Gepubliceerd: 19 november 2013
Indiener(s): Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD)
Onderwerpen: organisatie en beleid zorg en gezondheid
Bron: https://zoek.officielebekendmakingen.nl/kst-33509-7.html
ID: 33509-7

Nr. 7 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 20 november 2013

Met belangstelling heb ik kennis genomen van het verslag van de vaste commissie voor Volksgezondheid, Welzijn en Sport met betrekking tot het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens. Ik dank de leden van de verschillende fracties voor hun inbreng. De gestelde vragen geven mij de gelegenheid de inhoud van dit wetsvoorstel te verduidelijken.

Bij het beantwoorden van de vragen, houd ik zo veel mogelijk de volgorde van het verslag aan.

Tegelijk met deze nota naar aanleiding van het verslag breng ik een nota van wijziging uit (Kamerstuk 33 509, nr. 8). In deze nota van wijziging wordt in de eerste plaats het artikel waarmee de Wet cliëntenrechten zorg (Wcz) wordt gewijzigd, uit het wetsvoorstel gehaald omdat het voorstel voor de Wcz immers is komen te vervallen. Naar aanleiding daarvan wordt in deze nota naar aanleiding van het verslag in geval naar artikelen van het wetsvoorstel wordt verwezen, alleen gerefereerd aan de artikelen waarmee de Wet gebruik burgerservicenummer in de zorg (Wbsn-z) wordt gewijzigd. Daarnaast wordt in de nota van wijziging het wetsvoorstel naar aanleiding van vragen in het verslag en vragen vanuit het veld, op een aantal punten aangepast.

I Algemeen

Inleiding

De leden van de VVD-fractie vragen zich af of – als zorgverleners verplicht worden om elektronische inzage in patiëntendossiers te faciliteren – het verboden is om alleen met papieren dossiers te werken. De leden van de fractie van D66 stellen dat uit een verplichting om gegevens elektronisch beschikbaar te stellen aan de cliënt volgt dat zorgaanbieders in staat moeten zijn hun dossier op elektronische wijze bij te houden. Zij vragen zich af of met het laten meekijken op het beeldscherm van de zorgaanbieder is voldaan aan de plicht tot het verlenen van elektronische inzage.

Het recht op inzage in het dossier van de brondossierhouder is op dit moment al geregeld in de Wet geneeskundige behandelingsovereenkomst (WGBO).

Uit de nota naar aanleiding van het verslag en de nota van wijziging bij de Wcz (kamerstukken II, 2010/2011, 32 402, nr. 6, p. 3 en nr. 7, p. 30) is duidelijk geworden dat met name door de leden van de fracties van de D66 en VVD wordt gehecht aan een zo veel mogelijk ongewijzigd voortbestaan van de WGBO. De rechten uit de WGBO – zoals het inzagerecht – blijven gelden, en de bepalingen in dit wetsvoorstel vormen een aanvulling daarop voor wat betreft de cliëntenrechten bij elektronische verwerking van gegevens. Het wetsvoorstel legt geen verplichting op tot het bijhouden van elektronische patiëntendossiers. Strikt genomen is het niet verplicht om met elektronische dossiers te werken, maar in het kader van het leveren van verantwoorde zorg is het de vraag of in de huidige zorgpraktijk enkel papieren dossiers nog kunnen voldoen. Het voorgestelde artikel 15d, eerste lid, Wbns-z, betreft een uitwerking van motie nr. 70 van het lid Omtzigt. Op grond van dit artikel kan een cliënt zijn zorgaanbieder ook verzoeken van een papieren dossier een elektronisch afschrift te verschaffen. Dit gaat verder dan wat de genoemde motie vraagt, maar het scannen van een dossier en als pdf beschikbaar stellen, hoeft tegenwoordig naar mijn mening geen enkele extra moeite te betekenen ten opzichte van het verstrekken van een papieren kopie.

Het wetsvoorstel schrijft niet voor op welke wijze de zorgaanbieder aan de verplichting van elektronische inzage moet voldoen. Met het laten meekijken op het beeldscherm van de zorgaanbieder – zoals de D66-fractie vraagt – zou dus ook aan die verplichting kunnen worden voldaan.

Verder vragen de leden van de VVD-fractie of er een door het College bescherming persoonsgegevens (CBP) goedgekeurde standaard is waaraan databases van zorgverleners, los van uitwisselingssystemen moeten voldoen.

Het CBP heeft geen standaard goedgekeurd waaraan databases van zorgverleners moeten voldoen. Op grond van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) moet de zorgaanbieder passende technische en organisatorische maatregelen nemen om persoonsgegevens, bijvoorbeeld in databases, te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De NEN 7510 van het Nederlands Normalisatie-instituut, waarin de Code voor Informatiebeveiliging voor de zorgsector nader is uitgewerkt, wordt door het CBP als een gezaghebbende sectorale uitwerking van artikel 13 Wbp beschouwd. De NEN 7510 geldt ook voor databases van zorgverleners. In de algemene maatregel van bestuur (AMvB) op grond van artikel 26 Wbp waarmee uitwerking wordt gegeven aan specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling zal dwingend worden verwezen naar de NEN 7510.

De leden van de VVD-fractie vragen binnen welke termijn (na consult) zorgverleners hun dossiers op orde moeten hebben. Ook vragen zij zich af hoe gewaarborgd is dat de in de dossiers aanwezige gegevens juist en recent zijn.

Er is geen wettelijk verplichte termijn vastgesteld waarbinnen een zorgverlener het dossier op orde moeten hebben na consult van een patiënt. Om verantwoorde zorg te kunnen leveren die aan de wettelijke vereisten voldoet, moeten zorgaanbieders ervoor zorgen dat de dossiers zoveel mogelijk up-to-date zijn. Met de huidige elektronische systemen zullen sommige zorgverleners veel gegevens al tijdens het consult invoeren. Uit artikel 11, tweede lid, Wbp vloeit voort dat de gegevens – gelet op de doeleinden waarvoor zij worden verzameld – juist en nauwkeurig moeten zijn. Dit verplicht zorgverleners voldoende om binnen korte termijn na een consult het dossier bijgewerkt te hebben.

In antwoord op de vraag van de VVD-fractie of er in de meerjarenbegroting van het Ministerie van VWS gelden zijn gealloceerd voor de exploitatie van het Landelijk Schakelpunt (LSP) kan ik u melden dat dat niet het geval is.

Meerdere fracties stellen vragen over de gedragscode Elektronische Gegevensuitwisseling in de Zorg (gedragscode EGiZ). Zo willen de leden van de fracties van de VVD en van het CDA weten of, en zo ja welke, onderdelen van de gedragscode EGiZ zijn geïmplementeerd in het wetsvoorstel. De leden van de PvdA-fractie vragen zich af waarom aan de conceptgedragscode EGiZ geen aandacht is besteed in de memorie van toelichting of het nader rapport. Zij vragen mij wat ik van de gedragscode vind, wat de overeenkomsten en verschillen zijn tussen wetsvoorstel en gedragscode en op welke gronden voor het wetsvoorstel andere keuzes zijn gemaakt dan in de gedragscode EGiZ. Ook de leden van de SP-fractie vragen om een vergelijking tussen de gedragscode en het wetsvoorstel. Daarnaast willen zij weten of de regering bereid is het wetsvoorstel aan te passen of zelfs in te trekken als blijkt dat de gedragscode op onderdelen beter is. Tenslotte vragen ook de leden van de D66-fractie waarom geen aandacht aan de EGiZ gedragscode is besteed.

Er zijn geen onderdelen van de gedragscode EGiZ in het wetsvoorstel of de toelichting daarop opgenomen. Dit heeft twee redenen. Enerzijds vormt een gedragscode een concrete uitwerking van de toepasselijke relevante wettelijke normen en niet andersom. Anderzijds was bij het opstellen van het wetsvoorstel van een definitieve gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) nog geen sprake.

In de afgelopen periode is overleg gevoerd tussen VWS en de stellers van de gedragscode om waar mogelijk tot een goede afstemming te kunnen komen. In de nota van wijziging zijn naar aanleiding hiervan enkele wijzigingen opgenomen. De gedragscode is inmiddels (18 juli) gepubliceerd. De stellers van de gedragscode hebben ervoor gekozen de gedragscode EGiZ niet ter toetsing voor te leggen aan het CBP.

Van de suggestie van de SP-fractie het wetsvoorstel in te trekken omdat er een gedragscode is, kan geen sprake zijn. Met de motie Tan (Kamerstukken I 2010/11, 31 466, Y) is mij gevraagd om binnen de wettelijke kaders van de Wbp, de Wet BIG en de WGBO te komen tot een nadere wettelijke regeling van normen en standaarden uit zowel digitale dossiervorming en -ontsluiting, als de overdracht van gegevens, eisen met betrekking tot de veiligheid, toezicht, handhaving en sancties en inzage door de patiënt, het verstrekken van een afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt. Met indiening van het voorliggende wetsvoorstel kom ik aan voornoemde motie tegemoet.

Verder vragen de leden van de VVD-fractie hoe het burgerservicenummer gebruikt wordt in een medisch dossier.

Voor het gebruik van het burgerservicenummer (BSN) door zorgaanbieders, zorgverzekeraars en indicatieorganen, geldt het bepaalde in de Wet gebruik burgerservicenummer in de zorg (Wbsn-z). Op grond van artikel 4 van de Wbsn-z is de zorgaanbieder verplicht het BSN van de cliënt te gebruiken met het doel te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben. Deze verwerking van persoonsgegevens dient op grond van artikel 2 van de Regeling bsn-z te voldoen aan de veiligheidseisen van NEN 7510. Andere dan de in de Wbns-z genoemde partijen die betrokken zijn bij verwerking van persoonsgegevens in de zorg zoals bijvoorbeeld de beheerder van een elektronisch uitwisselingsysteem, mogen het BSN-nummer alleen verwerken indien zij daartoe op grond van artikel 2 van de Wbsn-z bij algemene maatregel van bestuur zijn aangewezen. Voor een op dergelijke wijze aangewezen partij, zijn alle op grond van de Wbsn-z geldende eisen van toepassing.

Biedt de wet de onmogelijkheid dat patiëntendossiers internationaal gelinkt kunnen worden, vragen de leden van de VVD-fractie.

Het wetsvoorstel bevat geen verbodsbepaling op grensoverschrijdende gegevensuitwisseling. De bepalingen in dit wetsvoorstel, tezamen met alle al toepasselijke wettelijke eisen die gelden bij de elektronische verwerking van medische persoonsgegevens en de organisatorische en technische eisen die bij algemene maatregel van bestuur gesteld zullen worden, leiden er toe dat de uitwisseling van deze gegevens met zoveel waarborgen is omkleed, dat van het zomaar internationaal «linken» van medische dossiers geen sprake kan zijn. Toch zijn er zeer wel situaties en omstandigheden denkbaar waarin het waardevol kan zijn als zorgaanbieders uit verschillende landen gegevens met elkaar kunnen uitwisselen. Als zorgaanbieders aansluiten op een elektronisch uitwisselingssysteem waarop ook buitenlandse zorgaanbieders zijn aangesloten, geldt daarbij allereerst de opt-in bepaling waarbij de cliënt kan aangeven dat hij helemaal niet wil dat zijn gegevens beschikbaar komen in dat systeem, of dat hij uitwisseling met buitenlandse zorgaanbieders wil uitsluiten. Daarnaast is de Wet bescherming persoonsgegevens van toepassing. Binnen EU-landen zal een gelijkwaardig niveau van gegevensbescherming gelden ingevolge de Europese privacyregelgeving (richtlijn 95/46/EG en de concept privacyverordening). Buiten de EU kan op grond van artikel 76 Wbp alleen gegevensverwerking plaatsvinden als daar een passend beschermingsniveau geldt, dat tenminste zal moeten voldoen aan de vereisten als vervat in NEN 7510 en de uitwerking daarvan in NEN 7512 en NEN 7513.

De leden van de VVD-fractie – en ook de leden van de SP-fractie hebben een vraag van gelijke strekking – vraagen of overwogen is om het (public key infrastructure) PKI overheidsbeleid te verbinden aan medische datacommunicatie.

Voor een veilig transport van medische gegevens worden op grond van de Wbsn-z beveiligingscertificaten uitgegeven door het UZI-register. Deze certificaten passen binnen de Public Key Infrastructure voor de overheid, kortweg PKI-overheid.

Een algemene maatregel van bestuur (AMvB) op grond van artikel 26 Wbp zal uitwerking geven aan specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling. De Wbp voorziet niet in een formele voorhangprocedure maar gezien het verzoek van meerdere Kamerfracties om van het concept van deze AMvB kennis te kunnen nemen zijn de concept-AMVB en het door het CBP uitgebrachte advies als bijlagen aan deze nota toegevoegd1.

Op verzoek van de leden van de PvdA-fractie licht ik nog eens toe wat de mogelijkheden zijn van de patiënt om te differentiëren in het geven van toestemming aan (veel of weinig) zorgverleners om (veel of weinig) gegevens te mogen inzien.

De rechten die patiënten hebben op basis van de huidige wet- en regelgeving (de Wbp en de WGBO) gelden ook voor elektronische gegevensuitwisseling. Zo heeft de patiënt ook zonder dat er sprake is van elektronische gegevensuitwisseling het recht zijn zorgverlener te vragen bepaalde gegevens te verwijderen of af te schermen voor inzage. Wat betreft het geven van toestemming voor het beschikbaar stellen van gegevens biedt het onderhavige wetsvoorstel de cliënt de mogelijkheid generieke, beperkte of geen toestemming te verlenen om zijn gegevens beschikbaar te stellen via een elektronisch uitwisselingssysteem. In geval van generieke toestemming, verleent de cliënt toestemming voor het elektronisch ter beschikking stellen van zijn gegevens aan zijn behandelend zorgaanbieder en alle andere zorgaanbieders die zijn aangesloten op het elektronisch uitwisselingssysteem waarmee deze cliënt nu of in de toekomst een behandelrelatie heeft. Als de cliënt geen toestemming geeft, is elektronische uitwisseling van zijn gegevens in zijn geheel niet mogelijk. Daar tussenin geeft het wetsvoorstel in artikel 15a, tweede lid Wbsn-z, de mogelijkheid om de toestemming te beperken door op voorhand bepaalde (categorieën van) zorgaanbieders van deze elektronische gegevensuitwisseling uit te sluiten. Gebruikte systemen zullen technisch in staat moeten zijn om dit recht van cliënten in de praktijk te kunnen realiseren. In de AMvB op grond van artikel 26 Wbp is opgenomen dat voor toegang tot en uitwisseling van patiëntengegevens een norm in ontwikkeling is. Het betreft NEN 7521. Deze norm dient te leiden tot uniforme en veilige gegevensuitwisseling tussen betrokken zorgverleners en zorginstellingen rond de behandeling van een patiënt. Zodra NEN 7521 gepubliceerd wordt, zal worden bezien of opname van deze norm in aanvulling op het besluit noodzakelijk is.

In overleg met het veld zal worden bepaald op welke termijn de technische realisatie mogelijk is. Indien nodig wordt de datum van inwerkingtreding van artikel 15a, tweede lid, Wbns-z hierop aangepast.

Wat betreft de verschillende uitgangssituaties tussen patiënten die veel of weinig gegevens hebben afgeschermd of veel of weinig zorgaanbieders van inzage hebben uitgesloten geldt dat een zorgaanbieder altijd een onderzoeksplicht heeft en nooit volledig mag vertrouwen op gegevens die al dan niet elektronisch zijn aangeleverd door andere zorgaanbieders. Dat geldt ongeacht de situatie waarin hij wel of niet is uitgesloten van inzage in een systeem voor elektronische gegevensuitwisseling en ook ongeacht het feit of er veel of weinig gegevens zijn afgeschermd.

De leden van de SP-fractie vragen om een volledige weergave van de invulling van de motie Tan c.s. nr. Y.

Zoals weergegeven in paragraaf 1.1 van de memorie van toelichting bij het wetsvoorstel strekt dit wetsvoorstel ondermeer tot uitwerking van de motie Tan c.s. nr. Y. In paragraaf 1.2 van de memorie van toelichting is toegelicht dat naar aanleiding van de motie Tan een juridische analyse is uitgevoerd (Kamerstukken II, 2010/2011, 27 529, nr. 82). De uitkomst daarvan was dat veel zaken al afdoende zijn geregeld in de bestaande wetgeving. Wat wel extra regeling behoeft, is opgenomen in dit wetsvoorstel en specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling in zijn algemeenheid, zullen worden geregeld in een algemene maatregel van bestuur op grond van artikel 26 Wbp. Deze AMvB zal daarmee uitwerking geven aan de eerste twee punten van de motie Tan c.s. (normen en standaarden, eisen met betrekking tot veiligheid) waarbij het toezicht, handhaving en sancties vallen binnen het kader van de Wbp. Het laatste punt van deze motie (inzage door de patiënt, het verstrekken van afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt) alsmede het toezicht op de naleving daarvan, krijgt inhoudelijk uitwerking in dit wetsvoorstel. In de juridische analyse is daarover geconcludeerd dat deze regels een plaats zouden krijgen in de Wcz. Nu de Wcz niet tot stand zal komen, zullen deze regels worden opgenomen in de Wbns-z, die op grond van artikel II, onderdeel D, van het wetsvoorstel een nieuwe citeertitel zal krijgen: de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

De leden van de SP-fractie vragen of hun indruk klopt dat de regering de afgelopen twee jaar verzaakt heeft de motie Tan c.s. (snel) ter hand te nemen om te wachten op een mogelijke doorstart van het LSP.

Het is spijtig dat die indruk bestaat, want deze zaken staan los van elkaar. Nadat de motie Tan c.s. nr. Y is aangenomen, is, na uitvoering van een juridische analyse, gestart met het opstellen van dit wetsvoorstel.

De leden van de SP-fractie vragen welke stappen er zijn gezet om het regionale digitale transport veiliger te maken? De specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling die worden geregeld in de genoemde AMvB gelden voor elektronische gegevensuitwisseling in zijn algemeenheid, dus ook voor de elektronische gegevensuitwisseling op regionaal niveau. De verantwoordelijke voor een regionaal systeem en zorgaanbieders die hierop zijn aangesloten, zullen ervoor zorg moeten dragen, dat het systeem en degenen die ermee werken, aan deze eisen zullen voldoen.

De leden van de SP-fractie willen weten welke stappen zijn gezet om het mogelijk te maken om de patiënt zeggenschap te geven over een eigen medisch dossier door middel van een elektronische zorgpas.

Het gebruik van een elektronische zorgpas is in 2011 onderzocht, de resultaten zijn in december 2011 naar beide Kamers gestuurd. Zoals ik u bij de aanbieding van het onderzoek meldde, is een belangrijke conclusie van het onderzoek dat opslag van medische gegevens op lokale gegevensdragers als een USB-stick of een zorgpas stand-alone geen afdoende toegang tot het medisch dossier biedt. Op dit moment vindt overleg plaats met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) over de invoering van eID (elektronische identiteit) en de mogelijkheden hiervoor binnen de zorgsector, alsmede voor de zorgconsument. De Minister van BZK is hiervoor primair het aanspreekpunt.

Anders dan de leden van de SP-fractie suggereren, wordt in de memorie van toelichting wel degelijk aandacht besteed aan de motie Tan c.s., nr. Y. De inleiding van de memorie van toelichting start met het citeren van deze motie. Vervolgens staat er dat in dit wetsvoorstel «ook de moties nr. 69, 70 en 78» zijn verwerkt. De motie Tan is de eerste aanleiding geweest voor dit wetsvoorstel. De motie Tan is daarmee ook de aanleiding geweest voor het uitvoeren van de juridische analyse als genoemd in paragraaf 1.2 van de memorie van toelichting. De juridische analyse ligt aan de basis van dit wetsvoorstel.

De leden van de SP-fractie vragen mij in te gaan op de vraag of de Eerste Kamer dit wetsvoorstel heeft gewild.

Met dit wetsvoorstel geef ik invulling aan de wensen en moties vanuit zowel de Eerste als Tweede Kamer. Het is aan de Kamer(s) te oordelen of het wetsvoorstel aan de wensen en verwachtingen voldoet.

De leden van de SP-fractie hebben de indruk dat het wetsvoorstel dat nu voorligt, voorsorteert op het opnieuw centraal, dan wel verplicht, stellen van het landelijk schakelpunt (LSP).

In tegenstelling tot het wetsvoorstel EPD dat in 2011 werd afgewezen door de Eerste Kamer, kent het huidige wetsvoorstel geen verplichting voor zorgaanbieders om aan te sluiten op een (bepaald) systeem voor elektronische gegevensuitwisseling. Het wetsvoorstel is een generiek wetsvoorstel. Het bevat randvoorwaarden voor het eventuele gebruik van een elektronisch uitwisselingssysteem. Iedere gegevensuitwisseling via elektronische uitwisselingssystemen, moet voldoen aan de vereisten van het wetsvoorstel. Dit geldt voor alle systemen, waaronder de zorginfrastructuur maar evenzeer voor andere al dan niet regionale elektronische systemen voor gegevensuitwisseling in de zorg. Ook de AmvB onder artikel 26 van de Wbp is van toepassing op alle systemen en niet alleen op het LSP. Wellicht zullen niet alle bestaande systemen in staat zijn aan de te stellen veiligheidseisen te voldoen. Het zijn echter wel de eisen die noodzakelijk zijn om de veiligheid en vertrouwelijkheid van gevoelige persoonsgegevens betreffende de gezondheid te kunnen waarborgen.

De leden van de SP-fractie vragen of het met dit wetsvoorstel mogelijk blijft regionale netwerken te gebruiken die werken met een één op één relatie tussen behandelaars en patiënt. Dat is inderdaad het geval. Dit wetsvoorstel verbiedt geen enkel systeem, maar gebruikte systemen zullen wel aan alle wettelijke (veiligheids)eisen moeten kunnen voldoen.

De leden van de SP-fractie willen graag een reactie op de opvatting van een van de deelnemers van een door de Kamer georganiseerd rondetafelgesprek op 6 maart 2013, dat de eenheid van taal belangrijker is dan het systeem en zijn suggestie om te gaan werken met een beperkte set aan kerngegevens (Continuity of Care Record, CCR). Ook de leden van de PvdA- en CDA-fractie vragen naar het gebruik en de bruikbaarheid van CCR. De leden van de PvdA-fractie vragen bovendien of de regering van mening is dat deze standaard door alle zorgverleners in Nederland gebruikt zou moeten worden. Met betrekking tot standaardisatie van taal tenslotte, is de wens van de leden van de CDA-fractie dat het gebruik van SNOMED door alle zorgaanbieders geregeld gaat worden.

Ik ben van mening dat eenheid van taal, als basis voor standaarden voor de uitwisseling van gegevens, van groot belang is. Ik stimuleer dit door Nictiz te faciliteren voor hun coördinerende rol bij het tot stand komen van standaarden. Deze rol vullen ze in door, waar mogelijk, verschillende initiatieven bij elkaar te brengen en aan te sturen op een breed gedragen keuze door de marktpartijen. Daarbij wordt aangesloten bij Europese en internationale ontwikkelingen op het gebied van standaarden. Voorbeelden daarvan zijn SNOMED en het gebruik van CCR.

SNOMED is internationaal stelsel van medische standaardtermen. De eigenaar van SNOMED is de International Health Terminology Standards Development Organisation (IHTSDO). Er zijn 22 landen lid van de IHTSDO. Nictiz zit namens VWS in het hoogste besluitvormingsorgaan van de IHTSDO, de General Assembly. Nictiz is verantwoordelijk voor het gebruik en het uitgeven van licenties voor de Nederlandse markt en heeft daartoe het SNOMED CT Release Center opgericht.

CCR is een kernset met de meest relevante gegevens van een patiënt, ongeacht waar de patiënt zich in het zorgproces bevindt. Het bevat een samenvatting van de gezondheidstoestand van de patiënt en ook de persoons- en verzekeringsgegevens. Deze samenvatting wordt vervolgens beschikbaar gesteld voor andere zorgaanbieders in de zorgketen. In Nederland wordt CCR gebruikt door het zorgportaal Rijnmond (Erasmus MC, Maasstad Ziekenhuis en het Sint Franciscus Gasthuis). Tevens hebben de acht UMC’s het initiatief genomen om samen te werken op het gebied van standaardisatie van uitwisseling van zorggegevens. Dit vanwege de behoefte aan een groeiende samenwerking en integratie in de zorg. Het eerste project heeft als doel een basis te leggen voor een standaard van zorggegevens die worden overgedragen binnen en tussen ziekenhuizen. Het betreft generieke, specialisme overstijgende delen daarvan.

De leden van de SP-fractie vragen aandacht voor het feit dat er verschillende opvattingen ten aanzien van elektronische gegevensuitwisseling zullen zijn bij mensen met bijvoorbeeld een chronische aandoening en mensen die nauwelijks naar de huisarts gaan.

De «opt-in» regeling voorziet erin dat cliënten hun eigen keuze kunnen maken. Bij die keuze zullen voor een chronisch zieke waarschijnlijk heel andere overwegingen meespelen dan bij iemand die gezond is. De reikwijdte van het desbetreffende systeem en welke set van gegevens daarmee beschikbaar wordt gesteld, kan ook een rol spelen bij die keuze. De zorgaanbieders hebben op grond van artikel 34, eerste lid, van de Wbp de plicht om duidelijke voorlichting te geven over het doel en de reikwijdte van het elektronisch uitwisselingssysteem en welke (set) gegevens daarin beschikbaar wordt gesteld. In aanvulling daarop wordt in artikel 15c van het wetsvoorstel geregeld dat cliënten ook worden voorgelicht over hun rechten bij elektronische gegevensuitwisseling. Dit helpt cliënten een afgewogen keuze te maken.

De leden van de SP-fractie vragen of goed begrepen is dat motie 78 bij het opstellen van dit wetsvoorstel breed is geïnterpreteerd en dat op grond van het wetsvoorstel toestemming moet worden gevraagd voor elektronische uitwisseling van gegevens via systemen die zijn aan te merken als «elektronisch uitwisselingssysteem».

Dat is inderdaad het geval. De cliënt kan daarbij op grond van het voorgestelde artikel 15a Wbsn-z aangeven of hij brede toestemming geeft voor alle uitwisseling via het desbetreffende elektronische uitwisselingssysteem of dat hij daarbij bepaalde zorgaanbieders of categorieën van zorgaanbieders wil uitsluiten van die gegevensuitwisseling. Het is van belang dat de zorgaanbieder die een cliënt om toestemming vraagt, op grond van het voorgestelde artikel 15c, eerste lid Wbsn-z, de cliënt informatie geeft over zijn rechten bij de elektronische gegevensuitwisseling waarvoor toestemming wordt gevraagd. Dit betekent dat de cliënt moet worden voorgelicht over het feit dat hij zijn toestemming altijd kan intrekken, de reikwijdte van zijn toestemming kan wijzigen (beschikbaar stellen aan meer of minder zorgaanbieders) en ook over het feit dat het geven van generieke toestemming betekent dat bij uitbreiding van het systeem naar meerdere zorgaanbieders, de toestemming automatisch ook geldt voor die nieuwe zorgaanbieders die worden aangesloten. Of en wanneer nieuwe toestemming aan een bepaalde cliënt moet worden gevraagd, zal dus afhangen van de vraag of een cliënt al dan niet generieke toestemming heeft gegeven. Daarnaast is het zo dat een zorgaanbieder zich in het kader van goede zorg altijd zal moeten afvragen of het nodig is cliënten opnieuw voor te lichten over het geven van toestemming en het eventueel beperken van die toestemming bij belangrijke wijzigingen of uitbreidingen van het elektronisch informatiesysteem. Cliënten kunnen dan opnieuw een bewuste keuze maken en een eerdere generieke toestemming beperken, of juist eerder gemaakte uitsluitingen opheffen.

Anders dan de leden van de SP-fractie suggereren, doet het niet ter zake of een zorgaanbieder met het LSP werkt of met een ander elektronisch uitwisselingssysteem. Bij de toestemmingsvraag zal de zorgaanbieder duidelijke voorlichting moeten geven over het systeem en aan welke zorgaanbieders met dat systeem gegevens beschikbaar kunnen worden gesteld. Het gaat erom dat voor de cliënt volstrekt helder is waarvoor hij toestemming geeft en hoever die toestemming reikt. De wijze waarop men voorlichting geeft en toestemming vraagt, lijkt mij overigens bij uitstek een onderwerp om uit te werken in een gedragscode. Daarbij zou ook – zoals de leden van de SP-fractie suggereren – uitwerking kunnen worden gegeven aan een werkwijze waarbij per behandeling aan de cliënt wordt gevraagd of en in hoeverre hij wil dat zijn gegevens worden uitgewisseld, maar ik kan me voorstellen dat dat vanuit administratief oogpunt geen voorkeur van zorgaanbieders heeft. Mogelijk kan dit ook als keuze aan cliënten worden gegeven als alternatief voor het geven van generieke toestemming. Het wetsvoorstel staat dat niet in de weg.

Waar de indruk van de leden van de SP-fractie vandaan komt dat het voor zorgverzekeraars makkelijk zal zijn inzage af te schuiven op een individuele medewerker is mij niet duidelijk. Een zorgverzekeraar is verantwoordelijk voor het gedrag van zijn medewerkers. Als een medewerker in strijd met artikel 15f Wbsn-z inzage heeft in gegevens van een cliënt, dan zullen aanwijzingen daarover, het openbaar maken van die overtreding en het opleggen van een bestuurlijke boete zich allemaal richten tot die zorgverzekeraar. De zorgautoriteit draagt de geïnde boete op grond van artikel 104 van de Wet marktordening gezondheidszorg af aan het Zorgverzekeringsfonds.

De leden van de SP-fractie vragen of de regering van mening is dat voorkomen moet worden dat de medische gegevensuitwisseling in de zorg afhankelijk wordt van één systeem.

Het is niet aan mij te bepalen of er sprake moet zijn van een of meerdere systemen voor elektronische gegevensuitwisseling is de zorg. Mijn verantwoordelijkheid richt zich op het creëren van randvoorwaarden waaronder veilige elektronische gegevensuitwisseling kan plaatsvinden Daarbij moet iedere gegevensuitwisseling die op elektronische wijze plaatsvindt, voldoen aan de vereisten van het wetsvoorstel. Dit geldt voor alle systemen.

Tot slot vragen de leden van de SP-fractie een totaal overzicht van kosten die samenhangen met het LSP/EPD. Zowel van de kosten gemaakt door de regering, als de kosten die zorgaanbieders en zorginstellingen hebben moeten maken om aangesloten te raken.

In 2011 heb ik u een overzicht van de kosten die zijn gemaakt over 10 jaar EPD gestuurd, als bijlage bij de antwoorden op Kamervragen van het lid Leijten (Kamerstukken 31 466, nr. 53). Deze bijlage voeg ik nogmaals toe aan deze nota naar aanleiding van het verslag2. De kosten voor de zorgaanbieders bleven beperkt. Zoals ook uit het bijgevoegde overzicht blijkt, konden zorgaanbieders die aansloten op de landelijke infrastructuur in aanmerking komen voor subsidie. Ook voor het aanvragen en het gebruik van de UZI-pas werden geen kosten in rekening gebracht bij zorgaanbieders.

Zoals u bekend heb ik in 2011, ter uitvoering van motie X van het lid Tan c.s. van de Eerste Kamer, behalve mijn beleidsinhoudelijke en organisatorische medewerking ook mijn financiële medewerking aan de ontwikkeling van het Landelijk Schakelpunt (LSP) beëindigd. De zorgsector heeft in 2012 de verantwoordelijkheid voor een doorstart van de zorginfrastructuur (LSP) op zich genomen. Afspraken over het gebruik en de financiering van de landelijke zorginfrastructuur voor de periode 2013 tot 2016 zijn vastgelegd in een convenant. Zorgverzekeraars Nederland hebben zich bereid verklaard om voor die periode te investeren in het LSP. Hierbij zijn ook afspraken gemaakt over een vergoeding van verzekeraars voor huisartsen en apothekers voor de aanschaf van UZI-middelen vanaf het moment dat hiervoor kosten in rekening worden gebracht (1 juli 2013). Ook ontvangen de zorgaanbieders die aansluiten op de zorginfrastructuur een vergoeding voor de kosten die zij maken voor het vragen van toestemming en de verwerking daarvan.

Verwijzend naar het rapport «Staat van de Gezondheidszorg 2011» waarin de Inspectie voor de Gezondheidszorg (IGZ) er op wijst dat de dossiervoering en de informatie-uitwisseling bij (en tussen) zorgaanbieders niet altijd goed geregeld zijn, vragen de leden van de CDA-fractie welke gevolgen de invoering van dit wetsvoorstel in de praktijk zal hebben, hoeveel systemen moeten worden aangepast en welke investeringen dit voor zorgaanbieders tot gevolg hebben.

Ik merk op dat ook zonder dit wetsvoorstel de zorgaanbieder – of hij zijn gegevens nu elektronisch uitwisselt of niet – altijd verantwoordelijk is voor de juistheid en actualiteit van de inhoudelijke medische gegevens. De constatering van de IGZ dat dossiervoering en informatie-uitwisseling niet altijd op orde is, moet dus voor zorgaanbieders – los van dit wetsvoorstel – aanleiding zijn om te investeren in betere en veiligere systemen. Helaas heeft ook het CBP recent in het rapport «Toegang tot digitale patiëntendossiers binnen zorginstellingen» nog geconstateerd dat de gegevensverwerking in de gezondheidszorg op dit aspect nog niet altijd voldoet aan de Wbp.

De leden van de CDA-fractie vragen de regering nader in te gaan op een opmerking van de Raad van State. De Raad van State geeft aan dat dit wetsvoorstel ertoe leidt dat private partijen weliswaar verantwoordelijk zijn voor de uitwisselingssystemen, maar dat dat niet wegneemt dat de Minister uiteindelijk aanspreekbaar blijft op de kwaliteit van de gegevensuitwisseling, met name in situaties waarin private partijen tekort (dreigen te) schieten. De leden van de CDA-fractie vragen of de regering dit standpunt van de Raad van State erkent en hoe ik die verantwoordelijkheid invul als het wetsvoorstel in werking is getreden.

Ik blijf als Minister verantwoordelijk voor het stelsel. Als blijkt dat het veld zich niet houdt aan de wettelijke voorschriften zal handhavend opgetreden moeten worden, in het kader van het bieden van verantwoorde zorg op grond van de Kwaliteitswet zorginstellingen en de Wet BIG. In de memorie van toelichting ben ik in paragraaf 1.6 uitgebreid ingegaan op de vraag hoe het toezicht en de handhaving van de bij dit wetsvoorstel gegeven regels vorm zal krijgen. Het toezicht wordt uitgeoefend door de Inspectie voor de gezondheidszorg (IGZ). De IGZ kan handhavend optreden middels het geven van aanwijzingen, bevelen, of het toepassen van bestuursdwang.

Meerdere fractie vragen naar het onderscheid tussen interne zorginformatiesystemen en systemen voor elektronische uitwisseling en de eisen die daaraan worden gesteld. Zo vragen de leden van de CDA-fractie welke waarborgen gelden bij elektronische gegevensuitwisseling binnen een zorginstelling dat één intern zorginformatiesysteem gebruikt, maar bijvoorbeeld wel over vele verschillende vestigingen verspreid is. De leden van de VVD-fractie vragen wat het onderscheid is tussen een intern systeem en een uitwisselingssysteem. Wordt bijvoorbeeld een systeem dat twee locaties van een zorginstelling samen hanteren gezien als een als intern zorginformatiesysteem of als uitwisselingssysteem en wordt toegang van een medewerker op locatie A in het dossier van een patiënt op locatie B gezien als uitwisseling van gegevens en in welke gevallen is deze toegang toegestaan? Ook vragen de leden van de VVD-fractie aan te geven welke eisen voor beide typen systemen worden gebruikt en welke eisen alleen voor de uitwisselingssystemen zullen gelden.

Met «intern systeem», ook wel zorginformatiesysteem genoemd, wordt gedoeld op een systeem dat binnen één zorgaanbieder wordt gebruikt voor het bijhouden van dossiers, terwijl het bij een elektronisch uitwisselingssysteem gaat om de uitwisseling van gegevens tussen twee of meer zorgaanbieders. Een systeem dat op twee of meer locaties van één zorgaanbieder wordt gehanteerd, is op grond van de in het wetsvoorstel opgenomen definitie geen elektronisch uitwisselingssysteem, maar een intern systeem. Dat betekent ook dat toegang van een werknemer op locatie A in het dossier van een cliënt die op locatie B is behandeld geen elektronische gegevensuitwisseling is als bedoeld in het voorliggende wetsvoorstel. Dat betekent niet dat deze werknemer op locatie A ook zomaar bevoegd is tot inzage van het dossier.

Of een medewerker bevoegd is tot inzage in een dossier, hangt af van de vraag of hij een behandelingsovereenkomst heeft met die patiënt of dat hij betrokken is bij de uitvoering van die behandelingsovereenkomst of optreedt als waarnemer, zoals geregeld in artikel 7:457 BW (WGBO). Uit de vragen in het verslag is gebleken dat op basis van de formulering van artikel 15b, eerste lid, Wbsn-z niet duidelijk is of het voldoende is om als zorgaanbieder één keer toestemming te vragen en daarna uit te kunnen gaan van veronderstelde toestemming, of dat voor elke raadpleging om toestemming moet worden gevraagd. Ook de verhouding met artikel 15b, tweede lid, lijkt onvoldoende helder omdat daarin is bepaald dat degene die betrokken is bij de zorgverlener of degene die optreedt als vervanger, geen toestemming hoeft te vragen. Bij nota van wijziging stel ik daarom een wijziging van artikel 15b Wbsn-z voor waarmee duidelijk wordt gemaakt dat een zorgverlener toestemming vraagt voor raadpleging binnen de behandelrelatie. De toestemming strekt zich dan uit tot degenen die bij de uitvoering van de behandelrelatie betrokken zijn. Onderscheid moet worden gemaakt tussen de voorwaarden voor elektronische gegevensuitwisseling zoals die worden gesteld in dit wetsvoorstel, en de veiligheidseisen zoals die gaan gelden op grond van de algemene maatregel van bestuur op grond van artikel 26 Wbp. De eisen die in de AMvB op grond van artikel 26 Wbp zullen worden gesteld, zullen breed gelden voor elektronische gegevensverwerking door zorgaanbieders, dus zowel voor interne zorginformatiesystemen als voor elektronische uitwisselingssystemen. Ook een intern zorginformatiesysteem moet immers aan de veiligheidseisen voldoen.

Verder willen de leden van de CDA-fractie graag uitleg hoe het staat met het verlenen van toestemming door een patiënt als er bijvoorbeeld van ketenzorg sprake is.

Voor ketenzorg geldt hetzelfde. Voor het stellen van de «opt-in»-vraag is bepalend of er sprake is van verschillende zorgaanbieders die onderling gebruik maken van een elektronisch uitwisselingssysteem. Als een patiënt toestemming geeft voor het beschikbaar stellen van gegevens via dat elektronisch uitwisselingssysteem, dan kan hij daarmee toestemming verlenen voor het elektronisch ter beschikking stellen van zijn gegevens aan zijn behandelend zorgaanbieder en alle andere zorgaanbieders die zijn aangesloten op het elektronisch uitwisselingssysteem waarmee deze cliënt nu of in de toekomst een behandelrelatie heeft.

Op verzoek van de leden van de CDA-fractie is het advies van het CBP over het wetsvoorstel van 4 april 2012 als bijlage aan deze nota naar aanleiding van het verslag toegevoegd3.

De leden van de CDA-fractie vragen waarom het advies van de Raad van State om in artikel 23b, tweede lid, niet alleen te verwijzen naar artikel 23a, eerste lid, maar ook naar artikel 24, eerste lid, Wet cliëntenrechten zorg (Wcz) niet is overgenomen. Gevraagd wordt waarom op dit punt de administratieve lasten zwaarder wegen dan de rechten van de cliënt.

Naar mijn mening zijn de rechten van cliënten voldoende gewaarborgd. Cliënten kunnen bij een «opt-in» al kiezen voor een beperkte opt-in door bepaalde zorgaanbieders van de gegevensuitwisseling uit te sluiten. Deze opt-in dient te worden geregistreerd. Een nieuwe zorgaanbieder kan op basis van die opt-in al nagaan of een cliënt hem heeft uitgesloten. Het elektronische uitwisselingssysteem geeft in dat geval geen toegang tot de gegevens van de cliënt. Indien hij niet is uitgesloten van inzage, is de verplichting om nogmaals te vragen aan de cliënt of hij inzage toestaat een herinnering voor de cliënt of hij zijn eerdere opt-in ook ik dit geval wil doen gelden. Een verplichte registratie van het antwoord van de cliënt op die vraag heeft weinig toegevoegd waarde. Een zorgverlener zal zich vanuit zijn professionaliteit bij toestemming van de cliënt toch moeten beperken tot inzage van gegevens die relevant zijn voor de behandeling. Bij weigering van de cliënt om zijn gegevens die beschikbaar zijn via een elektronisch uitwisselingssysteem te laten inzien, zou een zorgverlener uit het oogpunt van goede zorg in het dossier moeten registeren dat hij mogelijk voor de behandeling relevante gegevens niet heeft kunnen inzien. Mijn afweging is dus niet geweest dat administratieve lasten zwaarder wegen dan de rechten van cliënten, maar wel dat er een administratieve last zou worden gecreëerd die niet leidt tot een betere bescherming van cliënten.

De leden van de D66-fractie vragen waarom het voorliggende wetsvoorstel alleen betrekking heeft op uitwisseling van gegevens tussen zorgaanbieders en niet op een uitwisselingssysteem binnen een zorginstelling.

Zorginformatiesystemen die zorginstellingen intern gebruiken moeten zodanig functioneren dat wordt voldaan aan de geldende wet- en regelgeving (Wbp en WGBO). De cliëntenrechten bij deze interne digitale dossiervorming zijn met de huidige wetgeving voldoende gewaarborgd. Zoals eerder aangegeven op de vraag van de VVD-fractie waaraan databases van zorgverleners, los van uitwisselingssystemen moeten voldoen, heb ik aangegeven dat op grond van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) de zorgaanbieder passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Bij de toetsing van de beveiligingsmaatregelen aan artikel 13 Wbp vormt de NEN 7510:2011 het referentiekader. Als een zorgaanbieder in de NEN-norm aangegeven maatregelen heeft getroffen, wordt daarmee vastgesteld dat hij voldoet aan de genoemde wettelijke bepaling.

Het onderhavige wetsvoorstel richt zich in aanvulling op de geldende regels met betrekking tot de verwerking van persoonsgegevens betreffende de gezondheid, op de cliëntenrechten bij het gebruik van elektronische uitwisselingssystemen die in de huidige wetgeving nog onvoldoende gewaarborgd zijn door aanvullende randvoorwaarden te scheppen voor het eventuele gebruik van een elektronische uitwisselingssysteem door zorgaanbieders.

De leden van de D66-fractie vragen naar (een schets van) de AMvB waarmee uitwerking wordt gegeven aan specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling. Zoals ik in beantwoording van vragen van andere fracties al heb aangegeven, heb ik de concept AMvB en het door het CBP uitgebrachte advies als bijlagen aan deze nota toegevoegd.

Op de vraag of hack-testen verplicht zullen worden gesteld het volgende. Zoals eerder aangegeven wordt in de AmvB dwingend verwezen naar NEN 7510. Volgens deze norm moet een risicoanalyse worden opgesteld. Een onderdeel daarvan is het bepalen van relevante dreigingen. Onder deze dreigingen vallen opzettelijke menselijke incidenten, zoals diefstal van gegevens of kwaadaardige programmatuur. Om de risico’s te kunnen beoordelen moet duidelijk zijn wat de kwaliteit is van de bestaande beveiligingsmaatregelen. Om eventuele kwetsbaarheden te kunnen ontdekken ligt het voor de hand een hack-test of penetratietest uit te voeren.

Reactie koepels

De leden van de PvdA-fractie geven aan dat in de brief die de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) op 1 maart 2013 naar de Tweede Kamer stuurde, staat dat de veldpartijen niet geconsulteerd zouden zijn bij de totstandkoming van dit wetsvoorstel. Men vraagt zich af welke informatie is voorgelegd aan de veldpartijen en waarin die informatie verschilt van het wetsvoorstel. Daarbij vragen de leden van de SP-fractie zich af met welke gesprekspartners is overlegd over de gegevensuitwisseling in de zorg.

Met het wetsvoorstel dat voorligt is in de eerste plaats invulling gegeven aan de in de MvT genoemde moties van beide Kamers der Staten-Generaal. Voorafgaand aan de totstandkoming van dit wetsvoorstel is een juridische analyse uitgevoerd (kamerstukken II, 2010/2011, 27 529, nr. 82) die als basis heeft gediend voor dit wetsvoorstel. De koepels KNMG, KNMP, V&VN, LHV, NHG, VHN, KNGF en NMT zijn geconsulteerd over de juridische analyse en hebben daarop gezamenlijk gereageerd. Ook de patiëntenverenigingen (NPCF) hebben een reactie uitgebracht. In paragraaf 1.2 van de memorie van toelichting is aandacht besteed aan de reacties van de veldpartijen en hoe die zijn verwerkt in het wetsvoorstel. Dit wetsvoorstel geeft uitwerking aan de punten waarvan in de juridische analyse is geconcludeerd dat die nadere wettelijke regeling behoeven. Er is dan ook geen sprake van verschillen tussen de juridische analyse en dit wetsvoorstel, het wetsvoorstel betreft de uitwerking van verschillende moties op basis van de juridische analyse. Het wetsvoorstel is uiteraard ter advisering voorgelegd aan het College Bescherming Persoonsgegevens en de Raad van State.

Een reactie op de genoemde brief van de KNMG is aan het einde van deze nota naar aanleiding van het verslag toegevoegd.

Opzet en inhoud van het wetsvoorstel

De leden van de VVD-fractie hebben diverse vragen over het verlenen van toestemming voor gegevensuitwisseling, het maken van uitsluitingen, het geven van toestemming voor inzage en het behoud van regie door de patiënt. Ook de leden van de CDA-fractie vragen of de mogelijkheid zorgaanbieders uit te sluiten duidt op het principe dat een cliënt steeds generieke toestemming geeft en de D66-fractie wil weten of in één keer toestemming wordt gegeven voor alle categorieën van gegevens.

Het is op grond van het wetsvoorstel inderdaad mogelijk dat een cliënt generiek toestemming geeft voor gegevensuitwisseling, maar dat hoeft niet. Op grond van artikel 15c, tweede lid Wbsn-z dient de zorgaanbieder de verleende toestemming, weigering van toestemming en eventuele uitsluitingen bij die toestemming te registeren. De generieke toestemming verleend aan zorgaanbieder A houdt in, dat zorgaanbieder A alle gegevens betreffende deze cliënt beschikbaar mag stellen via het elektronisch uitwisselingssysteem. Zorgaanbieder B zal aan dezelfde cliënt de «opt-in» vraag moeten stellen voor het beschikbaar stellen van de gegevens uit het dossier van zorgaanbieder B, tenzij de toestemmingsregistratie beschikbaar is via het elektronisch uitwisselingssysteem en zorgaanbieder B kan vaststellen dat de cliënt reeds generieke toestemming heeft gegeven voor het desbetreffende elektronische uitwisselingssysteem. In dat geval kan zorgaanbieder B in het systeem zien dat de desbetreffende cliënt generieke toestemming heeft gegeven voor uitwisseling van zijn gegevens via dit elektronisch uitwisselingssysteem en hoeft hij niet nogmaals toestemming te vragen. Hierbij geldt echter zowel voor zorgaanbieder A als B dat zij moeten nagaan hoe lang geleden de generieke toestemming is gegeven en of nadien geen significante wijzigingen of uitbreidingen van het elektronisch uitwisselingssysteem hebben plaatsgevonden. Dit is bijvoorbeeld het geval als een bepaalde categorie van gegevens aan het elektronisch uitwisselingssysteem is toegevoegd. Bij een «verouderde» generieke toestemming is het raadzaam om bij de cliënt te verifiëren of de generieke toestemming van kracht mag blijven. Hoe zorgaanbieders hiermee binnen het wettelijk kader in de praktijk het beste om kunnen gaan, is bij uitstek een onderwerp dat kan worden uitgewerkt in een gedragscode. Uitgangspunt is dat wordt voldaan aan de Wbp die eisen stelt aan de toestemming.

Naast het geven van generieke toestemming hebben cliënten ook andere opties om toestemming te geven of juist te onthouden. Op grond van artikel 15a, tweede lid, Wbsn-z, kan de cliënt bepaalde zorgaanbieders of categorieën van zorgaanbieders uitsluiten. Bij een categorie van zorgaanbieders kan bijvoorbeeld worden gedacht aan het uitsluiten van een bepaald «type» zorgverleners, zoals tandartsen of psychologen. Zoals eerder in deze nota naar aanleiding van het verslag is aangegeven, zullen de gebruikte systemen technisch in staat moeten zijn om dit recht van cliënten in de praktijk te kunnen realiseren. In overleg met het veld zal worden bepaald op welke termijn de technische realisatie mogelijk is.

Naar aanleiding van de vragen over de zogenaamde «opt-in» regeling, heb ik bij nota van wijziging artikel 15a, tweede lid, zodanig aangepast dat nu volstrekt helder is dat cliënten zowel generieke als gespecificeerde toestemming kunnen geven voor het beschikbaar stellen van hun gegevens.

Bij het vragen van toestemming doet niet ter zake – zoals de leden van de D66-fractie vragen – of de «opt-in»-vraag mondeling of schriftelijk wordt gesteld. De zorgaanbieder zal steeds moeten registreren voor welke gegevensuitwisseling de cliënt toestemming heeft gegeven. Het is voorstelbaar dat een zorgaanbieder daarbij aan de cliënt vraagt voor de toestemming te tekenen.

Op het vragen van toestemming voor het raadplegen van gegevens geldt enerzijds de WGBO (art. 7:457 BW) als het raadplegen van het dossier betreft, en anderzijds dit wetsvoorstel (art. 15b Wbsn-z) als het raadplegen betreft van gegevens die beschikbaar zijn gesteld via het elektronisch uitwisselingssysteem. Op grond van artikel 15b, eerste lid Wbsn-z, zal voor het raadplegen van gegevens van een cliënt die door een andere zorgaanbieder beschikbaar zijn gesteld via een elektronisch uitwisselingssysteem, toestemming aan de cliënt moeten worden gevraagd. Uit de brief van de KNMG c.s. blijkt dat de redactie van artikel 15b, eerste lid Wbns-z, voor de praktijk de nodige vragen oproept. De verhouding met het gestelde in het tweede lid, blijkt ook niet voldoende helder. Naar aanleiding van de suggestie in voornoemde brief, om in het kader van het mogen raadplegen van gegevens die beschikbaar zijn via een elektronisch uitwisselingssysteem een koppeling te leggen met het al dan niet aanwezig zijn van een behandelrelatie met de cliënt, heb ik bij nota van wijziging artikel 15b, eerste en tweede lid Wbsn-z aangepast. In het verlengde daarvan wordt bij nota van wijziging ook een definitie van «behandelrelatie» opgenomen.

Zoals de leden van de VVD-fractie terecht opmerken kan de cliënt middels de logging inzicht krijgen of de inzage heeft plaatsgevonden door zorgverleners aan wie hij toestemming heeft verleend of die rechtstreeks bij de uitvoering van de zorgverlening betrokken zijn. Een zorgaanbieder mag alleen de gegevens van een cliënt ongevraagd raadplegen als er sprake is van een situatie waarin de zorgaanbieder direct moet handelen om ernstig nadeel te voorkomen, terwijl toestemming vragen op dat moment niet mogelijk is, zoals bedoeld in artikel 15b, derde lid, van het wetsvoorstel (mits de cliënt toestemming heeft gegeven voor het beschikbaar stellen van zijn gegevens).

Wanneer een cliënt niet langer wil dat een bepaalde zorgaanbieder inzage kan krijgen in de gegevens die beschikbaar worden gesteld, kan hij de gegeven toestemming intrekken of aanpassen. De leden van de CDA-fractie stellen hierbij de vraag of de mogelijkheid tot uitsluiten zoals opgenomen in artikel 15a, tweede lid, Wbsn-z betekent dat de cliënt in principe steeds generieke toestemming geeft en zelf moet aangeven dat hij bepaalde zorgverleners wil uitsluiten. Met artikel 15a is beoogd cliënten de mogelijkheid te bieden generieke of specifieke toestemming te geven. Uit de vraag van de leden van de CDA-fractie en andere vragen over vormen van toestemming, krijg ik de indruk dat artikel 15a enige verduidelijking behoeft. Bij nota van wijziging stel ik daarom voor om de mogelijkheden van generieke en specifieke toestemming expliciet te noemen, waarbij de term «uitsluiten» dan niet meer gebruikt wordt.

De leden van de VVD-fractie vragen welke mogelijkheden de cliënt heeft die door inzage in de logging merkt dat misbruik is gemaakt van de uitwisselingsmogelijkheden.

Op grond van de Wet BIG en de Kwaliteitswet zorginstellingen houdt de Inspectie Gezondheidszorg (IGZ) toezicht. Het College bescherming persoonsgegevens (CBP) heeft tot taak toe te zien op de verwerking van persoonsgegevens. Een cliënt die na inzage in de logging vermoedt dat er misbruik is gemaakt bij de uitwisseling van zijn gegevens kan hiervan zowel een melding doen bij de IGZ als bij het CBP. De IGZ en het CBP kunnen besluiten om al dan niet gezamenlijk een onderzoek in te stellen. Overigens zullen burgers vanaf de zomer 2014 terecht kunnen bij het klachtenmeldpunt voor begeleiding en ondersteuning wanneer ze een klacht hebben over de zorg (zie brief van de Minister van 3 juli, kenmerk 128847–106197-MC). In geval van schade als gevolg van mogelijk misbruik door de zorgaanbieder, kan de cliënt de zorgaanbieder daarvoor aansprakelijk stellen.

De leden van de PvdA-fractie stellen dat de patiënt de baas moet zijn over zijn dossier. De PVV-fractie vraagt waaruit blijkt dat de patiënt nu meer zeggenschap heeft over zijn medische gegevens.

Graag benadruk ik hier dat het dossier over de gezondheid van de patiënt gaat en dat het vanuit dat perspectief van belang is dat hij daar de nodige invloed op kan uitoefenen, maar dat we de semantische discussie moeten vermijden van wie het dossier is. De zorgaanbieder is op grond van de WGBO (art. 7:454 BW) verplicht een dossier bij te houden. Om hieraan te voldoen en om verantwoorde zorg te kunnen leveren, is de kwaliteit, de correctheid, de volledigheid en het up to date zijn van het dossier de verantwoordelijkheid van de zorgaanbieder. De cliënt heeft de regie over welke gegevens beschikbaar worden gesteld voor elektronische uitwisseling en welke zorgaanbieders – anders dan die rechtstreeks bij de zorgverlening betrokken zijn of de zorgaanbieder vervangen – toestemming krijgen gegevens in te zien. De cliënt heeft recht op (elektronische) inzage en afschrift van zijn dossier en kan de hulpverlener op grond van de WGBO vragen een verklaring aan het dossier toe te voegen of op grond van dit wetsvoorstel de apotheker verzoeken gegevens over zelfmedicatie in zijn dossier op te nemen. Op eventuele vernietiging van bescheiden in het dossier op verzoek van de patiënt, is artikel 7:455 BW van toepassing. Ten slotte is artikel 36 Wbp van toepassing, op grond waarvan de cliënt de zorgaanbieder kan verzoeken de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Ik ben van mening dat cliënten zo in ruime mate regie kunnen voeren over de hun betreffende gegevens, terwijl de zorgaanbieder eindverantwoordelijk blijft voor de inhoud van het dossier.

De leden van de fractie van de PvdA vragen of logging alleen in het LSP (de landelijke zorginfrastructuur) mogelijk is, of kan worden gegarandeerd dat ook in andere systemen de patiënt loggegevens kan inzien en wie verantwoordelijk is voor het accuraat bijhouden van loggegevens? Ook de leden van de SP-fractie benadrukken dat zij het belangrijk vinden dat ook in andere systemen dan het LSP, loggegevens bijgehouden kunnen worden.

Het bijhouden van loggegevens is – zoals de leden van de SP-fractie ook opmerken – al verplicht op grond van art. 35, tweede lid van de Wbp. In dit wetsvoorstel is daaraan in art. 15e Wbsn-z toegevoegd dat de cliënt die een afschrift vraagt van zijn gegevens daarin kan zien wie bepaalde informatie beschikbaar heeft gesteld en op welk moment, en wie bepaalde informatie heeft ingezien of opgevraagd op welk moment. Met systemen die niet in staat zijn de loggegevens bij te houden, kan dus niet worden voldaan aan de wettelijke plichten daarover. Het recht op inzage van loggegevens geldt dus niet alleen voor het LSP maar voor alle uitwisselingsprogramma’s in de zorg. Aanpassing van de wetgeving alsmede van dit wetsvoorstel is derhalve niet nodig.

De leden van de fracties van de PvdA en van het CDA vragen wat mijn opvatting is over het Schotse voorbeeld waarbij in een dossier altijd zichtbaar is door welke zorgverleners het dossier de laatste drie keer geopend is en of welke mogelijkheden voor dit instrument er in Nederland zijn. Ook vragen de leden van de PvdA- en de CDA-fractie mijn mening over respectievelijk het «Blue Button: download your data» programma en het overkoepelende programma «Meaningful use of IT in Healthcare» uit de Verenigde Staten. Voor alle genoemde programma’s is goede logging van patiëntgegevens essentieel. De leden van de CDA-fractie geven aan dat het CBP in 2010 stelde dat het onbegonnen werk is om al de loggegevens daadwerkelijk te controleren en vragen mij hoe ik daar tegenaan kijk.

In genoemde buitenlandse programma’s, die op zich interessant zijn maar waar ik gezien het feit dat ik geen beleidsmatige bemoeienis meer heb met de wijze waarop gegevens elektronisch beschikbaar worden gesteld geen inhoudelijk oordeel over heb, draait het om logging. Zoals eerder opgemerkt wordt in dit wetsvoorstel verplicht gesteld dat wordt bijgehouden wie bepaalde informatie heeft ingezien of opgevraagd en op welke datum. Een mogelijke optie is de logging van de laatste drie keer dat een dossier geopend is zichtbaar te maken zoals in het Schotse programma. Uitgangspunt is dat een elektronisch uitwisselingssysteem moet voldoen aan de bij AMvB te stellen technische en organisatorische eisen. Daarbij zal dwingend worden verwezen naar NEN-normen waaronder NEN 7513 die betrekking heeft op logging.

In de Richtsnoeren Beveiliging van persoonsgegevens die het CBP in februari 2013 heeft uitgebracht, staat ten aanzien van het controleren van loggegevens dat het CBP bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens onder meer het uitgangspunt hanteert dat logbestanden periodiek door de verantwoordelijke worden gecontroleerd op indicaties van onrechtmatige toegang of onrechtmatig gebruik van de persoonsgegevens en waar nodig actie wordt ondernomen.

De leden van de PvdA-fractie vragen of de regering bereid is (alsnog) onderzoek te doen naar het gebruik van een autorisatiepas waarmee cliënten zorgverleners inzage kunnen toestaan of weigeren. Het onderzoek naar de zorgpas «Digitale toegang tot het eigen medisch dossier: mogelijkheden voor een elektronische sleutel» van december 2011 beperkte zich niet tot een pas waarop gegevens kunnen worden opgeslagen. De doelstelling van het onderzoek was het uitbrengen van een advies over de mogelijkheden tot realisatie van een elektronische sleutel als toegangs-, autorisatie- en opslagmogelijkheid. Uit het onderzoek is gebleken dat het gebruik van een pas alleen voor autorisatie dezelfde nadelen kent als een zorgpas (met opslag en voor autorisatie). Zo kan in geval van nood, spoedsituaties en bij verlies of vergeten van de (pincode van) de pas geen toegang tot medische gegevens worden verkregen.

De leden van de SP-fractie geven aan dat zij een vergoeding voor een afschrift van een medisch dossier afwijzen.

In de Memorie van Toelichting is aangeven dat in dit wetsvoorstel – ter uitvoering van motie nr. 69 van het lid Kuiken c.s. – geregeld is dat inzage in het dossier (in papieren of elektronische vorm) kosteloos is. Ook wordt aangegeven dat een elektronisch afschrift kosteloos aan de cliënt moet worden verstrekt. Op grond van artikel 39 van de Wbp kan de verantwoordelijke voor de gegevensverwerking voor verstrekking van gegevens uit het dossier of de «logging» een vergoeding van kosten verlangen. De maximale hoogte van die vergoeding is vastgelegd in het Besluit kostenvergoeding rechten betrokkene Wbp. Op grond van artikel 7:456 BW, kan een redelijke vergoeding worden gevraagd voor het verstrekken van een afschrift, omdat het afdrukken op papier kosten met zich meebrengt waarvan het niet redelijk is dat die voor rekening van de zorgaanbieder zouden zijn. In dit wetsvoorstel is als bijzondere regeling opgenomen voor elektronische vormen van inzage en afschrift: dezen worden kosteloos verstrekt.

De leden van de SP-fractie vragen om een overzicht bij hoeveel zorgaanbieders en/of zorginstellingen een cliënt langs moet als hij alle gegevens bijeen wil krijgen.

Bij hoeveel zorgaanbieders een cliënt langs moet om zijn gegevens te verzamelen zal per situatie verschillen. Er wordt geen centraal systeem voor elektronische gegevensuitwisseling voorgeschreven en er is ook geen sprake van centrale opslag van data, dus dit is afhankelijk van het aantal zorgaanbieders en de inrichting van hun informatiesystemen.

De leden van de SP-fractie vragen of de regering «uitdrukkelijk verleende toestemming» heeft laten varen.

Dat is niet het geval. Hoewel het woord «uitdrukkelijk» niet wordt gebruikt in de «opt-in»-artikelen van dit wetsvoorstel, is en blijft uitdrukkelijke toestemming vereist. Het CBP heeft er in zijn advies al op gewezen dat de door de cliënt aan de zorgaanbieder te verlenen toestemming bij het beschikbaar stellen van zijn gegevens via een elektronisch uitwisselingssysteem moet voldoen aan de eisen van artikel 23, eerste lid, onder a, Wbp. Het gaat hier om een uitdrukkelijke toestemming, die een vrije, specifieke en op informatie berustende wilsuiting dient te zijn. Het voorgestelde artikel 15a, eerste lid van de Wbsn-z, vereist eveneens toestemming. Binnen de WGBO en de Wcz is steeds sprake van «toestemming», en wordt niet gesproken van uitdrukkelijke toestemming. Vanuit die systematiek is ook hier het woord «uitdrukkelijk» niet gebruikt. Nu echter van opname van de artikelen van dit wetsvoorstel in de Wcz geen sprake is, en de KNMG heeft verzocht om expliciet te bepalen dat uitdrukkelijke toestemming nodig is om eventuele misverstanden over stilzwijgende toestemming te voorkomen, stel ik bij nota van wijziging voor om in artikel 15a «uitdrukkelijk» op te nemen.

De leden van de SP-fractie vinden de website www.ikgeeftoestemming.nl niet erg toegankelijk en gebruiksvriendelijk. Ze vragen of mensen die nu aangeven wie wel en wie geen inzage mogen hebben, worden verwittigd wanneer er nieuwe zorgaanbieders deel gaan nemen aan het LSP. Daarnaast vragen zij of men via deze website ook gegevens kan doorgeven voor andere uitwisselingssystemen dan het LSP c.q. hoe de regering dat gaat regelen.

De VZVZ biedt via de website ikgeeftoestemming.nl mensen de mogelijkheid om online toestemming te geven aan hun huisarts of apotheker (of die toestemming in te trekken) voor het beschikbaar stellen van hun medische gegevens voor raadpleging via de zorginfrastructuur (LSP).

Dit is een voorziening van de VZVZ en heeft dientengevolge betrekking op het geven van toestemming aan zorgaanbieders die zijn aangesloten op de landelijke zorginfrastructuur: huisartspraktijken, huisartsenposten, apotheken en ziekenhuizen. Zorgconsumenten/patiënten kunnen ook de eigen huisarts, indien deze is aangesloten, direct toestemming verlenen om het dossier toegankelijk te maken binnen de infrastructuur voor huisartsenposten bij waarneming. Daarnaast kan de zorgconsument/patiënt aan een of meer apotheken toestemming geven om medicatiegegevens beschikbaar te stellen aan artsen, andere apotheken en ziekenhuizen. De medische gegevens worden binnen de zorginfrastructuur (LSP) alleen regionaal gedeeld. Uiteraard dient de dienstverlening van de VZVZ plaats te vinden binnen de wettelijke kaders. Het is aan het CBP hier toezicht op te houden.

Op grond van het feit dat het verplicht is om loggegevens bij te houden zullen individuele zorgverleners altijd identificeerbaar moeten zijn. Als daarvoor – zoals de leden van de SP-fractie vragen – niet de UZI-pas wordt gebruikt, zal het systeem daarin op een andere manier moeten voorzien.

De leden van de CDA-fractie vragen te motiveren of het wetsvoorstel al dan niet met het LSP in het achterhoofd is geschreven.

Met de indiening van het voorliggende wetsvoorstel kom ik tegemoet aan de motie Tan c.s. (Kamerstukken I 2010/11, 31 466, Y). Met die motie is mij gevraagd om te komen tot een nadere wettelijke regeling van normen en standaarden uit zowel digitale dossiervorming en -ontsluiting, als de overdracht van gegevens, eisen met betrekking tot de veiligheid, toezicht, handhaving en sancties en inzage door de patiënt, het verstrekken van een afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt. Uitdrukkelijk is een wetsvoorstel geschreven dat van toepassing is op alle mogelijke elektronische systemen waarmee gegevens uit dossiers aan andere zorgaanbieders dan de dossierhouder beschikbaar worden gesteld. Voor zover critici beweren dat slechts aan de wettelijk gestelde eisen kan worden voldaan door met een systeem als het LSP te werken en dat andere systemen daar (nog) niet aan voldoen, merk ik op dat het niet de bedoeling is de wettelijke eisen aan te passen aan de technische stand van zaken van bepaalde systemen. De wettelijke eisen worden gesteld ter bescherming van de privacy van cliënten en om te waarborgen dat zij hun rechten kunnen uitoefenen. Gebruikte systemen moeten daarom voldoen aan een bepaald niveau van veiligheid en organisatie zoals te stellen bij de algemene maatregel van bestuur op grond van artikel 26 Wbp. Op grond van de wettelijke eisen (zoals nu al op grond van artikel 35, tweede lid Wbp) moeten de systemen ook log-gegevens kunnen bijhouden.

De leden van de CDA-fractie vragen voorbeelden van zorgsituaties waarin een cliëntendossier wordt bijgehouden terwijl die situaties niet onder de WGBO vallen.

Zolang een zorgaanbieder gegevens van een cliënt beheert, moet een cliënt een beroep kunnen doen op zijn rechten. Dit uitgangspunt geldt evenzeer bij elektronische gegevensuitwisseling tussen zorgaanbieders en staat los van de vraag of op dat moment wel of geen sprake is van een geneeskundige behandelovereenkomst.

De leden van CDA-fractie vragen of zichtbaar is in het systeem dat de patiënt wel of niet toestemming heeft gegeven.

Op grond van het wetsvoorstel is de zorgaanbieder verplicht een registratie bij te houden van door cliënten verleende toestemming of weigering om gegevens voor raadpleging beschikbaar te stellen. Of die gegeven toestemming alleen in het systeem van de zorgaanbieder zichtbaar is of ook zichtbaar is via het elektronisch uitwisselingssysteem, zal afhangen van de technische vormgeving. Een systeem waarin dat voor alle gebruikers zichtbaar is, is natuurlijk wel het meest transparant. Het is aan de zorgaanbieder deze afweging te maken.

Op de vraag van de leden van de CDA-fractie of de AmvB heldere, duidelijke en generieke toepasbare beveiligingseisen bevatten, kan ik u melden dat dat inderdaad het geval is. In de AmvB worden eisen aan de beveiliging van systemen worden gesteld door de NEN 7510 als toetsingskader te stellen. De concept AMvB en het door het CBP uitgebrachte advies zijn als bijlagen aan deze nota toegevoegd.

De leden van de CDA-fractie vragen of er richtlijnen, onderzoek en voorlichting komen om zorgverleners op een praktische manier te laten omgaan met toestemming bij allerlei systemen in de zorg.

Hoe zorgverleners en zorgaanbieders op een praktische manier kunnen omgaan met de wettelijke eisen, zoals het vragen van toestemming is reeds opgenomen in de eerder genoemde EGiZ gedragscode (Elektronische Gegevensuitwisseling in de Zorg) van juli 2013.

In antwoord op de vraag van de leden van de CDA-fractie wie de dossierhouder is van de cliënt, geldt dat op grond van artikel 7:454 BW de zorgverlener die deze gegevens in zijn dossier opneemt altijd de beheerder is en blijft van bepaalde medische gegevens. Ook is hij verantwoordelijk voor de kwaliteit van de gegevens die hij invoert. Dit is temeer van belang als die gegevens ook beschikbaar worden gesteld via een elektronisch uitwisselingssysteem.

De leden van de CDA-fractie geven aan dat het wetsvoorstel in hun optiek niet erg gericht lijkt op het beschermen van privacy in de praktijk of op het stimuleren van technieken die de privacy en de beveiliging kunnen verbeteren.

Op basis van de huidige wet- en regelgeving (Wet bescherming persoonsgegevens (WBP) en Wet op de geneeskundige behandelingsovereenkomst (WGBO) gelden er al regels die een veilige uitwisseling van (medische) patiëntgegevens tussen zorgverleners en daarmee de privacy van de cliënt moeten waarborgen. Het onderhavige wetsvoorstel vormt hierop een aanvulling. In de AmvB wordt dwingend verwezen naar onder meer NEN 7510, nu al het referentiekader bij toetsing van de beveiligingsmaatregelen aan artikel 13 Wbp. Als een zorgaanbieder in de NEN-norm aangegeven maatregelen heeft getroffen, wordt daarmee vastgesteld dat hij voldoet aan de genoemde wettelijke bepaling.

De leden van de CDA-fractie geven aan vanuit het veld geluiden te hebben ontvangen dat tijd nodig is om ICT en informatiesystemen aan te passen op de vereisten van dit wetsvoorstel en stellen de vraag hoeveel tijd de veldpartijen krijgen om hun systemen waar nodig aan te passen. Mijn indruk is dat in het wetsvoorstel – afgezien van de mogelijkheid om bepaalde zorgaanbieders of categorieën van zorgaanbieders op voorhand van gegevensuitwisseling uit te sluiten – geen eisen worden gesteld aan systemen die niet nu ook al gelden op grond van de Wbp. In overleg met het veld zal worden bepaald op welke termijn technische realisatie mogelijk is voor het geven van gespecificeerde toestemming (uitsluiting). Indien nodig wordt de datum van inwerkingtreding van artikel 15a, tweede lid, Wbns-z hierop aangepast.

De leden van de CDA-fractie vragen naar de toepasselijkheid van de Patriot Act op bepaalde uitwisselingssystemen in de zorg en of zorginstellingen zich daarvan bewust zijn.

Zorginstellingen zullen zich er steeds van moeten vergewissen welke regelgeving – ook internationaal – op hen van toepassing is en nadenken over de consequenties van een bepaalde manier van inrichten van hun ICT-systemen waaronder elektronische uitwisselingssystemen. Aandacht daarvoor is nog extra vereist, als wordt samengewerkt met bedrijven die gevestigd zijn in een andere staat waar mogelijk andere rechtsregels gelden. Dit geldt ook voor de vraag of de Patriot Act al dan niet van toepassing zou kunnen zijn. Indien men voor het opzetten of beheren van een elektronisch uitwisselingssysteem in zee gaat met een bedrijf met een basis in de VS, zal men zich hier bewust van moeten zijn en moeten afwegen of daarover goede afspraken vastgelegd kunnen worden.

Zoals u weet betreft het vraagstuk van de Patriot Act alle maatschappelijke sectoren. In Brussel wordt onderhandeld over een Algemene verordening gegevensbescherming. Deze verordening zal een nieuw kader bevatten voor grensoverschrijdende doorgifte van persoonsgegevens. Daarbij wordt ook aandacht geschonken aan doorgifte op grond van eenzijdige verplichtingen op grond van buitenlands recht van derde staten. De Europese Commissie gaat ervan uit dat een redelijk evenwicht is te bieden tussen de dilemma’s waarin bedrijven zich soms kunnen bevinden en de bescherming van persoonsgegevens. Bij brief van 26 april 2013 (nr. 380281) heeft de Staatssecretaris van Veiligheid en Justitie de Kamer uitgebreid geïnformeerd over de stand van zaken van deze onderhandelingen, met inbegrip van dat deel van de onderhandelingen dat betrekking heeft op de doorgifte van persoonsgegevens aan derde landen.

De leden van de CDA-fractie vragen naar de consequenties van de opsplitsing van de Wcz in vijf delen. Ook de leden van de D66-fractie hebben een vraag van deze strekking.

Zoals u heeft kunnen zien is in het wetsvoorstel al geanticipeerd op een latere inwerkingtreding van de Wcz. Om te zorgen dat dit wetsvoorstel afzonderlijk doorgang kan vinden, zijn als alternatief voor opname van de regels in de Wcz, gelijkluidende regels geformuleerd die kunnen worden opgenomen in de Wbsn-z. Omdat de reikwijdte van de Wbsn-z hiermee wordt opgerekt, is in het wetsvoorstel een nieuwe citeertitel voor de Wbsn-z opgenomen: de Wet aanvullende bepalingen verwerking persoonsgegevens in zorg.

Bij nota van wijziging zullen de voorgestelde bepalingen voor de Wcz uit het wetsvoorstel worden verwijderd.

De leden van de D66-fractie vragen wat wordt verstaan onder rechtstreeks betrokken bij de zorgverlening.

Het in het wetsvoorstel bepaalde over het niet vragen van toestemming door degenen die rechtstreeks betrokken zijn bij de uitvoering van de zorgverlening en degene die optreedt als vervanger van de zorgaanbieder is rechtstreeks ontleend aan de WGBO, artikel 7:457, tweede lid BW. Onder degenen die rechtstreeks betrokken zijn bij de zorgverlening worden bijvoorbeeld verstaan verpleegkundigen, doktersassistenten, tandartsassistenten of collega-vakgenoten die door de zorgaanbieder worden geraadpleegd met het oog op de te verlenen zorg. De zorgaanbieder kan gegevens ook aan vervangers geven zonder toestemming van de cliënt. Hierbij moet worden gedacht aan de dienstdoende arts bij een huisartsenpost die niet de eigen huisarts van de cliënt is. Het verstrekken van gegevens aan personen die rechtstreeks zijn betrokken bij de zorgverlening, is overigens niet onbeperkt toegestaan. De omvang van die gegevens moet zijn afgestemd op hetgeen die andere zorgaanbieder moet weten om de cliënt (verder) te kunnen behandelen.

De leden van de D66-fractie vragen ook om een praktijkvoorbeeld waarbij een zorgverlener niet rechtstreeks betrokken is bij de behandeling van een patiënt en er toch belang is dat diegene het dossier inziet. U moet dan denken aan de situatie dat bijvoorbeeld een diabetes-patiënt die daarvoor bij zorgaanbieder A onder behandeling is, bij zorgaanbieder B komt omdat hij problemen heeft met zijn gezichtsvermogen. Deze cliënt gaat met zorgaanbieder B een nieuwe behandelrelatie aan en zorgaanbieder B dient dan toestemming te vragen alvorens hij de gegevens inziet die beschikbaar zijn gesteld via het elektronisch uitwisselingssysteem. Zorgverlener B is niet rechtstreeks betrokken bij de zorgverlening in het kader van de diabetes, terwijl zijn oogprobleem daar wellicht wel mee samenhangt. Onder de WGBO moet zorgverlener aan de cliënt vragen of hij bij zorgverlener A daarover gegevens mag opvragen. In een elektronisch uitwisselingssysteem kan zorgverlener B mogelijk al zien dat gegevens beschikbaar zijn gesteld en moet hij op grond van de voorgestelde bepaling vragen of hij die mag inzien.

Ook is een uitzondering opgenomen voor het vragen van toestemming om te kunnen handelen in acute situaties waarin het vragen van toestemming niet mogelijk is. Deze uitzondering gaat uit van de veronderstelling dat een cliënt die toestemming heeft gegeven zijn gegevens beschikbaar te stellen via een elektronisch uitwisselingssysteem het wenselijk acht dat in een noodsituatie met het oog op het voorkomen van ernstig nadeel, zijn gegevens worden ingezien. In antwoord op de vraag van leden van de D66-fractie: er is geen bepaling opgenomen dat een cliënt daarvan achteraf op de hoogte moet worden gesteld. Maar het is wel zichtbaar in de loggegevens die de patiënt kan inzien.

Het kunnen overleggen van logbestanden aan degenen wiens gegevens worden verwerkt, is – zoals de leden van de D66-fractie opmerken – ook nu al verplicht op grond van artikel 35 Wbp.

De bepaling daarover in dit wetsvoorstel vormt daar slechts een aanvulling op. Een verwerker van persoonsgegevens die een verzoek om de loggegevens te overleggen niet of niet volledig honoreert, handelt in strijd met de Wbp. Het CBP kan op grond van de Wbp handhavend optreden en daarnaast heeft de cliënt de mogelijkheid bij de zorgaanbieder zelf een klacht in te dienen, of kan hij over een individuele zorgverlener een klacht indienen bij het regionaal tuchtcollege.

De bewaartermijn van logbestanden is gekoppeld aan de gegevens die het betreft. Als de bewaartermijn van die persoonsgegevens is verstreken, is er ook geen grond meer voor het bewaren van loggegevens. Er is dan immers niet meer na te gaan op welke gegevens die logbestanden betrekking hebben. Op grond van de WGBO is de bewaartermijn voor gegevens in een medisch dossier 15 jaar (artikel 7:454, derde lid BW). In de technische AMvB op grond van artikel 26 Wbp zal de bewaartermijn worden vastgesteld. Vertegenwoordigende organisaties van zorgaanbieders en patiënten, overleggen nu overeenkomstig het bepaalde in NEN 7513 – in samenspraak met het CBP – over een reële bewaartermijn voor logging. Indien zij met een goed onderbouwd voorstel komen, wordt dit overgenomen in de AMvB.

De leden van de D66-fractie geven aan veel waarde te hechten aan een gezamenlijk loket waar patiënten terecht kunnen met vragen over hun rechten en plichten als het gaat om de elektronische verwerking van gegevens en de werking van elektronische uitwisselingssystemen. Deze leden betreuren het dat de regering in het voorliggende wetsvoorstel geen eis opneemt voor het instellen van een centraal patiëntenloket. Zij vrezen dat het uitblijven van een loket zal leiden tot veel onduidelijkheid en vragen bij patiënten over elektronische uitwisseling van gegevens en vragen hoe de regering dit denkt te ondervangen.

Zoals eerder aangegeven bij de vraag van de SP-fractie rond verschillende opvattingen ten aanzien van elektronische gegevensuitwisseling, hebben de zorgaanbieders op grond van artikel 34, eerste lid, van de Wbp de plicht om duidelijke voorlichting te geven over het doel en de reikwijdte van het elektronisch uitwisselingssysteem en welke (set) gegevens daarin beschikbaar wordt gesteld. In aanvulling daarop wordt in artikel 15c van het wetsvoorstel geregeld dat cliënten ook worden voorgelicht over hun rechten bij elektronische gegevensuitwisseling. Bij nota van wijziging stel ik voor daaraan toe te voegen dat ook voorlichting dient te worden gegeven over de werking van het elektronisch uitwisselingsysteem waarop de zorgaanbieder is aangesloten. Met deze informatie kunnen cliënten een goed beeld krijgen van de mogelijkheden en reikwijdte van het elektronisch uitwisselingssysteem waarmee de zorgaanbieder zijn gegevens beschikbaar kan stellen. Deze informatie kan de cliënt helpen bij het maken van zijn keuzes.

In de eerdere opzet van het landelijk EPD was voorzien in een klantenloket waar cliënten terecht konden met (aanvullende) vragen. Conform het verzoek in de motie Tan heb ik mijn betrokkenheid daarbij afgebouwd. Het is aan de verantwoordelijke zorgaanbieder(s) om al dan niet gezamenlijk invulling te geven aan de informatievoorziening voor de patiënt.

Toezicht en handhaving

De leden van de PVV-fractie vragen zich af of de IGZ en het CBP over voldoende capaciteit beschikken voor het toezicht en de handhaving op het elektronisch uitwisselen van medische gegevens. Ook stellen zij dat het CBP eerder om meer bevoegdheden gevraagd heeft en voorstander is van registratie van datalekken in medische systemen.

De IGZ ziet toe op informatiebeveiliging in de zorg op basis van de bestaande norm NEN 7510 vanuit oogpunt van patiëntveiligheid. In dit kader bekijkt de IGZ de mogelijkheden om haar toezichtactiviteiten gericht op naleving van deze norm te intensiveren. Dit doet zij op basis van risicogestuurd toezicht. Op dit moment beschikt de IGZ over inspecteurs met de expertise om het toezicht op informatiebeveiliging in de zorg in multidisciplinaire teams verder vorm te geven die zij inzet op de thema’s en objecten waar zij de grootste risico’s verwacht. Of sprake is van voldoende capaciteit valt nu nog niet te zeggen. Op dit moment beziet de IGZ de inzet van haar capaciteit voor de komende periode in het kader van haar verbetertraject en daaraan gekoppelde prioriteiten.

Of het CBP in een specifieke situatie capaciteit inzet voor het toezicht op het elektronisch uitwisselen van medische gegevens, bepaalt het CBP aan de hand van prioriteringscriteria. De prioriteringscriteria zijn erop gericht om de capaciteit van het CBP zo efficiënt en effectief mogelijk in te zetten. In de Beleidsregels handhaving door het CBP heeft het CBP deze prioriteringscriteria vastgesteld en heeft het keuzes in het toezicht inzichtelijk gemaakt.

In het wetsvoorstel gebruik camerabeelden en meldplicht datalekken van de Staatssecretaris van Veiligheid en Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties wordt voorzien in een brede meldplicht voor datalekken, waaronder datalekken in medische systemen. Dit is vooruitlopend op de meldplicht zoals voorgesteld in de Europese privacyverordening. De bevoegde toezichthouder zal daarbij het CBP zijn.

De leden van de SP-fractie vragen zich af of de IGZ voldoende kennis in huis heeft om toezicht te kunnen houden.

De huidige wettelijke bepalingen en bestaande veldnormen bieden voldoende aanknopingspunten voor toezicht door de IGZ op de beveiliging van medische dossiers.

De leden van de SP-fractie vrezen dat via een beroep op de Kwaliteitswet Zorginstellingen zorgaanbieders gedwongen zijn aan te sluiten op het LSP (de landelijke zorginfrastructuur).

Alle informatie-uitwisseling in de zorg tussen zorgaanbieders moet voldoen aan geldende wet- en regelgeving, ook als daarbij gebruik wordt gemaakt van een elektronisch systeem voor gegevensuitwisseling in de zorg. Het is aan de verantwoordelijke van het informatiesysteem om dit te borgen. Noch in de bestaande wet- en regelgeving noch in het onderhavige wetsvoorstel, wordt dwingend verwezen naar de zorginfrastructuur.

Verder vragen de leden van de SP-fractie om een overzicht van het toezicht van IGZ en CBP op medische gegevensuitwisseling van de afgelopen jaren. Welke veiligheidsproblemen zijn gesignaleerd, hoe vaak is privacy schending geconstateerd en wat is daarop het gevolg geweest in de zin van opsporing, aangifte en veroordeling, dan wel boetes of bestuurlijke dwang.

Hiervan is geen specifiek overzicht; het is onderdeel van het reguliere toezicht dat beide organisaties voortdurend houden. Het CBP ziet toe op de naleving van de Wet bescherming persoonsgegevens en aanverwante wetten. De IGZ ziet erop toe dat er verantwoorde zorg wordt geleverd. Daar hoort ook bij dat informatie-uitwisseling in de zorg op verantwoorde wijze plaats vindt, dat wil zeggen niet meer en minder dan nodig is en dat gegevens betrouwbaar en beschikbaar zijn. Daarbij maakt het niet uit of er sprake is van een mondelinge, papieren of elektronische informatie-uitwisseling is.

Het CBP heeft de afgelopen jaren meerdere onderzoeken gedaan naar de verwerking (waaronder uitwisseling) van medische gegevens (o.a. bij gemeenten, ziekenhuizen en arbodiensten). Deze onderzoeksrapporten, waaronder «Toegang tot digitale patiëntendossiers binnen zorginstellingen» (2013) zijn te vinden op www.cbpweb.nl .

De IGZ heeft in haar «Staat van de Gezondheidszorg 2011» expliciet aandacht geschonken aan informatie-uitwisseling in de zorg. De constatering van de IGZ was dat er veel mis gaat bij die informatie-uitwisseling en dat heldere veldnormen ontbraken. Naar aanleiding hiervan heeft de IGZ het veld opgeroepen te komen met standaarden voor terminologie, een kernset van gegevens met de gezondheidstoestand van de patiënt en technische standaarden voor informatie-uitwisseling. Het veld heeft hieraan onder leiding van de Regieraad gehoor gegeven. Daarnaast heeft de IGZ besloten specifiek toezicht te houden op de overdracht van kwetsbare ouderen die vanuit ziekenhuizen overgeplaatst worden naar verpleeg- of verzorgingstehuizen. Hiertoe wordt op basis van bestaande veldnormen een toetsingskader ontwikkeld. Op basis van dit toetsingskader zal in 2014 bij veldpartijen toezicht worden gehouden.

Verder heeft de IGZ vanaf 2003 in haar toezicht op informatiebeveiliging bij ziekenhuizen ook de specifieke NEN 7510 norm voor informatiebeveiliging betrokken. Het onderzoek is in 2007 (toen samen met het CBP) herhaald. De onderzoeksresultaten waren voor de IGZ aanleiding om vervolgens aan alle ziekenhuizen te vragen zich in 2010 extern te laten auditen op de mate van informatiebeveiliging. Alle ziekenhuizen hebben hieraan gehoor gegeven en hebben in 2011 uiteindelijk een voldoende score laten zien.

Goede informatie-uitwisseling tussen zorgverleners speelt een steeds belangrijkere rol voor de veiligheid en kwaliteit van zorg. Naar aanleiding van meldingen met betrekking tot problemen met informatie-uitwisseling heeft de IGZ tot nu toe geen reden gezien tot het treffen van bestuursrechtelijke maatregelen.

De leden van de SP-fractie vinden de boete voor de zorgverzekeraar op zijn plaats. Zij vragen de regering een overzicht te geven van welke zorgverzekeraars onder de 10 procent van hun omzet zitten als zij een boete van een 500.000 euro krijgen. Daarnaast vragen de leden van de CDA-fractie welke mogelijkheden er zijn tot sanctie als een zorgverzekeraar verschillende malen beboet is voor het schenden van privacy van zijn verzekerden.

Alle zorgverzekeraars hebben een omzet ruim boven de € 5 mln, dat betekent dat geen enkele zorgverzekeraar onder de 10% van de omzet komt bij een boete van € 500.000.

Welke mogelijkheden er zijn tot sanctie als een zorgverzekeraar meerdere malen is beboet, is eerder uitgewerkt in het kader van motie 99 van de leden Kuiken c.s. Met die motie is mij gevraagd te regelen dat bij een tweede overtreding binnen vijf jaar alle verzekeringsnemers van de betreffende zorgverzekeraar het recht te verlenen de zorgverzekering en de aanvullende polis op te zeggen en daarnaast binnen het sanctieregime de mogelijkheid te onderzoeken om een zorgverzekeraar die herhaaldelijk de wet overtreedt, de vergunning tot het voeren van een zorgverzekering te ontnemen. Zoals ook aangegeven in de memorie van toelichting bij het onderhavige wetsvoorstel is het niet mogelijk alle verzekeringsnemers van de betreffende zorgverzekeraar het recht te verlenen de zorgverzekering en de aanvullende polis op te zeggen omdat dit in strijd is met de Europese richtlijnen inzake het schadeverzekeringsbedrijf, en ter vervanging daarvan Richtlijn 2009/138/EG (Solvency II). Ook de Afdeling advisering van de Raad van State heeft in haar advies aangegeven dat een lidstaat alleen regels aan verzekeraars (waaronder zorgverzekeraars) en hun verzekeringen mag stellen, voor zover dat noodzakelijk is ter bescherming van het algemeen belang. Een opzegrecht voor alle verzekeringnemers is ook naar het oordeel van de Raad van State een disproportionele sanctie waarmee het algemeen belang niet is gediend. In het wetsvoorstel is nu opgenomen dat de zorgautoriteit een besluit tot het opleggen van een bestuurlijke boete openbaar maakt, nadat het besluit daartoe rechtens onaantastbaar is geworden. Deze openbaarmaking – «naming and shaming»- kan grote consequenties hebben voor de verzekeraar die het betreft. Verwacht mag worden dat de bekendmaking dat een zorgverzekeraar op deze manier de privacy heeft geschonden, voor een groot aantal verzekeringsnemers aanleiding zal zijn om bij het afsluiten van een zorgverzekering voor het nieuwe jaar, naar een andere zorgverzekeraar over te stappen. De kans dat een zorgverzekeraar meerdere malen wordt beboet wegens het zich onrechtmatig toegang verschaffen tot een elektronisch uitwisselingssysteem, is mitsdien erg klein.

Over het tweede punt heb ik u geïnformeerd bij brief van 12 april 2012, Toelichting doorstart LSP (MEVA/ICT-3103224). Op grond van de Europese verzekeringsrichtlijnen kan de toezichthouder, in casu De Nederlandsche Bank (DNB), een vergunning van een verzekeraar (dus ook van een zorgverzekeraar) intrekken, onder meer als een verzekeraar niet meer voldoet aan de bij of krachtens de Wet op het financieel toezicht (Wft) gestelde regels dan wel niet meer voldoet aan de aan de vergunning verbonden voorschriften of gestelde beperkingen. In dit verband kan worden gedacht aan de eis van een beheerste en integere uitoefening van het verzekeringsbedrijf (artikel 3:17 Wft). Als een zorgverzekeraar herhaaldelijk eenzelfde ernstige overtreding begaat, ontstaat twijfel over de beheerste en integere bedrijfsvoering en kan uiteindelijk zijn vergunning worden ingetrokken. Met het oog op de verstrekkende gevolgen hiervan voor de polishouders en de zorgverzekeraar, ligt het meer in de rede om een aanwijzing te geven waardoor herhaling van de overtreding zou kunnen worden voorkomen, bijvoorbeeld een aanwijzing die strekt tot een wijziging in het management. Indien dat niet het gewenste effect sorteert, kan de vergunning worden ingetrokken. Een verzekeraar kan altijd naar de rechter stappen om dit besluit van DNB te laten toetsen en de rechter zal dan beoordelen of DNB in redelijkheid tot haar oordeel had kunnen komen.

De leden van de CDA-fractie vragen of met inwerkingtreding van dit wetsvoorstel ook de onderliggende handhavingsbepalingen van de Wcz in werking treden.

Zoals in ik mijn inleiding aangaf wordt in de nota van wijziging het artikel waarmee de Wet cliëntenrechten zorg (Wcz) wordt gewijzigd uit het wetsvoorstel gehaald omdat het voorstel voor de Wcz is komen te vervallen. In plaats daarvan worden gelijkluidende bepalingen in de Wbsn-z opgenomen.

De leden van de CDA-fractie vragen zich af of dit wetsvoorstel een taakverzwaring betekent voor de IGZ. Dat is niet het geval. Zoals ook eerder aangegeven bieden de wettelijke bepalingen en bestaande veldnormen voldoende aanknopingspunten voor toezicht op de beveiliging van medische dossiers. De verantwoordelijkheid voor het op peil houden van het informatiebeveiligingsniveau ligt bij de zorginstellingen zelf.

De leden van de CDA-fractie vragen waarom de bepaling uit het oude EPD-wetsvoorstel niet is overgenomen op grond waarvan het mogelijk zou zijn dat de strafrechter degene die artikel 138ab (computervredebreuk) of 272 (geheimhoudingsplicht) schendt, van het recht te ontzetten om het beroep uit te oefenen waarin hij deze feiten heeft begaan.

Inderdaad was deze bepaling specifiek ten aanzien van het EPD als aanvulling op alle reeds genoemde manieren om misbruik van elektronische uitwisselingssystemen te bestraffen, in een wijziging van het wetsvoorstel EPD opgenomen. Deze bepaling was opgenomen omdat het tuchtrecht geen mogelijkheden biedt om beroepsbeoefenaren die niet geregistreerd zijn ingevolge artikel 3 van de Wet BIG, maar die ingevolge artikel 34 van de Wet BIG wel een beschermde titel hebben, tuchtrechtelijk ter verantwoording te roepen voor misbruik van het EPD. Zij vallen immers niet onder de reikwijdte van het tuchtrecht. Dat is alleen van toepassing op beroepsbeoefenaren die ingevolge artikel 3 van de Wet BIG in het BIG-register geregistreerd zijn. Door het mogelijk te maken voor de strafrechter een beroepsbeoefenaar bij misbruik van het EPD uit zijn beroep te ontzetten, konden ook deze beroepsbeoefenaren worden bestraft. Het niet in dit wetsvoorstel opnemen van een vergelijkbare bepaling is een omissie die bij nota van wijziging wordt rechtgezet.

De leden van de D66-fractie benadrukken het belang van onderlinge afspraken tussen de toezichthouders. Ten behoeve van een goede onderlinge samenwerking hebben de IGZ en het CBP sinds 2006 een samenwerkingsprotocol ondertekend en vindt op reguliere basis overleg plaats. Ook de toekomstige handhaving van dit wetsvoorstel heeft daarbij de aandacht. De NZa krijgt in deze wet een heel eigen rol, namelijk toezicht op de naleving door ziektenkostenverzekeraars. Ik acht het van belang dat de verschillende toezichthouders met het oog op ieders taak naar elkaar toe een signalerende rol vervullen.

Bedrijfseffectentoets, nalevingskosten en administratie lasten

Op de vraag van de leden van de CDA-fractie of over dit wetsvoorstel advies is gevraagd aan Actal het volgende.

Actal toetste tot medio 2011 of bij wettelijke verplichtingen regeldrukeffecten correct en volledig in beeld werden gebracht. Met het nieuwe instellingsbesluit in 2011 is het mandaat en de werkwijze van Actal veranderd. Actal toetst niet meer per dossier, maar beziet in een jaarlijkse systeemtoets of de borging nog goed geregeld is en doet eventuele aanbevelingen voor verbetering.

Basis voor toetsing door Actal is in ieder geval de wettelijke verplichting tot het leveren van informatie. De cliëntenrechten die in dit wetsvoorstel worden vastgelegd zijn een nadere specificatie van wat nu geldt op grond van de WGBO en de Wbp. Er worden geen nieuwe wettelijke verplichtingen aan zorgaanbieders opgelegd – zoals voorheen de bedoeling was bij het verplicht aansluiten op het LSP – maar slechts de randvoorwaarden bepaald waaraan zorgaanbieders moeten voldoen indien zij aansluiten op een elektronisch uitwisselingssysteem. Toetsing door Actal acht ik daarom niet aangewezen. Voor wat betreft de AMvB op grond waarvan ook organisatorische eisen zullen gaan gelden, zal een afzonderlijke afweging worden gemaakt of toetsing door Actal in de rede ligt.

Functionele, technische en organisatorische eisen

De leden van de PvdA-fractie vragen of het mogelijk is om eisen te stellen aan de verschillende systemen om uitwisseling mogelijk te maken dan wel te houden en wie daarbij de regie neemt. De Eerste Kamer heeft het wetsvoorstel tot wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatie-uitwisseling in de zorg (wetsvoorstel EPD) in 2011 verworpen. Met het verwerpen van dat wetsvoorstel vervalt ook de verplichte aansluiting voor zorgaanbieders op het landelijk schakelpunt (LSP). Er is dus inderdaad, zoals de leden van de PvdA-fractie aangeven, niet één systeem waarop zorgaanbieders zich moeten aansluiten. Het is denkbaar dat de verschillende systemen voor elektronische gegevensuitwisseling in de zorg niet met elkaar kunnen «communiceren». De leden van de PvdA-fractie vragen of er eisen gesteld kunnen worden zodat het mogelijk is dat de verschillende systemen op elkaar aansluiten en zo ja, wie hiervoor de regie heeft. Het is aan de zorgaanbieders zelf of zij gebruik wensen te maken van een elektronisch systeem voor gegevensuitwisseling, dat is geen verplichting. Logischerwijs kan dan ook niet verplicht worden dat de eventueel gebruikte systemen op elkaar aansluiten. Mijn taak in dezen richt zich op het stellen van randvoorwaarden voor veilige (elektronische) gegevensuitwisseling. De technische en organisatorische eisen die in de AMvB op grond van artikel 26 Wbp zullen worden gesteld, geven daarbij een duidelijk kader. Dit laat overigens onverlet dat ik er wel op zal aandringen dat de systemen in de zorg compatible zijn met het oog op de belangen van de patiënt.

De leden van de PvdA-fractie vragen of de regering de mening deelt dat voorkomen zou moeten worden dat bij verwijzingen naar het ziekenhuis onderzoeken vaak herhaald worden, omdat gegevens niet, niet juist of niet tijdig worden doorgestuurd. In het licht hiervan vragen zij zich bovendien af hoe de regering de situatie beoordeelt waarin huisartsen en apothekers hun gegevens niet via het LSP elektronisch kunnen uitwisselen met de UMC’s omdat de UMC’s nog niet kunnen aansluiten op het LSP.

Inderdaad moet voorkomen worden dat onderzoek nodeloos herhaald wordt omdat gegevens ontbreken. Met het verwerpen van het wetsvoorstel EPD is de verplichting aan te sluiten op het LSP echter vervallen. Dat betekent dat het zorgverleners vrij staat wel of niet aan te sluiten op het LSP of een ander systeem voor elektronische gegevensuitwisseling in de zorg.

Overigens blijkt uit informatie die ik van de beheerder van het LSP, de VZVZ, dat UMC’s en andere ziekenhuizen wel degelijk kunnen aansluiten op het LSP. De belemmering schuilt in de beschikbaarheid van gekwalificeerde Ziekenhuis Informatiesystemen (ZIS). Deze zijn op dit moment nog maar beperkt ingericht op het veilig opvragen van medicatiegegevens bij de apotheek via het LSP. De VZVZ en leveranciers werken hier momenteel wel aan.

De leden van de PVV-fractie vragen waarom de regering het veld technische eisen op wil leggen bij AMvB en aan welke eisen moet worden voldaan.

Zoals eerder aangegeven bij de vraag van de SP-fractie naar de uitwerking van motie Y van Tan c.s. geeft deze AMvB op grond van artikel 26 Wbp uitwerking aan de eerste twee punten van de motie Tan c.s. (normen en standaarden, eisen met betrekking tot veiligheid). Het CBP heeft in zijn advies bij dit wetsvoorstel aangegeven dat elektronische uitwisselingssystemen zouden moeten voldoen aan NEN-norm 7510. Dit is meegenomen in de algemene maatregel van bestuur op grond van artikel 26 Wbp, waarvan het concept als bijlage aan deze nota is toegevoegd.

Aansprakelijkheid

De leden van de fractie van de PvdA vragen of er specifieke eisen gelden waaraan ICT-bedrijven die betrokken zijn bij elektronische gegevensuitwisseling in de zorg moeten voldoen.

Inderdaad worden er eisen gesteld aan de ICT-leveranciers die betrokken zijn bij systemen voor elektronische gegevensuitwisseling. Deze eisen zijn onderdeel van de organisatorische eisen die worden gesteld in de AMvB op grond van artikel 26 Wbp.

De leden van de PVV-fractie vragen hoe het zit met de aansprakelijkheid als medische gegevens als gevolg van hacking op straat belanden. Hiervoor kan degene wiens gegevens het betreft, de hacker aansprakelijk stellen. Daarnaast kan de verantwoordelijke voor het systeem waaruit de gegevens afkomstig zijn aansprakelijk worden gesteld indien de gegevens niet voldoende beveiligd zijn. De zorgaanbieder die een bepaald systeem gebruikt moet er – straks mede op grond van de regels gesteld bij de AMvB op grond van artikel 26 Wbp – voor zorgen dat het systeem voldoende veilig is. Voor klachten staat uiteraard de klachtregeling open zoals elke zorgaanbieder die moet hebben op grond van de Wet klachtrecht cliënten zorgsector. Men kan ook een melding doen bij de Inspectie Gezondheidszorg die vervolgens kan besluiten een onderzoek in te stellen. Ten slotte kan een gedupeerde aangifte doen van computervredebreuk of schending van de geheimhoudingsplicht.

De leden van SP-fractie stellen dat mensen en instellingen die zorg verlenen een (totaal) andere taal spreken dan ICT-deskundigen. Zij vragen de regering na te gaan hoe zij het zorgveld beter kan toerusten om de onderhandelingen en het aangaan van contracten met ICT-leveranciers te verbeteren om invulling te kunnen geven aan «goed opdrachtgeverschap» en bovendien voor de zorg de regel in te stellen dat er altijd gebruik gemaakt moet worden van zogenaamde «open source» toepassingen.

Het is duidelijk dat ICT ook in de zorg een steeds grotere rol speelt. Het is aan zorgaanbieders zelf de juiste deskundigheid in huis te halen voor overleg en onderhandeling op dit terrein om goed opdrachtgeverschap uit te voeren. De vraag of een «open source» toepassing een goede keuze is zal door zorgaanbieders in voorkomende gevallen beantwoord moeten worden. Daarbij spelen onder andere beveiligingseisen, kosten van aanschaf en ondersteuning en beschikbaarheid van ondersteuning een rol. Daarom acht ik het niet verstandig dergelijke toepassingen verplicht te stellen.

Zoals de leden van de CDA-fractie opmerken acht de regering de kans dat schade toerekenbaar is aan de Sectorale Berichten Voorziening in de Zorg (SBV-Z) inderdaad gering gelet op het relativiteitsvereiste. De kans is namelijk erg klein dat een zorgaanbieder die zorgvuldig het juiste BSN invoert niet in de gaten heeft dat de persoonsgegevens die de SVB-Z op basis van dat BSN terugstuurt, niet passen bij de cliënt die de zorgaanbieder voor zich heeft.

De SBV-Z vormt voor de zorgsector de toegangspoort tot de Beheervoorziening BSN (BVBSN) de organisatie die verantwoordelijk is voor de uitgifte en het beheer van het burgerservicenummer. Dat betekent dat de gegevens die de SBV-Z naar de zorgaanbieder terugstuurt rechtstreeks afkomstig zijn van de BVBSN. Mochten de persoonsgegevens in eerste instantie toch passend lijken én er als gevolg van het gebruiken van die onjuiste gegevens schade ontstaan, dan zal in een zo’n situatie al snel sprake zijn van tenminste gedeelde aansprakelijkheid van zorgaanbieder en de BVBSN.

De leden van de CDA-fractie vragen ook naar de aansprakelijkheid van cliënten zelf. Die kan er natuurlijk zijn, bijvoorbeeld door het zelf aanleveren van gebrekkige informatie of informatie verzwijgen. Op grond van artikel 7:452 BW moet de patiënt naar beste weten de inlichtingen en de medewerking geven die de hulpverlener redelijkerwijs voor de uitvoering van de behandelingsovereenkomst behoeft. In hoeverre gebrekkige informatievoorziening van de zijde van de cliënt bij schade de aansprakelijkheid van de zorgaanbieder zal verminderen, zal erg afhangen van de omstandigheden van het geval.

De leden van de CDA-fractie en van de leden van SP-fractie vragen naar de gevolgen als verzekeringsartsen, medische adviseurs en bedrijfsartsen zich oneigenlijk toegang verschaffen tot de medische gegevens van de cliënt en hoe de handhaving hieromtrent is geregeld.

Voor bedrijfsartsen, verzekeringsartsen en keuringsartsen is in artikel 15f, tweede lid, Wbsn-z een verbod opgenomen zich toegang te verschaffen tot of gegevens te verwerken uit een elektronische uitwisselingssysteem. Algemeen geldt dat computervredebreuk stafbaar is, en daarvan is zeker sprake als iemand zich onrechtmatig toegang verschaft tot een elektronisch dossier. Deze overtreding is in het strafrecht strafbaar gesteld met een gevangenisstraf van één tot vier jaar en een geldboete van € 18 500,–. Na aangifte kan een overtredende zorgverlener worden vervolgd. Handhaving van het voorgestelde artikel 15f, tweede lid, Wbsn-z, zal plaatsvinden via de Wet BIG. Tuchtrechterlijke maatregelen die kunnen worden opgelegd zijn: een waarschuwing, een berisping, een geldboete van ten hoogste € 4.500, schorsing van de inschrijving in het register voor ten hoogste één jaar, gedeeltelijke ontzegging van de bevoegdheid het beroep uit te oefenen, doorhaling van de inschrijving van het register.

Daarnaast vragen de leden van de SP-fractie de regering om een reactie op de zorg van één van de deelnemers van het eerder genoemde rondetafelgesprek dat mensen steeds vaker hun medische gegevens op schrift moeten overhandigen aan bijvoorbeeld hypotheekverstrekkers en verzekeraars.

Het is gebruikelijk dat mensen die een verzekering willen afsluiten, openheid moeten geven over hun gezondheid en daarvoor zaken op schrift moeten stellen of vragenlijsten moeten invullen. Dit alles dient uiteraard te gebeuren binnen het kader dat de Wet op de medische keuringen daaraan stelt. Hierbij past niet dat genoemde artsen kunnen aansluiten op uitwisselingssystemen die er zijn ten behoeve van verantwoorde zorgverlening. Op grond van dit wetsvoorstel is aansluiting door deze artsen ook niet toegestaan.

II Artikelsgewijs

Artikel I, onderdeel A (artikel 1) en artikel II, onderdeel A

De leden van de CDA-fractie vragen waarom niet voor de mogelijkheid is gekozen om in het wetsartikel op te nemen dat gewoon e-mailverkeer niet onder de definitie valt.

Omdat met dit wetsvoorstel niet één bepaald systeem wordt voorgeschreven, moet de in het wetsvoorstel gebruikte definitie van elektronisch uitwisselingsysteem zodanig zijn, dat daarmee alle mogelijk gebruikte technieken worden omvat. Elk te gebruiken systeem zal aan de veiligheidsregels die worden gesteld bij de AMvB op grond van artikel 26 Wbp moeten voldoen. Gegevensuitwisseling door middel van gewone e-mail voldoet niet aan de vereisten betreffende elektronische gegevensuitwisseling als neergelegd in NEN 7510 en NEN 7512. Naar aanleiding van de opmerkingen van de KNMG is de definitie van «elektronisch uitwisselingssysteem» zodanig aangepast dat daarin het «raadpleegbaar maken van informatie» centraal staat. Hiermee wordt duidelijk gemaakt dat het gaat om systemen die bedoeld zijn voor pull-verkeer. E-mailverkeer – dat wel beveiligd moet zijn – zal doorgaans worden gebruikt voor push-verkeer. Het expliciet uitzonderen van e-mailverkeer lijkt mij echter niet wenselijk omdat het niet ondenkbaar is dat er veilige systemen worden ontwikkeld die gebaseerd zijn op e-mailverkeer terwijl ze wel degelijk worden gebruikt voor elektronische gegevensuitwisseling als bedoeld in dit wetsvoorstel.

Artikel I, onderdeel B

De wettelijke vertegenwoordiger voor minderjarigen geeft toestemming voor de verwerking van persoonsgegevens betreffende die minderjarige. De leden van de CDA-fractie vragen om een toelichting op hoe de toepassing van dit artikel gaat als de minderjarige gescheiden of in onmin levende ouders heeft.

Indien gescheiden ouders beiden het gezag dragen over een kind, kan dit in de praktijk tot lastige situaties leiden. Bij eenvoudige behandeling mag een zorgverlener vaak de instemming van de niet aanwezige ouder veronderstellen, maar in andere situaties zal hij zich van de toestemming van de andere ouder moeten vergewissen. De KNMG heeft over het geven van dubbele toestemming een wegwijzer ontwikkeld. De manier waarop dubbele toestemming moet worden gevraagd om gegevens beschikbaar te stellen via een elektronisch uitwisselingssysteem, is een onderwerp dat zich leent voor uitwerking in een gedragscode.

Artikel 23a Wcz (artikel 15a, eerste lid, Wbsn-z)

De vraag van de CDA-fractie over het uitsluiten van (groepen) zorgaanbieders is bij het onderdeel «Opzet en inhoud van dit wetsvoorstel» reeds behandeld bij de vragen van meerdere fracties over het verlenen van toestemming.

De leden van de CDA-fractie krijgen op grond van het gestelde in artikel 15a, eerste lid, Wbsn-z de indruk dat een opt-out systematiek gestapeld wordt op een generieke opt-in terwijl onder de Wbp en de WGBO geldt dat er uitdrukkelijke toestemming voor een specifiek doel moet zijn.

De cliënt moet weten waarvoor hij toestemming geeft, en de zorgaanbieder dient de toestemming, gedeeltelijke toestemming of weigering van toestemming, te registeren. Dit kan alleen als de cliënt – inderdaad ook overeenkomstig het bepaalde in de Wbp en de WGBO – uitdrukkelijk aangeeft of hij toestemming geeft en onder welke voorwaarden of uitsluitingen. Van een generieke opt-in is op grond van artikel 15a, eerste lid, Wbsn-z dan ook geen sprake. Er staat immers: «voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe toestemming heeft gegeven». Om geen enkele twijfel te laten bestaan over de aard van de te geven toestemming, wordt bij nota van wijzing toegevoegd dat het om uitdrukkelijke toestemming moet gaan.

Artikel 23b Wcz en artikel 15c Wbsn-z

De leden van de SP-fractie vragen hoe de regering toeziet op het actief informeren van cliënt/patiënt/burger door de zorgaanbieder.

De zorgaanbieders hebben op grond van artikel 34, eerste lid, van de Wbp de plicht om duidelijke voorlichting te geven over het doel en de reikwijdte van het elektronisch uitwisselingssysteem en welke (set) gegevens daarin beschikbaar wordt gesteld. In aanvulling daarop wordt in artikel 15c van het wetsvoorstel geregeld dat cliënten ook worden voorgelicht over hun rechten bij elektronische gegevensuitwisseling. Het toezicht (door de IGZ) loopt via de Kwaliteitswet zorginstellingen en de Wet BIG. Het actief en juist informeren is een onderdeel van het geven van verantwoorde zorg.

Artikel 23d Wcz en artikel 15e Wbsn-z

De leden van de CDA-fractie vragen of zij het goed begrepen hebben dat elke zorgaanbieder alle loggegevens – ook van andere zorgaanbieders – aan zijn cliënt beschikbaar mag stellen.

Als een afschrift wordt gevraagd aan zorgaanbieder A, kan de cliënt op basis van de logging zien dat zorgaanbieder B bepaalde gegevens afkomstig uit het dossier van zorgaanbieder A heeft ingezien. Zorgaanbieder A kan echter niet de gegevens die zorgaanbieder B beschikbaar heeft gesteld, aan de cliënt overleggen. Dit volgt uit de formulering van artikel 15d, eerste lid Wbsn-z: de cliënt verzoekt om een afschrift van de gegevens «betreffende deze cliënt die de zorgaanbieder via een elektronisch uitwisselingssysteem beschikbaar stelt».

Artikel 23e Wcz en artikel 15h Wbsn-z

De leden van de CDA-fractie vragen wanneer een cliënt ervan op de hoogte wordt gebracht als een zorgaanbieder, verzekeraar of derde zich wederrechtelijk toegang heeft verschaft tot een elektronisch uitwisselingssysteem of een dossier.

Ook het afschermen van persoonsgegevens valt onder de definitie van verwerken van persoonsgegevens in de zin van de Wbp. Bij wederrechtelijke toegangsverschaffing moet de verantwoordelijke voor de verwerking van de persoonsgegevens degene wiens gegevens het betreft daarvan op de hoogte te stellen.

Artikel I, onderdeel F, artikel II onderdeel B, artikel III en artikel IV

De vraag van de leden van de SP-fractie naar de gevolgen als verzekeringsartsen, medische adviseurs en bedrijfsartsen zich oneigenlijk toegang verschaffen tot de medische gegevens van de cliënt en hoe de handhaving hieromtrent is geregeld en het verzoek om een reactie op de zorg dat mensen steeds vaker hun medische gegevens op schrift moeten overhandigen aan bijvoorbeeld hypotheekverstrekkers en verzekeraars is bij het onderdeel «Aansprakelijkheid» reeds beantwoord.

Artikel II, onderdeel D

De leden van de SP-fractie vragen hoe de inzage in medische gegevens is geregeld voor nabestaanden.

Ook na het overlijden van een patiënt, blijft de geheimhoudingsplicht van de zorgaanbieder bestaan. Uit de jurisprudentie, doctrine en gedragsregels voor artsen volgt dat onder bepaalde omstandigheden het verstrekken van (een aantal) gegevens aan nabestaanden toch is toegestaan. Bijvoorbeeld als de overledene expliciet toestemming heeft gegeven of dit redelijkerwijs kan worden verondersteld, of als er sprake is van «zwaarwegende belangen» van anderen. Toestemming mag bijvoorbeeld worden verondersteld als nabestaanden een klacht willen indienen of een procedure willen starten vanwege een vermeende onzorgvuldige behandeling. De beslissing om al dan niet de geheimhoudingsplicht te doorbreken tegenover nabestaanden ligt uiteindelijk bij de arts, maar kan door de rechter terzijde worden geschoven.

Artikel III en IV

De leden van de SP-fractie geven aan dat ze vinden dat de boete voor zorgverzekeraars en sancties voor zorgaanbieders en/of zorginstellingen die privacyregels rond gegevensuitwisseling in de zorg hebben overtreden, redelijk geregeld is. Wel vragen ze zich af of de Nederlandse Zorgautoriteit (NZa) de juiste instantie is om het sanctiebeleid te handhaven omdat de NZa naar hun mening in het verleden de belangen van zorginstellingen en zorgverzekeraars sterker zou hebben verdedigd dan die van een zorgaanbieder of cliënt wiens privacy werd geschonden door een zorginstelling of zorgverzekeraar. De leden van de SP-fractie vragen hoe vaak de NZa een boete heeft opgelegd, hoe vaak men een individu heeft geholpen.

Het privacy-toezicht van de NZa is beperkt en onderdeel van het toezicht op de uitvoering van de ziektekostenverzekeringen. Daarbij dient bedacht te worden dat het toezicht zich richt op de juiste uitvoering van de verzekeringen in het algemeen. De NZa is op grond van de Wet marktordening gezondheidszorg niet gerechtigd een aanwijzing te geven omtrent de beoordeling of behandeling van individuele gevallen door ziektekostenverzekeraars. Daarmee is aangesloten bij wet en praktijk van het toezicht in de sociale verzekeringen en de ziektekostenverzekeringswetten (Kamerstukken II, 27 038, nr. 3). De aanwijzingsbevoegdheid kan niet worden gebruikt om invloed uit te oefenen op concrete besluiten in individuele gevallen inzake verstrekkingen of vergoedingen aan verzekerden. Het oordeel over schendingen van privacy in individuele gevallen wordt overgelaten van het College bescherming persoonsgegevens.

De NZa heeft in de eerste jaren van de uitvoering van de Zorgverzekeringswet thematische privacy- onderzoeken uitgevoerd bij verzekeraars. Thematisch onderzoek is onderzoek dat zich uitstrekt over meer uitvoeringsorganen tegelijk, waarbij de werking van het systeem of van systeemonderdelen onder de loep wordt genomen. Daarbij is onder andere getoetst aan de voor de verzekeraars geldende gedragscode. De resultaten daarvan zijn aan de Tweede Kamer der Staten-Generaal meegedeeld (Kamerstukken II, 29 689, nrs 190 en 272). De resultaten waren dermate positief dat kon worden overgegaan op toezicht op basis van signalen.

De NZa is in 2012 is overgegaan op nieuw (en beter) systeem van registratie van signalen. De informatie die ik in antwoord op de vragen van de leden van de SP-fractie van de NZa heb ontvangen heeft dan ook betrekking op de periode vanaf januari 2012. De NZa heeft sinds januari 2012, 31 signalen ontvangen over (vermeende) schendingen van de privacy. Van die 31 signalen hadden er 19 betrekking op het (te) snelle beroep dat verzekeraars of aanbieders deden op het recht van privacy. Dit recht is in die gevallen gebruikt om gevraagde informatie over een factuur niet te verstrekken, of om aan te geven dat de verzekeraar zelf geen beschikking had over bepaalde informatie. De overige twaalf signalen betroffen allemaal verschillende individuele situaties, bijvoorbeeld het opnemen van een telefoongesprek voor scholingsdoeleinden of ouders niet op de hoogte stellen van de behandeling van hun kind. Van deze signalen zijn er acht doorverwezen naar het College bescherming persoonsgegevens.

Reactie op de brief die de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG) op 1 maart 2013 naar de Tweede Kamer stuurde

1.

Waarom is bij het opstellen van dit wetsvoorstel geen rekening gehouden met de Gedragscode EGiZ?

Er zijn geen onderdelen van de gedragscode EGiZ in het wetsvoorstel of de toelichting daarop opgenomen. Enerzijds vormt een gedragscode een concrete uitwerking van de toepasselijke relevante wettelijke normen en niet andersom. Anderzijds was bij het opstellen van het wetsvoorstel van een definitieve gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) nog geen sprake.

2.

Op welke elektronische uitwisselingssystemen is het wetsvoorstel van toepassing? Met andere woorden: wat wordt in dit wetsvoorstel wel en wat niet verstaan onder een «elektronisch uitwisselingssysteem»?

Het wetsvoorstel is een generiek wetsvoorstel. Het bevat randvoorwaarden voor het eventuele gebruik van een elektronisch uitwisselingssysteem. Iedere gegevensuitwisseling via elektronische uitwisselingssystemen, moet voldoen aan de vereisten van het wetsvoorstel. Dit geldt voor alle systemen, waaronder de zorginfrastructuur maar evenzeer voor andere al dan niet regionale elektronische systemen voor gegevensuitwisseling in de zorg. Ook de AmvB met technische en organisatorische eisen op grond van artikel 26 van de Wbp is van toepassing op alle systemen en niet alleen op het LSP. Elektronische uitwisselingssystemen zijn elektronische systemen die gegevens tussen verschillende zorgaanbieders uitwisselen. Elektronische systemen die gegevens binnen een zorgaanbieder uitwisselen – ook al is er sprake van verschillende locaties – vallen hier niet onder.

3.

Door wie moet wanneer, hoe (mondeling of schriftelijk) en hoe vaak toestemming aan de cliënt worden gevraagd?

Een zorgaanbieder dient voordat hij gegevens van een cliënt voor uitwisseling beschikbaar stelt, om toestemming te vragen aan die cliënt. Overigens geldt die verplichting nu al op grond van de WGBO (artikel 7:457 BW).

De cliënt kan op grond van het voorgestelde artikel 15a Wbsn-z aangeven of hij brede toestemming geeft voor alle uitwisseling via het desbetreffende elektronische uitwisselingssysteem of dat hij daarbij bepaalde zorgaanbieders of categorieën van zorgaanbieders wil uitsluiten van die gegevensuitwisseling. Het is van belang dat de zorgaanbieder die een cliënt om toestemming vraagt, op grond van het voorgestelde artikel 15c, eerste lid Wbsn-z, de cliënt informatie geeft over zijn rechten bij de elektronische gegevensuitwisseling waarvoor toestemming wordt gevraagd. Dit betekent dat de cliënt moet worden voorgelicht over het feit dat hij zijn toestemming altijd kan intrekken, de reikwijdte van zijn toestemming kan wijzigen (beschikbaar stellen aan meer of minder zorgaanbieders) en ook over het feit dat het geven van generieke toestemming betekent dat bij uitbreiding van het systeem naar meerdere zorgaanbieders, de toestemming automatisch ook geldt voor die nieuwe zorgaanbieders die worden aangesloten. Of en wanneer nieuwe toestemming aan een bepaalde cliënt moet worden gevraagd, zal dus afhangen van de vraag of een cliënt al dan niet generieke toestemming heeft gegeven.

Daarnaast is het zo dat een zorgaanbieder zich in het kader van goede zorg altijd zal moeten afvragen of het nodig is cliënten opnieuw voor te lichten over het geven van toestemming en het eventueel beperken van die toestemming bij belangrijke wijzigingen of uitbreidingen van het elektronisch informatiesysteem. Cliënten kunnen dan opnieuw een bewuste keuze maken en een eerdere generieke toestemming beperken, of juist eerder gemaakte uitsluitingen opheffen.

Bij de toestemmingsvraag zal de zorgaanbieder duidelijke voorlichting moeten geven over het systeem en met welke zorgaanbieders middels dat systeem gegevensuitwisseling mogelijk is. Het gaat erom dat voor de cliënt volstrekt helder is waarvoor hij toestemming geeft en hoever die toestemming reikt.

Geen uitdrukkelijke toestemming hoeft te worden gevraagd als de gegevensverstrekking plaatsvindt tussen zorgverleners die beiden zijn betrokken bij de behandingsovereenkomst of bij zorgverleners die elkaar vervangen, zoals een waarnemend huisarts.

4.

Dienen alle huisartsen, apothekers, e.d. die thans (soms reeds vele jaren) gebruik maken van regionale elektronische uitwisselingssystemen, zoals OZIS, alsnog uitdrukkelijke toestemming te vragen aan hun patiënten?

De verplichting om toestemming te vragen voordat gegevens van een cliënt worden uitgewisseld, geldt nu al op grond van de WGBO (artikel 7:457 BW).

5.

Waarom wordt ten aanzien van de voorafgaande toestemming (art. 23a Wcz, art.15a Wbsn-z) geen uitzondering gemaakt voor push-verkeer binnen de behandelrelatie, zoals in art. 6.2 Gedragscode?

Het is van belang dat de vraag om toestemming om gegevens beschikbaar te mogen stellen via een elektronisch uitwisselingssysteem, wordt onderscheiden van de vraag om toestemming om gegevens die beschikbaar zijn gemaakt via dat systeem te mogen inzien. De vraag om toestemming om gegevens beschikbaar te mogen stellen via een elektronisch uitwisselingssysteem als bedoeld in artikel 15a Wbsn-z, wordt gedaan op een moment dat nog niet duidelijk is welke zorgaanbieders in de toekomst die gegevens zullen inzien. Voor een elektronisch uitwisselingssysteem waarbij de medische gegevens bij de brondossierhouder blijven betekent deze vraag feitelijk of de cliënt het goed vindt dat de deur naar een beveiligde corridor van het slot wordt gehaald zodat andere (eventueel door de cliënt nader bepaalde) zorgaanbieders die ook aan die beveiligde corridor zijn aangesloten die deur op een later moment – nadat zij daartoe wederom toestemming vragen – zonder hulp van de brondossierhouder kunnen openen. Voor zover een elektronische uitwisselingssysteem werkt met pushverkeer waarbij gegevens uit het brondossier naar dat systeem worden gestuurd zodat ander zorgaanbieders in de toekomst die gegevens kunnen raadplegen, zal ook voorafgaande toestemming op grond van artikel 15a Wbsn-z gevraagd moeten worden. Het betreft namelijk het beschikbaar stellen van gegevens die in potentie ook geraadpleegd kunnen worden door zorgaanbieders die niet bij de behandelrelatie zijn betrokken. Wat hierover in artikel 6.2 van de Gedragscode wordt gezegd, is daar geheel mee in overeenstemming: pushverkeer zonder uitdrukkelijke toestemming van de cliënt is toegestaan voor zover dat plaatsvindt binnen de behandelrelatie, maar daarbuiten moet toestemming worden gevraagd. Met de toestemmingsvraag voorafgaand aan het beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem is niet beoogd verandering te brengen in het toestemmingsvereiste zoals dat nu geldt op grond van de WGBO (art. 7:457 BW). Bepalend criterium voor het al dan niet moeten vragen van voorafgaande toestemming aan de cliënt om gegevens beschikbaar te stellen, is en blijft of de gegevens potentieel beschikbaar worden gesteld aan niet bij de behandelingrelatie betrokken zorgaanbieders of dat de gegevens enkel worden gebruikt door zorgaanbieders die betrokken zijn bij de behandelingsovereenkomst of beschikbaar zijn voor waarnemers. In de eerste genoemde situatie moet de toestemmingvraag worden gesteld, in de tweede niet.

6.

Wat wordt wel en niet verstaan onder «rechtstreeks betrokken bij de zorgverlening»? Wat is «zorgverlening» (de WGBO spreekt in dit verband over «rechtstreeks betrokken bij de uitvoering van de behandelingsovereenkomst»). Wie vallen wel en niet onder het begrip «vervanger van de zorgaanbieder»? Is een huisarts op een huisartsenpost een «vervanger»? Zijn apothekers elkaars «vervanger? Ís de ziekenhuisapotheker de «vervanger» van de openbare apotheker?

Zoals aangegeven in de nota naar aanleiding van het verslag, was artikel 15b Wbsn-z volledig geënt op artikel 7:457 BW waarmee wordt beoogd dat onder degenen die rechtstreeks betrokken zijn bij de zorgverlening, net als in de WGBO moet worden verstaan: de verpleegkundige, de doktersassistent of bijvoorbeeld de collega- vakgenoot die over de te verlenen zorg wordt geraadpleegd. Ook met de «vervanger van de zorgaanbieder» wordt hetzelfde bedoeld als in de WBGO wordt bedoeld met de «vervanger van de hulpverlener». Naar aanleiding van deze vraag en de vragen in het verslag van de Tweede Kamer, heb ik bij nota van wijziging een definitie opgenomen van «behandelrelatie» en van «zorgverlener» stel ik een aanpassing van artikel 15b voor, om mogelijke misverstanden over de reikwijdte van de toestemming tot raadpleging weg te nemen.

7.

Waarom is in het wetsvoorstel niet gekozen voor een toetsing van de behandelrelatie (art. 5.6 Gedragscode EGiZ) in plaats van de dubbele toestemming (ook voor raadpleging)?

Met de bij vraag 6 genoemde aanpassing van artikel 15b en het opnemen van een definitie van «behandelrelatie» wordt beter duidelijk wanneer toestemming voor raadpleging van gegevens moet worden gevraagd. Zoals ik ook heb aangegeven in de nota naar aanleiding van het verslag, hecht ik eraan dat – bij de start van een nieuwe behandelrelatie – uitdrukkelijk wordt gevraagd of de cliënt ermee in kan stemmen dat in het elektronisch uitwisselingssysteem beschikbare gegevens worden geraadpleegd. Zeker wanneer een cliënt al langere tijd geleden generieke toestemming heeft gegeven om zijn gegevens beschikbaar te stellen, heeft hij op dat moment nog de mogelijkheid een bewuste afweging te maken of raadpleging binnen deze nieuwe behandelrelatie ook wenselijk is.

8.

Waarom stelt het wetsvoorstel «toestemming» als voorwaarde en niet «uitdrukkelijke toestemming» (zoals bedoeld in art. 23 Wbp)?

Hoewel het woord «uitdrukkelijk» niet wordt gebruikt in de «opt-in»-artikelen van dit wetsvoorstel, is en blijft uitdrukkelijke toestemming vereist. Ik heb de Kamer voorgesteld om – voor alle duidelijkheid en om misverstanden te voorkomen – bij nota van wijziging in artikel 15a «uitdrukkelijk» op te nemen.

9.

Leidt de toestemming voor raadpleging (art. 15b Wbsn-z) in combinatie met het recht van patiënten op het uitsluiten van toegang niet tot een ongewenste (en onvoorziene) doublure?

Als een elektronisch uitwisselingssysteem zodanig is ingericht dat een zorgverlener kan zien dat een patiënt geen toestemming heeft gegeven zijn gegevens beschikbaar te stellen of bepaalde zorgverleners van de gegevensuitwisseling heeft uitgesloten, hoeft een zorgverlener de vraag om gegevens in te mogen zien niet meer te stellen. De vraag om toestemming gegevens in te zien is dan ook vooral relevant als een cliënt zijn gegevens beschikbaar heeft laten stellen. De vraag om toestemming de gegevens in te mogen zien, geeft de cliënt de mogelijkheid om op dat specifieke moment en bij die specifieke zorgverlener nog de afweging te maken of hij wil dat die zorgverlener zijn gegevens die andere zorgverleners over hem hebben, wil delen met deze zorgverlener.

10.

Welke «categorieën van zorgaanbieders» kunnen door de cliënt worden uitgesloten van toegang? Betreft het bijvoorbeeld bepaalde specialismen of zorgaanbieders in een bepaalde regio of instelling of zorgaanbieders met een bepaalde religieuze overtuiging?

Naast het geven van generieke toestemming hebben cliënten ook andere opties om toestemming te geven of juist te onthouden. Op grond van artikel 15a, tweede lid, Wbsn-z, kan de cliënt bepaalde zorgaanbieders of categorieën van zorgaanbieders uitsluiten. Aangezien onder de definitie van «zorgaanbieders» ook individuele BIG-geregistreerde zorgverleners vallen, kan een cliënt ook een individuele zorgverlener uitsluiten van gegevensuitwisseling. Bij een categorie van zorgaanbieders kan bijvoorbeeld worden gedacht aan het uitsluiten van een bepaald «type» zorgverleners, zoals tandartsen of psychologen. Gelet op de in ons land geldende grondrechten zal het uitsluiten van bepaalde zorgaanbieders op grond van religieuze overtuiging alleen mogelijk zijn als een individuele cliënt bepaalde zorgaanbieders uitsluit van uitwisseling van zijn gegevens door ze bij naam te noemen.

11.

Waarom beperkt het wetsvoorstel de informatieplicht van zorgaanbieders slechts tot informatie over hun rechten bij elektronische gegevensuitwisseling en worden niet tevens de in art. 4.1 sub a Gedragscode genoemde elementen genoemd?

Zoals toegelicht bij artikel 15c Wbsn-z, zijn deze artikelen waarin is geregeld dat de zorgaanbieder aan cliënten informatie geeft over zijn rechten bij elektronische gegevensuitwisseling, een aanvulling op het bepaalde in de artikelen 33 en 34 Wbp. De punten die artikel 4.1a van de Gedragscode noemt, zijn een uitwerking van genoemde artikelen van de Wbp.

12.

Is het juist dat met het laten meekijken op het beeldscherm van de zorgaanbieder is voldaan aan de plicht tot het verlenen van elektronische inzage?

Het wetsvoorstel bepaalt niet in welke vorm elektronische inzage moet worden gegeven. Dit zou via een beveiligde site kunnen, maar inzage op een scherm bij de zorgaanbieder zelf is ook een vorm van elektronische inzage. Uiteraard moet de privacy gewaarborgd zijn. Inzage aan een balie waar iedereen mee kan kijken, is daarom niet geschikt.

13.

Waarom wordt niet de WGBO gewijzigd maar wordt gekozen voor wettelijke vastlegging van een nieuw doel voor het medisch dossier, te weten: communicatiemiddel tussen hulpverlener en patiënt? Is er informatie (onderzoek) beschikbaar waaruit blijkt hoe de inhoud van een dossier verandert als communicatie tussen hulpverlener en patiënt het doel wordt van de dossierplicht?

Met dit wetsvoorstel wordt geen nieuw doel voor het medisch dossier vastgelegd. De WGBO wordt juist ongemoeid gelaten, waarmee ook de doelstelling van het medisch dossier ongewijzigd blijft. Een zorgaanbieder legt een dossier aan dat hij nodig heeft voor goede en verantwoorde zorgverlening. Ook nu al heeft een cliënt op grond van de WGBO recht op inzage in en afschrift van het hem betreffende dossier. Daaraan wordt in dit wetsvoorstel het recht op elektronische inzage en afschrift toegevoegd. De inhoud van een dossier zal daarvoor niet hoeven te veranderen.

14.

Waarom wordt niet gewacht met de invoering van een recht op elektronische inzage en afschrift totdat de Europese Algemene Verordening Gegevensbescherming, die dit recht bevat, in werking treedt?

Dit wetsvoorstel geeft uitwerking aan in 2011 ingediende moties door de Eerste en Tweede Kamer. Op het moment dat de Europese Algemene Verordening Gegevensbescherming van kracht gaat worden, zal worden bezien of aanpassing van de wetgeving aan die verordening noodzakelijk is.

15.

In de praktijk bestaat onzekerheid over de bewaartermijn voor logbestanden. Waarom stelt het wetsvoorstel geen reële bewaartermijn van een jaar voor logbestanden voor?

Wat betreft logging wordt aangesloten bij NEN 7513.

In de technische AMvB op grond van artikel 26 Wbp zal de bewaartermijn worden vastgesteld. Met de KNMG is nu afgesproken dat de vertegenwoordigende organisaties van zorgaanbieders en patiënten, overeenkomstig het bepaalde in NEN 7513 – in samenspraak met het CBP – overleggen over een reële bewaartermijn voor logging. Een goed onderbouwd voorstel zal worden overgenomen in de AMvB op grond van artikel 26 Wbp.

16.

Moeten zorgaanbieders aan minderjarigen die de leeftijd van 16 jaar bereiken bevestiging vragen van de toestemming of de weigering daarvan die hun wettelijke vertegenwoordigers eerder namens hen hebben gegeven?

Inderdaad zal aan een cliënt die 16 jaar is geworden moeten worden gevraagd of de toestemming, eventuele uitsluitingen of weigering van zijn ouders om gegevens beschikbaar te stellen via een elektronisch uitwisselingssysteem, blijven gelden of aangepast moeten worden.

17.

Hoe groot schat de Minister in dat verband de nadelen in voor de bestrijding van kindermishandeling als ouders elektronisch inzage kunnen hebben in de medische dossiers van hun kinderen of hun kinderen daartoe kunnen dwingen?

Ouders die niet uit de ouderlijke macht zijn ontzet hebben ook nu al het recht om het medisch dossier van hun kind in te zien. Of de toevoeging van het recht op elektronische inzage een negatief effect zal hebben op de bestrijding van kindermishandeling valt dan ook moeilijk in te zien. Wel moet worden opgemerkt dat de laatste volzin van artikel 7:457, derde lid BW (indien de hulpverlener door inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden te verstrekken niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen, laat hij zulks achterwege) ook bij elektronische inzage onverkort van toepassing blijft. Dit punt moet goed overwogen worden bij het opzetten van systemen waarbij cliënten op elk gewenst moment kunnen inloggen om hun dossier of dat van hun kind in te zien.

18.

Waarom wordt in de Memorie van Toelichting naar verouderde NEN normen over informatiebeveiliging verwezen?

Wat de KNMG bedoelt met verouderde NEN-normen is niet duidelijk. Genoemde normen zijn gewoon van kracht. In de AMvB op grond van artikel 26 Wbp zal worden verwezen naar de meest recente versies van de toepasselijke NEN-normen.

19.

Wordt de algemene maatregel van bestuur die de specifieke functionele, technische en organisatorische eisen zal regelen via een voorhangprocedure aan het parlement voorgelegd?

De Wbp voorziet niet in een formele voorhangprocedure maar gezien het verzoek van meerdere Kamerfracties om van het concept van deze AMvB kennis te kunnen nemen is deze, samen met het door het CBP uitgebrachte advies, als bijlage toegevoegd aan de nota naar aanleiding van het verslag.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers