Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 26 september 2022
Vorige week sprak ik met uw Kamer over het wetsvoorstel Elektronische gegevensuitwisseling in de zorg (hierna ook: Wegiz) (Handelingen II 2021/22, nr. 108). Bij dit wetsvoorstel is een groot aantal amendementen ingediend. Omdat sommige amendementen inmiddels gewijzigd zijn, neem ik uw Kamer graag mee in mijn aangepaste appreciaties op deze gewijzigde amendementen. Ook maak ik van de gelegenheid gebruik om dieper in te gaan op mijn inzet om te komen tot een beter functionerende ICT-markt. Daarnaast ga ik in op de toelichting van de Ministeries van Defensie en Justitie & Veiligheid op amendement nr. 10 en geef ik invulling aan mijn toezegging aan de heer Hijink (SP) om informatie over end-to-end encryptie in relatie tot de Wegiz met uw Kamer te delen.
De Wegiz en uitwisseling met patiënten
Het is tijdens de behandeling van het wetsvoorstel regelmatig gegaan over de ontsluiting van gegevens via een persoonlijke gezondheidsomgeving (PGO). Ik hecht veel belang aan goed functionerende PGO’s, zoals ook opgenomen in het coalitieakkoord. Ik onderzoek daarom hoe gegevensontsluiting naar PGO’s minder vrijblijvend kan worden gemaakt, zoals ik uw Kamer heb laten weten in mijn brief van afgelopen juni1.
Bij het voorliggend wetsvoorstel ligt nu een gewijzigd amendement van de leden Van den Berg en Paulusma over de uitwisseling van gegevens met de persoonlijke gezondheidsomgeving van patiënten2. Ik vind het belangrijk om per uitwisseling te kunnen bepalen hoe de verplichting om via PGO te kunnen ontsluiten tot stand moet komen. Dit amendement biedt hier na aanpassing genoeg ruimte voor en ik laat het oordeel over het gewijzigde amendement daarom aan de Kamer. Ik onderzoek aanvullend of er meer nodig is om te komen tot minder vrijblijvende ontsluiting van gegevens aan PGO’s.
Een eerste stap is gezet door dit nu ook onder de Wegiz (en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg) te brengen.
De Wegiz en interoperabiliteit
Het uiteindelijke doel van het wetsvoorstel is om tot maximaal interoperabele gegevensuitwisseling te komen. Hiertoe dient het gewijzigd amendement van de leden Van den Berg en Hijink nr. 43 over een jaarlijkse verantwoordingsplicht aan het parlement over het gebruik van spoor 1 (Kamerstuk 35 824, nr. 43)3. Dit aangepaste amendement ziet er op toe dat ik in het geval van een spoor 1-aanwijzing jaarlijks rapporteer aan de Kamer over hoe de ontwikkeling naar een spoor 2-aanwijzing vordert en welke stappen ik zet om dit te bereiken. Dit geeft de Kamer goed zicht op welke stappen het zorgveld onder mijn regie zet. Daarom geef ik het aangepaste amendement oordeel Kamer.
De Wegiz en de ICT-markt in de zorg
Ik deel de zorgen van uw Kamer over de staat van de huidige ICT-markt in de zorg. In mijn brief over de ICT- markt in de zorg van 4 september jl.4 gaf ik aan dat ik vastberaden ben om deze beter te laten werken. Twee amendementen ondersteunen het komen tot een gezonde ICT-markt. Zowel het amendement van de leden Van den Berg en Hijink over verplicht gebruik van open en waar mogelijk internationale standaarden (API)5 als het gewijzigde amendement van het lid Van den Berg over eisen voor informatietechnologieproducten of -diensten6 zullen met de voorgestelde aanpassingen het openmaken van de ICT-markt vergemakkelijken.
Door de koppelvlakken (API’s) onder de Wegiz te brengen, wordt het communiceren tussen twee systemen eenvoudiger geregeld. Ik heb uw Kamer eerder laten weten7 met een API-strategie te komen en dat de bereidheid uit het zorgveld om hieraan mee te werken groot is. In het eerste kwartaal van 2023 deel ik de API-strategie met uw Kamer en kunnen de eerste API’s opgenomen worden in een toegankelijke bibliotheek. Het ingediende amendement sluit daarop aan door vervolgens het gebruik van deze API’s per uitwisseling te verplichten. Het amendement heb ik bij de wetsbehandeling reeds oordeel Kamer gegeven.
Het oorspronkelijke amendement over basiseisen sloot onvoldoende aan bij de Wegiz. In de eerste plaats richt de Wegiz zich alleen op de uitwisseling van gegevens, niet op het verwerken van die gegevens in het zorginformatiesysteem zelf. Het was onduidelijk wie de eisen stelde en hoe de verhouding van deze eisen was met de normen die per AMvB onder de Wegiz verplicht worden. Het gewijzigde amendement over eisen voor informatietechnologieproducten of -diensten8 is in lijn met wat ik met dit wetsvoorstel voor ogen heb. Namelijk dat systemen niet alleen met elkaar uit moeten kunnen wisselen, maar ook dat overstappen tussen verschillend systemen moet worden vergemakkelijkt. Dit is complementair aan het stelsel met normen binnen de Wegiz, en verkleint de afhankelijkheid van een leverancier, het zogenaamde vendor lock-in effect. Dat vraagt eenvoudige toegang tot geregistreerde gegevens. In deze vorm kan ik dit amendement oordeel Kamer geven.
Wat betreft het amendement van de leden Van den Berg en Hijink over een vergunningplicht voor systemen voor gegevensuitwisseling van ziekenhuizen9. De Wegiz voorziet in een stelsel van certificering waarbij ook informatietechnologieproducten alleen gebruikt kunnen als ze conform de Wegiz normen uitwisseling kunnen ondersteunen. Ik kan me voorstellen dat er meer eisen gesteld moeten en kunnen worden, zoals ik ook aangegeven heb bij het aangepaste amendement over verplichte basiseisen. Echter, in deze vorm brengt dit amendement zoals gezegd grote problemen met zich mee voor de uitvoerbaarheid van deze wet indien aangenomen en het beoogde stelsel hieromheen.
De Wegiz is te typeren als een technisch wetsvoorstel die er voor zorgt dat afspraken omtrent taal en techniek die partijen maken en juridisch afdwingbaar worden, zodat de vrijblijvendheid van zorgpartijen en IT-leveranciers verdwijnt. Het voorgestelde amendement is van een heel andere orde dan de Wegiz. Het is een compleet nieuw onderwerp waarvoor door mij geen zorgvuldige beleidsafweging heeft kunnen plaatsvinden. Of ingrijpen via een vergunningsstelsel in de ICT-markt waarbij eisen gesteld worden aan winstmarges, tariefopbouw en op de andere genoemde onderdelen in het amendement doeltreffend is, uitvoerbaar, financieel haalbaar, niet in strijd komt met nationale of Europese wetgeving, en past binnen ander nationaal en Europees beleid, heb ik niet in deze korte tijd kunnen beoordelen, mede omdat zoals eerder aangegeven dit amendement geen aansluiting heeft bij de overige artikelen van de Wegiz.
Ik ontraad daarom met klem dit amendement, omdat hiermee grote vertraging zal ontstaan voor de geprioriteerde gegevensuitwisselingen. Ik verzoek uw Kamer mijn reeds lopende beleidstraject op ICT-markt af te wachten waar ik de strekking van dit amendement ook meeneem. Ik ga met de NZa in gesprek of een vergunningstelsel buiten de Wegiz wel vorm kan krijgen en informeer uw Kamer hierover begin 2023 over de uitkomsten. Op dit moment ben ik zoals aangekondigd in eerder genoemde brief van 4 september jl. bezig met een onderzoek over wat mijn mogelijkheden zijn om de ICT-markt op orde te brengen. Want naast deze toevoegingen aan de Wegiz is er meer nodig om iets te doen aan de hoge winsten in de zorg ICT. Buitensporig hoge winsten in de zorg-ICT vind ik onwenselijk, want het gaat hier om publiek geld. Ik begin daarom een juridisch onderzoek, naar wat binnen wettelijke kaders van marktwerking en binnen de Europese kaders mogelijk is en informeer u hierover begin 2023.
Bovendien wil ik de inkoopkracht van zorgpartijen verder versterken, door gebruikersverenigingen tot stand te laten komen. Tegelijkertijd wil ik ook beter met leveranciers samenwerken. Dit wil ik bereiken door het inzicht voor leveranciers te gaan verbeteren in de planning van de trajecten die vanuit VWS lopen in samenhang met grote landelijke projecten. Tot slot wil ik kijken of ik met een convenant of gedragscode leveranciers kan binden aan hun maatschappelijke verantwoordelijkheid.
In de ingezette trajecten neem ik graag de elementen mee die in de verschillende amendementen en de inbreng van de deelnemende fracties tijdens de plenaire behandeling van de Wegiz en het commissiedebat Gegevensuitwisseling /-bescherming in de zorg / E-Health/Slimme zorg / Administratieve lasten van 15 september jl. zijn meegegeven.
De Wegiz en het strafrechtelijk kader
In het debat van vorige week heb ik aangegeven dat de Ministeries van Defensie en Justitie en Veiligheid praktische bezwaren zien bij het laten vervallen van de uitzondering zoals voorgesteld in het amendement van het lid Van den Berg over het laten vervallen van de uitzondering voor zorg in strafrechtelijk kader (35 824-10). Hieronder vindt u de overwegingen van beide ministeries waardoor ik het amendement moet blijven ontraden.
Oordeel Ministerie van Defensie
Hoewel het Ministerie van Defensie toezegt de gegevensuitwisseling conform de Wegiz te willen realiseren, lukt dit niet altijd onder operationele omstandigheden. Met de beelden van de oorlog in Oekraïne voor ogen zult u begrijpen dat de systemen voor gegevensuitwisseling in die omstandigheden er niet altijd zijn, of niet altijd zullen functioneren. De certificering van de informatietechnologieproducten en -diensten voor het verlenen van zorg onder operationele omstandigheden zal daarmee niet mogelijk zijn. Daar waar de systemen in operationele omstandigheden wel functioneren, zal het Ministerie van Defensie de gegevens conform de Wegiz delen, tenzij die elektronische uitwisseling van gegevens een belemmering vormt voor de operationele inzet. In dat geval wisselt Defensie in principe geen elektronische gegevens uit. Het Ministerie van Defensie vraagt nadrukkelijk geen uitzondering voor de reguliere omstandigheden.
Oordeel Ministerie J&V
Binnen de zorgverlening in strafrechtelijk kader is – daar waar dat verantwoord is – reeds sprake van elektronische uitwisseling van gegevens. In de situatie dat dit niet verantwoord is, bestaat de mogelijkheid om dat op andere wijze te doen. Die mogelijkheid dient behouden te blijven. De kern is dat verplichte elektronische gegevensuitwisseling als beoogd in het wetsvoorstel, op het terrein waar zorg en strafrecht elkaar raken juist ook extra risico's voor die veiligheid met zich meebrengt. Met name voor de personen op wie die gegevens betrekking hebben. Denk daarbij aan personen van wie de verblijfplaats onder geen beding bekend mag raken bij kwaadwillende derden en waarbij elektronische gegevensuitwisseling juist altijd direct of indirect herleidbare gegevens bevat terzake diens verblijfplaats.
Het kan niet zo zijn dat via het kanaal van de zorggegevens er gegevens uit het strafrechtsysteem worden gemengd als dat onverantwoord is (met name waar het gaat om het hoogste veiligheidssegment). Het kan daarbij ook gaan om bescherming van (medisch) personeel van DJI of van de zorgverlener die de gegevens ontvangt. De recente ontwikkelingen in het kader van de ondermijning laten zien dat bijzondere aandacht voor dit aspect op zijn plaats is. Dit laat – zoals in de toelichting op het wetsvoorstel is beschreven – onverlet dat waar mogelijk de in dit wetsvoorstel voorziene wijze van uitwisselen van gegevens wordt gevolgd. In een omgeving waarin zich zeer gevaarlijke criminelen en patiënten begeven, kan het één op één aansluiten op het wetsvoorstel onder omstandigheden betekenen dat de veiligheidsrisico’s te groot zijn.
Daarom is het belangrijk dat in de justitiële inrichtingen (jeugdinrichtingen, penitentiaire inrichtingen en tbs-instellingen) de Minister die verantwoordelijk is voor de tenuitvoerlegging van straffen en maatregelen primair de regie blijft houden over de mate en het tempo waarin de stappen worden gezet.
De Wegiz en beveiliging van gegevens
Ik heb toegezegd terug te komen op de zorgen van de heer Hijink over de eisen aan de beveiliging van gegevens die onder de Wegiz gesteld worden. Het uitsluitend verplicht stellen van end-to-end encryptie levert technische en praktische problemen op, die de kwaliteit van zorg niet ten goede komen en in potentie tot gevaarlijke situaties kan leiden. Medicatiegegevens kunnen bijvoorbeeld uit verschillende bronnen (huisarts, apotheken) afkomstig zijn, die niet dezelfde taal dan wel eenheid van taal hanteren. Bij toepassing van end-to-end encryptie op de afzonderlijke berichten wordt het onmogelijk om de vertaalslag te maken en informatie uit verschillende gegevensbronnen te combineren en daarmee effectief uit te wisselen.
Er zijn meerdere manieren om tot een passende beveiliging te komen. End-to-end encryptie is één manier om data bij uitwisseling te beschermen. Het is ook niet de enige maatregel om te komen tot veilige omgang met gegevens. Welke beveiligingsmaatregelen het meest passend zijn bij een bepaalde uitwisseling is de verantwoordelijkheid van de betrokken partijen. Daarbij geldt dat voor wat noodzakelijke passende technische en organisatorische maatregelen zijn conform art. 32 AVG voor de zorg nader is uitgewerkt in het Besluit elektronische gegevensverwerking door zorgaanbieders. Daarin staat dat zorgaanbieders moeten voldoen aan de NEN7510, NEN7512 en NEN7513 normen.
NEN 7512 bevat de voorschriften die relevant zijn voor de beveiliging van communicatie in de zorg. In deze norm wordt onder andere meerlaagsbeveiliging voorgeschreven. Dat betekent dat het doorbreken van één beveiligingslaag niet automatisch mag leiden tot het gecompromitteerd raken van de gegevens in de communicatie doordat er teruggevallen kan worden op een tweede beveiligingslaag. NEN 7512 bereikt zodoende passende beveiliging zonder in alle gevallen end-to-end encryptie voor te schrijven, wat in de praktijk tot problemen kan leiden en ook niet in alle gevallen nodig is.
Slot
Tot slot wil ik de Kamer graag bedanken voor de gedachtewisseling die wij over het wetsvoorstel hebben gehad. Ik heb in deze brief gereageerd op de laatste versies van de amendementen die ik hiervan onder ogen heb gekregen. Ik hoop op steun om met dit wetsvoorstel een belangrijke stap te zetten in het verbeteren van de elektronische uitwisseling van gegevens in de zorg.
De Minister van Volksgezondheid, Welzijn en Sport, E.J. Kuipers