31 466
Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg

nr. 6
VERSLAG

De vaste commissie voor Volksgezondheid, Welzijn en Sport1, belast met het voorbereidend onderzoek van voorliggend wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de in het verslag opgenomen vragen en opmerkingen afdoende door de regering worden beantwoord acht de commissie de openbare behandeling van het wetsvoorstel voldoende voorbereid.

Inhoudsopgave blz.

1. Inleiding 1

2. Ontwikkeling EPD 3

3. Hoofdlijnen van het wetsvoorstel 4

4. Bescherming persoonsgegevens 7

5. Invoering en handhaving 8

6. Bedrijfseffectentoets, nalevingskosten en administratieve lasten 8

7. Aansprakelijkheid 8

1. Inleiding

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van de voorgestelde wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg. Genoemde leden zijn een groot voorstander van een wet die het elektronisch patiëntendossier stapsgewijs invoert in Nederland. Veel te lang zijn gegevens over patiënten niet gestandaardiseerd, individueel of in het beste geval in lokaal of regionaal verband opgeslagen en beschikbaar gesteld. Het is goed dat de regering met het initiatief komt om landelijke standaarden in te voeren en op deze wijze stapsgewijs een elektronisch patiëntendossier (EPD) op te bouwen. Dit zal geen gemakkelijke politieke weg zijn. Dat laten zowel de geschiedenis in Nederland als in andere landen, die ons proberen voor te gaan, zien. Kan de regering toelichten welke landen en welke wetgeving zij als voorbeeld neemt voor het EPD en welke lessen worden getrokken uit het project in het Verenigd Koninkrijk, dat na uitgaven van miljarden ponden lijkt uit te lopen op een fiasco?

De leden van de CDA-fractie wensen onderstaand eerst een aantal inleidende opmerkingen te maken, waarop zij later zullen teruggrijpen in de rest van het verslag. Zij hebben behoefte aan een duidelijk wie, wat en waar van het wetsvoorstel en beginnen dus met enkele onderstaande kernvragen.

Tot verbazing van genoemde leden kiest de regering er voor om naast dossiers onder deze wet ook lokale en regionale netwerken te blijven toestaan, niet alleen in de overgangsfase waar dat vanzelfsprekend is maar ook op lange termijn. Betekent dit dat er straks dossiers zijn die wel via het landelijk schakelpunt (LSP) lopen en dossiers die op een andere manier gecommuniceerd worden? Wat is de precieze afbakeningen tussen lokale en regionale netwerken en het LSP? Welke gevolgen zal dat hebben voor de communicatiestandaarden, beveiligingsstandaarden en inzagerechten voor deze dossiers? Welke beroepsgroepen hebben straks inzagerecht voor het EPD? Is op dit moment duidelijk aan te geven welke beroepsgroepen met een BIG registratie het dossier zullen gebruiken en welke beroepsgroepen met een BIG registratie het dossier niet zullen gebruiken? Voor welke beroepsgroepen zonder BIG registratie is het gebruik van het EPD op termijn voorzien?

Ten aanzien van de eigendom(srecht) van de gegevens en het gegeven dat er mensen zijn zonder een burgerservicenummer (BSN) stellen genoemde leden de volgende vragen. Van wie zijn de gegevens die in de administratie van de artsen en instellingen opgeslagen worden? Behoren zij toe aan de patiënt/cliënt? Zo ja, waaruit blijkt dat en zo neen, waarom niet? De gegevens worden aan het BSN gekoppeld. Er is echter een groep mensen die wel voor zorg verzekerd is in Nederland maar geen BSN heeft omdat zij geen woonplaats in Nederland hebben, zoals grensarbeiders en hun gezinsleden. Hiervoor zou het register niet-ingezetenen worden opgezet. Recentelijk hebben de leden van de CDA-fractie hierover gerappelleerd (Kamervragen van de leden Omtzigt en Hessels) en gaf de regering aan binnen afzienbare termijn een oplossing te zoeken. Wat is de stand van zaken en kunnen bijvoorbeeld grensarbeiders erop rekenen dat zij niet alleen aangeslagen worden voor de Nederlandse zorgverzekering maar dat zij ook mee zullen doen aan het BSN in de zorg? Hoe verhoudt het EPD zich met het Smart Open Services (SOS) systeem dat voorgesteld is op Europees niveau, zijn deze systemen compatibel en komen de gebruikte standaarden overeen.

De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van het wetsontwerp Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg. Het EPD wordt door deze leden een uitermate wenselijk, zo niet noodzakelijk, instrument geacht om de kwaliteit van de zorg te optimaliseren. Deze mening is gemeengoed in het zorgveld. De naar schatting 1200 doden die jaarlijks te betreuren zijn door verkeerd medicijngebruik illustreren dit belang op een indringende wijze. Desondanks lijkt de invoering nog steeds niet erg te vlotten. Genoemde leden spreken haar waardering uit voor de voortvarende manier waarop de regering een doorbraak wenst te forceren om binnen afzienbare termijn tot een werkend EPD te komen, althans waar het een tweetal belangrijke onderdelen betreft. Een wijziging van de «Wet gebruik burgerservicenummer» is daartoe noodzakelijk. Echter, tegelijkertijd hebben zij met zorg kennis genomen van de kritiek vanuit de Raad van State en de ketenpartners op het voorliggende wetsvoorstel. De leden van de PvdA-fractie realiseren zich dat het EPD aan hoge, soms schijnbaar tegenstrijdige, eisen moet voldoen wil het naar behoren kunnen functioneren. Twee eisen springen daar bovenuit. Ten eerste het dient gegarandeerd betrouwbare en actuele data te bevatten en, voor zover daarover afspraken gemaakt zijn, compleet te zijn. Ten tweede dient het de privacy van de patiënt en het beroepsgeheim van de (para)medicus te respecteren. Het EPD dient, kortom, dermate veel vertrouwen te wekken dat de patiënt zijn gegevens eraan wil toevertrouwen en de (para)medicus er gebruik van wil maken. Deze leden zijn zich ervan bewust dat de invoering van het EPD zowel technisch, organisatorisch, als juridisch uitermate complex is. Daar komt nog bij dat er voorwaarden moeten worden geschapen dat het EPD op termijn van de burger wordt.

De leden van de SP-fractie hebben met kritische belangstelling kennis genomen van het wetsvoorstel over het elektronische patiëntendossier. In het algemeen zijn genoemde leden positief over de invoering van een elektronisch patiëntendossier, omdat daarmee de kans op bijvoorbeeld medicatiefouten verkleind kan worden.

De leden van de VVD-fractie hebben met belangstelling kennis genomen van het wetsvoorstel. Ten aanzien van het wetsvoorstel hebben zij nog enkele vragen en opmerkingen.

De leden van de PVV-fractie hebben kennis genomen van het wetsvoorstel ter wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg. Zij vragen of er voor patiënten die bezwaar hebben tegen de elektronische uitwisseling van hun medische informatie een mogelijkheid zal bestaan om zich hieraan te onttrekken of de uitwisseling te beperken.

2. Ontwikkeling EPD

De leden van de CDA-fractie lezen in de memorie van toelichting dat bij algemene maatregel van bestuur geregeld zal worden welke informatie en welke zorgaanbieder zal worden opgenomen. Zij hechten eraan om een soort spoorboekje te hebben waarin te vermelden wie en wanneer aangesloten zal worden. Immers, investeringen in ICT gaan jaren mee en de mogelijkheden tot anticipatie op deelname zijn groter en daarmee het draagvlak onder het wetsvoorstel. Is de regering bereid om bij het wetsvoorstel een tijdschema aan te leveren? De ontwikkeling van het EPD in Europees verband staat nog in de kinderschoenen, zoals de regering schrijft. Zijn er in Europa al standaarden gekozen voor het EPD en zijn de standaarden die in, bij of krachtens dit wetsvoorstel worden vastgelegd compatibel met de Europese standaarden? De koplopers testen het EPD, provinciewijde uitrollen zijn in de zomer voorzien. Welke resultaten hebben zij en welke lessen kunnen worden getrokken voor de landelijke uitrol?

De leden van de SP-fractie constateren dat naast dit wettelijke kader er ook een intensiveringslag nodig is, met name in de ziekenhuizen, in het digitaliseren van gegevens. Kan de regering toelichten hoe zij dit precies voor ogen ziet? Moeten ziekenhuizen, andere zorginstellingen en zorgverleners een implementatieplan opstellen? Wat is de stand van zaken ten aanzien van de voortgang landelijke uitrol van het WDH en het EMD? Op welke wijze wordt er gezorgd voor een uniformering bij het registreren van gegevens? Is gekeken naar vormen van elektronische dossiers in het buitenland? Hoe zit het met de veiligheid van de gegevens die worden opgeslagen. Hier is veel onzekerheid over. Hoe wordt geborgd dat gevoelige medische gegevens alleen toegankelijk zijn voor de zorgverleners met een behandelrelatie, als nu ook al niet geborgd kan worden dat de verkiezingen voor de waterschappen via internet veilig zijn? Op welke wijze gaat de regering, wanneer alles op orde, de onzekerheid bij veel mensen wegnemen?

De leden van de VVD-fractie lezen in de memorie van toelichting (pagina 2) dat de zorgaanbieder allerlei gegevens verzamelt die nodig zijn om de zorg te kunnen bieden. Er wordt gesteld dat een deel van deze gegevens ook voor andere zorgaanbieders van belang kunnen zijn. Kan de regering aangeven over welke gegevens het specifiek gaat? Welke gegevens zal bijvoorbeeld een zorgaanbieder verzamelen die ook van belang zijn voor een andere zorgaanbieder? Wie bepaalt wat de grens is wat een andere zorgaanbieder ook kan gebruiken?

Op dit moment is er met een aantal koplopers in verschillende regio’s gestart met het testen van het EPD in de praktijk. Kan de regering aangeven hoe deze pilots lopen? Zijn er technische problemen, functioneert de onderlinge communicatie tussen zorgaanbieders? Wordt het EPD door zorgaanbieders bijgehouden en zo ja, hoe zijn de ervaringen voor zorgaanbieders? Zijn de patiënten tevreden over het gebruik van het EPD voor hun specifieke situatie?

Volgens het wetsvoorstel worden de randvoorwaarden, welke voor de leden van de VVD-fractie van essentieel belang zijn, geregeld in lagere wetgeving (pagina drie). Kan de regering toelichten waarom er gekozen is om dergelijke belangrijke voorwaarden ter realisatie van het EPD via lagere wetgeving te regelen, gezien het feit dat hier vergaande beslissingen worden genomen, zoals bijvoorbeeld over de privacy van patiënten, welke infrastructuur er komt, verplichte deelname door zorgaanbieders etc.? Hoe verhoudt het regelen via lagere wetgeving zich tot het (op pagina 5) geschetste belang van een goede juridische onderbouwing van het EPD, en tot het essentiële vertrouwensmodel zoals geschetst op pagina’s 12 en 13?

3. Hoofdlijnen van het wetsvoorstel

De leden van de CDA-fractie constateren dat het landelijk schakelpunt een cruciale «spin-in-het-web» rol speelt in dit wetsvoorstel. Alle informatie loopt door dit schakelpunt heen. Via het schakelpunt kunnen medische gegevens van meer dan 16 miljoen mensen worden gelokaliseerd en opgevraagd. Naar de mening van deze leden dient een aantal zaken heel duidelijk geborgd te zijn, zoals: de beveiliging van het schakelpunt, een back-up van het schakelpunt en de aansprakelijkheid van de beheerder van het schakelpunt. Om met het aspect van de back-up te beginnen. Bij de operatie WALVIS bleek het centrale rekencentrum bij IBM in Brussel te zijn ondergebracht. Toen daar een brand uitbraak, lag de operatie SUB-WALVIS maanden stil en konden er geen gegevens worden uitgewisseld/aangevraagd. Dit zou een rampenscenario zijn voor het EPD. Daarom vragen genoemde leden op welke wijze 100 procent service gegarandeerd is en welke back-up systemen geïnstalleerd worden. De schade in de zorg kan groot zijn indien het schakelpunt wordt gekraakt of het schakelpunt voor langere tijd uit de lucht is. Immers bij een goed lopend EPD zullen de processen in de zorg zijn ingericht op een werkend EPD en niet-beschikbaarheid van medische gegevens kan gemakkelijk leiden tot afzegging van operaties of grote fouten, die voorkomen hadden kunnen worden. Wie is in dat geval aansprakelijk voor de ontstane schade? Wie is onder normale en niet-normale omstandigheden politiek verantwoordelijk voor het EPD? Is het niet logischer om de beheerder van het EPD de status van een zelfstandig bestuursorgaan (zbo) te geven?

Ten aanzien van de rol van de zorgaanbieder stellen de leden van de CDA-fractie de volgende vragen. De zorgaanbieder dient de gegevens desgevraagd te verschaffen aan een ander zorgaanbieder. Welke sancties staan op het niet meewerken aan het EPD en wat gebeurt er met een zorgaanbieder die zijn gegevens niet beschikbaar stelt? Hoe wordt gecontroleerd of een zorgaanbieder gegevens niet beschikbaar stelt? In artikel 13h van het wetsvoorstel staat dat uitsluitend beroepsbeoefenaren in de zin van de wet BIG het register mogen bijhouden en raadplegen. Hiermee lijkt een nieuwe definitie van de wet BIG geschapen te worden. Beroepen die niet erkend zijn in de zin van de wet-BIG zoals technische geneeskunde, tandartsassistente en praktijkondersteuner kunnen dus niet deelnemen aan het EPD. Het is genoemde leden veelzeggend dat de patiënt/cliënt in deze paragraaf niet wordt genoemd. Voorts wordt er een zeer ingewikkeld systeem van opvragen (per brief) van gegevens opgetuigd. Is het niet veel logischer om de patiënt/cliënt vanaf dag 1 inzagerecht te geven in zijn dossier en het correctierecht te waarborgen, of heeft de patiënt/cliënt bewust veel minder inzagenmogelijkheden dan de eerste beste arts die hij raadpleegt? Is de regering bereid om bij de start van het EPD het inzagerecht van de patiënt te borgen via een inkijkfunctie, gekoppeld aan DigiD+ en de Elektronische Nationale Identiteitskaart (Enik)? Hoe beoordeelt de regering de verantwoordelijkheidsverdeling tussen de verschillende zorgaanbieders enerzijds en de verzekeraars anderzijds bij het opzetten en draaiend houden van het EPD? Wat is de financiële verdeling die naar voren komt uit de in de memorie van toelichting genoemde businesscases en hoe wordt gestimuleerd dat ook verzekeraars hun rol oppakken in dit kader? Een van de voorwaarden van toegang tot het EPD is dat de beroepsbeoefenaar niet heeft aangegeven dat de behandeling beëindigd is. Betekent dit dat als de DBC gesloten is, de behandelrelatie automatisch beëindigd is en de zorgaanbieder geen toegang meer heeft tot het EPD?

De leden van de PvdA-fractie kunnen zich verenigen met de status van het LSP, dat door deze wet wordt ingesteld (artikel 13a), juist omdat het een «schakelpunt» (landelijke verwijsindex) tussen gegevensbestanden is en zelf geen data beheert. Deze facilitaire rol die het LSP voor zowel de zorgaanbieders als de patiënten vervult is afdoende beschreven. De beherende instelling behoeft volgens genoemde leden geen zbo-status. Het LSP is verantwoordelijk voor de technische kwaliteit van de gegevensuitwisseling, maar de eigendom van de gegevens en daarmee de verantwoordelijkheid voor de kwaliteit blijft een zaak van de zorgaanbieders. Deze leden vinden dat een juiste verdeling van verantwoordelijkheden. Hoe wordt echter de integriteit van de data en daarmee de betrouwbaarheid van het hele EPD gegarandeerd? Zijn alle zorgaanbieders al zover dat zij tijdig volgens de eisen van het «Goed Beheerd Zorgsysteem» (GBZ) kunnen werken? Is een certificering op grond van NEN-7510 op dit terrein voor alle zorgaanbieders verplicht? Wanneer verwacht de regering met betrekking tot het GBZ een algemene maatregel van bestuur af te kondigen? Is er voldoende tijd en capaciteit om tijdig voor een werkwijze volgens NEN-7510 bij de zorgverleners zorg te dragen? Welke maatregelen heeft de regering genomen om dit te borgen en te verifiëren?

Voor de leden van de PvdA-fractie weegt de vraag of het EPD afdoende rekening houdt met de vereisten van privacy, zoals vastgelegd in de Wet bescherming persoonsgegevens (Wbp) heel zwaar. Zij hebben begrip voor de gekozen weg om opname in het EPD door zorgverleners wettelijk te verplichten en wat de patiënten betreft van een «geen bezwaar»-systematiek uit te gaan. Geruststellend is dat uitsluitend beroepsbeoefenaren in de zin van de Wet BIG de gegevens van het EPD mogen bijhouden (artikel 13h). Genoemde leden vragen de regering of deze definitie niet te breed is waar het raadplegen betreft. Waarom is in het wetsvoorstel niet de eis opgenomen dat er een behandelrelatie moet bestaan tussen de patiënt en degene die zijn dossier raadpleegt/mag raadplegen? De KNMP vindt de waarborgen voor de persoonlijke levenssfeer in de vorm van de verantwoordelijkheden voor de verwerking van de persoonsgegevens en in de vorm van de autorisaties en overige voorwaarden voor rechtmatige toegang tot EPD gegevens nog onvoldoende. Zijn er nog aanvullende maatregelen van de regering te verwachten om de bescherming van persoonlijke gegevens te borgen? Wat genoemde leden in zijn consequenties nog niet helemaal begrijpen is hoe de mogelijkheid dat van een patiënt, die dat wenst, geen of geen volledig EPD gemaakt wordt («opt out») de integriteit van het EPD als geheel niet aantast. Wordt de informatie dat een patiënt niet (volledig) aan het EPD deelneemt, wel in het EPD opgenomen, zodat behandelaars weten dat er sprake is van een met opzet «leeg» of onvolledig gehouden dossier en niet de indruk wordt gewekt dat zij met een tot dan toe volledig gezond mens te maken hebben? Waarom vinden is er dienaangaande in het voorstel niets terug te vinden? Waar volgens genoemde leden ook aandacht aan besteed zou moeten worden is de positie van onverzekerden in het EPD. Waarom is met deze lastige categorie in het voorstel geen rekening gehouden? Wat is de positie van onverzekerden in het EPD?

De leden van de PvdA-fractie hebben er begrip voor dat het onderhavige wetsvoorstel een «kaderwet» is die de feitelijke invoer van (delen van) het EPD moet faciliteren. Veel blijft er nog over om per algemene maatregel van bestuur te regelen. De eerste twee elementen van het EPD, elektronisch medicatiedossier (EMD) en het waarneemdossier huisartsen (WDH), zijn echter volgens de regering vrijwel klaar voor implementatie. Uit de reacties van zowel de Raad van State als ketenpartners blijkt dat er nog onduidelijkheid heerst over wat er dan precies geïmplementeerd moet worden. De Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) vraagt bijvoorbeeld in dit stadium nog om duidelijkheid over de gegevenssoorten die op het LSP opgeslagen gaan worden en hoe deze aan de bron geregistreerd dienen te worden, volgens welk uniform informatiemodel, en waar de intelligentie komt te liggen om deze gegevens zodanig te extraheren dat een robuust en betrouwbaar dossier samengesteld wordt dat alleen maar inzichtelijk is voor een zorgaanbieder die daartoe geautoriseerd is. Hoe is dit gebrek aan inzicht te rijmen met de staat van de pilots EMD en WDH? Wanneer wordt de tekst van de algemene maatregel van bestuur waarmee de invoering van EMD en WDH wordt geregeld vrijgegeven? Zou het, in het licht van de blijkbaar bestaande verwarring in het zorgveld, wellicht raadzaam zijn om onderhavige wet in samenhang met genoemde algemene maatregel van bestuur te behandelen? Welk kritisch pad kent het onderhavige wetsvoorstel?

De leden van de SP-fractie vragen de regering welke gegevens worden opgeslagen in een EPD. Is er een format, of moet de zorgverlener zelf bepalen wat hij of zij van belang acht? Wie is de «eigenaar» van het EPD, is dat de patiënt zoals Zorgverzekeraars Nederland wil? Hoe gaat het met mensen die wellicht niet goed in staat zijn over hun eigen handelen te oordelen? Kunnen patiënten voorts vragen bepaalde gegevens uit hun dossier te schrappen?

Genoemde leden delen de mening dat patiënten toestemming moeten geven om medische persoonsgegevens op te slaan in een dossier. Maar hoe moet er mee worden omgegaan in het geval van een patiënt/cliënt met een rechterlijke machtiging? Juist in deze gevallen kan het relevant zijn om bepaalde gegevens op te nemen in het dossier. Wat is de reactie van de regering hierop? In welke gevallen krijgt Justitie toegang tot de elektronische patiëntendossiers? Is daar een verschil met de huidige afspraken?

De leden van de SP-fractie vragen wie verantwoordelijk is voor de juistheid van de gegevens in het EPD. Welke sancties komen er te staan op het onjuist invoeren van gegevens of het niet invoeren van gegevens met wellicht medicatiefouten ten gevolge?

De leden van de VVD-fractie staan in beginsel positief tegenover de gekozen wijze van het LSP. Echter, er bereiken deze leden geluiden dat de landelijke infrastructuur nog niet zo ver is. Kan de regering toelichten hoe een zorgaanbieder de landelijke verwijsindex van de patiënt bij het LSP zal moeten bijhouden? Zal dit bij invoering van elk nieuw feit opnieuw moeten gebeuren? Hoeveel tijdsbeslag zal dit per handeling vergen? Kan de regering garanderen dat het LSP op de diverse in de sector gebruikte softwaresystemen kan werken? Wat is de gegarandeerde zogenaamde «uptime» van het LSP? Beschikken alle betrokken zorgaanbieders bij de uitrol over één UZI-pas? Deelt de regering de mening dat de landelijke uitrol pas kan plaatsvinden als de landelijke infrastructuur vlekkeloos werkt en zo ja, is dit momenteel het geval? De leden van de VVD-fractie zijn verheugd dat het uiteindelijk de patiënt is die gaat over zijn deelname aan het EPD. Hoe ziet de regering de fasegewijze opbouw (pagina 7) concreet voor zich? Wat is het commentaar van de gebruikers van de genoemde gegevensgroepen zoals de huisartsen en de apothekers op de landelijke uitrol? Zijn zij hier voldoende op voorbereid?

4. Bescherming persoonsgegevens

De bescherming van de persoonsgegevens is zeer belangrijk en lijkt zeer uitvoerig geborgd in dit wetsvoorstel, zo constateren de leden van de CDA-fractie. Een patiënt/cliënt kan feitelijk op elk moment een behandelaar weigeren inzage te geven. Dat brengt automatisch een tweede vraag met zich mee: mag de arts ook weigeren een patiënt te behandelen (we spreken hier over een niet acute behandeling), indien de patiënt weigert inzage te geven in zijn patiëntendossier? Heeft een behandelaar ten minste de wetenschap dat een gedeelte van de gegevens van de patiënt, die zich voor hem bevindt, voor hem/haar zijn afgeschermd? Een aantal vormen van logging worden beschreven in de memorie van toelichting. Welke vormen van logging zijn verplicht inzake dit wetsvoorstel:

– op landelijk (LSP) niveau en op decentraal (zorgverlener) niveau?

– bij het toevoegen van gegevens door een behandelaar?

– bij het wissen van gegevens door een behandelaar?

– bij het wijzigen van gegevens?

– bij inzage in de gegevens door een BIG-geregistreerde?

– bij inzage in de gegevens door de patiënt/cliënt?

Tot welke van deze loggegevens hebben op hun beurt toegang: het LSP, de Inspectie, de behandelaar, de politie en de patiënt/cliënt?

De leden van de CDA-fractie vinden het vreemd dat de patiënt alleen wanneer Enik klaar is inzage krijgt in het LSP. Dan nog weet hij alleen wie er informatie heeft en nog niet welke informatie is opgeslagen. Immers niet alle disciplines hoeven mee te doen. Sterker nog in het begin hoeft niet alle informatie in het dossier te staan en lokale of regionale netwerken hoeven niet aan te sluiten. Ofwel na veel gedoe bij het LSP, krijgt de patiënt een totaal onvolledige lijst van zorgaanbieders, die op dat moment niet eens verplicht zijn informatie elektronisch aan te leveren. Op welke wijze kan een patiënt straks op simpele wijze achterhalen waar van hem/haar medische gegevens zijn opgeslagen bij artsen in Nederland? Deelt de regering de mening dat een patiënt binnen een uur dat zou moeten kunnen achterhalen? Zo ja, op welke wijze moet hij dat dan doen? Kunnen ook andere organisaties gebruik maken van het BSN in de zorg. Deze leden denken bijvoorbeeld aan patiëntenverenigingen die zelf portals willen opzetten.

De leden van de VVD-fractie delen de mening dat de bescherming van de persoonsgegevens essentieel is voor het slagen van het EPD. Echter zij vragen wat de regering bedoelt met een «noodsituatie», waarin het geoorloofd is om het EPD van een patiënt in te zien zonder zijn toestemming? In de memorie van toelichting staat op pagina 14 dat er op dit moment geen voldoende betrouwbare middelen zijn om cliënten c.q. patiënten toegang te verlenen tot het LSP. Kan de regering garanderen dat elke patiënt in ieder geval op zijn verzoek bij zijn zorgaanbieder desgevraagd zijn EPD kan inzien?

5. Invoering en handhaving

Graag ontvangen de leden van de CDA-fractie de in de memorie van toelichting aangekondigde en andere concept-AMvB’s die van kracht worden bij inwerkingtreding van het wetsvoorstel. Hebben het College Bescherming Persoonsgegevens (CBP), de Nederlandse Zorgautoriteit (NZa) en de Inspectie voor de Gezondheidszorg (IGZ) onderlinge afspraken over toezicht vastgelegd, zoals voorgeschreven in de Wet marktordening gezondheidszorg? Kunnen deze afspraken openbaar worden gemaakt, zodat helderheid ontstaat over de afbakening van het toezicht?

6. Bedrijfseffectentoets, nalevingskosten en administratieve lasten

Kan de regering de geldstromen, die met dit wetsvoorstel worden voorgesteld, vergelijken met de rendementen en kosten die worden voorgesteld in de tabel op pagina 5 van het Square rapport, zo vragen de leden van de CDA-fractie.

7. Aansprakelijkheid

De leden van de CDA-fractie zijn verbaasd te lezen dat «de eventuele externe beheerder van het zorginformatiesysteem van de zorgaanbieder, de Zorg Service Provider (ZSP) en het LSP kunnen aansprakelijk zijn voor privacyschade indien door eigen handelen of door onvoldoende beveiliging vertrouwelijke gegevens in handen van onbevoegden komen. Het antwoord op de vraag of en in hoeverre zij ook aansprakelijk kunnen zijn voor gezondheidsschade doordat het EPD onder hun beheer tijdelijk niet beschikbaar is en daardoor cruciale gegevens niet worden doorgegeven, kan het beste worden overgelaten aan het oordeel van de rechterlijke macht». Het is toch aan de wetgever om vast te leggen wie aansprakelijk is en aan de rechter om in individuele casussen te oordelen. Daarom leggen deze leden de regering een aantal casussen voor met de vraag wie er aansprakelijk is voor de gezondheidsschade.

1. Apotheek A legt medicatiegegevens vast en legt dit correct vast. De melding wordt gedaan bij het LSP. De cliënt komt bij apotheek B. De apotheker ziet wel dat apotheek A een medicijn verstrekt heeft, maar de computer van A functioneert niet zodat hij niet ziet welk medicijn. De patiënt krijgt een ander medicijn. De twee medicijnen hebben een zodanige interactie dat permanente gezondheidsschade optreedt.

2. Dezelfde casus, maar nu is het LSP uit de lucht en weet de apotheker dus ook niet dat een andere apotheek heeft voorgeschreven.

3. Een zorgverlener maakt een fout in het noteren van de bloedgroep. Bij een spoedtransfusie wordt verkeerd bloed toegediend en sterft de patiënt.

4. Het LSP is één dag lang uit de lucht, waardoor ziekenhuizen en huisartsen niet bij de patiëntengegevens kunnen en aantoonbare meerkosten maken om gegevens over patiënten te achterhalen.

5. Dezelfde casus, maar nu omdat een computer defect bleek, niet aan stond of een virus het doorsturen van informatie heeft geblokkeerd?

De Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) wijst er op dat zorgverleners ook verantwoordelijk kunnen worden gesteld voor soft- of hardware fouten. Hierdoor kan ook schade die niet te maken heeft met data-integriteit (volledig) bij de zorgverlener terecht komen, omdat ICT-dienstenleveranciers e.d. zich niet aansprakelijk achten voor dit soort fouten. De leden van de PvdA-fractie vragen de regering op welke manier de wet de verantwoordelijkheid regelt voor fouten in het EDP die noch het LSP, noch de zorgverleners zijn aan te rekenen, omdat de fout door derden is veroorzaakt.