27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg

Nr. 116 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 3 december 2012

Tijdens de Regeling van werkzaamheden d.d. 27 november 2012 heeft u mij verzocht om een brief waarin de stand van zaken rond de landelijke elektronische uitwisseling van medische gegevens via de zorginfrastructuur (voorheen het landelijk elektronisch patiëntendossier (EPD)) wordt toegelicht.

In mijn brief van 21 november 2012 (Kamerstuk 27 529, nr. 114) ben ik op uw verzoek met name ingegaan op de wettelijke verankering, de privacy van de patiënt en de participatiebereidheid van zorgverleners.

Aanvullend op de brief van 21 november 2012 zal ik in deze brief nader ingaan op een aantal onderwerpen die tijdens de Regeling van werkzaamheden aan de orde zijn gekomen waaronder de vergoeding aan zorgaanbieders en de veiligheid van de gegevensuitwisseling via de zorginfrastructuur.

Inleiding

Op 5 april 2011 werd het wetsvoorstel Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische gegevensuitwisseling in de zorg (Kamerstuk 31 466) in de Eerste Kamer verworpen. Tevens werd, met motie X van het lid Tan, mij verzocht de betrokkenheid vanuit de overheid af te bouwen. Daarnaast heeft de eerste Kamer mij bij motie Y van het lid Tan verzocht te komen tot een nadere wettelijke regeling van:

  • normen en standaarden voor zowel digitale dossiervorming en -ontsluiting, als de overdracht van gegevens,

  • eisen met betrekking tot de veiligheid,

  • toezicht, handhaving en sancties,

  • inzage door de patiënt, het verstrekken van afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt.

Op 11 april 2011 heb ik richting Nictiz aangegeven dat ik mijn medewerking aan het Landelijk Schakelpunt (LSP) afbouw. Daarbij heb ik aangegeven dat dit op zorgvuldige wijze vorm zal worden gegeven in verband met de continuïteit van zorg en de belangen van individuele patiënten.

Op 24 oktober 2011 heb ik Nictiz – beheerder van het LSP – gevraagd mij te informeren over de plannen voor de toekomst van het LSP en hierbij onder andere in te gaan op de veiligheid van het LSP en de gegevensuitwisseling, de invulling van de opt-in regeling, regionale of landelijke uitwisseling en het oordeel van het College Bescherming Persoonsgegevens (CBP) over de plannen.

Op 10 november 2011 heeft uw Kamer de motie Mulder aangenomen, waarin uw Kamer de regering verzoekt: «de betrokken organisaties – inclusief patiëntenorganisaties, cliëntenorganisaties en privacy experts – op te roepen om het elektronisch patiëntendossier alsnog van de grond te laten komen.» (Kamerstuk 33 000 XVI, nr. 39)

Uw Kamer gaf hierbij aan van mening te zijn: «dat het naar de prullenbak verwijzen van deze infrastructuur die klaar is voor gebruik, een ongewenste stap achteruit is met het oog op de kwaliteit van de zorg, die de zorgsector terug voert naar het papieren tijdperk.»

De zorgsector, i.c. de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), heeft toen de verantwoordelijkheid op zich genomen voor een doorstart van de landelijke infrastructuur voor gegevensuitwisseling in de zorg. De VZVZ is opgericht op initiatief van Landelijke Huisartsen Vereniging (LHV), Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP), Vereniging Huisartsenposten Nederland (VHN) en de Nederlandse Vereniging van Ziekenhuizen (NVZ).

De VZVZ heeft een doorstartmodel opgesteld waarin bovenstaande onderwerpen zijn meegenomen. Het CBP heeft op 18 januari 2012, na de beoordeling van het doorstartmodel aangegeven geen aanleiding te zien tot opmerkingen. Ik heb u hierover bij brief van 19 januari 2012 (Kamerstuk 27 529, nr. 102) geïnformeerd.

Belangrijke elementen uit de doorstart:

  • Het netwerk wordt niet landelijk maar regionaal opgezet.

  • Patiënten wordt eerst expliciet om toestemming gevraagd voor het mogen uitwisselen van zijn gegevens via de zorginfrastructuur (opt-in).

  • Patiënten krijgen in de toekomst zelf elektronisch inzage in hun gegevens.

  • Patiënten kunnen opvragen wie hun gegevens hebben ingezien.

  • Er is een gebruikersraad en een Patiënten- en Privacyraad ingesteld.

  • De beveiliging moet voldoen aan de geldende eisen en normen in de zorg.

De bij de doorstart betrokken partijen1 hebben overeenstemming bereikt en afspraken gemaakt over het gebruik en de financiering van de landelijke zorginfrastructuur van 2013 tot 2016. Hiertoe hebben zij op maandag 5 november 2012 een convenant ondertekend.

Communicatie

Zowel de Eerste Kamer als uw Kamer hebben aandacht gevraagd voor de informatievoorziening aan de burger. Per brief van 6 juni 2012 heb ik u voorgesteld de burger te informeren over de doorstart van het LSP met de volgende middelen: het verspreiden van folder via de zorgverlener met aanvullend een wachtkamerposter en een advertentie.

In de tweede week van november 2012 zijn de advertenties in de landelijke, regionale en huis- aan huis bladen geplaatst. Daarnaast zijn de folders en posters verspreid onder de zorgaanbieders. Met de folder via de zorgaanbieder wordt de burger uitgebreid geïnformeerd over de opt-in procedure, het geven van toestemming, het intrekken van toestemming. Door daarnaast een advertentie te plaatsen worden conform de wens van uw Kamer ook degenen die in de loop van 2012 niet bij hun zorgverlener komen geïnformeerd.

Wet- en regelgeving

Zoals ook aangegeven in mijn brief van 21 november 2012 gelden er op basis van de huidige wet- en regelgeving (Wet bescherming persoonsgegevens (WBP) en Wet op de geneeskundige behandelingsovereenkomst (WGBO)) al regels die een veilige uitwisseling van (medische) patiëntgegevens tussen zorgverleners moeten waarborgen. Het wetsvoorstel houdende wijziging van de Wet cliëntenrechten zorg, de Wet gebruik burgerservicenummer in de zorg de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens) dat ik in voorbereiding heb, is een aanvulling op en aanscherping van de bestaande regels. Het wetsvoorstel is door het CBP van advies voorzien. Ook heb ik recent het advies van de Raad van State (RvS) ontvangen. Zo spoedig mogelijk na de verwerking van het advies van de RvS zal ik u het wetsvoorstel toezenden. Dit is naar verwachting nog voor het kerstreces.

Het wetsvoorstel regelt:

  • De plicht van de zorgverlener om toestemming aan de cliënt te vragen voordat medische gegevens opvraagbaar worden gemaakt ten behoeve van elektronische uitwisseling (opt-in) en het vragen van toestemming voor het elektronisch opvragen van gegevens;

  • De mogelijkheid voor de cliënt om elektronische inzage in en een elektronisch afschrift van het dossier te hebben;

  • Het recht van de cliënt om (een) bepaalde (categorie van) hulpverleners op voorhand uit te sluiten van de gegevensuitwisseling;

  • Verplichte «logging» zodat zichtbaar is wie gegevens heeft geraadpleegd;

  • Een verbod voor zorgverzekeraars om elektronische uitwisselingssystemen voor zorgaanbieders te raadplegen en aanzienlijke straffen als ze dat wel doen.

Naast het wetsvoorstel komt er een algemene maatregel van bestuur op grond van de Wet bescherming persoonsgegevens waarin specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling zullen worden gesteld.

Met het oog op mijn toezegging het recht op elektronische inzage in de WCZ te verankeren, waarmee ook invulling wordt gegeven aan onder andere motie 69 van het lid Kuiken en motie 70 van het lid Omtzigt, en ook bij te dragen aan de bredere ontwikkeling van e-health en zelfmanagement heb ik besloten het initiatief van de NPCF met betrekking tot de zelfbeschikking en zeggenschap van de patiënt via elektronische weg over de gegevens in hun medisch dossier, mee te financieren voor 0,7 mln. gedurende 2 jaar (0,35 mln. per jaar).

Vergoeding aan zorgaanbieders

Aangezien ook de zorgverzekeraars het belangrijk vinden dat een veilige elektronische informatieoverdracht tussen zorgaanbieders daadwerkelijk tot stand komt, zijn zij bereid de komende jaren te investeren in de zorginfrastructuur c.q. het LSP. Van de VZVZ heb ik begrepen dat huisartsen en apothekers een tegemoetkoming ontvangen in de kosten voor het vragen en verwerken van toestemming. Van winst maken is volgens hen geen sprake.

De recente berichten in de media over de winst die zorgaanbieders zouden maken berusten dan ook op een misverstand. In de feitelijke afspraken die zijn vastgelegd in het onlangs ondertekende convenant is alleen sprake van een tegemoetkoming in de kosten die zorgaanbieders maken voor het vragen om toestemming en het registreren daarvan. De vergoeding door zorgverzekeraars is gericht op aangemelde patiënten, zodat alleen zorgaanbieders die hun patiënten om toestemming vragen en het systeem ook daadwerkelijk gebruiken hiervoor een tegemoetkoming ontvangen.

Het gegeven dat zorgaanbieders een vergoeding ontvangen voor het uitvoeren van de opt-in procedure betekent niet dat huisartsen, apothekers, huisartsenposten en ziekenhuizen worden gedwongen aan te sluiten op de zorginfrastructuur: zorgaanbieders bepalen zelf of zij deelnemen aan de zorginfrastructuur. Zoals ik eerder aan uw Kamer heb gemeld verwijzen zorgverzekeraars bij het vaststellen van contracten naar de kwaliteitseisen van de beroepsgroep. Alleen als de beroepsgroep heeft aangegeven dat elektronische gegevensuitwisseling via het LSP als kwaliteitseis wordt gezien, kunnen de zorgverzekeraars dit als zodanig in hun contracten opnemen. Het is dus de beroepsgroep zelf die beslist of aansluiting op het LSP als kwaliteitseis voor de beroepsgroep geldt.

Privacy en veiligheid

In het doorstartmodel is nadrukkelijk rekening gehouden met de privacy van de patiënten. Zij krijgen in de toekomst zelf elektronische inzage in hun gegevens. Daarnaast introduceert de VZVZ vanaf medio 2013 de mogelijkheid voor patiënten om een persoonlijk toestemmingsprofiel te maken. Dat betekent dat de patiënt via een website concreet kan aangeven welke zorgaanbieders wel of niet zijn gegevens mag raadplegen of voor inzage beschikbaar mag stellen. Dit vooruitlopend op de nieuwe wettelijke vereisten.

Wat betreft de veiligheid van de zorginfrastructuur het volgende. Uitgangspunt is uiteraard dat de zorginfrastructuur moet voldoen aan geldende wet- en regelgeving. Het CBP en de Inspectie voor de Gezondheidszorg (IGZ) zien daarop toe.

Met de private doorstart van het LSP heeft de VZVZ de verantwoordelijkheid op zich genomen voor de zorginfrastructuur. Uit informatie van de VZVZ blijkt dat alleen zorgaanbieders die voldoen aan de beveiligingseisen van de VZVZ mogen aansluiten op de zorginfrastructuur.

De VZVZ heeft aangegeven dat binnen de zorginfrastructuur regionale schotten worden geplaatst, zodat zorgaanbieders op regionale basis gegevens kunnen uitwisselen. Dit stond ook beschreven in het doorstartmodel, dat aan het CBP is voorgelegd. Het gebruik van elektronische uitwisseling van medische gegevens is nu hoofdzakelijk beperkt tot de regio’s Twente en Nijmegen. Het plan van de VZVZ is dat in de loop van 2013 meer regio’s volgen. Uitwisseling binnen de regio is dan mogelijk. Vanaf medio 2013 is de mogelijkheid beschikbaar voor patiënten om een persoonlijk toestemmingsprofiel te maken. Met het oog op de patiëntveiligheid hebben de ziekenhuizen vanaf dat moment wel buiten de regio toegang, omdat zij vaak bovenregionaal werken.

Om toegang te krijgen tot patiëntgegevens moet de zorgverlener zich identificeren met een UZI-pas met pincode. Opvragingen worden gelogd, dat wil zeggen dat wordt vastgelegd wie op welke moment welke gegevens heeft geraadpleegd. De veiligheid van de gegevensuitwisseling wordt continu gemonitord door de VZVZ.

Daarnaast laat de beheerder van de zorginfrastructuur periodiek een indringertest (hack test) uitvoeren op het LSP. In de test die afgelopen zomer is uitgevoerd kwamen geen zaken aan het licht met een hoog risico.

Als de geldende eisen ten aanzien van de raadpleging van medische gegevens worden overtreden, kunnen sancties worden opgelegd.

Ondanks alle maatregelen is niet voor 100% te garanderen dat er nooit misbruik gemaakt zou kunnen worden van de zorginfrastructuur. Deze notie staat ook in de voorlichtingsfolder. Maar duidelijk moge zijn dat alles erop gericht is dat de gegevens van patiënten zo veilig mogelijk worden uitgewisseld.

Tot slot

Naar aanleiding van het artikel «Amerika kan mogelijk in EPD kijken» van de NOS van 30 november jl. het volgende. De VZVZ heeft aangegeven dat zij een verklaring heeft geëist van CSC, het bedrijf dat het LSP heeft gebouwd en beheerd, waarin staat dat CSC niet onder de zogenoemde Patriot Act valt. Als het bedrijf niet met zo'n verklaring kan komen, is dat voor de VZVZ reden om bij het Amerikaanse bedrijf weg te gaan. Ik sta uiteraard achter de inzet van de VZVZ en wacht met hen de uitkomsten van het overleg met CSC af. Voor mij staat echter buiten kijf dat niemand, noch een persoon, noch een natie, in het medisch dossier van een patiënt moet kunnen kijken als deze daarvoor geen toestemming heeft gegeven. Daaraan valt niet te tornen. Dit uiteraard met inachtneming van de regels rondom het medisch beroepsgeheim. Om dit zeker te stellen, zal ik zodra de uitkomst van het overleg tussen VZVZ en CSC bekend is, dit ter toetsing voorleggen aan CBP.

De minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers


X Noot
1

Het convenant is ondertekend door: de Nederlandse Patiënten Consumenten Federatie (NPCF), de koepels van huisartsen, huisartsenposten en apothekers (Landelijke Huisartsen Vereniging (LHV), Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP), Vereniging Huisartsenposten Nederland (VHN) en de Nederlandse Vereniging van Ziekenhuizen (NVZ)) organisaties van apotheekeigenaren (de Nederlandse Apothekers Coöperatie (NAPCO), de Associatie van Ketenapotheken (ASKA), Verenigde Kring-apothekers Nederland (VKAN)), Zorgverzekeraars Nederland (ZN), stichting OZIS (een samenwerkingsverband van leveranciers van informatiesystemen) en diverse ICT-leveranciers, Nictiz (het landelijke expertisecentrum dat ontwikkeling van ICT in de zorg faciliteert) en de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ).

Naar boven