. Dit heeft potentiële gevolgen voor als het gebrek aan informatiebeveiliging ernstige risico’s kan opleveren voor de continuïteit van informatiesystemen en daardoor de kwaliteit van zorg in gevaar kan komen. Verder kan het vertrouwen van cliënten ernstig worden geschaad. In de gevallen waarin de NEN 7510 niet wordt nageleefd is het belangrijk dat de IGJ over adequate handhavingsmogelijkheden beschikt. Voorliggend wetsvoorstel regelt deze adequate handhavingsmogelijkheden.

Voor zorgaanbieders geldt de NEN 7510 t.a.v. cyberveiligheid. Daarnaast gaat voor onder meer de zorgaanbieders in 2025 aanvullende wettelijke eisen gelden die zijn vastgelegd in de Cyberbeveiligingswet, de nationale implementatie van de herziene versie van de Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIS2). De rechten en plichten (zoals de meld- en zorgplicht) gelden voor de zorgaanbieders (vallend onder de Wkkgz) van >50 FTE of met een jaarbalans of jaaromzet van meer dan 10 miljoen euro. De IGJ wordt in deze wet taken toegewezen op het gebied van handhaving- en toezicht op de sector zorg.

Het beleidsdoel is dat de handhaafbaarheid van de Wabvpz op een goede manier is geborgd. Dit doel wordt bereikt door toezicht en handhaving op de Wabvpz expliciet te regelen in de Wabvpz. De IGJ zal niet op de gehele wet toezicht houden, maar alleen op de voor haar taak relevante bepalingen.

2.1.1 Formeel handhavingsinstrumentarium

Aangezien de IGJ de Wabvpz thans handhaaft via artikel 2 Wkkgz, zijn voor het handhavingsinstrumentarium de bestaande bevoegdheden onder de Wkkgz als uitgangspunt genomen. In hoofdstuk 3b Wabvpz zijn de volgende handhavingsinstrumenten opgenomen:

• • Schriftelijke aanwijzing;

• • Schriftelijk bevel, en;

• • Last onder dwangsom.

De hierboven genoemde instrumenten zijn te kwalificeren als herstelsancties. Een herstelsanctie strekt tot het geheel dan wel gedeeltelijk ongedaan maken of beëindigen van een overtreding, tot het voorkomen van herhaling van een overtreding, dan wel tot het wegnemen of beperken van de gevolgen van een overtreding. Een kenmerk van een herstelsanctie is dat deze niet verder mag strekken dan nodig is om de rechtens juiste toestand te realiseren. Tegenover de herstelsanctie staat de punitieve sanctie. Een punitieve sanctie (zoals een bestuurlijke boete) is gericht op het toevoegen van leed aan de overtreder. In deze wetswijziging is gekozen voor herstelsancties in plaats van punitieve sancties. Dit is gebaseerd op de werkmethode van de IGJ die ziet op een herstelgerichte benadering in plaats van een direct bestraffende aanpak. Met deze wetswijziging wordt deze werkmethode bestendigd. De hierboven genoemde handhavingsinstrumenten worden hierna toegelicht.

2.1.2 Schriftelijke aanwijzing

Middels de schriftelijke aanwijzing heeft Onze Minister de bevoegdheid tot het concretiseren van de norm, in de vorm van een aanwijzing. De aanwijzing heeft de bedoeling om de situatie die de zorgaanbieder dient te creëren, aan te geven en bevat de termijn waarbinnen aan de aanwijzing moet zijn voldaan. De zorgaanbieder is verplicht binnen de daarbij gestelde termijn aan de aanwijzing te voldoen, als volgt uit artikel 5:20 Awb.

2.1.3 Schriftelijk bevel

Er zijn situaties denkbaar waarin op zeer korte termijn moet kunnen worden ingegrepen, omdat maatregelen geen uitstel kunnen lijden in verband met gevaar voor de veiligheid of de gezondheid. Hierbij kan worden gedacht aan een bijzondere situatie waarbij de informatiebeveiliging bij een zorgaanbieder zodanig te wensen over laat, dat dit op elk moment en zeer eenvoudig zou kunnen leiden tot het onbruikbaar worden van voor de zorg essentiële informatiesystemen of het openbaar worden van zeer veel vertrouwelijke patiëntgegevens. Een schriftelijk bevel kan in een dergelijke situatie worden gegeven. In deze situaties zijn minder ingrijpende middelen immers niet toereikend. De met het toezicht belaste ambtenaar kan een schriftelijk bevel geven. Het bevel heeft een geldigheidsduur van 7 dagen. De mogelijkheid tot het verlenen van mandaat voor verlengen van de geldigheidsduur van een bevel wordt niet verleend aan de IGJ, maar aan Onze Minister ex artikel 27, zesde lid, Wkkgz. Het is daarbij wenselijk om een andere dan de toezichthouder bij deze besluitvorming te betrekken.

2.1.4 Last onder dwangsom

Onze Minister heeft de bevoegdheid om een last onder dwangsom op te leggen ter zake de handhaving van artikel 16a Wabvpz of indien geen medewerking ex artikel 5:20 Awb wordt verleend. Bij de last onder dwangsom draagt de toezichthouder op om te stoppen met de overtreding van de gestelde normen. Voor elke periode dat de overtreder dit niet doet, moet zij een dwangsom betalen. De dwangsom stopt als de overtreding is opgeheven. De last onder dwangsom kan worden gebruikt als een aanwijzing of bevel niet worden opgevolgd. De IGJ is belast met het toezicht op de Wabvpz voor zover het de artikelen 5 tot en met 12, 15d, 15e en 15j Wabvpz betreft. De IGJ houdt daarmee dus niet op de gehele wet toezicht, maar alleen op de voor haar taak relevante bepalingen.

2.2 Verwerken BSN van vertegenwoordigers en gemachtigden door zorgaanbieders (Artikel I, onderdeel B)

Meerdere zorgaanbieders bieden elektronische dienstverlening aan hun cliënten aan. Cliënten hebben op die manier toegang tot hun dossier1 in het zorginformatiesysteem, voor zover gegevens elektronisch zijn vastgelegd.2 Cliënten kunnen worden vertegenwoordigd door een wettelijk vertegenwoordiger of gemachtigde. Een wettelijk vertegenwoordiger kan zijn een curator, mentor of gezaghebbende ouder of voogd bij minderjarigen.3 Een gemachtigde is de persoon die door de patiënt zelf gemachtigd is om in zijn plaats te treden. Soms zal ook een wettelijk vertegenwoordiger of gemachtigde van de cliënt toegang tot een dergelijk dossier moeten hebben. Daarvoor is nodig dat zowel de identiteit (authenticatie) als de bevoegdheid (autorisatie) van de wettelijk vertegenwoordiger of gemachtigde kan worden vastgesteld.

Het Besluit digitale overheid4 voorziet in de centrale vertegenwoordigingsvoorzieningen, namelijk de voorzieningen DigiD Machtigen, gezagsmodule en bevoegdheidsverklaringsdienst. De voorzieningen in het Besluit digitale overheid werken op basis van het burgerservicenummer (hierna: BSN), tenzij sprake is van een professionele vertegenwoordiger. Indien een professionele vertegenwoordiger van de cliënt toegang wil tot het dossier van de client vindt authenticatie en autorisatie plaats op basis van de Kamer van Koophandel-gegeven door middel van eHerkenning.

Als een zorgaanbieder gebruik maakt van deze voorzieningen en de wettelijke vertegenwoordiger of gemachtigde een natuurlijk persoon is, wordt voor inzage in het zorginformatiesysteem door deze persoon diens BSN verwerkt. Er doen zich hierbij twee situaties voor. In de eerste situatie logt een wettelijk vertegenwoordiger of gemachtigde in een zorginformatiesysteem in met zijn of haar eigen BSN om gegevens van de vertegenwoordigde in te zien. Daartoe verstrekt de zorgaanbieder het BSN van deze wettelijk vertegenwoordiger of gemachtigde aan de betreffende voorziening van het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (hierna: Ministerie van BZK). In de tweede situatie wordt een wettelijk vertegenwoordiger of gemachtigde die wil inloggen in een zorginformatiesysteem doorgeleid naar de betreffende voorziening van het Ministerie van BZK waar hij of zij zelf inlogt met het eigen BSN. Vervolgens wordt via de voorzieningen gecontroleerd of de wettelijk vertegenwoordiger of gemachtigde gerechtigd is om de relevante registers te bevragen. Indien er inderdaad een rechtmatige vertegenwoordigingsrelatie tussen de cliënt en diens wettelijk vertegenwoordiger of gemachtigde bestaat, krijgt de wettelijk vertegenwoordiger of gemachtigde toegang tot het dossier van de cliënt.

De voorzieningen geven als identificerend gegeven enkel het BSN van de wettelijk vertegenwoordiger of gemachtigde, zijnde een natuurlijk persoon, en de cliënt terug aan de gebruiker, ook wel de zorgaanbieder. Voor de audit trail, dus het met zekerheid kunnen controleren of een toegang rechtsgeldig is geweest, is het BSN benodigd en daarom wordt het BSN doorgegeven aan de gebruiker. Andere gegevens zijn mogelijk niet uniek.

Gelet op het bovenstaande wordt voorgesteld om in het voorgestelde nieuwe tweede lid van artikel 4 van de Wabvpz te regelen dat zorgaanbieders het BSN van de wettelijke vertegenwoordiger of gemachtigde van cliënten mogen verwerken voor zover dat noodzakelijk is om de identiteit (authenticatie) en de bevoegdheid (autorisatie) van de gemachtigde vast te stellen, zodat de zorgaanbieder op rechtmatige wijze toegang kan geven tot het digitale medische dossier van de cliënt. Het verwerken van het BSN van de wettelijke vertegenwoordiger of gemachtigde is noodzakelijk voor authenticatie en autorisatie als gebruik wordt gemaakt van de centrale vertegenwoordigingsvoorzieningen. De centrale vertegenwoordigingsvoorzieningen zijn onderdeel van authenticatie en autorisatie op het juiste betrouwbaarheidsniveau, conform de eIDAS- verordening5 en de wet digitale overheid. Deze vertegenwoordigingsvoorzieningen gebruiken data uit de bronsystemen, die bij elke inlog gecontroleerd worden. Dit geeft meer zekerheid dan eigen registratiesystemen van zorgaanbieders, waarbij het BSN van de wettelijke vertegenwoordiger of gemachtigde niet wordt verwerkt, maar waarbij wijzigingen in de bevoegdheid ook niet direct worden doorgevoerd, omdat die wijzigingen niet bekend zijn bij de gebruiker.

2.3 Inzagerecht VN-Subcomité en het Europese Comité tegen foltering (Artikel II, V en VI)

Met dit onderdeel wordt nader voldaan aan verplichtingen die voortvloeien uit het door Nederland geratificeerde Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing (New York, 18 december 2002, Trb. 2005, 243) en het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107). Op grond van beide verdragen zijn er toezichthoudende comités ingesteld die de bevoegdheid hebben verdragsstaten te bezoeken om de bescherming van personen die van hun vrijheid zijn beroofd tegen foltering en onmenselijke of vernederende behandeling waar nodig te versterken. Voor het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing (Trb. 2005, 243) betreft dit het Subcomité onder het Comité tegen foltering (hierna: Subcomité). Onder het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107) betreft dit het Europees Comité inzake de voorkoming van foltering en onmenselijke of vernederende behandelingen of bestraffingen (hierna: Comité, beide comités tezamen worden aangeduid als «de comités»).

De verdragen zien op personen die door de overheid van hun vrijheid zijn beroofd. Dit geldt allereerst voor alle personen die op basis van een strafrechtelijke verdenking of veroordeling worden vastgehouden. De duur of de titel van de vrijheidsberoving doet er niet toe. Daarnaast ziet dit op vreemdelingen, die op basis van de Vreemdelingenwet 2000 in bewaring zijn genomen. Vervolgens ziet het ook op personen die op basis van hun (psychische) gezondheid gedwongen zijn opgenomen en de zorglocatie niet mogen verlaten. In al deze gevallen geldt dat de comités bevoegd zijn om na te gaan of ten aanzien van deze personen geen foltering of andere wrede, onmenselijke of onterende behandelingen of bestraffingen worden toegepast. Ten aanzien van deze personen is het daarom noodzakelijk dat de comités de bevoegdheid hebben tot inzage in de dossiers. Uit de genoemde verdragen vloeit eveneens voort dat de leden van de comités toegang hebben tot alle locaties waar personen op last van de overheid van hun vrijheid zijn beroofd. Dit betreft zowel woningen als andere plaatsen. In dit wetsvoorstel wordt daarin voorzien voor locaties waar zorg wordt verleend. De comités maken van deze bevoegdheden slechts gebruik voor zover dit redelijkerwijs nodig is voor hun uit het desbetreffende verdrag voortvloeiende taak.

Met de ratificatie van eerdergenoemde verdragen heeft Nederland zich verplicht om de werkzaamheden van de genoemde comités in Nederland mogelijk te maken. Hierbij hoort dat Nederland de comités alle relevante informatie verschaft die noodzakelijk is om de taken uit te kunnen oefenen. Onderdeel daarvan is dat de comités de bevoegdheid krijgen toegekend tot inzage in de medische dossiers van personen van wie de vrijheid door de overheid is ontnomen.

In lijn met het advies van de Raad van State wordt nader uiteengezet wat het zwaarwegende belang van deze voorgestelde aanpassing is. Eerder is reeds geregeld dat deze comités beschikken over dezelfde bevoegdheden als waarover de met het toezicht belaste ambtenaren beschikken in de Wet forensische zorg (hierna: Wfz), de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Wzd), de Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz) en de Jeugdwet. Dit betekent dat de genoemde comités bij het bezoek aan een plek waar personen op last van de overheid worden vastgehouden, de bevoegdheid inzage toekomt in de (medische) dossiers waarin handelingen uit deze wetten zijn vastgelegd om na te gaan of er geen sprake is van folteringen of andere onmenselijke of vernederende behandelingen of bestraffingen.

Gebleken is echter dat de huidige regelingen te beperkt zijn, omdat ze niet in alle gevallen de comités de mogelijkheid bieden om dossiers in te zien als cliënten van hun vrijheid zijn beroofd, maar vrijwillige zorg krijgen. Met uitzondering van de regeling in de Jeugdwet, zien de regelingen alleen op inzage door de comités in dossiers van cliënten die onvrijwillige zorg hebben gekregen. Aanwijzingen voor foltering of onmenselijke of vernederende behandeling of bestraffing van personen die door de overheid van hun vrijheid zijn beroofd, kunnen echter ook aanwezig zijn in de medische dossiers van cliënten die van hun vrijheid zijn beroofd, maar vrijwillige zorg hebben gekregen. Wil een comité het dossier inzien van een cliënt die vrijwillige zorg krijgt maar wel van zijn vrijheid is beroofd, dan zal onder het huidige recht6 de cliënt toestemming moeten geven voor die inzage. Dit brengt een risico met zich. De cliënt kan in potentie immers onder druk worden gezet de toestemming te weigeren, zodat de comités geen inzicht krijgen in eventuele schendingen van de verdragen ten aanzien van deze persoon. De verwerkingsgrondslag toestemming, zoals is vastgelegd in de AVG en WGBO, vormt zodoende geen redelijk alternatief voor de verwerkingsgrondslag zwaarwegend belang. De persoon die toestemming dient te geven voor inzage in zijn dossier heeft, binnen de context van het inzagerecht voor de comités tegen foltering, een grote afhankelijkheidsrelatie naar zijn arts of bewaarders. Het enkele feit dat er sprake is van een grote afhankelijkheidsrelatie is al voldoende om de grondslag toestemming te weerleggen als een redelijke alternatieve verwerkingsgrondslag. Zeker waar het gaat om een onderzoek naar foltering, vormt toestemming geen rechtmatige verwerkingsgrondslag, omdat de bedoelde toestemming vrij moet zijn gegeven. Daarom moeten de huidige grondslagen voor inzage in de dossiers door het comité worden verbreed, zodat zij niet meer alleen zien op onvrijwillige zorg, maar op alle soorten van zorgverlening ten aanzien van personen die door de overheid van hun vrijheid zijn beroofd. De wijziging van de Wkkgz voorziet in deze bredere grondslag.

Eenieder is verplicht aan de leden van de comités alle medewerking te verlenen die deze redelijkerwijs kunnen vorderen bij de uitoefening van hun bevoegdheden. Deze verplichting geldt in de eerste plaats voor zorgverleners die het (medisch) dossier onder zich hebben. Zorgverleners zijn verplicht om leden van de comités inzage te geven in het dossier als het gaat personen die vallen onder de werkingssfeer van de verdragen. Deze bepaling behelst derhalve een doorbreking van het medisch beroepsgeheim voor de hier specifiek omschreven situatie. De verplichting is verder ook van toepassing op andere personen die moeten faciliteren dat de leden van de comités daadwerkelijk hun rechten op inzage en toegang kunnen verwezenlijken. Dit zal in veel gevallen een verplichting zijn voor de zorgaanbieder. Deze moet ervoor zorgen dat de leden van de comités de locatie kunnen bezoeken waar zorg wordt verleend aan personen die vallen onder de werking van het verdrag. Daarnaast kan het gaan om het ter beschikking stellen van een computer of andere middelen waarmee daadwerkelijk inzage in de dossiers kan worden verkregen. De verplichting geldt verder ook voor anderen, voor zover zij kunnen bewerkstelligen dat de comités van hun bevoegdheden gebruik kunnen maken.

Door deze bepaling in de Wkkgz op te nemen, zijn de eerdere, beperktere grondslagen in de Wzd en de Wvggz niet langer nodig en zij komen met dit wetsvoorstel te vervallen.

2.4 Vektis (Artikel III en VII)

Zorgverzekeraars en Wlz-uitvoerders beschikken als gevolg van hun wettelijke taken over declaratiedata van hun verzekerden. Vektis treedt op als verwerker namens zorgverzekeraars en Wlz-uitvoerders en beheert in die hoedanigheid een database met verzekerden- en declaratiedata van de afzonderlijke zorgverzekeraars. Vektis kan door het samenvoegen van data (zowel van de gezamenlijke zorgverzekeraars als Wlz- en zorgverzekeringsdata via het gepseudonimiseerd BSN) en het uitvoeren van verdere databewerkingen en statistische analyses inzicht geven in het gebruik van zorg in de volle breedte.

Naar aanleiding van het advies van de Raad van State wordt nader ingegaan op het zwaarwegend algemeen belang dat is gemoeid met deze wetswijziging. Zo heeft de Minister van VWS rapportages nodig van zorgverzekeraars en Wlz-uitvoerders om beleid te kunnen ontwikkelen. Op die wijze kunnen de Zvw- en Wlz-zorgstelsels worden beheerd en verbetert, kan zorggeld gericht en efficiënt worden ingezet, kan de begroting van VWS worden onderbouwd en kunnen Kamervragen worden beantwoord met een onderbouwing die wordt ondersteund met kwantitatieve gegevens. Ook ten behoeve van de onder de verantwoordelijkheid van VWS vallende agentschappen verwerkt Vektis namens de zorgverzekeraars en Wlz-uitvoerders bijzondere persoonsgegevens. Deze informatie is geaggregeerd en niet tot verzekerden of zorgaanbieders of organisaties herleidbaar. Daar is ook geen behoefte aan. Het aggregeren van de gegevens valt op die wijze binnen de proportionaliteitstoets.

Om tot bovenbedoelde geaggregeerde gegevens te komen is het noodzakelijk dat zorgverzekeraars en Wlz-uitvoerders (en daarmee Vektis) gegevens mogen verwerken voor beleidsmatige doeleinden en een grondslag hebben om de benodigde gegevens te kunnen anonimiseren. Volgens de laatste inzichten ontbreekt echter een adequate wettelijke grondslag voor zorgverzekeraars en Wlz-uitvoerders (en daarmee voor Vektis) om voor dit doeleinde persoonsgegevens te verwerken. Deze wijziging voorziet in een heldere wettelijke grondslag in de Zvw en Wlz voor de verwerking van persoonsgegevens, waaronder gegevens over gezondheid, zodat zorgverzekeraars en Wlz-uitvoerders (en daarmee Vektis) die gegevens geaggregeerd – en niet tot verzekerden, zorgaanbieders of organisaties herleidbaar – ook kunnen verstrekken ten behoeve van de beleidsontwikkeling voor de Minister van VWS.

2.5 Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV)

Het CAK berekent en int de eigen bijdrage die cliënten verschuldigd zijn voor ondersteuning vanuit de Wmo 2015. Om deze taak uit te kunnen voeren, is het CAK op grond van artikel 5.1.3 Wmo 2015 bevoegd tot het verwerken van persoonsgegevens van de cliënt, zijn of haar echtgenoot, inwonende minderjarige kinderen en zijn of haar ouders, die noodzakelijk zijn voor de vaststelling en inning van een eigen bijdrage. Het CAK verzamelt en bewaart deze persoonsgegevens dus ten behoeve van financiële doeleinden.

De Sociale Verzekeringsbank (hierna: SVB) voert voor het pgb op grond van de Wmo 2015 en de Jeugdwet het trekkingsrecht uit. Dit houdt in dat de SVB de betalingen van budgethouders aan zorginstellingen en zorgverleners verricht. De SVB is op grond van artikel 5.1.4 Wmo 2015 bevoegd tot het verwerken van persoonsgegevens van de cliënt die noodzakelijk zijn voor het verrichten van betalingen ten laste van verstrekte pgb’s en het hiermee verbonden budgetbeheer. Het SVB verzamelt en bewaart deze persoonsgegevens dus ook ten behoeve van financiële doeleinden.

De persoonsgegevens zoals hierboven genoemd moeten volgens artikel 5.3.4, eerste lid, Wmo 2015 vijftien jaar worden bewaard. Deze bewaartermijn geldt voor het gehele dossier vanaf de laatste wijziging in het dossier. Voor deze bewaartermijn is destijds aansluiting gezocht bij Afdeling 5 van Titel 7 van Boek 7 BW inzake de geneeskundige behandelingsovereenkomst (in de praktijk vaak aangeduid als de WGBO. De bewaartermijn in de WGBO was bij het opstellen van de Wmo 2015 vijftien jaar.7

Dat voor gegevens uit de WGBO een lange bewaartermijn geldt, komt omdat op die manier meer kennis wordt verkregen van eerdere ziekten, correlaties tussen eerder doorgemaakte ziekten of een ondergane behandeling en een latere ziekte of behandeling.8 Dit kan nuttig zijn voor (eventuele) verdere hulpverlening. Deze redenering gaat voor het CAK en de SVB echter niet op. Weliswaar bewaren het CAK en de SVB persoonsgegevens waaronder gegevens betreffende de gezondheid, maar deze gegevens zijn niet van belang voor een verdere behandeling van de cliënt. De SVB heeft bijvoorbeeld gegevens van een budgethouder over de zorgwet vanuit waar een budgethouder zorg of ondersteuning ontvangt, en over het soort zorg of ondersteuning dat een cliënt ontvangt (bv. huishoudelijke hulp of begeleiding). Het CAK weet in het geval van een maatwerkvoorziening zoals begeleiding, dagbesteding, huishoudelijke hulp of een hulpmiddel niet welke voorziening een cliënt ontvangt, omdat voor al deze voorzieningen dezelfde eigen bijdrage systematiek geldt. In het geval een cliënt beschermd wonen ontvangt, geldt een andere eigen bijdrage systematiek. In dit geval heeft het CAK dus wel gegevens over wat voor een ondersteuning de cliënt ontvangt.

Voor het CAK en de SVB is het voor het uitvoeren van hun taken dan ook niet noodzakelijk om de persoonsgegevens vijftien jaar te bewaren. Dit maakt dat op dit moment niet in lijn wordt gehandeld met het uitgangspunt van de Algemene verordening gegevensbescherming (hierna: AVG) waaruit volgt dat gegevens niet langer mogen worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. In dit wetsvoorstel wordt om die reden geregeld dat de bewaartermijn voor het CAK en de SVB van de persoonsgegevens die het CAK en de SVB op basis van de Wmo 2015 moeten bewaren, wordt verlaagd naar zeven jaar. Dit is de gebruikelijke bewaartermijn voor financiële informatie, zoals ook volgt uit de Algemene wet inzake rijksbelastingen.

De voorgestelde wijziging in de Wmo 2015 zorgt er voor dat de bewaartermijn voor de persoonsgegevens die de SVB op basis van de Jeugdwet bewaart ook naar zeven jaar gaat. Artikel 8.4.4. Jeugdwet verwijst namelijk naar de bewaartermijn voor de SVB zoals genoemd in het huidige artikel 5.3.4 Wmo 2015. Door de bewaartermijn voor de SVB in de Wmo 2015 te wijzigen, wijzigt dus ook automatisch de bewaartermijn voor de SVB in de Jeugdwet. Dit is wenselijk, omdat bovenstaande redenering ook geldt voor de Jeugdwet. Ook deze gegevens worden bewaard voor financiële doeleinden. Bovendien is het in het kader van harmonisatie wenselijk dat beide termijnen voor de SVB gelijk zijn.

Voor de overige in artikel 5.3.4, eerste lid, Wmo 2015 genoemde instanties die vanwege hun wettelijke taak op grond van de Wmo 2015 persoonsgegevens onder zich hebben blijft de bewaartermijn van vijftien jaar ongewijzigd, omdat deze instanties gegevens niet slechts verzamelen en bewaren ten behoeve van financiële doeleinden.

3. Verhouding tot hoger recht

3.1 Mensenrechtelijke bescherming

Dit wetsvoorstel beoogt onder andere een wettelijke grondslag te creëren voor het verwerken van persoonsgegevens van cliënten en raakt daarmee de persoonlijke levenssfeer van burgers. Verschillende internationale verdragen en (nationale) regelingen, waaronder de Grondwet (hierna: Gw), bevatten uitdrukkelijke voorschriften en waarborgen ter bescherming van de persoonlijke levenssfeer of van natuurlijke personen ten aanzien van persoonsgegevens. In dit verband kan worden gewezen op de volgende voorschriften:

• • In artikel 8 Europees Verdrag voor de Rechten van de Mens en de fundamentele vrijheden (hierna: EVRM) en artikel 17 Internationaal verdrag inzake burgerlijke en politieke rechten, is het recht op bescherming van de persoonlijke levenssfeer gewaarborgd.

• • In artikel 7 Handvest van de grondrechten van de Europese Unie (2016/C 202/02, hierna: het Handvest) is het recht op eerbiediging van het privéleven opgenomen. In artikel 8 van het Handvest is het recht vastgelegd van eenieder op bescherming van persoonsgegevens.

• • Artikel 16, tweede lid, Verdrag betreffende de werking van de Europese Unie (hierna: VWEU), bevat een rechtsgrondslag voor het stellen van voorschriften betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens. Ter uitvoering van deze opdracht is in 2012 een voorstel ingediend voor de AVG, welke verordening uiteindelijk op 24 mei 2016 in werking is getreden.

• • Artikel 10, eerste lid, Gw erkent het recht op eerbiediging van de persoonlijke levenssfeer.

Hieronder wordt uiteengezet op welke wijze in dit wetsvoorstel rekening is gehouden met de bovenstaande rechten.

3.2 EVRM

Het recht op bescherming van persoonsgegevens is niet als zelfstandig recht vastgelegd in het EVRM. Volgens de rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) is het recht op bescherming van persoonsgegevens in algemene zin van fundamentele betekenis voor het recht op eerbiediging van de persoonlijke levenssfeer. Aangezien de onderwerpen uit het wetsvoorstel voorschriften over de verwerking van persoonsgegevens bevatten, en daarmee onder de reikwijdte van de bescherming van artikel 8 EVRM vallen, wordt toegelicht dat de voorgestelde regeling een toegestane inmenging door de overheid in de uitoefening van de persoonlijke levenssfeer van haar burgers vormt.

Ingevolge artikel 8, tweede lid, EVRM wordt een inbreuk op de persoonlijke levenssfeer rechtens aanvaardbaar geacht indien de inbreuk bij wet wordt voorzien, deze een legitiem doel dient, en de inbreuk noodzakelijk is in een democratische samenleving. In verband met het noodzakelijkheidsvereiste vervullen het dringend maatschappelijk belang en het proportionaliteitsvereiste een belangrijke functie.

Om te bepalen of in een concreet geval sprake is van een gerechtvaardigde beperking van een van de in de artikelen 8 tot en met 11 EVRM neergelegde mensenrechten, heeft het EVRM in zijn rechtspraak een bepaalde systematiek ontwikkeld. Uit deze systematiek kan een toetsingskader worden afgeleid waarbij drie met elkaar samenhangende vragen kunnen worden onderscheiden. Deze vragen luiden achtereenvolgens als volgt:

• 1. Is de beperking bij wet voorzien?

  • • Berust de inmenging op een naar behoren bekend gemaakt wettelijk voorschrift?

  • • Kunnen de burgers daaruit met voldoende precisie opmaken welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt?

• 2. Dient de beperking tot bescherming van een legitieme doelstelling («legitimate aim»), namelijk één of meer van de in het tweede lid van artikel 8 EVRM opgesomde rechtsbelangen?

• 3. Is de beperking noodzakelijk in een democratische samenleving («necessary in a democratic society»)?

  • • Is de beperking ingegeven door een dringende maatschappelijke behoefte («pressing social need»)?

  • • Bestaat er een redelijke verhouding («proportionality») tussen de zwaarte van de beperking en het gewicht van het belang dat met de inbreuk wordt gediend?

De eerste vraag, of de voorgestelde beperking bij wet is voorzien, kan zonder meer bevestigend worden beantwoord. De regelingen voor alle onderwerpen bevatten juist de specifieke voorschriften over het specifieke doel en de taken waarvoor het persoonsgegevens kunnen worden verwerkt, de (categorieën van) persoonsgegevens die kunnen worden verwerkt of (verder) kunnen worden verstrekt en de partijen die een rol spelen bij de gegevensverwerking.

Ook de tweede vraag kan bevestigend beantwoord worden. Zoals in hoofdstuk 2 (de verschillende paragrafen worden hieronder benoemd) is aangegeven, beoogt dit wetsvoorstel een vijftal doelen te bereiken, te weten:

Onderdeel 2.1: Vanwege het toenemende belang van digitalisering en elektronische gegevensuitwisseling neemt het belang van goede informatieveiligheid in de zorg toe. Daarom wordt in de Wabvpz een handhavingsinstrumentarium voor de IGJ opgenomen, zodat de IGJ effectiever kan handhaven op deze wet (bescherming van de gezondheid).

Onderdeel 2.2: Er een grondslag is voor zorgaanbieders om het BSN van een wettelijke vertegenwoordiger of gemachtigde te verwerken voor zover dit noodzakelijk is voor het vaststellen van de identiteit en bevoegdheid van de vertegenwoordiger of gemachtigde. Dit is noodzakelijk indien de zorgaanbieder vanuit de vertegenwoordigingsvoorzieningen van de overheid het BSN van de vertegenwoordiger of gemachtigde ontvangt (bescherming van de rechten en vrijheden van anderen).

Onderdeel 2.3: Nederland de toezichthoudende comités alle relevantie informatie verschaft die noodzakelijk is voor hen om hun taken uit te kunnen voeren. Een onderdeel daarvan is dat de comités de bevoegdheid krijgen toegekend tot inzage in de medische dossiers van personen van wie de vrijheid door de overheid is ontnomen (voorkomen van strafrechtelijke feiten, de bescherming van de gezondheid en de goede zeden).

Onderdeel 2.4: Zorgaanbieders en Wlz-uitvoerders (en daarmee Vektis) gegevens mogen verwerken voor beleidsmatige doeleinden en een grondslag hebben om de benodigde gegevens te kunnen anonimiseren (bescherming van de gezondheid en de bescherming van de rechten en vrijheden van anderen).

Onderdeel 2.5: De bewaartermijn van het CAK en de SVB om persoonsgegevens van de cliënt, zijn of haar echtgenoot, inwonende minderjarige kinderen en zijn of haar ouders, die noodzakelijk zijn voor de vaststelling en inning van een eigen bijdrage tot zeven jaren te beperken (bescherming van de rechten en vrijheden van anderen).

De derde vraag – of de voorgestelde beperking noodzakelijk is in een democratische samenleving – wordt eveneens bevestigend beantwoord. De beoogde grondslagen voor gegevensverwerking zijn nodig om de wetten goed uit te kunnen voeren. Het voorstel voorziet in een redelijke verhouding tussen de zwaarte van de beperking en het gewicht van het belang dat met de beperking wordt gediend. Alleen die gegevens worden verstrekt die noodzakelijk zijn om te beoordelen of er sprake is van onnodige samenloop. De eventuele inbreuk op de privacy van burgers gaat zodoende niet verder dan noodzakelijk is voor het doel. Wat betreft de subsidiariteit geldt dat niet kan worden volstaan met lichtere, minder ingrijpende instrumenten.

3.3 Grondwet

Artikel 10, eerste lid, Gw geeft eenieder, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. Ook dit recht is niet absoluut: bij of krachtens de wet kunnen aan dat recht beperkingen worden gesteld. Dit voorstel voorziet in de vereiste wettelijke basis. De hierboven geschetste lijn ter rechtvaardiging van de inbreuk op het recht op respect voor het privéleven in artikel 8 EVRM, gelden evenzeer ter onderbouwing van de wettelijke beperkingen op grond van artikel 10 Gw.

3.4 AVG

3.4.1 Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C)

Dit onderdeel gaat niet primair over gegevensverwerking. Het onderdeel expliciteert namelijk de toezicht en handhavingstaken van de IGJ in de Wabvpz. Desondanks wordt in het wetsvoorstel vastgelegd dat de IGJ en de AP elkaar desgevraagd de voor de uitoefening van hun taak benodigde inlichtingen en gegevens verstrekken, alsmede inzage van zakelijke gegevens en bescheiden, voor zover dat voor de invulling van die taak redelijkerwijs nodig is. De IGJ gebruikt hiervoor als wettelijke grondslag haar wettelijke taak en bevoegdheid als Staatstoezicht op de volksgezondheid. Onder inlichtingen en gegevens wordt uitdrukkelijk geen bijzondere persoonsgegevens (zoals medische dossiers) bedoeld. In artikel 8 van de samenwerkingsovereenkomst tussen de IGJ en de AP is opgenomen dat de inlichtingen en gegevens alleen verstrekt worden, voor zover wettelijke bepalingen hieraan niet in de weg staan.

3.4.2 Verwerken BSN van vertegenwoordigers en gemachtigden door zorgaanbieders (Artikel I, onderdeel B)

Het BSN is een uniek persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en overheid. Het BSN valt onder de definitie van persoonsgegeven van artikel 4, eerste lid, AVG.

In artikel 87 AVG is bepaald dat lidstaten specifieke voorwaarden aan de verwerking van een nationaal identificatienummer mogen verbinden. Artikel 46, eerste lid, Uitvoeringswet AVG (hierna: UAVG) werkt artikel 87 AVG nader uit en bepaalt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven slechts mag worden gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Hieraan kan in andere wetten invulling worden gegeven. Voor het gebruik van het BSN voor de zorgsector geldt de Wabvpz, waaraan met dit wetsvoorstel een bepaling wordt toegevoegd zodat ook het BSN van een wettelijk vertegenwoordiger en gemachtigde mag worden verwerkt.

Het doel van deze verwerking is authenticatie en autorisatie van de wettelijk vertegenwoordiger of gemachtigde. De verwerking van het BSN van de wettelijk vertegenwoordiger of gemachtigde door de zorgaanbieder is noodzakelijk omdat het medisch dossier bijzondere persoonsgegevens bevat. Dit zijn gevoelige gegevens waar zorgvuldig mee moet worden omgegaan. Alleen personen die daartoe bevoegd zijn, mogen toegang krijgen tot deze gegevens. Het vaststellen van de identiteit en bevoegdheid van de wettelijke vertegenwoordiger of gemachtigde is noodzakelijk om te kunnen beoordelen of deze persoon toegang mag krijgen tot het dossier van de cliënt. De zorgaanbieder kan daarbij gebruik maken van een centrale vertegenwoordigingsvoorziening als bedoeld in het Besluit verwerking persoonsgegevens generieke digitale infrastructuur (op moment van schrijven deze toelichting is dat DigiD Machtigen). De centrale vertegenwoordigingsvoorzieningen zijn onderdeel van authenticatie en autorisatie op het juiste betrouwbaarheidsniveau, conform de eIDAS-verordening en de wet digitale overheid. Dit houdt onder andere in dat zij werken op basis van het BSN en het BSN van de wettelijke vertegenwoordiger of gemachtigde aan de zorgaanbieder teruggeven. Indien de zorgaanbieder gebruik maakt van de centrale vertegenwoordigingsvoorzieningen moet de zorgaanbieder het BSN van de wettelijke vertegenwoordiger of gemachtigde dus verwerken.

Er is tevens voldaan aan de vereisten van proportionaliteit en subsidiariteit. De inbreuk die op de privacy van de wettelijke vertegenwoordiger of gemachtigde wordt gemaakt bij het verwerken van diens BSN staat in verhouding tot het belang van authenticatie en autorisatie ten behoeve van het beschermen van de privacy van de cliënt. Door middel van authenticatie en autorisatie wordt namelijk geborgd dat alleen daartoe bevoegde personen toegang krijgen tot het medisch dossier van de cliënt. Hierbij speelt mee dat het BSN door de zorgaanbieder niet verder wordt gebruikt dan noodzakelijk voor authenticatie en autorisatie van de wettelijke vertegenwoordiger of gemachtigde. Een minder ingrijpend alternatief met dezelfde zekerheid over identiteit en bevoegdheid is niet voorhanden. Hierdoor bieden veel zorgaanbieders op dit moment geen toegang voor wettelijke vertegenwoordigers of gemachtigden, worden eigen, niet bronregisters, gebruikt of gebruiken vertegenwoordigers de inloggegevens van de cliënt. Dit is uiteraard ongewenst, omdat er dan een beperkte of helemaal geen controle is op de bevoegdheid van een vertegenwoordiger.

3.4.3 Inzagerecht VN-Subcomité en het Europese Comité tegen foltering (Artikel II, V en VI)

De inzage door de comités in de dossiers van personen die door de overheid van hun vrijheid zijn beroofd valt buiten de reikwijdte van de AVG. De inzage betreft een verwerking van persoonsgegevens die wordt beheerst door het recht van de Verenigde Naties respectievelijk het recht van de Raad van Europa en valt buiten de werkingssfeer van het EU-recht.

Het verlenen van medewerking aan de bevoegdheid van de comités betreft wel een gegevensverwerking in de zin van de AVG. Het verlenen van medewerking bestaat eruit dat desgevraagd inzage wordt verleend in de dossiers van personen die door de overheid van hun vrijheid zijn beroofd. Het inzage verlenen betreft in termen van het gegevensbeschermingsrecht de doorgifte van de desbetreffende persoonsgegevens aan een internationale organisatie in de zin van Hoofdstuk V AVG. Deze verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Daarmee is er voor de verwerking een grondslag als bedoeld in artikel 6 AVG, namelijk artikel 6, eerste lid, onderdeel c, AVG. Het betreft hier een bijzondere categorie van persoonsgegevens omdat het gaat om gegevens betreffende de gezondheid. Op grond van artikel 9, eerste lid, AVG is de verwerking van bijzondere categorieën van persoonsgegevens, waaronder gegevens over gezondheid, verboden tenzij een van de in artikel 9, tweede lid, genoemde uitzondering van toepassing is. In dit geval is op de gegevensverwerking artikel 9, tweede lid, aanhef en onder g, AVG van toepassing, inhoudende dat de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang. Dit wordt hierna toegelicht.

Het voorkomen van folteringen en onmenselijke of vernederende behandelingen of bestraffingen is van zwaarwegend algemeen belang, het betreft namelijk de naleving van internationale verplichtingen, die bovendien zien op het respecteren van grondrechten van personen van wie door de overheid de vrijheid is ontnomen. Nederland heeft het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing (New York, 18 december 2002, Trb. 2005, 243) geratificeerd en ook het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107). Daarmee heeft Nederland zich verplicht de werkzaamheden van de comités mogelijk te maken. Om na te kunnen gaan of personen van wie de vrijheid door de overheid is ontnomen te maken hebben met foltering of onmenselijke of vernederende behandeling, is het, zoals in hoofdstuk 2.4 is toegelicht, noodzakelijk dat de comités inzage te kunnen hebben in de medische dossiers van deze personen en dat zij toegang hebben tot plaatsen waar personen verblijven van wie de vrijheid door de overheid is ontnomen.

Inzage in medische dossiers van personen van wie door de overheid de vrijheid is ontnomen, is een inbreuk op de persoonlijke levenssfeer van de betrokkenen. Het gaat daarbij bovendien om gegevens omtrent de gezondheid. Indien het gaat om personen die op strafrechtelijke titel de vrijheid is ontnomen, krijgen de comités ook persoonsgegevens betreffende strafrechtelijke veroordelingen onder ogen.

De gegevensverwerking is proportioneel, nu deze een zwaarwegend belang dient, namelijk het voorkomen van foltering of onmenselijke of vernederende behandeling of bestraffing. Dit is een fundamenteel mensenrecht. Zoals reeds uiteengezet betreft het hier ook de naleving van internationale verplichtingen.

De leden van de comités kunnen slechts van de bevoegdheden tot inzage gebruik maken voor zover het gaat om personen die vallen onder de werking van de genoemde verdragen. Zij maken van deze bevoegdheden slechts gebruik voor zover dit redelijkerwijs nodig is voor hun uit het desbetreffende verdrag voortvloeiende taak.

Het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing geratificeerd en ook het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen, zoals gewijzigd door Protocol 1 en Protocol 2 bevatten waarborgen die de comités in acht nemen bij de uitvoering van hun taken.

Artikel 2 van het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing bepaalt onder meer dat het Subcomité zich laat leiden door het beginsel van vertrouwelijkheid. Artikel 16 van dit verdrag bevat verder de bepaling dat persoonsgegevens niet worden gepubliceerd zonder toestemming van de betrokkene.

Artikel 11, eerste en derde lid, van het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen, zoals gewijzigd door Protocol 1 en Protocol 2 bevatten waarborgen over de vertrouwelijkheid van de door het Comité verzamelde inlichtingen en bevat de bepaling dat geen persoonlijke gegevens openbaar gemaakt mogen worden zonder de uitdrukkelijke toestemming van de betrokken persoon. Artikel 13 van dit Verdrag bevat een geheimhoudingsverplichting voor leden van het Comité en voor de deskundigen en andere personen die het Comité bijstaan.

Daarbij volgt uit de voorgestelde wijziging dat het Comité en het Subcomité geen kopieën mogen maken van de dossiers, enkel het recht op inzage is geregeld.

Vanwege het bestaan van deze waarborgen is de inbreuk op de persoonlijke levenssfeer in verhouding met het beoogde (zwaarwegende) doel en daarmee proportioneel. Zoals bleek uit paragraaf 2.3 is de verwerkingsgrondslag niet wenselijk, maar ook niet juridisch toereikend om de gevraagde inzage in de medische dossiers te krijgen. De verwerkingsgrondslag toestemming, zoals is vastgelegd in de AVG en WGBO, dient vrij en ondubbelzinnig te zijn gegeven. De persoon die toestemming dient te geven voor inzage in zijn dossier heeft, binnen de context van het inzagerecht voor de comités tegen foltering, een grote afhankelijkheidsrelatie naar zijn arts of bewaarders. Bovendien gaat het veelal om een groep kwetsbare personen waarmee men voorzichtig moet omgaan voordat men toestemming kan aannemen. Zeker waar het gaat om een onderzoek naar foltering, vormt toestemming geen rechtmatige verwerkingsgrondslag, vanwege de vereiste ervaren vrijheid waarbinnen de persoon de toestemming dient te moeten geven, voordat deze rechtsgeldig is. Het enkele feit dat er sprake is van een grote afhankelijkheidsrelatie is al voldoende om de grondslag toestemming te weerleggen als een redelijke alternatieve verwerkingsgrondslag.

De verwerkingsdoeleinden kunnen niet op een andere voor de betrokkene minder nadelige wijze worden verwezenlijkt. De leden van de comités moeten namelijk onafhankelijk van nationale autoriteiten een eigen onderzoek kunnen doen naar het voorkomen van folteringen en onmenselijke of vernederende behandelingen of bestraffingen. Zij mogen daarbij niet afhankelijk zijn van een selectie die door de nationale autoriteiten gemaakt zou kunnen worden. Dit is hierboven reeds in hoofdstuk 2.4 toegelicht.

Op de doorgifte van persoonsgegevens aan een internationale organisatie zijn de bepalingen uit hoofdstuk V, AVG van toepassing, meer in het bijzonder artikel 49. Er is voldaan aan de voorwaarde, genoemd in het eerste lid, aanhef en onder d, van die bepaling, omdat er sprake is van een gewichtige redenen van algemeen belang. Deze bestaan eruit dat voorzien wordt in de uitvoering van verplichtingen op grond van het internationale recht. Dit is reeds hierboven toegelicht. Ook het voorkomen van foltering of onmenselijke of vernederende behandeling of bestraffing van personen van wie de vrijheid door de overheid is ontnomen, is een gewichtige reden van algemeen belang. De leden van de comités kunnen slechts van deze bevoegdheden gebruik maken voor zover het gaat om personen die vallen onder de werking van de genoemde verdragen. Zij maken van deze bevoegdheden slechts gebruik voor zover dit redelijkerwijs nodig is voor hun uit het desbetreffende verdrag voortvloeiende taak.

Overigens gelden voor het Comité dat deze valt onder een interne verordening voor de bescherming van persoonsgegevens van de Raad van Europa, te weten: de Data Protection Regulation of the Council of Europe. Voor wat betreft het Subcomité geldt dat de VN intern gerichte Principles on Personal Data Protection and Privacy heeft opgesteld.

3.4.4 Vektis (Artikel III en VII)

Zorgverzekeraars en Wlz-uitvoerders hebben vanwege hun wettelijke taken toegang tot declaratiedata van verzekerden. Vektis fungeert als verwerker voor hen en beheert een database met verzekerden- en declaratiedata van individuele zorgverzekeraars. De Minister van VWS heeft rapportages nodig van zorgverzekeraars en Wlz-uitvoerders om beleid te kunnen ontwikkelen. Zoals beschreven in paragraaf 2.4 is de voorgestelde verwerkingsgrondslag noodzakelijk voor het zwaarwegend algemeen belang, alsook voor het beheer van de Zvw- en Wlz-zorgstelsels. Ook ten behoeve van de onder de verantwoordelijkheid van VWS vallende agentschappen, verwerkt Vektis namens de zorgverzekeraars en Wlz-uitvoerders bijzondere persoonsgegevens. Deze informatie is geaggregeerd en niet tot verzekerden of zorgaanbieders of organisaties herleidbaar. Om tot bovenbedoelde geaggregeerde gegevens te komen is het noodzakelijk dat zorgverzekeraars en Wlz-uitvoerders (en daarmee Vektis) gegevens mogen verwerken voor beleidsmatige doeleinden en een grondslag hebben om de benodigde gegevens te kunnen anonimiseren. Aangezien het hier gaat om geaggregeerde gegevens, dus geen herleidbare gegevens naar natuurlijke personen en er zodoende geen sprake is van persoonsgegevens, vindt er door de Minister van VWS geen inbreuk plaats in de persoonlijke levenssfeer van burgers. Het aggregeren van de persoonsgegevens is op zichzelf een waarborg om de privacy van betrokkenen in voldoende mate te beschermen.

De op grond van de AVG vereiste wettelijke grondslag voor de genoemde verwerkingen ontbreekt in de Zvw en de Wlz (behalve voor de risicoverevening). Voor de uitzonderingen op het verwerkingsverbod van bijzondere persoonsgegevens, komen voor dit onderdeel verschillende uitzonderingsgronden uit artikel 9 AVG in aanmerking (dit is afhankelijk van de reden van het vragen naar de rapportages). Dit wetsvoorstel voorziet in deze wettelijke grondslag.

3.4.5 Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV)

De AVG gaat over het rechtmatig omgaan met persoonsgegevens. In artikel 17, eerste lid, onderdeel a, AVG staat dat persoonsgegevens niet langer mogen worden bewaard dan nodig is voor de doeleinden waarvoor zij zijn verzameld of anderszins worden verwerkt. Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan.

Op dit moment bewaren het CAK en de SVB persoonsgegevens die zij verwerken op grond van artikel 5.1.3 en 5.1.4 Wmo 2015 vijftien jaar. Voor het uitvoeren van hun taken is het echter niet noodzakelijk om deze gegevens vijftien jaar te bewaren. Daarom wordt met onderhavig wetsvoorstel de bewaartermijn gewijzigd naar zeven jaar. Door deze aanpassing is de bewaartermijn voor het CAK en de SVB van persoonsgegevens op grond van de Wmo 2015 meer in lijn met het uitgangspunt van de AVG.

3.5 Beroepsgeheim

Er zijn in dit wetsvoorstel geen onderdelen die een nieuwe grondslag bieden voor het doorbreken van het (medisch) beroepsgeheim.

3.6 Caribisch Nederland

Dit wetsvoorstel heeft voor verschillende onderdelen gevolgen voor Caribisch Nederland. Deze worden hieronder beschreven.

• Handhavingsmogelijkheden IGJ in de Wabvpz

De Wabvpz is niet van toepassing op Caribisch Nederland. Voorts is het gebruik van het BSN door zorgaanbieders aldaar niet verplicht. Er zodoende geen noodzaak om de in de Wabvpz voorgestelde wijzigingen ook voor Caribisch Nederland van toepassing te verklaren.

• Verwerken van het BSN van vertegenwoordigers en gemachtigden door zorgaanbieders

Het verwerken van het BSN van vertegenwoordigers en gemachtigden door zorgaanbieders, heeft geen gevolgen voor Caribisch Nederland, omdat voor Caribisch Nederland een andere context en andere wet- en regelgeving geldt dan voor Europees Nederland. De regelgeving over het BSN en de voorzieningen van de digitale overheid, zoals DigiD, geldt op dit moment enkel voor Europees Nederland. Het Wetsvoorstel invoering Burgerservicenummer en voorzieningen digitale overheid voor inwoners van Bonaire, Sint Eustatius en Saba beoogd om deze regelgeving ook in Caribisch Nederland in te voeren. Dit wetsvoorstel zal ook gevolgen hebben voor de gegevensverwerking in de zorg. De mogelijkheden voor implementatie van een elektronisch patiëntendossier in Caribisch Nederland worden momenteel onderzocht.9

• Vektis

In het onderdeel dat ziet op Vektis wordt opgemerkt dat zorgverzekeraars en Wlz-uitvoerders beschikken over declaratiedata van hun verzekerden als gevolg van hun wettelijke taken. De Zvw en Wlz zijn niet van toepassing op Caribisch Nederland. Zodoende heeft de wijziging ten aanzien van Vektis geen gevolgen voor Caribisch Nederland. Aangezien de Zvw niet op Caribisch Nederland van toepassing is, heeft dit onderdeel daarvoor geen gevolgen.

• Bewaartermijnen van gegevens Wmo-cliënten

Ten aanzien van maatschappelijke ondersteuning is er voor Caribisch Nederland (nog) geen wettelijk kader. De regering is wel voornemens om voor Caribisch Nederland maatschappelijke ondersteuning te regelen via een algemene maatregel van bestuur (het Besluit maatschappelijke ondersteuning en bestrijding huiselijk geweld en kindermishandeling BES). Dit ontwerpbesluit sluit zoveel mogelijk aan bij de Wmo 2015, ook voor wat betreft de bewaartermijn.

4. Verhouding tot nationale wetgeving

De invloed van de wijzigingen op de bestaande wetgeving is voor de verschillende onderdelen toegelicht in hoofdstuk 2. Het wetsvoorstel heeft geen gevolgen voor andere (in voorbereiding zijnde) regelingen.

5. Gegevensbeschermingseffectbeoordeling (DPIA)

5.1 Inleiding

Gezien de aard van dit wetsvoorstel is hierop een DPIA uitgevoerd. Met behulp hiervan is de noodzaak onderzocht van de voorgenomen verwerking van persoonsgegevens en zijn op gestructureerde wijze de gevolgen en risico’s van de gegevensverwerkingen voor de rechten en vrijheden van betrokkenen in kaart gebracht.

Dit voorstel regelt een uitbreiding van de bestaande gegevensverwerking, waarbij onder andere gegevens over minderjarigen en gegevens betreffende de gezondheid worden verwerkt. Het risico is dat er meer gegevens worden uitgewisseld dan noodzakelijk en dat de privacy van de betrokkenen onnodig wordt beperkt. Deze risico’s worden ondervangen door:

• • expliciet in de wet te benoemen welke gegevens er worden uitgewisseld;

• • het in de wet benoemen van het doel waarvoor deze gegevens door de gemeente mogen worden gebruikt;

• • technische en organisatorische maatregelen bij het IB en gemeenten ter beveiliging van de persoonsgegevens;

• • ondersteuning aan gemeenten bij het borgen van de privacy in de uitvoering.

5.2 Ondersteuning gemeenten bij borging privacy en gegevensuitwisseling

Voor het beperken van risico’s in de uitvoering is het de eerste verantwoordelijkheid van gemeenten en andere organisaties om mede op grond van de Wmo 2015, de Wlz en de AVG de persoonlijke levenssfeer van de burgers te waarborgen. Zo zijn gemeenten, net als andere organisaties, op basis van de AVG verplicht om nieuwe risicovolle werkprocessen vooraf te beoordelen op risico’s voor de privacy van de betrokkenen, dan wel om bestaande risicovolle werkprocessen periodiek door te lichten. Gemeenten kunnen hierbij gebruik maken van ondersteuning door de VNG en andere partijen.

Bij de VNG bestaat sinds de invoering van de AVG veel en permanente aandacht voor een zorgvuldige omgang met persoonsgegevens en het borgen van privacy door gemeenten, met name in het sociaal domein. Binnen de VNG lopen verschillende programma’s die de privacy van burgers (kunnen) raken.

De Informatiebeveiligingsdienst (hierna: IBD) van de VNG richt zich mede op de uitvoeringspraktijk inzake privacy en adviseert gemeenten daarover. De IBD biedt structurele ondersteuning aan gemeenten op het gebied van informatiebeveiliging en privacy, geeft regelmatig kennisproducten uit en faciliteert kennisdeling tussen gemeenten onderling, met andere overheidslagen en met leveranciers. De IBD investeert, waar nodig, al stevig in het aanbieden van handreikingen, model-documenten, kennisproducten, webinars, bijeenkomsten en het beheer van de Baseline Informatiebeveiliging Overheid (BIO). Alle Nederlandse gemeenten kunnen gebruik maken van de producten en de generieke dienstverlening van de IBD. De IBD ondersteunt gemeenten niet alleen bij praktische privacy vragen, maar helpt de FG’s ook met hun positionering binnen de gemeentelijke organisatie. Daarnaast heeft de IBD regelmatig overleg met de Autoriteit Persoonsgegevens. Dit overleg draagt bij aan de onderlinge uitwisseling van kennis en ontwikkelingen.

6. Gevolgen (m.u.v. financiële gevolgen)

6.1 Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C)

De IGJ verkrijgt met het wetsvoorstel de expliciete bevoegdheid om toe te zien op naleving van de Wabvpz. In de praktijk hield de IGJ al toezicht op de Wabvpz, maar enkel in relatie tot artikel 2 Wkkgz. Voor burgers, bedrijven en zorgaanbieders levert het overheidsingrijpen geen (administratieve) lasten op. De wettelijke verplichtingen uit de Wabvpz blijven immers onveranderd.

6.2 Verwerken BSN van vertegenwoordigers en gemachtigden door zorgaanbieders (Artikel I, onderdeel B)

De grondslag voor het verwerken van het BSN van een wettelijk vertegenwoordiger of gemachtigde van een cliënt heeft geen verdere gevolgen voor zorgaanbieders. Mogelijk heeft het gebruik van de vertegenwoordigingsvoorziening implementatiegevolgen, echter dit is het gevolg van de keuze van het gebruik van deze voorziening en niet van de grondslag voor het verwerken van het BSN van een wettelijk vertegenwoordiger of gemachtigde.

6.3 Inzagerecht VN-Subcomité en het Europese Comité tegen foltering (Artikel II, V en VI)

Als gevolg van dit wetsvoorstel kunnen de genoemde comités bij een bezoek aan Nederland toegang krijgen tot de medische dossiers van personen die op last van de overheid van hun vrijheid zijn beroofd. De comités kunnen deze inzage gebruiken om te controleren of deze personen te maken krijgen met foltering of onmenselijke of vernederende behandeling of bestraffingen. De gevolgen voor personen van wie de vrijheid door de overheid is ontnomen, zijn reeds toegelicht.

6.4 Vektis (Artikel III en VII)

Er zijn geen gevolgen voor burgers, bedrijven, zorgaanbieders, handhaving en overheden van deze wetswijziging. Het voorstel is om zorgverzekeraars en Wlz-uitvoerders gegevens te laten verwerken voor beleidsmatige doeleinden en een grondslag toe te voegen om de benodigde informatie te anonimiseren. Hierdoor wordt de inbreuk op de privacy geminimaliseerd.

6.5 Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV)

Voor burgers betekent het aanpassen van de bewaartermijn dat hun persoonsgegevens minder lang worden bewaard, wat in overeenstemming is met de AVG. Hierdoor wordt de privacy van burgers beter geborgd. Voor zorgaanbieders heeft de wijziging geen gevolgen. Ook voor de rijksoverheid en de gemeenten zijn er geen gevolgen.

7. Uitvoering

Het merendeel van dit wetsvoorstel creëert een wettelijke grondslag voor gegevensverwerking, maar leidt niet tot een wijziging van taken of een wijziging in de uitvoering. Op de onderwerpen in dit wetsvoorstel die relevante gevolgen hebben voor de uitvoering, twee in totaal, wordt in het hiernavolgende ingegaan.

• Onderdeel 1: Toevoegen handhavingsmogelijkheden IGJ

De IGJ verkrijgt met het wetsvoorstel de expliciete bevoegdheid om toe te zien op naleving van de Wabvpz10. In de praktijk hield de IGJ al indirect toezicht op de Wabvpz, in gevallen dat er een relatie was met artikel 2 Wkkgz. Omdat er slechts sprake is van een explicitering van een bevoegdheid, hoeft IGJ zijn toezicht en/of systemen niet aan te passen. Om die reden worden geen extra lasten of problemen in de uitvoering verwacht.

• Onderdeel 5: Bewaartermijn van gegevens van Wmo-cliënten verkorten

Bij de inwerkingtreding van de wet moeten de SVB en het CAK eenmalig meer gegevens verwijderen, omdat de nieuwe bewaartermijn zal gelden voor alle dossiers. Dit betekent dat dossiers die op het moment van inwerkingtreding van onderhavig wetsvoorstel al meer dan zeven jaar zijn bewaard, allemaal moeten worden verwijderd. Hiervoor moet een proces worden ingericht. Naar verwachting van het CAK en de SVB wordt dit een grotendeels geautomatiseerd proces, waardoor met name het inrichten van het proces werk kost. Het gaat bovendien om relatief kleine aantallen, omdat de Wmo 2015 en de Jeugdwet in 2015 in werking zijn getreden. Pas vanaf 2022 zijn er dus dossiers die langer dan zeven jaar zijn bewaard. De SVB heeft een uitvoeringstoets uitgevoerd om de gevolgen van het verkorten van de bewaartermijn van vijftien naar zeven jaar in kaart te brengen. Daarin komt de SVB tot het oordeel dat het verkorten van de bewaartermijn uitvoerbaar is. Het benodigde vernietigingsproces, dat momenteel in ontwikkeling is en waarbij voor verschillende applicaties en landschappen een functionaliteit voor vernietiging moet worden ingericht, is naar verwachting gereed voor de beoogde ingangsdatum van de wijziging. Het verkorten van de bewaartermijn vraagt naar verwachting geen extra capaciteit, en heeft naar verwachting geen gevolgen voor de uitvoeringskosten. Ten slotte heeft de wijziging ook geen gevolgen voor de regeldruk. Ook het CAK is bezig met het inrichten van processen gericht op het verwijderen van gegevens na afloop van de bewaartermijn.

8. Regeldruk

De onderdelen in dit wetsvoorstel zijn ter advies ingediend bij het Adviescollege toetsing regeldruk (hierna: ATR). De ATR heeft geadviseerd het wetsvoorstel in te dienen11. De voorgestelde wijzigingen leiden volgens de ATR tot minder (ervaren) regeldruk voor zorgaanbieders, patiënten en cliënten. Zij ziet geen reden tot nadere opmerkingen.

9. Toezicht en handhaving

Toezicht en handhaving op de verwerking van persoonsgegevens wordt – net als nu – uitgevoerd door de functionarissen gegevensbescherming en de AP. Als gegevens worden verwerkt in strijd met de privacyregels en de verwerkingsverantwoordelijke een klacht hierover niet oplost kan de betrokkene de interne toezichthouder – de functionaris gegevensbescherming – betrekken. Leidt dat niet tot een oplossing, dan kan een klacht in worden gediend bij de AP. Bij twijfel hierover kan de betrokkene de AP vooraf bellen via het gratis telefoonnummer 088 – 1805 250.

Verder is het college van burgemeester en wethouders op grond van de Wmo 2015 binnen gemeenten verantwoordelijk voor de juiste toepassing van de Wmo 2015. De controle op een juiste uitvoering van de Wmo 2015 door het college van burgemeester en wethouders ligt primair bij de gemeenteraad. Gemeenten krijgen door deze maatregel meer mogelijkheden op de handhaving van rechtmatige besteding van zorggelden.

Voorts valt er voor wat betreft onderdeel 2.1 van de toelichting, de volgende opmerking te maken. Het wetsvoorstel deelt de taak tot bestuursrechtelijke handhaving toe aan de Minister. De Minister zal de handhaving veelal mandateren aan de instantie die belast is met het toezicht, de IGJ. De IGJ is namelijk gespecialiseerd in en heeft veel ervaring met het toezicht houden op zorgaanbieders.

Naast de IGJ is ook de AP toezichthouder op deze wet. De AP heeft namelijk ingevolge artikel 57 AVG en artikel 6, derde lid, UAVG tot taak toe te zien op de verwerking van persoonsgegevens overeenkomstig deze verordening en wet. Een aantal bepalingen in Wabvpz hebben betrekking op de verwerking van persoonsgegevens. Dit brengt dus met zich mee dat ten aanzien van die bepalingen de IGJ en de AP beide bevoegd zijn om toezicht te houden. Hierover hebben de IGJ en AP werkafspraken gemaakt. Ten slotte houdt de Nederlandse Zorgautoriteit (NZa) op grond van de Wabvpz toezicht op zorgverzekeraars. Voor deze organisatie verandert er niets aan haar taken of bevoegdheden.

Tot slot wordt met de voorgestelde bepaling voor het Inzagerecht VN-Subcomité en het Europese Comité tegen foltering (hierna: CPT) voorzien in de naleving van verplichtingen op grond van het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing en het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen.

10. Financiële gevolgen

De meeste onderdelen van het wetsvoorstel beogen de grondslagen bij bestaande taken aan te vullen of te verduidelijken. Op de onderwerpen die in dit wetsvoorstel zijn geregeld worden geen negatieve financiële gevolgen verwacht.

11. Advies en consultatie

11.1 Internetconsulatie

Dit wetsvoorstel is op 18 januari 2023 aangeboden voor internetconsultatie. In deze periode kregen burgers en organisaties de mogelijkheid om te reageren op de verschillende onderdelen uit het wetsvoorstel en de bijbehorende memorie van toelichting. De internetconsultatie eindigde op 16 maart 2023. Er zijn in deze periode 27 reacties binnengekomen.12 Naast wat algemene opmerkingen over het wetsvoorstel hadden de reacties vooral betrekking op vijf onderdelen uit het toen bestaande wetsvoorstel. Vier zijn uit dit wetsvoorstel gehaald en zullen worden besproken in het wetsvoorstel Verzamelwet gegevensverwerking VWS II.b. Het vijfde onderwerp zag op het aanwijzen van een NCPeH. Dit onderwerp is geschrapt wordt ook niet opgenomen in de Verzamelwet gegevensverwerking VWS II.b. Om die reden wordt dat onderwerp hieronder beschreven:

Het aanwijzen van een NCPeH.

Een NCPeH is een nationaal knooppunt dat als communicatiepoort fungeert tussen de zorginformatiestelsels van EU-lidstaten en daarmee zorggegevens digitaal beschikbaar stelt voor de levering van zorg. Op deze wijze worden de nationale zorginformatiestelsels zoveel mogelijk ongemoeid gelaten, maar biedt het de mogelijkheid om ondanks de nationale verschillen tussen de nationale zorgstelsels zorggegevens grensoverschrijdend beschikbaar te maken zodat kwalitatief goede en tijdige zorg kan worden verleend. De gedachte hierachter is dat van iedere burger door een zorgaanbieder in de EU zijn of haar zorggegevens kunnen worden opgevraagd, zodat snelle en effectieve zorg kan worden geleverd.

Op basis van de reacties uit de internetconsultatie en de uitvoeringstoets van de AP (zie paragraaf 11.2) is besloten om dit onderdeel uit dit wetsvoorstel te halen en in een separaat wetsvoorstel onder te brengen. In datzelfde wetsvoorstel wordt dan ook antwoord gegeven op de reacties die in deze internetconsultatie op dit onderdeel zijn binnengekomen.

11.2 Uitvoeringstoetsen

11.2.1 Toets Autoriteit Persoonsgegevens (AP)

De AP heeft op 17 oktober 2023 advies uitgebracht op het wetsvoorstel13. De AP heeft op een drietal onderdelen bezwaar gemaakt. Dit zijn in alle drie de gevallen onderwerpen die uit dit wetsvoorstel zijn gehaald en zullen worden ondergebracht in de Verzamelwet gegevensverwerking VWS II.b. Daarnaast maakte de AP bij een viertal onderdelen opmerkingen. Twee van deze onderwerpen zullen eveneens in de Verzamelwet gegevensverwerking VWS II.b worden ondergebracht. De resterende twee onderwerpen zijn:

• 1) Het toevoegen handhavingsmogelijkheden IGJ;

• 2) Het aanwijzen van een NCPeH.

Alleen onderwerp 1 wordt nog in dit wetsvoorstel behandeld. Onderwerp 2 is komen te vervallen. Beide onderwerpen zullen hieronder worden uiteengezet.

1) Toevoegen handhavingsmogelijkheden IGJ

Voor dit onderdeel, dat strekt tot het toezicht en handhavingsbevoegdheden van de IGJ op de Wabvpz, heeft de AP geadviseerd in de memorie van toelichting nader te onderbouwen waarom het huidige instrumentarium van de AP en de IGJ niet voldoende is. Volgens de AP leidt dit voorstel tot een doublure op het gebied van handhaving. Ten aanzien van de reactie wordt het volgende opgemerkt. Dit onderdeel leidt niet tot een doublure van handhavingsbevoegdheden, maar tot een vereenvoudiging van handhaving door de IGJ op de Wabvpz. Naar aanleiding van de reactie van de AP is de memorie van toelichting 2.1 aangepast. In deze aanpassing is het belang van de explicitering van het instrumentarium van de IGJ is verduidelijkt. Op dit moment heeft de IGJ geen specifieke formele handhavingsbevoegdheden op grond van de Wabvpz, maar dient gehandhaafd te worden over de band van de Wkkgz. Het daarbij horende formele handhavingsinstrumentarium dient samen te hangen met een schending van artikel 2 Wkkgz, de norm op goede zorg. De IGJ dient bij formeel handhavend optreden tegen een overtreding van de Wabvpz ten alle tijden te motiveren waarom dit een schending is van de normen voor goede zorgverlening. Deze omslachtige motiveringsverplichting wordt door dit voorstel weggenomen. Zodoende kan de IGJ in de toekomst handhaven als de in het voorstel aangewezen overtredingen plaatsvinden op grond van de formele instrumenten die in de Wabvpz zijn opgenomen.

2) Het aanwijzen van een NCPeH (uit dit wetsvoorstel geschrapt)

De AP adviseert in overweging te nemen of dit onderdeel niet in een apart wetsontwerp zou moeten worden geregeld. Het betreft hier namelijk een vergaande verwerkingsgrondslag die mogelijk raakvlakken heeft met aankomende Europese wetgeving, namelijk de European Health Data Space.

11.2.2 Gevolgen naar aanleiding van het AP-advies

Zoals blijkt uit paragraaf 11.2.1 wordt enkel het onderdeel dat ziet op het toevoegen van handhavingsmogelijkheden voor de IGJ (onderdeel 1, Artikel I, onderdeel A en C) nog behandeld in dit wetsvoorstel. De memorie van toelichting is aangevuld om tegemoet te komen aan de vragen van de AP. De overige onderwerpen zijn uit dit wetsvoorstel gehaald en worden ondergebracht in separate wetgeving.

ARTIKELSGEWIJZE TOELICHTING

Artikel I

Onderdeel A

Bij de begripsbepalingen wordt de inspectie gedefinieerd. Dit was voorheen nog niet gebeurd, omdat de wet nog geen expliciete handhavingsinstrumenten kende waarmee de IGJ toezicht kon houden. Zodoende is er nog geen noodzaak geweest voor het benoemen van de IGJ.

Onderdeel B

In het eerste lid (nieuw) van artikel 4 van de Wabvpz wordt het woord «gebruikt» vervangen door «verwerkt», omdat dit de gebruikelijke term is wanneer het gaat over gegevensverwerking bij de AVG.

Daarnaast wordt aan artikel 4 van de Wabvpz een lid toegevoegd zodat zorgaanbieders het BSN van een wettelijke vertegenwoordiger of gemachtigde van een cliënt die inzage krijgt in het dossier van deze cliënt mogen verwerken voor zover dat noodzakelijk is voor het vaststellen van de identiteit en bevoegdheid van de vertegenwoordiger of gemachtigde. Het verwerken van het BSN van de wettelijke vertegenwoordiger of gemachtigde is noodzakelijk voor authenticatie en autorisatie als gebruik wordt gemaakt van een centrale vertegenwoordigingsvoorziening als bedoeld in het Besluit verwerking persoonsgegevens generieke digitale infrastructuur. Een centrale vertegenwoordigingsvoorziening geeft als identificerend gegeven enkel het BSN van de wettelijk vertegenwoordiger of gemachtigde terug aan de gebruiker, ook wel de zorgaanbieder, omdat op die manier met zekerheid kan worden gecontroleerd of een toegang rechtsgeldig is geweest.

Onderdeel B, onder 2, regelt dat een zorgkantoor aan het college gegevens over de leveringsvorm van de Wlz-zorg verstrekt van een Wlz-verzekerde die deze zorg ontvangt of heeft ontvangen. Het gaat daarbij ook om gegevens over de ingangsdatum en datum van beëindiging van de zorg. Verstrekking van deze (bijzondere) persoonsgegevens vindt slechts plaats met het doel dubbele verstrekkingen te voorkomen.

Onderdeel C

Met dit onderdeel wordt een nieuw hoofdstuk over toezicht en handhaving aan de Wabvpz toegevoegd.

Artikel #

In het nieuw te vormen artikel #, eerste lid, worden de ambtenaren van de Inspectie gezondheidszorg en jeugd belast met het toezicht op de Wabvpz. Net als thans onder de Wkkgz, houden zij toezicht ten aanzien van de onder toezichtstaanden. Dat betekent dat zij toezicht houden op instellingen en solistisch werkende zorgverleners. Het tweede lid biedt de toezichthouder de mogelijkheid om in de uitoefening van haar toezichtstaak uit het eerste lid inzage te krijgen in de (medische) dossiers van de cliënten.

Artikel #, derde lid, is net als in artikel 24 van de Wkkgz, opgenomen geregeld dat de Inspectie gezondheidszorg en jeugd in afwijking van artikel 5:20 van de Awb bevoegd is om dossiers in te kunnen zien. Op grond van artikel 7:457, eerste lid, BW en artikel 6, eerste lid, onder e, juncto artikel 9, tweede lid, onder g, AVG is voor doorbreking van het medisch beroepsgeheim respectievelijk de verwerking van bijzondere categorieën van persoonsgegevens een wettelijke grondslag vereist. Om die reden is, in afwijking van artikel 5:20, tweede lid, Awb de bevoegdheid voor de IGJ opgenomen om cliëntgegevens in te zien. Om de privacy van de cliënt te waarborgen zijn de ambtenaren van de Inspectie gezondheidszorg en jeugd gehouden aan een geheimhoudingsplicht ten aanzien van de cliëntgegevens.

De AP heeft ingevolge artikel 57 AVG en artikel 6, derde lid, Uitvoeringswet Algemene verordening gegevensbescherming tot taak toe te zien op de verwerking van persoonsgegevens overeenkomstig deze verordening en wet. Een aantal bepalingen in de Wabvpz hebben betrekking op verwerking van persoonsgegevens. Dit brengt met zich mee dat ten aanzien van die bepalingen de IGJ en de AP beide bevoegd zijn om toezicht te houden. Daar waar de AP toezicht houdt op de verwerking van persoonsgegevens van de cliënt in de uitvoering van deze wet geldt voor haar eveneens een geheimhoudingsplicht.

De IGJ is in beginsel niet verplicht om te handhaven indien handhaving in het desbetreffende concrete geval meer op het terrein ligt van de AP. Over deze terreinafbakening zullen de Autoriteit persoonsgegevens en de Inspectie gezondheidszorg en jeugd afspraken maken.

Artikel ##

Wanneer het gestelde in artikelen 4 tot en met 12, 15d, 15e, 15ea en 15j Wabvpz niet worden nagekomen dan is het mogelijk om aan de overtreder een last onder dwangsom of schriftelijke aanwijzing op te leggen om de overtreding te herstellen. Deze herstelmaatregel zal in de praktijk door de IGJ worden opgelegd. De IGJ geeft, indien zij handhaaft, met redenen omkleed aan op welke punten niet wordt nageleefd, welke maatregelen moeten worden en binnen welke termijn de overtreding dient te zijn hersteld. Dit volgt ook uit artikel 5:24 Awb.

Artikel ###

Wanneer de opsporingsambtenaar een situatie tegenkomt dat een acuut gevaar oplevert voor de veiligheid of gezondheid van de cliënt kan hij een schriftelijk bevel geven. Dit bevel dient te worden opgevolgd om herstel van de gewenste situatie te bewerkstelligen, het gevaar langer voor te laten duren en nieuwe overtredingen te voorkomen. Indien het bevel niet wordt opgevolgd kan er een strafsanctie volgen.

Artikel ####

Indien de IGJ bij de uitoefening van haar toezichtstaak op grond van deze wet onvoldoende gegevens heeft om deze taak voldoende adequaat uit te voeren, kan zij aan de AP nadere informatie opvragen. Onder inlichtingen en gegevens wordt uitdrukkelijk geen bijzondere persoonsgegevens bedoeld als onder de AVG.

Artikel II

De huidige uitzondering van artikel 1, vijfde lid, Wkkgz ziet met name op de afwijkende bepalingen omtrent de geschillen en klachtenprocedure in justitiële setting. Het uitgangspunt blijft dat de eisen uit de reguliere zorgwetgeving zoveel mogelijk van toepassing zijn binnen de justitiële setting. Om misverstanden te voorkomen, wordt geëxpliciteerd dat de uitzonderingsbepaling van artikel 1, vijfde lid, Wkkgz niet op de bevoegdheid tot inzage door de comités van toepassing is.

Artikel II, onderdeel B, ziet op de bevoegdheid tot inzage door leden van de comités. Zij hebben deze bevoegdheid ten aanzien van alle personen die door de overheid van hun vrijheid zijn beroofd.

De bevoegdheid tot inzage van de Comités gaat niet verder dan ter uitvoering van hun taken op basis van het verdrag. De leden van de Comités krijgen het recht op inzage voor in de (medische) dossiers van personen die vallen onder de werking van de verdragen, maar alleen en voor zover deze inzage noodzakelijk is om vast te stellen of er sprake kan zijn foltering of onmenselijke of vernederende behandelingen.

Artikel III

De voorgestelde wijziging van artikel 9.2.1 Wlz houdt in dat het artikel niet meer ziet op de informatieverstrekking door Wlz-uitvoerders aan de Minister voor Langdurige Zorg en Sport (hierna: LZS). Het voorgestelde artikel 9.2.2 Wlz voorziet namelijk in een specifieke regeling voor de verstrekking door Wlz-uitvoerders van beleidsinformatie door Wlz-uitvoerders aan de Minister voor LZS.

Artikel IV

Aan artikel 5.3.4 Wmo 2015 wordt een lid toegevoegd waarin is bepaald dat de bewaartermijn voor gegevens die het CAK en de SVB op grond van de Wmo 2015 met betrekking tot een betrokkene onder zich hebben zeven jaar is. Dit is een wijziging van het huidige artikel 5.3.4, eerste lid, Wmo 2015 waarin nu nog een bewaartermijn van vijftien jaar staat. Door de wijziging is de bewaartermijn voor beide instanties meer in lijn met het uitgangspunt ten aanzien van opslagbeperking zoals dit is opgenomen in artikel 5, eerste lid, onderdeel e, AVG.

Artikel V en VI

Zorg in de zin van de Wkkgz omvat ook zorg die gegeven wordt op basis van de Wzd en de Wvggz. Het recht op toegang tot locaties waar personen die van hun vrijheid zijn beroofd zorg ontvangen, is overgeheveld naar de Wkkgz. Er is daarom geen afzonderlijke grondslag meer nodig in deze afzonderlijke wetten en de betreffende bepalingen kunnen vervallen.

Artikel VII

Het eerste lid van het voorgestelde artikel 89a Zvw bevat de verplichting voor een zorgverzekeraar om aan de Minister van Volksgezondheid, Welzijn en Sport, verzochte informatie ten behoeve van het te voeren beleid op het gebied van de volksgezondheid. Het eerste lid van het voorgestelde artikel 9.2.2 Wlz bevat de verplichting voor een Wlz-uitvoerder om aan de Minister voor LZS., verzochte informatie ten behoeve van het te voeren beleid op het gebied van de volksgezondheid. Het te voeren beleid op het gebied van de volksgezondheid omvat meer dan de uitvoering van de Zvw in de zin van artikel 89, eerste lid, Zvw, onderscheidenlijk van de Wlz. Het kan ook gaan om bijvoorbeeld publieke gezondheid.

Een zorgverzekeraar, onderscheidenlijk Wlz-uitvoerder mag op grond van het derde lid van het voorgestelde artikel 89a Zvw, onderscheidenlijk het tweede lid van het voorgestelde artikel 9.2.2 Wlz geen andere persoonsgegevens verwerken dan hij reeds op grond van de artikelen 86, 87, 88 of 89 Zvw, onderscheidenlijk de artikelen 9.1.1 en 9.1.2 Wlz voor de in die artikelen vermelde doeleinden heeft verwerkt. Een zorgverzekeraar kan daarbij ook door een Wlz-uitvoerder verstrekte gegevens gebruiken voor het leggen van verbanden tussen ontwikkelingen op het gebied van de Zvw en van de Wlz. De gegevensverstrekking op grond van artikel 89 Zvw door een Wlz-uitvoerder aan een zorgverzekeraar ziet namelijk ook op gegevens noodzakelijk voor de uitvoering van de Zvw, dus ook het voorgestelde artikel 89a. Het tweede lid van dat artikel maakt duidelijk dat een Wlz-uitvoerder ook gegevens over gezondheid aan een zorgverzekeraar kan verstrekken.

De vorenbedoelde beperking beperkt ook de beleidsinformatie waarom de Minister van VWS, onderscheidenlijk de Minister voor LZS kan verzoeken. Het gaat om verdere verwerking van persoonsgegevens voor een ander verwerkingsdoeleinde, namelijk de verstrekking van beleidsinformatie aan de Minister van VWS, onderscheidenlijk de Minister voor LZS. De verdere verwerking kan ook verwerkte gegevens over gezondheid betreffen. De voorgestelde verdere verwerking van de persoonsgegevens past binnen de kaders van de AVG. De verstrekking van de beleidsinformatie op verzoek van de inister van VWS, onderscheidenlijk de Minister voor LZS is noodzakelijk om te voldoen aan een wettelijke verplichting van de zorgverzekeraar. Die verplichting is geregeld in het eerste lid van het voorgestelde artikel 89a Zvw, onderscheidenlijk het eerste lid van het voorgestelde artikel 9.2.2 Wlz. De verwerking van persoonsgegevens is daarmee op grond van artikel 6, eerste lid, onderdeel c, AVG, in combinatie met het derde lid, van dat artikel rechtmatig. De verdere verwerking van gegevens over gezondheid, een bijzondere categorie van persoonsgegevens, moet op grond van artikel 6, vierde lid, AVG, ook passen binnen de kaders van artikel 9 AVG. De verwerking van persoonsgegevens over gezondheid is op grond van het eerste lid van dat artikel verboden behoudens de in het tweede lid van dat artikel genoemde uitzonderingen. De toe te passen uitzonderingen zijn:

• • noodzakelijke verwerking voor een zwaarwegend algemeen belang (artikel 9, tweede onderdeel g, AVG), en;

• • noodzakelijke verwerking voor beheer van het Nederlandse gezondheidszorgstelsel (artikel 9, tweede lid, onderdeel h, AVG).

De verwerking van persoonsgegevens waaronder gegevens over gezondheid, ten behoeve van de verstrekking van beleidsinformatie aan de Minister van VWS, onderscheidenlijk de Minister voor LZS past gezien het bovenstaande binnen de kaders van de AVG.

De zorgverzekeraar dient er op grond van het vierde lid van het voorgestelde artikel 89a Zvw en de Wlz-uitvoerder dient op grond van het derde lid van het voorgestelde artikel 9.2.2 Wlz er zorg voor te dragen dat hij geen gegevens verstrekt waarmee de Minister van VWS respectievelijk direct dan wel indirect kan identificeren. De Minister van VWS mag op grond van het vijfde lid van het voorgestelde 89a Zvw en de Minister voor LZS op grond van het vierde lid van het voorgestelde artikel 9.2.2 Wlz geen gegevens verwerken waarmee op basis van de verstrekte beleidsinformatie een natuurlijk persoon alsnog direct dan wel indirect kan identificeren. De Minister van VWS en de Minister voor LZS beschikken niet over wettige middelen om op grond van de verstrekte beleidsinformatie een natuurlijk persoon direct dan wel indirect te identificeren. De verstrekte beleidsinformatie bevat ten aanzien van de Minister van VWS respectievelijk de Minister voor LZS geen persoonsgegevens. Zij verwerken met de beleidsinformatie dan ook geen persoonsgegevens.

Artikel IX

Een eerdere versie van dit wetsvoorstel is met een elftal onderdelen in consultatie gegaan. De citeertitel van dit wetsvoorstel was de Verzamelwet gegevensverwerking VWS II. Dit wetsvoorstel, is voordat het aanhangig is gemaakt voor advies bij de Afdeling advisering van de Raad van State, opgeknipt in verschillende onderdelen. De resterende onderdelen zijn op een later tijdstip aan de Raad van State toegestuurd, Naar aanleiding van het advies op de eerste versie is ervoor gekozen om wederom een knip toe te passen in het wetsvoorstel en bepaalde onderdelen uit dit wetsvoorstel te halen. Het voorliggende wetsvoorstel heeft om die reden de citeertitel Verzamelwet gegevensverwerking VWS II.a. Alle onderdelen die wel in gezamenlijke internetconsultatie zijn gegaan, maar niet in Verzamelwet II.a zijn ondergebracht, zullen worden ondergebracht in een separaat wetsvoorstel dat de citeertitel Verzamelwet VWS II.b krijgt. Hiervoor is gekozen om de kenbaarheid van de verschillende onderdelen te verduidelijken, verwarring met andere verzamelwetten die zien op gegevensverwerking binnen het zorgdomein te voorkomen en om het consultatieproces overzichtelijk te behandelen.

De Minister van Volksgezondheid, Welzijn en Sport, C. Helder