Hieronder zijn opgenomen het advies van de Raad van State d.d. 18 maart 2010 en het nader rapport d.d. 14 oktober 2010, aangeboden aan de Koningin door de minister van Volksgezondheid, Welzijn en Sport. Het advies van de Raad van State is cursief afgedrukt.
Bij Kabinetsmissive van 23 oktober 2009, no. 09.002960, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende wijziging van de Kaderwet elektronische zorginformatieuitwisseling in verband met de mogelijkheid tot strafrechtelijke handhaving bij misbruik van het EPD, met memorie van toelichting.
Het wetsvoorstel introduceert een verplichting voor de zorgaanbieder om in het elektronisch patiëntendossier (hierna: EPD) te vermelden dat op verzoek van de cliënt gegevens uit het dossier zijn verwijderd. Daarnaast bevat het wetsvoorstel een strafrechtelijke bepaling met betrekking tot het misbruik van het EPD.
De Raad van State maakt naar aanleiding van het wetsvoorstel opmerkingen over de voorgestelde melding «onvolledig dossier» gelet op het toestemmingsvereiste in de Wet geneeskundige behandelingsovereenkomst (hierna: WGBO) en over het teveel aan sancties in het kader van de voorgestelde strafbepaling. Hij is van oordeel dat in verband daarmee het voorstel nader dient te worden overwogen.
Blijkens de mededeling van de Directeur van Uw Kabinet van 23 oktober 2009, no. 09.002960, machtigde Uwe Majesteit de Raad van State zijn advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 18 maart 2010, nr. W13.09.0426/l, bied ik U hierbij aan.
Een patiënt heeft het recht gegevens uit zijn dossier te laten verwijderen.2 Voor een zorgaanbieder kan het, gelet op zijn aansprakelijkheid als beroepsbeoefenaar van belang kan zijn om te weten dat een patiëntdossier niet volledig is.3 Het wetsvoorstel verplicht daarom de zorgaanbieder die, op verzoek van de patiënt, gegevens verwijdert dit in het EPD te vermelden (via de melding «onvolledig dossier').4 De melding «onvolledig dossier» doet op zichzelf niets af aan de onderzoeksplicht van de arts, zo meent de regering.5
De Raad wijst er allereerst op dat de melding «onvolledig dossier» betrekking kan hebben op drie verschillende situaties:
a. In de eerste plaats de situatie waarin de beroepsbeoefenaar de cliënt informeert over de mogelijke gevolgen van de onvolledigheid van het EPD,6 en de patiënt vervolgens instemt met de vermelding «onvolledig dossier». In dat geval bestaan er geen bezwaren tegen het opnemen van een dergelijke melding.
b. Een andere situatie is dat een patiënt bezwaar kan hebben tegen vermelding van het feit dat gegevens uit het dossier zijn verwijderd. In dat geval is het niet in overeenstemming met het systeem van zowel de WGBO als de Kaderwet elektronische zorginformatieuitwisseling (hierna: Kaderwet) indien deze vermelding toch zonder zijn toestemming zou worden verwerkt en verstrekt.7 Artikel 7:457, lid 1, BW bevat de mogelijkheid gegevens te verstrekken zonder toestemming van de patiënt indien het bij of krachtens de wet bepaalde daartoe verplicht. Uit de voorbeelden bij de memorie van toelichting bij de WGBO blijkt dat het daarbij om gevallen gaat die zich toespitsen op het belang van de volksgezondheid in het algemeen.8
In het voorgestelde artikel staat volgens de toelichting echter het belang centraal van de opvragende beroepsbeoefenaar die wil weten of het opgevraagde dossier volledig is. Dat belang moet worden afgewogen tegen het belang van de patiënt die na overleg met zijn behandelaar geen toestemming wenst te geven voor een dergelijke vermelding. Uit de toelichting blijkt niet dat een dergelijke afweging van belangen heeft plaatsgevonden en ook niet waarom in dat geval het belang van de opvragende beroepsbeoefenaar zou moeten prevaleren.
De Raad merkt daarbij tevens op dat in geval van een papieren dossier als bedoeld in de WGBO de nieuwe behandelaar er evenmin op kan vertrouwen dat de gegevensverstrekking door de andere beroepsbeoefenaar volledig is. In dat geval maakt de beroepsbeoefenaar namelijk geen melding van onvolledigheid van de gegevensverstrekking. Uit de toelichting blijkt niet waarom de positie van de aanvrager bij het EPD zodanig wijzigt ten opzichte van de WGBO,9 dat thans de mogelijkheid moet worden geboden om zonder toestemming van de cliënt melding te maken van een onvolledig dossier.
c. In de derde plaats kan er sprake zijn van een situatie waarbij de cliënt zelf de indexgegevens afschermt.10 Omdat tussenkomst van de beroepsbeoefenaar hiervoor niet is vereist, kan de patiënt niet worden gewezen op de voor hem nadelige gevolgen die het afschermen van die gegevens voor een mogelijke behandeling kan hebben. De memorie van toelichting besteedt geen aandacht aan het feit dat het afschermen van indexgegevens aldus verdergaande consequenties kan hebben dan het verwijderen van bepaalde patiëntgegevens. De (nieuwe) beroepsbeoefenaar is in zo'n geval in verband met zijn onderzoeksplicht louter aangewezen op de informatie die de patiënt zelf kan en wil verstrekken. Niet zonder meer is duidelijk waarom er bij de verwijdering van patiëntgegevens wel en bij de afscherming van indexgegevens geen melding nodig zou zijn.
Tegen de achtergrond van deze drie verschillende situaties merkt de Raad het volgende op. De Raad erkent dat het bestaan van onvolledige dossiers tot gevolg heeft dat de ontvangende arts er niet zonder meer op kan vertrouwen dat het EPD compleet is, zodat hij daarmee bij zijn onderzoeksplicht rekening zal moeten houden. De Raad kan vanuit dat oogpunt begrip opbrengen voor de voorgestelde verplichting.
Gelet op artikel 7:457, lid 1, BW stelt de Raad echter vast dat ook de melding dat informatie uit het patiëntdossier is verwijderd, moet worden beschouwd als informatie over de patiënt in de zin van de WGBO.11 Deze informatie mag op grond van de WGBO slechts met toestemming van de patiënt aan anderen worden verstrekt.12 Een en ander laat onverlet dat de patiënt de hulpverlener naar beste weten de inlichtingen en de medewerking moet geven die deze redelijkerwijs voor het uitvoeren van de behandelingsovereenkomst behoeft.13
De Raad wijst er tot slot op dat een onbedoeld neveneffect van de verplichte melding «onvolledig dossier» kan zijn dat cliënten juist vanwege die verplichting een verzoek indienen tot vernietiging van alle gegevens in het dossier,14 dan wel dat de cliënt zelf zijn indexgegevens afschermt of vernietigt of algeheel bezwaar maakt tegen uitwisseling van zijn gegevens via het EPD.15 In dat geval zou de maatregel een tegenovergesteld effect kunnen bewerkstelligen van hetgeen de regering ermee beoogt.
Gelet op het voorgaande adviseert de Raad om in de toelichting op het bovenstaande in te gaan en tegen de achtergrond van het bovenstaande, in het bijzonder het toestemmingsvereiste, het voorgestelde artikel 13f, eerste lid, onderdeel e, van de Kaderwet te heroverwegen.
1. Het advies van de Raad is overgenomen.
In navolging van het advies van de Raad is, om onduidelijkheid te voorkomen, besloten om in alle drie de door de Raad beschreven situaties af te zien van de melding «onvolledig dossier». Weliswaar zou deze melding bij toestemming van de cliënt wel in het EPD opgenomen kunnen worden, doch dit zou de situatie er voor de zorgaanbieder niet overzichtelijker op maken. Er zouden dan immers dossiers zijn waar niets uit is verwijderd, dossiers waaruit gegevens zijn verwijderd maar de cliënt geen toestemming geeft voor de melding en dossiers waarbij gegevens zijn verwijderd en de cliënt wel toestemming geeft voor de melding. Uiteindelijk kan in geen van deze gevallen door de opvragende zorgaanbieder vertrouwd worden op de volledigheid van het dossier. Immers, ook in de situatie waarbij er geen gegevens uit het dossier verwijderd zijn kan de zorgaanbieder er niet voetstoots vanuit gaan dat het dossier volledig is. De patiënt kan initieel ook bepaalde gegevens vergeten zijn te vermelden of bewust hebben weggelaten. Daarnaast kan, zoals de Raad zelf ook opmerkt, in geval van een papieren dossier evenmin vertrouwd worden op een volledig dossier.
Onderdeel e, van artikel 13f, eerste lid, zoals dit luidde in de versie van het wetsvoorstel dat naar de Raad is gestuurd, is daarom geschrapt.
Het wetsvoorstel legt een verplichting op de zorgaanbieder. Een zorgaanbieder kan zowel een instelling16 als een individuele beroepsbeoefenaar zijn.17 De verwerking van patiëntgegevens in het EPD is bij uitsluiting voorbehouden aan de beroepsbeoefenaar die de cliënt zorg verleent.18 Het ligt dan ook voor de hand een nieuwe verplichting tot de verwerking van patiëntgegevens op te leggen aan de beroepsbeoefenaar en niet aan de zorgaanbieder.19 Dat zou ook beter aansluiten bij het systeem van de WGBO.20 De beroepsbeoefenaar in de zin van de Kaderwet is de individuele hulpverlener in de zin van de WGBO. De WGBO geeft het kader van de verplichtingen van de hulpverlener-beroepsbeoefenaar met betrekking tot het patiëntdossier.21
Gelet op het voorgaande adviseert de Raad een eventuele verplichting ten aanzien van de verwerking van patiëntgegevens, op te leggen aan de beroepsbeoefenaar en niet aan de zorgaanbieder, onverminderd de conclusie van punt 1.
2. Nu het advies van de Raad ten aanzien van het eerste punt wordt opgevolgd, is bespreking van het tweede punt in feite niet langer noodzakelijk. Niettemin wil ik hierover het volgende opmerken. In de Wet EPD zijn alle verplichtingen met betrekking tot de aansluiting op het LSP en de verwerking van gegevens in het EPD opgelegd aan de zorgaanbieder. Onder zorgaanbieder wordt dan verstaan de natuurlijke persoon of rechtspersoon (of personen) die een instelling in de zin van de Kwaliteitswet zorginstellingen in stand houdt (of in stand houden). Alleen als een BIG-geregistreerde beroepsbeoefenaar zijn beroep anders dan in het kader van een instelling uitoefent, wordt deze beroepsbeoefenaar zelf als de zorgaanbieder gezien. Het zou in strijd zijn met het centrale uitgangspunt dat de zorgaanbieder verantwoordelijk is voor het reilen en zeilen van het LSP/EPD om een eventuele nieuwe verplichting tot de verwerking van patiëntgegevens aan de individuele beroepsbeoefenaar op te leggen.
Het voorgestelde artikel 16b van de Kaderwet bevat strafrechtelijke sancties voor misbruik van het EPD. Het artikel komt in de Kaderwet naast het eerder opgenomen artikel 16a, dat de mogelijkheid van een bestuurlijke boete bevat voor zowel de instelling als de zelfstandige individuele beroepsbeoefenaar in geval van overtreding van het bepaalde bij of krachtens de Kaderwet. De memorie van toelichting vermeldt daarnaast de al bestaande mogelijkheid van bestuursdwang door het College bescherming persoonsgegevens (hierna: CBP), de toepassing van bestaande strafrechtelijke bepalingen en het medisch tuchtrecht.22 In de toelichting wordt dan ook geconcludeerd dat er voldoende mogelijkheden zijn om misbruik te bestraffen.23 Daaraan wordt echter toegevoegd dat het wenselijk is, gelet op de grote privacy- en maatschappelijke schade die misbruik van het EPD kan veroorzaken, de voorgestelde strafrechtelijke sanctie te introduceren.
In tegenstelling tot de reeds bestaande sanctiemogelijkheden voor misbruik van het EPD, geldt het voorgestelde artikel 16b voor eenieder. De Raad acht het van belang onderscheid te maken tussen verschillende categorieën van personen, waarvoor sanctionering van misbruik van het EPD van belang kan zijn.
Tegen beroepsbeoefenaren in de zin van de Kaderwet24 zijn al verschillende sancties mogelijk. Voldoende duidelijk dient te zijn wat de toegevoegde waarde is van aanvulling van het sanctiearsenaal met een strafbepaling.
Het valt verder op dat het voorgestelde artikel 16b enkel ziet op de verstrekking van gegevens uit het EPD en niet op de verstrekking van gegevens uit een papieren «WGBO-dossier». De Raad ziet geen reden voor dit onderscheid, te meer niet nu het EPD onderdeel uitmaakt van het WGBO-dossier.19 Daar komt bij dat de dossiers van cliënten die bezwaar hebben gemaakt tegen uitwisseling van gegevens uit het EPD, niet onder het bereik van deze strafbepaling vallen.
Naast de nu al bestaande strafrechtelijke sancties26 zijn, op grond van de Kaderwet, ook tuchtrechtelijke sancties mogelijk.27 Het tuchtrecht is echter niet van toepassing op beroepsbeoefenaren die niet geregistreerd zijn ingevolge artikel 3 van de Wet BIG maar wel een beschermde titel hebben ingevolge artikel 34 van die wet. Daarom acht de regering het wenselijk deze beroepsbeoefenaren strafrechtelijk te kunnen vervolgen voor misbruik van het EPD.
De Raad merkt op dat voor deze groep echter wel de bestaande strafrechtelijke sanctiemogelijkheden gelden, zoals hierboven genoemd. Dat is anders voor derden, niet zijnde beroepsbeoefenaren, zoals de echtgenoot van de dokter met het pasje van zijn vrouw. Zij kunnen niet vervolgd worden wegens schending van het beroepsgeheim en evenmin is op hen het medisch tuchtrecht van toepassing.
Gelet op het voorgaande komt de Raad tot het oordeel dat de toegevoegde waarde van de voorgestelde strafbepaling ten aanzien van de verschillende categorieën beroepsbeoefenaren niet duidelijk is, gelet op de al bestaande sanctiemogelijkheden. Voorts is de onderlinge verhouding tussen de verschillende sanctiemogelijkheden in deze gevallen niet duidelijk. Een verbrokkeld sanctiestelsel kan afbreuk doen aan de effectiviteit van handhaving, terwijl juist die effectiviteit voor de keuze van een sanctiestelsel leidend zou moeten zijn.28 Daarbij zou, zoals de Raad eerder heeft opgemerkt, het uitgangspunt moeten zijn dat voor dezelfde overtreding steeds wordt gekozen voor één sanctiestelsel.29
De Raad adviseert artikel 16b, eerste lid, te beperken tot de gevallen waarin dit wel een toegevoegde waarde heeft, namelijk degenen op wie de tuchtrechtsprocedure en bestaande strafsancties niet van toepassing zijn.
Voor een zelfstandige beroepsbeoefenaar die niet in dienst is van een instelling bestaat ook de sanctie op grond van artikel 16a, tweede lid, van de Kaderwet. Ingevolge die bepaling kan aan een zorgaanbieder die niet in dienst is van een instelling, bij overtreding van het bepaalde in de Kaderwet – daaronder zowel de gegevensverwerking als verstrekking – een bestuurlijke boete worden opgelegd. In de toelichting wordt niet ingegaan op de verhouding tussen artikel 16a, tweede lid, van de Kaderwet en het voorgestelde artikel 16b.30
In de toelichting wordt vermeld dat een dergelijke zorgaanbieder een overeenkomst kan sluiten met de instelling waarin hij werkzaam is om deel te nemen aan het zorginformatiesysteem van die instelling. Dat houdt in dat hij niet de beheerder van dat systeem is als bedoeld in artikel 13f, eerste lid, van de Kaderwet. Evenals een beroepsbeoefenaar in dienst van een instelling, is hij verwerker van de gegevens als bedoeld in artikel 13h van de Kaderwet die vervolgens in het zorginformatiesysteem van de instelling worden vastgelegd. Indien het systeem van die instelling niet voldoet aan de eisen van de Kaderwet, rijst de vraag of in het hiervoor geschetste geval naast het eerste, ook het tweede lid van artikel 16a van de Kaderwet van toepassing is.
Het is de Raad niet duidelijk waarom aan de zorgaanbieder/beroepsbeoefenaar die niet in dienst is van de instelling, bij aansluiting op het systeem van de instelling een boete zou kunnen worden opgelegd als de instelling/systeembeheerder bepalingen van de Kaderwet overtreedt. Als de zelfstandige beroepsbeoefenaar artikel 13h van de Kaderwet overtreedt, kan hij als zorgaanbieder een boete krijgen op grond van artikel 16a, tweede lid, ook als hij geen beheerder is van het systeem. Dat is anders voor een individuele beroepsbeoefenaar in dienst van een instelling, waarop artikel 16a, tweede lid, in elk geval niet van toepassing is. De Raad ziet geen reden voor deze ongelijke sanctionering van dezelfde overtreding bij de verwerking van gegevens.
De Raad adviseert in de toelichting op de onderlinge verhouding van artikel 16a, tweede lid, en artikel 16b in te gaan en artikel 16b ook in dat licht nader te bezien.
Het CBP stelt in zijn advies vast nog onvoldoende zekerheid te hebben dat aan het toezicht op het EPD adequaat vorm is gegeven. Het CBP vraagt zich af wat een extra sanctie als het voorgestelde artikel 16b toevoegt als het toezicht niet op orde is. Daarbij stelt het de vraag of het strafrecht bij «privacydelicten» niet het sluitstuk zou moeten zijn en of het CBP als gespecialiseerd toezichthouder niet de eerst aangewezene zou moeten zijn om misbruik van het EPD te controleren en te sanctioneren.
Het huidige samenstel van sancties, zoals hiervoor is weergegeven in punt 3, bevat niet de mogelijkheid de individuele beroepsbeoefenaar die in dienst van een instelling werkt, een bestuurlijke boete op te leggen in verband met overtreding van de regels met betrekking tot de verwerking van gegevens inzake het EPD.31 De individuele beroepsbeoefenaar heeft een sleutelpositie bij de verwerking van de gegevens. Adequaat toezicht daarop zal in eerste instantie een preventieve werking hebben op de rechtmatigheid van de verwerking van de gegevens. Zo nodig kan via een bestuurlijke boete die verwerking alsnog in juiste banen worden geleid. In het algemeen kan met een bestuurlijke boete sneller worden gereageerd. Het CBP pleit voor uitbreiding van de boetebepalingen in de Wbp. In de toelichting bij het onderhavige wetsvoorstel wordt opgemerkt dat op de vraag of het CBP de mogelijkheid zou moeten krijgen ook in dit geval bestuurlijke boetes op te leggen, zal worden teruggekomen bij gelegenheid van het kabinetsstandpunt bij het advies van de Commissie veiligheid en persoonlijke levenssfeer. De Raad heeft daar begrip voor, maar wijst erop dat daarmee het momentum van de invoering van het EPD lijkt te worden gemist. De Raad adviseert in de toelichting nader in te gaan op de mogelijkheden het toezicht op het EPD te verbeteren en daarbij de mogelijkheden te onderzoeken of in aansluiting op artikel 16a, eerste lid, van de Kaderwet, in die wet een bestuurlijke boete kan worden opgelegd voor gevallen als hier bedoeld.
3, 4 en 5. De adviezen van de Raad met betrekking tot punt 4 en 5 zijn geheel overgenomen. Het advies met betrekking tot punt 3 is gedeeltelijk overgenomen. De Raad heeft gelijk dat het huidige sanctiestelsel ruime mogelijkheden biedt om misbruik van het EPD te sanctioneren. Hiervoor staan zowel het bestuursrecht, het strafrecht als het tuchtrecht open. Ook de vraag om verruiming van de boetebepalingen in de Kaderwet elektronische zorginformatieuitwisseling, zodat ook aan beroepsbeoefenaren die in het kader van een instelling werken een boete kan worden opgelegd voor misbruik van het EPD, is terecht, nu de feitelijke verwerking van de gegevens wordt uitgevoerd door de beroepsbeoefenaar. De Tweede Kamer heeft echter bij de behandeling van het wetsvoorstel EPD laten weten het zeer op prijs te stellen als er een aparte strafrechtelijke bepaling opgenomen wordt in de wet in verband met misbruik van het EPD. Daarbij speelt de wens om de beroepsbeoefenaar te kunnen bestraffen door de strafrechter de mogelijkheid te geven om deze beroepsbeoefenaren te verbieden hun beroep uit te oefenen, een belangrijke rol.
Het wetsvoorstel is gelet op het advies van de Raad zodanig aangepast dat voor strafrechtelijke vervolging aangesloten wordt bij de reeds bestaande strafrechtelijke bepalingen voor computervredebreuk (artikel 138a van het Wetboek van Strafrecht) en schending van de geheimhoudingsplicht (artikel 272 van het Wetboek van Strafrecht). In het onderhavige wetsvoorstel is slechts een aparte bepaling opgenomen waarin is bepaald dat in het geval een beroepsbeoefenaar deze computervredebreuk of schending van de geheimhoudingsplicht in de uitoefening van zijn beroep en met betrekking tot patiëntgegevens begaat, de strafrechter als bijkomende straf, bovenop de mogelijkheid van een boete en eventuele gevangenisstraf, ontzetting van de uitoefening van het beroep kan opleggen. Daarnaast zijn de boetebepalingen in het wetsvoorstel uitgebreid in die zin dat er een bepaling is opgenomen die het door een beroepsbeoefenaar die zijn beroep uitoefent in het kader van een instelling onrechtmatig opvragen en verstrekken/verspreiden/openbaar maken van gegevens uit het EPD bestuursrechtelijk beboetbaar stelt.
De afschrikwekkende werking van het strafrecht wordt versterkt doordat individuele beroepsbeoefenaren van de uitoefening van hun beroep kunnen worden ontzet bij computervredebreuk en schending van de geheimhoudingsplicht, terwijl tegelijk het strafrechtelijke sanctiestelsel niet verder wordt verbrokkeld doordat de reeds bestaande artikelen uit het Wetboek van Strafrecht zullen worden gebruikt als grondslag voor de vervolging van misbruik van het EPD. Bovendien kan door de aparte boetebepaling ook een bestuurlijke boete worden opgelegd aan individuele beroepsbeoefenaren, ongeacht of zij wel of niet in het kader van een instelling werken.
Van de gelegenheid is gebruik gemaakt om enkele andere wijzigingen in de Kaderwet elektronische zorginformatieuitwisseling door te voeren. Deze wijzigingen zijn ingegeven door de op 14 juli 2009 door het College voor bescherming van persoonsgegevens en op 5 januari 2010 door de Raad van State uitgebrachte adviezen met betrekking tot de wijziging van het Besluit gebruik burgerservicenummer in de zorg. In het concept-besluit werd onder andere uitvoering gegeven aan de artikelen 13h en 13ha van de Kaderwet elektronische zorginformatieuitwisseling, waarbij het onder stringente voorwaarden mogelijk zou zijn voor een zorgverzekeraar die tevens zorgaanbieder is, toegang te krijgen tot het LSP en gegevens te verwerken in het EPD. Hetzelfde was geregeld voor de verzekeringsarts, de bedrijfsarts en de keuringsarts. Zowel de Raad als het CBP hebben aangegeven fundamentele bezwaren te hebben tegen de in het besluit geformuleerde mogelijkheden voor toegang door zorgverzekeraars en bovengenoemde artsen tot gegevens in het EPD. Zij zijn beide van mening dat zowel aan een zorgverzekeraar als aan deze artsen geen toegang moet worden geboden tot het EPD. De adviezen van de Raad en het CBP zijn op dit punt overgenomen.
Daarnaast zijn er nog een aantal samenloopbepalingen in het wetsvoorstel opgenomen met betrekking tot het voorstel van wet houdende de Wet cliëntenrechten zorg (32 40) en het voorstel van wet van de leden Ten Hoopen, Slob en Van der Burg tot wijziging van het wetboek van Strafrecht, de Leegstandswet, en enige andere wetten in verband met het verder terugdringen van kraken en leegstand (Wet kraken en leegstand) (31 560).
De Raad van State geeft U in overweging het voorstel van wet niet te zenden aan de Tweede Kamer der Staten-Generaal dan nadat met het vorenstaande rekening zal zijn gehouden.
De Vice-President van de Raad van State,
H. D. Tjeenk Willink
Ik moge U verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.
De minister van Volksgezondheid, Welzijn en Sport,
A. Klink