Kamerstuk 27529-122

Verslag van een algemeen overleg

Verslag van een algemeen overleg, gehouden op 20 december 2012, inzake LSP (voorheen EPD)

Gepubliceerd: 23 januari 2013
Indiener(s): Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD)
Onderwerpen: economie ict organisatie en beleid zorg en gezondheid
Bron: https://zoek.officielebekendmakingen.nl/kst-27529-122.html
ID: 27529-122

Nr. 122 VERSLAG VAN EEN ALGEMEEN OVERLEG

Vastgesteld 23 januari 2013

De vaste commissie voor Volksgezondheid, Welzijn en Sport heeft op 20 december 2012 overleg gevoerd met minister Schippers van Volksgezondheid, Welzijn en Sport over:

  • de brief van de minister van Volksgezondheid, Welzijn en Sport d.d. 21 november 2012 over de stand van zaken van de landelijke elektronische uitwisseling van medische gegevens via de zorginfrastructuur (voorheen epd) (27 529, nr. 114);

  • de brief van de minister van Volksgezondheid, Welzijn en Sport d.d. 3 december 2012 over de stand van zaken van de doorstart LSP (voorheen epd) (27 529, nr. 116);

  • de brief van de minister van Volksgezondheid, Welzijn en Sport d.d. 11 december 2012 over het uitstel van verwijderen gegevens LSP (epd) (27 529, nr. 118).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en Sport, Neppérus

De griffier van de vaste commissie voor Volksgezondheid, Welzijn en Sport, Teunissen

Voorzitter: Bouwmeester

Griffier: Sjerp

Aanwezig zijn negen leden der Kamer, te weten: Bouwmeester, Bruins Slot, Dijkstra, Dik-Faber, Klever, Krol, Leijten, Van Veen en Voortman,

en minister Schippers van Volksgezondheid, Welzijn en Sport, die vergezeld is van enkele ambtenaren van haar ministerie.

De voorzitter: Ik heet de minister en haar ambtenaren welkom, evenals de commissieleden en de mensen op de tribune en thuis. De spreektijd is vier minuten per fractie.

Mevrouw Leijten (SP): Voorzitter. Het stelsel waarover wij vandaag spreken, is onnodig duur en onveilig. Het is volledig onduidelijk van wie en voor wie het elektronisch patiëntendossier of het landelijk schakelpunt (LSP), zoals het nieuwe naampje is, precies is. Bij de doorstart was een aantal elementen van belang. Het moest regionaal zijn en niet landelijk. Daaraan is niet voldaan. Aan patiënten moest expliciet toestemming worden gevraagd. Daaraan is nu ternauwernood voldaan. Patiënten zouden elektronisch inzage krijgen in hun gegevens. Daaraan is niet voldaan. Patiënten zouden kunnen opvragen wie hun gegevens hebben ingezien. Dit moet nog steeds via een briefje. Patiënten zouden kunnen aangeven wie de gegevens wel en niet mogen inzien. Daaraan is niet voldaan. Is de minister trots op deze opsomming? De zorgverzekeraars betalen de komende jaren 75 miljoen. De eisen daarvoor zijn geformuleerd op pagina 9 van het businessplan over de aangesloten huisartsen, de aangemelde dossiers en noem maar op. We kunnen dat gewoon nakijken. In dat plan staat dat in 2015 90% van de patiëntdossiers aangemeld moet zijn. Wat zal volgens de minister de stand van zaken per 1 januari zijn? Heeft de minister daadwerkelijk zicht op de aansluiting van 90% van de patiëntdossiers? Zo nee, staat de financiering dan niet volledig op losse schroeven?

Een private stichting, de VZVZ, is verantwoordelijk voor het onderhoud en de verdere uitbouw van het epd/LSP. Wat gebeurt er als er fouten worden gemaakt? Wie is verantwoordelijk? Wie kunnen wij aan hun jasje trekken? Bij wie kunnen wij een schadeclaim neerleggen als het fout gaat? Dat het onveilig is, horen wij immers van alle ICT-experts. Volgens mij is het nu niet goed geregeld. Ik wil van de minister de toezegging dat zijzelf de verantwoordelijkheid zal nemen voor fouten.

Ik kijk even verder in het businessplan. Op pagina 52 staat dat er nog een product ontwikkeld zal worden voor toegang van de spoedeisende hulp tot het LSP. Daarbij is sprake van een professionele samenvatting van patiëntgegevens. Wat is dit precies? Wie maakt die samenvatting? Ontstaan daar geen fouten in? Hoe kan er samengevat worden? De gegevens zouden toch versleuteld verstuurd worden via het LSP? Is dit geen opmaat naar een heel gevaarlijke trend? Als gegevens worden samengevat, worden zij mogelijk verkeerd begrepen omdat ze verkeerd zijn samengevat.

We wilden vorig jaar geen dwang van zorgverzekeraars voor aansluiting op het LSP. Zorgverzekeraars hebben te kennen gegeven dat zij dat voor hun contractering volgend jaar niet zullen doen. Wil de minister garanderen dat de Inspectie voor de Gezondheidszorg huisartsen en apothekers niet zal dwingen zich aan te sluiten? Wil de minister ingaan op de twaalf eisen die zijn geformuleerd door de Privacy Barometer en twee andere organisaties? Een van die eisen is dat medische gegevens niet bij vreemde mogendheden terecht mogen komen. Wil de minister hierop ingaan?

De vraag vandaag is niet of je tegen gegevensuitwisseling bent. Gegevensuitwisseling vindt immers gewoon plaats. Er zijn regionaal goede en slechte netwerken. De vraag vandaag is: moet gegevensuitwisseling per se plaatsvinden via het epd/LSP, of geven we huisartsen en regio's de vrijheid om een eigen systeem op te bouwen, uit te bouwen en te beveiligen? Ik zou kiezen voor dat laatste. Ik zou graag willen dat de minister afstand neemt van de uitspraken, onder andere door de NPCF gedaan, dat je niet voor patiëntveiligheid zou zijn en dat je een slechte arts zou zijn als je niet meedoet met het epd. Zegt de minister, net als de SP, dat artsen allang gegevens uitwisselen op grond van hun professie en dat zij die zich verzetten tegen het epd omdat het duur en onveilig is en omdat onduidelijk is van wie het is, geen slechte artsen zijn?

Mevrouw Klever (PVV): Voorzitter. Bij grote ICT-systemen is het niet de vraag óf ze gehackt worden, maar wanneer. Bij de overheid is het niet de vraag wanneer ze gehackt worden, maar hoe snel. De affaire DigiNotar heeft dit wel aangetoond. Hierdoor zou de minister met beide benen op de grond moeten staan. De minister weigert echter uit de epd-trein te stappen. Wel komt de minister met een nieuw wetsvoorstel en daarmee volgt ze de eerste stap uit het epd-actieplan van mijn fractie. Als ze nu ook de overige punten van dit actieplan uitvoert, zijn we tevreden. Helaas zien we die echter niet terug en uit niets blijkt dat de patiënt de uiteindelijke regie krijgt over zijn eigen medische dossier.

Terwijl zelfs de huisartsen en de patiëntenvereniging hobbels op de weg zien, ziet onze minister van VWS nog steeds een glad geplaveide weg. Mijn eerste vraag aan de minister is daarom: is zij het met mij eens dat epd-systemen interessant kunnen zijn voor hackers? De data zijn nu eenmaal interessant om door te verkopen aan bijvoorbeeld verzekeraars, werkgevers of de roddelpers. Wie is er aansprakelijk als jouw medische gegevens op straat komen te liggen? Stel dat je chronisch ziek bent; dan vind je voor de rest van je leven geen baan meer. Wat te denken als op internet komt te staan dat een Afghaans meisje abortus heeft laten plegen? Wie is er aansprakelijk als zij uit eerwraak vermoord wordt?

Aan de ene kant hebben we het bewijs dat epd-systemen gehackt worden en onrechtmatig ingezien kunnen worden en dat de veiligheid nooit 100% gegarandeerd kan worden. Aan de andere kant is er nooit wetenschappelijk bewijs geleverd dat een epd daadwerkelijk levens redt. Goede artsen redden levens. Handen wassen volgens het protocol redt levens. Een checklist bij operaties redt levens. Barcodes op medicijnen redden levens. Een epd met onveilige en onjuiste data kan daarentegen juist levens kosten. Graag krijg ik hierop een reactie van de minister.

Naast kwesties als veiligheid en privacy speelt ook de druk van zorgverzekeraars om je aan te sluiten op het epd een rol: morele druk, financiële druk en druk vanuit zogenaamde kwaliteitsnormen. Hier blijft het niet bij. Patiënten zouden geweigerd worden bij een apotheek omdat hun gegevens niet in het epd stonden. Dat bleek een foutje te zijn, maar toch. Het toont aan dat de motie-Leijten/Gerbrands (27 529, nr. 96) van een jaar geleden niet overbodig is geweest. Het blijkt realiteit te worden. Blijft de minister er nog op toezien dat burgers op geen enkele wijze gedwongen zullen worden tot deelname aan het epd en zo ja, hoe?

Het epd is overbodig. De meeste zorg is planbare zorg. De huisarts verwijst je naar de specialist in het ziekenhuis. Hij kan de benodigde medische gegevens gewoon meesturen of meegeven aan de patiënt. De specialist in het ziekenhuis kan de huisarts of de patiënt om gegevens vragen. Dit is gewoon een kwestie van samenwerking. Straks kunnen de noodzakelijke medische gegevens met het verwijsbriefje doorgegeven worden aan de spoedeisendehulpafdeling. Het kabinet wil immers dat we niet meer onaangekondigd bij de SEH verschijnen, maar eerst langs de huisarts gaan. Volgens mijn fractie is dit een heel verkeerde maatregel, die de noodzaak van een epd opnieuw onderuithaalt.

Ook de integratie van de huisartsenposten met de eerstehulpposten lost mogelijke problemen op ten aanzien van de overdracht van medische gegevens. De huisartsenposten beschikken immers al over een waarneemdossier. Dit kan zo worden doorgeleid naar het ziekenhuis; daar is helemaal geen epd voor nodig. In acute situaties waarbij elke seconde telt en de patiënt niet aanspreekbaar is, biedt een simpel SOS-kettinkje met daarin medicatie- of allergiegegevens voldoende alternatief. Mensen met allergieën of chronisch zieken dragen vaak al zoiets bij zich.

Kortom, de epd-trein moet stoppen voordat hij helemaal ontspoort. We zijn blij met de eerste aanzet hiertoe. Ik doel op het feit dat het College bescherming persoonsgegevens aan de private partijen duidelijk gemaakt heeft dat de gegevens die nu in het epd zitten, gewist moeten worden per 1 januari 2013.

Tot slot: mijn fractie zal uitsluitend instemmen met een systeem waarin de patiënt de regie heeft en zijn medisch dossier als een zorgpas bij zich draagt. Het heet niet voor niets elektronisch patiëntendossier.

Mevrouw Bruins Slot (CDA): Voorzitter. Het CDA is voorstander van de digitale uitwisseling van gegevens tussen zorgverleners en patiënten. Dit kan een verbetering van de patiëntveiligheid opleveren, omdat de juiste informatie op de juiste plek geleverd kan worden. De Tweede Kamer heeft in heel veel debatten allerlei randvoorwaarden gesteld aan de ontwikkeling van het epd, dat nu het LSP, het landelijk schakelpunt, heet. Ik heb een aantal vragen aan de minister om na te gaan of deze randvoorwaarden nu voldoende zijn ingevuld.

Mijn eerste punt is de opt-in. Kan de minister garanderen dat alleen patiënten die op 1 januari 2013 geregistreerd zijn bij het LSP, toestemming hebben gegeven? Kan zij garanderen dat er geen sprake is van wurgcontracten voor patiënten en zorgaanbieders? De verzekeraars hebben hierover zelf al iets gezegd: zij zullen huisartsen niet dwingen om aan dit dossier mee te werken. Graag hoor ik dit ook van de minister.

Collega Omtzigt heeft samen met een groot aantal andere collega's een motie (27 529, nr. 68) ingediend. Is deze motie uitgevoerd? In deze motie stond namelijk zeer specifiek dat in het nieuwe systeem geregeld moet worden dat er inzage moet komen in alle gegevens, dus ook in de brongegevens van de zorgaanbieder, en dat de mogelijkheid van correctie wordt vastgelegd, zoals dat nu in de WGBO het geval is.

De minister heeft in een brief geschreven dat zij ervoor zal zorgen dat de wetgeving die zij beloofd had, voor het kerstreces bij de Kamer ligt. Kan de Kamer ervan uitgaan dat dit wetsvoorstel er op kerstavond, onder de kerstboom, ligt? Het is heel belangrijk dat die laatste randvoorwaarden geregeld worden. Ik heb nog een vraag over de invulling van het wetsvoorstel. Het is belangrijk dat de juiste mensen aansprakelijk kunnen worden gesteld als het misgaat. Wordt in het wetsvoorstel opgenomen dat beroepsbeoefenaren die onder de Wet BIG vallen en die niet geregistreerd zijn op basis van artikel 3, maar wel op basis van artikel 34 van de Wet BIG, strafrechtelijk vervolgd kunnen worden?

Een ander punt betreft de veiligheid. Zitten de voor- en achterdeur voldoende op slot? Wordt de voordeur regelmatig gecheckt door hackers? Door de hackende Henk Krol en door wat er in Gouda is gebeurd, hebben we kunnen zien hoe gemakkelijk het soms is om patiëntgegevens in te kijken. Zijn de resultaten van de veiligheidsonderzoeken breder bekend? Als het misgaat, moet natuurlijk ook de achterdeur beveiligd zijn, via een uitgebreid stelsel van bevoegdheden voor de inspectie en het College bescherming persoonsgegevens. Hoe zit het met de betrokkenheid van het Nationaal Cyber Security Centrum?

Zijn de schotten regionaal vastgesteld? Ik krijg de indruk dat dit niet het geval is, terwijl dit wel een harde eis van de Kamer was. Collega Omtzigt heeft benadrukt dat de patiënt er per e-mail of sms van op de hoogte moet worden gesteld als iemand inzage in zijn dossier heeft gekregen. Wat wil het geval? Dit zal pas medio 2013 voor elkaar zijn. Dat is heel erg spijtig. Kan de minister druk uitoefenen zodat dit eerder voor elkaar komt? Kunnen we ervan uitgaan dat dit geen «TVOH-dienst» wordt? Daarmee bedoel ik dat het geen sms-dienst moet worden zoals in The Voice of Holland, waarbij je voor elk ontvangen sms'je een euro moet betalen. Het moet een gratis dienst zijn, want anders wordt je het recht op goede inzage ontzegd.

De minister heeft zeer duidelijk gezegd dat Amerika straks niet in de gegevens van het LSP kan kijken. In haar brief schreef ze dat er nog overleg zou komen tussen de VZVZ en het bedrijf dat het systeem bouwt. Wat is de uitslag van dat overleg? Heeft de minister ook het advies van het College bescherming persoonsgegevens al gekregen?

De NPCF heeft in haar brief nadere eisen gesteld. Volgens de federatie moet met de landelijke uitrol gewacht worden totdat de bovenregionale uitwisseling klaar is. Kan de minister toezeggen dat dit gebeurt?

Mevrouw Leijten (SP): De grote vraag is natuurlijk: waar zeg je ja tegen als je je gegevens laat opnemen in het epd? Nu gaat het om het waarneemdossier, het medicatiedossier. Inzage geschiedt door huisartsen en apothekers. Straks komen daar de ziekenhuizen bij. Zou er dan niet opnieuw toestemming gegeven moeten worden door iedereen wiens gegevens in het epd zijn opgenomen?

Mevrouw Bruins Slot (CDA): Dat is een goede vraag. Ik kan mij herinneren dat we voorlichting van de VZVZ hebben gekregen. De VZVZ zei toen dat elke uitbreiding gecheckt zou worden door een privacy- en cliëntenraad van de NPCF. Inmiddels hebben we echter ook een brief van de VZVZ ontvangen waaruit blijkt dat iedere patiënt voor elk onderdeel dat erbij komt, opnieuw toestemming kan geven. Dat is mooi maatwerk. Ik vraag de minister wat de stand van zaken is, want dat weet ik op dit moment niet.

Mevrouw Leijten (SP): Ik vind het antwoord een beetje slap. Wij waren allemaal bij de bijeenkomst met de VZVZ. Dit was het heikele punt voor de hele Kamer: waar zeg je nou ja tegen? Daar kregen we toen geen antwoord op. Onder druk is blijkbaar alles vloeibaar. Ik heb niet gezien dat er expliciet om toestemming gevraagd moet worden als de ziekenhuizen worden toegevoegd aan de data-uitwisseling van en de inzage in patiëntgegevens. Ik hoor graag van mevrouw Bruins Slot of het CDA vindt dat iedereen die heeft aangegeven gegevensuitwisseling goed te vinden, opnieuw toestemming moet geven als de ziekenhuizen worden toegevoegd. Ik bedoel daarmee niet dat je een vinkje op een website kunt zetten als je slim en alert genoeg bent, maar ik bedoel dat je gewoon weer ja of nee moet zeggen.

Mevrouw Bruins Slot (CDA): Volgens mij maakte de hele Kamer zich zorgen na die voorlichting van de VZVZ. Door enkele acties van de NCPF hebben we gezien dat een aantal zaken vloeibaar is geworden, bijvoorbeeld met betrekking tot de opt-in. Volgens mij is dat goed, want wat er nu staat, sluit meer aan bij de eisen die de Kamer heeft gesteld. Dit moet gewoon goed geregeld worden. Als het aantal mensen dat via het LSP inzagerecht in de patiëntgegevens heeft, aanzienlijk wordt uitgebreid, heeft de patiënt naar mijn mening een bepaald recht op informatie en een bepaalde beslissingsbevoegdheid. Hoe je dat precies regelt, laat ik graag aan de deskundigen over.

Mevrouw Voortman (GroenLinks): Voorzitter. Dit dossier heeft een lange geschiedenis. De Tweede Kamer ging onder voorwaarden akkoord. De Eerste Kamer stemde het weg. Vervolgens maakte de Tweede Kamer een private doorstart mogelijk. Nu is er weer discussie over de vraag hoe die private doorstart in zijn werk gaat. Voor veel mensen is het niet meer helder hoe het er nu voor staat. Dat zullen de betrokken partijen ook door hebben. Zij organiseerden immers onlangs een bijeenkomst in Nieuwspoort om Tweede Kamerleden bij te praten omdat zij niet over de correcte informatie zouden beschikken. Hoe moet het dan zijn voor de patiënten aan wie de huisarts of apotheker om toestemming moet vragen? Hoe moet het zijn voor de apotheker of de huisarts? Huisartsen zijn niet voor niets zeer kritisch.

GroenLinks is niet tegen gegevensuitwisseling in de zorg, maar gegevensuitwisseling is geen doel op zich en mag dat ook niet worden. Gegevensuitwisseling kan alleen als de privacy van patiënten en de veiligheid van het systeem gewaarborgd zijn, als de patiënt zelf toegang heeft tot dat dossier en kan zien wat er met het dossier gebeurt en als de patiënt ook zelf de regie kan voeren over wie wat in het dossier kan zien. Dit waren de voorwaarden waaronder de Tweede Kamer voor het wetsvoorstel over het epd gestemd heeft. Minister Ab Klink, toenmalig minister van VWS, zei dat dit geregeld zou worden voor de inwerkingtreding van het epd, maar toen de Eerste Kamer moest stemmen over het epd, was het nog steeds niet geregeld. Hierdoor werd minister Schippers door de Eerste Kamer gedwongen haar medewerking aan het landelijk schakelpunt te staken. Vervolgens besloten de fracties van de VVD, de PvdA, het CDA en D66 in de Tweede Kamer om een private doorstart mogelijk te maken.

Wij kunnen niet anders dan concluderen dat nog steeds niet aan de door GroenLinks gestelde voorwaarden wordt voldaan. De infrastructuur is nog niet klaar en veel moet nog ontwikkeld worden. Er moeten nog wettelijke kaders komen; die moeten ook nog door beide Kamers worden goedgekeurd. Er moet nog een AMvB worden opgesteld waarin de privacy en beveiliging geregeld worden, maar die is er nog niet. Dit neemt de zorg van de GroenLinks-fractie over de veiligheid van het systeem niet weg. Wij willen dat er hardere normen komen en dat er echt werk wordt gemaakt van de veiligheid van gegevensuitwisseling in de zorg. Patiënten hebben nog geen toegang tot hun eigen dossier. De enige manier waarop zij die kunnen krijgen, is door een uitdraai aan te vragen waar zij weken op moeten wachten. Wij vinden dat deze mogelijkheid er moet zijn, nog voordat mensen om toestemming wordt gevraagd. Hetzelfde geldt voor de regie die mensen moeten kunnen voeren over de gegevens die uitgewisseld kunnen worden. Wij hebben ons er altijd hard voor gemaakt dat mensen vanaf de uitrol al toegang moeten kunnen hebben tot een patiëntenportal, waar zij kunnen beheren welke gegevens met wie gedeeld worden.

Dat gezegd hebbend, kunnen wij maar tot één conclusie komen: hier past alleen een pas op de plaats. De private doorstart was vanaf het begin een heilloze weg. Eerst moet de boel wettelijk op orde zijn; pas daarna kan men verdergaan met gegevensuitwisseling in de zorg. Zorg ervoor dat het systeem aan onze drie voorwaarden voldoet, alvorens het verder wordt uitgerold en mensen om toestemming wordt gevraagd. Dat is duidelijker en beter voor het vertrouwen in de veiligheid van de gegevensuitwisseling. Het huidige systeem is niet veilig, zoals blijkt uit de hackpoging van de heer Krol. We kunnen daar allemaal moord en brand over roepen, maar ik ben eigenlijk blij dat hij die hackpoging heeft gedaan.

De voorzitter: Meerdere collega's hebben gesproken over «Henk de Hacker», zal ik maar zeggen. Dat is een andere situatie. Ter voorkoming van het misverstand dat de heer Krol dingen gedaan zou hebben die met het LSP te maken hebben, geef ik hem in zijn termijn de gelegenheid om dit kort uit te leggen. Ik wil die onduidelijkheid wegnemen.

Mevrouw Voortman (GroenLinks): Dat is prima. Hoe een en ander tot uitvoering is gekomen, is verbazingwekkend. Het lijkt alsof steeds is doorgedenderd met het epd. Toen de Eerste Kamer het wegstemde, kwam de Tweede Kamer met een private doorstart. Nu moet deze met wetgeving nog gelegitimeerd worden. Het huidige LSP is een doel op zich geworden. Wij vinden dat er eerst een goed gedragen systeem van gegevensuitwisseling in de zorg moet komen. De manier waarop dat nu gebeurt, is volgens ons niet de juiste weg.

De heer Van Veen (VVD): Voorzitter. De afgelopen tijd is er veel gezegd en geschreven over de opvolger van het epd, het landelijk schakelpunt. Het ene was waar en het andere wat minder, maar feit is wel dat de openlijke discussie veel onrust heeft veroorzaakt. Door deze onrust is er uiteindelijk wel meer duidelijkheid gekomen, door de brieven van de minister en door de gezamenlijke initiatiefnemers. De VVD hoopt, wellicht tegen beter weten in, dat er door dit AO ook duidelijkheid in de Kamer ontstaat.

De VVD is en blijft in het kader van de patiëntveiligheid voorstander van een systeem dat op een veilige wijze gegevens van patiënten uitwisselt. Dat staat helaas niet los van de zekerheid die moet worden geboden dat de gegevens die opgeslagen worden, door zorgverleners en niet door hackers worden gebruikt. Voor dat dilemma ziet de VVD zich geplaatst. Het beste is in dezen vaak de vijand van het goede en dat is wrang. De vraag of de initiatiefnemers of de overheid kunnen garanderen dat nu of in de toekomst de patiëntgegevens niet gehackt worden, is wat ons betreft een onmogelijke. De VVD zal die 110%-garantie niet van de minister vragen – dat is onzin, want de techniek van vandaag is wellicht de kwetsbaarheid van morgen – maar de VVD vraagt de minister wel of zij overtuigd is van de professionaliteit en continuïteit van de organisatie die de verantwoordelijkheid draagt. In dat opzicht komt dit AO wellicht te vroeg, want de minister zou de Kamer een wetsvoorstel voorleggen om dit zeker te stellen.

De VVD wil wel alvast een voorschot nemen op de toekomstige uitbreiding van het LSP. Bedrijfsartsen en zorgverzekeraars worden uiteraard uitgesloten van deelname en inzage. Graag horen wij hiervan een bevestiging door de minister, misschien zelfs met een wat krachtigere term als zorgverzekeraars wel beschikken over patiëntgegevens.

Mevrouw Bruins Slot (CDA): De heer Van Veen zegt: zolang de wetgeving er niet is, kunnen we eigenlijk zeggen dat de organisatie die nu het LSP uitvoert, goed werk doet.

De heer Van Veen (VVD): Volgens mij is het LSP op de goede weg. Wij zitten echter met ons allen te wachten op de randvoorwaarden die de minister daaraan wil stellen. Daarmee herhaal ik wat ik tijdens de procedurevergadering heb gezegd, namelijk dat dit AO te vroeg komt.

Mevrouw Bruins Slot (CDA): Verbindt u daar dan de conclusie aan dat op dit moment niet kan worden doorgegaan met het LSP omdat de wettelijke randvoorwaarden nog niet in orde zijn? U zegt eigenlijk: we kunnen pas verdere stappen zetten als de wetgeving er is.

De heer Van Veen (VVD): De VVD is van mening dat op de twee locaties waar nu proefgedraaid wordt met het LSP, de randvoorwaarden door de VZVZ duidelijk zijn gecommuniceerd. Als geen toestemming voor gegevensuitwisseling via het LSP is gegeven, moeten deze gegevens uit de verwijsindex van het LSP worden verwijderd. Van ons mag het LSP doorgaan met de voorbereidingen om in juli 2013 wel klaar te zijn, mits de antwoorden die de minister straks zal geven, daartoe aanleiding geven.

De discussie van de afgelopen weken heeft ertoe geleid dat duidelijk is dat het huidige systeem waarmee huisartsen en apothekers informatie uitwisselen, stilzwijgend is ingevoerd. Mij persoonlijk is als patiënt nooit gevraagd of ik het onleesbare receptbriefje van de huisarts wilde inleveren voor een geautomatiseerd recept aan de apotheek. Ook nu is de dataveiligheid niet gegarandeerd. Geen enkele huisarts of apotheker kan garanderen dat de door hem beheerde patiëntgegevens niet ontvreemd of gehackt worden of dat er niet door ongeautoriseerde personen naar gekeken kan worden. Dat leidt bij ons tot vraagtekens. Misschien heeft onwetendheid in de afgelopen jaren geruststellend gewerkt.

Uit de uitlegsessies die wij hebben gehad en uit de informatie die ons door verschillende partijen is toegezonden, blijkt dat een aantal geruchten ontzenuwd kan worden: geen centrale database, geen verplichting voor patiënten om deel te nemen, geen financiële prikkels om patiënten te stimuleren om deel te nemen, geen verplichting voor zorgverleners om mee te doen en, op een onkostenvergoeding na, ook hiervoor geen financiële prikkels. Uitgangspunt is dat patiënten zelf aangeven welke gegevens ze willen delen, met daaraan gekoppeld de mogelijkheid om te zien wie in hun dossier heeft gekeken. Dat is een grote verbetering ten opzichte van de situatie van vandaag de dag. We mogen niet vergeten waar het om gaat. Het gaat om de patiëntveiligheid: minder medische missers, minder onnodige doden. Dat doel is behoorlijk uit het zicht geraakt. Wie zijn ogen daarvoor sluit, sluit zijn ogen voor de schrijnende gevallen van mensen die aan den lijve hebben ondervonden dat vermijdbare fouten zijn gemaakt en dat zich ongelukken hebben voorgedaan die voorkomen hadden kunnen worden als de behandelende artsen op de hoogte waren geweest van de geschiedenis van de betreffende patiënt. Daar gaat het vandaag over.

De VVD constateert dat het landelijk schakelpunt, met respect voor de zorgen van Nederlanders die eerst de kat uit de boom willen kijken, zit te wachten op vertrouwen, ook op ons vertrouwen. Dat vertrouwen begint hier, in de Kamer. Het helpt niet om ieder excuus of gerucht aan te grijpen om overspannen kritiek te leveren. Het is meer op zijn plaats om constructief mee te denken. Dat zou mijns inziens de opdracht van een politicus moeten zijn. Ik kan mij dan ook niet aan de indruk onttrekken dat dit lijkt op de invoering van de pinpas of het online invullen van belastinggegevens. Daar bestond aanvankelijk ook veel weerstand tegen door gebrek aan vertrouwen.

De voorzitter: Mijnheer Van Veen, ik wil u vragen af te ronden, maar u hebt geluk, want mevrouw Leijten wil interrumperen.

De heer Van Veen (VVD): Ik heb nog drie zinnen. Mag ik die eerst even afmaken?

De voorzitter: Ja, dat mag.

De heer Van Veen (VVD): Gelukkig kiezen de initiatiefnemers voor de weg van de geleidelijkheid. Dit geeft Nederlanders die wel zorgen hebben over hun gezondheid, de mogelijkheid om samen met hun huisarts voor aansluiting op het schakelpunt te kiezen.

Mevrouw Leijten (SP): Er dreigde een kort geding, maar dat is opgeschort door de Vereniging Praktijkhoudende Huisartsen. De huisartsen zien het volgende probleem. Volgens hen is het LSP in strijd met de Wet bescherming persoonsgegevens en overschrijdt het de beginselen van proportionaliteit en subsidiariteit omdat de autorisatie, de authenticatie en de versleuteling niet «end to end» zijn. Daarbovenop komt de alarmerende brief van de Privacy Barometer die wij gisteren allemaal hebben gekregen. In die brief staat dat er onvoldoende veiligheidsgaranties zijn en dat er te weinig draagvlak is voor dit stelsel, zeker onder ICT-experts. Waarop baseert de VVD haar vertrouwen?

De heer Van Veen (VVD): Ik heb gezegd dat het systeem behoefte heeft aan vertrouwen. Wij baseren ons vertrouwen op het feit dat patiënten behoefte hebben aan dit systeem. Het systeem dat er nu is, is zeker niet te vertrouwen. Dat heeft mevrouw Leijten in haar eigen bijdrage ook gezegd. Volgens mij heeft zij in haar bijdrage ook gezegd dat het allemaal kleinschalig moet zijn en dat huisartsen en apothekers zelf maar verantwoordelijk moeten zijn voor de dataveiligheid. De aandacht die wij er nu aan schenken, moet heel veel vertrouwen geven dat het straks goed geregeld is. Die vraag heb ik aan de minister gesteld.

Mevrouw Leijten (SP): Ik begrijp best dat je, als je nieuwe woordvoerder bent op dit dossier, niet altijd precies weet wat de inbreng van de SP is geweest. Wij hebben niet gezegd dat huisartsen en apothekers zelf verantwoordelijk moeten zijn voor regionale netwerken. Sterker nog, wij hebben altijd gezegd dat de minister de verantwoordelijkheid voor de beveiliging zou moeten nemen en dat zij zich daarop zou moeten richten.

Ik stel vast dat de VVD ziende blind en horende doof is voor alle kritiek. Die kritiek komt uit alle geledingen. De VVD zegt rustig dat het LSP nog een halfjaartje de tijd krijgt en dat het daarna nog een keer een halfjaartje de tijd krijgt, maar ondertussen kalft het vertrouwen af. Ik maak mij er zorgen over dat de VVD klakkeloos achter het LSP aanloopt en alle adviezen van experts in de wind slaat.

De heer Van Veen (VVD): Het is maar net naar welke experts je luistert. Wij kiezen voor de patiënten. Wij kiezen voor het systeem dat nu voorligt om de patiëntveiligheid te vergroten. Wij zijn ervan overtuigd dat dit met een landelijk systeem kan.

Mevrouw Voortman (GroenLinks): De heer Van Veen zei aan het begin van zijn betoog dat de VVD duidelijkheid wil, «wellicht tegen beter weten in». Welke duidelijkheid wil de VVD precies krijgen? Als deze duidelijkheid niet geboden wordt, wat betekent dat dan voor de standpuntbepaling van de VVD?

De heer Van Veen (VVD): Ik ga ervan uit dat de minister goede antwoorden geeft op de door mij gestelde vragen. Een onderdeel daarvan is het wetsvoorstel dat eraan komt en de wijze waarop de minister toezicht wil blijven houden op de VZVZ. Daar moet vertrouwen uit voortkomen. Daarom zei ik dat het AO van vandaag eigenlijk te vroeg wordt gehouden.

Mevrouw Voortman (GroenLinks): Is het dan niet logisch om het wetsvoorstel af te wachten voordat je verdere stappen zet? Anders span je het paard achter de wagen.

De heer Van Veen (VVD): Laten we afwachten wat de minister hierop antwoordt. Ik kan mij voorstellen dat de minister vindt dat men gewoon moet doorgaan met waar men nu mee bezig is.

Mevrouw Klever (PVV): De heer Van Veen zegt dat de VVD uitgaat van de patiënten en dat zij het systeem allemaal willen. Hoe verklaart de heer Van Veen dan dat slechts 5% van de patiënten ja heeft gezegd tegen het epd?

De heer Van Veen (VVD): Ik heb niet gezegd dat alle patiënten dit willen. Ik heb aangegeven dat patiënten vrijwillig kunnen deelnemen aan het LSP. Dat is een groot voordeel ten opzichte van de huidige situatie. Als het LSP zich gaat bewijzen, zullen meer patiënten zich erbij aansluiten voor hun veiligheid. Daar ben ik van overtuigd.

De voorzitter: Ik geef het woord aan de heer Krol. Misschien wil hij, voordat zijn spreektijd begint, kort uitleggen waar de term «Henk de Hacker» vandaan komt om te voorkomen dat er een heel gek beeld van hem ontstaat. Wil hij dit in twee minuten uitleggen?

De heer Krol (50PLUS): Voorzitter. Dat zal ik keurig doen. Als u mij iets meer spreektijd geeft, neem ik die uitleg op in mijn bijdrage. Ik beloof dat ik niet boven mijn spreektijd uit zal komen; daarover hoeft u zich geen zorgen te maken.

Bij dit onderwerp gaan vier termen door mijn hoofd: onveilig, duur, mistig en gebrek aan vertrouwen. Ik begin met de idiote term «landelijk schakelpunt». Daarbij denk je aan de spoorwegen en niet aan het onderwerp waar wij nu over spreken. Kan de minister bevorderen dat er, om de mensen duidelijkheid te geven, een term wordt gehanteerd die we wel allemaal begrijpen?

De afgelopen twee dagen ben ik bezig geweest om mijn medewerker te machtigen om in mijn agenda te kijken. Zo onhandig ben ik met computers. Toch zit hier een hacker voor u; zo is dat tenminste naar buiten gekomen. Ik heb zelfs een brief van het Openbaar Ministerie gekregen met de mededeling dat ik binnenkort wellicht voor de rechter moet verschijnen. Waar gaat het om? Een paar maanden geleden kwam een lid van 50PLUS naar mij toe en vertelde mij het volgende. Het medisch centrum Diagnostiek voor U in Eindhoven, dat de gegevens beheert van duizenden patiënten, doet dit zo onveilig, dat je met het intikken van een vijfcijferige code en een wachtwoord dat identiek is aan die vijfcijferige code zomaar het systeem in kunt. Ik dacht «dat kan niet waar zijn», maar het verhaal verdween bij mij zo weer.

De volgende dag kwam hij echter naar mijn kantoor en zei hij dat hij het mij toch wilde laten zien, omdat hij wist dat het wachtwoord in Brabant rondging en dat meer mensen het wachtwoord kenden. Dat is niet in het belang van de patiënten. Ik zei: laat het me maar zien. Ik heb hem achter mijn computer laten plaatsnemen, want zelf ben ik heel onhandig met die dingen, hoewel de buurtkinderen mij nu trots door de straat zien lopen omdat ik die hacker ben. Hij heeft die vijf cijfertjes ingetikt en hij heeft ze nog een keer ingetikt en tot mijn verbazing zag ik dat je echt bij de gegevens kon komen. Vervolgens heb ik van vijf van die dossiers – ik heb er in totaal zeven ingezien – een uitdraaitje gemaakt om te laten zien dat ik er echt op zo'n makkelijke manier in was gekomen. Op de originele uitdraaien heb ik aan zowel de voor- als de achterkant met een zwarte markeerstift de persoonlijke gegevens zoals persoonsnamen, adresgegevens en klantnummers doorgestreept. Daar heb ik een kopie van gemaakt; de originelen heb ik door de shredder gehaald, zodat niemand ooit zou kunnen achterhalen van welke patiënten de gegevens afkomstig waren. Met enig medisch inzicht kon je zien of iemand een drankprobleem had, of dat hij al dan niet hiv-positief was. Ik dacht: dit mag toch niet waar zijn?

Ik heb meteen de telefoon gegrepen en ik heb gebeld naar Diagnostiek voor U. De telefoniste zei: dit soort zaken moet u niet per telefoon melden; dat moet u schriftelijk doen. Toen dacht ik: deze gegevens liggen op straat; anderen kunnen ook over deze gegevens beschikken. Ik was in die tijd nog Statenlid. Ik heb gebeld met de griffie van de provincie, maar die zei dat zij daar niet over gaat. Denkende dat ik de belangen van de patiënten zou bevorderen, heb ik Omroep Brabant gebeld. Toen is het een zaak geworden.

Inmiddels ben ik door Diagnostiek voor U aansprakelijk gesteld voor het repareren van de fouten. Er wordt mij een rekening van € 100.000 gepresenteerd omdat hun systeem niet op orde is. Ik word geconfronteerd met het feit dat de Inspectie voor de Gezondheidszorg hier geen onderzoek naar wil doen. Wij zitten hier te praten over een ander dossier. Ik denk dan: ik wil heel graag weten hoe het met de veiligheid zit. Ik weet niet wat ik fout gedaan heb. Ik ben heel nieuwsgierig hoe de rechter hierover zal oordelen. Als we zo makkelijk bij gegevens kunnen komen, houd ik mijn hart vast.

De heer Van Veen (VVD): Vanaf nu is het dus eigenlijk Henk de Klokkenluider in plaats van Henk de Hacker. Is dit niet juist een aanleiding voor een meer gestructureerde opzet van informatie-uitwisseling?

De heer Krol (50PLUS): Daarom ben ik zo nieuwsgierig naar de antwoorden van de minister. Het baart mij zorgen. Ik ben er nu persoonlijk bij betrokken. Ik ben nieuwsgierig hoe het zit met dat Amerikaanse bedrijf. Weet de minister wel zeker dat dat bedrijf met de Amerikaanse overheid geen andere afspraken heeft dan met haar? Ik ben bang voor de wijze waarop een en ander beveiligd gaat worden. In Eindhoven plakte kennelijk iedereen die in het systeem wilde komen, een briefje met het wachtwoord op de computer. Dan kan iedereen over je schouder meekijken. Het baart mij ook zorgen dat Diagnostiek voor U later verklaarde dat er op die dag door buitenstaanders zeventien keer was ingelogd. Ik kan iedereen met de hand op mijn hart verzekeren dat ik maar zes keer heb ingelogd. Er waren dus aantoonbaar – Diagnostiek voor U zegt het zelf – elf andere mensen ingelogd. Dat is toch levensgevaarlijk?

Mevrouw Dijkstra (D66): Voorzitter. Na het verhaal van de heer Krol kijk je wel uit wat je zegt, maar D66 maakt zich ook zorgen over de ontwikkeling van het nieuwe elektronisch patiëntendossier, of beter gezegd: het landelijk schakelpunt. Laat ik duidelijk zijn: mijn fractie is niet tegen een nieuw systeem voor de elektronische uitwisseling van medische gegevens. De huidige systemen zijn, op zijn zachtst gezegd, bepaald niet veilig en waterdicht. Daar hebben we net een staaltje van gehoord. Voor patiënten die meerdere ziektes hebben en meerdere medicijnen gebruiken, verkleint een veilige gegevensuitwisseling de kans op medische missers, maar bij het uitwisselen van zorggegevens hoort volgens ons altijd de eigen regie van de patiënt centraal te staan en moeten privacy en veiligheid op orde zijn. Voor D66 is het belangrijk dat patiënten zelf toestemming geven voor het uitwisselen van gegevens. Die opt-in is een harde voorwaarde. De gegevens van patiënten die geen toestemming gaven voor opname in het epd worden per 1 januari 2013 verwijderd. Toch zou oorspronkelijk de doorstartorganisatie VZVZ die overgangsperiode graag verlengen. Daarvoor heeft het College bescherming persoonsgegevens een stokje gestoken, maar dit heeft geleid tot onrust en onduidelijkheid, ook bij patiënten. Daarom vraag ik de minister vandaag helderheid te scheppen. Hoe zit het bijvoorbeeld met de regionale uitwisselingssystemen, zoals OZIS? Gaat daarvoor vanaf 1 januari ook een opt-in gelden?

D66 vindt het belangrijk dat patiënten toestemming geven voor opname in het epd en opnieuw bij daadwerkelijke uitwisseling van gegevens. Dat gaat de minister wettelijk vastleggen, maar komt er ook een eis voor een extra toestemmingsmoment als er naast de huidige huisarts-, waarneem- en medicatiegegevens een nieuw soort gegevens zal worden uitgewisseld?

De wetswijziging die voor het kerstreces zou komen, hebben wij nog niet gezien.

Mevrouw Leijten (SP): Vindt u dat er opnieuw toestemming moet worden gegeven als een nieuw soort gegevens wordt uitgewisseld of als er heel veel meer inzagemogelijkheden komen, bijvoorbeeld doordat ziekenhuizen worden aangesloten en alle specialisten via het LSP kunnen kijken naar je gegevens? Of beide? Dat was mij niet helemaal duidelijk.

Mevrouw Dijkstra (D66): Het is belangrijk dat als er een nieuw soort gegevens wordt uitgewisseld, daarvoor opnieuw toestemming wordt gevraagd en dat het heel duidelijk is voor patiënten hoe ver hun toestemming voor gegevensuitwisseling met huisartsen en over medicatie reikt. Van daaruit moet je kijken waarvoor je nu toestemming geeft, zodat je heel goed weet wat het moment is waarop een nieuwe situatie ontstaat.

Mevrouw Leijten (SP): In de huidige situatie geef je toestemming dat huisartsen het waarneemdossier kunnen zien en apothekers het medicatiedossier, en omgekeerd, maar niet dat een specialist die gegevens kan zien. Vindt D66 dat je weer toestemming moet geven als de ziekenhuizen worden aangesloten op wat er nu kan worden ingezien? Mevrouw Dijkstra spreekt namelijk de hele tijd van nieuwe gegevens. Geldt dat ook voor nieuwe ogen?

Mevrouw Dijkstra (D66): Ja. Daarbij wil ik dan wel goed weten wat op dit moment de toestemming voor de huisartsengegevens betekent voor de rol van een medisch specialist. Ik vind het ook heel belangrijk dat het in de communicatie aan patiënten heel duidelijk is waarvoor zij precies toestemming geven.

Ik was bij de wetgeving gebleven. Jammer dat die er nu nog niet is, want het kerstreces begint ongeveer nu. Met mevrouw Bruins Slot hoop ik dat het in elk geval nog voor de kerstdagen wordt.

Voor de wetswijziging voor strengere privacy en veiligheidseisen en voor het uitwisselen van medische gegevens, is wat ons betreft, naast de eis voor de opt-in, de verplichting actueel om opvraagbaar te maken wie gegevens heeft ingezien, de verplichting voor het bieden van elektronische inzage en het recht om bepaalde zorgverleners uit te sluiten of aan te wijzen voor gegevensuitwisseling. Ik wil dat het LSP daaraan zo snel mogelijk voldoet. Tot die tijd pleit D66 alleen voor regionale uitwisseling. Wil de minister dit opnemen met de VZVZ?

Wat ons betreft, wordt het wetsvoorstel op twee punten uitgebreid. Ten eerste met een centraal klanten- en klachtenloket voor alle vormen van elektronische uitwisseling van patiëntgegevens en ten tweede met een standaardoptie voor patiënten voor ontvangst van een sms of een e-mail bij dossierinzage door een arts. Komen deze punten ook terug in het wetsvoorstel?

Mevrouw Bruins Slot (CDA): Vindt u dat een dergelijke service gratis zou moeten zijn?

Mevrouw Dijkstra (D66): Ja, wat ons betreft zou die gratis moeten zijn.

De voorzitter: U kunt uw betoog vervolgen. U hebt nog een halve minuut.

Mevrouw Dijkstra (D66): Dat gaat helemaal lukken.

D66 wil dat zorgaanbieders regelmatig hacktesten laten doen. Kan de minister aangeven hoe vaak bij elektronische gegevensuitwisseling hacktesten worden uitgevoerd? Wil de minister aanmoedigen dat de uitkomsten bij de inspectie worden gemeld? Wil ze er verder op aandringen dat de informatie openbaar wordt gemaakt als er sprake is van onvolkomenheden?

De verwijzing naar mijn buurman had ik oorspronkelijk ook in mijn tekst staan. Dan gaat het natuurlijk echt over iets anders dan het LSP, maar wat mij betreft is hiermee wel aangetoond dat het heel belangrijk is dat wij een heel goed systeem hebben waarin allerlei garanties zitten die wij in de huidige systemen niet hebben. Daarom vraag ik de minister of zij bij de huidige stand van zaken wil inzetten op een meer actieve vorm van toezicht, waarbij wordt meegekeken waar de beveiliging beter kan.

Mevrouw Voortman (GroenLinks): D66 gaf net aan alleen regionale uitwisseling te willen. Dan is het juist opvallend dat de verbetering en de doorontwikkeling van die regionale systemen juist is stopgezet, terwijl volgens de Privacy Barometer daarvan nu juist veel meer voordelen te verwachten zijn dan van het doorgaan met het LSP. Deelt D66 dat standpunt?

Mevrouw Dijkstra (D66): Wij pleiten voor die regionale uitwisseling op dit moment als voorbereiding op een landelijke uitwisseling. De hele ontwikkeling van het LSP is hierop steeds stukgelopen. Ik weet dat er nu ook hard wordt gewerkt aan die regionale schotten. Wat ons betreft, is dit juist de manier om je voor te bereiden op een landelijke uitbreiding. Zoals het er nu voorstaat, zijn wij daar tevreden over.

Mevrouw Voortman (GroenLinks): Dan is het toch raar dat juist de doorontwikkeling en verbetering van die regionale systemen is stopgezet? Dan zou je daarop toch juist de focus moet leggen? Vindt D66 dan ook dat je eerst moet kijken naar de regionale systemen en dat wij het er vervolgens over kunnen hebben of het LSP er inderdaad op deze manier moet komen?

Mevrouw Dijkstra (D66): Die regionale systemen zijn echt iets anders. Ik zet niet in op regionale systemen om die regionale systemen. Ik vind het eigenlijk helemaal niet zo wenselijk dat je het zo doet, maar kennelijk kan het niet anders. Uiteindelijk wil je ernaartoe dat uitwisseling mogelijk is als je in Leeuwarden woont en in Maastricht bij een specialist komt. Op dit moment worden allerlei grenzen gesteld. Ik denk dat dat ook goed is. Zolang wij dat niet goed hebben geregeld, zolang de wet er niet ligt, zolang allerlei wijzigingen nog niet helder zijn en de manier waarop de voortgang plaatsvindt nog niet duidelijk is, vinden wij het goed dat het op deze manier wordt gedaan, maar wel via dat systeem, dat uiteindelijk moet leiden tot een landelijke uitwisseling.

De voorzitter: Mevrouw Leijten, u hebt echt genoeg interrupties gehad. Gelet op de tijd wil ik even doorgaan naar mevrouw Dik-Faber, maar u krijgt nog een tweede termijn.

Mevrouw Dik-Faber (ChristenUnie): Voorzitter. Minder medische missers doordat patiëntgegevens elektronisch worden uitgewisseld en patiënten die zelf inzage krijgen in het medisch dossier, het klinkt allemaal fantastisch, maar intussen is er grote onduidelijkheid en grote onrust. Wij zien iedere week, sterker nog, vrijwel dagelijks, de berichten. Ik zit hier dan ook vandaag omdat er ontzettend veel vragen zijn bij mijn fractie.

Welk plan heeft de minister om de rust en redelijkheid weer terug te krijgen als het gaat om dit onderwerp? Want of wij het willen of niet, wij zullen straks allemaal met de vraag geconfronteerd worden om wel of niet mee te doen. Dan moeten wij een overwogen keuze kunnen maken.

Daarom begin ik met de simpele vraag of de minister vandaag helder wil uitleggen waarom het LSP echt een kwaliteitsverbetering wordt. Dat lijkt een simpele vraag, maar die stel ik toch, want als ik bepaalde berichten in de sociale media mag geloven, staan alle seinen op rood. Dan doel ik uiteraard met name op de privacy en de ICT-beveiliging.

Als ik mij bijvoorbeeld verdiep in de factsheets van de VZVZ, dan krijgen beveiliging en privacy bij de bouw van het LSP juist weer alle aandacht.

Maar hoe zit het dan met de waarschuwingen van ICT-deskundigen? Ik citeer: «Je kunt vanuit een willekeurige plek in Nederland, in ieder geval vanuit ziekenhuizen, gegevens opvragen van patiënten die zich hebben aangemeld. En als de ziekenhuizen dat kunnen, dan kan een hacker dat ook».

Wanneer iedere zorgverlener zich identificeert met de persoonlijke pas met pincode, lijkt het juist niet zo willekeurig. Daarom wil ik heel graag dat de minister ingaat op de angst die bij velen leeft over de mogelijkheden om het systeem te hacken. Ik vond het verhaal dat de heer Krol vertelde in dat licht heel aansprekend.

In de huidige wet- en regelgeving staan al regels die een veilige uitwisseling van medische patiëntgegevens tussen zorgverleners moeten waarborgen, maar er moet ook nog een hoop worden vastgelegd, bijvoorbeeld alleen al de opt-in. Ik heb deze wetswijziging nog niet gezien. Welke zekerheden hebben patiënten vanaf 1 januari dan als het gaat om bijvoorbeeld de verplichte login? Er zijn veel middelen beschikbaar gesteld voor de informatiecampagne. Hoe zal de informatievoorziening aan patiënten lopen op het moment dat de aard van het systeem zal wijzigen? Wie voelt zich daarvoor verantwoordelijk?

Ik heb ook een vraag over wilsonbekwame patiënten. De minister komt nog met aanvullende wetgeving. Is het nodig en mogelijk om de wetgeving uit te breiden als het gaat om wilsonbekwame patiënten? Het College bescherming persoonsgegevens heeft de strikte eis gesteld dat alleen wanneer een patiënt voorafgaand toestemming geeft, zijn of haar medische gegevens vanaf 1 januari mogen worden opgevraagd. Is de minister het met mij eens dat het LSP niet eerder moet starten dan dat patiënten echt kunnen zien wie toegang heeft tot hun dossier en dat je alleen via die weg vertrouwen kweekt? Schat de minister in dat het haalbaar is dat burgers medio 2013 en liever nog veel eerder inzage hebben in hun medisch dossier? Is de minister het met mij eens dat patiënten niet in de toekomst maar zodra het systeem start, moeten kunnen zien wie hun dossier inkijkt?

Als het gaat om de Patriot Act kan ik mij aansluiten bij de vraag van het CDA.

Wat het kort geding van de Vereniging Praktijkhoudende Huisartsen betreft, de minister schreef in haar brief dat zij via Zorgverzekeraars Nederland had begrepen dat er geen sprake was van artsen die verplicht werden zich aan te sluiten bij het LSP om gecontracteerd te worden, maar pas deze week lezen wij het bericht dat zorgverzekeraars hebben toegezegd dat de aansluiting bij de opvolger van het epd geen vereiste meer is. Het lijkt er dus op dat er wel sprake was van een eis. Ook op dat punt zou ik graag een reactie willen van de minister.

Voorzitter: Leijten

Mevrouw Bouwmeester (PvdA): Voorzitter. De PvdA is voor het landelijk schakelpunt en het uitwisselen van elektronische informatie, omdat dat de veiligheid kan vergroten en fouten kan voorkomen. Maar dan moet het wel veilig zijn. Wat we nu zien, is dat er al van alles mogelijk is. Het voorbeeld van de heer Krol geeft bij uitstek aan hoe het niet moet en waarom een beter systeem dus nodig is.

Wij zijn voor, mits veilig. Er is heel veel onduidelijkheid, angst en onzekerheid in het land. Het is goed als die worden weggenomen voordat het LSP in juni wordt uitgerold. In mijn betoog wil ik drie punten naar voren brengen, namelijk de voorwaarden waaronder het systeem wordt ingevoerd, de controle op het dataverkeer en de vraag wie de regie voert en toezicht houdt tijdens het proces van het uitrollen en uitwerken van dit systeem.

De allerbelangrijkste voorwaarde voor de PvdA is dat de patiënt de baas is van zijn dossier. De patiënt bepaalt wat erin komt, wat eruit gaat(?), wat er wordt veranderd en wie erin kijkt. Dat is ook heel erg belangrijk als er naderhand meer mensen in het dossier mogen kijken. Dan moet de patiënt van tevoren toestemming geven. Geen commissie die voor mij oordeelt; dat kan volgens de VZVZ allemaal technisch, dus laten wij het eerst technisch regelen en dan pas het systeem uitbreiden. Het eerste punt is dus dat de patiënt de baas is over zijn dossier.

Vervolgens moeten alle voorwaarden helder op een rijtje staan voor iedereen, zodat patiënten eerlijk kunnen worden geïnformeerd over de keuze die zij maken, de voordelen en de mogelijke risico's.

Bij die risico's gaat het om de veiligheid. Wij vinden het heel belangrijk dat er een beter systeem komt voor informatie-uitwisseling, want de manier waarop het nu gaat, is verouderd. Het moet dus beter. Wij willen wel weten of dat nieuwe systeem dan ook veilig is. Hoe is het ingericht? Welke preventieve maatregelen zijn er tegen hacken genomen? Wordt de datastroom gemonitord? Wordt er dan vervolgens ook ingegrepen als er misstanden zijn en door wie? 100% veiligheid kunnen wij nooit bieden, maar wat wij wel willen weten en wat wij nodig hebben om te kunnen oordelen, is een antwoord op de vraag welke preventieve maatregelen nu zijn genomen.

De IGZ ziet toe op medische dossiers en de inhoud van de zorg. Volgens mij is het niet aan de IGZ om het dataverkeer te monitoren. Daarom lijkt het ons een goed idee als het Nationaal Cyber Security Centrum hierin een rol krijgt, zodat het advies kan geven aan de voorkant en tijdens het proces en zodat het meteen kan ingrijpen als het misgaat. Er komt ook een mild protocol voor als het misgaat, als er dus toch wordt gehackt. Dat is onderdeel van de justitieketen. Volgens mij geef je daarmee mensen de grootst mogelijke garantie voor veiligheid. Graag een reactie van de minister daarop.

Ik kom nu bij het punt van de privacy. Wij vinden het heel belangrijk dat is toegezegd dat een patiënt een bericht krijgt als iemand in zijn dossier kijkt, maar wij willen dan wel dat het systeem helemaal gebouwd is voordat die melding er is en dat het dan pas wordt uitgerold. Het is een beetje vreemd als je alvast gaat werken met een systeem en naderhand pas deze voorwaarde regelt.

Wat het toezicht op het werk in uitvoering betreft, willen wij van de minister het volgende weten. Het is een privaat systeem, dus in dat opzicht kan de Kamer niets tegenhouden, maar er is wel publiek toezicht nodig omdat het gaat om medische gegevens.

Mevrouw Bruins Slot (CDA): Mevrouw Bouwmeester geeft aan dat het systeem pas uitgerold kan worden op het moment dat patiënten bericht krijgen als er in hun dossier wordt gekeken. Klopt dat en wat betekent dat op dit moment voor het LSP?

Mevrouw Bouwmeester (PvdA): Op dit moment worden de gegevens al uitgewisseld op een manier waarvan we allemaal weten dat het beter moet. De heer Krol gaf daarvan een goed voorbeeld. Wij gaan dus naar een nieuw systeem waarvan wij zeggen: doe het dan ook in één keer goed. Dat betekent dat de patiënt de baas is, dat de privacy gewaarborgd moet zijn en dat de gegevens veilig moeten zijn. Daar valt dus veel meer onder dan die ene voorwaarde. Dat moet worden afgesproken met de organisatie. Dat kun je in de wet vastleggen; dan is het een wet. Maar als de minister zegt dat zij dit voor 1 juni gegarandeerd kan krijgen van de organisatie, in de hoop dat de wet voor 1 juni door de Kamer zal zijn maar dat de organisatie zich er anders aan zal houden, is het ook prima.

Mevrouw Bruins Slot (CDA): Op dit moment wordt er al voor een groot deel gewerkt met een systeem. Dat betekent dat u de minister eigenlijk verzoekt om het systeem vanaf 1 januari plat te leggen totdat wij het wetsvoorstel hebben aangenomen en totdat de digitale gegevensuitwisseling is geregeld. Dat is uw voorstel aan de minister. U zegt eigenlijk: leg het systeem plat totdat de wet door de Kamer is. Dat hoor ik u zeggen.

Mevrouw Bouwmeester (PvdA): Dan heb ik het niet goed uitgelegd of u hebt het niet goed gehoord; een van beide. Wat wij graag willen, is dat de voorwaarden geregeld zijn in een groot, nieuw systeem voordat dat helemaal in werking treedt. Het is werk in uitvoering aan een goed systeem, waarvoor de organisatie zelf als datum 1 juni noemt. In de tussentijd heeft een deel van het land een systeem dat gewoon verouderd is, terwijl een ander deel van het land te maken heeft met een nieuw systeem.

Dan kom ik op mijn tweede punt, naast het feit dat de patiënt de baas moet zijn van zijn dossier. De voorlichting moet goed en eerlijk zijn. Mensen moeten weten wat er gebeurt, wat de voordelen zijn en wat de mogelijke nadelen. Dus daar gaat het om.

Mevrouw Klever (PVV): Ik werd ook getriggerd door de allereerste zin: de PvdA is voor een epd mits dat veilig is. Hoe rijmt u dat dan met al uw uitlatingen in de media? Ik citeer: «Het lijkt alsof terechte bezwaren van patiënten, ICT-experts, mensen uit het veld en de politiek compleet worden overschaduwd door mensen die alleen de voordelen noemen. Als je vraagt naar veiligheid, doet men lachend. Ongewenste chantage, dit kan toch niet. Ik wil opheldering van de minister». Hij rijmt u dat met uw woorden van nu?

Mevrouw Bouwmeester (PvdA): Ik sta nog steeds achter die woorden. Tijdens de voorlichtingsbijeenkomst van de VZVZ werden alle voordelen genoemd met als strakke woordvoeringslijn dat het elektronisch patiëntendossier fouten voorkomt en dat je daar per se voor moet zijn. Ik heb steeds gezegd dat je eerlijk naar mensen moet communiceren waar je mee bezig bent en wat de voordelen zijn – want die zijn er gewoon – ten opzichte van wat wij nu hebben, maar dat er ook nadelen en mogelijke risico's zijn. Je moet mensen eerlijk informeren over de stand van zaken en de voorwaarden van de politiek. Waar wil je heen? Ik heb mij tijdens die bijeenkomst bijzonder gestoord aan het feit dat er eendimensionaal een boodschap de zaal in werd gegooid en dat er lacherig werd gedaan over de veiligheid, terwijl de mailboxen van ons allemaal zijn volgestroomd met berichten van bezorgde mensen. Daar moet je dus iets mee. Vandaar ook de vraag over de veiligheid en het voorstel voor de toekomst, of je het Nationaal Cyber Security Centrum erop moet zetten of een andere organisatie. Ik heb alleen van de organisatie gehoord: het is goed, de dijken zijn hoog en die gaan we niet nog hoger maken. Niemand heeft echter kunnen vertellen wat men nu doet, of het systeem hackerproof is, of men het laat testen, of de datastroom gemonitord wordt en wat men doet als er toch wordt gehackt. Dat zijn allemaal vragen die wij, volgens mij jullie ook, hebben aan de minister.

Mevrouw Klever (PVV): Ik ben blij dat zoveel terechte bezwaren ook bij de PvdA leven. Ik hoop dat de PvdA daar straks dan ook consequenties aan verbindt als wij wellicht moties gaan indienen om invoering van het systeem uit te stellen of om daar verdere eisen aan te stellen.

Mevrouw Bouwmeester (PvdA): Ik snap de vraag om uitstel, maar in de ideale situatie dat je niets hebt, dus alleen maar papieren dossiers en artsen die elkaar bellen, wissel je natuurlijk ook informatie uit. Dan ga je rustig een systeem bouwen en dan ga je aan de slag. Maar er zijn nu al allerlei systemen, oude systemen die niet werken, een nieuw systeem dat gedeeltelijk werkt en dat nu nieuw gebouwd wordt en waaraan wij voorwaarden gaan stellen. U vraagt mij dus om iets stop te zetten wat wij helemaal niet stop kunnen zetten, tenzij u zegt: vanaf nu gaan alle computers uit en gaan wij terug naar de dossiers. Dat kan niet, dus wat wij graag willen – ik hoop dat wij het daarover eens zijn – is dat wij bij het werk in uitvoering aan een nieuw systeem de veiligheid goed regelen en daaraan allerlei voorwaarden stellen. Ik neem ook aan dat de minister daar bovenop zit. Althans, dat was tot nu toe haar houding, dus ik neem aan dat dat zo blijft. Dan kun je op de goede manier verder.

De voorzitter: Ik laat mevrouw Klever kort reageren op uw suggestie.

Mevrouw Klever (PVV): Mevrouw Bouwmeester ridiculiseert het nu door te spreken van «alle systemen stopzetten». Volgens mij heb ik dat helemaal niet gezegd en is dat ook helemaal niet ter sprake gekomen. We hebben het hier over het huidige systeem dat goed functioneert, maar dat zeker kan worden verbeterd, versus een landelijk systeem. We hebben het hier over het landelijke systeem en absoluut niet over de bestaande systemen. Dat wil ik graag even gezegd hebben.

De voorzitter: Mevrouw Bouwmeester vervolgt haar betoog.

Mevrouw Bouwmeester (PvdA): Nou, sorry voorzitter ...

De voorzitter: Nee, u vervolgt uw betoog. Dit was een opmerking naar aanleiding van een uitspraak van u. Die had u niet hoeven doen. U kunt nu verder gaan.

Mevrouw Bouwmeester (PvdA): Dan zal ik toch maar even in mijn eigen tijd reageren. Er is nu nog geen landelijk systeem. De voorwaarde die wij stellen, gaat over het landelijke systeem. Het systeem dat er nu is, is niet goed en dat moet beter. Daar hebben wij het over, maar er is nog geen landelijk systeem. Voordat dat er komt, zijn dit de voorwaarden die we noemen. Wij willen graag dat de minister toezicht houdt op de wijze waarop het nu gaat met dat landelijke systeem. Gaat men ook aan alle voorwaarden voldoen? Wordt de veiligheid gewaarborgd? Ik heb het Nationaal Cyber Security Centrum al genoemd. Wordt er toezicht gehouden? De minister moet daarbij de vinger aan de pols houden en de Kamer op de hoogte houden, omdat dat de enige manier is om een privaat systeem overeind te houden, maar wel met publiek toezicht ...

De voorzitter: U hebt nog 20 seconden spreektijd.

Mevrouw Bouwmeester (PvdA): ... waar ik nog even bij wil zeggen dat veiligheid mensenwerk is. Het systeem is ondersteunend, maar uiteindelijk gaat het om artsen die protocollen naleven, hun handen wassen, hun sieraden netjes afdoen. Daarbij kan het systeem helpen. Volgens mij heb ik nu nog heel kort de tijd. Nee, ik moet gaan stoppen. Ik ben immers zelf ook voorzitter.

Mevrouw Voortman (GroenLinks): Mevrouw Bouwmeester gaf net aan dat het nu een private zaak is, maar dat er wel publiek toezicht moet komen. Dat is eigenlijk wel een rare zaak, want eerst werd er tegen de minister gezegd door de Eerste Kamer: u moet uw betrokkenheid bij het landelijk schakelpunt staken. Vervolgens heeft de Tweede Kamer via een truc de private doorstart geregeld. En nu zegt de PvdA dat er wel publiek toezicht moet komen. Hoe verhoudt dat zich tot elkaar?

Mevrouw Bouwmeester (PvdA): Voor zorg, patiëntgegevens, dossiers en al dat soort zaken, willen wij te allen tijde dat de minister toeziet op de veiligheid van de gegevens, of een zorginstelling nu van de overheid is of particulier, op preventieve maatregelen tegen hacken, op het monitoren van het systeem, op het ingrijpen wanneer het misgaat. Ik mag toch hopen dat GroenLinks dat met ons eens is. Die taak ligt bij de overheid. Het is zeer belangrijk dat de minister, die dat nu al doet, dat ook blijft doen en dat wij erop toezien hoe het beter kan en welke voorwaarden wij daaraan verbinden.

Mevrouw Voortman (GroenLinks): Dat is inderdaad heel logisch. Dat is ook de reden waarom GroenLinks heeft gezegd, toen de Eerste Kamer het epd wegstemde, dat je niet alsnog een private doorstart mogelijk moet maken. Dus dan is mijn vraag waarom de PvdA die private doorstart toen wel mogelijk heeft gemaakt maar nu zegt dat dit toch eigenlijk een heilloze weg is gebleken. De PvdA erkent nu ook dat hierbij wel sprake is van een publieke rol.

Mevrouw Bouwmeester (PvdA): U maakt nu een ander punt. Ik ben blij dat u het met ons eens bent dat het toezicht zeker bij de overheid berust waar het om medische dossiers gaat. Wij zijn voor het uitwisselen van elektronische informatie omdat dat fouten kan voorkomen en daarmee de veiligheid kan vergroten, in combinatie met menselijk gedrag. Dat is dus heel belangrijk. Wat wij nu hebben, is gewoon verouderd. Dat moet beter. Als dat privaat goed kan worden geregeld, prima, maar de voorwaarden en het toezicht blijven bij de overheid. Dat willen we goed geregeld hebben. Daaraan heb ik ook een aantal voorwaarden gesteld. Dat vraag ik aan de minister. Wij hebben het huidige systeem. We gaan naar een nieuw landelijk systeem. Dat is er nog niet. Daaraan verbinden wij voorwaarden. Die vraag heb ik bij de minister neergelegd.

Voorzitter: Bouwmeester

De vergadering wordt van 11.07 uur tot 11.17 uur geschorst.

De voorzitter: Wij gaan beginnen met de termijn van de minister. Gezien de resterende tijd van minder dan één uur stel ik voor dat wij maximaal twee interrupties per lid toestaan en dat wij uiterlijk om 11.50 uur, dus over een halfuur, aan de tweede termijn van de Kamer beginnen. Ik kijk even naar de minister.

Minister Schippers: Voorzitter, ik ga mijn best doen. Ik moet ook alle vragen beantwoorden.

De voorzitter: Uiteraard. Het was een vriendelijk verzoek. Wij gaan kijken of wij daarmee toekomen. Het woord is aan de minister.

Minister Schippers: Voorzitter. Ik dank de leden voor hun inbreng en hun vragen in de eerste termijn.

Als één ding waar is, dan is het dat er heel veel onduidelijkheid en mist bestaat over elektronische gegevensuitwisseling en dat heel veel dingen worden gekoppeld aan het LSP, terwijl ze eigenlijk van toepassing zijn op alle systemen in Nederland.

Het wetsvoorstel ligt helaas nu nog niet bij de Kamer. Ik kan ook aangeven waarom. Er stond in een motie iets wat de Raad van State buitenproportioneel en in strijd met de derde schaderichtlijn van de Europese Unie achtte, dus wij moesten daarvoor een andere oplossing verzinnen, die wel robuust was. Dat hebben wij gedaan, maar daardoor heeft het wetsvoorstel een paar dagen vertraging opgelopen. De Kamer krijgt het, zodat de leden het in ieder geval nog onder de kerstboom kunnen lezen, maar het ligt nu bij Hare Majesteit de Koningin. Wij zorgen er in ieder geval voor dat de Kamerleden onder de kerstboom iets te doen hebben. Maar die wetgeving gaat niet alleen over dit systeem. Die gaat over alle systemen.

De heer Krol heeft als geen ander aangegeven hoe hard nodig het is dat we een verbeterslag maken. Dat constateren wij niet alleen nu, dat constateren wij eigenlijk al tien jaar. Het probleem is hoe wij nu daadwerkelijk die verbeterslag kunnen maken.

Ik resumeer even kort. Op 5 april 2011 werd het wetsvoorstel voor het landelijke epd in de Eerste Kamer verworpen. Mij werd verzocht om de betrokkenheid van de overheid helemaal af te bouwen, in de motie op letter X van mevrouw Tan, waarin sprake was van stoppen met overheidsbetrokkenheid, en in de motie op letter Y van mevrouw Tan, waarin stond: wij willen wetgeving. In die wetgeving moesten nadere normen en standaarden worden geregeld voor zowel digitale dossiervorming als digitale ontsluiting en de overdracht van gegevens, eisen met betrekking tot veiligheid, toezicht, handhaving en sancties, inzage door de patiënt, verstrekking van een afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt. Dus er werd aan de ene kant geen betrokkenheid van de overheid verlangd en aan de andere kant wetgeving. Dat waren de twee moties.

Mevrouw Leijten (SP): Het is gewoon een feitelijke toevoeging. Er was ook een verzoek om de mogelijkheid van de elektronische zorgpas te onderzoeken. Dat moeten wij niet consequent vergeten.

Minister Schippers: Dat onderzoek is gedaan en dat was destructief voor die pas, want overal waar dat geprobeerd werd, heeft het niet geholpen. Mensen waren hun code kwijt of vergaten hun pas. Dat gaf ontzettend veel problemen. Het werd eigenlijk niet als een optie gezien. Dat rapport is ook openbaar.

In april 2011 heb ik Nictiz, de beheerder van het landelijk schakelpunt en de infrastructuur voor het landelijk epd, aangegeven dat ik mijn medewerking aan het LSP dus zou afbouwen. In oktober 2011 heb ik Nictiz gevraagd om informatie over de plannen voor de toekomst van het LSP en hierbij onder andere in te gaan op de veiligheid en de gegevensuitwisseling, de invulling van de opt-inregeling, de regionale of landelijke uitwisseling en het oordeel van het College bescherming persoonsgegevens over de plannen.

Op 10 november 2011 heeft de Kamer de motie-Mulder aangenomen, waarin de regering wordt verzocht, de betrokken organisaties op te roepen om het elektronisch patiëntendossier alsnog van de grond te laten komen. Ik wil wel even heel helder stellen, ook in reactie op de opmerkingen van mevrouw Voortman, dat er natuurlijk publiek toezicht was en is op private gegevensuitwisseling en dat dat er ook zal blijven. Wij hebben het College bescherming persoonsgegevens, dat toetst wat er in de Wet bescherming persoonsgegevens staat. We hebben de IGZ, die de medische kwaliteit van de gegevensuitwisseling moet toetsen. Dat zal altijd zo blijven. Het enige wat mij is gevraagd, is of de wet niet kan worden aangescherpt, niet alleen voor dit systeem, dat niet meer onder mijn verantwoordelijkheid valt, maar ook voor alle systemen in heel het land. De aanbieders van zorg, de huisartsen, de ziekenhuizen, de huisartsenposten, de apothekers, zijn verenigd in de Vereniging van Zorgaanbieders voor Zorgcommunicatie, de VZVZ, die de verantwoordelijkheid op zich heeft genomen voor een doorstart van de landelijke infrastructuur voor gegevensuitwisseling.

Het door de VZVZ opgestelde doorstartmodel is aan het College bescherming persoonsgegevens voorgelegd, dus aan de toezichthouder. Dat college heeft begin 2012, na beoordeling van het doorstartmodel, aangegeven geen aanleiding te zien tot opmerkingen. Kortom, het doorstartmodel voldoet aan de wet. Dat is belangrijk voor het parlement.

Belangrijke elementen uit het model voor de doorstart zijn dat het netwerk niet landelijk maar regionaal wordt opgezet, dat patiënten eerst expliciet om toestemming wordt gevraagd voor het mogen uitwisselen van hun gegevens via de zorginfrastructuur, dat patiënten in de toekomst zelf elektronisch inzage krijgen in de gegevens, dat patiënten kunnen opvragen wie hun gegevens hebben ingezien, dat er een gebruikersraad en een patiënten- en privacyraad is ingesteld en dat de beveiliging moet voldoen aan de geldende eisen en normen in de zorg.

Deze elementen vinden straks hun vertaling in het wetsvoorstel. Dat is dan van toepassing op alle systemen, ook het OZIS-systeem. Alle systemen moeten aan de wet voldoen. We hebben toezichthouders die er toezicht op moeten houden dat al die systemen ook aan de wet voldoen. Dus dit is niet iets aparts voor het landelijk schakelpunt. Sterker nog, het landelijk schakelpunt doet, vooruitlopend op de wet, per 1 januari een opt-in, terwijl een heleboel regionale systemen echt helemaal geen opt-in kennen. Daar staat iedereen gewoon in, of je dat nu weet of niet. Als ik dat straks wettelijk heb vastgelegd, zal iedereen, ook van de regionale systemen, aan de patiënten moeten vragen of zij daar eigenlijk in willen staan. Vooruitlopend op de wet, regelt de VZVZ nu dus al een aantal dingen die voor de andere systemen nog niet gelden omdat de wet nog niet is aangenomen. Als de wet straks geldt voor de andere systemen, worden uiteraard diezelfde eisen gesteld aan ieder systeem.

Voor de zomer van 2012 heb ik met de Kamer over de doorstart van de zorginfrastructuur gesproken. Aan de orde was toen met name mijn voorstel voor communicatie richting de mensen in het land over de gevolgen van het beëindigen van mijn betrokkenheid bij het landelijk epd en over de doorstart.

Inmiddels zijn diverse communicatiemiddelen ingezet om de burgers te informeren. Begin november is een advertentie verschenen in de landelijke en regionale dagbladen, de Metro, de Spits en de huis-aan-huisbladen. De zorgaanbieders hebben brochures en een wachtkamerposter ontvangen ter ondersteuning van de informatievoorziening aan hun patiënten.

De bij de doorstart betrokken partijen hebben op 5 november een convenant getekend waarin de afspraken over gebruik en financiering van de landelijke infrastructuur voor de komende drie jaar zijn vastgelegd. Daarmee hebben de partijen de bereidheid getoond de verantwoordelijkheid voor de zorginfrastructuur over te nemen.

Daarnaast heb ik, zoals de Kamer weet, in aanvulling op bestaande regels een wetsvoorstel in voorbereiding dat voor de kerst naar de Kamer zou komen. Het is van groot belang te weten wat de overheid nu wel en niet kan. Wij kunnen niet als overheid over één van de vele systemen die in Nederland functioneel zijn, zeggen: u stopt maar met dat systeem. Daartoe hebben wij de bevoegdheid helemaal niet. Als wij dat zouden willen, zou ik een wet moeten maken en die aan de Kamer moeten voorleggen om één systeem te laten stoppen, terwijl andere systemen gewoon zouden doorgaan. Of ze zouden allemaal moeten stoppen. Mij lijkt dat geen begaanbare weg. Mijn weg is dat wij eisen stellen aan alle systemen, die daaraan allemaal moeten voldoen. Wij hebben toezichthouders, die er toezicht op moeten houden dat alle systemen aan de eisen voldoen. Dat is de weg die we volgens mij moeten gaan.

Om alles even in perspectief te zetten: na schoning van de verwijsindex zullen de gegevens van minder dan 200.000 mensen in het systeem zitten. Er gaan namelijk ongelooflijk veel mensen uit. Van de VZVZ heb ik begrepen dat de gegevens regionaal zullen worden uitgewisseld, want zij zitten nog niet op een landelijk uitwisselingsniveau. Het begint dus via de regionale weg, wat de Kamer eigenlijk altijd heeft bepleit. Die regiostructuur is gedefinieerd. De zorginfrastructuur wordt nu gebruikt in de regio's Twente en Nijmegen. In het eerste kwartaal van 2013 volgen andere regio's.

Bij het verdergaan van dit systeem in het eerste kwartaal van 2013 worden binnen de zorginfrastructuur regionale schotten geplaatst zodat huisartsen, huisartsenposten en apothekers in kleine kring gegevens kunnen uitwisselen. Vanaf medio 2013 hebben patiënten dan de mogelijkheid om een persoonlijk toestemmingsprofiel te maken. De ziekenhuizen zullen vanaf dat moment buiten de regio toegang krijgen omdat zij bovenregionaal werken.

Per 1 januari gaan ruim 7 miljoen mensen uit het systeem. We hebben twee toezichthouders, namelijk het CBP, dat heeft gepleit voor een opt-in, en de inspectie, die heeft gezegd zich grote zorgen te maken omdat zoveel miljoen mensen uit het systeem worden gezet. Hoe gaat het dan met de gegevensuitwisseling van deze mensen als zij bij de spoedeisende hulp komen? Mijn reactie is dat wij twee toezichthouders hebben en dat de zorg aan de eisen van die toezichthouders moet voldoen. Dus daar is nog wel enige actie aan de orde, lijkt mij.

Mevrouw Leijten heeft mij gevraagd om een reactie op de Privacy Barometer. Ik heb hier een heel dik pak papier waaruit ik dat kan voorlezen, maar dan zit de tweede termijn er zeker niet in. Ik kan de Kamer schriftelijk toesturen wat onze reactie is op die twaalf punten, maar ik kan ze nu ook opsommen, wat de leden willen.

Mevrouw Dijkstra (D66): Voorzitter, ik heb nog een vraag over het vorige punt, maar u zag mijn hand niet.

De voorzitter: Mag ik eerst vragen of de Kamer er akkoord mee gaat dat de minister ons dit schriftelijk toezendt, gezien de bekorting van de spreektijd? Ik constateer dat dat het geval is. Even heel kort, mevrouw Leijten, ja of nee?

Mevrouw Leijten (SP): We hebben het hier over de zorgen die leven in het veld. Dat wordt allemaal een beetje weggewuifd ...

De voorzitter: Niet politiek. Wilt u nu dat de minister het allemaal gaat vertellen in een halfuur en dat wij verder niets behandelen, of wilt u het antwoord schriftelijk?

Mevrouw Leijten (SP): De minister kan toch in hoofdlijnen ingaan op de zorgen uit de Privacy Barometer? Ik vind het goed dat ze daarna schriftelijk ingaat op de twaalf punten, maar op de hoofdlijnen kan ze wel ingaan: het is niet veilig, de autorisatie is niet geregeld.

De voorzitter: Uw punt is duidelijk. Het woord is aan de minister. Kunt u hier iets mee?

Minister Schippers: Heel veel Kamerleden hebben vragen gesteld die in de Privacy Barometer voorkomen. Dat zijn vragen over privacy en beveiliging. Of ik geef antwoord, of ik geef geen antwoord. Ik heb hier een pakket vragen waarop ik rustig antwoord wil geven. Ik begrijp namelijk dat het belangrijk is, dus ik wil dat ook best doen.

De voorzitter: Ik doe een voorstel. Volgens mij wil de meerderheid van de Kamer dat deze vragen schriftelijk worden beantwoord. Op alle andere vragen willen wij graag nu de antwoorden.

Mevrouw Dijkstra (D66): Ik heb een vraag over het voorgaande, namelijk over de twee toezichthouders. Eigenlijk geven zij tegenstrijdige adviezen. Het CBP zegt dat de mensen die niet de expliciete keuze hebben gemaakt, uit het systeem gaan. De IGZ vindt dat heel jammer en vraagt zich af – ik neem aan dat dat er ook achter zit – of die mensen zich daarvan bewust zijn. De minister zegt dat daar nog het een en ander aan gedaan moet worden. Mijn vraag is: wat? Hoe ziet de minister dat voor zich?

Minister Schippers: De wet is niet nieuw. Sterker nog: ik kom met een wetsvoorstel om de wet aan te scherpen. Iedereen moet met de regionale systemen en met het Landelijk Schakelpunt dus gewoon aan de huidige wet voldoen. Daar hebben wij toezichthouders voor: het College bescherming persoonsgegevens en de inspectie. Zij hebben verschillende zorgen omdat zij naar verschillende onderdelen kijken. Dat begrijp ik heel goed. Ik begrijp de standpunten van beide toezichthouders heel goed. Ik begrijp dus ook het standpunt van de inspectie: als je per 1 januari uit het systeem wordt verwijderd, ben je je daar misschien niet helemaal van bewust. Het is dus zaak dat de inspectie er goed op toeziet dat de gegevensuitwisseling toch doorloopt, maar de verplichting daartoe ligt bij de zorgverleners. Zij hebben een plicht en die is helder omschreven in de wet; ik kan het niet mooier maken.

Mevrouw Dijkstra (D66): Dat snap ik, maar tegelijkertijd is het zo dat ik dit alles weet omdat ik daar in de Kamer mee te maken heb. Ik heb echter op geen enkele manier – via zorgverleners, in advertenties of hoe dan ook – enige informatie gekregen over het feit dat dit überhaupt aan de orde is. Het gaat in dit geval natuurlijk ook over de communicatie.

Minister Schippers: Dat is natuurlijk altijd lastig. Je kunt advertenties plaatsen en je kunt folders en posters verspreiden, maar ook ik heb altijd het idee dat ik alles mis. Dat komt waarschijnlijk doordat je er op dat moment niet mee bezig bent en aan iets anders denkt. Ik denk dat dat voor heel veel mensen geldt. Er is echter een wet en die schrijft zorgverleners voor waarmee zij rekening hebben te houden bij de gegevensuitwisseling. Die wet schrijft ook heel helder voor waaraan zorgverleners moeten voldoen. Het enige wat ik zeg, is: er verandert iets; let op, want je moet daar wel aan voldoen. We hebben twee toezichthouders die toezicht houden op het een en op het ander.

Er is gevraagd of de VZVZ nog aan de voorwaarden voldoet die bij de doorstart zijn gesteld. In oktober 2011 heb ik de bij de doorstart betrokken partijen gevraagd om in hun plannen in te gaan op de veiligheid van het Landelijk Schakelpunt en de gegevensuitwisseling, de invulling van de opt-inregeling, de regionale of landelijke gegevensuitwisseling en het oordeel van het College bescherming persoonsgegevens over de plannen. Dat oordeel van het CBP is belangrijk, want die toezichthouder is opgericht om te bekijken of de bescherming van de persoonsgegevens op orde is. Het CBP heeft aangegeven dat dat het geval is en dat het in elk geval geen opmerkingen heeft.

Vervolgens is een doorstartmodel opgestart. Daarin is rekening gehouden met die voorwaarden. Men loopt daarmee in een heleboel opzichten dus eigenlijk vooruit op de wet.

Hoeveel zorgaanbieders zijn aangesloten op het Landelijk Schakelpunt? Per 1 december heeft de VZVZ aangegeven dat 43% van de apotheken, 65% van de huisartsenpraktijken, 84% van de huisartsendienstenstructuren, 12% van de ziekenhuizen en in totaal 57% zijn aangesloten.

Wie is aansprakelijk voor de gevolgen van fouten in het LSP? De invoering brengt geen verandering in de algemene uitgangspunten voor aansprakelijkheidskwesties binnen de gezondheidszorg met zich mee. Zeer in het algemeen kan gesteld worden dat de zorgaanbieder verantwoordelijk is voor zijn eigen zorginformatiesysteem en voor de netwerkverbinding met het LSP en dat de beheerder van het LSP, in dit geval de VZVZ, verantwoordelijk is voor de goede werking van het LSP. Als er sprake is van een datalek, zal eerst moeten worden vastgesteld wat de oorzaak van het lek is voordat kan worden vastgesteld wie aansprakelijk is. Het is immers van belang of het lek zich voordoet bij de zorgaanbieder of bij het LSP en wie het lek heeft veroorzaakt. De rechter zal echter uiteindelijk in specifieke gevallen een oordeel moeten vellen over de aansprakelijkheidsvraag. Ik zal de Kamer, zoals toegezegd, een analyse van de aansprakelijkheden toesturen met het wetsvoorstel tot wijziging van de WCZ in verband met de gegevensuitwisseling in de zorg. Die analyse is opgenomen in de memorie van toelichting. De vraag was of ik mijzelf daarvoor aansprakelijk wil stellen. Dat ben ik niet van plan. Wij moeten de aansprakelijkheid daar houden waar de verantwoordelijkheid ook daadwerkelijk genomen kan worden.

De heer Van Veen (VVD): Ik heb de minister gevraagd hoe zij aankijkt tegen de professionaliteit en vooral ook de continuïteit van de VZVZ, die de infrastructuur gaat leveren. Heeft de minister daar een mening over?

Minister Schippers: Hier zitten belangrijke beroeps- en brancheverenigingen achter. Zij bieden dus wel enige zekerheid over continuïteit, want zij zijn hier een onderdeel van. Hoe dit uiteindelijk loopt, is echter aan hen. Zoals al gezegd, zullen wij in de wet de randvoorwaarden aangeven en zullen de toezichthouders hierop moeten toezien.

De heer Van Veen (VVD): Hoe wilt u dat dan vormgeven? Ik snap dit voor zover het over de patiëntveiligheid gaat, maar met betrekking tot de dataveiligheid kan ook in de wet worden opgenomen dat er gecheckt moet worden of er gebruik wordt gemaakt van de best beschikbare technieken, bijvoorbeeld om hacken te voorkomen. Bent u van plan om dat in de wet op te nemen?

Minister Schippers: Er worden regelmatig hacktesten uitgevoerd. Ik heb van een aantal sprekers een aantal dingen gehoord die zij graag in het wetsvoorstel opgenomen zouden willen zien die daar niet in zijn opgenomen omdat het wetsvoorstel en de debatten daarover niet betrekking hadden op deze vragen. Dat wetsvoorstel is allang naar de Raad van State geweest en is teruggekomen. Het is volgens mij dus in een zodanig stadium dat we het niet langer moeten ophouden door er weer nieuwe dingen aan toe te voegen. Ik ben van plan om dat wetsvoorstel naar de Kamer te sturen, zodat iedereen goed kan bekijken of daarin staat wat men erin wil hebben staan. Als dat niet zo is, kunnen wij in een overleg met elkaar bekijken hoe wij het wetsvoorstel, als daar aanleiding toe is, eventueel kunnen verbeteren. Dat lijkt mij de goede weg, want ik wil nu een beetje tempo houden, zodat de Kamer het wetsvoorstel snel krijgt.

Mevrouw Dijkstra had ook een vraag over het klachtenloket. Ik denk dat wij ook dat punt moeten bespreken bij de behandeling van het wetsvoorstel.

Mevrouw Klever (PVV): Is de minister er zelf gerust op dat het systeem nooit gehackt zal worden? Ieder systeem kan immers gehackt worden. Als je zelfs kunt hacken bij een bedrijf dat verantwoordelijk is voor de beveiliging van overheidssites, is het toch gewoon een kwestie van tijd voordat de gegevens op straat liggen? Ik heb ook nog een ander punt. De hacker is strafbaar; dat blijkt uit het feit dat de heer Krol wordt gedaagd. Als de heer Krol al die gegevens op internet had gezet, is degene die die op internet gepubliceerde gegevens gebruikt, niet strafbaar. Met een landelijk systeem kan het zomaar zijn dat een miljoen gegevens op internet komen te staan en dat die door iedereen gebruikt kunnen worden. Mijn vraag aan de minister is dus of zij zelf overtuigd is van de veiligheid van dat systeem.

Minister Schippers: Hier zit de veronderstelling achter dat er miljoenen gegevens op internet zouden kunnen staan. Ik maak daar bezwaar tegen, omdat daarmee angst wordt aangejaagd, net alsof er één grote database in Utrecht zou staan waar je in rond kunt struinen. Ik maak mij er zorgen over dat hackers, zoals zij tegen mij zeggen, bij een gemiddeld ziekenhuis in drieënhalve minuut binnenkomen. Dat zijn de huidige systemen, waar de gegevens van mij en van vele anderen in zitten. De huidige systemen zijn dus helemaal niet zo goed beveiligd. We kunnen wel de illusie creëren dat het nu allemaal goed geregeld is en dat er met het LSP een groot gevaar aan komt, maar ik denk eerlijk gezegd dat het andersom is. Natuurlijk geef ik niet de garantie dat iets niet gehackt kan worden, want er zijn altijd weer mensen die slimmer zijn dan de systemen. Daarom moeten wij ervoor zorgen dat de systemen up-to-date blijven en voldoen aan de laatste standaarden en normen. Die ambitie moet je hebben, maar het idee dat onze gegevens nu in veilige systemen zitten, is helaas een illusie. De heer Krol heeft aangetoond hoe groot die illusie is.

Mevrouw Klever (PVV): Ik ben blij dat de minister zich ook zorgen maakt over de huidige systemen, maar is het dan een oplossing om die systemen nog groter te maken, met nog meer risico dat, als er gehackt wordt, nog veel meer gegevens op straat liggen? Is het dan niet slimmer om de huidige systemen te verbeteren in plaats van om de systemen groter te maken, met nog veel meer risico's? De minister geeft zelf aan dat dit niet te beveiligen is. Is het risico dat de minister op dit punt neemt, niet veel te groot?

Minister Schippers: Niemand heeft iemand tegengehouden om de systemen te verbeteren, want de regionale systemen moeten nu ook aan de wet voldoen. Ik vraag me af of dat het geval is. De oplossing is: een beter systeem in de markt zetten. Is dat een ultiem systeem dat nooit gehackt kan worden? Nee, dat is het niet, maar het is beter dan wat wij hebben. We hebben nu een huifkar en ik hoop naar een Opel te gaan en ooit bij een Rolls Royce te eindigen.

Mevrouw Leijten (SP): Op 29 november eiste de PvdA een veiligheidsgarantie met betrekking tot het epd, maar ik begrijp nu dat de minister die niet wil afgeven.

Minister Schippers: Garanties op systemen zijn niet te geven. Dat geldt voor de huidige systemen, maar ook voor de toekomstige systemen.

Mevrouw Leijten (SP): Oké. Dat is interessant voor de positiebepaling van de PvdA straks. We zullen zien.

De voorzitter: Ik wil ook graag zelf interrumperen. De vraag die wij aan de minister hebben gesteld over de veiligheidsgarantie, was niet om ons 100% zekerheid te geven, want die bestaat niet. Wij hebben gevraagd of het systeem veilig is, of de data gemonitord worden, of er wordt ingegrepen als het misgaat en of wij dan een meldprotocol hebben. In mijn eigen inbreng heb ik ook een vraag gesteld over het Nationaal Cyber Security Centrum. De minister zegt: wij hebben nu een veiliger systeem. Wie toetst dat en wie heeft daar een stempel op gegeven? Het systeem is immers nog niet af. Wie heeft nou gezegd dat het veilig is? De minister baseert zich uiteraard op deskundigen, maar wie zijn dat dan?

Minister Schippers: Het voldoet aan de laatste normen. Dat is belangrijk. Ik kan mijn eigen handschrift niet meer lezen; wat zei u voordat u het had over het NCSC?

De voorzitter: Het moet een veilig systeem zijn, de data moeten worden gemonitord en er moet worden ingegrepen als het misgaat.

Minister Schippers: Datamonitoring van dit systeem heeft 24/7 plaats. Ik ben heel benieuwd hoeveel regionale systemen datamonitoring hebben. Die heeft dit systeem wel. Als je daar een gek patroon in ziet, kun je dus ingrijpen. Ik kom straks terug op het Nationaal Cyber Security Centrum.

Hoe kijk ik aan tegen de verplichting voor aansluiting? Wij hebben het daar al vaker over gehad. Zorgverzekeraars verwijzen bij het vaststellen van contracten naar de kwaliteitseisen van de beroepsgroep. De beroepsgroep geeft aan wat haar kwaliteitseisen zijn. Zolang de beroepsgroep deze verplichting niet opneemt als kwaliteitseis, staat die dus ook niet in de contracten van de verzekeraar. Ook de inspectie zal aansluiting op het LSP pas als een onderdeel van verantwoorde zorg zien als de beroepsgroep zelf dit als kwaliteitseis ziet. Hierbij zit de beroepsgroep zelf dus aan het stuur.

Mevrouw Leijten heeft mij gevraagd om afstand te nemen van de NPCF, die zou hebben gezegd dat een arts die niet deelneemt, een slechte arts is. Ik herken dit eerlijk gezegd niet als het standpunt van de NPCF. Ik vind juist dat de NPCF zich heel druk maakt over de kwaliteitseisen voor de gegevensuitwisseling, zich hard maakt voor verbetering daarvan en daaraan bijdraagt via programma's die wij subsidiëren. Ik herken dit helemaal niet. Ik heb daar dus geen reactie op.

Mevrouw Klever vroeg of het verwijderen van de gegevens wordt uitgesteld. Het College bescherming persoonsgegevens is onafhankelijk, stelt eisen en heeft gezegd dat patiënten die geen toestemming hebben gegeven, per 1 januari 2013 moeten worden verwijderd uit de verwijsindex van het LSP. Het voornemen van de VZVZ tot verlenging van de overgangsperiode voor het gebruik van gegevens van mensen die nog geen toestemming hebben gegeven, is van de baan. Dat voornemen heeft natuurlijk ook te maken met de andere toezichthouder, die een brief had gestuurd en die zich zorgen maakte. De VZVZ kiest echter de weg van het College bescherming persoonsgegevens. Die gegevens zullen dus per 1 januari worden verwijderd uit de verwijsindex van het LSP.

Kunnen huisartsen en apothekers zorg weigeren als de patiënt geen toestemming geeft? Met die vraag werd ook gerefereerd aan het Sint Antonius Ziekenhuis. Het uitgangspunt is en blijft dat de patiënt zelf bepaalt of hij wil deelnemen aan de uitwisseling van zijn medische gegevens via de zorginfrastructuur. Huisartsen en apothekers hebben een zorgplicht jegens hun patiënten. Het enkele feit dat een patiënt geen toestemming geeft voor de uitwisseling van zijn gegevens, mag er niet toe leiden dat de apotheker geen medicijnen aflevert of dat anderszins geen zorg wordt verleend. Wel kunnen er andere redenen zijn waarom de apothekers de medicatie niet afleveren, omdat zij geen afleverplicht hebben. Dat staat hier echter los van. Het Sint Antonius Ziekenhuis heeft het bericht over het niet verstrekken van medicatie als de patiënt geen toestemming geeft voor inzage in het elektronisch patiëntendossier, overigens als onjuist bestempeld en al lange tijd geleden gecorrigeerd.

Mevrouw Bruins Slot vroeg hoe patiënten elektronische inzage in hun gegevens krijgen. Elektronische inzage wordt meegenomen in het wetsvoorstel dat ik voorbereid. In dat wetsvoorstel staat een verplichting daartoe. In het wetsvoorstel krijgt de patiënt het recht op elektronische inzage en elektronische afschriften van zijn gegevens. Het wetsvoorstel schrijft niet voor op welke wijze dat moet gebeuren; dat is aan de zorgaanbieder. Uiteraard moet de elektronische inzage op een veilige wijze worden vormgegeven en moet worden voldaan aan wet- en regelgeving. Bij de invulling van deze regelgeving zijn de motie-Kuiken op stuk nr. 69 en de motie-Omtzigt op stuk nr. 70 verwerkt. De exacte ingangsdatum van de regelgeving is afhankelijk van het wetgevingstraject. De regelgeving is door het College bescherming persoonsgegevens van advies voorzien. Ook de Raad van State heeft zijn advies gegeven.

Ik zal daarnaast Nictiz vragen om standaarden voor de elektronische inzage vast te stellen. Ik steun het initiatief van de NPCF om het zelfbeschikkingsrecht van de patiënt en de zeggenschap over de gegevens in zijn dossier te effectueren. Patiënten hebben op dit moment overigens al recht op inzage in hun dossier en op een afschrift van hun dossier. Dat is echter vaak papier of je moet daarvoor langs gaan.

Mevrouw Bruins Slot (CDA): De minister had het zojuist over een huifkar en zij wil graag een Rolls Royce.

Minister Schippers: Ooit.

Mevrouw Bruins Slot (CDA): Als een patiënt nu inzage wil krijgen, komt hij bijna in het stenen tijdperk. Hij moet dan immers een brief sturen naar het informatiepunt van de VZVZ. Waarschijnlijk moet hij zich bovendien legitimeren, want anders kan ik een brief sturen met de mededeling dat ik de gegevens wil hebben van bijvoorbeeld mevrouw E. Schippers uit Baarn. Hoe snel moet dit volgens de minister goed geregeld zijn, zodat dit soort maatregelen uit het stenen tijdperk niet nodig is?

Minister Schippers: Dat idee heb ik ook als ik inzage wil krijgen in mijn gegevens bij een zorgverlener. Dan komen er soms zelfs nog papieren dossiers naar boven, ook al gebeurt dat gelukkig steeds minder. Wij moeten dit dus beter regelen. Dat willen wij ook doen en wij gaan dit wettelijk vastleggen. Zodra de wet is aangenomen, zal iedereen daaraan moeten voldoen. Zolang de wet niet is aangenomen, kan ik er echter alleen op aandringen om dit zo snel mogelijk te regelen. Dat kan ik niet afdwingen, want dat staat niet in de wet.

Mevrouw Bruins Slot (CDA): Ik vraag daar natuurlijk specifiek naar omdat in de desbetreffende moties van mevrouw Kuiken en de heer Omtzigt ook de termijn van 1 januari 2013 voor het LSP staat. In het businessplan van de VZVZ staat nu een tentatieve datum, medio 2013. Het zou mooi zijn als de minister er samen met de andere betrokken partners op zou aandringen dat dit toch iets naar voren wordt geschoven.

Minister Schippers: Ik kan daarop aandringen en ik zal zeker vragen of het naar voren geschoven kan worden. Daarbij vind ik de kwaliteit en de veiligheid hiervan – dit heeft immers ook met veiligheid te maken – wel heel belangrijk. Als het niet veilig kan, moet het iets later gebeuren. Het punt is echter wel dat moties geen wet zijn. Ik kan de regionale systemen en het LSP aan de wet houden. Van alles wat wij voornemens zijn in de wet te regelen, doet de VZVZ al heel veel, vooruitlopend op de wet. De toezichthouders kunnen echter pas toezicht houden als dit daadwerkelijk wettelijk is vastgelegd. Ik zal echter vragen of het sneller kan, met inachtneming van het feit dat ik die veiligheid ontzettend belangrijk vind. Ik denk dat dat het aspect is waardoor er misschien iets meer tijd nodig is.

Moet voor uitbreiding van uitwisseling van medische gegevens opnieuw toestemming worden gevraagd? Aan de patiënt dient duidelijk voorlichting te worden gegeven over waar de opt-in voor geldt. Als een patiënt aangeeft dat hij generieke, dus algemene toestemming geeft en als hem duidelijk is gemaakt dat dit ook geldt voor nieuw aan te sluiten zorgaanbieders, is het niet nodig om opnieuw toestemming te vragen, maar in alle andere gevallen wel. In het wetsvoorstel is ook geregeld dat een aangesloten zorgaanbieder altijd toestemming moet vragen om gegevens in te zien. Dat is aan die kant dus een extra waarborg voor patiënten, die dan alsnog kunnen weigeren om toestemming te geven. In het wetsvoorstel staat ook dat je zelf zorgverleners kunt aanwijzen. Je kunt bijvoorbeeld je huisarts, je gynaecoloog en je psychiater erin laten kijken en verder niemand. Ook dat is een extra waarborg. Ook het verplichte inloggen wordt geregeld in het wetsvoorstel. Op die manier kan de patiënt nagaan of het dossier zonder toestemming is ingezien.

Kan de minister proberen om het persoonlijk toestemmingsprofiel eerder dan in 2013 in te laten gaan? Daar ben ik al op ingegaan: ik zal bekijken of dit versneld ingevoerd kan worden, maar wel onder de conditie van veiligheid.

Kunnen de beroepsbeoefenaren zoals bedoeld in artikel 34 van de Wet BIG strafrechtelijk vervolgd worden? Naar aanleiding van het verzoek van het lid Omtzigt is in de memorie van toelichting van het wetsvoorstel dat de Kamer voor de kerst krijgt, een uitgebreide analyse opgenomen van de aansprakelijkheid bij elektronische gegevensuitwisseling. De normale regels inzake aansprakelijkheid blijven van kracht. Er zijn met betrekking tot aansprakelijkheid geen nieuwe regels, ook niet over strafrechtelijke vervolging, in het wetsvoorstel opgenomen, want eenieder die zich onrechtmatig toegang verschaft tot een elektronisch uitwisselingssysteem, is strafrechtelijk vervolgbaar op grond van de computervredebreuk, die is omschreven in artikel 138ab van het Wetboek van Strafrecht. Dit behoeft dus geen afzonderlijke regeling, maar in de memorie van toelichting bij het wetsvoorstel wordt hier uitgebreid aandacht aan besteed.

Naar aanleiding van de datalek van medische gegevens bij het Groene Hart Ziekenhuis is bij dat ziekenhuis een extern onderzoek uitgevoerd. In het onderzoeksrapport zijn verbetermaatregelen voorgesteld. De inspectie heeft contact gehad met het Groene Hart Ziekenhuis en is in overleg met het ziekenhuis nagegaan of en, zo ja, welke aanvullende acties moeten worden ondernomen. De toezichthouders, de IGZ en het CBP, hebben ingestemd met de verbetermaatregelen en de instelling voert die maatregelen in. Als dat niet goed gebeurt, volgt handhaving. In algemene zin gaat de IGZ na of alle ziekenhuizen, inclusief het Groene Hart Ziekenhuis, voldoen aan de NEN 7510.

Wat is de uitkomst van het overleg tussen het CSC en de VZVZ? Hoe staat het daarmee? Ik heb de uitkomsten nog niet ontvangen. Ik vind dat overleg wel heel belangrijk, zoals ik al eerder heb aangegeven. Het kan niet zo zijn dat andere naties in onze medische gegevens kunnen kijken. Dit is iets wat langer loopt en wat breder in de Kamer aan de orde is gesteld bij de minister van Veiligheid en Justitie. Daarbij heeft hij aangegeven dat er enerzijds een bilateraal rechtshulpverdrag is met de VS en dat hij anderzijds in de Europese context hierover overlegt. Dit is immers niet alleen een zorgprobleem; dit heeft te maken met allerlei biometrische gegevens bij Binnenlandse Zaken et cetera. Het is ook niet alleen een Nederlands probleem, maar ook een Europees probleem. Er wordt dus actief op ingezoomd. Er is ook een motie aangenomen. Voor de zekerheid heb ik die motie nog even opgezocht. Die motie is ondertekend door D66, de SP, de PvdA en de VVD. Ook die motie geldt dus voor de minister van Veiligheid en Justitie. Met andere woorden: alle aandacht is hierop gericht.

Mevrouw Bruins Slot (CDA): Dit systeem is gebouwd door een Amerikaans bedrijf. Juist daardoor lopen we het risico dat op grond van de Patriot Act al onze gegevens inzichtelijk zijn voor de VS. De minister heeft nog geen uitkomst van het overleg tussen de beide partijen, maar dit moet op het punt van de veiligheid toch bovenaan haar lijstje staan?

Minister Schippers: Het staat ook bovenaan mijn lijstje en niet alleen ten aanzien van dit aspect. Ik zal u besparen hoeveel Amerikaanse bedrijven in Nederland iets met persoonsgegevens doen. Ik wist hier ook niet van. Ik heb dit via de media gehoord en toen ben ik erin gedoken. Er is een waslijst van Amerikaanse bedrijven die handelen met een waslijst van allerlei persoonsgegevens waarop wij allemaal zeer zuinig zijn of die daar iets mee van doen hebben omdat zij een service verlenen, een systeem bouwen of een systeem uitvoeren. Ik heb dus ook contact gezocht met mijn collega's, want ik zag dat dit voor een deeltje betrekking heeft op de zorg en voor een groter deel ook op allerlei andere terreinen. Toen bleek dat dit in de Kamer al ruim aan de orde is geweest met de minister van Veiligheid en Justitie; dat was mij ontgaan. In dat verband is er een motie-Schouw c.s. gekomen. Ik heb van het ministerie van Veiligheid en Justitie dus vernomen dat wij dat bilaterale rechtshulpverdrag hebben en dat hier in de Europese context ook overleg over is. Dat is de laatste stand van zaken. Ik wacht nog op de respons van het bedrijf. Daar is men druk mee in gesprek. Ik moet ook garanties krijgen van het bedrijf. Ik zit hier dus bovenop.

Mevrouw Bruins Slot (CDA): Voorzitter ...

De voorzitter: Mevrouw Bruins Slot, we hebben eigenlijk geen tijd meer. Als er wordt besloten om te interrumperen, krijgt de helft van de commissie geen antwoord meer. Ik snap hoe vervelend dit is.

Mevrouw Bruins Slot (CDA): Anders moet ik een motie indienen en dat is heel vervelend. Ik kijk even naar mijn collega's, want ik wil wel collegiaal zijn: kan ik hier een vervolgvraag over stellen? Ja? Oké.

De voorzitter: Tot slot dan, maar dan is er geen tweede termijn meer.

Mevrouw Bruins Slot (CDA): Het gaat niet om de vraag welke minister hiervoor verantwoordelijk is; het gaat hier om dezelfde burger. De minister heeft in haar brief aangegeven dat het College bescherming persoonsgegevens actie onderneemt. Wat heeft zij nu gedaan en op welke manier heeft zij onderzoek uitgevoerd? Als er nog niets is gebeurd, hoop ik dat het CBP heel snel aan de slag gaat.

Minister Schippers: Ik geef juist aan dat niet alleen ik, maar ook anderen hier bovenop zitten. Ik schuif dit niet af. Sterker nog: ik zeg dat dit de aandacht heeft van meerdere ministers in het kabinet. Dit staat hoog op de lijst van wat Europees wordt besproken. Niet alleen ik maar meerdere ministers zijn hiermee bezig. Dat zeg ik niet om dit af te schuiven maar juist om het belang hiervan te onderstrepen. Dat belang geldt niet alleen op dit terrein, maar op een heleboel terreinen ten aanzien van persoonsgegevens. Hierover bestaan zorgen in de Kamer. Die zijn, nog niet lang geleden, geuit in de motie-Schouw c.s. Daarmee heeft de Kamer het kabinet een opdracht gegeven. Het kabinet is daar hard mee aan de slag. Daar komt nog iets extra's bij: ik heb toegezegd dat ik, zodra ik op dit terrein specifiek meer weet over het bedrijf en de VZVZ, die daarover contacten hebben, daarmee natuurlijk terugkom naar de Kamer, zeker begin volgend jaar.

De voorzitter: Mevrouw Leijten heeft een punt van orde.

Mevrouw Leijten (SP): U zei zojuist dat er geen tweede termijn is. Ik maak daar bezwaar tegen. Dit debat is aangevraagd door verschillende partijen, die juist over de veiligheid antwoorden willen. Ik heb de eerste vijf tot tien minuten met de minister mee kunnen lezen, omdat zij eigenlijk haar brief van 3 december voorlas. Er is besloten dat vragen die ik heb gesteld, schriftelijk afgedaan worden.

De voorzitter: Wat is uw voorstel?

Mevrouw Leijten (SP): Ik wil graag een tweede termijn, omdat anders totaal niet duidelijk is of wij moties moeten indienen.

De voorzitter: Dan heb ik een ander voorstel. Ik vind het heel vervelend, maar als voorzitter moet ik de tijd bewaken en we hebben tot 12.00 uur. We kunnen een derde termijn houden na het reces. Dan kunnen alle vragen beantwoord zijn. Ook de schriftelijke antwoorden van de minister zijn er dan. Dan kunnen we op dat moment een VAO plannen en moties indienen op basis van alle informatie. Dan hebben we dus een derde termijn. Dan voldoe ik ook aan uw vraag. Ik begrijp dat de teleurstelling heel groot is, want de helft heeft nog geen antwoord gekregen en de tijd is op. Wat vindt de commissie van het voorstel om na het reces een derde termijn te plannen?

Mevrouw Leijten (SP): Ik wil hoe dan ook een motie indienen, want het gaat hier over wel of geen LSP per 1 januari. Daar zijn forse uitspraken over gedaan, ook door de voorzitter zelf. Als wij niet de tijd krijgen om dit hier uit te discussiëren, moet ik wellicht bij de regeling van werkzaamheden een punt maken, maar ik vind dit niet acceptabel. Het was een dertigledendebat in de Kamer en dat is omgezet naar dit AO.

De voorzitter: Het punt is duidelijk, maar we zitten ook met de tijd. Ik vind dit ook niet leuk en de minister gaat hier nu op reageren.

Minister Schippers: Ik ga helemaal niet over de orde van de Kamer, maar er is twee uur gepland en er zou eventueel een ander overleg zijn. Dat overleg gaat niet door. Ik had dat overleg wel met potlood in mijn agenda geschreven. Ik weet helemaal niet wat er in uw agenda's staat, maar ik zou die tijd dus ook vandaag kunnen gebruiken. Of breng ik u nu in grote moeilijkheden?

De voorzitter: Als er nog een halfuur bij kan ... Ik weet niet of iedereen nu zou kunnen. Ik zie een aantal leden nee schudden. Dan moeten we nu eigenlijk binnen vijf minuten stoppen. Ik vind dat als voorzitter ook vervelend.

De heer Van Veen (VVD): Volgens mij zitten we in een cirkel. Ik kan uw voorstel wel volgen. Ik vind dat zorgvuldigheid op dit punt heel belangrijk is en dat ik ook gewoon recht heb op antwoorden op mijn vragen. Ik heb het gevoel dat wij steeds onder druk worden gezet om weer snel besluiten te nemen. Ik kan heel goed leven met een VAO na het reces.

De voorzitter: Dan doe ik een nieuw voorstel. Mevrouw Leijten wil vandaag hoe dan ook een motie indienen. Dat is haar goed recht. Iedereen die vandaag een motie wil indienen, kan dat doen. Na het reces gaan we verder met dit overleg. We plannen dus een nieuw overleg of een tweede termijn, zodat iedereen zorgvuldig antwoorden krijgt. De mensen die vandaag een motie willen indienen, krijgen daartoe de gelegenheid. We krijgen ook nog een schriftelijke reactie van de minister voordat we een tweede of derde termijn of een nieuw algemeen overleg ingaan. Ik zie dat mensen straks weg moeten. Ik stel dus voor dat we nog vijf minuten doorgaan, minister.

Minister Schippers: Ik doe mijn best. Ik wil iedereen ook goed beantwoorden, maar ik kan niet zomaar antwoorden overslaan. Anders moet ik het schriftelijk doen; dat kan ook. Ik ga heel snel verder.

Komt het wetsvoorstel voor de kerst? Ja. Hoe staat het met de privacy en de beveiliging in de doorstart? Dat heb ik eigenlijk al aangegeven. Het College bescherming persoonsgegevens heeft met betrekking tot de doorstart de situatie ten aanzien van de wettelijke eisen beoordeeld en heeft aangegeven dat het daarover geen opmerkingen heeft. Er worden periodiek ook indringerstesten ofwel hacktesten uitgevoerd. In de test die afgelopen zomer is uitgevoerd, kwamen geen zaken aan het licht met een hoog risico.

Er is voor gepleit om eerst wetgeving te laten plaatsvinden en om dan pas uitwisseling via het LSP te laten plaatsvinden. Het LSP is een van de vele systemen in Nederland die nog niet landelijk werken, maar regionaal, met name in de regio's Twente en Nijmegen. Daar is dit systeem actief. Het is voor mij echt onmogelijk om dat systeem uit de lucht te halen, terwijl dat aan hogere eisen voldoet dan andere systemen die ik dan wél in de lucht laat. Dat kan niet. Ik heb dit uitgezocht en als ik het LSP zou willen verhinderen, zou ik echt een wetsvoorstel naar de Kamer moeten brengen.

Er is ook voor gepleit om uitwisseling via het LSP pas te laten plaatsvinden wanneer het persoonlijke toestemmingsprofiel beschikbaar is voor patiënten. Daar heb ik eigenlijk al op gereageerd. Wij gaan extra wettelijke eisen maken, maar ik kan niet eisen dat de huidige systemen voldoen aan toekomstige wettelijke eisen. Het is heel goed dat dit systeem, vooruitlopend daarop, wel aan extra eisen gaat voldoen.

De keuringsartsen, de Arboartsen en de zorgverzekeraars mogen geen inzage hebben in het dossier. Dat is ook geregeld in het wetsvoorstel dat naar de Kamer komt.

Mevrouw Dijkstra vroeg naar OZIS en regionale uitwisselingssystemen. Het wetsvoorstel dat voor de kerst naar de Kamer wordt gezonden, geldt voor alle vormen van elektronische uitwisseling tussen zorgaanbieders, dus ook voor OZIS, want we maken een wet voor alle systemen en niet voor één systeem.

Er is gepleit voor één klantenloket. Dat is er nu, want dat subsidiëren wij als rijksoverheid, zoals de Kamer weet. Dat wordt niet in het wetsvoorstel geregeld, maar wij kunnen hier een gedachtewisseling over hebben bij de behandeling van het wetsvoorstel.

Worden elektronische inzage en afschriften van het epd kosteloos? Ja, in het wetsvoorstel wordt geregeld dat elektronische inzage en afschriften kosteloos moeten zijn. Dat gaat echter pas in wanneer het wetsvoorstel door het parlement is.

Mevrouw Dijkstra (D66): Een heel korte vraag, voorzitter.

De voorzitter: Nee, echt niet. Sorry, dat kan echt niet. Het spijt me.

Mevrouw Dijkstra (D66): Ik vroeg mij af of ook de sms gratis is.

Minister Schippers: Een afschrift moet kosteloos ter beschikking worden gesteld. Dat hoeft niet voor alle vormen te gelden, als er voor een andere vorm wordt gekozen.

Is het realistisch om ervan uit te gaan dat er medio 2013 inzage zal zijn? Op dit moment heeft een patiënt op basis van de wet al recht op inzage in zijn dossier. Of dat elektronisch realiseerbaar is, laat ik aan de VZVZ, want die moet dat op een veilige manier regelen. Die veiligheid vind ik heel belangrijk, eigenlijk nog belangrijker dan het tempo.

Kan het wetsvoorstel worden uitgebreid voor wilsonbekwame patiënten? Voor het gebruik van een elektronisch uitwisselingssysteem bij wilsonbekwame patiënten gelden de normale toestemmingsregels, zoals in de WGBO, voor het geven van toestemming voor wettelijke vertegenwoordiging.

Mevrouw Bouwmeester vroeg of het Nationaal Cyber Security Centrum betrokken kan worden bij het systeem. Het toezicht op de ziekenhuizen is een verantwoordelijkheid van de inspectie. Het Nationaal Cyber Security Centrum heeft geen toezichthoudende rol. Wel is er sinds kort een zorg-ISAC. Daarin wisselen publieke partijen, zoals het Nationaal Cyber Security Centrum, de politie, de inlichtingen- en veiligheidsdiensten en, in dit geval, de zorgsector kennis uit om de cyberveiligheid te verhogen. Dit is in een pril stadium; een eerste bijeenkomst heeft net plaatsgevonden. Het NCSC heeft aangegeven dat het bij de verdere ontwikkeling van het zorg-ISAC ook op eigen initiatief contact zal leggen met de IGZ. Bij het zorg-ISAC zijn op dit moment ongeveer 40 deelnemers betrokken vanuit de academische en algemene ziekenhuizen. Ik ben het met mevrouw Bouwmeester eens dat dit een zeer belangrijke link is voor het meenemen van de zorgsector in de kennisverbetering en kennisontwikkeling in andere sectoren. Dit is een ongelooflijk belangrijk en goed initiatief dat ik van harte zal toejuichen en ondersteunen.

Volgens mij heb ik in sneltreinvaart toch nog alle vragen kunnen beantwoorden.

De voorzitter: Ik dank de minister voor de beantwoording. Ik vind het heel vervelend dat we er zo snel doorheen moesten. Als Kamercommissie hadden we twee uur gepland. Dat is helaas niet gelukt. Daarom komt er na het reces een vervolg-AO. Mensen die spoedmoties hebben, kunnen die vanavond indienen. Ik heb begrepen dat mevrouw Leijten dat wil doen. Er komt dus een VAO, met mevrouw Leijten als eerste spreekster. In het reces wordt een nieuwe datum gepland voor een vervolg-AO na het reces. Er komt in het reces een wetsvoorstel van de minister naar de Kamer. De minister stuurt in het reces ook een schriftelijke reactie op de brief van de Privacy Barometer naar de Kamer, zodat we na het reces weer heel veel nieuwe informatie hebben voor een zorgvuldige bespreking. Als commissie moeten we dan maar goed bekijken hoeveel tijd we voor dat algemeen overleg nodig hebben. Ik dank de minister, de Kamerleden en de overige aanwezigen.

Sluiting: 12.06 uur.