Advies Raad van State inzake het voorstel van wet, houdende regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg)

MEMORIE VAN TOELICHTING

Algemeen

1. Aanleiding wetsvoorstel

Een belangrijke randvoorwaarde voor zorgverleners om goede zorg1 te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt2 op de juiste plek op het juiste moment. Denk bijvoorbeeld aan de situatie dat na overdracht door de medisch specialist een verpleeghuisarts tijdig de beschikking heeft over de gegevens van een cliënt, zodat hij precies weet wat de cliënt aan zorg nodig heeft. De urgentie van het beschikbaar hebben van deze gegevens doet zich bijvoorbeeld voor wanneer een cliënt met een herseninfarct wordt overgeplaatst naar een intra arteriële thrombectomie-centrum voor een acute ingreep. Als de gegevens op papier of via cd-rom pas met de cliënt meekomen, kan het medische behandelteam zich niet voorbereiden. Dit kan onnodig tijdverlies en risico’s voor de behandeling opleveren. Door het tijdig elektronisch uitwisselen van de juiste gegevens op een eenduidige manier kan goede zorgverlening worden bevorderd.

Zorgaanbieders maken op dit moment echter gebruik van verschillende manieren van uitwisseling van gegevens die vaak niet op elkaar aansluiten. Uitwisseling van gegevens gebeurt vaak nog via de analoge fax, papier, per post, DVD, of ontbreekt zelfs volledig waardoor actuele informatie niet (op tijd) voor de zorgverlener beschikbaar kan zijn.

Door gebruik te maken in de zorg van het elektronisch uitwisselen van gegevens aan de hand van eenduidige eisen aan taal en techniek kunnen de juiste gegevens op een eenduidige manier tijdig worden uitgewisseld. Om zorgverleners elektronisch met elkaar te laten communiceren zal hierbij gebruik gemaakt worden van een elektronische infrastructuur. Onder een dergelijke infrastructuur wordt verstaan: een geheel van netwerken alsmede de benodigde hardware en software waarmee personen en organisaties elektronisch met elkaar kunnen communiceren. Daartoe behoort niet het uitwisselen van gegevens door gebruik te maken van bijvoorbeeld een USB-stick of DVD.

Momenteel vindt elektronische gegevensuitwisseling echter nog zeer beperkt plaats. Daar waar gegevensuitwisseling al wel elektronisch plaatsvindt, verloopt deze vaak niet zonder problemen aangezien er op dit moment een gebrek is aan eenduidigheid in taal en techniek.

Daarbij komt dat de uitwisseling van gegevens in de zorg steeds belangrijker wordt, nu steeds meer cliënten zorg uit verschillende domeinen en regio’s ontvangen waarbij meerdere zorgverleners en zorgaanbieders betrokken zijn. Hierdoor is meer coördinatie van de zorg nodig en ontstaat dus een toenemende behoefte aan eenduidige elektronische gegevensuitwisseling. Zorgverleners moeten van elkaar weten wat zij doen en waarom. In deze context is het op elektronische wijze uitwisselen van gegevens van grote toegevoegde waarde voor het verlenen van goede zorg. Ook tijdens de coronacrisis is gebleken dat het kunnen beschikken over medische gegevens van de huisarts in spoedsituaties op de huisartsenpost en de spoedeisende eerste hulp voor de juiste behandeling van cliënten van groot belang is.

De Tweede Kamer heeft op meerdere momenten en in meerdere moties de Minister voor Medische Zorg (hierna: de Minister) gevraagd om meer regie te nemen om te komen tot elektronische gegevensuitwisseling tussen zorgverleners.3 De vraag om meer regie is ook gesteld vanuit de zorgpartijen, verenigd in het Informatieberaad Zorg. Het regelen hoe gegevens moeten worden uitgewisseld, vormt een randvoorwaarde voor het verlenen van goede zorg.

In verschillende brieven aan de Tweede Kamer4 en in het Algemeen Overleg met de Tweede Kamer van 9 oktober 2019 inzake Gegevensuitwisseling in de zorg, heeft de Minister aangegeven de gevraagde regie te willen nemen en het voorliggende wetsvoorstel aangekondigd.5

Dit wetsvoorstel vormt een onderdeel van de regie die op verzoek van het zorgveld en de Tweede Kamer is gevraagd.

Het doel is het bereiken van volledige interoperabiliteit als het gaat om elektronische gegevensuitwisseling tussen zorgverleners aan de hand van eenduidige eisen aan taal en techniek. Dit wordt bereikt door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij de genormaliseerde eisen aan taal en techniek onafhankelijk zijn van een specifieke elektronische infrastructuur. Daarmee wordt voorkomen dat niet slechts één systeem voor een specifieke gegevensuitwisseling gaat gelden. Het wetsvoorstel leidt daarmee niet tot de introductie van het gebruik van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling.

Deze memorie van toelichting is mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (hierna: BZK) vanwege zijn verantwoordelijkheid voor de Kaderwet zelfstandige bestuursorganen.

2. Doel en hoofdlijnen van het wetsvoorstel

2.1 Probleembeschrijving

2.2 Doelstellingen en noodzaak wetgeving

Goede gezondheidszorg is een publiek belang. Het bevorderen van de volksgezondheid is een verantwoordelijkheid van de overheid en is neergelegd in artikel 22 van de Grondwet (hierna: Gw). De overheid heeft echter in de zorg bij het realiseren van het elektronisch uitwisselen van gegevens een terughoudende rol gehad. Dit omdat veldpartijen zelf verantwoordelijk zijn voor goede zorg en daarmee ook voor de inrichting en totstandbrenging van een dergelijke gegevensuitwisseling. Deze terughoudendheid kwam mede voort uit het verwerpen van het wetsvoorstel dat zag op het landelijk Elektronisch Patiëntendossier9 door de Eerste Kamer op 5 april 2011 en de motie van het lid Tan (PvdA) c.s.10 uit 2011, waar in paragraaf 2.2.1 nader op in wordt gegaan.

De afgelopen periode – zoals eerder aangegeven – hebben zowel de Tweede Kamer als de zorgpartijen de Minister gevraagd om meer regie te nemen op het gebied van elektronische gegevensuitwisseling tussen zorgverleners. Er is een duidelijke behoefte aan meer overheidsbetrokkenheid op dit onderwerp. In feite is sprake van een inhaalslag, nu de overheid zich lange tijd terughoudend heeft opgesteld.

2.2.1 Verhouding voorliggend wetsvoorstel tot wetsvoorstel landelijk EPD

Het wetsvoorstel dat zag op het landelijk Elektronisch patiëntendossier (EPD) regelde de grondslag voor een verplichting van het gebruik van een landelijk systeem waarbij de zorgverleners op basis van een in de wet gecreëerde grondslag (wettelijke plicht) werden verplicht om (bijzondere) persoonsgegevens van de cliënt in een EPD (niet centraal maar bij de zorgaanbieder, afgeleid van het reguliere medisch dossier) vast te leggen en beschikbaar te stellen via het Landelijk Schakelpunt (LSP). De Eerste Kamer had bezwaar tegen de generieke opzet en een te alomvattend systeem en de wettelijke verplichting die werd gecreëerd voor de zorgverlener om het medisch beroepsgeheim te doorbreken zonder dat de cliënt daarvoor afzonderlijk toestemming behoefde te geven. Daarnaast zag de Eerste Kamer een te groot risico op het gebied van privacy. De motie van het lid Tan verzocht de regering om verdere beleidsinhoudelijke, financiële en organisatorische medewerking aan de ontwikkeling van het LSP te beëindigen.

Met het voorliggende wetsvoorstel is rekening gehouden met de destijds geuite zorg in de Eerste Kamer over het landelijk EPD. Voorliggend wetsvoorstel blijft – zoals ook verzocht in de motie van het lid Tan11 – binnen de bestaande wettelijke kaders (Algemene Verordening Gegevensbescherming (hierna: AVG), Wet op de beroepen in de individuele gezondheidszorg (hierna: Wet BIG), Afdeling 5 van Titel 7 van Boek 7 van het Burgerlijk Wetboek (BW) inzake de geneeskundige behandelingsovereenkomst (vaak aangeduid als de Wet op de geneeskundige behandelingsovereenkomst (hierna: WGBO)) en Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: Wabvpz)) en creëert daarmee geen nieuwe grondslagen voor uitwisseling van (bijzondere) persoonsgegevens van cliënten. Het wetsvoorstel verplicht niet tot het uitwisselen van gegevens. De verplichting ziet daarmee alleen op het hoe van de uitwisseling, namelijk op elektronische wijze. Als binnen het bestaande wettelijke kader geen grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens, kan deze niet plaatsvinden. Daarbij leidt het voorliggend wetsvoorstel, zoals hiervoor reeds is vermeld, niet tot de verplichting van het gebruik van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling. Het doel is het bereiken van volledige interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen zorgverleners. Dit wordt bereikt door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij uiteindelijk wordt gestreefd naar normalisatie van eisen aan taal en techniek. Normalisatie is het proces waarbij belanghebbende partijen onder begeleiding van het Nederlands Normalisatie-instituut (NEN) op vrijwillige basis, in overleg en op basis van consensus afspraken maken over wat, in het licht van de stand van de techniek en de best beschikbare kennis, goede normen zijn voor een product, dienst of bedrijfsproces. Deze normen zullen daardoor infrastructuur onafhankelijk zijn. Normalisatie is een bijzondere vorm van standaardisatie; bij de totstandkoming van normen is altijd een normalisatie-organisatie betrokken, in dit geval de stichting Koninklijk Nederlands Normalisatie Instituut (NEN) in haar hoedanigheid van nationale normalisatie-instelling in de zin van artikel 2 van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007,23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PbEU 2012, L 316) (hierna/; verordening 1025/2012).

2.2.2 Ondersteuning zorgveld realisering elektronische gegevensuitwisseling

In de afgelopen jaren heeft de overheid zonder een grote regierol op zich te nemen op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering van gestandaardiseerde elektronische gegevensuitwisseling:

• – In 2014 is een eerste stap tot samenwerking en coördinatie gezet door het ministerie van Volksgezondheid, Welzijn en Sport (VWS) met de oprichting van het Informatieberaad Zorg. In het Informatieberaad Zorg wordt samen met veldpartijen gewerkt aan een duurzaam informatiestelsel. Het Informatieberaad Zorg werkt aan een aantal doelen, waaronder gestandaardiseerde gegevensuitwisseling en het eenmalig vastleggen van gegevens.

• – In de verschillende Hoofdlijnenakkoorden heeft gestandaardiseerde elektronische gegevensuitwisseling een prominente plek gekregen. Zo is in het Hoofdlijnenakkoord Medische Specialistische Zorg 2019–2022 opgenomen dat partijen de afgesproken standaarden implementeren, waaronder de Basisgegevensset Zorg (BgZ) en andere Zorginformatie bouwstenen (ZIB’s) en de MedMij standaarden.12

• – Er zijn programma’s gestart ter ondersteuning van de standaardisatie van gegevensuitwisseling, zoals het programma Registratie aan de bron13 en het programma Medicatieproces.14

• – Vanaf 2017 stimuleert het kabinet diverse versnellingsprogramma’s voor de informatie-uitwisseling tussen cliënt en professional (VIPP-regelingen) in onder meer de geestelijke gezondheidszorg (GGZ), ziekenhuizen, zelfstandige behandelcentra, de geboortezorg, en huisartsen. Tevens is er een versnellingsprogramma in de langdurige zorg waarbij gestandaardiseerde elektronische gegevensuitwisseling tussen zorgorganisaties in de care (VVT, GGZen Gehandicaptenzorg) en met zorgorganisaties in de cure zoals ziekenhuizen en huisartsen) wordt gestimuleerd. Deze regelingen hebben als doel ervoor te zorgen dat cliënten digitaal over hun medische gegevens kunnen beschikken en deze kunnen gebruiken voor regie op hun zorg en gezondheid. Zorgaanbieders ontvangen subsidie om ervoor te zorgen dat deze gegevens digitaal op een veilige en gestandaardiseerde manier aan de cliënt verstrekt kunnen worden, gebruikmakend van landelijke standaarden die zorgbreed en binnen sectoren zijn vastgelegd. Hiermee hebben VIPP-programma’s een belangrijke basis gelegd voor gestandaardiseerde elektronische vastlegging en informatie-uitwisseling.

• – Voor de informatie-uitwisseling met de cliënt is het MedMij-afsprakenstelsel ingericht. MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de cliënt, bijvoorbeeld in een persoonlijke gezondheidsomgeving (PGO). Daarvoor moet zo’n PGO veilig kunnen communiceren met alle plekken waar informatie van de cliënt staat opgeslagen. Denk aan het ziekenhuis of de huisarts. Een dergelijk afsprakenstelsel bestaat niet voor het onderling uitwisselen van gegevens tussen zorgverleners, wat betekent dat gegevens over cliënten nog niet altijd op elektronische wijze uitgewisseld kunnen worden. De MedMij afspraken15 definiëren specifieke gegevensuitwisselingen tussen professionals en cliënten, waar zoveel mogelijk gebruik van wordt gemaakt voor het elektronisch uitwisselen tussen professionals. Het gaat immers bij de uitwisseling van gegevens tussen zorgverleners in de regel om dezelfde gegevens die ook met de cliënt worden uitgewisseld en waarbij gebruik kan worden gemaakt van dezelfde standaarden.

2.2.3 Meer regie noodzakelijk

Door het veld zijn – met deze ondersteunende programma’s en maatregelen – belangrijke stappen in de goede richting gezet en is er een basis gelegd op weg naar het realiseren van genormaliseerde en daarmee het onafhankelijk van een specifieke elektronische infrastructuur uitwisselen van gegevens. Dit betekent dat geen specifieke elektronische infrastructuur zal worden voorgeschreven. Ondanks dat belangrijke stappen in de goede richting zijn gezet, zijn deze echter nog onvoldoende gebleken om de hierboven genoemde problemen over gebrek aan eenduidige taal, techniek en regie op te lossen.

2.3 Reikwijdte wetsvoorstel

Dit wetsvoorstel ziet op het op elektronische wijze uitwisselen van gegevens tussen zorgverleners bij aangewezen gegevensuitwisselingen binnen en tussen de zorgdomeinen. Het gaat daarbij over het delen en benaderen van gegevens. Het wetsvoorstel stelt met het oog daarop verplichtingen aan zorgaanbieders en eisen aan degene die een informatietechnologieproduct of -dienst aanbiedt.

2.3.1 Zorgdomeinen

Het wetsvoorstel ziet daarmee niet op het op elektronische wijze uitwisselen van gegevens tussen de zorgverlener en de cliënt, maar enkel op uitwisseling tussen zorgverleners onderling.

De zorg die een cliënt ontvangt, is lang niet altijd beperkt tot één zorgverlener. Immers, een cliënt kan bij bepaalde problematiek met meerdere zorgverleners, al dan niet binnen een zorgaanbieder, te maken krijgen. Ook op deze situaties ziet dit wetsvoorstel.

Uitwisselen buiten de zorgdomeinen; niet binnen reikwijdte wetsvoorstel

In de eerdergenoemde brieven van de Minister aan de Tweede Kamer zijn in concept dertien gegevensuitwisselingen16 genoemd die als eerste in aanmerking komen om de gegevensuitwisseling elektronisch te laten plaatsvinden. Deze prioritaire gegevensuitwisselingen passen allemaal binnen de reikwijdte van het wetsvoorstel.

2.3.2 Uitwisselen door middel van een elektronische infrastructuur

Met het elektronische uitwisselen van gegevens wordt gedoeld op het delen en benaderen van gegevens waarbij ten minste gebruik wordt gemaakt van een elektronische infrastructuur. Een elektronische infrastructuur geldt, zoals reeds in hoofdstuk 1 is vermeld, als het geheel van netwerken en de benodigde hardware en software waarmee personen en organisaties elektronisch met elkaar kunnen communiceren. Het wetsvoorstel ziet niet op de uitwisseling via fysieke gegevensdragers, zoals een papieren fax, CD-rom of USB-stick. Het uitwisselen van gegevens door middel van een PDF-bestand die via een computerverbinding wordt verzonden kan daarentegen wel worden beschouwd als een gegevensuitwisseling door middel van een elektronische infrastructuur.

Delen en benaderen omvat het verzenden, ontvangen, inzien, uploaden, downloaden, verzamelen, opvragen, enzovoort van gegevens.

Met delen wordt gedoeld op het rechtstreeks tussen zorgverleners delen van gegevens al dan niet op genormaliseerde wijze.

Met benaderen wordt gedoeld op het verkrijgen van toegang tot die gegevens. Op deze wijze worden gegevens indirect verkregen van een andere zorgverlener. Een voorbeeld van ‘benaderen’ is de situatie waarbij een behandeld arts op de spoedeisende hulp inzage krijgt in de relevante gegevens van de cliënt in het dossier dat zich bij zijn huisarts bevindt.

Het resultaat van de aanwijzing in spoor 2 is dat eisen aan taal en techniek genormaliseerd zijn, zodat gegevens van een cliënt door zorgverleners eenduidig kunnen worden vastgelegd en gedeeld, zodat een zorgverlener meteen bij binnenkomst van een cliënt over de belangrijkste algemene en medische gegevens van de cliënt kan beschikken en de behandeling zonder onnodige vertraging kan worden gestart of voortgezet. In spoor 1 wordt op korte termijn nog geen volledige interoperabiliteit nagestreefd en blijft de mogelijkheid bestaan om ongestructureerde data (zoals een PDF-bestand) uit te wisselen.

Het staat zorgverleners uiteraard vrij om naast de verplichte uitwisseling van gegevens door middel van een elektronische infrastructuur ook op een andere wijze met elkaar gegevens uit te wisselen. Zorgverleners kunnen eventueel parallel ook gegevens telefonisch of mondeling delen. Dit geldt ook voor de verplicht uit te wisselen gegevens van bij AMvB aangewezen gegevensuitwisselingen.

2.3.3 Gegevens

Kwaliteitsstandaarden en onderdelen van de professionele standaard

Welke gegevens nodig zijn als onderdeel van de goede zorg wordt – met het oog op de professionele autonomie – bepaald door de zorgverleners. Zo bepalen zorgverleners bijvoorbeeld dat gegevens over bloeddruk nodig zijn voor goede zorg en dus ook – bijvoorbeeld in het kader van overdracht – moeten worden uitgewisseld. Zorgverleners leggen dit neer in onderdelen van de professionele standaard of in kwaliteitsstandaarden. Bij kwaliteitsstandaarden geldt dat deze gezamenlijk met organisaties van zorgverleners/zorgaanbieders, cliënten en zorgverzekeraars/zorgkantoren worden opgesteld. Daarbij blijft het uitgangspunt van kracht dat de kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens uit te wisselen. Hierin wordt met dit wetsvoorstel geen wijziging aangebracht.

Op grond van de Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz) moeten zorgaanbieders ervoor zorgen dat zorgverleners overeenkomstig kwaliteitsstandaarden handelen. Dat laat onverlet dat de zorgverlener altijd nog zelf een afweging moet maken of het in het kader van de behandeling daadwerkelijk noodzakelijk is om alle in de kwaliteitstandaarden opgenomen gegevens uit te wisselen. De zorgverlener maakt in een concreet geval zelf de afweging of en welke gegevens moeten worden uitgewisseld voor het leveren van goede zorg in die specifieke situatie en passend bij de behoeften van de individuele cliënt.

De eisen die in de AMvB onder dit wetsvoorstel worden gesteld over hoe de gegevens uitgewisseld moeten worden (bijvoorbeeld via eisen aan taal en techniek), moeten aansluiten op de gegevens die volgens de professionals nodig zijn voor de goede zorg. Gedacht kan worden aan de eisen die zijn opgenomen in de zorginformatiebouwsteen over bloeddruk, waarin bijvoorbeeld staat dat aangegeven moet worden wat de houding van de cliënt was bij het meten van de bloeddruk.

Kwaliteitsstandaarden lenen zich goed als bron waarnaar in de bij AMvB te stellen eisen kan worden verwezen als het gaat om welke gegevens moeten worden uitgewisseld.

Een kwaliteitsstandaard is altijd kenbaar doordat die wordt opgenomen in het Openbare Register van het Zorginstituut Nederland (hierna: Zorginstituut).17 Ook is geborgd dat alle relevante partijen betrokken zijn bij de totstandkoming van de kwaliteitsstandaard (tripartiete indiening).

De verwachting is dat het veld – waar nodig – zelf kwaliteitsstandaarden voor de bij AMvB aan te wijzen gegevensuitwisselingen zal opstellen of wijzigen, aangezien het verzoek om regie op gegevensuitwisseling onder andere vanuit het veld afkomstig is. Bijvoorbeeld wanneer er nog geen kwaliteitsstandaarden zijn of de huidige kwaliteitsstandaarden onvoldoende basis geven. Echter, mocht een kwaliteitstandaard onverhoopt niet tot stand komen, dan kan de Minister het Zorginstituut vragen de betreffende kwaliteitsstandaard op de Meerjarenagenda van het Zorginstituut te plaatsen. Het Zorginstituut heeft in dat geval al doorzettingsmacht op grond van het huidige recht. Mochten de tripartiete partijen er dan niet (op tijd) uitkomen, dan kan het Zorginstituut de Adviescommissie Kwaliteit (in overleg met de tripartiete partijen) vragen de kwaliteitsstandaard op te stellen, waarna het Zorginstituut betreffende kwaliteitsstandaard kan opnemen in het Openbare Register.

De huidige kwaliteitsstandaarden zijn niet altijd volledig als het gaat om de beschrijving welke gegevens nodig zijn voor goede zorg. Dit betekent dat in de huidige kwaliteitsstandaarden mogelijk niet altijd ingegaan wordt op welke gegevens nodig zijn als onderdeel van de goede zorg. Bovendien zijn er nog niet veel sector overstijgende kwaliteitsstandaarden. Sommige sectoren werken bovendien nog zeer beperkt met kwaliteitsstandaarden. Dit betekent dat een aanvullings- of actualisatieslag nodig kan zijn op de kwaliteitsstandaarden voordat bij AMvB een gegevensuitwisseling aangewezen wordt. Dit proces kan parallel lopen aan de ontwikkeling van de eisen aan hoe uitgewisseld moet worden. Uiteraard hoeven niet alle kwaliteitsstandaarden meteen aangepast te worden met het oog op dit wetsvoorstel. Dit kan stapsgewijs, in het verlengde van de stapsgewijze aanwijzing van gegevensuitwisselingen bij AMvB. Soms zal de aanpassing van de kwaliteitsstandaard beperkt zijn tot het opnemen van een paragraaf over noodzakelijk uit te wisselen gegevens.

Zoals hierboven is weergegeven zal de kwaliteitsstandaard leidend zijn voor welke gegevens worden uitgewisseld en zal de hoe door dit wetsvoorstel worden bepaald. Een wijziging van goede zorg en daarmee een wijziging in welke gegevens worden uitgewisseld, kan dan ook alleen worden bewerkstelligd door middel van (een wijziging van) de kwaliteitsstandaard.

In het geval een kwaliteitsstandaard wijzigt die betrekking heeft op een reeds bij AMvB aangewezen gegevensuitwisseling, wordt in artikel 6.6 een nieuw artikel 66ea in de Zorgverzekeringswet voorgesteld dat bepaalt dat het Zorginstituut de Minister informeert over een voorgedragen kwaliteitsstandaard.

Dit wetsvoorstel wijzigt overigens de bestaande toetsingsprocedure van het Zorginstituut van kwaliteitsstandaarden niet. Het is en blijft de verantwoordelijkheid van de tripartiete partijen om waar nodig met het oog op het op elektronische wijze uitwisselen van gegevens, een of meerdere kwaliteitsstandaarden op te stellen of te wijzigen.

In enkele gevallen zijn de hierboven genoemde gegevens overigens reeds aangewezen in wet- of regelgeving. Zoals in de Wabvpz en de Regeling van de Minister voor Jeugd en Gezin van 13 juli 2010, houdende eisen voor de software als bedoeld in artikel 5, derde lid, van de Wet publieke gezondheid (Stcrt. 2010, 11340) (hierna: Regeling software). In artikel 1.4, eerste lid, onderdeel b, onder 2, is daarom bepaald dat bij AMvB voor gegevensuitwisselingen gegevens worden aangewezen die bij of krachtens andere wetgeving worden uitgewisseld.

Andere gegevens (artikel 1.4, eerste lid, onderdeel b, onder 3)

De AMvB zal niet alleen bepalen hoe gegevens die randvoorwaardelijk zijn voor goede zorg moeten worden uitgewisseld, maar ook hoe administratieve gegevens (informatie over adres, woonplaats, bankgegevens, Burgerservicenummer (BSN)) en gegevens over cliëntcontext (informatie over burgerlijke staat, levensovertuiging, ziektebeleving) moeten worden uitgewisseld. Hiermee worden administratieve lasten teruggedrongen, waardoor de zorgverleners meer tijd hebben voor het verlenen van goede zorg.

Ook voor deze gegevens geldt dat duidelijk moet zijn om welke gegevens het gaat, alvorens kan worden bepaald hoe ze worden uitgewisseld. Voor deze gegevens geldt – zoals eerder aangegeven – dat bij AMvB nader zal worden bepaald om welke gegevens het gaat. In artikel 1.4, eerste lid, onderdeel b, onder 3, is daarom bepaald dat bij AMvB gegevens worden aangewezen die anderszins relevant zijn ten aanzien van een cliënt waaraan zorg wordt verleend.

2.3.4 Uitwisseling gegevens tussen zorgverleners

Dit wetsvoorstel ziet op de uitwisseling van gegevens tussen zorgverleners. Voor wat verstaan wordt onder een zorgverlener is aangesloten bij het begrippenkader van de Wkkgz. Dit geldt ook voor het begrip ‘cliënt’, ‘zorg’ en ‘zorgaanbieder’. Een zorgverlener is een natuurlijke persoon die beroepsmatig zorg verleent. Hiermee wordt gedoeld op degene die de zorg daadwerkelijk verleent, oftewel ‘de handen’. Dat kan een zorgverlener in loondienst zijn, een vrijgevestigde zorgverlener of zzp’er die binnen een organisatorisch verband werkzaam is, maar ook een solistisch werkende zorgverlener, in zijn rol als daadwerkelijke zorgverlener.

Met het begrip ‘zorgaanbieder’ wordt gedoeld op ‘de bestuurder’. Een zorgaanbieder kan een instelling zijn, maar ook een solistisch werkende zorgverlener, in zijn rol als bestuurder.

Het is de zorgaanbieder die verantwoordelijk is voor de materiële middelen (zoals informatietechnologieproducten of -diensten) waarvan gebruik wordt gemaakt en voor de organisatie van de informatiehuishouding. De zorgverleners hebben hier in beginsel geen rol in en kunnen de verplichtingen niet realiseren. Daarom zijn de verplichtingen uit dit wetsvoorstel opgelegd aan de zorgaanbieder, en niet aan de zorgverlener. Om zijn verantwoordelijkheid te kunnen waarmaken, moet de zorgaanbieder het zo organiseren, dat de zorgverleners verantwoording afleggen aan de zorgaanbieder. Daarbij is het niet relevant of deze personen in loondienst zijn van de zorgaanbieder of op andere wijze door de zorgaanbieder worden ingeschakeld. Hoewel de verplichtingen op grond van dit wetsvoorstel dus zien op uitwisseling van gegevens tussen zorgverleners, is de zorgaanbieder ervoor verantwoordelijk dat de uitwisseling door zorgverleners plaatsvindt overeenkomstig die verplichtingen.

Het wetsvoorstel betreft het uitwisselen van gegevens over de cliënt, maar niet de uitwisseling van gegevens met de cliënt. Voor de informatie-uitwisseling richting de cliënt is het MedMij- afsprakenstelsel ingericht. Dit afsprakenstelsel is onder paragraaf 2.2 toegelicht. Dit laat onverlet dat het wetsvoorstel ook positieve effecten kan hebben op de gegevensuitwisseling met de cliënt. Doordat gegevens met behulp van een elektronische infrastructuur beschikbaar worden en tussen zorgverleners op die wijze worden uitgewisseld, kunnen deze logischerwijs ook makkelijker uitgewisseld worden met de cliënten.

2.3.5 Gegevensuitwisselingen

De in dit wetsvoorstel opgenomen verplichtingen zullen stapsgewijs van kracht worden. Bij AMvB zullen gegevensuitwisselingen worden aangewezen waarvoor de verplichtingen gaan gelden. Een gegevensuitwisseling kan bijvoorbeeld zijn ’digitaal receptenverkeer’, ‘verpleegkundige overdracht van ziekenhuis naar instelling of thuiszorg’ of ‘beelduitwisseling tussen ziekenhuizen’. Zoals in paragraaf 2.3.1 al is aangegeven zijn in de eerdergenoemde brieven van de Minister aan de Tweede Kamer in concept dertien gegevensuitwisselingen genoemd die als eerste in aanmerking komen om te worden aangewezen. De prioritering van de gegevensuitwisselingen zullen worden opgenomen in de meerjarenagenda Wegiz. Op welke wijze de meerjarenagenda Wegiz tot stand komt en hoe besloten wordt welke gegevensuitwisseling prioritair is, wordt nader uitgewerkt in paragraaf 3.2.

3. Nadere toelichting structuur wetsvoorstel

3.1 Inleiding

Voordat een gegevensuitwisseling bij AMvB zal worden aangewezen, zal die gegevensuitwisseling eerst als prioritair worden aangemerkt. Welke gegevensuitwisselingen prioritair zijn volgt uit de zogenoemde meerjarenagenda Wegiz.

In dit hoofdstuk zal worden ingegaan op de totstandkoming van de meerjarenagenda Wegiz (paragraaf 3.2), degenen voor wie de verplichtingen gelden (paragraaf 3.3), de verplichting om met behulp van een elektronische infrastructuur gegevens uit te wisselen (paragraaf 3.4), normalisatie en standaardisatie (paragraaf 3.5) en certificering (paragraaf 3.6).

3.2 Aan te wijzen gegevensuitwisselingen

Voorafgaande aan het bij AMvB aanwijzen van een gegevensuitwisseling toetst de Minister de geprioriteerde gegevensuitwisselingen op toegevoegde waarde en realiseerbaarheid door middel van onder andere een maatschappelijke kosten -en batenanalyse (MKBA) en een volwassenheidscan. Bij de besluitvorming zullen ook de implicaties voor de bekostiging(systematiek) worden meegewogen. De Minister onderbouwt hiermee de beslissing om bepaalde geprioriteerde gegevensuitwisselingen per AMvB te verplichten. De ontwerp-AMvB, waarbij de uiteindelijk gegevensuitwisselingen worden aangewezen, wordt ingevolge artikel 5.1 door middel van een voorhangprocedure aan beide kamers der Staten-Generaal overgelegd. Bij geprioriteerde gegevensuitwisselingen waarvan na toetsing blijkt dat een verplichting per AMvB niet wenselijk is, verantwoordt de Minister zich in een Kamerbrief.

Na de bovenstaande beoordeling wordt een nieuwe meerjarenagenda Wegiz opgesteld. De Minister zendt de geactualiseerde meerjarenagenda Wegiz weer aan de Tweede Kamer.

3.3 Verplichtingen voor zorgaanbieders en eisen aan informatie- en technologieproducten

De verplichting om bij een aangewezen gegevensuitwisseling door middel van een elektronische infrastructuur gegevens uit te wisselen, wordt in dit wetsvoorstel opgelegd aan zorgaanbieders. In paragraaf 2.3, onder ‘Uitwisseling gegevens tussen zorgverleners’, is toegelicht waarom de verplichting is opgelegd aan zorgaanbieders en niet aan zorgverleners.

De zorgaanbieder moet erop toezien dat – als op grond van de aanwijzing in spoor 2, eisen zijn gesteld – de zorgverlener hieraan voldoet. De zorgaanbieder hoeft niet aan alle eisen te voldoen die bij of krachtens AMvB zijn gesteld. De zorgaanbieder hoeft namelijk niet te voldoen aan de (technische) eisen die gesteld worden aan een informatietechnologieproduct of -dienst waarvoor een certificaat is vereist. De zorgaanbieder is dan uiteraard wel verplicht op grond van artikel 2.1, derde lid, om de zorgverlener alleen gebruik te laten maken van die gecertificeerde informatietechnologieproducten of -diensten bij het uitwisselen van gegevens. Dit voor zover bij AMvB verplicht is gesteld dat informatietechnologieproducten of -diensten moeten zijn voorzien van een certificaat.

De bij AMvB gestelde eisen over de manier waarop het elektronisch uitwisselen van gegevens moet plaatsvinden, zullen zodanig zijn, dat zorgaanbieders vrij blijven in de keuze voor informatietechnologieproducten of -diensten. Zolang deze maar voorzien zijn van een geldig certificaat. Daarmee wordt zo min mogelijk getreden in de bedrijfsvoering van de zorgaanbieder.

Om te kunnen voldoen aan de verplichting om bij aangewezen gegevensuitwisselingen gegevens elektronisch uit te wisselen, zullen gegevens elektronisch moeten worden opgeslagen. Het is aan de zorgaanbieder om hierop toe te zien waarbij de zorgaanbieder ook de verantwoordelijkheid draagt dat kan worden uitgewisseld conform de afspraken en regie kan uitoefenen op de informatiehuishouding.

Degene die een informatietechnologieproduct of -dienst aanbiedt aan een zorgaanbieder of een informatietechnologieproduct of -dienst ondersteunt, dient voor de desbetreffende producten of diensten over een certificaat te beschikken, voor zover het gaat om de voor de specifieke gegevensuitwisseling opgestelde NEN-norm waarin eisen zijn opgenomen aan taal en techniek en die NEN-norm vervolgens bij AMvB verplicht is gesteld. Indien informatietechnologieproducten of -diensten, die zijn bestemd voor het uitwisselen van gegevens, die niet zijn voorzien van een certificaat worden aangeboden aan zorgaanbieders, dan kan aan degene die deze producten of diensten aanbiedt een boete worden opgelegd. Wanneer de zorgaanbieder een product of dienst zonder certificaat gebruikt en de dienstverlening aan dat product of dienst wordt voortgezet door middel van technische ondersteuning zoals software updates, dan wordt dit beschouwd als het aanbieden van producten en diensten en kan een boete worden opgelegd aan degene die deze ondersteuning van het product of dienst biedt.

Het certificaat voor informatietechnologieproducten of -diensten wordt door een door de Raad voor Accreditatie (hierna: RvA) geaccrediteerde en door de Minister aangewezen gecertificeerde instelling, of bij het ontbreken van een gecertificeerde instelling in het uiterste geval door de Minister zelf (paragraaf 3.6), verleend als het informatietechnologieproduct of de informatietechnologiedienst voldoet aan de in de NEN-norm gestelde eisen voor taal en techniek waar in de AMvB naar wordt verwezen.

Volledigheidshalve wordt opgemerkt dat wanneer een zorgaanbieder zelf informatietechnologieproducten of -diensten ontwikkelt, de zorgaanbieder verplicht is te voldoen aan de eisen die gelden voor die producten of diensten. Ook deze producten of diensten dienen te zijn voorzien van een certificaat.

3.4 Verplichting om gegevens elektronisch uit te wisselen

Mede aan de hand van de uit te voeren MKBA-toets en een beoordeling van de realiseerbaarheid (de volwassenheidsscan) wordt beoordeeld of een gegevensuitwisseling wordt aangewezen in spoor 1, dan wel in spoor 2. De daarbij te hanteren criteria kunnen technisch, inhoudelijk, economisch en bestuurlijk van aard zijn. Niet elke gegevensuitwisseling is al gereed om te worden aangewezen in spoor 2, omdat nog een groei doorgemaakt moet worden om tot normalisatie van eisen aan taal en techniek te komen. Ook kan het zijn dat nadere afspraken daarover op dat punt in tijd nog niet proportioneel zijn ten behoeve van goede zorg. In dat geval vindt een aanwijzing plaats in spoor 1.

Als een gegevensuitwisseling wordt aangewezen in spoor 1 is er altijd de ambitie om op een later moment die gegevensuitwisseling aan te wijzen in spoor 2. Het doel is immers om te komen tot volledige interoperabiliteit, wat een genormaliseerde wijze van het elektronisch uitwisselen van gegevens vereist.

3.4.1 Spoor 1

Wanneer een gegevensuitwisseling ingevolge artikel 1.4, tweede lid, onder a, bij AMvB wordt aangewezen dan geldt op grond van dit wetsvoorstel daarvoor ten minste de eis dat de aangewezen gegevens op elektronische wijze moeten worden uitgewisseld. Volledige interoperabiliteit wordt daarmee in spoor 1 niet afgedwongen, want daarvoor is het noodzakelijk dat deze gegevensuitwisseling verplicht volgens een NEN-norm plaatsvindt (spoor 2). Deze verplichting is echter wel een belangrijke stap in het realiseren van volledige interoperabiliteit. In bepaalde gegevensuitwisselingen ontbreekt, zoals we al eerder schetsten, de vereiste kwaliteitsbasis en moeten op technisch vlak nog grote stappen gezet worden om tot volledige interoperabiliteit te komen. In die gevallen kan ervoor gekozen worden om niet meteen verplicht te stellen dat dit op de aangewezen genormaliseerde wijze plaats moet vinden, maar te beginnen met een eerste stap: de verplichting om gegevens elektronisch uit te wisselen. De aanwijzing spoor 1 heeft in die situatie de volgende voordelen:

• – de verwachting is dat de aanwijzing van de gegevensuitwisseling het veld focus en motivatie biedt om de stap te zetten om te komen tot normalisatie op het gebied van de eisen aan taal en techniek.

• – de verplichting om gegevens met behulp van een elektronisch infrastructuur uit te wisselen kan al een stap in de goede richting zijn in die gevallen waarin de gegevens nu nog bijvoorbeeld fysiek worden gedeeld.

• – Bij AMvB kunnen eisen worden gesteld aan de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling moet plaatsvinden. Het gaat dan om eisen die niet specifiek één gegevensuitwisseling betreffen, maar breder kunnen gelden.

3.4.2 Spoor 2

Beoogd is dat zender en ontvanger onder de uitgewisselde gegevens hetzelfde verstaan. Door de eisen inzake taal en techniek verplicht te stellen, ontstaat interoperabiliteit en wordt gegevensuitwisseling tussen en binnen zorgdomeinen mogelijk. Het neemt immers de in hoofdstuk 1 en paragraaf 2.1 geschetste problemen weg. Zowel bij de aanwijzing in spoor 1, als bij de aanwijzing in spoor 2 moet uiteraard ook voldaan worden aan de eisen die gelden op grond van andere wet- en regelgeving.

3.5 Normalisatie

3.5.1 Algemeen

In spoor 1 kunnen bij AMvB generieke eisen worden gesteld die niet zien op taal en techniek. Het gaat dan om eisen die zien op de functionele, technische of organisatorische wijze waarop gegevensuitwisseling moet plaatsvinden. Deze eisen kunnen direct in de AMvB worden opgenomen. Ook kan in de AMvB worden verwezen naar een NEN-norm dan wel andere normen.

In spoor 2 worden bij AMvB eisen gesteld die zien op het op genormaliseerde wijze uitwisselen van specifieke gegevens (de eisen voor taal en techniek) en op de functionele, technische of organisatorische wijze waarop gegevensuitwisseling moet plaatsvinden. Door genormaliseerde eisen te stellen, zien deze eisen niet op een specifieke elektronische infrastructuur. De eisen die in het kader van de aanwijzing in spoor 2 worden gesteld gelden niet alleen voor zorgaanbieders, maar ook voor (aanbieders van) informatietechnologieproducten of -diensten. Een certificaat voor een informatietechnologieproduct of -dienst wordt alleen verstrekt als voldaan wordt aan de relevante eisen in de norm waarnaar bij AMvB wordt verwezen.

De eisen, waaraan voldaan moet worden in spoor 2, worden opgelegd bij AMvB, waarin verwezen wordt naar de normen waarin die eisen staan. In spoor 2 kan het daarbij alleen gaan om NEN-normen. Per gegevensuitwisseling wordt slechts één NEN-norm aangewezen. In deze NEN-norm worden zowel de eisen opgenomen waaraan de zorgaanbieder moet voldoen, als ook de eisen waaraan de informatietechnologieproducten of -diensten moeten voldoen. Om aan te tonen dat informatietechnologieproducten of -diensten voldoen aan deze genormaliseerde eisen dienen deze producten of diensten te zijn voorzien van een certificaat.

Alle normen waarnaar verwezen wordt, worden opgesteld in opdracht van de Minister. Om te komen tot een aanwijzing in spoor 2 zal een normalisatietraject worden gestart. Bij de ontwikkeling van NEN-normen per gegevensuitwisseling geeft de Minister richtinggevende kaders mee, zodat de NEN‑normen onderling op elkaar en op het regeringsbeleid aansluiten.

3.5.2 Ontsluiting markt- en veldexpertise

Door gebruik te maken van normalisatie wordt de brede expertise van de markt goed benut. De verschillende partijen, zoals zorgaanbieders, zorgverleners en aanbieders van informatietechnologieproducten of -diensten, beschikken bij uitstek over de deskundigheid om adequate eisen op te stellen. De verwachting is dat het stelsel van normalisatie goed zal functioneren. In de eerste plaats, omdat er binnen de zorgsector sprake is van een hoge organisatiegraad en structuur om vorm en inhoud aan de normen te geven. In de tweede plaats, omdat er binnen de sector voldoende draagvlak is en er dus een hoge inzet van betrokken private partijen wordt verwacht. Verwezen wordt naar het Informatieberaad Zorg, waarin vertegenwoordigers uit het zorgveld en VWS samenwerken aan een duurzaam informatiestelsel in de zorg. Om te voorkomen dat er eisen worden gesteld waaraan aanbieders van informatietechnologieproducten of -diensten niet kunnen of willen voldoen, is het van belang dat deze aanbieders betrokken zijn bij het tot stand komen van de normen. In het manifest ‘Samen Vooruit’ van VNO-NCW en diverse zorgpartijen committeren het bedrijfsleven en de zorg zich aan afspraken over makkelijke en veilige gegevensuitwisseling in de zorg.20

3.5.3 Eisen voor normen

3.5.4 Statische verwijzing naar normatieve documenten

Bij AMvB wordt verwezen naar de desbetreffende NEN-norm. Welke versie van die norm geldt zal bij ministeriële regeling worden bepaald. De verwijzing naar de NEN-norm is dus statisch: verwezen wordt naar de tekst zoals die op een bepaald tijdstip luidde. Een dynamische verwijzing op het niveau van NEN-normen (zijnde een verwijzing naar de tekst zoals die met inbegrip van sinds de totstandkoming vastgestelde wijzigingen luidt of zal luiden) is onwenselijk omdat dit niet zorgt voor maximale duidelijkheid voor het zorgveld en de aanbieders van informatietechnologieproducten of -diensten en niet passend is bij de regie van de overheid op de bepaling van eisen. Daarnaast is bij dynamische verwijzing een met de maatstaven van de Bekendmakingswet vergelijkbaar niveau van bekendmaking bij private normatieve documenten niet gegarandeerd.

In de NEN-norm zelf zal, waar nodig, wel dynamisch worden verwezen naar onderliggende gedetailleerde technische normen, zoals bijvoorbeeld Informatiestandaarden van Nictiz. Deze normen worden meerdere malen per jaar aan de stand der techniek aangepast. Om de rechtszekerheid te waarborgen geldt dat bij dergelijke ongedateerde verwijzingen de laatste versie van het document (met inbegrip van wijzigingsbladen) waarnaar is verwezen van toepassing is. Vervolgens zal in het certificeringsschema opgenomen worden aan de hand van welke versie het certificaat getoetst wordt.

3.5.5 Rol NEN

Met NEN vindt afstemming plaats over de ontwikkeling en inhoud van de NEN-normen. De NEN volgt- overeenkomstig verordening 1025/2012 – een proces dat ervoor zorgt dat iedereen met een aantoonbaar belang kan deelnemen. Dat betekent dat het veld betrokken wordt bij de ontwikkeling van de norm en zeggenschap heeft over de inhoud ervan. Hiermee wordt de verantwoordelijkheid voor het leveren van goede zorg en het handelen in overeenstemming met de kwaliteitsstandaarden en daarmee ook hoe gegevens uitgewisseld moeten worden zoveel mogelijk in acht genomen.De betrokkenheid van het veld heeft tot gevolg dat de NEN-normen goed aansluiten bij specifieke kenmerken van de zorgsector en de innovatiekracht van deze sector en aanbieders van informatietechnologieproducten of -diensten.

NEN-normen komen tot stand na consensus onder de leden van de normcommissie. In principe komen normwerkgroepen zelf tot vaststelling van de norm, na openbare consultatie (openbare kritiekronde van het normontwerp). Daarbij geldt dat de Minister streeft naar het samen doen vallen van de internetconsultatie van de AMvB met de openbare kritiekronde van het normontwerp, die in de AMvB verplicht wordt gesteld.

NEN borgt op grond van de statuten van NEN tijdige actualisatie. Zo moeten normen minimaal eens in de vijf jaar worden geëvalueerd of zoveel eerder als belanghebbende partijen dat nodig achten. Herziening van de norm kan hier een gevolg van zijn. Deze procedure volgt uit het huishoudelijk reglement van NEN. Daarbij is het in verband met de relatie tussen de NEN-norm en de kwaliteitsstandaarden (zie paragraaf 2.3.3) van belang dat de herziening aansluit bij eventuele herziening van kwaliteitsstandaarden. Hierin zullen belanghebbende partijen, zoals onder andere het zorgveld en het Zorginstituut een rol spelen.

3.6 Certificatie van informatietechnologieproducten en -diensten

In paragraaf 3.3 is reeds weergegeven dat op grond van dit wetsvoorstel informatietechnologieproducten en -diensten die gebruikt worden bij een aangewezen gegevensuitwisselingen in spoor 2 ingevolge artikel 3.1 voorzien moeten zijn van een certificaat. Een certificaat wordt verleend als is voldaan aan de eisen die gesteld zijn voor een aangewezen gegevensuitwisseling en die gelden voor dat betreffende informatietechnologieproduct of die betreffende informatietechnologiedienst. De zorgaanbieder is, wanneer voor informatietechnologieproducten – of diensten is bepaald dat ze voorzien moeten zijn van een certificaat, ingevolge artikel 2.1, derde lid verplicht gebruik te maken van gecertificeerde informatietechnologieproduct of -diensten.

Certificering betreft een systeem van conformiteitsbeoordeling (een proces waarin wordt aangetoond of voldaan is aan de vastgestelde eisen aan systeem, product of dienst). Door gebruik te maken van conformiteitsbeoordelingen wordt aangesloten bij het zelfregulerende vermogen van private sectoren om publieke belangen te dienen en wordt de expertise van de markt goed benut. Veldpartijen als aanbieders van informatietechnologieproducten of -diensten en zorgaanbieders zullen in NEN-normen afspraken maken over de eisen waaraan informatietechnologieproducten en -diensten moeten voldoen om te kunnen borgen dat gegevens elektronisch kunnen worden uitgewisseld.

Er zijn verschillende manieren om te borgen dat informatietechnologieproducten en -diensten en zorgaanbieders voldoen aan NEN-normen. Dit varieert van zeer lichte middelen, zoals zelfbeoordeling door aanbieders, tot zwaardere middelen, zoals certificering door een geaccrediteerde certificerende instelling. In dit wetsvoorstel is gekozen voor certificering door geaccrediteerde en aangewezen instellingen in beginsel het uitgangspunt. Deze accreditatie vindt plaats op basis van de EN-ISO/IEC 17065. Dit zorgt namelijk voor een kwalitatief goede en transparante toetsing, zodat gebruikers en aanbieders van informatietechnologieproducten of -diensten zekerheid wordt geboden over de mate waarin aan (delen van) de NEN-norm voldaan wordt. Om de Minister de mogelijkheid te geven stelseltoezicht te houden, wordt voorgesteld dat naast het vereiste van accreditatie, certificerende instellingen aangewezen moeten worden door de Minister (artikel 3.2, eerste en tweede lid). De Minister kan namelijk deze aanwijzing intrekken of schorsen wanneer een certificerende instelling onvoldoende opereert. Daarmee heeft de Minister altijd het laatste woord en kan invulling gegeven worden aan zijn stelselverantwoordelijkheid.

Om accreditatie te kunnen verlenen aan een certificerende instelling die nog niet is geaccrediteerd voor het certificeren van informatietechnologieproducten- of diensten als bedoeld in dit wetsvoorstel, dient de RvA mee te kijken bij het doorlopen van een certificatieproces van deze producten of diensten. Een certificerende instelling kan deze activiteiten echter alleen uitvoeren als zij een aanwijzing heeft van de Minister. In afwijking met de hoofdregel dat een aanwijzing door de Minister enkel kan worden verkregen als de certificerende instelling geaccrediteerd is, zal de Minister ten behoeve van het verkrijgen van de accreditatie een tijdelijke aanwijzing van ten hoogste één jaar als bedoeld in artikel 3.2, vijfde lid, onder a verlenen in afwachting van een volledige accreditatie.

Het gaat bij certificering om een vrijwillig en privaat stelsel. De Minister is voor het realiseren van dit stelsel afhankelijk van de bereidheid van certificerende instellingen om hieraan deel te nemen. Deze bereidheid zal worden onderzocht als onderdeel van de toetsing van de realiseerbaarheid voorafgaand aan de aanwijzing bij AMvB van een gegevensuitwisseling in spoor 2. Indien geconstateerd wordt dat de bereidheid bij certificerende instellingen om deel te nemen aan dit stelsel niet aanwezig is en die bereidheid zich ook niet zal ontwikkelen, dan staat dit in de weg aan een aanwijzing van een gegevensuitwisseling in spoor 2.

Nadat een gegevensuitwisseling in spoor 2 is aangewezen, kan de situatie ontstaan dat een ministeriële aanwijzing van een certificerende instelling wordt ingetrokken. Deze situatie kan zich voordoen in het geval de certificerende instelling zelf beslist zich terug te trekken uit de markt of failliet gaat. Ook kan de aanwijzing door de Minister worden ingetrokken wanneer de certificerende instelling niet meer aan de aanwijzingseisen voldoet of haar accreditatie verliest. In deze gevallen zal de certificaathouder zijn certificaat bij een andere certificerende instelling continueren.

In het uiterste geval dat er geen andere certificerende instelling is, waarbij het certificaat kan worden gecontinueerd, zal de Minister vanuit zijn regierol zelf certificaten moeten kunnen verstrekken om zo de continuïteit van het stelsel te waarborgen. De voorgestelde wetstekst (artikel 3.2, zevende lid) voorziet in deze mogelijkheid.

Onder regie van NEN zullen, op basis van de NEN-normen, certificatieschema’s worden opgesteld in speciale certificeringscommissies. In het certificatieschema worden de spelregels opgenomen voor het certificeren van informatietechnologieproducten en -diensten. Voorafgaande aan het gebruik van het certificeringsschema zal de schemabeheerder de RvA verzoeken om te toetsen of het schema voldoet aan de accreditatievereisten voortvloeiende uit de EN-ISO/IEC 17065. De RvA toetst vervolgens de conformiteit van het schema aan deze accreditatievereisten.

De RvA zal in het kader van accreditatie van een certificerende instelling toetsen of de certificerende instelling de werkzaamheden zoals beschreven in het door de NEN-commissie voor een aangewezen gegevensuitwisseling opgesteld certificatieschema, kan uitvoeren in overeenstemming met dat schema. Om in aanmerking te komen voor een aanwijzing als bedoeld in artikel 3.2, eerste lid is het vervolgens aan de certificerende instelling om bij de aanvraag tot aanwijzing als certificerende instelling aan te tonen dat de instelling in staat is een aanvraag voor een certificaat te beoordelen aan de hand van eisen die zijn vastgelegd in het desbetreffende certificatieschema.

Het beheer van bij conformiteitsbeoordelingen te hanteren certificatieschema’s is een activiteit die primair door de certificerende instellingen zelf wordt uitgevoerd. Wel kunnen de certificerende instellingen, gezien de gewenste uniformiteit van de certificeringsactiviteiten, de NEN verzoeken om ten behoeve van een gecentraliseerd schemabeheer als schemabeheerder op te treden.

3.6.1 Kaderwet zelfstandige bestuursorganen (Kaderwet zbo’s)

Ten tijde van de invoering van die wet is besloten dat de Kaderwet zbo’s niet van toepassing behoort te zijn op certificerende instellingen die aan bepaalde voorwaarden voldoen. Deze voorwaarden zijn dat de certificerende instellingen zelf kiezen om de taak uit te voeren door zich te laten aanwijzen, zij marktpartijen zijn en ook andere activiteiten uitvoeren, zij voor hun diensten worden betaald door de partijen die een certificaat vragen en niet uit de rijksbegroting worden bekostigd. Bovendien betreft het een open systeem, waarbij meerdere certificerende instellingen de taak kunnen verrichten en dus in concurrentie kunnen treden.

De ervaring in vergelijkbare Europese trajecten is dat er te weinig auditoren zijn om de certificeringstrajecten van alle aanbieders van producten en diensten te begeleiden. Voldoende capaciteit is een randvoorwaarde om tijdig certificaten te kunnen verstrekken, zodat concurrentie tussen certificerende instellingen wordt bevorderd. De Minister zal dit daarom betrekken bij de beoordeling of een gegevensuitwisselingen realiseerbaar is en dus uiteindelijk aangewezen kan worden bij AMvB. Verder moet een certificerende instelling, die onderdeel uitmaakt van een wettelijk stelsel conform het kabinetsstandpunt voor conformiteitsbeoordeling en accreditatie, door de verantwoordelijke Minister zijn aangewezen voor het verstrekken van certificaten. In dit wetsvoorstel is bepaald dat de Minister voor Medische Zorg de certificerende instellingen kan aanwijzen. Indien een certificerende instelling zich niet houdt aan de gestelde voorwaarden, kan de Minister ingrijpen door bijvoorbeeld de aanwijzing te schorsen of en in het uiterste geval de aanwijzing in te trekken. Dit zal in de lagere regelgeving worden uitgewerkt.

In de AMvB zullen eisen worden gesteld aan certificerende instellingen, zoals met betrekking tot de behandeling van een aanvraag van een certificaat, het handelen volgens de aan de aanwijzing verbonden voorschriften, het verstrekken van informatie tussen certificerende instellingen onderling en met de Minister in het kader van toezicht en handhaving en het doen van mededeling aan de Minister van een intrekking of een schorsing van een certificaat of accreditatie. Op gezette tijden dient de certificerende instelling vast te stellen of wordt voldaan aan de voorwaarden van certificatie. Tijdens de geldigheidsduur van het certificaat, zal de certificerende instelling regelmatig onderzoeken of de certificaathouder nog steeds in staat is om volgens de vastgestelde normen te werken. Daartoe bevat het certificatieschema controle- en sanctierichtlijnen die certificerende instellingen dienen te volgen.

De certificerende instellingen zijn marktpartijen. Hun activiteiten worden niet vergoed uit overheidsmiddelen. Dit betekent dat de certificerende instelling kosten in rekening zal brengen bij de aanvrager van een certificaat. De certificaathouder kan deze kosten vervolgens terugverdienen door het leveren van gecertificeerde ICT-producten. De verwachting is dat aanbieders van informatietechnologieproducten en -diensten deze kosten (deels) zullen doorberekenen aan de zorgaanbieders.

4. Verhouding tot hoger recht

4.1 Verhouding met regels over gegevensbescherming

Dit wetsvoorstel gaat uit van en past binnen de bestaande kaders en regels rondom gegevensbescherming (in onder meer de Gw, AVG en UAVG en EVRM). Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan die eisen.

4.2 Verhouding met regels over cyberveiligheid

Verordening (EU) 2019/881 van het Europese Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (Cyberbeveiligingsverordening) (PbEU 2019, L151) geeft een kader voor de certificering van producten, processen en diensten op het gebied van cyberveiligheid. Binnen dit kader wordt een mechanisme ontwikkelt voor de Europese cybersecurity certificatieschema. Een dergelijk schema ziet in het bijzonder op beveiligingsvoorschriften en bevat daartoe een aantal minimum vereisten. Deze verordening sluit niet expliciet uit dat niet-beveiligingselementen ook deel uitmaken van een dergelijk schema en daarmee betrekking kunnen hebben op met name de bij AMvB te stellen eisen aan techniek. Bij het opstellen van de AMvB (en de daarin opgenomen NEN-normen) wordt de Cyberbeveiligingsverordening in acht genomen.

4.3 Verhouding tot vrijheid van ondernemerschap

De vrijheid van ondernemerschap is vervat in artikel 16 van het Handvest van de grondrechten van de Europese Unie22 (Handvest EU) en – meer indirect – in de artikelen 10 en 11 van het op 4 november 1950 te Rome tot stand gekomen Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (Trb. 1951, 154) (EVRM) en artikel 1 van het Protocol bij het EVRM. De vrijheid van ondernemerschap wordt door dit wetsvoorstel beperkt, omdat informatietechnologieproducten en -diensten voortaan (voor aangewezen gegevensuitwisselingen) voorzien moeten zijn van een certificaat, dat wordt verleend als aan bepaalde eisen wordt voldaan. Dit raakt de vrijheid van ondernemerschap voor aanbieders van informatietechnologieproducten of -diensten.

Uit de vaste jurisprudentie van het Europees Hof van de Rechten van de Mens23 en het Hof van Justitie van de Europese Unie24 volgt dat dit toegestane uitzonderingen zijn op de vrijheid van ondernemerschap.

4.4 Verhouding tot vrij verkeer van goederen

Met dit wetsvoorstel worden eisen gesteld aan informatietechnologieproducten. Het stellen van eisen aan goederen is op grond van het Europese recht toegestaan als hiervoor een toegestane uitzondering geldt en het proportioneel en subsidiair is.

In het voorliggende geval is sprake van het stellen van eisen met het oog op de bescherming van de gezondheid van personen.25 Zonder het stellen van eisen aan informatietechnologieproducten die gebruikt worden in (bepaalde onderdelen van) de zorg, kunnen gegevens niet goed worden uitgewisseld. In hoofdstuk 1 van deze memorie van toelichting is al toegelicht welke negatieve effecten dit heeft op het verlenen van goede zorg. Zoals aangegeven in paragraaf 2.1 van deze memorie van toelichting zijn er verschillende oorzaken aan te wijzen voor het niet volledig tot stand komen van elektronische gegevensuitwisseling: (1) gebrek aan eenduidigheid in taal, (2) gebrek aan eenduidigheid in techniek en (3) gebrek aan een integrale aanpak om tot gegevensuitwisseling door middel van een elektronische infrastructuur te komen en uiteenlopende belangen van verschillende betrokken partijen. De afgelopen jaren zijn er – zoals ook beschreven in paragraaf 2.2 van deze memorie van toelichting – verschillende stappen gezet om te komen tot volledige interoperabiliteit bij een zorgbrede gegevensuitwisseling. Maar het is onvoldoende gebleken om de hierboven genoemde problemen met betrekking tot gebrek aan eenduidige taal, techniek en regie op te lossen. Er is een duidelijke behoefte aan meer overheidsbetrokkenheid op dit onderwerp. Gelet op de uit hoofde van de bescherming van de gezondheid van personen noodzakelijke elektronische gegevensuitwisseling, die ertoe leidt dat goede zorg kan worden verleend, beoogt de wetgever de interoperabiliteit van de informatietechnologieproducten die de gegevensuitwisselingen moeten bewerkstelligen, te garanderen. Om deze reden wordt voorgesteld vast te leggen bij AMvB dat bij die gegevensuitwisselingen alleen informatietechnologieproducten mogen worden gebruikt waarvan is vastgesteld dat zij de beoogde interoperabiliteit kunnen bewerkstelligen. Dit zijn de informatietechnologieproducten die voldoen aan de voorschriften in de NEN-normen die bij AMvB zullen worden aangewezen.

Omdat dwingend en exclusief zal worden verwezen naar deze NEN-normen, en geen andere wijze wordt toegestaan om te bewijzen dat wordt voldaan aan de eisen die zijn opgenomen in de NEN-normen, wordt in het wetsvoorstel of de daaronder hangende AMvB vooralsnog geen clausule tot wederzijdse erkenning opgenomen. Er worden immers met dit wetsvoorstel (en de AMvB) in zijn geheel geen andere normen erkend, en dus ook geen erkenning van soortgelijke buitenlandse normen. Dit met het oog op het garanderen van volledige interoperabiliteit ten behoeve van het kunnen leveren van goede zorg. Het garanderen van volledige interoperabiliteit is noodzakelijk omdat anders de elektronische gegevensuitwisseling niet tot stand komt. De NEN-normen zijn geschikt om dit doel te bereiken, omdat de daarin opgenomen eisen voor taal en techniek bij AMvB dwingend en exclusief worden voorgeschreven waardoor volledige interoperabiliteit verzekerd wordt. Zoals weergegeven in paragraaf 2.2 van deze memorie van toelichting is er de afgelopen jaren op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering van gestandaardiseerde gegevensuitwisseling door middel van een elektronische infrastructuur. Deze minder vergaande eisen zijn echter zoals hierboven is weergegeven, onvoldoende gebleken om de genoemde problemen over gebrek aan eenduidige taal, techniek en regie op te lossen. De bij AMvB te stellen eisen gaan daarom niet verder dan nodig is om het gestelde doel van volledige interoperabiliteit te bereiken. De eisen die gesteld worden aan informatietechnologieproducten zullen daarbij geen onderscheid maken tussen nationale en buitenlandse goederen.

Het dwingend en exclusief verwijzen naar de normen zal plaatsvinden op het niveau van de AMvB.26 Ontwikkelingen in het binnen- en het buitenland staan niet stil. Niet uitgesloten is dat op termijn een andere benadering wordt gekozen, waarbij de NEN-norm een manier wordt om aan te tonen dat voldaan wordt aan de eisen, maar waarvoor dit dan niet de enige mogelijke wijze zal zijn. Dit mede in afwachting van de ontwikkeling van (internationale) normen die eveneens de interoperabiliteit kunnen garanderen van de informatietechnologieproducten die de beoogde gegevensuitwisselingen moeten bewerkstelligen. Overigens kunnen ook buitenlandse aanbieders in de tussentijd er voor kiezen informatietechnologieproducten te leveren die aan de vastgestelde Nederlandse NEN-normen voldoen.

4.5 Verhouding tot vrij verkeer van diensten

De Europese dienstenrichtlijn beoogt de Europese interne dienstenmarkt te harmoniseren door de belemmeringen voor het vrije verkeer van diensten weg te nemen. Deze richtlijn is met name geïmplementeerd door middel van de Dienstenwet. Het wetsvoorstel bevat bepalingen die onder het toepassingsbereik van de dienstenrichtlijn kunnen vallen.

Het uitwisselen van gegevens gaat via een geheel van hardware en software, waarbij in bepaalde gevallen de software ook gebruik maakt van een geavanceerde online dienst. Deze dienstverlening valt onder de dienstenrichtlijn. Net als hiervoor beschreven ten aanzien van de informatietechnologieproducten, geldt ook voor de informatietechnologiediensten dat ze moeten voldoen aan de voorschriften in de NEN-normen die bij AMvB zullen worden aangewezen. Het stellen van eisen aan diensten is op grond van het Europese recht toegestaan als hiervoor een toegestane uitzondering geldt en het proportioneel en subsidiair is. In het voorliggende geval is sprake van het stellen van eisen met het oog op de volksgezondheid.27 De onderbouwing die in paragraaf 4.4 van deze memorie van toelichting is gegeven van het stellen aan eisen aan informatietechnologieproducten, is van overeenkomstige toepassing op het stellen van eisen aan diensten. Kortheidshalve wordt daarom verwezen naar die genoemde paragraaf.

Van verplichtingen die gelden voor grensoverschrijdende dienstverrichting (hoofdstuk IV van de dienstenrichtlijn) kan sprake zijn bij verplichtingen voor dienstverrichters die grensoverschrijdende activiteiten (kunnen) verrichten, zoals van certificerende instellingen of aanbieders van informatietechnologiediensten. Artikel 16 van de dienstenrichtlijn bepaalt dat lidstaten het recht van dienstverrichters om diensten te verrichten in een andere lidstaat dan die waar zij zijn gevestigd moeten eerbiedigen. De lidstaat waar de dienst wordt verricht moet zorgen voor vrije toegang tot en vrije uitoefening van een dienstenactiviteit op zijn grondgebied. Dit artikel regelt verder dat de lidstaten de toegang tot en de uitoefening van een dienstenactiviteit op hun grondgebied niet afhankelijk mogen maken van de naleving van eisen die discrimineren (onderscheid naar nationaliteit of vestiging) of niet noodzakelijk of evenredig zijn.

De eisen in dit wetsvoorstel zijn van toepassing op alle dienstverrichters en maken daarbij geen onderscheid waardoor voldaan wordt aan het discriminatieverbod. Zoals hierboven is toegelicht, zijn de bepalingen noodzakelijk uit hoofde van de volksgezondheid.29 De eis van evenredigheid houdt in dat de eis geschikt moet zijn om het doel te bereiken en dat de eis niet verder mag gaan dan nodig is om dit doel te bereiken. Hierboven is toegelicht waarom de eisen in dit wetsvoorstel evenredig zijn.

5. Verhouding tot nationale regelgeving

Met dit wetsvoorstel wordt een aantal wetten aangepast, te weten de Wabvpz, de Wet publieke gezondheid (hierna: Wpg), de Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz), de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Wzd). De aanpassingen worden onderstaand in paragraaf 5.1 kort beschreven. Vervolgens wordt een beknopte toelichting gegeven op de verhouding van voorliggend wetsvoorstel ten aanzien van de WGBO en meer in het bijzonder het medisch beroepsgeheim (paragraaf 5.2) en de Wabvpz (paragraaf 5.3). Tenslotte wordt het wetsvoorstel Digitale overheid behandeld (paragraaf 5.4).

5.1 Aanpassing wetten

Voor de wijziging van de Wpg geldt dat de op grond van die wet geldende verplichting in de jeugdgezondheidszorg om software af te nemen die elektronische gegevensuitwisseling mogelijk maakt, bij het voorliggende wetsvoorstel (in de AMvB) aangepast zal worden in een verplichting om gegevens uit te wisselen door middel van een elektronische infrastructuur. Hiermee wordt het bestaande beleid (stimuleren gegevensuitwisseling via een elektronische infrastructuur) bestendigd. De effecten van deze aangepaste verplichting zijn naar verwachting minimaal, omdat de noodzakelijke software al is afgenomen en het veld al gewoon is elektronisch gegevens uit te wisselen.

5.2 Verhouding met de WGBO (medisch beroepsgeheim)

Het algemene uitgangspunt van ‘goed hulpverlenerschap’ is in de WGBO verankerd.30 Daarnaast is deze norm nader uitgewerkt in de (tucht-)rechtspraak en in de door de beroepsgroep opgestelde protocollen en richtlijnen. Voor hulpverleners brengt het ‘goed hulpverlenerschap’ een aantal verplichtingen met zich mee met betrekking tot de verwerking van informatie over cliënten. Zo moeten hulpverleners voldoen aan: de dossierplicht en de bewaarplicht, de geheimhoudingsplicht, en een aantal patiëntenrechten, zoals het recht op inzage en afschrift, aanvulling en vernietiging. Het voorliggende wetsvoorstel zal vaak zien op de uitwisseling van gegevens uit het medisch dossier. De bijbehorende plichten ten aanzien van het dossier en de geheimhouding en de patiëntenrechten zijn onverminderd van kracht.

Zoals reeds in paragraaf 2.2.1 is weergegeven regelt het wetsvoorstel niet óf uitgewisseld mag worden maar – als uitgewisseld mag of moet worden – hóe uitgewisseld moet worden (door middel van een elektronische infrastructuur, en eventueel volgens bepaalde eisen).

Dat betekent dat de kaders en regels rondom grondslagen voor gegevensverwerking (in onder meer de AVG en de UAVG) en het (doorbreken van) medisch beroepsgeheim, zoals hierboven is weergegeven niet ter discussie staan en onverminderd van kracht zijn.

Concreet wil dit zeggen dat wanneer vanwege bijvoorbeeld het medisch beroepsgeheim of het ontbreken van een grondslag voor het verwerken van (bijzondere) persoonsgegevens geen uitwisseling van die gegevens kan plaatsvinden, niet toe wordt gekomen aan de regels in dit wetsvoorstel. Kortom: er geldt géén verplichting om elektronisch gegevens uit te wisselen als er geen grondslag is voor gegevensuitwisseling of dit strijd oplevert met het medisch beroepsgeheim. In paragraaf 8.3 wordt verder ingegaan op de effecten van het wetsvoorstel op de gegevensbescherming.

5.3 Verhouding met elektronisch uitwisselingssysteem (artikel 15a Wabvpz)

Zoals bovenstaand beschreven geldt voor zorgverleners het medisch beroepsgeheim. Als een zorgverlener de gegevens van een cliënt wil uitwisselen – en dus het medisch beroepsgeheim wil doorbreken – heeft de zorgverlener een grond voor doorbreking nodig. Bijvoorbeeld, de cardioloog wil graag de medicijngegevens van een cliënt ontvangen die eerder zijn voorgeschreven door een internist, omdat een bepaalde combinatie van medicijnen een gevaar voor de gezondheid kan opleveren. De cliënt kan vervolgens de internist toestemming geven deze gegevens te delen (in de praktijk geeft de cliënt de opvolgende hulpverlener toestemming de gegevens op te vragen bij de voorgaande hulpverlener, in dit voorbeeld zal de cliënt dus toestemming geven aan de cardioloog om bij de internist de gegevens op te vragen). Als de cliënt toestemming geeft, vraagt de cardioloog aan de betreffende internist om de gegevens. De internist kan het beroepsgeheim dan doorbreken want er is sprake van toestemming. Als de gegevensuitwisseling vervolgens elektronisch plaatsvindt, zoekt de internist de noodzakelijke gegevens op in het dossier van de cliënt en verstuurt deze via een elektronische infrastructuur of zorgt dat de cardioloog de gegevens zelf kan benaderen via een elektronische infrastructuur.

Er zijn echter ook elektronische systemen die anders werken. Bij deze systemen worden de gegevens van de cliënt al van tevoren beschikbaar gesteld door de zorgverlener die deze gegevens heeft. De zorgverlener zorgt er dan voor dat de gegevens die hij heeft over de cliënt alvast raadpleegbaar zijn voor een nog onbekende zorgverlener. Die zorgverlener weet dan nog niet op welk moment en welke collega die gegevens in de toekomst gaat raadplegen. Ze staan in elk geval alvast klaar voor een uitwisseling met een andere zorgverlener.

Als er wordt gewerkt met elektronische systemen die de gegevens al van tevoren beschikbaar stellen, is in de Wabvpz geregeld dat voor dat vooraf beschikbaar stellen uitdrukkelijke toestemming nodig is van de cliënt (artikel 15a Wabvpz). Dan worden er dus nog geen gegevens uitgewisseld, ze zijn alleen beschikbaar. De elektronische systemen die op deze manier functioneren worden elektronische uitwisselingssystemen genoemd in de Wabvpz.

De situatie kan zich voordoen dat het uitwisselen van gegevens is toegestaan op basis van de WGBO; bij bijvoorbeeld een verwijzing van een huisarts naar een specialist wordt uitgegaan van veronderstelde toestemming van de cliënt aan de huisarts om zijn medisch beroepsgeheim te doorbreken. Als de uitwisseling via (beveiligde) e-mail plaatsvindt, kan de huisarts de gevraagde gegevens op basis van die veronderstelde toestemming naar de specialist sturen of de specialist toegang geven tot die gegevens.

5.4 Verhouding ten aanzien van wetsvoorstel digitale overheid

Het wetsvoorstel digitale overheid (hierna: Wdo)33 heeft tot doel het regelen van het veilig en betrouwbaar kunnen inloggen voor Nederlandse burgers en bedrijven bij de (semi-) overheid (eID stelsel). De Wdo gaat ook gelden voor categorieën van zorgaanbieders die vallen onder de Wabvpz, in het kader van de taken waarvoor zij op basis van de Wabvpz het BSN gebruiken. Dit betekent dat deze zorgaanbieders bij de uitwisseling van gegevens (in aanvulling op eventuele eisen die gelden op grond van het voorliggende wetsvoorstel) zullen moeten voldoen aan de eisen en normen ten aanzien van veilig inloggen uit de Wdo. Op grond van dit wetsvoorstel worden dergelijke regels voor elektronische gegevensuitwisseling dan ook vooralsnog niet vastgesteld. Wel zal bij het opstellen van de (NEN-normen) de AMvB de Wdo in acht genomen worden.

6. Implementatie en uitvoering

De ervaring met verschillende wetgevingstrajecten heeft geleerd dat een goede implementatie veel voorbereidingstijd kost. Op tijd starten is noodzakelijk om te voorkomen dat de invoering van een wettelijke verplichting tot elektronische gegevensuitwisseling vertraging oploopt. Echter de basis voor een succesvolle implementatie ligt bij de betrokkenheid en het draagvlak van het veld om gezamenlijk de met het wetsvoorstel beoogde doelstelling te behalen. De inbreng van kennis en kunde van het zorgveld is belangrijk om het wetsvoorstel uiteindelijk met succes te kunnen implementeren. Hieraan wordt invulling gegeven door het zorgveld een belangrijke en noodzakelijke rol te geven vanaf het proces van de totstandkoming van een meerjarenagenda Wegiz (paragraaf 3.2) tot en met de daadwerkelijke implementatie van de AMvB, met inbegrip van de daarin aangewezen NEN-norm.

Draagvlak en betrokkenheid zijn ook aspecten die maken of een gegevensuitwisseling uiteindelijk bij AMvB wordt aangewezen in spoor 1 of in spoor 2 (paragraaf 3.4). Belangrijk hierbij is om te onderkennen dat ondanks dat de Minister met dit wetsvoorstel regie neemt hij geen doorzettingsmacht heeft om de totstandkoming van een NEN‑norm af te dwingen. Dit vergt tijd betrokkenheid bij de uitvoering, vereist een breed draagvlak binnen het zorgveld en gezamenlijke inspanning om interoperabiliteit op het gebied van gegevensuitwisseling te realiseren. Het veld, waaronder zorgaanbieders en aanbieders van technologieproducten en -diensten, kan actief participeren bij het ontwikkelen van de NEN-norm per gegevensuitwisseling, waarnaar in de AMvB voor de eisen aan taal en techniek zal worden verwezen. Ook worden betrokkenen in de gelegenheid gesteld om op de concept-NEN-norm te reageren gedurende de openbare consultatie daarvan (paragraaf 3.5).

In de periode nadat de AMvB in werking is getreden, dienen bijvoorbeeld certificeringsschema’s te worden opgesteld, certificerende instellingen te worden geaccrediteerd en informatietechnologieproducten of -diensten te worden gecertificeerd. Bij het bepalen van de duur van de transitieperiode zal bij de totstandkoming van de AMvB nadrukkelijk aandacht worden besteed aan onder meer de hiervoor genoemde aspecten.

Door middel van zelfevaluatie zullen individuele zorgaanbieders in staat worden gesteld, om een inschatting te kunnen maken welke maatregelen getroffen dienen te worden en de tijd en inspanning die dat vergt om uitvoering te kunnen geven aan de AMvB.

Een andere succesfactor voor implementatie en uitvoering van het wetsvoorstel is de inzet op kennis, kunde, houding en gedrag van degenen die met het wetsvoorstel moeten werken. Dat er geschikt instrumentarium is, betekent niet vanzelfsprekend dat dit ook wordt benut en op de juiste wijze wordt ingezet. Implementatie is dus niet alleen het overdragen van feitelijke kennis, maar vooral het overdragen van succesvolle werkwijzen (bepaalde vaardigheden en werkprocessen) en gedrag. Het delen van ervaringen die zijn opgedaan met de aan te wijzen gegevensuitwisseling kunnen hierbij behulpzaam zijn. Dit is ook een succesfactor gebleken bij de uitvoering van de VIPP-regelingen waarover in paragraaf 2.2.1 geschreven is.

Implementatie van deze wet vraagt veel van het zorgveld en alle betrokken partijen. Daarom is een beoordeling op effectiviteit en leren van ervaring belangrijk om te beoordelen of aanvullende maatregelen nodig zijn. Om te beoordelen of het met het wetsvoorstel beoogd doel wordt bereikt, is in artikel 7.1 een evaluatiebepaling op genomen.

7. Toezicht en handhaving

Hoofdstuk 4 van het wetsvoorstel bevat de bepalingen inzake het toezicht op en de handhaving van de bij of krachtens het wetsvoorstel gestelde bepalingen. Deze zijn deels ontleend aan hoofdstuk 4 Wkkgz.

7.1 Toedeling van de taak tot bestuursrechtelijke handhaving

Bestuursrechtelijke handhaving omvat het houden van toezicht op de naleving van regels. Ook valt onder deze taak het behandelen van klachten over de naleving van regels en het opleggen van bestuurlijke sancties in geval van overtreding van regels. Het wetsvoorstel deelt de taak tot bestuursrechtelijke handhaving toe aan de Minister. De Minister zal de handhaving veelal mandateren aan de instantie die belast is met het toezicht, de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ). De IGJ is gespecialiseerd in en heeft veel ervaring met het toezicht houden op zorgaanbieders, en heeft daarmee zicht op de aanbieders van informatietechnologieproducten of -diensten.

De Minister wijst ambtenaren aan als toezichthouder. De bevoegdheden van de toezichthouder zijn beschreven in titel 5.2 van de Algemene wet bestuursrecht. Aanvullend hierop kan de bevoegdheid tot het betreden van een woning zonder toestemming van de bewoner worden toegekend voor het toezicht op de regels, gesteld bij of krachtens het wetsvoorstel maar alleen voor zover de woning deel uitmaakt van een bouwkundige voorziening voor het verlenen van zorg.

In het kader van het houden van toezicht op de naleving van de verplichtingen kan het noodzakelijk zijn dat de toezichthouder inzage krijgt in bijzondere persoonsgegevens. Het spreekt voor zich dat voorkomen moet worden dat deze gegevens, tenzij met toestemming van de cliënt, onder ogen van derden zouden komen. Daarom geldt voor deze gegevens een geheimhoudingsverplichting voor de toezichthouder.

In de Inspectieraad zal worden besproken hoe de samenwerking op het vlak van gegevensuitwisselingen tussen de IGJ en andere inspecties kan worden vormgegeven. Gedacht kan worden aan samenwerking met het Agentschap Telecom, dat toezicht houdt op aspecten van gegevensuitwisselingen die zijn of zullen worden geregeld in de Wdo en de Cyberbeveiligingsverordening.

7.2 Keuze sanctiestelsel

Bij de keuze van het sanctiestelsel is gekeken naar de discussie die in Nederland al enige jaren speelt over de wijze van sanctioneren (bestuurlijk, strafrechtelijk of duaal), de hoogte van de op te leggen sancties en de rechtsbescherming in dat kader. Hierbij is met name relevant het advies van de Raad van State uit 201534, en de reactie daarop van het kabinet in het uitgebrachte nader rapport35 en de documenten die in dat nader rapport worden genoemd, zoals met name de kabinetsnota over de uitgangspunten bij de keuze van een sanctiestelsel.36

Uit de hierboven aangehaalde documenten blijkt dat met betrekking tot sanctionering in beginsel alle modaliteiten (bestuurlijke, strafrechtelijke of duale handhaving) mogelijk zijn. In dit wetsvoorstel is gekozen voor de bestuurlijke modaliteit en kan de Minister, wanneer een informatietechnologieproduct of -dienst in strijd met artikel 3.1 niet vergezeld gaat van een certificaat, een bestuurlijke boete opleggen. Dit is een bestuursrechtelijke punitieve sanctie. Voor dit sanctiestelsel is om de volgende redenen gekozen.37 De feitelijke pakkans wordt verhoogd door de keuze van een bestuursrechtelijke punitieve sanctie. Het gaat om een eenvoudig te identificeren maar kleine doelgroep. Bij de aard van de overtreding past veel beter een financiële sanctie dan een vrijheidsbenemende sanctie. De keuze voor een bestuursrechtelijke sanctie is proportioneel tot het herstel van de rechtsorde in algemene zin. Bovendien is bij de IGJ gespecialiseerde kennis en ervaring aanwezig om de overtreding te kunnen constateren.

In het voorgestelde artikel 4.3 is, conform artikel 5:46 van de Awb, de maximale hoogte van de op te leggen boete vastgelegd op een boete van de zesde categorie als bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht of, indien die boetecategorie geen passende bestraffing toelaat, een geldboete tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbeschikking. Dit maximum weerspiegelt het belang dat moet worden gehecht aan het gebruik van gecertificeerde informatietechnologieproducten of -diensten. Voor grote ondernemingen is de mogelijkheid opgenomen om wanneer de maximale boete in de zesde categorie niet voldoende is om afschrikwekkende werking te hebben, voor een hogere boete te gaan gebaseerd op de jaaromzet van de onderneming. Het omgekeerde is ook van toepassing ten aanzien van kleine ondernemingen. Het opleggen van het maximum bedrag dat mogelijk is zal bij kleine bedrijven in beginsel niet aan de orde zijn. Uiteindelijk blijft de precieze boetehoogte in een specifieke casus maatwerk en zal het bedrag altijd proportioneel moeten zijn in relatie tot de begane overtreding en onder meer de financiële draagkracht van het bedrijf. Een certificaat geeft immers zekerheid dat de beoogde gegevensuitwisseling kan plaatsvinden op een wijze dat zorgverleners op het juiste moment en op de juiste plek beschikken over adequate, actuele en uniforme informatie over cliënten. Overtreding kan gevolgen hebben voor de kwaliteit van de gegevensuitwisseling én daarmee uiteindelijk in een verder verband voor de gezondheid van cliënten. Van de mogelijkheid om een bestuurlijke boete op te leggen voor het aanbieden én op de ondersteuning van een informatietechnologieproduct of -dienst, wordt ook een preventief effect verwacht. Zowel de zorgaanbieder als de leverancier van de informatietechnologieproducten en -diensten zullen ervoor willen zorgen dat de juiste certificaten aanwezig zijn en de functionaliteiten van de informatietechnologieproducten en -diensten op de juiste wijze gebruikt worden bij aangewezen gegevensuitwisselingen. De informatietechnologieproducten en -diensten die gebruikt worden voor het uitwisselen van gegevens, maar die niet uitgewisseld worden in een aangewezen gegevensuitwisseling, vallen niet onder de wettelijke verplichting en daarop kan de handhaving in het kader van dit wetsvoorstel dan ook niet zien.

7.3 Toezicht op aanwijzing in spoor 1 en aanwijzing in spoor 2

In aanwijzing van een gegevensuitwisseling in spoor 1 zal worden toegezien dat zorgverleners bij het uitwisselen van gegevens ten minste gebruik maken van een elektronische infrastructuur. Ook wordt toegezien op de naleving van de bij AMvB gestelde eisen die ertoe leiden dat het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling kan plaatsvinden op een functionele, technische of organisatorische wijze. Het toezicht in spoor 1 ziet niet op de wijze en snelheid waarmee de betrokken (zorg)partijen invulling geven aan de gezamenlijke ambitie van het veld om de gegevensuitwisseling door middel van een elektronische infrastructuur van spoor 1 naar spoor 2 te brengen.

7.4 Verplichtingen voor zorgaanbieders

7.5 Eisen aan informatietechnologieproducten of -diensten

Voor gegevensuitwisselingen die zijn aangewezen in spoor 2, is de eis gesteld dat informatietechnologieproducten of -diensten voorzien moeten zijn van een certificaat. Certificerende instellingen geven op aanvraag en voor zover aan de eisen wordt voldaan een certificaat af voor een informatietechnologieproduct of -dienst. De certificerende instelling zal er ingevolge de certificatieschema’s op moeten toezien dat een informatietechnologieproduct of -dienst blijft voldoen aan de eisen. De certificerende instelling zal hiertoe steekproefsgewijs controles en administratieve audits uitvoeren. De certificerende instelling kan, wanneer het tot de conclusie komt dat niet voldaan wordt aan de eisen, het certificaat schorsen of intrekken. Een aanbieder die het daarmee niet eens is, kan zich wenden tot de bestuursrechter. Omdat in dit wetsvoorstel conformiteitbeoordelingen verplicht zijn gesteld, kunnen de certificerende instanties die deze beoordelingen uitvoeren worden aangemerkt als bestuursorgaan. Immers, een certificerende instelling beslist feitelijk of een informatietechnologieproduct of -dienst al dan niet in de markt mag worden gezet. Hiermee moet een certificerende instelling geacht te zijn bekleed met openbaar gezag. Dit houdt in dat de certificerende instellingen voor het verstrekken van certificaten op grond van dit wetsvoorstel bestuursorganen zijn en de besluiten die ze in dat kader nemen, besluiten zijn in de zin van de Algemene wet bestuursrecht. Een certificerende instelling moet bij deze activiteiten aan alle eisen voor een bestuursorgaan voldoen en haar besluiten staan open voor bezwaar en beroep.

Certificerende instellingen kunnen alleen toezien op informatietechnologieproducten of -diensten waarvoor een certificaat is verleend. Wanneer er geen aanvraag om een certificaat wordt ingediend, of het certificaat wordt geweigerd, is het informatietechnologieproduct of -dienst niet in beeld bij de certificerende instelling. Daarom houdt de door de Minister aangewezen toezichthouder, de IGJ, toezicht op de aanwezigheid van een certificaat.

In het geval de Minister in het uiterste geval ter waarborging van de continuïteit van het systeem gebruik maakt van de bevoegdheid om zelf te certificeren, komt de Minister in die specifieke omstandigheid de bevoegdheid toe om het certificaat te schorsen of in te trekken. Daarvan kan sprake zijn in het geval de minister tot de conclusie komt dat niet worden voldaan aan de gestelde eisen.

Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling wordt ingetrokken. Dit kan bijvoorbeeld zijn omdat de certificerende instelling zich van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing. Uit het intrekken van de aanwijzing van de certificerende instelling kan niet direct een oordeel gegeven worden over de vraag of het informatietechnologieproduct of -dienst voldoet aan de NEN-norm die geldt voor de aangewezen gegevensuitwisseling waarvoor het informatietechnologieproduct of -dienst wordt gebruikt. In het geval de accreditatie van de certificerende instelling wordt ingetrokken kan niet met zekerheid worden gesteld dat certificaat voor het informatietechnologieproduct of -dienst terecht is verleend. Maar in alle gevallen geldt dat er een overgangstermijn nodig is waarin de aanbieder van het informatietechnologieproduct of -dienst de tijd heeft om een nieuwe certificerende instelling te vinden die de taken van de vorige certificerende instelling overneemt. Voorgesteld wordt daarom dat de afgegeven certificaten voor een informatietechnologieproduct of -dienst nog twaalf maanden geldig zijn. Deze geldigheid vloeit voort uit de wet zelf en geldt ook wanneer de geldigheid van het certificaat zelf op een korte termijn was bepaald. In deze twaalf maanden kan de aanbieder van het product doorgaan met het product op de markt te brengen. Zoals hiervoor aangegeven zegt het wegvallen van de certificerende instelling in eerste instantie namelijk niets over de conformiteit van het informatietechnologieproduct of -dienst met de NEN-norm. Mocht er geen opvolgende certificerende instelling zijn dan kan worden teruggevallen op artikel 3.2, zevende lid, waarbij de minister vanwege de borging van de continuïteit van het systeem de dossiers van de certificerende instelling en ook diens taken overneemt.

Wanneer een certificerende instelling of in het uiterste geval de Minister een certificaat schorst of intrekt, dient de zorgaanbieder in de gelegenheid te worden gesteld om een nieuw informatietechnologieproduct of -dienst aan te schaffen en te implementeren binnen de eigen organisatie. Dit om te voorkomen dat de continuïteit van de gegevensuitwisseling in gevaar wordt gebracht. De termijn voor deze transitie dient zo kort mogelijk te zijn. Immers het informatietechnologieproduct of -dienst voldoet niet (volledig) aan de voor die aangewezen gegevensuitwisseling geldende NEN-norm. Daarom is ervoor gekozen een standaardtermijn van 6 maanden te hanteren (artikel 3.5, derde lid). Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat de zesmaandentermijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (artikel 3.5, vierde lid). Aan dit besluit tot verlenging kan de Minister voorwaarden verbinden. Tegen het besluit van de Minister om het voortgezet gebruik na zes maanden verder te verlengen, kunnen rechtsmiddelen worden aangewend.

7.6 Verplichtingen voor certificerende instellingen

De certificerende instellingen die certificaten mogen verlenen, worden aangewezen door de Minister. De Minister wijst alleen certificerende instellingen aan die geaccrediteerd zijn door de RvA volgens Europese geharmoniseerde normen of die hiervoor ten minste een aanvraag tot accreditatie hebben ingediend. Het toezicht op het functioneren van de certificerende instellingen vindt primair plaats door de RvA. De RvA ziet toe op de deskundigheid, onafhankelijkheid, onpartijdigheid en betrouwbaarheid van de certificerende instellingen. Dit doet de RvA door periodiek te controleren. De RvA kan, wanneer de RvA tot de conclusie komt dat niet voldaan wordt aan de eisen, de accreditatie intrekken of schorsen. Dit volgt uit de Wet aanwijzing nationale accreditatie-instantie en de daarbij behorende beleidsregel Accreditatie.38 Een certificerende instelling die het daarmee niet eens is, kan bezwaar indienen en zich vervolgens wenden tot de bestuursrechter. Immers, de RvA beslist feitelijk of een certificerende instelling zich op de markt mag bewegen (voor het verlenen van certificaten voor informatietechnologieproducten of -diensten die voorzien moeten zijn van een certificaat). Hiermee moet de RvA geacht te zijn bekleed met openbaar gezag. Dit houdt in dat de RvA voor het accrediteren van certificerende instellingen op grond van dit wetsvoorstel een bestuursorgaan is en de besluiten die hij in dat kader neemt besluiten zijn in de zin van de Algemene wet bestuursrecht. De RvA moet bij deze activiteiten aan alle eisen voor een bestuursorgaan voldoen en zijn besluiten staan open voor bezwaar en beroep.

Van de beslissing van de RvA om een accreditatie in te trekken of te schorsen moet de Minister worden geïnformeerd, omdat de beslissing gevolgen kan hebben voor de aanwijzing van de certificerende instelling door de Minister. Doorgaans zal intrekking of schorsing van een accreditatie leiden tot intrekking of schorsing van de aanwijzing door de Minister. Dit zal bij AMvB nader worden geregeld op grond van artikel 3.3, aanhef en onder c, van het wetsvoorstel.

Aangezien de RvA al in belangrijke mate toezicht houdt op certificerende instellingen, zal het toezicht door de Minister op certificerende instellingen terughoudend zijn en georganiseerd worden in overleg met de RvA. Dit laat onverlet dat de Minister stelselverantwoordelijk is en dus toezicht moet kunnen houden en, wanneer dit nodig is, moet kunnen ingrijpen. Dit volgt ook uit het kabinetsstandpunt voor conformiteitsbeoordeling en accreditatie.39 Dit is kwaliteitstoezicht dat erop is gericht om het stelsel goed te laten functioneren. Het is er niet op gericht om te controleren of iedere individuele aangewezen certificerende instelling aan de eisen voldoet. Immers, de RvA houdt al in belangrijke mate toezicht op certificerende instellingen zodat het toezicht door de Minister op certificerende instellingen terughoudend zal zijn. Kortom, het toezicht door de Minister op aangewezen certificerende instellingen moet worden ingevuld als stelseltoezicht. Het toezicht door de Minister zal georganiseerd worden in overleg met de RvA. Gelet op het terughoudende karakter van het stelseltoezicht, zal reactief toezicht gehouden worden op basis van signalen over het functioneren van specifieke aangewezen certificerende instellingen. De IGJ heeft dus eerst en vooral een onderzoeks- en signaalfunctie. De toezichthouder zet signalen door naar certificerende instellingen, de RvA of de Minister, waarna wordt bepaald welke vervolgstappen worden gezet. Ook kan stelseltoezicht op een projectmatige manier worden ingevuld om een beeld te vormen van het functioneren van het stelsel, bijvoorbeeld ten aanzien van een specifiek thema. Afhankelijk van risico’s en de kenmerken van een bepaalde gegevensuitwisseling kan (de intensiteit van) het toezicht door de toezichthouder verschillend worden ingevuld.

8. Effecten van het wetsvoorstel

Dit hoofdstuk geeft een overzicht van de effecten die het wetsvoorstel naar verwachting op de Nederlandse samenleving zal hebben. Daarbij wordt ingegaan op zowel de sociale (regeldruk en rechtspraak) als de economische effecten (lasten).

8.1 Financiële gevolgen

Met dit wetsvoorstel wordt stap voor stap (gegevensuitwisseling na gegevensuitwisseling) de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners bij het uitwisselen van gegevens ten minste gebruik maken van een elektronische infrastructuur en worden genormaliseerde eisen gesteld aan informatietechnologieproducten of -diensten. De financiële effecten zullen per aangewezen gegevensuitwisseling verschillend zijn. De financiële gevolgen van dit wetsvoorstel zijn daarmee vooral verbonden aan de AMvB, waarbij gegevensuitwisselingen worden aangewezen.

8.1.1 Lasten voor zorgaanbieders

De verplichting voor zorgaanbieders om in spoor 2 gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten, zal tot implementatiekosten en nalevingskosten leiden. De kosten en baten zullen per gegevensuitwisseling verschillen en, zoals hiervoor besproken, vooraf in kaart worden gebracht. Hierbij zal uiteraard per gegevensuitwisseling rekening worden gehouden met de grote diversiteit binnen het zorgveld. Het zorgveld strekt zich uit van academische ziekenhuizen tot solistisch werkende zorgverleners. Wel is belangrijk om te vermelden dat het uitgangspunt is dat de (investerings)kosten voor de implementatie van de wettelijk verplichte gegevensuitwisseling worden opgebracht uit de bedrijfsvoeringsmiddelen van de zorgaanbieders.

Gezien de aard van het wetsvoorstel is in de fase van beleidsontwikkeling een bedrijfseffectentoets (hierna: BET) uitgevoerd. Uit de BET volgt dat zorgaanbieders te maken krijgen met eenmalige effecten en structurele effecten.

De kosten en baten hiervan zullen per te verplichten gegevensuitwisseling en per organisatie verschillen.

Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen, moet duidelijk zijn om welke gegevens het gaat. Daarbij zal het vaak van belang zijn om te kunnen verwijzen naar een of meer kwaliteitsstandaarden. Een mogelijk effect van het wetsvoorstel is dat bij het ontbreken van een kwaliteitsstandaard deze alsnog dient te worden opgesteld. Daarnaast is bekend dat in de thans bestaande kwaliteitsstandaarden niet in alle gevallen een beschrijving van het ‘wat’ aanwezig is die ook zal moeten worden opgesteld. Dit brengt lasten mee voor partijen die de kwaliteitsstandaarden opstellen.

Een ander mogelijk effect van het wetsvoorstel is gelegen in het onderscheid tussen aanwijzing in spoor 1 dan wel spoor 2. Zoals eerder toegelicht wordt onder aanwijzing in spoor 1 voor een gegevensuitwisseling in eerste instantie alleen de verplichting opgelegd om gegevens langs elektronische weg uit te wisselen. Wanneer een gegevensuitwisseling is aangewezen in spoor 1, bestaat bij het veld de ambitie om uiteindelijk de stap te zetten naar een aanwijzing in spoor 2. In dat licht is de verwachting dat het veld zelf aan de slag gaat met de normalisatie van eisen die gesteld worden aan taal en techniek. Om het risico op desinvestering te beperken, is het van belang dat alle betrokken partijen kunnen participeren in de totstandkoming van de NEN‑norm per gegevensuitwisseling. Dit is geborgd door de werkwijze van NEN. In de NEN‑normwerkgroepen worden immers alle belanghebbenden betrokken bij het opstellen van de eisen aan taal en techniek, zoals die gelden bij een aanwijzing in spoor 2. Het effect van deze werkwijze is dat het een tijdsinvestering van het zorgveld zal vergen om de NEN-norm te realiseren.

Mocht daarnaast blijken dat bepaalde zorgaanbieders meer tijd en middelen nodig hebben om te voldoen aan de eisen, dan kan zo nodig in de AMvB ervoor gekozen worden een langere overgangstermijn aan te houden.

8.1.2 Lasten voor cliënten

Dit wetsvoorstel brengt geen lasten mee voor cliënten. Het wetsvoorstel richt zich namelijk op de gegevensuitwisseling door middel van een elektronische infrastructuur tussen zorgverleners over de cliënt. Het wetsvoorstel heeft wel positieve gevolgen voor de cliënt. Niet alleen is de verwachting dat met dit wetsvoorstel het risico op vermijdbare fouten merkbaar wordt verkleind, ook heeft dit wetsvoorstel positieve effecten op de lasten van cliënten. Zo is het niet meer nodig dat gegevens bij een opvolgende zorgverlener opnieuw moeten worden aangeleverd. Dit leidt tot de uitvraag van minder (administratieve) gegevens en tot minder onnodige onderzoeken met mogelijk verkeerde behandelingen tot gevolg. Omdat gegevens elektronisch beschikbaar worden, kunnen deze bovendien makkelijker elektronisch worden uitgewisseld met de cliënt zelf. Het gaat immers bij gegevensuitwisseling tussen zorgverleners vaak om dezelfde gegevens.

8.1.3 Lasten voor certificerende instellingen

8.1.4 Lasten voor aanbieders van informatietechnologieproducten of -diensten

Aanbieders van informatietechnologieproducten of -diensten zullen (initieel) extra werk moeten verzetten en investeringen moeten doen om ervoor te zorgen dat de informatietechnologieproducten of -diensten voldoen aan de eisen en dat er een certificaat kan worden aangevraagd en toegekend.

Uit de hierboven genoemde BET volgt dat aanbieders van informatietechnologieproducten of -diensten te maken krijgen met eenmalige effecten en structurele effecten.

De hoogte van de kosten voor het aanpassen van de informatietechnologieproducten en -diensten zal per norm en per product of dienst verschillen. Dit omdat de aanpasbaarheid van producten en diensten verschilt per aanbieder en product of dienst. Ook omdat de normen kunnen verschillen in de impact op de techniek van een product of dienst.

Een bijkomend positief effect van het wetsvoorstel is dat het voor aanbieders van informatietechnologieproducten of -diensten eenvoudiger wordt om hun product of dienst zonder aanpassingen te doen inpassen bij meerdere zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer.

De kosten die aanbieders van informatietechnologieproducten of -diensten maken, zullen zij naar verwachting grotendeels doorberekenen aan zorgaanbieders. Voor kleine aanbieders van informatietechnologieproducten of -diensten betekent dit dat de prijs van de producten en diensten waarschijnlijk meer zal stijgen ten opzichte van de grote aanbieders, omdat zij minder klanten hebben waarover de gemaakte kosten verdeeld kunnen worden. Zie ook paragraaf 8.2.1.

8.1.5 Lasten voor de overheid

Lasten normalisatie, ontwikkelen en beheer standaarden en lasten afkoop normen

De kosten voor het afkopen van de licentiekosten die verbonden zijn aan het gebruik van de normen zullen de komende jaren toenemen naarmate er meer naar normen wordt verwezen bij AMvB. Deze kosten zullen worden meegenomen in de begroting van het ministerie van VWS. Overigens is van een aantal normen de auteursrechten al overgenomen (NEN 7510, NEN 7512 en NEN 7513). De verwachting is dat bij AMvB naar deze normen zal worden verwezen.

Lasten toezicht en handhaving

Onder hoofdstuk 7 inzake toezicht en handhaving is geduid dat de IGJ een belangrijke rol gaat spelen in het toezicht (en gemandateerd de handhaving) van de plichten die gaan gelden voor zorgaanbieders en eisen die gesteld worden aan informatietechnologieproducten of -diensten.

De IGJ gaat ook toezicht houden op de plicht voor informatietechnologieproducten of -diensten om voorzien te zijn van een certificaat. Deze vorm van toezicht is nieuw voor de IGJ. Dit betekent dat deze vorm van toezicht ingebed moet worden in de organisatie, het personeel hiervoor opgeleid moet worden en meer personeel nodig is. De exacte gevolgen van deze nieuwe taak is pas te bepalen wanneer er duidelijkheid is hoeveel informatietechnologieproducten of -diensten zijn gecertificeerd. Dit wordt pas duidelijk als een gegevensuitwisseling en de relevante eisen worden aangewezen bij AMvB. Bij de AMvB zal dan ook steeds worden ingegaan op de effecten van deze taak voor de IGJ.

Lasten voor de rechtspraak

Lasten voor decentrale overheden

Dit wetsvoorstel ziet op zorgaanbieders en leveranciers van informatietechnologieproducten of -diensten. Decentrale overheden kunnen zorgaanbieders zijn in de zin van dit wetsvoorstel, zoals in het geval van jeugdgezondheidszorg. Voor die gevallen geldt wat in paragraaf 8.1.1 is toegelicht.

Lasten voor Caribisch Nederland

Dit wetsvoorstel ziet niet op zorgaanbieders en leveranciers van informatietechnologieproducten of -diensten in Caribisch Nederland. Voor het effectief elektronisch uitwisselen van gegevens over cliënten tussen zorgverleners is een zekere schaalgrootte noodzakelijk. Deze schaalgrootte is in Caribisch Nederland niet aanwezig. Er zijn daarom geen lasten voor Caribisch Nederland.

8.2 Effecten op de markt en innovatie

8.2.1 Markt van informatietechnologieproducten of -diensten

Met dit wetsvoorstel wordt de marktwerking beperkt, doordat zorgaanbieders worden verplicht om binnen de aangewezen gegevensuitwisselingen gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten (als voor die informatietechnologieproducten of -diensten is bepaald dat ze voorzien moeten zijn van een certificaat) en het certificaat voor een product of dienst alleen wordt verleend als voldaan is aan de eisen die opgenomen zijn in een aangewezen NEN-norm. Het is immers niet langer voor elke aanbieder van informatietechnologieproducten of -diensten mogelijk om deze producten of -diensten aan te bieden. In de paragrafen 4.4 en 4.5 van deze memorie van toelichting is al toegelicht dat deze inbreuk op het vrij verkeer van goederen en diensten gerechtvaardigd wordt geacht.

Om de positieve effecten op de marktwerking te kunnen realiseren, is het van groot belang dat ook kleine aanbieders van informatietechnologieproducten of -diensten en potentiële nieuwe toetreders worden betrokken bij de ontwikkeling van de normen. Dit is geborgd door de werkwijze van NEN (zie paragraaf 3.3). Zo zijn zij vroegtijdig op de hoogte, zodat zij op tijd kunnen starten met het inbouwen van de normen in de informatietechnologieproducten en -diensten, en kunnen zij invloed uitoefenen op de ontwikkeling van de standaarden.

Voor aangewezen gegevensuitwisselingen zal uiteindelijk de verplichting gelden (aanwijzing in spoor 2) dat deze op genormaliseerde wijze dienen plaats te vinden. Het kan zijn dat normalisatie een dempend effect heeft op innovatie. Bijvoorbeeld als het gebruik van een bepaald product wordt voorgeschreven hetgeen de ontwikkeling van een ander, beter product kan belemmeren. Dit wordt ondervangen door de normen periodiek te herzien. Zo kunnen innovatieve ontwikkelingen tijdig meegenomen worden. Bovendien kan normalisatie ook indirect bijdragen aan innovatie. Normalisatie leidt namelijk tot volledige interoperabiliteit die op zijn beurt kan bijdragen aan innovatie van primaire zorgprocessen. Daarnaast dragen normen bij aan het ontstaan van een gelijk speelveld waarmee concurrentie en daarmee innovatie worden bevorderd.

8.2.2 Arbeidsmarkt

8.3 Effecten op de gegevensbescherming

In de fase van beleidsontwikkeling is een gegevensbeschermingseffectbeoordeling (data protection impact assessment, DPIA) uitgevoerd op dit wetsvoorstel.43 Hierin is meegenomen dat de systematiek van het wetsvoorstel zelf geen andere (nieuwe) doeleinden of grondslagen creëert voor de verwerking van de uit te wisselen persoonsgegevens. Het wetsvoorstel zal immers alleen betrekking hebben op de bij AMvB aan te wijzen gegevensuitwisselingen, waarbij het doel van en de grondslag voor de verwerking van persoonsgegevens al zijn bepaald in andere regelgeving, zoals reeds eerder is weergegeven in paragraaf 2.2.1. Ook is meegenomen dat het wetsvoorstel geen verandering aanbrengt in de rechten van betrokkenen die voortvloeien uit de reeds geldende wetgeving in het zorgdomein. Zo zijn bijvoorbeeld de AVG, de WGBO en de Wabvpz onverkort van toepassing. Volledigheidshalve wordt over de verhouding tussen de AVG en de genoemde wetten opgemerkt dat de AVG voorrang heeft daar waar deze verder gaat in de bescherming van persoonsgegevens dan de Wabvpz en de WGBO.

Het wetsvoorstel laat ook onverlet dat betrokkenen hun rechten kunnen uitoefenen bij elke verwerkingsverantwoordelijke die hun persoonsgegevens verwerkt. Indien persoonsgegevens van een cliënt tussen zorgaanbieders onderling worden uitgewisseld, kan de cliënt dus bij beide zorgaanbieders – bijvoorbeeld – zijn recht op inzage uitoefenen op basis van artikel 7:456 BW in samenhang met artikelen 12 en 15 van de AVG. Ook kunnen cliënten bij beide zorgaanbieders een elektronische inzage en een elektronische kopie van hun dossier opvragen op basis van artikel 15d, eerste lid, van de Wabvpz in samenhang met de artikelen 12 en 15 van de AVG. De verwerkingsverantwoordelijken (zorgaanbieders), die in het kader van dit wetsvoorstel gegevens uitwisselen door middel van een elektronische infrastructuur, blijven ook verplicht om cliënten te informeren over onder meer de doeleinden van de verwerking, de rechten die cliënten in het kader van de verwerking van hun persoonsgegevens toekomen en de wijze waarop zij deze rechten kunnen uitoefenen. Dit recht op informatie van cliënten vloeit voort uit de artikel 15c, eerste lid, van de Wabvpz in samenhang met de artikelen 13 en 14 van de AVG.

De AVG brengt verder met zich dat bij elke uitwisseling in het kader van dit wetsvoorstel moet worden nagegaan welke persoonsgegevens noodzakelijk zijn om uit te wisselen gelet op de doeleinden van de uitwisseling. Al bij de ontwikkeling van NEN-normen, waarin de eisen aan taal en techniek zijn opgenomen, moet worden nagegaan of met de desbetreffende NEN-norm – ten minste – uitdrukking wordt gegeven aan de vereisten ingevolge de AVG, bijvoorbeeld op het gebied van de beveiliging van persoonsgegevens (opgenomen in onder meer artikel 32 van de AVG).

8.4 Fraude

De precieze gevolgen van dit wetsvoorstel zijn vooral verbonden aan de AMvB, waarbij gegevensuitwisselingen worden aangewezen. Bij elke (aanpassing van de) AMvB zal steeds ingegaan worden op de fraudegevoeligheid van de regelgeving. In deze paragraaf zal om die reden alleen in algemene zin worden ingegaan op fraudegevoeligheid.

De mogelijkheden tot fraude zullen niet toenemen door dit wetsvoorstel. Ook in termen van fraudemogelijkheden in de bekostiging van het stelsel van (te ontwikkelen) normen en de implementatie daarvan is niet voorzienbaar dat hier een wezenlijk andere situatie kan ontstaan dan in de huidige.

Wel moet opgemerkt worden dat, omdat dit wetsvoorstel het uitwisselen van gegevens via een elektronische infrastructuur tussen zorgverleners beoogt te stimuleren, de impact van bijvoorbeeld identiteitsfraude of fouten in zorgregistraties kan worden versterkt. Wat nu nog een geïsoleerde fout kan zijn, kan gaan doorwerken in ketens van de zorgverleners. Het is aan de zorgaanbieder en de zorgverlener als directe behandelaar om te controleren of de gegevens juist en actueel zijn, zoals dat overigens ook bij andere vormen van gegevensuitwisseling noodzakelijk is.

9. Advies en consultatie

9.1 Toezicht- en handhaafbaarheidstoets IGJ

Op 18 juni 2020 heeft de IGJ een toezicht- en handhaafbaarheidstoets inzake het wetsvoorstel uitgebracht. De IGJ concludeert dat aanpassing, dan wel aanscherping van het wetsvoorstel op enkele onderdelen noodzakelijk is om op een goede manier te kunnen handhaven. De opmerkingen van de IGJ hebben geleid tot aanpassingen van de definitie van het begrip ‘informatietechnologieproduct of -dienst’, artikelen 1.2 en 1.4, eerste lid, aanhef en onderdeel b, onder 1°. Voorts is in de memorie van toelichting verduidelijkt dat het wetsvoorstel ook betrekking heeft op het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners onderling (al dan niet binnen een zorgaanbieder), binnen en tussen de zorgdomeinen (paragraaf 2.3), is de samenhang met de Wabvpz toegelicht (paragraaf 5.2) en is het onderscheid tussen de aanwijzing in spoor 1 dan wel spoor 2 verhelderd (paragrafen 3.4.1 en 3.4.2). Daarnaast is de beoogde rol van de IGJ met betrekking tot het stelseltoezicht op de certificerende instellingen en het toezicht op de zorgaanbieders in aanwijzing in spoor 1 verduidelijkt (paragraaf 7.3). Hierover wordt nog opgemerkt dat, gelet op het terughoudende karakter van het stelseltoezicht, geen reguliere controles door de IGJ plaatsvinden om na te gaan of de certificerende instellingen nog aan de eisen voor aanwijzing voldoen. Gelet op het stelsel, waarin de certificerende instellingen beoordelen of informatietechnologieproducten of -diensten voldoen aan de hieraan gestelde eisen, past bij het toezicht ook niet dat de IGJ toezicht houdt op naleving van de NEN-norm op het niveau van taal en techniek. De IGJ heeft nog verzocht om de mogelijkheid van een tijdelijke ontheffing van de certificeringsplicht in het geval een certificaat wordt ingetrokken. Hier is echter niet voor gekozen. Wanneer een certificaat is geschorst of ingetrokken voorziet het wetsvoorstel erin dat een informatietechnologieproduct- of dienst voor de duur van zes maanden kan worden gebruikt in een aangewezen gegevensuitwisseling (artikel 3.5, derde lid). Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat de zesmaandentermijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (artikel 3.5, vierde lid). Aan dit besluit tot verlenging kan de Minister voorwaarden verbinden. Hiermee wordt de zorgaanbieder in de gelegenheid gesteld om over te stappen op een ander informatietechnologieproduct of -dienst. Op deze wijze is geborgd dat zo kort mogelijk gebruik wordt gemaakt van een informatietechnologieproduct of -dienst die of dat niet voldoet aan de eisen, zodat interoperabiliteit geborgd blijft.

9.2 Uitvoering- en handhaafbaarheidstoets Nederlandse Zorgautoriteit (NZa)

Het ontwikkelen van eenheid van taal en techniek is niet eenvoudig. In de te ontwikkelen AMvB’s zal worden verwezen naar kwaliteitsstandaarden en andere gegevens die relevant zijn ten aanzien van de zorgverlening aan een cliënt en zal, afhankelijk bij een aanwijzing in spoor 2, waarin de aangewezen gegevensuitwisseling verplicht wordt gesteld, een specifieke NEN-norm aanwezig zijn. De verantwoordelijkheid om bij nieuwe ontwikkelingen rekening te houden met bestaande standaarden is daarmee een verantwoordelijkheid van het veld (NEN-normen) en het Zorginstituut (kwaliteitsstandaarden). Voor de NZa wordt geen aanvullende rol voorzien.

9.3 Toets Zorginstituut Nederland (Zorginstituut)

Het Zorginstituut heeft op het gebied van kwaliteit als hoofdtaken het bevorderen van de kwaliteit van zorg en het transparant maken van de kwaliteit van de geleverde zorg. Hiervoor heeft het Zorginstituut een aantal instrumenten ter beschikking, waaronder het stimuleren van de ontwikkeling van kwaliteitsstandaarden en bijbehorende meetinstrumenten. Het wetsvoorstel legt de verbinding tussen een te verplichten gegevensuitwisseling tussen zorgverleners en de kwaliteitsstandaarden in het Openbare Register. Zie in dit verband paragraaf 2.3.3.

In zijn reactie op het wetsvoorstel geeft het Zorginstituut aan de toegekende rol passend te vinden bij de wettelijke taak die het Zorginstituut al heeft. Het Zorginstituut omarmt de maatregelen om in de zorg elektronische gegevensuitwisseling te bevorderen en zal zoveel mogelijk ondersteunen bij het bereiken van dit doel. Het Zorginstituut legt in zijn reactie de nadruk op de verbondenheid van het ‘wat’, de informatieparagraaf in de kwaliteitsstandaard en het ‘hoe’ zoals beschreven wordt in de NEN-norm en wil een meer actievere, verbindende rol spelen. Gelet op de noodzaak van een (blijvende) goede aansluiting van de op grond van een AMvB verplichte NEN-norm(en) op kwaliteitsstandaard(en), is in het wetsvoorstel voorzien in een wijziging van de Zvw door artikel 66ea toe te voegen. Het Zorginstituut zal daarmee de taak worden toebedeeld om bij wijzigingen in een kwaliteitsstandaard die van invloed zijn op een wettelijke gegevensuitwisseling de minister te informeren.

9.4 Toets Adviescollege toetsing regeldruk (ATR)

Het advies van het college is om het wetsvoorstel in te dienen, nadat met de adviespunten rekening is gehouden.

9.5 Toets Vereniging Nederlandse Gemeenten (VNG)

De Vereniging Nederlandse Gemeenten (hierna: VNG) acht de uitvoeringseffecten voor gemeenten in eerste aanleg niet groot. Daarom voorziet zij geen belemmeringen voor de uitvoering. Omdat de effectuering later verder zal worden geconcretiseerd in de vorm van één of meerdere AMvB’s wil de VNG graag betrokken blijven bij de verdere ontwikkelingen en de implementatie, en bieden daarbij ondersteuning aan.

9.6 Toets Autoriteit Persoonsgegevens (AP)

Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats omdat het wetsvoorstel geen nieuwe grondslagen creëert voor de verwerking van persoonsgegevens. In de tweede plaats omdat wat onder goede zorg moet worden verstaan is omschreven in artikel 2 Wkkgz. Voor zover dit geen concrete en nauwkeurige begrenzing biedt, vindt deze plaats in de kwaliteitsstandaarden die door het veld worden opgesteld. In deze standaarden wordt immers vastgelegd welke (bijzondere) persoonsgegevens in het kader van goede zorg nodig zijn.

9.7 Internetconsultatie

Van 10 maart 2020 tot en met 10 juni 2020 heeft het wetsvoorstel ter consultatie voorgelegen op internetconsultatie.nl. De oorspronkelijk termijn is tussentijds verlengd vanwege COVID-19 om op die manier zorgpartijen in de gelegenheid te stellen te reageren op het concept-wetsvoorstel. Hierop zijn 66 openbare en 26 niet-openbare reacties ontvangen. De reacties op de internetconsultatie zijn afkomstig van zorgverleners, patiëntenorganisaties, leveranciers van ICT-producten, adviesbureaus en particulieren. Het wetsvoorstel is in zijn algemeenheid positief ontvangen. Nut en noodzaak van het wetsvoorstel is door de meeste respondenten onderschreven. Wel waren er nog opmerkingen en adviezen ter verbetering en verduidelijking van het wetsvoorstel en de memorie van toelichting. Hieronder worden de ontvangen opmerkingen en adviezen per thema en op hoofdlijnen besproken en van een reactie voorzien.

Particulieren maken zich met name zorgen over de veiligheid van de gegevensuitwisseling. In reactie hierop wordt benadrukt dat de verplichtingen die voortvloeien uit de AVG onverkort van toepassing zijn en wordt voorzien in waarborgen om een toereikend beschermingsniveau te bieden. In paragraaf 8.3 is dit verder verduidelijkt.

Veel reacties hadden betrekking op (onduidelijkheid over) de reikwijdte van het wetsvoorstel. Volgens sommige respondenten zouden gegevensuitwisselingen tussen patiënt en zorgverlener, tussen zorgdomeinen en binnen de Wmo-ondersteuning binnen de reikwijdte van het wetsvoorstel moeten vallen. Andere respondenten brachten naar voren dat het wetsvoorstel ook het hergebruik van gegevens ten behoeve van medisch onderzoek zou moeten regelen. Dit is aanleiding geweest om in de memorie van toelichting de reikwijdte van het wetsvoorstel te verduidelijken (paragraaf 2.3).

Ook bestond bij veel respondenten onduidelijkheid over de verhouding van het wetsvoorstel tot het toestemmingsvereiste in artikel 15a van de Wabvpz en het medisch beroepsgeheim. Dit is verhelderd in paragraaf 5.2.

Bij veel respondenten bestond onduidelijkheid over de totstandkoming van de roadmap, de verhouding van spoor1 tot spoor2 en het NEN-proces. Dit is aanleiding geweest deze onderwerpen in paragrafen 3.2 en 3.5 nader toe te lichten. Ook werd aangegeven dat de gebruikte terminologie niet helder was. Daarom is de benaming van de roadmap gewijzigd in meerjarenagenda Wegiz, dit doet meer recht aan het meerjarige karakter van het traject.

Een aantal respondenten hebben hun zorg geuit dat normalisatie innovatie belemmert. In paragraaf 8.2 is toegelicht hoe eventuele effecten op innovatie worden gemitigeerd en welke positieve effecten worden verwacht.

Ook bestaat bij een aantal respondenten de vrees dat certificering, gelet op de kosten ervan, negatieve gevolgen zal hebben voor de marktwerking. In paragraaf 8.2 zijn de positieve effecten van het wetsvoorstel op de marktwerking toegelicht.

In de internetconsultatie is ook gewezen op het ontbreken van een evaluatiebepaling. In reactie hierop is in het wetsvoorstel een evaluatiebepaling toegevoegd. Kortheidshalve wordt verwezen naar paragraaf 10.1.

10. Evaluatie, overgangsrecht en inwerkingtreding

10.1 Evaluatie

Met dit wetsvoorstel wordt een substantiële beleidswijziging beoogd. Om die reden zal de verwerkelijking van de doelstellingen van dit wetsvoorstel en de effecten daarvan binnen vijf jaar na inwerkingtreding van de wet worden geëvalueerd en zal verslag worden gedaan aan de Staten-Generaal. Om inzicht te verkrijgen in de doelmatigheid en doeltreffendheid van het voorziene stelsel zal geëvalueerd worden hoe de werking van het wettelijk stelsel en de daarbinnen voorgestane wijze van prioritering heeft plaatsgevonden, de wijze waarop gegevensuitwisselingen worden geselecteerd om uiteindelijk bij AMvB aangewezen te worden in spoor 1 of spoor 2 en de implementatie en uitvoering van de AMvB. Eveneens wordt in het kader van het evaluatieonderzoek in beeld gebracht of de verwachte effecten van individuele AMvB’s, zoals voorzien in onder meer de uitgevoerde MKBA’s, daadwerkelijk zijn opgetreden. Bovendien zal de werking van het toezicht op en de handhaving van het wettelijk stelsel worden geëvalueerd. Mocht deze evaluatie aantonen dat de gekozen aanpak in de praktijk onvoldoende effect sorteert, dan zal een nadere afweging plaatsvinden over de te nemen maatregelen.

10.2 Overgangsrecht

In dit wetsvoorstel wordt geen overgangsrecht opgenomen. Daarbij wordt in aanmerking genomen dat de beoogde verplichting pas effect heeft als bij AMvB ten minste één aangewezen gegevensuitwisseling onder het stelsel wordt gebracht.

Om betrokken partijen voldoende tijd te geven om zich voor te bereiden op en te voldoen aan de bij AMvB gestelde eisen zal tussen de publicatie van de AMvB en inwerkingtreding van die AMvB een dan nader te bepalen termijn in acht worden genomen.

Bij de afweging van een redelijke overgangstermijn zullen verschillende aspecten in aanmerking worden genomen, zoals de duur en voorwaarden van afgesloten contracten tussen zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten, de beschikbaarheid van certificatieschema’s en de hoeveelheid certificerende instellingen met noodzakelijke kennis en de tijd die nodig is voor het accrediteren door de RvA van certificerende instellingen. Daarbij dient in ieder geval in aanmerking te worden genomen dat het accreditatieproces naar verwachting ongeveer 18 maanden in beslag zal nemen. De optelsom van deze factoren zal uiteindelijk de duur van de overgangsperiode bepalen.

10.3 Inwerkingtreding

De artikelen van dit wetsvoorstel treden in werking op een bij koninklijk besluit (KB) te bepalen tijdstip. In beginsel kunnen alle artikelen tegelijk in werking treden met uitzondering van artikel 6.3. De inwerkingtreding van dit artikel hangt samen met het bij AMvB waarin het beleid zoals neergelegd in de regeling Software wordt bestendigd (zie artikelsgewijze toelichting bij artikel 6.3). Wanneer dit het geval is zal onderdeel vormen van de Meerjarenagenda Wegiz. Dit KB zal aansluiten bij de inwerkingtreding van de eerste AMvB die tot stand zal moeten komen onder dit wetsvoorstel, zodat het wetsvoorstel en de AMvB gelijktijdig in werking treden. Bij de inwerkingtreding van dit wetsvoorstel zal worden aangesloten bij het beleid van het kabinet inzake vaste verandermomenten van regelgeving.

Artikelsgewijs deel

Artikel 1.1 (begripsbepalingen)

Aangewezen gegevensuitwisseling

In de begripsbepalingen is een verkorte aanduiding opgenomen voor wat onder een aangewezen gegevensuitwisseling wordt verstaan. Voor een inhoudelijk toelichting wordt verwezen naar de toelichting op artikel 1.4, eerste lid, onderdeel a.

Benaderen

Zie voor een uitleg wat onder benaderen in dit wetsvoorstel wordt verstaan paragraaf 2.3.2 van het algemeen deel van de memorie van toelichting.

Certificaat

Op grond van dit wetsvoorstel wordt aan bepaalde informatietechnologieproducten of -diensten die bij aangewezen gegevensuitwisselingen worden gebruikt de eis gesteld voorzien te zijn van een certificaat. In de begripsbepalingen is voor ‘certificaat’ een verkorte aanduiding opgenomen. In artikel 3.1 is uitgewerkt wat dit certificaat betreft (zie toelichting bij dat artikel).

Certificerende instelling

Een certificerende instelling is een instelling die krachtens artikel 3.2 beschikt over een aanwijzing van de Minister om certificaten te verstrekken aan informatietechnologieproducten of -diensten die voldoen aan de voor die aangewezen gegevensuitwisseling vastgestelde NEN-norm.

Cliënt, Zorg, Zorgaanbieder, Zorgverlener

Zoals aangegeven in het algemeen deel van deze memorie van toelichting (zie hoofdstuk 1) wordt met dit wetsvoorstel voorgesteld randvoorwaarden te stellen voor goede zorg door het elektronische uitwisselen van gegevens, al dan niet op genormaliseerde wijze, te bevorderen. De gehanteerde terminologie en begrippenkader uit de Wkkgz worden voor zover nodig overgenomen in dit wetsvoorstel.

Gegevens

Om een verplichting te kunnen opnemen over hoe gegevens moeten worden uitgewisseld is het noodzakelijk dat duidelijk is om welke gegevens het gaat. In de begripsbepalingen is hiervoor een verkorte aanduiding opgenomen. Om welke gegevens het in een aangewezen gegevensuitwisseling het gaat is uitgewerkt in artikel 1.4, eerste lid, onderdeel b, en is toegelicht in paragraaf 2.3.3 van het algemeen deel van deze memorie van toelichting.

Informatietechnologieproducten of -diensten

De eisen en de certificeringsverplichting kunnen over verschillende onderdelen van de informatietechnologie gaan. Het kan gaan over de software en hardware die bij de aangewezen gegevensuitwisseling gebruikt wordt om de gegevens uit te wisselen, maar ook over bepaalde diensten die worden geleverd. Het kan gaan om een combinatie van software of hardware, maar dat hoeft niet. Het gaat hierbij onder meer om de koppelvlakken waarvoor specificaties gaan gelden, en waarop de software, hardware of diensten zien.

Uitwisselen

Zoals aangegeven in paragraaf 2.3.2 van het algemeen deel van de memorie van toelichting wordt onder uitwisselen van gegevens niet alleen verstaan het delen van gegeven van de ene zorgverlener met de andere zorgverlener, maar kan het ook gaan om het benaderen van gegevens die ergens anders zijn vastgelegd. Maar in beide gevallen geldt steeds dat de uitwisseling van gegevens aan de bij of krachtens dit wetsvoorstel opgenomen eisen zal moeten voldoen. Het delen én benaderen van gegevens zal steeds ten minste via een elektronische infrastructuur dienen plaats te vinden (zie hierna de artikelsgewijze toelichting bij artikel 2.1).

Artikel 1.2 (doel)

Goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit van zorg. Artikel 3 Wkkgz geeft de zorgaanbieder, of deze nu zorg verleent op individuele basis of in instellingsverband, opdracht de zorgverlening zodanig in te richten dat goede zorg redelijkerwijs het resultaat is. Met dit wetsvoorstel wordt hieraan nadere invulling gegeven door duidelijk te maken dat de zorgaanbieder de organisatie zodanig moet inrichten dat de gegevens in een aangewezen gegevensuitwisseling ten minste door middel van een elektronische infrastructuur kunnen worden uitgewisseld en eventueel op genormaliseerde wijze. Als de zorgaanbieder dit nalaat dan is dit een overtreding van artikel 3 Wkkgz in verbinding met artikel 2.1 van dit wetsvoorstel. Met elektronische gegevensuitwisseling kan veel winst bereikt worden om de goede zorg te verbeteren. Uitwisselen van gegevens door middel van een elektronische infrastructuur – al dan niet op genormaliseerde wijze – is dus geen doel op zich, maar randvoorwaardelijk voor het verlenen van goede zorg. Zie ook paragraaf 2.2 van het algemeen deel van deze memorie van toelichting. Ook het verminderen van tijd die zorgverleners kwijt zijn aan het administreren van het zorgproces draagt eraan bij dat meer tijd besteed kan worden aan het daadwerkelijk verlenen van goede zorg. Een gegevensuitwisseling kan daarom ook worden aangewezen als daarmee primair bereikt wordt dat de administratieve lasten worden verlaagd.

Artikel 1.3

Op grond van het hierna toe te lichten artikel 1.4 is het mogelijk om bij AMvB gegevensuitwisselingen aan te wijzen. De Minister inventariseert voorafgaand hieraan welke gegevensuitwisselingen eventueel voor aanwijzing in aanmerking komen. Deze lijst met geprioriteerde gegevensuitwisselingen wordt met de Tweede Kamer gedeeld. Voor een toelichting op het tweede lid wordt verwezen naar paragraaf 3.2 van het algemeen deel van de memorie van toelichting.

Artikel 1.4 (aanwijzen van gegevensuitwisselingen en gegevens, en stellen van eisen daaraan)

Dit artikel bevat de delegatiegrondslag voor het aanwijzen van gegevensuitwisselingen, het noemen en aanwijzen van gegevens, het stellen van eisen om het in artikel 1.2 opgenomen doel te bereiken en voor het eventueel uitzonderen van militaire gezondheidszorg van de wettelijke verplichtingen..

Eerste lid

Onder a

Om het in artikel 1.2 opgenomen doel te bereiken, worden bij AMvB gegevensuitwisselingen aangewezen waarbij zorgverleners gegevens van en over een cliënt uitwisselen. Het aanwijzen kan alleen voor zover deze gegevensuitwisselingen zijn opgenomen in de meerjarenagenda Wegiz, zie paragraaf 3.2 van het algemeen deel van deze memorie van toelichting. In paragraaf 2.3.1 van het algemeen deel van deze memorie van toelichting is aangegeven aan welke soorten gegevensuitwisselingen als eerste wordt gedacht. Het wetsvoorstel gaat dus niet om gegevensuitwisseling in algemene zin, maar alleen om het uitwisselen van gegevens die plaatsvindt binnen een bij AMvB afgebakend terrein.

Onder b

Naast dat bij AMvB een gegevensuitwisseling wordt aangewezen, zal ook aangegeven moeten worden om welke gegevens het steeds gaat in die aangewezen gegevensuitwisseling. Om welke gegevens het gaat is toegelicht in paragraaf 2.3.3 van het algemeen deel van deze memorie van toelichting.

Tweede lid

Dit lid biedt een basis om nadere eisen te stellen aan de uitwisseling van gegevens in de aangewezen gegevensuitwisseling.

Onder a

De nadere eisen kunnen in de eerste plaats minimale eisen betreffen die gesteld worden aan het door middel van een elektronische infrastructuur uitwisselen van gegevens. Het gaat om eisen die zien op de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens door middel van een elektronische infrastructuur plaats moet vinden. Gedacht kan worden aan een eis dat de elektronische gegevensuitwisseling op een veilige manier verloopt (zoals NEN 7510), of dat er eisen worden gesteld aan logging. In de toekomst worden mogelijk nog andere normen ontwikkeld. Wanneer de aanwijzing plaatsvindt onder a wordt gesproken over een ‘spoor 1-aanwijzing’. Zie voor een uitgebreide toelichting hierop paragraaf 3.4.1 van het algemeen deel van deze memorie van toelichting.

Onder b

Derde lid

Alleen op grond van de aanwijzing onder b kan er sprake zijn van certificering van informatietechnologieproducten of -diensten. Om die reden wordt in het derde lid alleen naar het tweede lid, onderdeel b, verwezen. De certificering ziet maar op een deel van de eisen die in de NEN-norm staan waarnaar bij AMvB zal worden verwezen, namelijk alleen die eisen die zien op informatietechnologieproducten of -diensten. De certificering ziet dus niet op de eisen die betrekking hebben op bijvoorbeeld organisatorische aspecten. De eisen waar certificering niet op ziet richten zich tot de zorgaanbieder (zie hiervoor paragraaf 2.3.4. van het algemeen deel van de toelichting). In de NEN-norm waarnaar bij AMvB naar verwezen wordt zal steeds duidelijk aangegeven worden welke eisen wel en welke eisen niet gericht zijn op informatietechnologieproducten of -diensten.

Artikel 1.5 (zorg in justitiële inrichtingen, forensische zorg en militaire gezondheidszorg)

Eerste lid

Ten aanzien van de zorg die wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra kan het vanuit veiligheidsoverwegingen noodzakelijk zijn dat op andere wijze gegevens worden uitgewisseld dan voorgeschreven door onderhavig wetsvoorstel. Voor deze instellingen en inrichtingen is derhalve een uitzondering opgenomen. Het gaat hier om de gegevensuitwisseling tussen de uitgezonderde inrichtingen en instellingen onderling, maar uiteraard ook – vanwege bovengenoemde redenen – om de uitwisseling tussen de uitgezonderde inrichtingen, instellingen en reguliere zorgaanbieders. Dit laat onverlet dat zij waar mogelijk de in dit wetsvoorstel voorziene wijze van het uitwisselen van gegevens zullen volgen. De bijzondere omstandigheden van deze instellingen nopen er echter toe dit niet als verplichting vorm te geven. Gezien het karakter van dit wetsvoorstel, waarbij bij algemene maatregel van bestuur concrete vormen van gegevensuitwisseling onder het bereik van de wet zullen worden gebracht, is de mogelijkheid opengehouden om de uitgezonderde inrichtingen en instellingen alsnog onder de reikwijdte van onderhavig wetsvoorstel te brengen voor zover een concrete vorm van gegevensuitwisseling zich verhoudt met de justitiële of forensische zorgsetting.

Tweede lid

In beginsel valt de forensische zorg die niet wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra onder dit wetsvoorstel. Dit zijn bijvoorbeeld GGZ-instellingen die zowel reguliere zorg verlenen als forensische zorg. Wat de gevolgen zijn voor de forensische zorg voor de aan te wijzen gegevensuitwisselingen is op dit moment onvoldoende te overzien. Voorgesteld wordt om deze reden de mogelijkheid op te nemen bij AMvB af te wijken van de voorgeschreven wijze van uitwisselen van gegevens, wanneer dit vanwege de forensische setting noodzakelijk is. Ook hierbij valt bijvoorbeeld te denken aan veiligheidsaspecten. De voordracht voor een zodanige AMvB zal worden gedaan door de Minister voor Rechtsbescherming.

Derde lid

Ook de militaire gezondheidszorg kan geraakt worden door dit wetsvoorstel. Zo zal er tijdens operationele omstandigheden niet steeds sprake zijn van een degelijke digitale infrastructuur om de gegevens elektronisch uit te wisselen. De voordracht voor een zodanige AMvB zal worden gedaan door de Minister van Defensie.

Artikel 2.1 (verplichting zorgaanbieders)

Eerste lid

Tweede en derde lid

Naast de eis die geldt op grond van het wetsvoorstel dat gegevens binnen aangewezen gegevensuitwisselingen door middel van een elektronische infrastructuur moeten worden uitgewisseld, kunnen nadere eisen worden gesteld. Dit is geregeld in artikel 1.4, tweede lid (zie toelichting bij dat lid). Uit het tweede lid volgt dat de verplichting om te voldoen aan artikel 1.4, tweede lid, is neergelegd bij de zorgaanbieder (zie ook paragraaf 2.3.4 van het algemeen deel van deze memorie van toelichting is), tenzij het gaat om de (technische) eisen die gesteld worden aan een informatietechnologieproduct of -dienst waarvoor een certificaat is vereist (zie ook in paragraaf 3.3 van het algemeen deel van deze memorie van toelichting). Als dit laatste het geval is, rust op de zorgaanbieder ingevolgde het derde lid slechts de verplichting om gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten.

Vierde lid

Artikel 1, zesde lid, Wkkgz regelt dat in het geval een instelling (zoals een medisch specialistisch bedrijf) (hierna: onderaannemer) zorg verleent binnen een andere instelling (zoals een ziekenhuis) (hierna: hoofdaannemer), de onderaannemer niet aangemerkt wordt als een instelling in de zin van de Wkkgz en dus ook niet als een zorgaanbieder in de zin van de Wkkgz. Door het van overeenkomstige toepassing verklaren van artikel 1, zesde lid, van de Wkkgz wordt een onderaannemer ook voor dit wetsvoorstel niet als zorgaanbieder aangeduid. De hoofdaannemer is daarmee dan verantwoordelijk voor het voldoen aan de verplichting zoals opgenomen in het eerste tot en met derde lid. De onderaannemer is in dit geval zorgverlener. Artikel 1, zevende lid, Wkkgz bepaalt dat als een instelling wordt gevormd door een organisatorisch verband van natuurlijke personen, de uit die wet voortvloeiende verplichtingen zich tot ieder van die personen richten. Voor dit wetsvoorstel geldt dit daarom ook.

Artikel 3.1 (certificering van informatietechnologieproducten of -diensten)

Artikel 3.2 (aanwijzen certificerende instellingen op verzoek)

Eerste lid

Tweede lid

Derde lid

De RvA is op grond van artikel 2, eerste lid, van de Wet aanwijzing nationale accreditatie-instantie aangewezen als nationale accreditatie-instantie. De RvA beoordeelt certificerende instellingen op basis van normen die door de Europese Commissie zijn aangewezen als de enige normen die door nationale accreditatie-instanties kunnen worden gebruikt om certificerende instellingen te accrediteren. In dit geval gaat het alleen om de geharmoniseerde norm NEN-EN-ISO/IEC 17065:2012; Conformiteitsbeoordeling – Eisen voor certificatie-instellingen die certificaten toekennen aan producten, processen en diensten. Daarnaast beoordeelt de RvA of aan de eisen voor het verkrijgen van een aanwijzing wordt voldaan, die bij AMvB zullen worden vastgelegd. Te denken valt aan eisen over de rechtsvorm van de certificerende instelling, onafhankelijkheid, deskundigheid en organisatie van de certificerende instellingen.

In paragraaf 7.6 van het algemeen deel van deze memorie van toelichting is de accreditatie door de RvA nader toegelicht.

Vierde lid

In verband met de erkenning van verkregen vergelijkbare documenten is in dit lid opgenomen dat met een accreditatie gelijk wordt gesteld een accreditatie afgegeven in een lidstaat van de Europese Unie of een staat waarmee Nederland een verdrag heeft die strekt tot erkenning van dergelijke documenten. Eis daarbij is dat de verkregen accreditatie gebaseerd is op documenten of onderzoekingen die tenminste een beschermingsniveau bieden dat wordt gewaarborgd met de verkrijging van de accreditatie in Nederland voor het afgeven van deze certificaten. Dit betekent dat de accreditatie moet zien op algemene waarden als onafhankelijkheid en onpartijdigheid, maar ook op de inhoudelijke eisen die neergelegd zijn in de AMvB op grond van artikel 3.5, onderdeel a, om voor een aanwijzing in aanmerking te komen. Overigens is elk nationaal accreditatie-orgaan in principe verantwoordelijk voor accreditatie van de organisaties uit het desbetreffende land. Zie hiervoor ook Verordening (EG) Nr. 765/2008 van het Europees parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PbEU L 218, 2008).

Vijfde lid

Onder a

Het uitgangspunt is dat een certificerende instelling een accreditatie van de RvA heeft. Daarbij is het zo dat in het kader van accreditatie een instelling aan moet tonen dat zij de werkzaamheden zoals beschreven in het certificatieschema, uitvoert in overeenstemming met dat schema. Dat betekent dat de instelling een klant moet hebben waar zij het certificatietraject volledig doorloopt en dat de RvA deze werkzaamheden bijwoont en beoordeeld. Dit is echter niet mogelijk zonder aanwijzing door de Minister. In dat geval is het mogelijk dat de instelling die een volledige aanvraag heeft ingediend bij de RvA een tijdelijke aanwijzing kan krijgen. De instelling wordt beoordeeld en geaccrediteerd, zonder dat er al een bijwoning van de werkzaamheden plaatsvindt. Nadat deze beoordeling met positief resultaat wordt afgerond, wordt de tijdelijke accreditatie onder beperkende voorwaarden verleend. Daarmee kan de certificerende instelling een (tijdelijke) aanwijzing aanvragen bij de Minister. En na aanwijzing kan de certificerende instelling vervolgens een klant werven, waar de bijwoning kan plaatsvinden. Eventuele afwijkingen die volgen uit de bijwoning moeten worden opgelost voordat de tijdelijke accreditatie in een definitieve accreditatie kunnen worden omgezet. Daarna kan de certificerende instelling ook andere klanten gaan bedienen en certificeren.

Onder b

Het kan in bepaalde gevallen voorkomen dat het accreditatieproces langer duurt dan verwacht. Aangezien certificerende instellingen een essentiële rol spelen in onderhavig wetsvoorstel en het belangrijk is dat de certificering van informatietechnologieproducten of -diensten wordt voortgezet, kan de Minister in het systeem van accreditatie ingrijpen door te bepalen dat – tijdelijk – van de eis van accreditatie wordt afgezien. De certificerende instelling kan in die tijd alsnog zorgdragen voor de benodigde accreditatie.

Zesde lid

De certificerende instellingen, bedoeld in dit wetsvoorstel, worden uitgezonderd van de werking van de Kaderwet zbo’s. Zie voor een toelichting paragraaf 3.6.1 van het algemeen deel van deze memorie van toelichting.

Zevende lid

In artikel 23 van de Kaderwet zbo’s is een bevoegdheid opgenomen voor de minister om in te grijpen bij een zbo in geval van ernstige verwaarlozing van de bestuurstaak, waarbij ontwrichting van de uitoefening van de taak dreigt. Het ingrijpen kan bijvoorbeeld inhouden dat de minister de taak die aan het zelfstandig bestuursorgaan is opgedragen, zelf uitvoert. De bepaling in artikel 23 van de Kaderwet zbo’s is vanwege de veelheid van situaties waarin het toegepast zou kunnen worden, noodzakelijkerwijs ruim geformuleerd. In onderhavig lid is een soortgelijke bepaling opgenomen die echter een beperktere strekking heeft en die meer recht doet aan de gekozen systematiek van dit wetsvoorstel. Zoals aangegeven in paragraaf 3.6 van het algemeen deel van deze memorie van toelichting kan de Minister de aanwijzing van de certificerende instelling om verschillende redenen intrekken. Het vervolgens overnemen van de taken van de certificerende instelling is niet aan de orde als er nog andere certificerende instellingen zijn die de taken van de instelling waarvan de aanwijzing is ingetrokken kunnen overnemen. Zoals aangegeven in paragraaf 3.6 kan de Minister dit alleen wanneer er geen andere certificerende instellingen zijn.

Artikel 3.3 (nadere regels rond certificering)

Eerste lid

Tweede lid

Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te bepalen regels voor de certificerende instellingen. Te denken valt bijvoorbeeld aan het soort informatie die de certificerende instelling moet verstrekken en de frequentie van de informatieverstrekking.

Artikel 3.4 (verstrekken certificaat)

Eerste lid

Degene die een informatietechnologieproduct of -dienst wil aanbieden aan een zorgaanbieder om te gebruiken bij een aangewezen gegevensuitwisseling zal een aanvraag moeten indienen bij een aangewezen certificerende instelling. Om een certificaat te kunnen verkrijgen dient een aanvrager aan te tonen dat het informatietechnologieproduct of de -dienst voldoet aan de eisen die gesteld zijn aan dat informatietechnologieproduct of die -dienst op grond van artikel 1.4, tweede lid (aanwijzing onder b, spoor 2). Concreet betekent dit dat voldaan moet worden aan de eisen die in de bij AMvB aangewezen norm zijn opgenomen en zoals die vervolgens zijn neergelegd in een door de NEN te ontwikkelen certificatieschema. Hierop toetst een certificerende instelling bij het verstrekken van certificaten en bij het verrichten van audits.

Tweede lid

Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling wordt ingetrokken. Dit kan bijvoorbeeld zijn om de certificerende instelling zich van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing. Uit het intrekken van de aanwijzing of accreditatie van de certificerende instelling kan niet direct een oordeel gegeven worden over de vraag of het informatietechnologieproduct of -dienst voldoet aan de NEN-norm die geldt voor de aangewezen gegevensuitwisseling waarvoor het informatietechnologieproduct of -dienst wordt gebruikt. In alle gevallen geldt echter dat er een overgangstermijn nodig is waarin de aanbieder van het informatietechnologieproduct of -dienst een nieuwe certificerende instelling kan vinden die de taken van de vorige certificerende instelling kan overnemen. In het tweede lid wordt daarom voorgesteld dat de door de weggevallen certificerende instelling afgegeven certificaten voor een informatietechnologieproduct of -dienst nog twaalf maanden geldig zijn. Deze termijn geldt ook wanneer de geldigheid van het certificaat zelf korter was. In deze twaalf maanden kan de aanbieder van het informatietechnologieproduct of de -dienst doorgaan met het product of de dienst op de markt te brengen. Zoals hiervoor aangegeven zegt het wegvallen van de certificerende instelling in eerste instantie namelijk niets over de conformiteit van het informatietechnologieproduct of -dienst met de NEN-norm. Mocht er geen opvolgende certificerende instelling zijn dan kan eventueel worden teruggevallen op artikel 3.2, zevende lid, waarbij de Minister de dossiers en de taken overneemt van de wegvallende certificerende instelling.

De nieuwe certificerende instelling (of de minister) neemt de taken voor het gecertificeerde informatietechnologieproduct of -dienst over van de vorige certificerende instelling. In bepaalde gevallen kan worden volstaan met het voortzetten van de reguliere audits en toezicht. Bijvoorbeeld in het geval de certificerende instelling die het certificaat oorspronkelijk heeft afgegeven zich vrijwillig van de markt terugtrekt. Het kan ook echter zijn dat een certificerende instelling gedwongen wordt zich terug te trekken doordat de accreditatie of aanwijzing wordt ingetrokken. In die gevallen kunnen twijfels bestaan over het gecertificeerde informatietechnologieproduct of -dienst. In dat geval zal de nieuwe certificerende instelling (of de minister) die de dossiers heeft overgenomen dienen te onderzoeken of het certificaat voor het informatietechnologieproduct of -dienst op terechte gronden is verleend. Wanneer de uitkomst daarvan negatief is zal de opvolgende certificerende instelling (of in uitzonderlijke situaties de minister) het certificaat schorsen of intrekken. Voor een toelichting wat de gevolgen zijn van het intrekken van het certificaat van een informatietechnologieproduct of -dienst wordt verwezen naar de toelichting op artikel 3.5, derde lid.

Artikel 3.5 (schorsen of intrekken van een certificaat)

Eerste lid

Het is van groot belang voor de zorgaanbieders dat er op vertrouwd kan worden dat het informatietechnologieproduct of de -dienst aan de eisen voldoet en blijft voldoen. Wanneer bij bijvoorbeeld een audit blijkt dat het eerder afgegeven certificaat niet of niet langer voldoet aan de eisen, bijvoorbeeld omdat niet aan de laatste versie van de norm wordt voldaan, kan de certificerende instelling het certificaat schorsen of intrekken, afhankelijk van de ernst van de gebreken. Er is gekozen om de bevoegdheid bij de certificerende instelling neer te leggen om te bepalen of er redenen zijn om tot schorsing of intrekking over te gaan. Wanneer er slechts sprake is van niet voldoen op ondergeschikte punten kan dit reden zijn om de certificaathouder tijd te geven om alsnog te voldoen, zonder dat overgegaan wordt tot schorsing. Het is primair aan de RvA om in zijn rol als toezichthouder op de certificerende instellingen er op toe te zien dat de certificerende instellingen op een juiste manier gebruik maken van hun bevoegdheid. Secundair houdt de Minister -op afstand- als stelselverantwoordelijke ook toezicht op de certificerende instellingen. In paragraaf 7.4 van het algemeen deel van deze memorie van toelichting is dit nader toegelicht.

De gevolgen van het intrekken van het certificaat betekent voor de zorgaanbieder dat deze in strijd handelt met artikel 2.1, derde lid. Afhankelijk van de aard van de tekortkoming en of er sprake is van schorsing of intrekking van het certificaat, betekent dit voor de zorgaanbieder dat er aanvullende maatregelen moeten worden genomen om aan de eisen voor die aangewezen gegevensuitwisseling te blijven voldoen. Bij schorsing kunnen tijdelijke maatregelen overwogen worden, bij intrekking van het certificaat zal de zorgaanbieder een andere informatietechnologieproduct of -dienst moeten inkopen die wel beschikt over het vereiste certificaat.

Tweede lid

Wanneer een certificaat wordt geschorst of ingetrokken is dat ook voor de toezichthouder van groot belang om over geïnformeerd te worden. Daarin voorziet dit lid. De zorgaanbieder zal immers actie moeten ondernemen op het moment dat de informatietechnologieproducten of – diensten die gebruikt worden, maar niet langer voorzien zijn van een geldig certificaat. De toezichthouder zal erop moeten toezien of de zorgaanbieder dat ook doet.

Derde en vierde lid

Wanneer een certificaat wordt ingetrokken kan een zorgaanbieder niet van de een op de andere dag het gebruik van het informatietechnologieproduct of -dienst staken zonder de gegevensuitwisseling in gevaar te brengen. Het zal immers tijd kosten voordat een nieuw informatietechnologieproduct of -dienst is aangeschaft en is geïmplementeerd. Het is wel de bedoeling dat deze tijd zo kort mogelijk is, omdat het informatietechnologieproduct of -dienst niet (volledig) voldoet aan de voor die aangewezen gegevensuitwisseling geldende NEN-norm. Daarom is ervoor gekozen een standaardtermijn van zes maanden te hanteren (derde lid). Wanneer blijkt (uit onder andere de informatie die de IGJ verstrekt) dat de zes-maanden-termijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (vierde lid).

Artikel 4.1 (toezicht op de naleving)

In dit artikel is het toezicht op het bepaalde bij of krachtens dit wetsvoorstel geregeld. Het gaat om toezicht op de verplichtingen die aan zorgaanbieders worden opgelegd en op de eisen die aan informatietechnologieproducten of -diensten worden gesteld. Bovendien wordt naast het private toezicht door de RvA voorzien een publiekrechtelijk stelseltoezicht op certificerende instellingen. In paragraaf 7.1 van het algemeen deel van deze memorie van toelichting is de regeling van het toezicht nader toegelicht.

Artikel 10 van de Gw bepaalt dat eenieder, behoudens bij of krachtens de wet te stellen beperkingen, recht heeft op eerbiediging van zijn persoonlijke levenssfeer. Ingevolge artikel 8, tweede lid, van het EVRM, is beperking van dit recht uitsluitend toelaatbaar indien de beperking is voorzien bij wet, zij een legitiem doel dient en zij ‘noodzakelijk is in een democratische samenleving’. Het onderhavige voorstel voorziet in een wettelijke beperking van dit grondrecht, namelijk het zonder toestemming van de betrokkene inzage krijgen in of gebruik maken van (kopieën maken of de gegevens voor korte tijd mee te nemen) persoonsgegevens, waaronder gegevens over de gezondheid van de clíënt. Aan artikel 10 Gw en het eerste criterium van artikel 8, tweede lid, van het EVRM wordt derhalve voldaan. Het legitieme doel dat gediend wordt en de noodzaak hiervan (artikel 8, tweede lid, EVRM), betreft de bescherming van de volksgezondheid. Immers, goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit van zorg. Door te regelen hoe gegevens moeten worden uitgewisseld kunnen de randvoorwaarden worden gesteld om goede zorg te verlenen. Voor het toezicht op de naleving van dit wetsvoorstel is het noodzakelijk dat de toezichthoudende ambtenaren, zonder toestemming, de persoonsgegevens van cliënten kunnen inzien om te kunnen controleren of de gegevens correct zijn uitgewisseld en of bijvoorbeeld informatie die van belang is voor de veiligheid van een cliënt niet ontbreekt in de uitgewisselde gegevens. Inzage in de gegevens over de gezondheid van de cliënt is belangrijk om de betrouwbaarheid, volledigheid en de correctheid van de elektronische uitwisseling van gegevens te kunnen verifiëren.

Als de toezichthoudende ambtenaren (bijzondere persoons)gegevens nodig hebben kunnen zij deze ingevolge dit voorstel door inzage ter plaatse verkrijgen. De toezichthoudende ambtenaren beschikken op grond van dit voorstel ook over de bevoegdheid om inlichtingen te vorderen, waarbij degene bij wie de gegevens of bescheiden worden gevorderd deze zelf aan de toezichthoudende ambtenaren verstrekt, en over de bevoegdheid om afschriften van de gegevens te maken. Zo nodig kunnen gegevens voor korte tijd worden meegenomen om daarvan een afschrift te maken.

Artikel 4.2 (handhaving artikel 2.1)

In dit artikel is de handhaving op de verplichtingen, bedoeld in artikel 2.1, geregeld. In paragraaf 7.1 van het algemeen deel van de memorie van toelichting is hier al uitgebreid op ingegaan. Aangezien de verplichtingen zich richten tot de zorgaanbieders, richt de handhaving (en in het verlengde daarvan, het toezicht, bedoeld in artikel 4.1) zich ook tot de zorgaanbieders.

Artikel 4.3 (handhaving artikel 3.1)

In dit artikel is de handhaving op naleving van de eisen, bedoeld in artikel 3.1, geregeld. In paragraaf 7.3 van het algemeen deel van de memorie van toelichting is hier al uitgebreid op ingegaan. De handhaving (en in het verlengde daarvan, het toezicht, bedoeld in artikel 4.1) richt zich tot de degene die de informatietechnologieproducten of -diensten aanbiedt aan de zorgaanbieders. Dit kunnen de producenten zijn, tussenpersonen of eindleveranciers. Ook kan een bestuurlijk boete worden opgelegd aan degene die het mogelijk maakt dat de zorgaanbieder een niet-gecertificeerd informatietechnologieproduct of -dienst gebruikt of blijft gebruiken door ondersteuning in het product- of dienstgebruik te bieden. Er bestaat vaak een (langdurige) relatie tussen de leverancier en de zorgaanbieder bij de ondersteuning van het ingekochte softwarepakket met bijbehorende dienstverlening en in bepaalde gevallen bijbehorende hardware. Op de leverancier blijft in dat geval de verantwoordelijkheid rusten voor een juiste certificering van de informatietechnologieproducten- en diensten.

Artikel 5.1 (voorhangprocedure)

In dit artikel is een waarborg voor parlementaire betrokkenheid opgenomen bij de uitwerking van de normstelling, in de vorm van een voorhangprocedure bij beide kamers der Staten-Generaal. Dat betekent dat ontwerpen van AMvB eerst aan het parlement worden voorgelegd, voordat die aan de Afdeling advisering van de Raad van State voor advies worden voorgelegd. Met die voorhangprocedure heeft het parlement de mogelijkheid om, naast de sturing op de hoofdlijnen van de wet, vroegtijdig rechtstreeks invloed uit te oefenen op de uitwerking van de regels op het gebied van gegevensuitwisseling in de zorg door middel van een elektronische infrastructuur.

Deze bepaling geldt als vervanging van de voorhangbepalingen in artikel 15j, tweede lid, van de Wabvpz, artikel 8:22, derde lid, van de Wvggz, en artikel 18c, zevende lid, van de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling. Op grond van de bepalingen in paragraaf 6 van het wetsvoorstel vallen deze gegevens dan niet langer onder de genoemde wetten (met bijbehorende voorhangprocedure), maar komen dan onder het wetsvoorstel te vallen. Het is evident dat de bijbehorende voorhangprocedure mee over gaat in dit wetsvoorstel.

Van de drie genoemde wetten kent de Wabvpz de meest zware voorhangprocedure. De in dit wetsvoorstel opgenomen voorhangbepaling is gelijk aan de voorhangprocedure, bedoeld in die wet. Zo wordt de vroegtijdige rechtstreeks invloed van het parlement in dit wetsvoorstel stevig geborgd. Dit betekent wel een verzwaring van de voorhangprocedure van de Wvggz en de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling. Omwille van de uniformiteit en duidelijkheid is echter niet gekozen om verschillende voorhangbepalingen op te nemen.

Artikel 6.1 (aanpassing Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg)

Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop (hoe) gegevens door middel van een elektronische infrastructuur moeten worden uitgewisseld. Dit kan ook gaan om eisen aan zorginformatiesystemen of een elektronisch uitwisselingssystemen als bedoeld in de Wabvpz. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 15j, eerste lid, Wabvpz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.

Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels die gesteld zijn op grond van artikel 15j van de Wabvpz op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wabvpz valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Begz en het Besluit vaststelling bewaartermijn logging opgenomen worden. Opgemerkt wordt dat bij AMvB daarnaast aanvullende eisen opgenomen kunnen worden.

Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent, ontstaat op dit punt geen nieuwe situatie.

Artikel 6.2 (aanpassing Wet kwaliteit, klachten en geschillen zorg)

In paragraaf 2.3.3 van het algemeen deel van deze memorie van toelichting is toegelicht dat onderdelen van de professionele standaard zich niet lenen als bron waarnaar in de eisen die bij het wetsvoorstel worden gesteld naar verwezen kan worden vanwege het ontbreken van rechtszekerheid.

In dit onderdeel is in het verlengde daarvan daarom bepaald dat een wijziging van goede zorg die afwijkt van de wettelijk verplichte gegevensuitwisseling door middel van een elektronische infrastructuur alleen kan via de weg van de kwaliteitsstandaarden. Als het gewenst is om afspraken te maken over de goede zorg die niet in overstemming zijn met de eisen die bij AMvB zijn gesteld, moeten zorgverleners en zorgaanbieders de procedure voor de kwaliteitsstandaarden bij het Zorginstituut volgen. Het gaat daarbij uitsluitend over het onderdeel in de kwaliteitsstandaard waarin is vastgelegd welke gegevens voor de andere zorgverleners nodig zijn en dus uitgewisseld moeten worden.

Artikel 6.3 (aanpassing Wet publieke gezondheid)

De zorg die verleend wordt onder de Wpg valt onder de reikwijdte van het wetsvoorstel. Jeugdgezondheidszorg is onderdeel van de publieke gezondheidszorg als bedoeld in de Wpg. Het college van burgemeester en wethouders is bij deze vorm van zorg zorgaanbieder.

In de Wpg staat in artikel 5, derde lid, onderdeel b, dat het college van burgemeester en wethouders er zorg voor moet dragen dat bij de uitvoering van de taak, bedoeld in artikel 5, eerste lid, (zorgdragen voor de uitvoering van de jeugdgezondheidszorg) gebruik moet worden gemaakt van digitale gegevensopslag, onder bij regeling van Onze Minister te stellen eisen aan de daarbij te gebruiken software, voor zover het gaat om vastleggen van patiëntgegevens als bedoeld in artikel 7:454 van het BW. In de Regeling eisen software ex artikel 5, derde lid, Wet publieke gezondheid (hierna: Regeling software) is hier uitvoering aan gegeven. Daarin staat dat gebruik moet worden gemaakt van software die digitale overdracht en uniforme registratie mogelijk maakt en die ten minste een aantal nader genoemde rubrieken bevat. In de Regeling software wordt dus aangegeven welke gegevens in ieder geval geregistreerd moeten worden (de genoemde rubrieken) en wordt aangegeven dat digitale overdracht mogelijk moet zijn. Er wordt niet aangegeven met welke software deze gegevens moeten worden vastgelegd opdat digitale uitwisseling mogelijk is. Welke software hiervoor toepasselijk is, is aan de uitvoerende partijen overgelaten.

In het voorgestelde nieuwe onderdeel b van artikel 5, derde lid, Wpg is een aangepaste grondslag opgenomen. Hiermee blijft de verplichting bestaan om de gegevens elektronisch (de term ‘digitaal’ is vervangen conform dit wetsvoorstel) op te slaan en is tevens de mogelijkheid behouden om eisen te stellen over welke gegevens in ieder geval (in het patiëntendossier) moeten worden geregistreerd.

Van de gelegenheid is gebruik gemaakt om te verduidelijken dat de Regeling software ook kan gaan over gegevens die anderszins relevant zijn ten aanzien van een cliënt (naast de patiëntgegevens als bedoeld in artikel 7:454 van het BW). Administratieve gegevens en gegevens over cliëntcontext (informatie over burgerlijke staat, levensovertuiging, ziektebeleving) zijn namelijk niet altijd onderdeel zijn van het medisch dossier.

Het bovenstaande brengt met zich dat de Regeling software als dit wetsvoorstel tot wet wordt verheven naar aanleiding hiervan aangepast moet worden.

Artikel 6.4 (aanpassing Wet verplichte geestelijke gezondheidszorg)

Met dit wetsvoorstel wordt het mogelijk om bij of krachtens AMvB eisen te stellen aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 8.22, tweede lid, Wvggz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.

Artikel 6.5 (aanpassing Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten)

Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 18c, zesde lid, Wzd niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.

Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels van de Wzd op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wzd valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Bzd en de Rzd opgenomen worden. Uiteraard kunnen bij AMvB daarnaast aanvullende eisen opgenomen worden.

Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent en de mogelijkheid biedt om een last onder dwangsom op te leggen, ontstaat op die punten geen nieuwe situatie.

Artikel 6.6 (aanpassing Zorgverzekeringswet)

Om te borgen dat de relatie tussen welke gegevens die onderdeel zijn van de goede zorg (vastgelegd in kwaliteitsstandaarden) en de eisen hoe moeten worden uitgewisseld actueel en correct blijft, zal zicht gehouden moeten worden op die relatie. Wanneer een kwaliteitsstandaard als basis dient voor een NEN-norm is het van belang dat het Zorginstituut de minister informeert wanneer een wijziging van de in die NEN-norm gehanteerde kwaliteitsstandaard wordt voorgedragen.

Artikelen 7.1 en 7.2 (eerste en tweede samenloopbepaling Wet financiële toetsing voorgedragen kwaliteitsstandaarden)

De formulering van het voorliggende wetsvoorstel is afhankelijk van de inwerkingtreding van de Wet van 9 september 2020 tot wijziging van de Wkkgz in verband met het creëren van een bevoegdheid voor Onze Minister om een voorgedragen kwaliteitsstandaard vanwege financiële gevolgen niet in het openbaar register op te nemen (financiële toetsing voorgedragen kwaliteitsstandaarden) (Stb. 2020, 346) (hierna: Wet financiële toetsing kwaliteitsstandaarden). Daarom zijn twee samenloopbepalingen opgenomen. Artikel 7.1 regelt de situatie dat de Wet financiële toetsing voorgedragen kwaliteitsstandaarden gelijktijdig met of eerder inwerking treedt dan het voorliggende wetsvoorstel. Artikel 7.2 regelt de situatie dat het de Wet financiële toetsing voorgedragen kwaliteitsstandaarden later in werking treedt dan het voorliggende wetsvoorstel.. De inwerkingtredingsdatum van de Wet financiële toetsing voorgedragen kwaliteitsstandaarden wordt mede bepaald door de voortgang en inwerkingtredingsdatum van de algemene maatregel van bestuur die op grond van die wet verplicht moet worden opgesteld.

Artikelen 8.1 tot en met 8.3 (evaluatiebepaling, inwerkingtreding en citeertitel)

In de slotbepalingen zijn artikelen opgenomen met betrekking tot evaluatie (zie paragraaf 10.1 van het algemeen deel van deze memorie van toelichting), inwerkingtreding (zie paragraaf 10.3 van het algemeen deel van deze memorie van toelichting) en de citeertitel.

De Minister voor Medische Zorg,