Gepubliceerd: 13 maart 2013
Indiener(s): Helma NeppƩrus (VVD)
Onderwerpen: organisatie en beleid zorg en gezondheid
Bron: https://zoek.officielebekendmakingen.nl/kst-33509-5.html
ID: 33509-5

Nr. 5 VERSLAG

Vastgesteld 13 maart 2013

De vaste commissie voor Volksgezondheid, Welzijn en Sport, belast met het voorbereidend onderzoek van voorliggend wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de in het verslag opgenomen vragen en opmerkingen afdoende door de regering worden beantwoord acht de commissie de openbare behandeling van het wetsvoorstel voldoende voorbereid.

Inhoudsopgave

blz.

     

I.

ALGEMEEN

1

     

1.

Inleiding

1

2.

Juridische analyse

7

3.

Reactie koepels

7

4.

Opzet en inhoud van dit wetsvoorstel

8

5.

Toezicht en handhaving

13

6.

Bedrijfseffectentoets, nalevingskosten en administratieve lasten

14

7.

Functionele, technische en organisatorische eisen

14

8.

Aansprakelijkheid

15

     

II.

ARTIKELSGEWIJS

16

I. ALGEMEEN

1. Inleiding

De leden van de VVD-fractie hebben kennisgenomen van het voorliggende wetsvoorstel inzake de Wijziging van de Wet cliëntenrechtenzorg, de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens). Genoemde leden hebben naar aanleiding van het wetsvoorstel nog een aantal vragen en opmerkingen.

Zorgverleners zijn verplicht om elektronische inzage in patiëntendossiers te faciliteren. Is het verboden om alleen met papierendossiers te werken? Is er een door het College bescherming persoonsgegevens (CBP) goedgekeurde standaard waaraan databases van zorgverleners, los van uitwisselingssystemen, moet voldoen?

Binnen welke termijn, na consult, moeten zorgverleners hun dossiers op orde hebben? Hoe is gewaarborgd dat de in de dossiers aanwezige gegevens juist en recent?

Ondanks dat deze wet niet over de financiering van elektronische patiënten dossiers gaat willen deze leden weten of er in de meerjarenbegroting van het ministerie van VWS gelden zijn gealloceerd voor de exploitatie van het Landelijk Schakelpunt (LSP)?

Zijn er onderdelen van de gedragscode Elektronische Gegevensuitwisseling in de Zorg (gedragscode EGiZ) geïmplementeerd in de nieuwe wet en zo nee, waarom niet?

Hoe wordt het burgerservicenummer gebruikt in een medisch dossier? Alleen ter identificatie of ook voor koppeling aan andere gegevens?

Biedt de wet de onmogelijkheid dat patiëntendossiers internationaal gelinkt kunnen worden?

Onder verantwoordelijkheid van het ministerie van BZK is het (public key infrastructure) PKI overheidsbeleid vormgegeven. Is overwogen om deze PKI te verbinden aan medische datacommunicatie?

Een algemene maatregel van bestuur (amvb) op basis van artikel 26 van de Wet bescherming persoonsgegevens (Wbp) zal uitwerking geven aan specifieke eisen op het punt van de elektronische gegevensuitwisseling. Is de regering voornemens bij deze amvb een voorhangprocedure te volgen?

De leden van de PvdA-fractie hebben kennisgenomen van het voorliggende wetsvoorstel inzake de Wijziging van de Wet cliëntenrechtenzorg, de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens). Genoemde leden hebben naar aanleiding van het wetsvoorstel nog een aantal vragen en opmerkingen.

Deze leden zijn voorstander van het delen van medische gegevens door middel van een elektronisch patiëntendossier, maar alleen als aan drie voorwaarden wordt voldaan:

  • 1. de patiënt is de baas over de over hem opgeslagen gegevens;

  • 2. de privacy van patiënten moet gewaarborgd worden;

  • 3. het systeem moet veilig zijn.

Goede communicatie over deze drie punten is essentieel. Patiënten moeten eerlijk worden geïnformeerd over en kansen en bedreigingen van het nieuwe systeem.

De leden van de PvdA-fractie hechten er groot belang aan dat wordt gekeken naar het doel van elektronische gegevensuitwisseling in de zorg en naar de doelstelling van wetgeving rond elektronische gegevensuitwisseling. Goede en veilige zorg is het doel. Systemen redden geen mensen, dat doen de artsen, maar goede systemen kunnen een belangrijk hulpmiddel zijn en slechte systemen kunnen problemen en fouten veroorzaken of in de hand werken. Deze leden zijn van mening dat systemen voor gegevensuitwisseling en -opslag zo moeten worden ingericht dat de patiënt kan beslissen wat er met de informatie gebeurt. De gegevens zijn van de patiënt. Maar er is niet één patiënt, zoals er ook niet één systeem en één oplossing bestaat. Kan de regering nog eens toelichten welke mogelijkheden voor differentiatie het huidige systeem biedt, waarbij de ene patiënt toestemming geeft veel informatie met veel zorgverleners te delen, een andere patiënt bijna alles afgeschermd houdt en een derde patiënt daar een middenweg in zoekt?

De leden van de PvdA-fractie hebben veel vragen en een aantal kritische opmerkingen over het voorliggend wetsvoorstel. Maar deze leden zien ook een aantal positieve punten in het voorliggend wetsvoorstel. Zo vinden zij het positief dat in het wetsvoorstel onder meer de motie 27 529 nr. 69 Kuiken c.s. is verwerkt die de regering verzoekt «vast te leggen dat een patiënt bij de uitgifte van medicijnen op dat moment direct recht heeft op kosteloze inzage in papieren en/of elektronische vorm van de aan hem voorgeschreven medicijnen, evenals het recht op aanvulling van deze lijst met zelfmedicatie die gebruikt wordt». Ook het opnemen van het recht op inzage, en afschrift van het dossier en het vastleggen van de opt-in vinden deze leden belangrijke stappen om de positie van patiënten te versterken.

Deze leden hechten er groot belang aan dat misbruik door zorgverzekeraars wordt voorkomen. Dat de regering de maximale boete voor zorgverzekeraars die in overtreding gaan, niet op 100.000 maar op 500.000 euro heeft gesteld krijgt dan ook de steun van deze leden.

De leden van de PvdA-fractie vragen voorts waarom aan het concept gedragscode Elektronische Gegevensuitwisseling in de Zorg (gedragscode EGiZ) geen aandacht is besteed in de memorie van toelichting of het nader rapport. Kan de regering toelichten wat zij van deze gedragscode vindt en toelichten op welke gronden voor het wetsvoorstel andere keuzes zijn gemaakt dan in de gedragscode EGiZ? Kan worden toegelicht wat de verschillen en overeenkomsten zijn tussen het voorliggend wetsvoorstel en de gedragscode EGiZ?

De specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling worden in een algemene maatregel van bestuur vastgelegd. De leden van de PvdA-fractie vinden deze aspecten van de inrichting van elektronische gegevensuitwisseling dermate belangrijk, dat zij vinden dat een beoordeling van het wetsvoorstel niet goed mogelijk is, zonder kennis te hebben van de inhoud van de amvb. Deze leden hechten ook groot belang aan een voorhangprocedure voor deze amvb. Kan de regering bij de beantwoording van dit verslag de Kamer ook de amvb doen toekomen?

De leden van de PVV-fractie hebben met grote teleurstelling kennisgenomen van voorliggend wetsvoorstel. Deze leden vinden dat het wetsvoorstel niet tegemoet komt aan de bezwaren die de leden van de Eerste Kamer hadden tegen het voorgaande verworpen wetsvoorstel. Dit wetsvoorstel voldoet nog steeds niet aan de privacy- en veiligheidseisen die bij het uitwisselen van medische gegevens noodzakelijk zijn. Evenmin geeft het de patiënt de zeggenschap over de eigen medische gegevens en wordt het medisch beroepsgeheim zonder goed onderbouwde argumenten aangetast. Genoemde leden hebben naar aanleiding van het wetsvoorstel nog een aantal vragen en opmerkingen.

De leden van de SP-fractie hebben kennisgenomen van het wetsvoorstel waarbij de cliënten rechten bij elektronische verwerking van gegevens wordt versterkt. Althans, zo stelt het wetsvoorstel. Tijdens een door de Kamer georganiseerd rondetafelgesprek op 6 maart 2013, hebben deze leden vernomen dat de gedragscode EGiZ beter rekening houdt met de positie van de cliënt/patiënt. Genoemde leden vragen de regering een uitgebreide vergelijking van het wetsvoorstel met betreffende gedragscode. Is de regering daartoe bereid? Is de regering ook bereid om het wetsvoorstel te wijzigen dan wel in te trekken wanneer uit een analyse blijkt dat deze, door het veld, met betrokkenheid van diverse zorgkoepels, ontwikkelde gedragscode beter is dan het wetsvoorstel.

De leden van de SP-fractie zijn zeer teleurgesteld in de opstelling van de regering sinds de afwijzing van de wet op het elektronisch patiëntendossier (EPD) in de Eerste Kamer. Kan de regering een volledige weergave geven van de invulling van de motie Tan c.s. nr. Y, waarin verzocht wordt tot het volgende: «binnen de wettelijke kaders van WBP, BIG en WGBO te komen tot een nadere wettelijke regeling van:

  • normen en standaarden voor zowel digitale dossiervorming en -ontsluiting, als de overdracht van gegevens

  • eisen met betrekking tot de veiligheid,

  • toezicht, handhaving en sancties,

  • inzage door de patiënt, het verstrekken van afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt,

teneinde veilig digitaal transport van gegevens (zowel pull als push) mogelijk te maken tussen zorgverleners binnen een regio,

verzoekt de regering voorts de mogelijkheden te onderzoeken van een elektronische zorgpas, die recht doet aan de zeggenschap van de patiënt over het eigen medisch dossier»

Klopt de indruk van deze leden dat de regering zich in de afgelopen twee jaar eigenlijk volledig heeft gericht op het wachten op een mogelijke doorstart van het LSP en verzaakt heeft deze motie (snel) ter hand te nemen? Kan de regering uiteen zetten welke stappen zij heeft gezet om het regionale digitale transport, zowel via pull (gegevens actief opvragen) als push (gegevens actief versturen), veiliger te maken? Welke stappen heeft zij gezet om het mogelijk te maken om de patiënt zeggenschap te geven over een eigen medisch dossier door middel van een elektronische zorgpas? Het verwonderd de leden zeer dat er in de memorie van toelichting uitgebreid gesproken wordt over de moties die worden uitgevoerd met dit wetsvoorstel, maar dat er gezwegen wordt over deze motie. Kan de regering dat uitleggen? Kan de regering tevens ingaan op de vraag of de Eerste Kamer dit wetsvoorstel heeft gewild? Mede in het licht van de uitspraken van senator Dupuis dat dit wetsvoorstel niet voldoende is voor haar.

De leden van de SP-fractie hebben de indruk dat het wetsvoorstel dat nu voorligt, voorsorteert op het opnieuw centraal, dan wel verplicht, stellen van het landelijk schakelpunt (LSP). Welk verweer geeft de regering hierop? Is het terecht dat deelnemers aan het eerder genoemde rondetafelgesprek dit ook opmerken in hun van te voren ingestuurde «position papers»? Zo nee, waarom niet? Maakt dit wetsvoorstel het mogelijk om regionale netwerken te (blijven) gebruiken als het kunnen uitwisselen in een één op één verbinding tussen behandelaars van een patiënt? Kan de regering haar antwoord toelichten?

Erkent de regering dat het gevoel dat dit wetsvoorstel een opmaat is naar het verplicht stellen van het LSP wordt gevoed doordat er constant wordt gesproken over een amvb onder artikel 26 van de Wet bescherming persoonsgegevens, waarbij «het gebruikte systeem altijd zal moeten voldoen aan de functionele, technische en organisatorische eisen» die in desbetreffend amvb zullen worden gesteld? Is de regering bereid om dit wantrouwen weg te nemen door er voor te zorgen dat de amvb wordt voorzien van een verzwaarde voorhangprocedure, en dit onderdeel te maken van de democratische controle van zowel de Tweede als Eerste Kamer? Indien de regering daartoe niet bereid is, waarom niet?

De leden van de SP-fractie willen graag weten hoe de regering reageert op de kritiek van een van de deelnemers van het eerder genoemde rondetafelgesprek, dat de eenheid van taal (dat wat medici uitwisselen) belangrijker is dan het systeem waarin. Hoe reageert de regering op de suggestie om te gaan werken met een beperkte set aan kerngegevens (Continuity of Care Record, CCR), omdat daarin de gegevens die noodzakelijk zijn voor andere behandelaars zijn opgenomen?

Het wetsvoorstel beoogt de positie van de cliënt/patiënt te verstevigen. Erkent de regering dat er bij de benadering van deze groep geen sprake is van een groep? Het klopt toch dat er een groep patiënten is, meestal mensen met een chronische aandoening, die graag willen dat hun medische gegevens actief uitgewisseld worden, maar dat voor burgers zonder aandoening over het algemeen geldt dat er een groot gevoel van onbehagen is bij gegevensuitwisseling? Hoe ziet de regering haar taak als het gaat om het informeren van deze verschillende doelgroepen? Kan de regering zich voorstellen dat mensen die niet of nauwelijks naar de huisarts gaan het afschrikwekkend vinden dat er via het LSP inzage mogelijk is in de laatste vijf consulten, ook al zijn die erg lang geleden?

Het invoeren van uitdrukkelijke toestemming voor het uitwisselen van medische gegevens wordt geregeld in de Wet bescherming persoonsgegevens. De wens van de indieners van motie 78 ging uitdrukkelijk over het systeem van landelijk uitwisselen via het schakelpunt. Begrijpen deze leden goed dat, met verwerking van de motie, voor elk systeem dat kan worden gebruikt voor het uitwisselen van medische gegevens uitdrukkelijke toestemming altijd vereist is? Gaat dit gelden voor elke behandelingsrelatie die de cliënt/patiënt aangaat, of geeft zij eenmalig toestemming om opgenomen te worden in het LSP? Waar zegt de cliënt/patiënt/burger precies ja tegen? Erkent de regering dat door mogelijke verdere ontsluiting van het LSP, dat wil zeggen het verder uitbreiden van het aantal beroepsgroepen en zorginstelling dat aansluiting heeft op het LSP, eigenlijk nieuwe toestemming vraagt? Indien er in een regio met een ander systeem wordt gewerkt dan met het LSP, dient de cliënt/patiënt/burger dan ook hernieuwde toestemming te geven wanneer dit netwerk zich uitbreidt met nieuwe aanbieders en/of instellingen? Zou het niet veel handiger en overzichtelijker zijn als een patiënt per behandeling aangeeft of en zo ja, met wie er gegevens uitgewisseld kunnen worden? De leden vragen op dit punt een uitgebreide reactie van de regering.

Bij de beschrijving van de handhaving en de sanctie van het inzien van medische gegevens door een zorgverzekeraar krijgen de leden van de SP-fractie het gevoel dat het wel erg gemakkelijk wordt om de inzage af te schuiven op een individuele werknemer. Hoe voorkomt de regering dat zorgverzekeraars hun verantwoording afschuiven op individuele werknemers en zij zelf buiten schot blijven? Deze vraag zien deze leden ook graag beantwoord voor situaties van inzage door een zorginstelling.

De leden van de SP-fractie vragen de regering om een bespiegeling op de uitspraak van de Raad van State dat de minister van Volksgezondheid, Welzijn en Sport verantwoordelijk is voor het systeem in het kader dat zij geen verantwoordelijkheid draagt voor de private doorstart van het LSP. Is de regering van mening dat voorkomen moet worden dat de medische gegevensuitwisseling in de zorg afhankelijk wordt van één systeem, zeker vanuit het oogpunt van cybersecurity? Zij ontvangen graag een uitgebreide toelichting op het antwoord.

Tot slot vragen genoemde leden een totaal overzicht van kosten die samenhangen met het LSP/EPD. Zowel van de kosten gemaakt door de regering, als de kosten die zorgaanbieders en zorginstellingen hebben moeten maken om aangesloten te raken (kosten UZI-passen enzovoorts).

De leden van het CDA-fractie hebben kennisgenomen van het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens. Deze leden onderschrijven het belang om wettelijke waarborgen voor het elektronisch uitwisselen van gegevens te hebben. Ze hebben nog wel vragen over de uitvoerbaarheid van deze wetgeving en de gevolgen voor de praktijk van zorgaanbieders en zorginstellingen.

Deze leden vinden het moeilijk om de gevolgen van de inwerkingtreding van het wetsvoorstel te duiden, omdat de onderliggende algemene maatregel van bestuur op basis van artikel 26 van de Wet bescherming persoonsgegevens (Wbp) niet aan de Tweede Kamer is toegezonden. Zij verzoeken de regering om een concept-amvb met de nota naar aanleiding van het verslag naar de Kamer toe te sturen, zodat deze amvb ook bij de wetsgeschiedenis betrokken kan worden en meer inzicht in de gevolgen van het wetsvoorstel voor de praktijk geeft. Zij vragen verder waarom het geen amvb met voorhang is.

Een aantal regionale samenwerkingsverbanden en koepelorganisaties in de zorg hebben enige tijd geleden overeenstemming bereikt over een gedragscode Elektronische Gegevensuitwisseling in de Zorg (gedragscode EGiZ). Met de Gedragscode EGiZ is beoogd om richtlijnen te geven waarmee tegenstrijdigheden en onduidelijkheden in bestaande wet- en regelgeving worden opgeheven, die recht doen aan de wens om de zorg te verbeteren, en de privacy van de patiënt te beschermen en die werkbaar en beheersbaar zijn in de praktijk. Op welke wijze is deze concept-gedragscode EGiZ in dit wetsvoorstel meegenomen?

De Raad van State geeft in haar advies aan dat het niet op voorhand duidelijk is hoe deze regeling in de praktijk gaat werken. Dit komt onder meer, omdat er geen zicht is op de inhoud van de regeling op grond van artikel 26 Wbp, die specifieke eisen aan de elektronische uitwisseling zal stellen. Deze leden delen dit standpunt van de Raad van State.

In het rapport «Staat van de Gezondheidszorg 2011» heeft de Inspectie voor de Gezondheidszorg (IGZ) er ook op gewezen dat de dossiervoering in veel zorginstellingen onder de maat is. Daarnaast is de manier waarop de informatie uitgewisseld wordt binnen en buiten zorginstellingen vaak slecht geregeld. Dat werpt de vraag op welke gevolgen de invoering van dit wetsvoorstel in de praktijk zal hebben. Hoeveel systemen moeten bij benadering worden aangepast? Welke investeringen zal dit grosso modo voor zorgaanbieders tot gevolg hebben?

Deze leden vragen de regering nog nader in te gaan op een andere opmerking van de Raad van State. De Raad van State geeft aan dat dit wetsvoorstel ertoe leidt dat private partijen weliswaar verantwoordelijk zijn/worden voor de uitwisselingssystemen, maar dat neemt niet weg dat de minister als de bewaker in laatste instantie van de kwaliteit van de zorg, uiteindelijk aanspreekbaar blijft op de kwaliteit van de gegevensuitwisseling, met name in situaties waarin private partijen tekort (dreigen te) schieten. Erkent de regering voorafgaande standpuntbepaling van de Raad van State ook? Hoe vult de minister die verantwoordelijkheid in als straks het wetsvoorstel in werking is getreden?

De reikwijdte van het wetsvoorstel is dat het betrekking heeft op de uitwisseling van gegevens tussen zorgaanbieders en niet op een systeem binnen een zorginstelling. Deze leden vragen hoe het dan gaat als een zorginstelling verschillende vestigingen heeft. Welke waarborgen gelden er dan voor de elektronische uitwisseling van gegevens? Denk maar aan een grote aanbieder zoals de Parnassio Bavogroep. Welke waarborgen gelden er dan voor gegevensuitwisseling binnen de instelling?

Ook willen deze leden graag uitleg hoe het staat met het verlenen van toestemming van een patiënt als er bijvoorbeeld van ketenzorg sprake is.

De Raad van State gaat ook in op het advies dat het College bescherming persoonsgegevens (CBP) aan de regering heeft gegeven. Dit advies van 4 april 2012 is niet naar de Kamer toegestuurd. Ziet de regering een mogelijkheid om dit advies ook als bijlage bij de nota naar aanleiding van het verslag aan de Kamer toe te sturen?

De Raad van State heeft de regering uitdrukkelijk het advies gegeven om in artikel 23b, tweede lid, niet alleen te verwijzen naar artikel 23a, eerste lid, maar ook naar artikel 24, eerste lid, Wet cliëntenrechten zorg (Wcz). De leden van de CDA-fractie vragen waarom de regering dit advies niet heeft overgenomen. Nu de eis van uitdrukkelijke toestemming ingevolge artikel 23, eerste lid, onder a, van de Wbp geldt voor het verwerken van persoonsgegevens en het inzien en verstrekken van persoonsgegevens ook valt onder het verwerken, zal in de systematiek naar mening van de Raad van State ook moeten worden voorzien in uitdrukkelijke toestemming voor deze vorm van verwerking.

De Raad van State heeft de regering ook gevraagd of in de registratie van de verleende toestemming en weigering van toestemming ook wordt bijgehouden of een cliënt toestemming heeft verleend zijn gegevens al dan niet in te zien. Uit het oogpunt van administratieve lasten lijkt de regering dat niet wenselijk. Deze leden vragen waarom nu op dit punt de administratieve lasten zwaarder wegen dan de rechten van de cliënt. Waarom is het registreren van het al dan niet inzien van de gegevens zoveel meer werk?

De leden van de D66-fractie hebben met interesse kennisgenomen van het wetsvoorstel dat beoogt de cliëntenrechten te verstevigen in geval van elektronische verwerking van gegevens. Het wetsvoorstel stelt nadere privacy- en veiligheidseisen in geval van elektronische uitwisseling van medische gegevens. Hiermee wordt aan een deel van de wensen van de hier aan het woord zijnde leden gehoor gegeven. Zij hebben echter nog verschillende aanvullende vragen, wensen en opmerkingen. Zij beginnen daarbij met de opmerking dat de regering bij de toelichting van het voorliggende wetsvoorstel geen aandacht besteed aan de reeds bestaande gedragscode EGiZ. Genoemde leden verzoeken de regering daarop alsnog te reageren.

De leden van de D66-fractie merken met de Raad van State op dat het voorliggende wetsvoorstel alleen betrekking heeft op uitwisseling van gegevens tussen zorgaanbieders en niet op een uitwisselingssysteem binnen een zorginstelling. Deze leden vragen de regering toe te lichten, waarom hier expliciet voor gekozen is. Welke redenen hebben zij om aan te nemen dat binnen een zorginstelling geen extra privacy- en veiligheidwaarborgen noodzakelijk zijn?

De leden van de D66-fractie constateren dat het voorliggende wetsvoorstel benoemt dat bij amvb op grond van artikel 26 van de Wet bescherming persoonsgegevens nadere specifieke functionele, technische en organisatorische eisen zullen worden gesteld aan elektronische gegevensuitwisseling in zijn algemeenheid. Dit moet de veiligheid en betrouwbaarheid van elektronische informatie-uitwisselingsystemen vergroten. Deze regeling is echter nog niet gereed. Zij vragen de regering daarom om een houtskoolschets van de contouren van de amvb afzonderlijk naar de Kamer toe te zenden. Zij vragen of in dit kader ook het uitvoeren van hack-testen als eis zal worden gesteld? Wanneer verwacht de regering de amvb naar de Kamer te kunnen toezenden? Wordt de amvb door middel van een voorhangprocedure aan de Kamer voorgelegd?

2. Juridische analyse

De leden van de SP-fractie merken op dat zij cruciale informatie missen over de uitvoering van de opgesomde punten, omdat zij de genoemde amvb niet kennen. Deze leden willen aangeven dat zij een verdere wetsbehandeling, zonder het kennen van de amvb, niet aan de orde kan zijn.

3. Reactie koepels

De leden van de PvdA-factie lezen in de memorie van toelichting dat de juridische analyse is voorgelegd aan de verschillende koepels van zorgaanbieders en patiëntenverenigingen.

De KNMG heeft mede namens KNMP, V&VN, LHV, NHG, VHN, KNGF, NMT, NVZ, Actiz, VGN, SAN, en de regionale samenwerkingsverbanden EZDA (Amsterdam e.o.), Rijnmondnet (Rotterdam e.o.), RSO Haaglanden (Den Haag e.o.), Sleutelnet (Leiden e.o.), Zorgring Noord-Holland Noord, IZIT (Twente), GERRIT (Friesland en Groningen) een reactie gegeven op voorliggend wetsvoorstel. Daarin geeft de KNMG aan dat deze veldpartijen niet zijn geconsulteerd bij de totstandkoming van dit wetsvoorstel. Genoemde vragen waarom dit niet is gebeurd. Kan de regering toelichten welke informatie ten aanzien van de juridische analyse is voorgelegd aan de verschillende koepels, en waarom niet ook een versie van het voorliggend wetsvoorstel aan de koepels is voorgelegd? Wat zijn specifiek de verschillen op het punt van de rechten en mogelijkheden van de patiënt om zijn gegevens in te zien, te beheren wie welke informatie mag zien en de mogelijkheden voor de patiënt om gegevens eventueel te wijzigen?

De KNMG heeft mede namens de andere genoemde organisaties in een open brief aan de Kamercommissie van VWS d.d. 1 maart 2013 1 19 vragen gesteld. De leden van de PvdA-fractie hechten groot belang aan beantwoording van deze vragen van de veldpartijen, zowel om inhoudelijke redenen alsmede vanwege het noodzakelijke draagvlak bij de controle op elektronische gegevensuitwisseling in de zorg. Deze leden vragen de regering daarom de antwoorden op 19 vragen van de veldpartijen op te nemen in haar beantwoording van het verslag.

De leden van de SP-fractie hebben wel erg sterk de indruk dat de gesprekspartners van het ministerie van VWS over het onderwerp medische gegevensuitwisseling beperkt is tot vertegenwoordigers van zorgkoepels. Zij zien dat er bijvoorbeeld onder huisartsen een grote verdeeldheid is als het gaat om de doorstart van het LSP en vinden het niet goed als het ministerie zich alleen richt op vertegenwoordigers van koepels. Genoemde leden erkennen dat koepels zinvolle informatie kunnen verzamelen en aanleveren om op die manier tot betere voorstellen te komen, maar ziet het ministerie ook dat het wel een eenzijdig geluid is waarmee zij spreekt. Erkent zij dat de kans groot is dat daardoor een tunnelvisie kan ontstaan waarbij relevante en nuttige inbreng terzijde wordt geschoven als zijnde «van de tegenpartij»? Welke rol ziet de regering voor zichzelf om de polarisatie waarin critici consequent weggezet worden als tegenstanders van veilige gegevensuitwisseling te doorbreken? Is zij bereid om kennis te nemen van wetenschappers, gebruikers, ICT-deskundigen die een kritisch geluid laten horen? Kan de regering een overzicht geven wie in de afgelopen twee jaar gesprekspartner is geweest van het ministerie op dit onderwerp?

De bezwaren tegen de opt-inregeling van KNMG c.s. en het bezwaar van de NPCF bij de verzwaring van toestemming bij raadpleging moet volgens de leden van de SP-fractie niet gevolgd worden.

4. Opzet en inhoud van dit wetsvoorstel

Op verschillende plaatsen wordt onderscheid gemaakt tussen interne systemen binnen zorginstellingen en uitwisselingssystemen, zo constateren de leden van de VVD-fractie. Voor uitwisselingssystemen worden aanvullende eisen gesteld ten opzichte van systemen die alleen intern binnen een instelling worden gebruikt. Kan de regering exact het onderscheid aangeven tussen een intern systeem en een uitwisselingssysteem? Hoe wordt bijvoorbeeld een systeem dat twee locaties van een zorginstelling samen hanteren gezien, als intern systeem of als uitwisselingssysteem? Wordt toegang van een medewerker op locatie A in het dossier van een patiënt op locatie B gezien als uitwisseling van gegevens? In welke gevallen is deze toegang toegestaan? Kan de regering aangeven welke eisen voor beide typen systemen worden gebruikt en welke eisen alleen voor de uitwisselingssystemen zullen gelden?

De patiënt moet toestemming verlenen voor gegevensuitwisseling. Bovendien moet de patiënt ook specifiek om toestemming worden gevraagd wanneer een zorgaanbieder de door een andere zorgaanbieder beschikbaar gestelde gegevens in te zien. Patiënten kunnen, schijnbaar, generieke toestemming verlenen voor gegevensuitwisseling. Betekent dit dat de patiënt zonder uitzonderingen al zijn/haar zorgverleners toestemming geeft om gegevens beschikbaar te stellen? Zo nee, wat dan? Zo ja, hoe worden alle zorgverleners hiervan op de hoogte gebracht?

Welke andere opties hebben patiënten om toegang te verlenen of juist te onthouden voor gegevensuitwisseling, bijvoorbeeld per specifieke zorgverlener (bv. op individueel BIG geregistreerd niveau), op instellingsniveau, op praktijkniveau?

Hoe ver gaat het verlenen van toestemming van de patiënt met betrekking tot inzage en uitwisseling van zijn dossier, zijn hieraan termijnen verbonden? Kunnen niet relevante onderdelen in het dossier door patiënten worden uitgesloten? Hoe ver gaat de regie van de patiënt? Hoe makkelijk kunnen patiënten die wel wensen dat hun gegevens gedeeld worden overstappen naar een andere zorgverlener, wanneer hun eigen zorgverlener weigert de gegevens van de patiënt te delen?

Hoe houdt een patiënt invloed op zijn dossier wanneer hij niet langer wil dat bepaalde zorgverleners zijn dossier kunnen inzien? Kan er een situatie ontstaan dat het een patiënt niet lukt inzage in zijn dossier tegen te gaan? Waar moet hij dan terecht?

Wanneer er sprake is van misbruik of ongeoorloofde inzage in patiëntdossier door BIG geregistreerden kan een dwangsom opgelegd worden. Aangezien de patiënt inzage krijgt in de «logging», kan deze zelf mogelijk misbruik van de uitwisselingsmogelijkheden signaleren. Welke mogelijkheden hebben patiënten om dergelijk misbruik te melden? Bij welke instantie kunnen patiënten daarmee terecht?

De leden van de PvdA-fractie vinden dat de patiënt de baas moet zijn over zijn dossier. Het recht op inzage en afschrift is belangrijk, net als het geven van toestemming middels een opt-in. Deze leden missen echter nog de mogelijkheid voor patiënten om informatie uit een dossier te verwijderen en de mogelijkheid om delen van de informatie af te schermen voor bepaalde categorieën zorgverleners. Kan de regering hier een reactie op geven?

Het is niet nodig om alle gegevens uit een dossier voor alle zorgverleners beschikbaar te stellen. Genoemde leden vragen de regering om een reactie op de internationale standaard «Continuity of Care Record». Bij de totstandkoming daarvan is onderzocht welke gegevens moeten worden overgedragen naar een volgende zorgverlener om continuïteit van zorg en een goede overdracht te garanderen. Uit dat onderzoek is een minimale set van data gekomen die zinvol is om over te dragen. In Amerika is het gebruik van deze standaard al verplicht, in Nederland hebben de 8 UMC’s besloten deze standaard ook te gaan gebruiken. Is de regering van mening dat deze standaard door alle zorgverleners in Nederland gebruikt zou moeten worden? Zo nee, waarom niet en zo ja, op welke wijze en wanneer wordt dit ingevoerd?

In de memorie van toelichting staat dat de NVZ stelt dat het geven van een overzicht van de logging op dit moment meestal onmogelijk is. De leden van de PvdA-fractie zijn met de NPCF van mening dat inzage in de loggegevens een belangrijk recht van de patiënt is. De regering stelt dat uit ervaring blijkt dat met het LSP logging wel degelijk mogelijk is en dat er geen aanleiding is om af te wijken van de juridische analyse. Kan de regering toelichten waar het verschil van mening tussen haar en de NVZ door wordt veroorzaakt? Is alleen in het LSP logging mogelijk? Kan worden gegarandeerd dat ook in andere systemen de patiënt loggegevens kan inzien? Zo nee, wat moet er in de wetgeving worden veranderd zodat het recht op inzage in loggegevens voor alle gebruikte systemen geldt? Wie is verantwoordelijk voor het accuraat bijhouden van loggegevens? Kent de regering het Schotse voorbeeld waarbij in een dossier altijd zichtbaar is door welke zorgverleners het dossier de laatste drie keer geopend is? Wat vindt de regering van dit instrument en welke mogelijkheden ziet zij hiervoor in het Nederland?

Genoemde leden vragen de regering wat zij vindt van het Amerikaans «Blue button: download your data» programma vinden, waarvoor onder meer President Obama ruim aandacht van het publiek voor heeft gevraagd. Wat is de mening van de regering over het Blue button project? Is het denkbaar dat de minister-president in Nederland zich met evenveel enthousiasme publiekelijk zal inzetten voor de toegankelijkheid van medische gegevens in Nederland?

De leden van de PVV-fractie vinden de zeggenschap die de patiënt over zijn medische gegevens krijgt volstrekt onvoldoende. Recht op inzage en afschrift is al geregeld in de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en natuurlijk moeten er aan een digitaal afschrift geen kosten verbonden worden. Recht op inzage en afschrift is echter niet hetzelfde als zeggenschap. Waaruit blijkt nu dat de patiënt meer zeggenschap heeft over zijn medische gegevens? Graag een uitgebreide toelichting van de regering op dit punt.

De opt-in toestemming valt niet onder verbetering van zeggenschap want in de WGBO is al vastgelegd dat er altijd toestemming van de patiënt nodig is voor het raadplegen van zijn medische gegevens. Een eenmalige generieke opt-in is volgens de leden van de PVV-fractie juist een beperking van zeggenschap. Dat het patiënten mogelijk gemaakt wordt zorgaanbieders uit te sluiten is praktisch gezien onoverzichtelijk. Deze leden hebben een veel betere oplossing, namelijk een autorisatiepas. Door middel van een autorisatiepas kunnen patiënten zorgverleners inzage toestaan of weigeren. De regering heeft alleen naar een opslagpas onderzoek laten doen. Is de regering bereidt nog aanvullend onderzoek naar een autorisatiepas te doen, zo vragen deze leden.

De leden van de SP-fractie willen aangeven dat zij een vergoeding voor een afschrift van een medisch dossier afwijzen. Of deze nu digitaal of op schrift wordt gegeven, er worden immers in beide gevallen kosten gemaakt (inzet personeel, papier, gebruik stroom van de computer enz.). Genoemde leden zien het als een taak van een zorgaanbieder dan wel zorginstelling om de persoonlijke gegevens van mensen te verstrekken. Is de regering bereid om afspraken te maken met het veld en de koepels om gratis verstrekking van gegevens te bewerkstelligen?

Bij inzage worden tevens kosten gemaakt, merken zij op. Geheel gratis maken is de gemakkelijkste weg. Deze leden vragen of de inzage in het dossier niet te rooskleurig wordt voorgesteld. Kan de regering een overzicht geven bij hoeveel zorgaanbieders en/of zorginstellingen een cliënt/patiënt/burger langs moet als hij alle gegevens bijeen wil krijgen?

De leden van de SP-fractie bekruipt het gevoel dat de uitdrukkelijk verleende toestemming verwaterd tot toestemming. Kan de regering aangeven waarom zij «uitdrukkelijk verleende toestemming» lijkt te laten varen?

Genoemde leden hebben met interesse de website www.ikgeeftoestemming.nl getest, zij vinden de website niet erg toegankelijk en gebruiksvriendelijk. Wat is het oordeel van de regering over deze website? Is het zo dat mensen die nu aangeven wie wel en wie geen inzage mogen hebben, worden verwittigd wanneer er nieuwe zorgaanbieders en zorgaanbieders deel gaan nemen aan het LSP? Kan men via deze website ook gegevens doorgeven voor andere uitwisselingssystemen dan het LSP? Hoe gaat de regering dat regelen?

Erkent de regering dat het identificeren van een individuele zorgverlener, die ongeoorloofd in gegevens kijkt, via de UZI-pas op grenzen zal stuiten wanneer het een systeem betreft dat geen gebruik maakt van dit identificatiesysteem?

De leden van de SP-fractie vinden het belangrijk dat in de beschrijving van inzage in logging erg de nadruk wordt gelegd op het feit dat dit bij het LSP wel kan. Deze leden zijn van mening dat alle systemen toegerust moeten zijn op inzage in deze gegevens, dit is immers al wettelijk verplicht via de Wet bescherming persoonsgegevens artikel 35.

Critici betogen dat deze wet lijkt geschreven te zijn met alleen het LSP in het achterhoofd. De leden van het CDA-fractie vragen de regering te motiveren waarom dit wel of niet het geval is. Anders dan wat in de motie Omtzigt staat, wordt het recht op elektronische inzage en elektronische afschrift niet opgenomen in de WGBO. Reden hiertoe is dat de WGBO alleen betrekking heeft op de geneeskundige behandeling, terwijl de eisen die worden gesteld aan elektronische gegevensuitwisseling voor alle zorgaanbieders die cliëntendossiers bijhouden dienen te gelden. De leden van de CDA-fractie vragen de regering enkele voorbeelden te geven van zorgsituaties die niet onder de WGBO vallen, maar waar wel in cliëntdossiers worden bijgehouden.

De regering spreekt over het uitsluiten van zorgaanbieders. Betekent dit dat de cliënt in principe steeds generieke toestemming geeft en zelf moet aangeven dat hij bepaalde zorgverleners wil uitsluiten? Is het ook zichtbaar in het systeem dat de patiënt wel of niet toestemming heeft gegeven?

Genoemde leden hebben geen zicht wat de invoering van dit wetsvoorstel voor de praktijk betekent. Gaat de amvb bijvoorbeeld ook heldere, duidelijke en generieke toepasbare beveiligingseisen bevatten om push- en pullsystemen te ontwikkelen en beter te beveiligen?

Welke richtlijnen, onderzoek en voorlichting komt er om zorgverleners op een praktische manier te laten omgaan met toestemming bij allerlei systemen in de zorg?

Een andere vraag die deze leden bezighoudt, wie is de dossierhouder van de patiënt (de beheerder van de medische gegevens)? Hoe is de kwaliteitsbewaking rond (medicatie)dossiers geregeld?

Deze leden vinden privacy van de patiënt in relatie tot technieken die privacy beschermen ook van belang. Maar het wetsvoorstel lijkt tot nu toe niet erg gericht te zijn op het beschermen van privacy in de praktijk of op het stimuleren van technieken die de privacy en de beveiliging echt kunnen verbeteren. Klopt dat?

Vanuit het veld ontvangen deze leden geluiden dat dit wetsvoorstel tot gevolg heeft dat zorgaanbieders en zorginstellingen hun uitwisselingssystemen en ICT-systemen dienen aan te passen. Op dit moment voldoen namelijk lang niet alle informatiesystemen aan de gestelde eisen. Hoeveel tijd krijgen de veldpartijen om hun systeem in te regelen, zodat de continuïteit van zorg gewaarborgd blijft?

Genoemde leden vragen ook of er een afbakening komt van de gegevens die worden overgedragen. Tijdens een rondetafelgesprek van de Kamercommissie VWS heeft de heer Hazelzet, Chief medical information officer en kinderarts-intensivist in het Erasmus MC, aangegeven dat het zeker niet nodig is dat alle gegevens aanwezig bij een zorgverlener worden overgedragen naar de volgende zorgverlener. Hij stelt dat ruim uitgezocht is welke minimale dataset zinvol is om over te dragen. Hier is een internationale standaard van gemaakt met de naam Continuity of Care Record die in de Amerikaanse situatie al geruime tijd gebruikt wordt en inmiddels daar verplicht is in geval Health Information Exchange. Wat is het oordeel van de regering over de bruikbaarheid van deze standaard? Overigens verwijst hij ook naar het programma van de regering van de Verenigde Staten «Meaningful use of IT in Healthcare». Hoe kijkt de regering tegen dit initiatief vanuit de Verenigde Staten aan?

Het CBP stelde in 2010 dat het onbegonnen werk is om al de loggegevens daadwerkelijk te controleren. Hoe kijkt de regering daar tegenaan? In Schotland heeft de zorgsector een systeem, waarbij de zorgverlener en de patiënt kunnen zien wie de laatste drie gebruikers van het systeem zijn geweest. Dit vergroot de zelfcontrole vanuit de gebruikers en misbruik van het systeem schijnt ook zo snel opgemerkt te worden. Wat vindt de regering van de Schotse werkwijze?

Een zorgvuldige omgang met patiëntgegevens is vanuit het oogpunt van privacy erg belangrijk. Deze leden vragen zich in hoeverre de Patriot Act van toepassing is op bepaalde uitwisselingsystemen in de zorg. Zijn zorginstellingen zich hiervan bewust?

Tot slot, de regering heeft onlangs aangegeven dat de Wet cliëntenrechten zorg in vijf delen wordt gesplitst. Welke gevolgen heeft dat voor dit wetsvoorstel?

De leden van de D66-fractie lezen in de memorie van toelichting dat één van de voorgestelde aanpassingen op de huidige wetgeving is, het instellen van een plicht van de zorgverlener om toestemming aan de patiënt te vragen voordat medische gegevens opvraagbaar worden gemaakt ten behoeve van elektronische uitwisseling (opt-in) en het vragen van toestemming voor het elektronisch opvragen van gegevens. Allereerst vagen genoemde leden of de opt-in zowel betrekking heeft op mondelinge als schriftelijke toestemming? Deze leden vragen ook of er in een keer toestemming wordt gevraagd voor alle verschillende categorieën gegevens? Indien dit niet zo is vragen deze leden of opnieuw toestemming moet worden gevraagd wanneer er een nieuw soort gegevens wordt toegevoegd? Zij vragen dit vanwege de vaststelling dat de uitwisseling van medische gegevens nu medicatie- en huisarstwaarneemgegevens betreft, maar dat dit in de toekomst wellicht wordt uitgebreid met andere categorieën van informatie? Voorts vragen zij hoe de door de regering beoogde plicht van de zorgverlener om toestemming aan de patiënt te vragen om medische gegevens in te zien die beschikbaar zijn via een elektronisch uitwisselingssysteem zich verhoudt tot de in de memorie van toelichting opgenomen uitspraak dat toestemming niet nodig is voor hulpverleners die rechtstreeks bij de behandeling betrokken zijn en vervangers van de hulpverleners? Wat wordt wel en niet verstaan onder «rechtstreeks betrokken bij de zorgverlening»? Kan de regering een praktijkvoorbeeld geven van een geval waarbij een zorgverlener die niet rechtstreeks betrokken is bij de behandeling van de patiënt toch van diegene het dossier zou willen inzien, waarbij dat in het belang is van de patiënt? In het voorliggende wetsvoorstel is ook een uitzondering opgenomen voor het ontwijken van toestemming bij het raadplegen van gegevens, wanneer een zorgaanbieder acuut moet handelen om ernstig nadeel voor de cliënt te voorkomen en er geen tijd of gelegenheid is om toestemming te vragen. Genoemde leden vragen of de cliënt van het doorbreken van het toestemmingscriterium in geval van nood achteraf expliciet op de hoogte moet worden gesteld.

Het voorliggende wetsvoorstel is zodanig geformuleerd dat die een plaats kan krijgen in de Wet cliëntenrechten zorg (Wcz). De regering heeft echter onlangs aangegeven voornemens te zijn de voorgenomen Wcz op te knippen in vijf afzonderlijke delen. Kan de regering aangeven waar de verschillende punten uit het voorliggende wetsvoorstel nu een plek zullen krijgen?

De leden van de D66-fractie hechten er veel waarde aan dat patiënten kunnen raadplegen welke zorgverleners wanneer hun gegevens hebben aangemeld of ingezien. Het recht op inzage in deze zogenaamde «loggegevens» is reeds vastgelegd in de Wet bescherming persoonsgegevens. Hieruit volgt de plicht voor de zorgaanbieder om een «logging» bij te houden. Deze leden vragen in hoeverre deze wetgeving in de praktijk wordt nageleefd en of het aanbieden van een volledig overzicht van «logging» altijd wordt gehonoreerd? Indien dit niet het geval is, hoe wordt hiertegen opgetreden? Wat is de bewaartermijn voor logbestanden?

De leden van de D66-fractie hechten veel waarde aan een gezamenlijk loket waar patiënten terecht kunnen met vragen over hun rechten en plichten als het gaat om de elektronische verwerking van gegevens en de werking van elektronische uitwisselingssystemen. Deze leden betreuren het dat de regering in het voorliggende wetsvoorstel geen eis opneemt voor het instellen van een centraal patiëntenloket.

Deelt de regering de zorgen van de D66-fractie dat het uitblijven van een loket zal leiden tot veel onduidelijkheid en vragen bij patiënten over elektronische uitwisseling van gegevens? Op welke wijze denkt de regering dit te ondervangen?

5. Toezicht en handhaving

De leden van de PVV-fractie twijfelen of de IGZ en het CBP over voldoende capaciteit beschikken voor het toezicht en de handhaving op het elektronisch uitwisselen van medische gegevens. Het CBP heeft eerder aangegeven hier niet de capaciteit voor te hebben. Heeft de regering iets aan de capaciteit van beide instanties gedaan? Het CBP heeft eerder ook om meer bevoegdheden gevraagd en is voorstander van registratie van datalekken in medische systemen. Heeft de regering iets met deze verzoeken gedaan? Graag ontvangen deze leden hierop een reactie.

De leden van de SP-fractie vragen een reactie op de uitspraak van de vertegenwoordiger van NICTIZ, aanwezig bij het eerder genoemde rondetafelgesprek, dat handhaving echt goed moet zijn. Heeft de IGZ voldoende kennis van ICT in huis om voldoende toezicht te kunnen houden?

Genoemde leden vragen de regering of een beroep op de kwaliteitswet zorginstellingen geëigend is in het kader van de discussie over medische gegevensuitwisseling. Zij erkennen dat gegevensuitwisseling plaats zal vinden, dat dit veilig en uiterst precies moet plaats vinden, maar ziet de regering ook de vrees dat via een beroep op deze wet gedwongen in gebruik name van het LSP op de loer ligt? Hoe reageren zij op deze vrees?

Deze leden zouden graag een overzicht krijgen van het toezicht van IGZ en CBP op medische gegevensuitwisseling van de afgelopen jaren. Welke veiligheidsproblemen zijn gesignaleerd, hoe vaak is privacy schending geconstateerd en wat is daarop het gevolg geweest in de zin van opsporing, aangifte en veroordeling, dan wel boetes of bestuurlijke dwang.

De leden van de SP-fractie vinden de boete voor de zorgverzekeraar op zijn plaats. Zij vragen de regering een overzicht te geven van welke zorgverzekeraars onder de 10 procent van hun omzet zitten als zij een boete van een 500.000 euro krijgen. Verder verwijzen zij naar eerder gemaakte opmerkingen van het gesignaleerde risico dat de schuldvraag wordt afgewenteld op individuele werknemers.

Een deel van de handhavingsbepalingen staan in de Wcz. De Wcz is echter nog niet in werking getreden. De leden van de CDA-fractie vragen of met inwerkingtreding van dit wetsvoorstel ook de onderliggende handhavingsbepalingen van de Wcz in werking treden.

De regering geeft aan dat de IGZ voldoende instrumenten in handen heeft om toezicht te houden dat de cliëntenrechten bij elektronische gegevensuitwisseling en het geven van elektronische inzage en afschriften worden nageleefd. Betekent dit wetsvoorstel een taakverzwaring voor de IGZ? In hoeverre houdt de IGZ ook toezicht op de veiligheid van het systeem (bescherming)?

.Als aanvulling op alle reeds genoemde manieren om misbruik van elektronische uitwisselingssystemen te bestrijden was in het oude wetsvoorstel EPD een bepaling opgenomen die het mogelijk maakte voor de strafrechter om beroepsbeoefenaren bij schending van artikel 138ab of 272 van het Wetboek van Strafrecht (respectievelijk computervredebreuk en geheimhoudingsplicht), van het recht te ontzetten om het beroep uit te oefenen waarin hij deze feiten heeft begaan. Het valt de leden van de CDA-fractie op, dat de regering deze bepaling in het huidige wetsvoorstel niet heeft overgenomen. Waarom heeft de regering dit achterwege gelaten?

De regering stelt de maximale boete op 500.000 euro of, als dit hoger is, op 10 procent van de omzet van de betrokken verzekeraar. Deze leden vragen aan wie de boete toevalt en of het mogelijk is om de boete terug te laten vloeien in het Zorgverzekeringsfonds. Op deze wijze is de premiebetaler niet direct de dupe.

Ook is geregeld dat een bestuurlijke boete, zodra deze onherroepelijk is geworden, openbaar wordt gemaakt. Deze openbaarmakingen, naming and shaming, kunnen grote consequenties hebben voor de zorgverzekeraar die het betreft. Welke mogelijkheden tot sanctie zijn er als een zorgverzekeraar verschillende malen beboet is voor het schenden van privacy van zijn verzekerden? Een soort three strikes and you’re out-principe

De leden van de D66-fractie merken op dat volgens de huidige wetgeving de IGZ, de Nederlandse Zorgautoriteit (NZa) en het CBP onderling afspraken moeten maken over de uitoefening van hun toezichthoudende taken. Deze leden willen nogmaals benadrukken dat zij dit belangrijk achten en vragen de regering of er al gesprekken gaande zijn tussen de genoemde toezichthouders over de wijze waarop de voorgenomen nieuwe regelgeving gehandhaafd zal worden.

6. Bedrijfseffectentoets, nalevingskosten en administratie lasten

De leden van de CDA-fractie zijn nog niet helemaal overtuigd, dat dit wetsvoorstel slechts geringe administratieve lasten met zich brengt. Heeft de regering advies aan ACTAL gevraagd en welke advies heeft ACTAL gegeven? Indien de regering dit niet heeft gedaan, verzoeken deze leden de regering het wetsvoorstel en de onderliggende amvb ter toetsing aan ACTAL voor te leggen.

De leden van de D66-fractie stellen vast dat de keuze om elektronische informatie uit te wisselen bij de zorgaanbieder ligt. Zij worden daartoe niet verplicht. Deze leden wijzen er echter op dat het wetsvoorstel wel voorziet in een verplichting om gegevens elektronisch beschikbaar te stellen aan de cliënt. Hieruit volgt logischerwijs dat zorgaanbieders in staat moeten zijn hun dossier op elektronische wijze bij te houden. Kan de regering aangeven hoeveel procent van alle zorgaanbieders inmiddels gebruik maken van elektronische dossiers? Voorts vragen deze leden of met het laten meekijken op het beeldscherm van de zorgaanbieder is voldaan aan de plicht tot het verlenen van elektronische inzage.

7. Functionele, technische en organisatorische eisen

De leden van de PvdA-fractie wijzen op de opmerking van de Raad van State dat uniformering van de eisen die aan informatiesystemen worden gesteld van groot belang is, opdat een adequate uitwisseling van patiëntgegevens via een elektronisch uitwisselingssysteem op verantwoorde wijze kan plaatsvinden. De regering onderschrijft het belang van uniforme eisen. Maar zij geeft ook aan dat aangezien het landelijk EPD als voorgesteld in het wetsvoorstel EPD geen doorgang heeft gevonden, er geen uniform systeem bij wet zal worden voorgeschreven. Deze leden horen graag van de regering of dit ook betekent dat het mogelijk is dat zorgverleners straks geen gegevens kunnen uitwisselen, omdat hun systemen niet op elkaar aansluiten. Zo ja, acht de regering dit een wenselijke situatie, en ziet zij mogelijkheden om hier iets tegen te doen? Is het mogelijk om eisen te stellen aan de verschillende systemen om uitwisseling mogelijk te maken dan wel te houden?

Voor deze leden is de kernvraag hierbij: wie neemt de regie? Als dat niet de regering (minister) zelf is, wie dan wel? Wie is er verantwoordelijk dat systemen op elkaar kunnen aansluiten? Wie is er verantwoordelijk voor fouten in het dossier dan wel in de uitwisseling?

Door ontwikkelingen als concentratie van zorg en differentiatie van ziekenhuizen, worden patiënten steeds vaker doorverwezen. Daarbij worden onderzoeken vaak herhaald, omdat gegevens niet, niet juist of niet tijdig worden doorgestuurd. Dit leidt vaak niet alleen tot een onnodige belasting van de patiënt, maar ook tot onnodige kosten. Deelt de regering de mening dat dit zoveel mogelijk moet worden beperkt? Hoe beoordeelt de regering de huidige situatie waarin de VZVZ/LSP constructie gegevens uitwisselt tussen huisartsen, huisartsenposten en apothekers, maar waarin de UMC’s niet gekend zijn?

De leden van de PVV-fractie vragen waarom de regering bij amvb technische eisen aan het veld wil opleggen? Aan welke eisen moeten deze leden denken?

8. Aansprakelijkheid

De leden van de PvdA-fractie hebben nog een aantal vragen over de ICT-leveranciers die bij elektronische gegevensuitwisseling in de zorg betrokken zijn. Privacy van de patiënt is voor een groot deel afhankelijk van de veiligheid van ICT-systemen. Een systeem dat vandaag veilig wordt geacht, kan morgen al weer minder veilig zijn. Het is daarom noodzakelijk dat systemen goed worden bijgehouden en aangepast aan de laatste technische veiligheids-ontwikkelingen.

Zijn er specifieke eisen waaraan ICT-bedrijven die betrokken zijn bij elektronische gegevensuitwisseling in de zorg aan moeten voldoen? Waarom is geen certificering voor dergelijke ICT-bedrijven? Worden er eisen gesteld aan contracten tussen zorgverleners en ICT-bedrijven, zoals over de beveiliging en eigendom van gegevens, bijvoorbeeld ook na een faillissement? Zo nee, waarom niet?

Het is de leden van de PVV-fractie niet duidelijk wie aansprakelijk is voor het schenden van de privacy wanneer er door hackers medische gegevens op straat komen te liggen? Als de hackers niet getraceerd kunnen worden waar ligt dan de aansprakelijkheid? Waar kunnen klachten worden ingediend? Waar kan de schade worden verhaald? Kan de regering hier uitgebreid op ingaan.

De leden van de SP-fractie maken zich grote zorgen over de kennis van ICT-toepassingen in de zorg, bij zorgaanbieders en bij zorginstellingen. Zij signaleren dat er vaak verkeerde opdrachten worden verstrekt, waardoor systemen niet functioneel genoeg zijn. Noodzakelijke aanpassingen kosten vaak handen vol geld omdat de ICT-leveranciers in lucratieve contracten goed geregeld hebben dat bij aanpassingen van het systeem de «teller gaat lopen». Herkent de regering dit? Deelt zij de zorg dat mensen en instellingen die zorg verlenen een (totaal) andere taal spreken dan ICT-deskundigen. Is de regering bereid om te kijken hoe zij het zorgveld beter kan toerusten om de onderhandelingen en het aangaan van contracten met ICT-leveranciers te verbeteren? Is zij bereid om voor de zorg de regel in te stellen dat er altijd gebruik gemaakt moet worden van zogenaamde «open source» toepassingen? Hiermee kan een zorgaanbieder en/of zorginstelling ook een derde een aanpassing in het systeem laten maken, zonder dat zij vast zit aan een duur contract van de leverancier.

De leden van de SP-fractie vragen de regering of zij van mening is dat het zorgveld voldoende in staat is oom «goed opdrachtgever schap» uit te voeren bij een opdracht voor een ICT-systeem. Weet men voldoende over «back-end» databases en goede versleuteling van gegevens? Zou het niet goed zijn om met PKI identificatie te gaan werken, waardoor ook patiënten gemakkelijker toegang kan worden gegeven tot hun medische gegevens?

De leden van de CDA-fractie constateren dat de zorgaanbieder die de informatie beschikbaar stelt, er verantwoordelijk voor is dat die informatie juist, volledig en actueel is. Dit laatste brengt een verantwoordelijkheid voor de zorgaanbieder mee, die verder reikt dan het zorgvuldig bijhouden van het eigen medisch dossier. De regering doet hierbij de suggestie om misverstanden over beschikbaar gestelde informatie te voorkomen, dat in ieder geval uniforme medische terminologie zoals Systematized Nomenclature of Medicine – Clinical Terms (SNOMED) dient te worden gebruikt. De leden van de CDA-fractie vragen de regering hoe het gebruik van SNOMED door alle zorgaanbieders geregeld gaat worden.

Een fout aan de zijde van de Sectorale berichtenvoorziening in de zorg (SVB-Z) zou slechts kunnen bestaan uit het doorgeven van verkeerde gegevens na een zoekvraag van de zorgaanbieder door een fout in de database of software. De regering geeft aan dat vanwege de vereiste alertheid van de zorgaanbieder de kans dat eventuele schade op de SVB-Z verhaald kan worden gering is. Deze leden vragen hoe het op dit punt met de voor civielrechtelijke aansprakelijkheid benodigde relativiteit zit. Als SVB-Z verkeerde gegevens aanlevert, dan is er toch sprake van relativiteit met betrekking tot het ontstaan van gezondheidsschade en dientengevolge aansprakelijkheid? Waarom schat de regering deze kans toch als gering in?

De regering is uitgebreid ingegaan op de diverse vormen van aansprakelijkheid voor onder meer verzekeraars, zorgaanbieders, ICT-leveranciers etc. De regering gaat echter niet in op situaties wanneer cliënt zelf aansprakelijkheid draagt. Betekent dit dat een cliënt nooit en te nimmer aansprakelijkheid zal dragen? Wat gebeurt er als verzekeringsartsen, medische adviseurs en bedrijfsartsen zich oneigenlijk toegang verschaffen tot de medische gegevens van de cliënt?

II. ARTIKELSGEWIJS

Artikel I, onderdeel A (artikel 1) en artikel II, onderdeel A

De leden van de CDA-fractie begrijpen dat de definitie «elektronisch uitwisselingssysteem» dus niet het dossier is, waar de gegevens in zijn opgenomen, maar de logistiek/het transport van deze gegevens. Uit de definitie blijkt dat ook de uitwisseling van gegevens via e-mail eronder zou kunnen vallen. In de memorie van toelichting staat echter dat dit expliciet niet de bedoeling is, omdat een gewoon e-mailsysteem in algemene zin niet zal voldoen aan de te stellen veiligheidscriteria. Deze leden vragen of het niet duidelijker is om in het wetsartikel op te nemen, dat gewoon e-mailverkeer niet onder de definitie valt. Daarmee kan onduidelijkheid worden voorkomen. Waarom is niet voor deze mogelijkheid gekozen?

Artikel I, onderdeel B

Dit artikel zorgt ervoor dat artikel 4 van de Wcz ook van toepassing is bij het uitoefenen van cliëntenrechten bij het beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem. De wettelijke vertegenwoordiger voor minderjarigen geeft toestemming voor de verwerking van persoonsgegevens betreffende die minderjarige. De leden van de CDA-fractie zouden graag nog een toelichting willen zien hoe de toepassing van dit artikel gaat als de minderjarige gescheiden of in onmin levende ouders heeft.

Artikel 23a Wcz

De leden van de CDA-fractie lezen in de memorie van toelichting dat in het tweede lid wordt geregeld dat een cliënt er jegens de zorgaanbieder recht op heeft dat het beschikbaar stellen van gegevens aan een andere zorgaanbieder of een categorie van zorgaanbieders via een elektronisch uitwisselingssysteem, op verzoek van de cliënt wordt uitgesloten of een uitsluiting weer wordt opgeheven. Klopt de conclusie dat cliënten zelf moeten aangeven welke groepen van zorgverleners worden uitgesloten? Wie zijn dan die groepen van zorgverleners? Met naam en toenaam? Per discipline? Per afdeling of organisatie?

De regering spreekt van een opt-in procedure, maar is hier niet feitelijk sprake van een opt-out zo vragen de leden van de CDA-fractie. Het lijkt erop dat in feite een opt-out systematiek gestapeld wordt op een generieke opt-in. Terwijl onder de Wbp en de WGBO geldt dat er uitdrukkelijke toestemming voor een specifiek doel moet zijn.

Artikel 23b Wcz en artikel 15c Wbsn-z

De leden van de SP-fractie vernemen graag hoe de regering toeziet op het actief informeren van cliënt/patiënt/burger door de zorgaanbieder.

Artikel 23d Wcz en artikel 15e Wbsn-z

De leden van de CDA-fractie willen graag een bevestiging of zij het goed begrepen hebben dat elke zorgaanbieder alle loggegevens ook van andere zorgaanbieders ter beschikbaar mag maken.

Artikel 23e Wcz en artikel 15h Wbsn-z

De leden van de CDA-fractie vragen wanneer wordt een cliënt in algemene zin op de hoogte gebracht van het feit, dat een zorgaanbieder, verzekeraar of derde zich wederrechtelijk toegang heeft verschaft tot een elektronisch uitwisselingssysteem of een dossier. Wie hoort deze melding aan de cliënt te doen?

Artikel I, onderdeel F, artikel II onderdeel B, artikel III en artikel IV

De leden van de SP-fractie reageren met instemming op het uitsluiten zorgverzekeraars, bedrijfsartsen, verzekeringsartsen en keuringsartsen van toegang tot medische gegevens. Hoe ziet de regering de handhaving hiervan? Gelden voor bedrijfsartsen, verzekeringsartsen en keuringsartsen net zulke hoge boetes als voor zorgverzekeraars? Ook vragen deze leden de regering om een reactie op de zorg van één van de deelnemers van het eerder genoemde rondetafelgesprek dat mensen steeds vaker hun medische gegevens op schrift moeten overhandigen aan hypotheekverstrekkers, verzekeraars enzovoorts. Wat vindt de regering hiervan? Ligt de roep tot aansluiting op de medische gegevensuitwisseling van bovengenoemde artsen niet op de loer?

Artikel II, onderdeel D

De leden van de SP-fractie vragen hoe de inzage in medische gegevens is geregeld voor nabestaanden. Zij vragen de regering hier een toelichting op te geven.

Artikel III en IV

De leden van de SP-fractie vinden de boete voor zorgverzekeraars, en sancties voor zorgaanbieders en/of zorginstellingen die in overtreding zijn van privacy regels met betrekking tot medische gegevensuitwisseling redelijk geregeld. Zij hebben wel grote zorgen over het handhaven van deze regels en het toekennen van boetes. Zij zien dat het sanctiebeleid belegd is bij de zorgautoriteit en vragen of dit de juiste instantie is. Zij vragen dit vanwege de handelwijze van de NZa in het verleden, waarbij zij de gevestigde belangen van zorginstellingen en zorgverzekeraars sterker verdedigt dan opkomt voor een zorgaanbieder of patiënt die in de knel zit door deze zorginstellingen en/of zorgverzekeraars. Hoe vaak legde de NZa een boete op sinds haar bestaan? Hoe vaak heeft zij een individu geholpen, of deed zij klachten en meldingen af als »individuele problemen en casuïstiek»? Welke garanties heeft de regering dat deze zorgautoriteit nu wel de gevestigde belangen zal aanpakken bij het schenden van privacy?

De voorzitter van de commissie, Neppérus

Adjunct-griffier van de commissie, Sjerp