Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, wil ik de leden van de fracties van de VVD, D66, de PVV, het CDA, de SP, GroenLinks, PvdD en de SGP danken voor hun inbreng op het voorliggende wetsvoorstel houdende regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg). Ik stel vast dat de leden van de verschillende fracties de doelen van het wetsvoorstel onderschrijven. Met belangstelling heb ik kennisgenomen van de vragen die de verschillende fracties nog bij het wetsvoorstel hebben. De beantwoording van de vragen is geplaatst in de integrale tekst van het verslag. Met deze nota naar aanleiding van het verslag ontvangt u ook een nota van wijziging, waarmee verduidelijkt wordt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens.

I. ALGEMEEN

De leden van de PVV-fractie zouden graag een overzicht ontvangen van alle concrete stappen die er door het veld gezet zijn ten aanzien van het elektronisch uitwisselen van medische gegevens sinds het verwerpen door de Eerste Kamer van het wetsvoorstel voor het Elektronisch Patiënten Dossier (EPD/LSP). Aanvullend hierop zien deze leden graag een toelichting waarom dit nog niet genoeg is en waarom de regering nu aan zet is.

Door het veld zijn – met ondersteunende programma’s en maatregelen van mijn ministerie – belangrijke stappen in de goede richting gezet en is er een basis gelegd op weg naar het realiseren van genormaliseerde, en daarmee onafhankelijk van een specifieke elektronische infrastructuur, uitwisseling van gegevens. Het zorglandschap en de bijbehorende gegevensuitwisseling zijn evenwel decentraal ingericht. Daarom heb ik alleen een globaal overzicht van de stappen die door het veld zijn gezet.

Ondanks de stappen die in de afgelopen jaren door het zorgveld zijn gezet, is de gewenste volledig interoperabele gegevensuitwisseling tot op heden niet gerealiseerd. Dit blijkt uit het genoemde globale overzicht, praktijkvoorbeelden, en het verzoek vanuit zowel het veld als uw Kamer1 aan het kabinet om meer regie te nemen. Met dit wetsvoorstel wil ik graag tegemoetkomen aan dit verzoek en wordt de gevraagde regie genomen.

Genoemde leden van de PVV-fractie constateren dat tijdens de coronacrisis de digitalisering in de hele zorgsector een enorme vlucht heeft genomen. Gegevensuitwisseling kwam tot stand zonder wetgeving, zonder kwaliteitsstandaarden en certificering. Kan de regering hierop reflecteren en nogmaals het belang van dit wetsvoorstel uitleggen nu er al zo’n omvangrijke inhaalslag is behaald?

Zoals de PVV-fractie aangeeft heeft de coronacrisis er inderdaad voor gezorgd dat digitalisering in de zorg een hoge vlucht heeft genomen. Maar waar op het gebied van zorg op afstand toepassingen breder werden ingezet, werd juist op het gebied van gegevensuitwisselingen tekortkomingen bij de verplaatsing van cliënten sterk gevoeld. In de zorg worden tussen zorgverleners altijd al gegevens uitgewisseld, en de laatste jaren worden al meer gegevens elektronisch uitgewisseld. Dit gebeurt echter regionaal, soms per zorgaanbieder, ad hoc, en soms – zoals bij de coronacrisis – als reactie op een situatie die een doorbraak kan brengen in bestaande praktijken. Met voorliggend wetsvoorstel wil ik echter een gedegen wettelijke basis creëren om veel gebruikte gegevensuitwisselingen in de zorg verplicht elektronisch uit te wisselen. Waarbij ook oog is voor onder andere techniek, informatiebeveiliging en authenticatie.

De leden van de PVV-fractie zijn van mening dat de mogelijkheid voor het niet-elektronisch uitwisselen van gegevens moet blijven bestaan. Een simpel voorbeeld is het papieren vaccinatieboekje dat naast een digitale corona-app of een Digital Green Certificate (DGC) blijft bestaan. De leden van de PVV-fractie denken dat zich ook omstandigheden kunnen voordoen dat elektronische uitwisseling niet mogelijk is. Denk aan een storing in het mobiele datanetwerk en de apps niet werken. Of dat in het geval van een datalek uitwisseling via een digitaal netwerk niet kan plaatsvinden. Genoemde leden zijn daarom voorstander van beide mogelijkheden naast elkaar: elektronisch en niet-elektronisch uitwisselen. Zij ontvangen in dit kader graag een reactie van de regering.

Met het voorliggende wetsvoorstel wil ik zorgaanbieders verplichten om de onder hen ressorterende zorgverleners gegevens «ten minste» elektronisch uit te laten wisselen (artikel 2.1, eerste lid van het wetsvoorstel). Het gaat hier om een minimaal vereiste voor de communicatie tussen zorgverleners. Naast of aanvullend op het uitwisselen van gegevens door middel van een elektronische infrastructuur kan nog steeds gebruik gemaakt worden van andere communicatiemiddelen, zoals bijvoorbeeld de telefoon. Dit laatste mag niet in plaats van het uitwisselen door middel van een elektronische infrastructuur plaatsvinden, maar het wetsvoorstel belet zorgverleners dus niet om daarnaast ook op andere manieren te communiceren. Zorgaanbieders moeten zoveel mogelijk voorbereid zijn op door de PVV-fractie genoemde omstandigheden, of voorkomen dat ze in een dergelijke situatie belanden.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Patiënten en zorgverleners zijn immers gebaat bij goede elektronische uitwisseling van medische gegevens. Deze wet kan wat deze leden betreft daarom niet snel genoeg in werking treden. Momenteel wordt immers 40% van de arbeidstijd besteed aan administratie. Ziekenhuizen hebben apothekersassistenten in dienst vrijwel enkel en alleen omdat de gegevens van de apotheken niet volledig zijn. En er zijn jaarlijks 1100 doden door medicatiefouten. Goede elektronische gegevensuitwisseling kan eraan bijdragen hier verbetering in aan te brengen. Deze leden hebben wel nog enkele vragen bij het wetsvoorstel.

De leden van de SP-fractie vragen de regering of er toestemming moet worden gegeven door de patiënt voordat de patiëntgegevens mogen worden gedeeld door de zorgverlener. Zo ja, hoe krijgt dit precies vorm? Voorts vragen deze leden wie er toegang krijgt tot de patiëntgegevens die elektronisch worden gedeeld. Worden deze enkel gedeeld met zorgverleners die een behandelrelatie hebben met de patiënt?

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als bedoeld in de Algemene verordening gegevensbescherming (hierna: AVG), een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens als bedoeld in de AVG en doorbrekingsgrond van het medisch beroepsgeheim als bedoeld in de Wet op de geneeskundige behandelovereenkomst (hierna: Wgbo) en de Wet op de beroepen in de individuele gezondheidszorg (hierna: Wet BIG) is.Als de verwerkingsgrondslag en uitzonderingsgrond «toestemming» is, dan vereist de AVG dat deze toestemming uitdrukkelijk is. Gegevens kunnen dus in de huidige situatie – de inwerkingtreding van dit wetsvoorstel verandert daar niets in – niet uitgewisseld worden als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is.

Daarnaast bepaalt de Wet aanvullende bepalingen verwerking persoonsgegevens zorg (hierna: Wabvpz) dat uitdrukkelijke toestemming gegeven moet worden (zonder uitzondering) indien gezondheidsgegevens van een cliënt vooraf beschikbaar worden gesteld in een elektronisch uitwisselingssysteem. In relatie tot het voorliggend wetsvoorstel betekent dit dat de wetgeving (dat wil zeggen de NEN-norm die voor een gegevensuitwisseling verplicht wordt gesteld) niet zal bepalen dat verplichte elektronische gegevensuitwisseling slechts via een elektronisch uitwisselingssysteem kan. De zorgverlener die gegevens uitwisselt (binnen de wettelijke kaders) kan dit dan immers niet in alle gevallen doen op de wijze zoals voorgeschreven in onderhavig wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke toestemming heeft gegeven.

Wanneer gezondheidsgegevens – na uitdrukkelijke toestemming – vooraf beschikbaar worden gesteld via een elektronisch uitwisselingssysteem kunnen andere zorgaanbieders deze gegevens raadplegen. De toestemmingsvraag moet specifiek zijn. Dit betekent onder andere dat uit de toestemmingsvraag moet blijken welke gegevens op welk moment met welke categorie zorgaanbieders uitgewisseld mogen worden. Het raadplegen door zorgaanbieders is daarbij, zoals de leden van de SP-fractie terecht opmerken, alleen toegestaan wanneer er sprake is van een behandelrelatie met de cliënt. De zorgaanbieder die de gegevens raadpleegt mag ook enkel de gegevens raadplegen die noodzakelijk zijn voor de behandeling van de cliënt.

Het doel is dat het voorliggend wetsvoorstel, tezamen met het andere instrumentarium, zoals overstijgende afspraken en regie op voorzieningen, leidt tot het bereiken van volledige interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen zorgverleners.

De leden van de SP-fractie vragen hoe wordt voorkomen dat er misbruik wordt gemaakt van de toegang van zorgverleners tot patiëntgegevens?

Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming, zoals neergelegd in het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM), de Grondwet, de AVG, de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG), de Wgbo, de wet BIG en de Wabvpz. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens worden dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is.

Om dit te kunnen waarborgen is het verder nodig dat zorgverleners zich op een veilige en betrouwbare manier digitaal kunnen identificeren. Op dit moment gebruiken zorgverleners de zogenaamde UZI-inlogmiddelen; deze worden uitgegeven op het hoogste betrouwbaarheidsniveau (eIDAS Hoog) maar zijn nog niet breed (genoeg) beschikbaar. Zo beschikt nog niet iedere individuele zorgverlener over een UZI-middel. Om ervan verzekerd te zijn dat de uitwisseling van cliëntgegevens toekomstbestendig is, heb ik de opdracht gegeven om de huidige UZI-middelen toekomst bestendig te maken en breed beschikbaar te stellen voor het zorgdomein (zoals aangekondigd in Kamerstukken II 2020/21, 27 529, nr. 219). Ik streef ernaar in de eerste helft van 2022 uw Kamer te informeren over de voortgang van de uitfasering van de UZI-pas en opvolging UZI-register.

De leden van de SP-fractie vragen de regering hoe zorgpartijen worden betrokken bij de uitwerking van een algemene maatregel van bestuur (AMvB) en de verdere uitwerking van deze wet.

De gekozen benadering in het wetsvoorstel zorgt ervoor dat de betrokkenheid van het zorgveld in grote mate vereist is om tot een aangewezen gegevensuitwisseling te komen. Het zorgveld zal in de eerste plaats zelf afspraken moeten vastleggen in een kwaliteitsstandaard over welke gegevens voor het verlenen van goede zorg noodzakelijk zijn om uit te wisselen. Vervolgens draagt het zorgveld een gegevensuitwisseling aan voor de Meerjarenagenda Wegiz (hierna: MJA Wegiz). In geval van een spoor 2-aanwijzing zal een norm worden opgesteld onder auspiciën van het Nederlands Normalisatie Instituut (hierna: NEN). Ook dit zal niet zonder inbreng van het zorgveld tot stand komen. Zowel de concept-NEN norm als de concept-AMvB worden vervolgens ter openbare consultatie gebracht zodat eenieder kan inspreken op de beoogde verplichting tot elektronisch uitwisselen van gegevens in die gegevensuitwisseling.

De leden van de SP-fractie vragen hoe kan worden voorkomen dat eventuele fouten, dan wel onjuiste of onbevoegde gegevensuitwisseling voor patiënten, als gevolg van toenemende gegevensdeling grote gevolgen kunnen hebben (hier waarschuwt de Raad van State voor)?

De verwachting is juist dat de kans op fouten wordt verkleind door de digitalisering. Er hoeven immers minder gegevens te worden overgetypt of opnieuw te worden ingevoerd. Ook hebben cliënten door logging meer zicht op welke gegevens worden gedeeld met welke zorgverlener. Dit geldt ook voor bijvoorbeeld de Inspectie Volksgezondheid en Jeugd (hierna: IGJ) en de Autoriteit Persoonsgegevens (hierna: AP), die door logging beter toezicht kunnen houden op welke gegevens in het zorgproces gedeeld worden. Terecht merkt de Raad van State op dat er een toename zal zijn van gegevensdeling. Dat maakt het eens te meer belangrijk dat er aandacht is voor het zorgvuldig omgaan met (bijzondere) persoonsgegevens. Ik zal daarom bij de opdrachtverlening voor de ontwikkeling van een NEN-norm voor een aan te wijzen gegevensuitwisseling onder andere in het richtinggevende kader aan de NEN meegeven dat de norm dient te verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren – zoals het recht op inzage, rectificatie of gegevenswissing – en het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden en dat de norm dient te verzekeren dat een informatietechnologieproduct- of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder of zorgverlener aan zijn verplichtingen uit de AVG kan voldoen.

De leden van de SP-fractie vragen hoe er binnen het door de regering voorgestelde systeem invulling kan worden gegeven aan de rechten van patiënten onder de Algemene verordening gegevensbescherming (AVG), zoals het recht op inzage, rectificatie of gegevensuitwissing?

Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming. Zo is bijvoorbeeld de AVG, met daarin het recht op inzage, rectificatie of gegevensuitwisseling onverkort van toepassing. Bij de ontwikkeling van NEN-normen zal ik – gezien het belang van gegevensbescherming – bovendien als richtinggevend kader aan de NEN meegeven dat de NEN-norm moet verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren en het mogelijk moet maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden. Daarnaast geef ik als richtinggevend kader mee dat de norm dient te verzekeren dat een informatietechnologieproduct- of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder of zorgverlener aan zijn verplichtingen uit de AVG kan voldoen. Hoe cliënten hun rechten onder de AVG kunnen effectueren zal concreet worden ingevuld bij de uitwerking van een AMvB en het opstellen van de bijbehorende NEN-norm norm en zal in de nota van toelichting bij de AMvB worden toegelicht.

De leden van de GroenLinks-fractie hebben met interesse kennisgenomen van het wetsvoorstel. De leden van deze fractie hebben nog een aantal vragen hierover.

De leden van de PvdD-fractie hebben met interesse kennisgenomen van het wetsvoorstel. De leden lezen enkele goede zaken, maar lezen ook dat er verplicht elektronisch gewerkt moet worden wanneer er sprake is van het delen van medische gegevens. Een dwang tot het elektronisch (ver)werken van/met medische gegevens waar deze leden nog niet van overtuigd zijn. Dit voorstel lijkt nu al te staan of vallen op één belangrijk punt: gaat er decentraal, en dus zonder Landelijk Schakel Punt (LSP), gewerkt worden? Kan de regering dit toezeggen?

Zoals ik vorig jaar in een brief aan uw Kamer heb medegedeeld (Kamerstukken II 2020/21, 27 529, nr. 219) is het beleid erop gericht geen infrastructuren voor specifieke gegevensuitwisselingen te verplichten. Daarmee voldoe ik aan de motie van de leden Van Kooten-Arissen en Hijink waarin wordt opgeroepen niet één infrastructuur te verplichten voor zorgprocessen (Kamerstukken II 2020/21, 27 529, nr. 174). Tegelijkertijd zijn er al infrastructuren met brede dekkingsgraad voor sommige gegevensuitwisselingen in gebruik. Om snel stappen te kunnen zetten – bijvoorbeeld in de reductie van medicatiefouten2- hebben bepaalde sectoren zelf besloten om alsnog aan te sluiten bij het LSP.

De afgelopen jaren is op verschillende manieren gewerkt om de gewenste interoperabiliteit binnen de zorg te realiseren. Met stimuleringsgelden, afspraken met het veld en in verschillende domeinen (zoals jeugd) is elektronisch uitwisselen afgelopen jaren verplicht. Dit wetsvoorstel wil vooral gebruik maken van wat er al ligt, daarmee zijn alle ingrediënten al een keer beproefd. Een voorbeeld van de bestendiging van de praktijk is de inzet van kwaliteits- en informatiestandaarden en verplichte NEN-normen, al dan niet in combinatie met certificering.

In de zorg zijn al verschillende NEN-normen ontwikkeld, voorbeelden van reeds verplichte NEN-normen zijn NEN 7510 en 7512 voor informatiebeveiliging. Met de ontwikkeling van de NEN 7516 voor veilige email is ervaring opgedaan met certificeren; sinds 2020 zijn er inmiddels 16 verschillende leveranciers gecertificeerd. Daarnaast wordt er bij de AMvB waarin Digitaal voorschrijven en ter handstelling (voorheen: Digitaal receptenverkeer) wordt aangewezen gebruik gemaakt van een al bestaande norm (NEN 7503) waar op dit moment een revisie van plaatsvindt. In deze revisie wordt er door de onafhankelijke normcommissie van de NEN ervoor gezorgd dat deze aansluit bij de actuele afspraken en deze gebruikt kan worden voor een wettelijke verplichting onder dit wetsvoorstel.

Met het standaardiseren van specifieke gegevensuitwisselingen bestaat ook ruime ervaring. Zo hebben Nictiz, en andere standaardisatieorganisaties de afgelopen 15 jaar enige tientallen informatiestandaarden voor verschillende gegevensuitwisselingen ontwikkeld en ook geïmplementeerd.

Bij de evaluatie na vijf jaar zal aandacht worden besteed aan de werking van gemaakte systeemkeuzes.

De leden van de SGP-fractie vragen hierbij ook om een reflectie van de regering op het advies van de Afdeling advisering van de Raad van State (RvS), die het een risico acht voor het bereiken van volledige interoperabiliteit dat de invulling van de regierol van de Minister in belangrijke mate wordt begrensd door de benodigde medewerking van betrokken partijen en het bestaande draagvlak. Het zorgveld en de ICT-leveranciers zijn er immers tot op heden nog onvoldoende in geslaagd om interoperabiliteit tot stand te brengen en bovendien zullen de kosten ten laste komen van de bedrijfsvoering van zorgaanbieders, zo concludeert de RvS. Deelt de regering deze analyse?

Om ook op korte termijn snelheid te maken wil ik bestaande initiatieven vanuit het zorgveld zo veel mogelijk ondersteunen. Zoals ik al doe met gegevensuitwisseling bij spoed en medicatieoverdracht (Kamerstukken II 2020/21, 27 529, nrs. 219 en 262).

1. AANLEIDING VAN HET WETSVOORSTEL

De leden van de D66-fractie zien ook de noodzaak van betere digitale uitwisseling van gegevens in de zorg om alle redenen die de regering ook noemt. Wat is volgens de regering de reden dat het in de zorg zoveel meer achterloopt op andere sectoren, zowel bij private partijen als bij uitvoeringsinstanties van de overheid? Zo zien deze leden dat gegevensuitwisseling bij banken, webwinkels en zelfs de overheid vlucht heeft genomen het afgelopen decennium, maar in de toelichting schetst de regering nog altijd een beeld alsof in de zorg de afgelopen tien jaar nauwelijks iets is veranderd. Wat zijn de grootste belemmeringen hiervoor en vormen deze belemmeringen ook de basis voor dit wetsvoorstel? Zo ja, kan de regering dit nader uitleggen? Zo nee, waarom niet?

Ik deel het beeld niet dat er de afgelopen 10 jaar nauwelijks iets is veranderd in de digitalisering van de zorg, integendeel. De afgelopen 10 jaar zijn vele innovaties geïmplementeerd om de zorg voor cliënten grote stappen vooruit te helpen. Wat wel door veel spelers in het zorgveld en in uw Kamer geconstateerd wordt, is dat de centrale regie op deze innovaties, vooral wat betreft het elektronisch uitwisselen van gegevens, ontbrak. Ondanks dat belangrijke stappen in de goede richting zijn gezet, zijn hierdoor de problemen over gebrek aan eenduidige taal en techniek nog niet opgelost. Daarom is het nu tijd om alle goede ontwikkelingen en innovaties proberen te verbinden en op die manier de interoperabele uitwisseling van gegevens te bevorderen.

De leden van de D66-fractie vragen de regering hoe innovatie in de zorg, op het gebied van gegevensuitwisseling, gestimuleerd wordt door deze wet. Denkt de regering dat deze wet bijdraagt aan extra innovatie? Zo ja op welke manier?

Met het wetsvoorstel beoog ik om zorggegevens beter en herhaalbaar elektronisch deelbaar te maken. Door ontsluiting van bestaande zorgsystemen verwacht ik ruimte voor andere toepassingen en daarmee een innovatie in de zorg te stimuleren. Hiermee wordt de gegevensblokkade in de zorgsystemen opgeheven en maakt dat innovatie van beschikbaarheid van zorggegevens toegepast wordt.

De leden van de D66-fractie lezen dat dit wetsvoorstel een onderdeel vormt van de regie die op verzoek van het zorgveld en de Tweede Kamer is gevraagd. Deze leden lezen tevens kritische brieven van datzelfde zorgveld over dit wetsvoorstel. Kan de regering ingaan hoe zorgaanbieders betrokken zijn bij het opstellen van dit wetsvoorstel?

Zorgaanbieders en hun koepels zijn vanaf de eerste beleidsvorming nauw betrokken bij het opstellen van het wetsvoorstel. Zo zijn er open bijeenkomsten georganiseerd waarin zorgaanbieders, zorgverleners en andere belanghebbenden met voorstellen konden komen voor gegevensuitwisselingen waarvan zij vonden dat die met prioriteit gedigitaliseerd moesten worden. Dit leverde in eerste instantie 45 zeer diverse voorstellen op.

Ook het Informatieberaad Zorg is regelmatig geconsulteerd over de aanpak van het wetgevingsprogramma. Ik heb advies ingewonnen bij het Informatieberaad, bijvoorbeeld ten aanzien van de prioritering van gegevensuitwisselingen.

Het wetsvoorstel is daarnaast vanzelfsprekend in internetconsultatie geweest, welke periode verlengd is vanwege de coronacrisis tot drie maanden, waarbij iedereen die wilde kon inspreken op het wetsvoorstel. Ook bij de uitwerking van dit wetsvoorstel in AMvB’s zal het zorgveld intensief worden betrokken.

De leden van de D66-fractie missen een internationale inventarisatie van gegevensuitwisseling in de zorg. Van welke landen kan worden geleerd en wat is hiervan overgenomen?

De leden van de PVV-fractie lezen dat gegevens door de huidige gebrekkige uitwisseling onjuist en onvolledig kunnen zijn met risico’s voor de patiënt. Hoe zorgt dit wetsvoorstel ervoor dat de gegevens wel juist en volledig zijn? Wie controleert dat?

Welke gegevens uitgewisseld moeten worden ten behoeve van de goede zorg of met het oog daarop, wordt in beginsel bepaald door het veld. Op dit moment is niet altijd duidelijk of kenbaar welke gegevens wanneer uitgewisseld moeten worden. In het nieuwe Toetsingskader kwaliteitsstandaarden en meetinstrumenten versie 3.0 van het Zorginstituut Nederland, dat per 1 juli 2021 in werking is getreden, is daarom aangegeven dat kwaliteitsstandaarden waarin een zorgproces staat beschreven, voortaan een informatieparagraaf moeten bevatten. Dit komt de volledigheid en juistheid van de uit te wisselen gegevens ten goede.

In het verlengde hiervan en ten behoeve van de uitvoerbaarheid van dit wetsvoorstel wordt geregeld dat een gegevensuitwisseling pas kan worden aangewezen bij AMvB als in een kwaliteitsstandaard of in wet- en regelgeving is vastgelegd welke gegevens uitgewisseld moeten worden (met uitzondering van de overgangsperiode). Door te eisen dat in kwaliteitsstandaard of in wet- en regelgeving opgenomen wordt welke gegevens uitgewisseld moeten worden, is verzekerd dat deze afspraken kenbaar zijn, en dat alle belanghebbende partijen inbreng hebben kunnen leveren.

Gebrek in eenduidigheid van taal, techniek en een integrale aanpak om tot het elektronisch uitwisselen van gegevens te komen en uiteenlopende belangen van verschillende betrokken partijen leiden op dit moment ook tot onvolledige informatie, geen overdracht of een onduidelijke overdracht van gegevens. Met dit wetsvoorstel wordt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens uitgewisseld moeten worden. Het wetsvoorstel beoogt per gegevensuitwisseling elektronisch uitwisseling van gegevens aan de hand van eisen aan taal en techniek verplicht te stellen, zodat volledige interoperabiliteit wordt bereikt. Dit betekent concreet dat de gegevens voor de ontvangende partij begrijpelijk en leesbaar zijn.

Na inwerkingtreding houdt de IGJ toezicht op de naleving van het bepaalde bij of krachtens de wet. De IGJ is gespecialiseerd in en heeft veel ervaring met het toezicht houden op zorgaanbieders, en heeft daarmee zicht op de aanbieders van informatietechnologieproducten of -diensten.

De leden van de PVV-fractie vragen hoe wordt voorkomen dat straks blindelings van de elektronische gegevens wordt uitgegaan, terwijl er nog steeds wel degelijk fouten in kunnen staan? Wat is in dat kader de laatste stand van zaken ten aanzien van fouten en onvolledige gegevens in medische patiëntendossiers?

Dit alles laat onverlet dat het medische dossier inderdaad onvolledig of foutieve gegevens kan bevatten, of deze nu elektronisch is en elektronisch uitgewisseld wordt of op papier bestaat en per fax uitgewisseld wordt. Dit is nooit helemaal te voorkomen.

In mijn afwegingen neem ik mee dat op grond van voorliggend wetsvoorstel in de aangewezen norm voor een aangewezen gegevensuitwisseling verwezen kan worden naar een norm die eisen stelt aan generieke functies, maar dat zorgbreed soms meer nodig kan zijn. Zoals zorgbrede (eventueel dwingende) afspraken over eisen aan generieke «stekkerdozen», zoals (open) API’s, en aan interoperabiliteit tussen (delen van) infrastructuren, zoals NTA7516 voor veilige mail.

Vast staat dat ik steviger ga sturen op de landelijke totstandkoming van generieke functies en benodigde voorzieningen hiervoor in de zorg-ICT. Zo ontwikkel ik een opvolger van de UZI-pas en heb ik een voorziening ontwikkeld waarmee zorginstellingen via inlogmiddelen zoals DigiD hun digitale dienstverlening kunnen ontsluiten (toegangsverleningsservice/TVS).

Wat betreft een Nationale Digitale Gezondheidsdata-infrastructuur is recent door het kabinet besloten om het voorstel van Health-RI te honoreren. Door vanuit het Nationaal Groeifonds 69 miljoen euro te investeren in Health-RI, kunnen snel stappen gezet worden om gezondheidsdata beter toegankelijk te maken voor gezondheidsonderzoek en -innovatie. Dit is een naast de vele versnellingsprogramma’s en initiatieven uit het veld een aantal van de stappen die het kabinet onderneemt voor het verbeteren van de zorginfrastructuur.

Qua governance wordt door de reeds genoemde preventiecoalitie voorgesteld dat er een Autoriteit Nationale Digitale Gezondheidsdatainfrastructuur komt, die namens de vragers en de rijksoverheid regie voert (vraagbundeling en -articulatie). De huidige governance (Informatieberaad, de Vereniging van Zorgaanbieders voor Zorgcommunicatie en de Taskforce Samen Vooruit opgaan) zouden dan daarin opgaan. De leden van de CDA-fractie vragen of de regering deze gedachte van de preventiecoalitie deelt. Zo nee, waarom niet? Zo ja, wil de regering in dat geval daarvan een meerjarige uitwerking maken in overleg met de initiatiefnemers ervan?

Op dit moment verken ik de wijze waarop de vraagkant versterkt kan worden en effectiever en doelmatiger ingericht. Hierbij kijk ik ook naar goede voorbeelden van andere sectoren en in andere landen. Dit kan bijvoorbeeld door de bundeling van ICT-inkoop in een inkooporganisatie ten behoeve van een coalitie van zorgaanbieders.

De leden van de GroenLinks-fractie hebben enkele vragen over hoe andere landen in Europa gegevens in de zorg uitwisselen. Zijn er landen in Europa waar deze gegevens al worden uitgewisseld en hoe is daar de communicatie gestandaardiseerd? En hoe wordt daar de privacy gewaarborgd?

In de loop van 2021 volgt tevens een Europees wetgevend voorstel voor de Europese ruimte voor gezondheidsdata. De leden van de GroenLinks-fractie vragen of de regering kan aangeven of bij het opstellen van dit wetsvoorstel in overweging is genomen wat de mogelijke consequenties zijn van deze Europese wetgeving voor het voorliggende wetsvoorstel?

Het wetgevend voorstel voor de Europese ruimte voor gezondheidsgegevens (European Health Data Space: EHDS) wordt begin 2022 verwacht, waarna deze in de Europese Raad en het Europees parlement behandel zullen worden. Ik verwacht daarmee dat de definitieve Europese wetgeving niet vóór 2023 in werking zal treden. De EHDS wetgeving zal zich naar verwachting richten op het veilig en betrouwbaar beschikbaar stellen voor wetenschappelijk onderzoek, beleid, publieke gezondheidszorg en grensoverschrijdende behandeling van patiënten, gebruik makend van privacy-respecterende technologieën. Ik zet hierbij in op het op die wijze ontsluiten van bestaande lokale, regionale, nationale en internationale infrastructuren en niet op een centrale Europese verzameling van zorgdata.

Mijn inzet bij het Europees wetgevend voorstel is dat er geen nationale bevoegdheden over de inrichting van de informatievoorziening van de zorg naar Europa verschuiven. Met het wetsvoorstel wil ik de elektronische uitwisseling van gegevens voor de directe zorglevering binnen Nederland regelen. Hiermee creëer ik de juiste randvoorwaarden om de zorggegevens in het kader van de toekomstige EHDS wetgeving grensoverschrijdend te ontsluiten.

De leden van de GroenLinks-fractie vragen of de regering waarom de keuze is gemaakt om nu al met het voorliggend wetsvoorstel te komen, terwijl er nog een Europees wetsvoorstel komt dat mogelijk raakt aan het voorliggende wetsvoorstel?

Het wetgevend voorstel voor de Europese ruimte voor gezondheidsgegevens (European Health Data Space: EHDS) wordt begin 2022 verwacht, waarna deze in de Europese Raad en het Europees parlement behandel zullen worden. Ik verwacht daarmee dat de definitieve Europese wetgeving niet vóór 2023 in werking zal treden. De EHDS wetgeving zal zich naar verwachting richten op het veilig en betrouwbaar beschikbaar stellen voor wetenschappelijk onderzoek, beleid, publieke gezondheidszorg en grensoverschrijdende behandeling van patiënten, gebruik makend van privacy-respecterende technologieën. Ik zet hierbij in op het op die wijze ontsluiten van bestaande lokale, regionale, nationale en internationale infrastructuren en niet op een centrale Europese verzameling van zorgdata.

Het Europese voorstel betreft dus het beschikbaar maken van gegevens voor secundair gebruik. Met het wetsvoorstel richt ik me op de elektronische uitwisseling van gegevens voor de directe zorglevering binnen Nederland (primair gebruik ten behoeve van zorg). Gebruik van gegevens ten behoeve van onderzoek of beleid kan immers pas echt goed als gegevens goed in het primaire proces beschikbaar zijn gemaakt.

Mijn inzet bij dit Europees wetgevend voorstel is dat er geen nationale bevoegdheden over de inrichting van de informatievoorziening van de zorg naar Europa verschuiven. Ik zet hierbij in op het op die wijze ontsluiten van bestaande lokale, regionale, nationale en internationale onderzoekinfrastructuren en niet op een centrale Europese verzameling van zorgdata. Hiermee creëer ik de juiste randvoorwaarden om de zorggegevens in het kader van de toekomstige EHDS wetgeving grensoverschrijdend te ontsluiten.

In aansluiting op het onderwerp van dit voorstel is recent door het kabinet besloten om het voorstel van Health-RI voor een nationale gezondheidsdata-infrastructuur te honoreren. Door vanuit het Nationaal Groeifonds 69 miljoen euro te investeren in Health-RI, kunnen snel stappen gezet worden om gezondheidsdata beter toegankelijk te maken voor gezondheidsonderzoek en -innovatie.

De leden van de GroenLinks-fractie hebben ook nog enkele zorgen over het waarborgen van het recht op privacy binnen het onderliggende wetsvoorstel. Hoe wordt geborgd dat patiënten weten welke zorgverleners welke gegevens uitwisselen en inzien? En hoe worden patiënten beschermd tegen misbruik?

Met persoonsgegevens, waaronder bijzondere persoonsgegevens zoals gezondheidsgegevens, moet zorgvuldig worden omgegaan. Recht op bescherming van persoonsgegevens is van belang met het oog op privacy en toegang tot de zorg en is daarom in internationale en nationale wetgeving geregeld (in onder meer het EVRM, de Grondwet, de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz).

In deze bestaande internationale en nationale wetgeving inzake gegevensbescherming zijn de rechten van cliënten geborgd en worden de cliënten beschermd tegen misbruik. Doordat er altijd sprake moet zijn van een verwerkingsgrondslag en een doorbrekingsgrond van het medisch beroepsgeheim (zoals toestemming), is geborgd dat cliënten weten welke gegevens uitgewisseld worden en worden ingezien. In de Wabvpz is bovendien geregeld dat in het geval van elektronische inzage of afschrift in een elektronisch uitwisselingssysteem een cliënt kan verzoeken om overzicht van wie en wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien. Hiermee is juridisch geborgd dat zorgverleners gegevens dus niet ongeoorloofd mogen inzien.

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens worden dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is.

Om dit te kunnen waarborgen is het nodig dat zorgverleners zich op een veilige en betrouwbare manier digitaal kunnen identificeren. Op dit moment gebruiken zorgverleners de zogenaamde UZI-inlogmiddelen; deze worden uitgegeven op het hoogste betrouwbaarheidsniveau (eIDAS Hoog) maar zijn nog niet breed (genoeg) beschikbaar. Zo beschikt nog niet iedere individuele zorgverlener over een UZI-middel. Om ervan verzekerd te zijn dat de uitwisseling van cliëntgegevens toekomstbestendig is, heb ik de opdracht gegeven om de huidige UZI-middelen toekomst bestendig te maken en breed beschikbaar te stellen voor het zorgdomein (zoals aangekondigd in Kamerstukken II 2020/21, 27 529, nr. 219). Ik streef ernaar in de eerste helft van 2022 uw Kamer te informeren over de voortgang van de uitfasering van de UZI-pas en opvolging UZI-register.

2. DOEL EN HOOFDLIJNEN VAN HET WETSVOORSTEL

De leden van de VVD-fractie hebben in de motie De Vries c.s. ook aangegeven dat de patiënt zeggenschap moet houden of en met wie er gegevens uitgewisseld mogen worden. In de onderhavige wet en toelichting komt dit maar mondjesmaat en summier aan de orde. Kan de regering daarop uitgebreid ingaan? Hoe is dit nu geregeld? Wat is de relatie met deze wet en waarom dat niet expliciet is meegenomen in de voorliggende wet?

Het wetsvoorstel verplicht niet tot het uitwisselen van gegevens. De bij deze nota naar aanleiding van het verslag gevoegde nota van wijziging brengt dit explicieter tot uitdrukking om te voorkomen dat hierover onduidelijkheid kan blijven bestaan. De verplichting ziet alleen op het hoe van de uitwisseling, namelijk op elektronische wijze.

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als bedoeld in de AVG, een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens als bedoeld in de AVG en doorbrekingsgrond van het medisch beroepsgeheim als bedoeld in de Wgbo en de Wet BIG is. Als de verwerkingsgrondslag en uitzonderingsgrond «toestemming» is, dan vereist de AVG dat deze toestemming uitdrukkelijk is. Gegevens kunnen dus in de huidige situatie – de inwerkingtreding van dit wetsvoorstel verandert daar niets in – niet uitgewisseld als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is. Het enkele feit dat een gegevensuitwisseling onder het onderhavige wetsvoorstel wordt aangewezen, brengt geen verplichting voor de zorgverlener met zich mee om de gegevens uit die aangewezen gegevensuitwisseling verplicht uit te wisselen.

Daarnaast bepaalt de Wet aanvullende bepalingen verwerking persoonsgegevens zorg (hierna: Wabvpz) dat uitdrukkelijke toestemming gegeven moet worden (zonder uitzondering) indien gezondheidsgegevens van een cliënt vooraf beschikbaar worden gesteld in een elektronisch uitwisselingssysteem. In relatie tot het voorliggend wetsvoorstel betekent dit dat de wetgeving (dat wil zeggen de NEN-norm die voor een gegevensuitwisseling verplicht wordt gesteld) niet zal bepalen dat verplichte elektronische gegevensuitwisseling slechts via een elektronisch uitwisselingssysteem kan. De zorgverlener die gegevens uitwisselt (binnen de wettelijke kaders) kan dit dan immers niet in alle gevallen doen op de wijze zoals voorgeschreven in onderhavig wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke toestemming heeft gegeven.

Het doel is dat het voorliggend wetsvoorstel, tezamen met het andere instrumentarium, zoals overstijgende afspraken en regie op voorzieningen, leidt tot het bereiken van volledige interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen zorgverleners.

Wanneer gezondheidsgegevens – na uitdrukkelijke toestemming – vooraf beschikbaar worden gesteld via een elektronisch uitwisselingssysteem kunnen andere zorgaanbieders deze gegevens raadplegen. De toestemmingsvraag moet specifiek zijn. Dit betekent onder andere dat uit de toestemmingsvraag moet blijken welke gegevens op welk moment met welke categorie zorgaanbieders uitgewisseld mogen worden. Het raadplegen door zorgaanbieders is daarbij, zoals de leden van de SP-fractie terecht opmerken, alleen toegestaan wanneer er sprake is van een behandelrelatie met de cliënt. De zorgaanbieder die de gegevens raadpleegt mag ook enkel de gegevens raadplegen die noodzakelijk zijn voor de behandeling van de cliënt.

De leden van de VVD-fractie vragen of kan worden aangegeven wanneer de cliënt c.q. patiënt wel en wanneer niet uitdrukkelijk toestemming moet geven voor uitwisseling van gegevens?

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als bedoeld in artikel 6, eerste lid, AVG, een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens als bedoeld in artikel 9 AVG en doorbrekingsgrond van het medisch beroepsgeheim als bedoeld in de Wgbo en de Wet BIG is. Dit kan toestemming zijn, maar ook een wettelijke grondslag. Als de verwerkingsgrondslag en uitzonderingsgrond «toestemming» is, dan vereist de AVG dat deze toestemming uitdrukkelijk is. Daarnaast bepaalt de Wabvpz dat uitdrukkelijke toestemming gegeven moet worden (zonder uitzondering) indien cliëntgegevens vooraf beschikbaar worden gesteld in een elektronisch uitwisselingssysteem. Er is een factsheet beschikbaar waarin uitleg gegeven wordt over het geven van toestemming voor het uitwisselen van medische gegevens tussen zorgverleners.3

De leden van de VVD-fractie vragen wat de ervaringen zijn met het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens, waarin is bepaald dat als een zorgverlener gegevens van een patiënt beschikbaar stelt via een elektronisch uitwisselingssysteem, daarvoor dan expliciet toestemming moet worden gevraagd aan de patiënt? In hoeverre is deze wet ook van toepassing op de voorliggende wet?

De Wabvpz en het wetsvoorstel staan naast elkaar. De Wabvpz beschrijft onder andere hoe er gehandeld dient te worden wanneer er voor uitwisseling gebruik wordt gemaakt van het vooraf beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem. De Wabvpz bepaalt dat dit alleen kan als de cliënt daarvoor uitdrukkelijke toestemming heeft verleend. In relatie tot het voorliggend wetsvoorstel betekent dit dat de wetgeving (dat wil zeggen de NEN-norm die voor een gegevensuitwisseling verplicht wordt gesteld) niet zal bepalen dat verplichte elektronische gegevensuitwisseling slechts via een elektronisch uitwisselingssysteem kan. De zorgverlener die gegevens uitwisselt (binnen de wettelijke kaders) kan dit dan immers niet in alle gevallen doen op de wijze zoals voorgeschreven in onderhavig wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke toestemming heeft gegeven.

De leden van de VVD-fractie vragen in hoeverre het klopt dat juist kwetsbare patiënten voor wie gegevensuitwisseling juist belangrijk is, geen toestemming geven voor gegevensuitwisseling?

In algemene zin zijn bij mij signalen uit de praktijk bekend dat er problemen worden ervaren rondom de grondslagen voor gegevensuitwisseling, waaronder het toestemmingsvereiste valt. Daarom wordt de werking van deze grondslagen op het moment geanalyseerd. In deze analyse zal ook worden meegenomen in hoeverre juist kwetsbare cliënten geen toestemming geven voor gegevensuitwisseling. U ontvangt rond de jaarwisseling een brief hierover. Het wetsvoorstel verandert overigens niets aan de wet- en regelgeving inzake grondslagen voor gegevensuitwisseling en dus ook niet aan de beantwoording van de vraag wanneer en waarvoor toestemming vereist is.

De leden van de VVD-fractie vragen in hoeverre het klopt dat er conflicterende wetgeving is rondom het toestemmingsvereiste om gegevens uit te wisselen? In hoeverre wordt dit in de praktijk wel zo ervaren?

Er zijn signalen uit de praktijk dat er problemen worden ervaren rondom de grondslagen voor gegevensuitwisseling, waaronder het toestemmingsvereiste valt. Daarom wordt dit geanalyseerd. U ontvangt rond de jaarwisseling een brief hierover.

De leden van de VVD-fractie vragen hoe patiënten en cliënten ook worden betrokken bij de totstandkoming van de normen voor elektronische gegevensuitwisseling?

Het normtraject is een onafhankelijk proces gestuurd door de NEN. In de standaardwerkwijze zit opgenomen dat er een representatieve groep belanghebbenden wordt meegenomen in het proces om tot een norm te komen, dus zeker ook (vertegenwoordigers van) cliënten. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook cliënten die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

Via het landelijk schakelpunt worden nu al op beperkte schaal gegevens uitgewisseld tussen bepaalde zorgverleners met toestemming van de patiënt. De leden van de VVD-fractie vragen wat de gevolgen zijn van de voorliggende wet voor het landelijk schakelpunt en de desbetreffende gegevensuitwisseling? Wat is de stand van zaken en wat is de ervaring tot nu toe met het landelijk schakelpunt? Welke lessen kunnen daar ook uit geleerd worden?

Het LSP moet, net als ieder ander informatietechnologieproduct of -dienst die of dat gebruikt wordt in een aangewezen gegevensuitwisseling, voldoen aan de eisen die gesteld worden onder dit wetsvoorstel. Het LSP speelt een belangrijke rol om diverse primaire zorgprocessen te ondersteunen. Op dit moment zijn ruim 6000 zorgaanbieders aangesloten op het LSP. Illustratief voor de meerwaarde die door het zorgveld wordt ervaren, is het uitwisselen van medicatiegegevens en toestemming voor de uitwisseling van informatie over medicatie, contra-indicaties en allergieën van een cliënt. Hiermee krijgen zorgverleners een zo compleet mogelijk medicatieoverzicht. De hoge dekkingsgraad van het LSP is een van de factoren die bijdraagt aan het elektronisch kunnen uitwisselen van gegevens. Het LSP zal echter niet worden aangewezen als verplichte infrastructuur voor aangewezen gegevensuitwisselingen. Dit is in lijn met de structuur van het wetsvoorstel, waarbij genormaliseerde eisen worden gesteld aan taal en techniek, en met mijn beleid om geen individuele ICT-infrastructuren te verplichten voor het uitwisselen van gegevens. Dit heb ik verleden jaar gecommuniceerd aan uw Kamer (Kamerstukken II 2020/21, 27 529, nr. 230) en is in lijn met de motie van de leden Van Kooten-Arissen en Hijink (Kamerstukken II 2020/21, 27 529, nr. 174).

De leden van de VVD-fractie willen verder allereerst graag van de regering een overzicht van de met deze wet annex zijnde AMvB’s, ministeriële regelingen en eventuele andere lagere regelgeving. Met daarbij in ieder geval ook aangegeven hoe de betrokkenheid van de Tweede Kamer is bij die lagere regelgeving (bijvoorbeeld in de vorm van een voorhang- of nahangprocedure)?

In de uiteindelijke situatie zal er sprake zijn van een Wet elektronische gegevensuitwisseling in de zorg, een Besluit elektronische gegevensuitwisseling in de zorg, en een Regeling elektronische gegevensuitwisseling in de zorg. Wanneer het Besluit elektronische gegevensuitwisseling in de zorg in het Staatsblad wordt gepubliceerd, zal deze bestaan uit een algemeen hoofdstuk, en één of enkele aangewezen gegevensuitwisselingen. Door middel van wijzigingsAMvB’s zullen vervolgens gegevensuitwisselingen die op de MJA Wegiz staan – na toetsing – toegevoegd gaan worden aan het Besluit elektronische gegevensuitwisseling in de zorg. Zowel het Besluit elektronische gegevensuitwisseling in de zorg als elk wijzigingsbesluit zal steeds via een voorhangprocedure voorgelegd worden aan beide Kamers der Staten-Generaal.

De leden van de VVD-fractie vragen hoe patiënten en cliënten worden betrokken bij het opstellen van de lagere regelgeving?

Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is in de eerste plaats een kwaliteitsstandaard nodig waarin is opgenomen welke gegevens met het oog op het verlenen van goede zorg moeten worden uitgewisseld. Het opstellen of wijzigingen van een kwaliteitsstandaard geschiedt tripartiet, dat wil zeggen door organisaties van cliënten, zorgaanbieders of zorgverleners en zorgverzekeraars of Wlz-uitvoerders. Wanneer een gegevensuitwisseling op de MJA Wegiz is geplaatst en de uitkomsten van de MKBA en volwassenheidscan positief zijn wordt gestart met de ontwikkeling van een NEN-norm. NEN nodigt belanghebbenden bij een norm, dus zeker ook (vertegenwoordigers van) cliënten, uit om deel te nemen aan de werkgroep die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook cliënten die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

De leden van de VVD-fractie vragen hoe de zorgverleners worden betrokken bij het opstellen van de lagere regelgeving?

Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is in de eerste plaats een kwaliteitsstandaard nodig waarin is opgenomen welke gegevens met het oog op het verlenen van goede zorg moeten worden uitgewisseld. Het opstellen of wijzigen van een kwaliteitsstandaard geschiedt tripartiet, dat wil zeggen door zorgaanbieders of zorgverleners, organisaties van cliënten, en zorgverzekeraars of Wlz-uitvoerders. Wanneer een gegevensuitwisseling op de MJA Wegiz is geplaatst en de uitkomsten van de MKBA en volwassenheidscan positief zijn, wordt gestart met de ontwikkeling van een NEN-norm. NEN nodigt belanghebbenden bij een norm, waaronder zorgverleners, uit om deel te nemen aan de werkgroep die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook zorgverleners die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

2.1 Probleembeschrijving

De leden van de VVD-fractie willen van de regering weten hoe de gegevensuitwisseling tussen zorgverleners nu is geregeld en welke regelgeving daar nu voor is.

Zorgaanbieders maken op dit moment gebruik van verschillende manieren van uitwisseling van gegevens die vaak niet op elkaar aansluiten. Uitwisseling van gegevens gebeurt soms nog via de analoge fax, papier, per post, DVD, of ontbreekt zelfs volledig waardoor actuele informatie niet (op tijd) voor de zorgverlener beschikbaar kan zijn. Daar waar gegevensuitwisseling al wel elektronisch plaatsvindt, verloopt deze vaak niet zonder problemen aangezien er op dit moment een gebrek is aan eenduidigheid in taal en techniek. Op deze vormen van gegevensuitwisseling zijn (mogelijk) de AVG, de Wgbo en de Wabvpz van toepassing.

De leden van de D66-fractie lezen in de toelichting dat als binnen het bestaande wettelijke kader geen grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens, deze niet kan plaatsvinden. Deze leden vragen derhalve op basis van welk wettelijk kader digitale gegevens nu, met toestemming van de patiënt, worden uitgewisseld tussen zorgaanbieders.

Met persoonsgegevens, waaronder bijzondere persoonsgegevens zoals gezondheidsgegevens, moet zorgvuldig worden omgegaan. Recht op bescherming van persoonsgegevens is van belang met het oog op privacy en toegang tot de zorg en is daarom in internationale en nationale wetgeving geregeld (in onder meer het EVRM, de Grondwet, de AVG, de UAVG, de WGBO, de wet BIG en de Wabvpz).

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgt. Dit betekent dat er bijvoorbeeld niet uitgewisseld kan worden als er geen verwerkingsgrondslag is of doorbrekingsgrond voor het medisch beroepsgeheim.

Echter, nadat geconcludeerd is dat uitwisseling is toegestaan, heeft een cliënt geen directe zeggenschap over de manier waarop de gegevens worden uitgewisseld. Dit is onder de huidige kaders al zo: ook op dit moment bepalen zorgaanbieders zelf of gegevens worden uitgewisseld via papier, de fax, of elektronisch, zoals via e-mail.

Een belangrijke uitzondering hierop vormt uitwisseling via een elektronisch uitwisselingssysteem (zoals het LSP). In de Wabvpz is geborgd dat gegevens enkel via een elektronisch uitwisselingssysteem beschikbaar worden gesteld als de cliënt daartoe uitdrukkelijk toestemming heeft verleend. Deze uitdrukkelijke toestemming is opgenomen, omdat via een elektronisch uitwisselingssysteem gegevens kunnen worden gedeeld die vooraf beschikbaar zijn gesteld voor later onbekend gebruik. Het voorliggende wetsvoorstel brengt geen wijzigingen aan in de eis dat hiervoor toestemming vereist is.

In relatie tot het voorliggend wetsvoorstel betekent dit dat de wetgeving (dat wil zeggen de NEN-norm die voor een gegevensuitwisseling verplicht wordt gesteld) niet zal bepalen dat verplichte elektronische gegevensuitwisseling slechts via een elektronisch uitwisselingssysteem kan. De zorgverlener die gegevens uitwisselt (binnen de wettelijke kaders) kan dit dan immers niet in alle gevallen doen op de wijze zoals voorgeschreven in onderhavig wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke toestemming heeft gegeven.

De regering geeft aan dat een van de problemen een gebrek aan eenduidigheid in taal, techniek en een integrale aanpak is. De leden van de CDA-fractie missen ook een gebrek aan een eenduidige wijze van vastleggen. Van verpleegkundigen horen deze leden bijvoorbeeld dat informatie wel digitaal is opgeslagen maar dat je eerst vele pdf’s moet openen in plaats van dat de informatie in het daarvoor bestemde vakje is ingevuld? Herkent de regering dit? Op welke wijze wordt dit probleem met dit wetsvoorstel aangepakt?

Ik herken het probleem zeker. Ik kan als voorbeeld om de omvang van de huidige problemen te schetsen aangeven dat er jaarlijks meer dan 460.000 verpleegkundige overdrachten plaatsvinden tussen zorgverleners. Een verpleegkundige overdracht kan nu in totaal 4 uur tijd kosten omdat er tot 8 keer dezelfde informatie moet worden overgetypt.

Met het onder het wetsvoorstel aanwijzen van een gegevensuitwisseling in spoor 2 waarin volledige interoperabiliteit ten aanzien van taal en techniek bereikt wordt zal dit niet meer voorkomen. Er is sprake van interoperabiliteit als de zender en ontvanger onder de uitgewisselde gegevens hetzelfde verstaan en hun informatietechnologiesystemen met elkaar kunnen communiceren. Met het wetsvoorstel wordt in spoor 2 afgedwongen dat een zorgaanbieder niet meer een pdf (met daarin verstopt de data) toestuurt of beschikbaar stelt aan een andere zorgaanbieder. De zorgaanbieder dient namelijk een gespecificeerde set aan data-elementen toe te sturen of beschikbaar te stellen. Die set aan data-elementen kan worden ingezien, of zonder handmatige handelingen, worden overgenomen door de andere zorgaanbieder.

De regering geeft, als voorbeeld om de omvang van de huidige problemen te schetsen, aan dat er jaarlijks meer dan 460.000 verpleegkundige overdrachten plaatsvinden tussen zorgaanbieders. Een verpleegkundige overdracht kan nu in totaal vier uur kosten omdat er tot acht keer dezelfde informatie moet worden overgetypt. De leden van de CDA-fractie vragen of de regering een inschatting kan maken hoeveel fte er voor andere taken vrij komt te vallen als er volledige interoperabiliteit is als gevolg van dit wetsvoorstel.

Met dit wetsvoorstel wordt bij AMvB stap voor stap (gegevensuitwisseling na gegevensuitwisseling) de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners (gestandaardiseerd) elektronisch uitwisselen met gecertificeerde informatietechnologieproducten of -diensten. De effecten op de capaciteit kunnen per gegevensuitwisseling verschillend zijn. De gevolgen van dit wetsvoorstel zijn daarmee vooral verbonden aan de verschillende (wijzigings-) AMvB’s waarin gegevensuitwisselingen worden aangewezen. Daarom zal dit vraagstuk steeds worden meegenomen wanneer beoogd is een gegevensuitwisseling per AMvB aan te wijzen. In dat geval zal ook een MKBA en een bedrijfseffectentoets (bet) worden uitgevoerd. Aangezien het wetsvoorstel zelf geen gevolgen heeft van deze aard zijn deze toetsen momenteel niet van toepassing.

De leden van de CDA-fractie vragen of alle 460.000 verpleegkundige overdrachten onder de prioritaire gegevensuitwisseling Verpleegkundige overdracht vallen? Zo niet, hoeveel gegevensuitwisselingen moeten aangewezen worden voordat alle 460.000 verpleegkundige overdrachten hieronder vallen?

In de eerste plaats wordt de reikwijdte van een gegevensuitwisseling bepaald door de kwaliteitsstandaard (of de wet- en regelgeving) waarin bepaald wordt welke zorgverleners, welke gegevens, in welke situaties moeten uitwisselen. Als de kwaliteitsstandaard zich richt op alle verpleegkundige overdrachten, dan geldt het uitgangspunt dat de kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens uit te wisselen.

Bij het aanwijzen van de gegevensuitwisseling Verpleegkundige overdracht kan volledig worden aangesloten bij de reikwijdte van de kwaliteitsstandaard waarin de verpleegkundige overdracht is opgenomen. Het kan echter zijn dat in eerste instantie de AMvB onder dit wetsvoorstel een beperktere reikwijdte zal hebben, door bijvoorbeeld te bepalen dat alleen zorgaanbieders met een bepaalde schaalgrootte, of bijvoorbeeld in een bepaalde sector, er voor zorg dienen te dragen dat onder hen ressorterende zorgverleners elektronisch uitwisselen. In dat geval zal de verpleegkundige overdracht gedeeltelijk elektronisch plaatsvinden en gedeeltelijk op andere wijze, die overigens natuurlijk ook elektronisch kan zijn. Het is alleen in dat laatste geval geen verplichte elektronische uitwisseling.

Bij de vaccinatie tegen het coronavirus is ervoor gekozen om vaccinatiegegevens primair te registreren in lokale systemen van huisartsen, GGD-en en ziekenhuizen. Met het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) worden enkel gegevens gedeeld om de vaccinatiegraad en bijwerkingen in de gaten te houden. Voor apothekers en andere zorgverleners is het ook van belang om op de hoogte te worden gesteld als hun patiënten zijn gevaccineerd. De leden van de CDA-fractie vragen in hoeverre dit wetsvoorstel in dergelijke gevallen uitkomst kan bieden. En zo niet, hoe wordt dit dan wel geregeld?

Ik bepaal met dit wetsvoorstel niet welke gegevens worden uitgewisseld, maar alleen hoe deze gegevens worden uitgewisseld. Waar vaccinatiegegevens onderdeel zijn van een aangewezen prioritaire gegevensuitwisseling zullen deze ook onderdeel worden van voorliggend wetsvoorstel. Hoewel dit in eerste instantie aan het zorgveld is om te bepalen, komt mij voor dat dit zeker het geval zal kunnen zijn. Ik denk dan bijvoorbeeld aan uitwisseling van de BgZ.

2.2 Doelstelling en noodzaak wetgeving

De leden van de VVD-fractie lezen dat zodra het veld daartoe gereed is, onder regie van de regering gezamenlijk een traject wordt gestart om in een Stichting Koninklijk Nederlands Normalisatie (NEN)-norm tot normalisatie te komen van de eisen aan taal en techniek. Dat klinkt nogal vaag en vrijblijvend, volgens deze leden. In hoeverre wil het veld tempo maken? In hoeverre is er draagvlak voor de wet?

Om ook op korte termijn snelheid te maken wil ik bestaande initiatieven vanuit het zorgveld zo veel mogelijk ondersteunen. Zoals ik al doe met gegevensuitwisseling bij spoed en medicatieoverdracht (Kamerstukken II 2020/21, 27 529, nrs. 219 en 262).

De leden van de VVD-fractie willen weten hoe elektronische gegevensuitwisseling in andere vergelijkbare landen is geregeld en in hoeverre Nederland daarbij aansluit met dit voorstel of daarvan afwijkt. Zijn er landen met een vergelijkbaar systeem als nu in de voorliggende wet wordt geregeld? Zo ja, welke en wat zijn daar de ervaringen?

De leden van de D66-fractie constateren dat in het hoofdlijnenakkoord Medische Specialistische Zorg 2019–2022 opgenomen is dat partijen afgesproken standaarden van elektronische gegevensuitwisseling implementeren. Kan de regering per genoemde standaard binnen dit hoofdlijnenakkoord een stand van zaken geven? Beoogd dit wetsvoorstel deze processen te versnellen?

In het hoofdlijnenakkoord (hierna: HLA) Medisch specialistische Zorg is afgesproken dat standaarden, waaronder de BgZ, MedMij-standaarden en de Informatiestandaard Medicatieproces worden geïmplementeerd.

Zowel de BgZ als Digitaal voorschrijven en ter hand stellen, als onderdeel van medicatieproces, is een prioritaire gegevensuitwisseling onder het wetsvoorstel.

Zoals afgesproken in het HLA wordt de implementatie van zowel de MedMij-standaarden als de BgZ geïmplementeerd via het versnellingsprogramma informatie-uitwisseling patiënt en professional voor instellingen voor medisch specialistische zorg (VIPP 5). In september 2022 moeten de instellingen voor medisch specialistische zorg die deelnemen aan de regeling aantonen dat zij voldoen aan de MedMij-standaarden en halverwege 2023 moet de uitwisseling van de BgZ tussen instellingen onderling, aangetoond worden.

Het aanwijzen van de gegevensuitwisseling BgZ in een AMvB onder dit wetsvoorstel kan gezien worden als sluitstuk om elektronische gegevensuitwisseling van deze basisgegevens te bewerkstelligen.

De leden van de D66-fractie lezen over de wisselwerking van dit wetsvoorstel met de persoonlijke gezondheidsomgeving (PGO). Is overwogen om de PGO als basis te gebruiken in de communicatie tussen zorgaanbieders? Dus dat gegevens via de patiënt van de ene zorgverlener naar de andere zorgverlener gaat en de patiënt in beheer is van zijn eigen dossier? Zo nee, waarom niet? En klopt het dat dit wetsvoorstel derhalve volledig los staat van de ontwikkelingen rondom het PGO?

Uitwisseling via het MedMij Afsprakenstelsel tussen zorgverleners en de PGO’s van cliënten biedt op zich mogelijkheden om de gezondheidsgegevens over de cliënt van de ene zorgverlener ook met een andere zorgverlener te laten delen. Ik heb bewust gekozen om dit niet als basis te gebruiken voor uitwisseling tussen zorgverleners onderling, omdat dit in dat geval altijd een handeling van de cliënt vraagt (ophalen van gegevens bij de ene zorgverlener en verzenden naar de andere zorgverlener), ook daar waar dat op dat moment in het kader van de behandeling niet vereist is. Voor de uitwisseling tussen zorgverleners zou dit tot vertraging of onnodige belasting van cliënten leiden. Dit laat onverlet dat het wetsvoorstel positieve effecten kan hebben op de gegevensuitwisseling met de cliënt. Doordat gegevens met behulp van een elektronische infrastructuur beschikbaar worden en tussen zorgverleners op die wijze worden uitgewisseld, kunnen deze logischerwijs ook makkelijker uitgewisseld worden met de cliënten. Dit positieve effect wordt nog eens versterkt doordat bij de ontwikkeling van een NEN-norm rekening zal worden gehouden met het MedMij- afsprakenstelsel. Dit wordt geborgd doordat bij de opdrachtverlening als richtinggevend kader zal worden meegeven dat de norm zoveel mogelijk rekening dient te houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij.

De leden van de D66-fractie lezen dat alsnog grote stappen gezet moeten worden, ervoor gekozen kan worden dat voor een gegevensuitwisseling eerst de eis geldt dat de aangewezen gegevens elektronisch moeten worden uitgewisseld (spoor 1). Volledige interoperabiliteit wordt in spoor 1 nog niet afgedwongen, want daarvoor is het noodzakelijk dat het uitwisselen van gegevens plaatsvindt aan de hand van verplicht gestelde genormaliseerde eisen voor taal en techniek (spoor 2). Kan de regering een scenario schetsen of voorbeeld geven waarin er wel sprake is van spoor 1 maar dat er nog geen sprake is van spoor 2. En wat is de toegevoegde waarde om wel reeds spoor 1 ingang te zetten maar nog te wachten met spoor 2?

Een voorbeeld van omstandigheden waarin een spoor 1 aanwijzing denkbaar zou zijn is wanneer bepaalde gegevens momenteel landelijk zowel analoog als elektronisch worden uitgewisseld (dus bijvoorbeeld per fax en via veilige mail) en na aanwijzing in spoor 1 voortaan alleen nog elektronisch mogen worden uitgewisseld. Hierdoor zijn de betreffende gegevens voortaan voor zorgverleners digitaal beschikbaar en uitwisselbaar. Spoor 1 maakt het mogelijk om nadere eisen aan deze gegevensuitwisselingen te verbinden. Doordat op deze manier de eerste stap wordt gezet voor het elektronisch uitwisselen van gegevens, wordt verwacht dat hieruit ook van onderop initiatieven en innovatie uit het zorgveld ontstaan, waardoor de vervolgstap naar een spoor 2-aanwijzing wordt verkleind.

Zoals vermeld in de brief die ik tegelijk met de aanbieding van het wetsvoorstel aan uw Kamer heb toegezonden (Kamerstukken II 2020/21, 27 529, nr. 263) is momenteel voor de gegevensuitwisseling Digitaal voorschrijven en ter hand stellen (voorheen: Digitaal Receptenverkeer) een spoor 1 aanwijzing in ontwikkeling.

De leden van de PVV-fractie hebben twijfels bij de bewering dat het wetsvoorstel binnen de bestaande wettelijke kaders blijft. De Autoriteit Persoonsgegevens (AP) had immers bezwaren die niet allemaal zijn overgenomen door de regering. De AP wijst met name op het risico dat zorgaanbieders in de praktijk gedwongen worden hun beroepsgeheim te doorbreken. Kan de regering nogmaals toelichten waarom ze niet aan alle bezwaren van de AP tegemoet gekomen is? Wat zijn hiervan de consequenties? Welke risico’s blijven hierdoor bestaan?

Het advies van de AP is aanleiding geweest om de memorie van toelichting op meerdere punten aan te passen en nader te motiveren. Hiermee is voor een belangrijk deel aan de bezwaren van de AP tegemoet gekomen. Echter gezien dit eerdere advies en de vragen die gesteld zijn door leden van verschillende fracties, heb ik bij deze nota naar aanleiding van het verslag een nota van wijziging gevoegd waarin ik verduidelijk dat bij of krachtens dit wetsvoorstel geen verplichting tot het uitwisselen van gegevens kan worden opgelegd aan zorgverleners.

De AP heeft in de eerste plaats gewezen op het risico dat de zorgverlener in een feitelijke dwangpositie komt die zijn beroepsgeheim kan aantasten en geadviseerd dit risico te adresseren. Met de nota van wijziging wordt dit risico weggenomen. Onderhavig wetsvoorstel leidt in geen enkel geval tot de situatie dat de zorgverlener in een positie gedwongen wordt om gegevens uit te wisselen. Ik hecht eraan daarnaast te benadrukken dat dit wetsvoorstel niets verandert aan de bestaande werkwijze. Waar nu een zorgprofessional bepaalde gegevens niet wil overdragen op bijvoorbeeld DVD of papier, hoeft dat straks ook niet elektronisch te gebeuren. Welke gegevens nodig zijn als onderdeel van de goede zorg wordt namelijk bepaald door de zorgprofessionals en zullen zijn neergelegd in kwaliteitsstandaarden of in wet- en regelgeving. Op grond van de Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz) handelen zorgverleners overeenkomstig deze kwaliteitsstandaarden. Dat laat onverlet dat in het concrete geval de zorgverlener altijd nog zelf een afweging dient te maken welke gegevens noodzakelijk zijn in het kader van de behandeling. Dat betekent dat pas wanneer de zorgverlener over wil gaan tot gegevensuitwisseling, het voorliggend wetsvoorstel in beeld komt. Het wetsvoorstel ziet namelijk enkel op hoe gegevens uitgewisseld moeten worden.

De AP heeft in de tweede plaats geadviseerd om uit oogpunt van kenbaarheid, samenhang en eenduidigheid alle beveiligingseisen te concentreren in één wettelijke regeling. Met de AP ben ik van mening dat eenduidigheid van wettelijke beveiligingsnormen belangrijk is. In het wetsvoorstel is de keuze gemaakt om alle eisen rondom «hoe uit te wisselen» onder onderhavig wetsvoorstel te regelen. Hiermee wordt voorkomen dat er op meerdere plekken in de wetgeving eisen worden gesteld over het «hoe uitwisselen van gegevens». Op deze wijze zijn alle eisen zoveel mogelijk geconcentreerd in één regeling. Dit geldt dus ook voor de beveiligingsnormen. Dit laat onverlet dat in beginsel aangesloten wordt bij generieke eisen zoals die nu ook al gelden voor zorgaanbieders, zoals de NEN 7510, 7512 en 7513. De inhoud verandert daarmee niet, alleen de grondslag van de verplichting.

Tot slot heeft de AP geadviseerd de delegatie van regelgevende bevoegdheid in artikel 1.4 concreter en nauwkeuriger te begrenzen. De begrenzing tot het doel als omschreven in artikel 1.2, eerste lid: «goede zorg als bedoeld in artikel 2, tweede lid, van de Wet kwaliteit, klachten en geschillen zorg» acht de AP onvoldoende concreet en nauwkeurig. Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats omdat het wetsvoorstel en de onderliggende AMvB geen afzonderlijke grondslagen zullen creëren voor de verwerking van persoonsgegevens en niet leidt tot een verplichting tot het uitwisselen van gegevens, wat ik verduidelijk met de bij deze nota naar aanleiding van het verslag gevoegde nota van wijziging. In de tweede plaats omdat wat onder goede zorg moet worden verstaan is omschreven in artikel 2 Wkkgz. Voor zover dit geen concrete en nauwkeurige begrenzing biedt, vindt deze plaats in de kwaliteitsstandaarden die door de tripartiete partijen worden opgesteld. In deze standaarden wordt immers vastgelegd welke (bijzondere) persoonsgegevens in het kader van goede zorg nodig zijn.

In het Informatieberaad Zorg wordt samen met veldpartijen gewerkt aan een duurzaam informatiestelsel. De leden van de CDA-fractie vragen of de regering kan aangeven wat het Informatieberaad tot nog toe heeft opgeleverd.

Het Informatieberaad Zorg heeft zich de afgelopen jaren beziggehouden met doelstellingen voor het duurzaam informatiestelsel, prioritaire gegevensuitwisselingen, focusprogramma’s en de basisinfrastructuur. Hieruit zijn bijvoorbeeld het stelsel van zorginformatiebouwstenen, de basisgegevensset zorg en het gedeelde woordenboek van de zorg (eenheid van taal) voortgekomen. Recent zijn er nog doelstellingen voor een aantal gemeenschappelijke voorzieningen vastgesteld. Deze doelstellingen zijn in te zien op informatieberaad.nl.

De regering stelt dat voor een gegevensuitwisseling waarvoor de eis geldt om elektronisch uit te wisselen altijd de ambitie bestaat om volledige interoperabiliteit na te streven. De leden van de CDA-fractie vragen de regering bij wie die ambitie bestaat.

Dit zie ik als een gezamenlijke ambitie van het zorgveld, de Kamer en de regering. Op dit moment zijn zorgverleners veel tijd kwijt aan vermijdbare administratieve taken en worden soms vermijdbare fouten gemaakt, bijvoorbeeld door het overschrijven van gezondheidsgegevens. De laatste jaren is de roep om als regering bij te dragen aan het interoperabel uitwisselen van zorggegevens steeds luider gaan klinken. De Tweede Kamer heeft mij en mijn voorgangers op meerdere momenten gevraagd om meer regie te nemen om te komen tot elektronische gegevensuitwisseling tussen zorgverleners4. De vraag om meer regie is ook gesteld vanuit de zorgpartijen, verenigd in het Informatieberaad Zorg. Het regelen hoe gegevens moeten worden uitgewisseld, vormt een randvoorwaarde voor het verlenen van goede zorg. Mijn inzet is dat het wetsvoorstel gaat leiden tot een versnelling in het interoperabel uitwisselen van gegevens in de zorg. Een spoor 1 aanwijzing om een aan te wijzengegevensuitwisseling verplicht elektronisch te laten verlopen, kan snel gaan. In dat geval hoeft er niet gewacht te worden op een normtraject. Bestaande normen, zoals ten aanzien van informatiebeveiliging, kunnen opgenomen worden in spoor 1. Doordat op deze manier de eerste stap wordt gezet voor het elektronisch uitwisselen van gegevens, wordt verwacht dat hieruit ook van onderop initiatieven en innovatie uit het zorgveld ontstaan, waardoor de vervolgstap naar een spoor 2-aanwijzing wordt verkleind.

De regering stelt immers ook dat belangen van verschillende partijen in de praktijk zo ver uit elkaar kunnen liggen dat ze er onderling niet uitkomen. De leden van de CDA-fractie vragen waarom de regering niet duidelijker is in het stellen van doelen en tijdspaden en laat zij niet eerder het Zorginstituut doorzettingsmacht gebruiken?

De verantwoordelijkheid voor het leveren van goede zorg en het elektronisch uitwisselen van gegevens dat daar randvoorwaardelijk voor is, ligt bij zorgpartijen. Op het gebied van elektronische gegevensuitwisseling heeft de overheid de afgelopen jaren afspraken gemaakt met het zorgveld en hen hierbij op verschillende manieren ondersteund. Het risico bij deze aanpak is dat dit te lang gaat duren door de complexiteit van de problematiek en de verschillende belangen van betrokken partijen. Met dit wetsvoorstel kan de overheid de gewenste regie nemen, duidelijke doelen stellen en betrokken partijen wettelijk verplichten te voldoen aan de vereisten voor een interoperabele gegevensuitwisseling. De verantwoordelijkheid voor de kwaliteit van zorg blijft daarbij bij het zorgveld.

De regering stelt dat aanbieders van informatietechnologieproducten aangeven dat ze vooral graag investeren in landelijk schaalbare oplossingen. De leden van de CDA-fractie vragen of de regering deze opmerking nader kan toelichten, want de bewering staat haaks op de ervaringen die zij horen in het veld en wat die leveranciers de afgelopen jaren hebben gedaan. Immers, het is bekend dat leverancier Chipsoft 60% van de ziekenhuizen bedient en meer dan 40% winst maakt omdat ze op iedere locatie voor een gelijksoortige aanpassing weer opnieuw een rekening zendt. En beide Amsterdamse UMC’s hadden Epic aangeschaft maar toen ze samen gingen konden de systemen niet met elkaar spreken, zo begrijpen deze leden. Er moest apart betaald worden om dat te realiseren, terwijl de leverancier in beide gevallen vanaf de eerste dag een eenduidig product had kunnen aanleveren.

De leden van de CDA-fractie vragen daarnaast of de regering ook iets gaat doen aan de prijszetting. Immers, ook de ICT-leveranciers worden betaald uit publieke geld dat is opgebracht door belastingen en premies. Zo horen deze leden uit het veld dat in 2021 de prijs voor gebruik van platform Zorgdomein met 50% is verhoogd. Daarmee is in twee jaar het bedrag verdubbeld. ICT in de zorg dient wat de leden van de CDA-fractie betreft een nutsvoorziening te worden. Deze leden ontvangen hierop graag reflectie daarop van de regering.

Zoals ik schreef in mijn brief van december 2020 (Kamerstukken II 2020/21, 27 529, nr. 202) is de zorg ICT-markt nu onvoldoende transparant en onvoldoende competitief. Onafhankelijke kosten- en prestatievergelijkingen van ICT-systemen zijn nodig om zorgaanbieders inzicht te kunnen bieden in reële marktprijzen voor vergelijkbare functionaliteiten. Signalen over hoge winsten van ICT-leveranciers neem ik serieus, en in de hiervoor genoemde brief heb ik aangegeven te verkennen of we meer dwingende maatregelen kunnen hanteren tegen de «commerciële en technische strategieën» die ICT-leveranciers kunnen hanteren om concurrentie te beperken. De Autoriteit Consument en Markt (hierna: ACM) doet een sectoronderzoek naar mogelijke marktproblemen op het gebied van informatiesystemen van ziekenhuizen en gegevensuitwisseling in de zorg. Het is de rol van de ACM om te oordelen over of ingrijpen in eventueel verstoorde markten noodzakelijk is. Ik wacht de resultaten van het onderzoek af. Zodra de uitkomsten van dit onderzoek bekend zijn zal ik uw Kamer informeren welke gevolgen ik zie voor de zorgmarkt.

De leden van de GroenLinks-fractie lezen dat bij toetsing van kwaliteitsstandaarden het door Zorginstituut niet een extra eis over gegevensuitwisseling wordt toegevoegd. Waarom niet? Gegevensuitwisseling hangt immers sterk samen kwaliteit van zorg en het vermijden van vermijdbare fouten. Als gegevensuitwisseling daar zo’n sterk onderdeel van is, zou het Zorginstituut daar dan niet ook op moeten toetsen?

In het nieuwe Toetsingskader kwaliteitsstandaarden en meetinstrumenten versie 3.0 van het Zorginstituut Nederland, dat per 1 juli 2021 in werking is getreden, is aangegeven dat kwaliteitsstandaarden waarin een zorgproces staat beschreven, voortaan een informatieparagraaf moeten bevatten. Daarin staat welke gegevens uitgewisseld moeten worden ten behoeve van de goede zorg of met het oog daarop. Hoe die gegevens vervolgens worden uitgewisseld, wordt geregeld met het voorliggende wetsvoorstel.

De leden van de PvdD-fractie lezen dat de regering meermaals stelt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens, maar wanneer er wordt uitgewisseld, dat dit op elektronische wijze gebeurd. Waarom wordt dit verplicht?

Met het verplichten van zorgaanbieders om interoperabel elektronisch uit te wisselen kunnen zorgverleners zich meer bezighouden met het verlenen van zorg, en kunnen cliënten beter en sneller geholpen worden. Doordat gegevens op dit moment veelal niet goed doorkomen of handmatig moeten worden overgetypt, ontstaan er negatieve effecten op de zorgverlening. Zowel voor de zorgverlener als aan de kant van de cliënt. Het niet goed doorkomen van gegevens heeft voor cliënten tot gevolg dat zij soms onnodige onderzoeken moeten ondergaan. Ook bestaat er een vergroot risico op vermijdbare fouten in de zorgverlening (bijvoorbeeld verkeerd gestelde diagnoses en niet passende behandelingen).

Verder kan gedacht worden aan vermijdbare medicatiefouten, doordat gegevens over medicatie, allergieën, intoleranties en contra-indicaties onvolledig, onjuist of in het geheel niet uitgewisseld worden. Zorgverleners verliezen veel tijd met (extra) administratieve handelingen rondom de gegevensuitwisseling, zoals door het overtypen, het fysiek moeten overdragen, of door het achterhalen van ontbrekende gegevens. Dit is tijd die ten koste gaat van de zorgverlening aan de cliënt.

Dat interoperabiliteit wordt nagestreefd bij het uitwisselen van gegevens vinden deze leden in het kader van medische veiligheid en duidelijke communicatie te begrijpen. De leden van de PvdD-fractie zijn echter niet tevreden met het feit dat er gedwongen elektronisch gewerkt moet worden bij het uitwisselen van gegevens. Dit is een inperking van de uitoefening van het medische beroep en dwang richting de patiënt om medische gegevens digitaal te laten vastleggen. Deze leden vragen de regering daarom een toelichting van de regering waarom er wordt gekozen tot het verplicht elektronisch werken en er niet gekozen wordt voor het nastreven van interoperabiliteit via verschillende kanalen, zoals brief, elektronisch, en andere mogelijke (zowel elektronische als niet elektronische) communicatiemiddelen die in de zorg gebruikt worden.

Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt op de juiste plek op het juiste moment. Door het tijdig elektronisch uitwisselen van de juiste gegevens op een eenduidige manier kan goede zorgverlening worden bevorderd. Als er gekozen wordt voor verschillende kanalen van communicatie zoals voorgesteld door de leden van de Partij voor de Dieren blijft de huidige situatie voortbestaan waarin zorgaanbieders gebruik maken van verschillende manieren van uitwisselen van gegevens die vaak niet op elkaar aansluiten. Uitwisseling van gegevens gebeurt vaak nog via de analoge fax, papier, per post, DVD, of ontbreekt zelfs volledig waardoor actuele informatie niet (op tijd) voor de zorgverlener beschikbaar kan zijn. Door in de zorg gebruik te maken van het elektronisch uitwisselen van gegevens aan de hand van eenduidige eisen aan taal en techniek, kunnen de juiste gegevens op een eenduidige manier tijdig worden uitgewisseld. Interoperabiliteit betekent dat producten, systemen of organisaties zonder beperkingen samen kunnen werken wat niet bereikt kan worden als partijen zelf hun communicatiekanalen kunnen kiezen die onderling niet operabel zijn. Het staat zorgverleners uiteraard vrij om naast de verplichte uitwisseling van gegevens door middel van een elektronische infrastructuur ook op een andere wijze met elkaar die gegevens uit te wisselen, bijvoorbeeld telefonisch.

De leden van de PvdD-fractie lezen dat op termijn interoperabiliteit verplicht wordt. Waarom is dit niet al opgenomen in het wetsvoorstel?

Ik streef (net als mijn ambtsvoorganger5) ernaar dat zorgproces voor zorgproces wordt gedigitaliseerd op basis van verplichte, eenduidige afspraken over taal – dat wil zeggen iedereen dezelfde taal spreekt – en techniek. Mijn inzet is dat het wetsvoorstel gaat leiden tot een versnelling in het interoperabel uitwisselen van gegevens in de zorg. Aangezien voor bepaalde gegevensuitwisselingen soms nog grote stappen gezet moeten worden om tot volledige interoperabiliteit te komen, is gekozen voor een stapsgewijze aanpak. In de stapsgewijze aanpak is verplichte elektronische uitwisseling volgens de eisen voor taal en techniek – met als doel interoperabiliteit – het sluitstuk van een traject dat samen met zorgpartijen en aanbieders van informatietechnologieproducten en -diensten in de zorg wordt doorlopen. Een spoor 1 aanwijzing om een aangewezen gegevensuitwisseling verplicht elektronisch te laten verlopen, kan snel gaan. In dat geval hoeft er niet gewacht te worden op een normtraject. Bestaande normen, zoals ten aanzien van informatiebeveiliging, kunnen opgenomen worden in spoor 1. Doordat op deze manier de eerste stap wordt gezet voor het elektronisch uitwisselen van gegevens, wordt verwacht dat hieruit ook van onderop initiatieven en innovatie uit het zorgveld ontstaan, waardoor de vervolgstap naar een spoor 2-aanwijzing wordt verkleind.

Ik verwacht dat het wetsvoorstel eraan bijdraagt dat met het oog op een komende wettelijke verplichting ook initiatieven ontstaan voor het komen tot gezamenlijk gedragen standaarden, afspraken en eisen die breder toepasbaar zijn. Het wetsvoorstel werpt nu al zijn schaduw vooruit. Dit is te zien bij implementatietrajecten zoals eOverdracht en Medicatieoverdracht, waarvoor een wettelijke verplichting als sluitstuk beoogd is. Deze trajecten zijn al gestart en maken het mogelijk om na inwerkingtreding van het wetsvoorstel bij AMvB aangewezen te worden als een gegevensuitwisseling in spoor 1 of 2. Daarnaast hebben leveranciers al voorstellen gedaan voor technische afspraken voor de uitwisseling van de Basisgegevensset Zorg (hierna: BgZ) en beelduitwisseling, wat ook twee van de vier gegevensuitwisselingen zijn die op dit moment worden uitgewerkt. Ik vind het bemoedigend om te zien dat er al concrete stappen worden gezet voorafgaand aan de wetsbehandeling door uw Kamer.

Bovendien is de inzet dat het met iedere gegevensuitwisseling makkelijker wordt om deze te digitaliseren. Door zoveel mogelijk gebruik te maken van eerdere trajecten met bijbehorende standaarden, normen, andere afspraken en ICT-infrastructuur ben ik optimistisch dat al doende interoperabiliteit wordt gerealiseerd.

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken te verplichten voor taal en techniek.

Ik onderschrijf de noodzaak om te komen tot een landelijk dekkend stelsel van onderling verbonden infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van de individuele zorgaanbieder een belangrijk criterium is. Vanuit dat perspectief en in lijn met de eerder genoemde moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) onderzoek ik hoe ik meer publieke sturing en regie kan nemen op de landelijke infrastructuur, generieke functies en aanpalende ICT-voorzieningen. Hierover zal ik uw Kamer voor het einde van het jaar informeren.

In mijn afwegingen neem ik mee dat op grond van voorliggend wetsvoorstel in de aangewezen norm voor een aangewezen gegevensuitwisseling verwezen kan worden naar een norm die eisen stelt aan generieke functies, maar dat zorgbreed soms meer nodig kan zijn. Zoals zorgbrede (eventueel dwingende) afspraken over eisen aan generieke «stekkerdozen», zoals (open) API’s, en aan interoperabiliteit tussen (delen van) infrastructuren, zoals NTA7516 voor veilige mail.

Vast staat dat ik steviger ga sturen op de landelijke totstandkoming van generieke functies en benodigde voorzieningen hiervoor in de zorg-ICT. Zo ontwikkel ik een opvolger van de UZI-pas en heb ik een voorziening ontwikkeld waarmee zorginstellingen via inlogmiddelen zoals DigiD hun digitale dienstverlening kunnen ontsluiten (toegangsverleningsservice/TVS).

De leden van de SGP-fractie vragen of er op dit moment in enige wet (of regeling) een verplichting is opgenomen voor zorgaanbieders om gegevens langs elektronische weg uit te wisselen. Zo ja, kan de regering een overzicht geven van de wetten die het betreft? En zo nee, is de regering voornemens om wetswijzigingen voor te bereiden met dat doel?

Er is een aantal wetten waarin zorgaanbieders verplicht worden gesteld om gegevens langs elektronische weg uit te wisselen. Gedacht kan worden aan de verplichting in artikel 8:24 van de Wet verplichte geestelijke gezondheidszorg, dat zorgaanbieders verplicht om ervoor te zorgen dat bepaalde gegevens digitaal beschikbaar zijn ten behoeve van de uitvoering van die wet en het toezicht daarop door de IGJ en artikel 17 van de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten, dat bepaalt dat zorgaanbieders aan de IGJ een digitaal overzicht van bepaalde gegevens moet verstrekken. Daarnaast wordt met het voorliggende wetsvoorstel uiteraard ook -stap voor stap- een verplichting voor zorgaanbieders opgenomen om gegevens langs elektronische weg uit te wisselen.

2.3 Reikwijdte wetsvoorstel

De leden van de VVD-fractie begrijpen dat het onderhavige wetsvoorstel geldt voor zorg uit de Zorgverzekeringswet (Zvw), Wet langdurige zorg (Wlz) en andere zorg (zoals handelingen op het gebied van de individuele gezondheidszorg als bedoeld in artikel 1 van de Wet BIG). Kan de regering nogmaals duidelijk aangeven wat wel onder de wet valt, en ook wat nadrukkelijk wat er niet onder valt en waarom niet?

Hiermee is aangesloten bij de reikwijdte van de Wkkgz.

In verband met de uitvoerbaarheid, is er niet voor gekozen om het wetsvoorstel ook te laten zien op uitwisseling van gegevens in of met de jeugdhulp en de maatschappelijke ondersteuning. Beoogd is evenwel om op een later moment deze (dan vastgestelde) wet daartoe te verbreden middels een wetswijziging.

Daarnaast ziet dit wetsvoorstel niet op het elektronische wijze uitwisselen van gegevens tussen de zorgverlener en de cliënt. Voor deze informatie-uitwisseling is immers reeds het Medmij-afsprakenkader ingericht.

De leden van de VVD-fractie vragen wat wordt bedoeld met «handelingen met een ander doel dan het bevorderen of bewaken van de gezondheid van de cliënt»? Valt de Wpg (Wet publieke gezondheid) onder deze wet? Valt de GGD onder deze wet? Valt de Jeugdzorg onder deze wet? Valt de Wet maatschappelijke ondersteuning (Wmo) onder deze wet? Valt de geestelijke gezondheidszorg (ggz) onder deze wet?

De reikwijdte van het wetsvoorstel is overeenkomstig de reikwijdte van de Wkkgz. Uit de parlementaire geschiedenis bij de Wkkgz volgt dat met «handelingen met een ander doel dan het bevorderen of bewaken van de gezondheid van de cliënt» met name werd gedacht aan persoonlijke verzorging, zoals verrichtingen op cosmetisch gebied, die niet onder de Wet BIG vallen. Er is nadere duiding gegeven over de reikwijdte van de Wkkgz in de folder «Val ik onder de Wet kwaliteit, klachten en geschillen in de zorg?» die gepubliceerd is op rijksoverheid.nl.

Zorg als bedoeld in de Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz) en de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Wzd) valt in beginsel onder de reikwijdte van de Wkkgz en dus dit wetsvoorstel. Echter, in bepaalde gevallen moet zorg als bedoeld in de Wvggz en Wzd gekwalificeerd worden als jeugdhulp in de zin van de Jeugdwet of maatschappelijke ondersteuning als bedoeld in de Wet maatschappelijke ondersteuning 2015 (hierna: Wmo 2015). Daarop is de Wkkgz en dus het voorliggende wetsvoorstel niet van toepassing.

Zorg als bedoeld in de Wet publieke gezondheid (hierna: Wpg) kan ook onder de reikwijdte vallen. Dat geldt in ieder geval voor de jeugdgezondheidszorg. Maar voorlichtingscampagnes en behoefte-inventarisaties vallen bijvoorbeeld niet onder de definitie van «zorg» in de Wkkgz en het voorliggende wetsvoorstel. Dit betekent dat niet alle taken van de GGD’s onder de reikwijdte van dit wetsvoorstel vallen.

Jeugdhulp als bedoeld in de Jeugdwet en maatschappelijke ondersteuning als bedoeld in de Wmo 2015 vallen niet binnen de reikwijdte van dit wetsvoorstel. Zoals in het antwoord op de vorige vraag van deze leden aangegeven, is beoogd om op een later moment deze (dan vastgestelde) wet daartoe te verbreden middels een wetswijziging.

De leden van de VVD-fractie lezen dat de wet niet toeziet op de uitwisseling van gegevens tussen de zorgverlener en de cliënt. Hoe gebeurt dat nu wel? Waarom is dit niet ook opgenomen in de voorliggende wet? En hoe kan deze wet toch ook bijdragen aan die uitwisseling? En kan de cliënt achteraf wel zien welke gegevens uitgewisseld zijn?

Deze leden merken terecht op dat dit wetsvoorstel niet ziet op het elektronische wijze uitwisselen van gegevens tussen de zorgverlener en de cliënt. Voor deze informatie-uitwisseling is immers reeds het Medmij-afsprakenkader ingericht. MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de cliënt, bijvoorbeeld in een persoonlijke gezondheidsomgeving.

Dit laat onverlet dat het wetsvoorstel positieve effecten kan hebben op de gegevensuitwisseling met de cliënt. Doordat gegevens met behulp van een elektronische infrastructuur beschikbaar worden en tussen zorgverleners op die wijze worden uitgewisseld, kunnen deze logischerwijs ook makkelijker uitgewisseld worden met de cliënten. Dit positieve effect wordt nog eens versterkt doordat bij de ontwikkeling van een NEN-norm rekening zal worden gehouden met het MedMij- afsprakenstelsel. Dit wordt geborgd doordat de Minister bij de opdrachtverlening als richtinggevend kader zal meegeven dat de norm zoveel mogelijk rekening dient te houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij.

Wat zijn tot op heden de ervaringen met MedMij en PGO? Deze leden lezen dat de norm voor elektronische gegevensuitwisseling zoveel mogelijk rekening dient te houden met het bestaande afsprakenstelsel, zoals MedMij. Wat wordt bedoeld met «zoveel mogelijk»? Wanneer zou er geen rekening mee moeten worden gehouden?

Het MedMij Afsprakenstelsel is gericht op communicatie tussen cliënt en zorgverlener, het voorliggende wetsvoorstel is gericht op de uitwisseling tussen systemen van zorgaanbieders. Daar dit andere techniek, en soms andere inhoud betreft kan er in uitzonderlijke gevallen van afgeweken worden.

Genoemde leden snappen dat gekozen is voor een stapsgewijze aanpak, en dat het uitwisselen van gegevens buiten de zorgdomeinen niet onder deze wet vallen. Dat kan op een later moment nog wel gebeuren. Kan de regering een planning of tijdpad aangeven van de verschillende stappen in deze wet en de daarbuiten vallende onderdelen? Waaraan wordt gedacht «buiten de zorgdomeinen»? Kan een indicatie worden gegeven wanneer de elektronische gegevensuitwisseling in de zorg «afgerond» kan zijn? Zo nee, waarom niet?

Genoemde leden lezen dat het wetsvoorstel niet toeziet op de uitwisseling via fysieke gegevensdragers, zoals een papieren fax, Cd-rom of USB-stick. In hoeverre is het voor deze gegevens ook niet belangrijk dat er bijvoorbeeld een eenduidig taalgebruik, ook weer afgestemd op de elektronische gegevens, is? Want zowel Cd-rom of USB-stick kunnen input leveren voor de elektronische gegevensuitwisseling.

Ook in de huidige situatie in de zorg worden inderdaad gegevens uitgewisseld, waaronder via Cd-rom en USB-stick. Het probleem echter is dat Cd-roms en USB-sticks kunnen kwijtraken of onleesbaar kunnen worden. Ook is het zo dat als gegevens op papier of via cd-rom pas met de cliënt meekomen, het medische behandelteam zich niet altijd tijdig kan voorbereiden. Dit kan onnodig tijdverlies en risico’s voor de behandeling opleveren. Door het tijdig elektronisch uitwisselen van de juiste gegevens op een eenduidige manier kan goede zorgverlening worden bevorderd. Ik heb er daarom met dit wetsvoorstel voor gekozen elektronische uitwisseling via een elektronische infrastructuur verplicht te stellen voor aangewezen gegevensuitwisselingen.

De leden zien dat er 13 (concept)gegevensuitwisselingen zijn geïdentificeerd. In welke mate dekt dit de totale elektronische gegevensuitwisseling in de zorg? Welke ontbreken er dan nog?

De leden van de VVD-fractie lezen dat als het gaat om de gegevens die uitgewisseld kunnen worden, in paragraaf 2.3.3 een paar voorbeelden staan genoemd waaraan gedacht kan worden, zoals medicatievoorschriften, uitkomsten bloedonderzoeken of gegevens hartbewaking. Kunnen daarvan nog meer voorbeelden worden genoemd? Kan het bijvoorbeeld ook gaan om uitwisseling van röntgenfoto’s?

De genoemde voorbeelden zijn ter illustratie van gegevensuitwisselingen maar zeker niet uitputtend. Aanvullende voorbeelden zijn labuitslagen, verslagen, overdrachtsgegevens en pathologieonderzoeken. Eén van de vier prioritaire gegevensuitwisselingen die ik verplicht wil stellen betreft ook medische beelden met bijbehorende verslagen. Voorbeelden hiervan zijn CT-scans, MRI onderzoeken en ook de door u genoemde röntgenfoto’s.

De leden van de VVD-fractie lezen dat bij de duiding van de zorgaanbieders in het kader van de elektronische gegevensuitwisseling allerlei criteria worden toegepast, zoals de grootte van de zorgaanbieder. Betekent dit dat het uitmaakt of je straks bij een grote of kleine zorgaanbieder terecht komt voor de elektronische gegevensuitwisseling? Het zou een patiënt toch niet moeten uitmaken waar hij wordt behandeld?

In de eerste plaats wordt de reikwijdte van een gegevensuitwisseling bepaald door de kwaliteitsstandaard (of de wet- en regelgeving) waarin bepaald wordt welke zorgverleners, welke gegevens, in welke situaties moeten uitwisselen. Wanneer bijvoorbeeld de kwaliteitsstandaard Verpleegkundige overdracht zich richt op alle verpleegkundige overdrachten, dan geldt het uitgangspunt dat de kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens uit te wisselen.

Bij het aanwijzen van de gegevensuitwisseling Verpleegkundige overdracht bij AMvB onder dit wetsvoorstel kan volledig worden aangesloten bij de reikwijdte van de kwaliteitsstandaard. Het kan echter zijn dat in eerste instantie de AMvB onder dit wetsvoorstel een beperktere reikwijdte zal hebben, door bijvoorbeeld te bepalen dat alleen zorgaanbieders met een bepaalde schaalgrootte er voor zorg dienen te dragen dat onder hen ressorterende zorgverleners elektronisch uitwisselen. In dat geval zal de verpleegkundige overdracht gedeeltelijk elektronisch plaatsvinden en gedeeltelijk op andere wijze, die overigens natuurlijk ook elektronisch kan zijn. Bij de MKBA zal dit aspect meegenomen worden, waarbij onderzocht hoe de kosten/baten verhouding is ten opzichte van de grootte van een zorgaanbieder.

De leden van de VVD-fractie vragen in hoeverre vaccinatiegegevens ook onder de reikwijdte van het voorliggende wetsvoorstel vallen? Vaccinatiegegevens worden primair geregistreerd in lokale systemen van huisartsen, GGD-en en ziekenhuizen. Met het RIVM worden enkel gegevens gedeeld om de vaccinatiegraad en bijwerkingen in de gaten te houden. In hoeverre vindt de regering het ook van belang dat zorgverleners op de hoogte zijn van vaccinatie van de patiënt? In hoeverre is het straks mogelijk dat ook de set van vaccinatiegegevens verplicht moet worden uitgewisseld tussen zorgverleners? In hoeverre heeft dit prioriteit? En in hoeverre kunnen vaccinatiegegevens met toestemming van de patiënt uitgewisseld worden via het landelijk schakelpunt?

Ik bepaal met dit wetsvoorstel niet welke gegevens worden uitgewisseld, maar alleen hoe deze gegevens worden uitgewisseld. Bij deze nota naar aanleiding van het verslag heb ik ook een nota van wijziging gevoegd, waarmee verduidelijkt wordt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens.

De leden van de VVD-fractie willen graag weten of er een verplichte koppeling tussen kwaliteitsstandaard en informatiestandaard is. Wat zijn daarvan de voor- en nadelen? Deze leden ontvangen graag uitgebreide toelichting op dit punt.

De leden van de D66-fractie vragen in hoeverre dit wetsvoorstel ook geldt voor de Jeugdwet en waarom deze niet is toegevoegd aan de opsomming on punt 2.3.1. van de toelichting of dat het valt onder «overige zorg». Met name vanwege de specialistische jeugdzorg.

In verband met de uitvoerbaarheid, is er niet voor gekozen om het wetsvoorstel ook te laten zien op uitwisseling van gegevens in of met de jeugdhulp als bedoeld in de Jeugdwet en de maatschappelijke ondersteuning als bedoeld in de Wmo 2015. Beoogd is evenwel om op een later moment deze (dan vastgestelde) wet daartoe te verbreden middels een wetswijziging. Overigens valt de jeugdgezondheidszorg, bedoeld in de Wpg, wel onder de reikwijdte van dit wetsvoorstel.

De leden van de D66-fractie vragen of de regering kan bevestigen dat het punt «ggz-overdracht van een basisgegevensset» op de meerjarenagenda Wegiz ook betrekking heeft op de Jeugd-ggz? Zo nee, waarom niet? Deze leden achten dit van belang omdat een kind dat wordt behandeld door een jeugdpsychiater, later kan worden behandeld door een volwassenpsychiater als hij of zij 18 jaar wordt. Onder andere de Inspectie voor Gezondheidszorg en Jeugd (IGJ) heeft aangegeven dat er nog veel verbeteringen nodig zijn binnen de ICT van jeugdzorgaanbieders.

Voor de GGZ is er één gegevensset, daarbij wordt geen onderscheid gemaakt tussen jeugd en volwassenen. Ik ben nog met de Nederlandse GGZ in gesprek over de exacte verdere uitwerking van het punt «GGZ-overdracht van een basisgegevensset» op de MJA Wegiz.

De leden van de D66-fractie lezen dat de regering verwacht dat het wetsvoorstel een indirect effect buiten de zorgdomeinen zal hebben. Dat als de zorg genormaliseerd is en daarmee onafhankelijk van een specifieke elektronische infrastructuur gegevens uitwisselt, dan volgen mogelijk andere domeinen op vrijwillige basis. Op basis van welke argumenten is deze uitspraak berust? Deze leden denken immers dat het ook mogelijk is dat deze zorgaanbieders juist de voorkeur blijven hebben voor de traditionele manier van gegevens uitwisselen zoals ze dat altijd al deden.

De leden van de D66-fractie stellen terecht dat de verwachting is dat het wetsvoorstel een indirect effect heeft op (gestandaardiseerde) elektronische uitwisseling van gegevens buiten de zorgdomeinen.

In de eerste plaats, omdat uitwisseling niet alleen plaatsvindt binnen domeinen, maar ook tussen domeinen. Bijvoorbeeld uitwisseling tussen een huisarts en een jeugdhulpverlener. Wanneer het binnen het zorgdomein genormaliseerd is om (gestandaardiseerd) elektronisch uit te wisselen, is de verwachting dat er vanuit het veld zelf een opdruk ontstaat richting de andere domeinen.

In de tweede plaats, omdat de verwachting is dat de normen die naar aanleiding van dit wetsvoorstel worden ontwikkeld op onderdelen ook meer generiek van toepassing kunnen zijn op gegevensuitwisselingen buiten het zorgdomein.

In de derde plaats, omdat de verwachting is dat de positieve gevolgen van het (gestandaardiseerd) elektronisch uitwisselen motiverend werkt in andere domeinen.

De leden van de D66-fractie vragen de regering hoe het zit met e-mail omdat dit een vorm van digitale gegevens overdracht is. Is er een scenario denkbaar dat men via e-mail, al dan niet met bijlagen, communiceert omdat de wet voorschrijft dat digitale gegevensuitwisseling vereist is? Deze leden vragen dit vooral in het geval dat spoor 2 bij een gegevensuitwisseling nog ontbreekt. Hoe komt dergelijke uitwisseling de privacy ten goede?

Naast eisen op grond van de AVG kunnen in spoor 1 eveneens andere aanvullende eisen worden gesteld aan een gegevensuitwisseling, mits deze niet leiden tot volledige interoperabiliteit.

De leden van de D66-fractie hebben tijdens de coronacrisis gezien hoe snel de ontwikkeling is gegaan ten aanzien van gegevensuitwisseling van de beschikbaarheid van klinische bedden. Zo zijn in snel tempo applicaties ontstaan waarmee ziekenhuizen onderling met elkaar kunnen communiceren wat hun beschikbaarheid is. Valt dit type gegevensuitwisseling ook binnen de reikwijdte van dit wetsvoorstel?

De reikwijdte van het wetsvoorstel richt zich op uitwisselen van gegevens over een cliënt tussen zorgverleners voor het verlenen van goede zorg. Het type gegevensuitwisseling dat door de leden van de D66-fractie wordt aangehaald lijkt hier niet op te zien, omdat het niet zozeer gaat over de zorg aan een specifieke cliënt, maar in algemene zin over beschikbaarheid van klinische bedden. Het voorliggende wetsvoorstel richt zich op de gegevensuitwisseling in een zorgrelatie ten aanzien van een specifieke cliënt. Als het door de leden van de D66-fractie aangehaalde gegevens zien op de organisatie van het ziekenhuis en eigenlijk een gegevensuitwisseling betreft tussen zorgaanbieders, ziet dit wetsvoorstel daarom niet op deze gegevensuitwisseling.

Wat zijn de plannen van de regering om nu versneld beddenbeschikbaarheid te realiseren zodat meerdere zorgaanbieders, waaronder ook ambulancepersoneel, snel kunnen zien waar er nog (acute) bedden beschikbaar zijn? Wordt dit type gegevensuitwisseling toegevoegd aan de meerjarenagenda?

Gelet op de snelheid die gemoeid gaat bij het bestrijden van de coronacrisis, wordt op een andere wijze gewerkt aan de informatievoorziening over de benodigde beddenbeschikbaarheid.

De reikwijdte van het wetsvoorstel richt zich op uitwisselen van gegevens over een cliënt tussen zorgverleners voor het verlenen van goede zorg. Het type gegevensuitwisseling dat door de leden van de D66-fractie wordt aangehaald lijkt hier niet op te zien, omdat het niet zozeer gaat over de zorg aan een specifieke cliënt, maar in algemene zin over beschikbaarheid van klinische bedden. Als de door de leden van de D66-fractie aangehaalde gegevens zien op de organisatie van het ziekenhuis en eigenlijk een gegevensuitwisseling betreft tussen zorgaanbieders, ziet dit wetsvoorstel daarom niet op deze gegevensuitwisseling.

De leden van de D66-fractie onderschrijven het in algemeen het belang van kwaliteitsstandaarden in de zorg. Zij zouden echter iets meer informatie willen omtrent de kwaliteitsstandaarden bij dit wetsvoorstel. Wat zou er gebeuren als deze standaarden niet voor gegevensuitwisseling worden ingezet of deze wet niet zou verwijzen naar deze kwaliteitsstandaarden? Is het de bedoeling dat deze per gegevenswisseling wordt opgesteld? Zo ja, wat als er meerdere gegevens uit verschillende gegevensuitwisselingen moeten worden gedeeld, maar bij enkele kwaliteitsstandaarden ontbreken. Bijvoorbeeld als voor uitwisseling van beelden van een hartinfarct er een kwaliteitsstandaard is, maar dat de kwaliteitsstandaard voor acute ambulanceoverdracht ontbreekt. Hoe zit deze wisselwerking wanneer er sprake is van meerdere kwaliteitsstandaarden?

Om een gegevensuitwisseling aan te melden voor de MJA Wegiz, is het noodzakelijk dat er een kwaliteitsstandaard is of nagenoeg gerealiseerd is (of wet- en regelgeving) waarin bepaald wordt welke gegevens tussen welke zorgverlener in welke situatie worden uitgewisseld. Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt op de juiste plek op het juiste moment. De eerste stap die hiervoor nodig is, is dat er duidelijke afspraken komen over welke gegevens tussen welke zorgverleners in welke situatie worden uitgewisseld. Wanneer deze afspraken worden vastgelegd in een kwaliteitsstandaard, is verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk via het register van het Zorginstituut, en is geborgd dat alle partijen die een belang hebben betrokken zijn. Het uitgangspunt van een kwaliteitsstandaard is dat de kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens uit te wisselen. Ik merk echter dat de praktijk nog niet aansluit bij het gekozen stelsel. Daarom is, om de snelheid te houden voor de huidige gegevensuitwisselingstrajecten gekozen voor een overgangsperiode van vijf jaar voor de nu geprioriteerde uitwisselingen in de voorloper van de MJA Wegiz (Roadmap).

Voor de door de leden van D66-fractie beschreven voorbeelden van verschillende kwaliteitsstandaarden zal dus een «overkoepelde» kwaliteitsstandaard of meerdere kwaliteitsstandaarden van toepassing kunnen worden. Zo richt de gegevensuitwisseling BgZ zich op de uitwisseling van basisgegevens van een cliënt, bijvoorbeeld in het geval een cliënt doorverwezen wordt van het ene ziekenhuis naar het andere. Wanneer er ook beelden van deze cliënt zijn gemaakt in de eerdere behandeling en de cliënt wordt doorverwezen voor een second opinion, dan zal deze beelduitwisseling vallen onder de aangewezen gegevensuitwisseling Beelduitwisseling met bijbehorend verslag. Deze uitwisseling van gegevens staat daarmee los van de vraag of iemand doorverwezen wordt na een hartinfarct of voor nader oncologisch onderzoek.

De leden van de D66-fractie vragen de regering of alleen het benoemen van informatiestandaarden die eenheid van taal en techniek mogelijk maken voldoende was geweest in plaats van ook kwaliteitsstandaarden.

De leden van de D66-fractie vragen hoe lang het gemiddeld duurt om een kwaliteitsstandaard tripartiet op te stellen en of deze termijn wenselijk is bij dit wetsvoorstel.

Hoe lang het gemiddeld duurt om een kwaliteitsstandaard tripartiet te ontwikkelen en op te stellen is onder andere afhankelijk van de omvang en complexiteit van het onderwerp. De ontwikkeling van een richtlijn duurt veelal één tot twee jaar, maar het kan overigens ook korter duren maar ook langer. Met zorgpartijen en ook het Zorginstituut wordt wel onderzocht hoe het proces van het ontwikkelen en opstellen van kwaliteitsstandaarden kan worden geoptimaliseerd en versneld, bijvoorbeeld door activiteiten parallel te laten verlopen en modulair onderhoud toe te passen waardoor kwaliteitsstandaarden efficiënter kunnen worden herzien.

De leden van D66-fractie willen waken voor scenario’s waarbij kwaliteitsstandaarden gegevensuitwisseling limiteren in plaats van verrijken of dat er louter sprake zal zijn van een papieren exercitie. Het is goed dat professionele autonomie mogelijk blijft om extra of juist minder gegevens uit te wisselen maar wat is straks het exacte gevolg voor een zorgverlener als hij of zij meer (of minder) gegevens uitwisselt dan de kwaliteitsstandaard voorschrijft?

Een kwaliteitsstandaard is een richtlijn, module, norm, zorgstandaard of organisatiebeschrijving, die betrekking heeft op een zorgproces en vastlegt wat noodzakelijk is om vanuit het perspectief van de cliënt goede zorg te verlenen. Kwaliteitsstandaarden worden opgesteld door tripartiete partijen (zorgverleners, zorgaanbieders en zorgverzekeraars/ uitvoerders van de Wlz). Op grond van de Wkkgz handelen zorgverleners in overeenstemming met de kwaliteitsstandaarden. In sommige gevallen maakt de zorgverlener zelf de afweging of en welke gegevens moeten worden uitgewisseld voor het leveren van goede zorg, passend bij de situatie en de behoeften van de individuele cliënt.

Is overwogen om te verwijzen naar de wet BIG indien een zorgverlener te veel (overbodige) of te weinig informatie uitwisselt? Met andere woorden dat een beroep kan worden gedaan op goed hulpverlenerschap binnen bestaande wetgeving zoals de Wet op de Beroepen in de individuele gezondheidszorg (Wet BIG) of de Wet op de geneeskundige behandelovereenkomst (WGBO)?

Het voorliggende wetsvoorstel gaat niet in op de vraag welke gegevens wanneer uitgewisseld kunnen of moeten worden, maar ziet enkel op de vraag hoe de uitwisseling van gegevens plaats moet vinden, namelijk op elektronische wijze. Bij deze nota naar aanleiding van het verslag heb ik ook een nota van wijziging gevoegd, waarmee verduidelijkt wordt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens.

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming, zoals de AVG, de Wgbo en de Wet BIG. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgt.

Als binnen het bestaande wettelijke kader uitwisseling van (bijzondere) persoonsgegevens niet is toegestaan, kan deze niet plaatsvinden. Het specifiek verwijzen naar de Wet BIG of de Wgbo is niet aan de orde, aangezien de Wet BIG en de Wgbo onverminderd van toepassing blijven.

De leden van de D66-fractie vragen tot slot over kwaliteitsstandaarden of deze niet indirect al voldoende aangeven welke gegevens minimaal noodzakelijk zijn. Zo zou het bijvoorbeeld bij een acuut herseninfarct vreemd zijn om geen beeldvorming mee te sturen van de uitgevoerde scans. Is het derhalve nog nodig om in kwaliteitsstandaarden te expliciteren welke beeldvorming uitgewisseld dient te worden?

Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt op de juiste plek op het juiste moment. De eerste stap die hiervoor nodig is, is dat er duidelijke afspraken komen over welke gegevens tussen welke zorgverleners in welke situatie worden uitgewisseld. Wanneer deze afspraken worden vastgelegd in een kwaliteitsstandaard, is verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk via het register van het Zorginstituut, en is geborgd dat alle partijen die een belang hebben betrokken zijn.

De huidige kwaliteitsstandaarden zijn niet altijd volledig als het gaat om de beschrijving welke gegevens nodig zijn voor goede zorg. Dit betekent dat in de huidige kwaliteitsstandaarden mogelijk niet altijd ingegaan wordt op welke gegevens nodig zijn als onderdeel van de goede zorg. Bovendien zijn er nog niet veel sector overstijgende kwaliteitsstandaarden. Sommige sectoren werken nog zeer beperkt met kwaliteitsstandaarden. Dit betekent dat een aanvullings- of actualisatieslag nodig kan zijn op de kwaliteitsstandaarden voordat bij AMvB een gegevensuitwisseling in spoor 1 dan wel spoor 2 aangewezen wordt. Daarom heb ik het Zorginstituut Nederland gevraagd een actieve bijdrage te leveren aan ondersteuning van het zorgveld bij de realisatie van kwaliteitsstandaarden. De komende jaren moet er maximaal ingezet worden om de relevante kwaliteitsstandaarden een stap verder te brengen, en in gesprek met het Zorginstituut en het zorgveld worden gekeken op welke wijze ik daarbij kan ondersteunen.

Dat kwaliteitsstandaarden op dit moment niet altijd een (volledige) beschrijving omvatten van welke gegevens nodig zijn voor de goede zorg betekent evenwel niet dat belangrijke gegevens op dit moment niet wordt uitgewisseld. Het kan namelijk ook zijn dat gegevens worden uitgewisseld omdat ze onderdeel zijn van de professionele standaard. Onderdelen van de professionele standaard lenen zich echter niet goed als bron waarnaar in de bij AMvB te stellen eisen kan worden verwezen als het gaat om welke gegevens nodig zijn voor goede zorg en moeten worden uitgewisseld, aangezien deze juridisch vormvrij zijn en er geen juridische criteria worden gesteld aan de manier waarop de standaard kenbaar wordt gemaakt. Soms is een onderdeel van de professionele standaard niet meer dan «bestaande praktijk» en niet schriftelijk vastgelegd. Er is daarom in dit wetsvoorstel gekozen om de gegevensuitwisseling te koppelen aan kwaliteitsstandaarden.

De leden van de D66-fractie vragen waarom in de AMvB de grootte van de zorgaanbieder in termen van omzet, personeelsbezetting of cliënten kan worden gespecificeerd. De leden vragen in hoeverre is het wenselijk of juist onwenselijk is dat direct alle zorgaanbieders bij een type gegevensuitwisseling verplicht zouden worden om gegevens uit te wisselen?

Dit wetsvoorstel ziet niet op het uitwisselen van gegevens met bijvoorbeeld jeugdhulp of maatschappelijke ondersteuning, vanwege de uitvoerbaarheid van het wetsvoorstel. Beoogd is wel om op een later moment deze (dan vastgestelde) wet daartoe te verbreden middels een wetswijziging. De leden van de CDA-fractie vragen wat er in de domeinen van jeugdhulp en maatschappelijke ondersteuning nodig is om op termijn wel aan te kunnen sluiten bij deze wet. Op welke termijn denkt de regering dat het mogelijk zou kunnen zijn voor deze domeinen om aan te sluiten?

Dit kan ik op dit moment nog niet beantwoorden. De in het wetsvoorstel gemaakte keuze om de jeugdhulp als bedoeld in de Jeugdwet en maatschappelijke ondersteuning als bedoeld in de Wmo 2015 nog niet mee te nemen, heeft te maken met de uitvoerbaarheid van het wetsvoorstel binnen die domeinen. De keuze om een gegevensuitwisseling alleen aan te wijzen voor zover de afspraken over welke gegevens moeten worden uitgewisseld zijn opgenomen in een kwaliteitsstandaard dan wel in wet- of regelgeving, maakt bijvoorbeeld dat het wetsvoorstel niet «zomaar» is uit te breiden tot andere domeinen. Ook wil ik graag eerst bezien hoe dit wetsvoorstel bijdraagt aan de digitalisering van de zorg, voordat ik verdere (kostbare) stappen zet.

Overigens is de verwachting dat het wetsvoorstel een indirect positief effect zal hebben buiten de zorgdomeinen.

De regering stelt dat het wetsvoorstel niet toeziet op het uitwisselen van gegevens buiten de zorgdomeinen zoals data voor RIVM of voor onderzoek. Maar is dat nu niet een gemiste kans, zo vragen de leden van de CDA-fractie. Kwaliteitsregistraties zijn immers essentieel om tot een lerende cultuur te komen maar de structurele inrichting wordt gehinderd omdat data veelal opnieuw ingeklokt moet worden. Ook voor wetenschappelijk onderzoek kan het uitwisselen van geanonimiseerde data meerwaarde hebben. Waarom neemt de regering dat niet mee?

Dit laat onverlet dat gegevensuitwisseling ten behoeve van onderzoek mijn aandacht heeft. Ik ben bezig met een wetsvoorstel inzake kwaliteitsregistraties, dat nu in internetconsultatie is.

De regering schrijft dat sommige sectoren nog zeer beperkt met kwaliteitsstandaarden werken, waardoor een aanvullings- of actualisatieslag nodig kan zijn op de kwaliteitsstandaarden voordat bij AMvB een gegevensuitwisseling aangewezen wordt. De leden van de CDA-fractie vragen of de regering voorbeelden kan geven van dergelijke sectoren, en welke acties er ondernomen worden voor de benodigde aanvullings- of actualisatieslag.

Kwaliteitsstandaarden zijn nu vaak gericht op zorginhoudelijke ziektebeelden binnen een sector, maar niet op de inhoudelijke zorg met een overdrachtskarakter. Zorg met overdracht tussen curatieve en langdurige zorg (bijvoorbeeld de verpleegkundige overdracht) zijn voorbeelden van sectoroverstijgende gegevensuitwisseling.

Ik heb gemerkt dat de praktijk nog niet aansluit bij het gekozen stelsel. Daarom heb ik het Zorginstituut Nederland gevraagd een actieve bijdrage te leveren aan ondersteuning van het zorgveld bij de realisatie van kwaliteitsstandaarden. De komende jaren moet er maximaal ingezet worden om de relevante kwaliteitsstandaarden een stap verder te brengen, en in gesprek met het Zorginstituut en het zorgveld worden gekeken op welke wijze ik daarbij kan ondersteunen.

De regering geeft aan dat de jeugdgezondheidszorg als gegevensuitwisseling kan worden aangewezen bij AMvB onder dit wetsvoorstel, aangezien in wet- en regelgeving is bepaald wat goede zorg is en welke gegevens noodzakelijk zijn voor het verlenen van goede zorg of met het oog daarop. De leden van de CDA-fractie vragen de regering of er een voornemen is om daadwerkelijk jeugdgezondheidszorg als gegevensuitwisseling aan te wijzen, en zo ja, op welke termijn dat dan zal gebeuren en in welk spoor deze gegevensuitwisseling aangewezen kan worden.

De jeugdgezondheidszorg valt onder de reikwijdte van het wetsvoorstel. De gegevensuitwisseling in de jeugdgezondheidszorg kan dus inderdaad bij AMvB onder dit wetsvoorstel aangewezen worden. Op dit moment is hiervoor echter geen concreet voornemen. In beginsel is het aan zorgpartijen zelf om een gegevensuitwisselingen aan te dragen die in aanmerking komt voor aanwijzing onder het wetsvoorstel. Dit geldt ook voor de gegevensuitwisseling in de jeugdgezondheidszorg.

In de jeugdgezondheidszorg worden al een aantal jaar gegevens binnen de jeugdgezondheidszorg elektronisch uitgewisseld. Bepalingen in de Wpg en bijbehorende Regeling software maken dit mogelijk. Zo wordt in de jeugdgezondheidszorg reeds gebruik gemaakt van een landelijke informatiestandaard (basisdataset JGZ) die de basis vormt voor het digitale dossier jeugdgezondheidszorg, en wordt gebruik gemaakt van de infrastructuur van het LSP voor uitwisseling binnen de jeugdgezondheidszorg. Wanneer de sector deze gegevensuitwisseling aandraagt voor aanwijzing onder het wetsvoorstel, is hiermee een basis aanwezig om op voort te bouwen.

De leden van de CDA-fractie vragen de regering welke andere gevallen als gegevensuitwisseling aangewezen kunnen worden op basis van het feit dat in wet- en regelgeving bepaald is wat goede zorg is en welke gegevens noodzakelijk zijn voor het verlenen van goede zorg of met het oog daarop.

In bepaalde gevallen wordt in wet- en regelgeving bepaald welke gegevens noodzakelijk zijn voor het verlenen van goede zorg of met het oog daarop. De jeugdgezondheidszorg is hier een goed voorbeeld van. In de Wpg en in het Besluit publieke gezondheid worden de kaders geformuleerd en wordt het basistakenpakket JGZ vastgelegd. De concrete uitwerking is echter -met het oog op de professionele autonomie – bepaald door de zorgprofessionals in de vorm van professionele richtlijnen jeugdgezondheidszorg.

Er is op dit moment geen andere wet- en regelgeving waarin is bepaald welke gegevens noodzakelijk zijn voor het verlenen van goede zorg (of met het oog daarop).

Het wetsvoorstel betreft het uitwisselen van gegevens over de cliënt, maar niet de uitwisseling van gegevens met de cliënt. Patiëntenfederatie Nederland heeft in de consultatieronde verzocht om ook gegevensuitwisseling van de zorgverlener met de patiënt/cliënt binnen de reikwijdte van het wetsvoorstel te brengen. De patiënt/cliënt kan immers informatie bezitten die zorgverleners niet altijd hebben, en die relevant kan zijn voor het verlenen van goede en veilige zorg. De leden van de CDA-fractie vragen of de regering kan toelichten waarom dit niet is opgenomen in het wetsvoorstel. Ziet de regering meerwaarde om de doelstelling en reikwijdte van het wetsvoorstel uit te breiden naar gegevensuitwisseling tussen zorgverleners én met patiënten/cliënten? Zo nee, waarom niet? Zo ja, welke mogelijkheden ziet ze daartoe?

Deze leden merken terecht op dat dit wetsvoorstel niet ziet op het elektronische wijze uitwisselen van gegevens tussen de zorgverlener en de cliënt. Voor deze informatie-uitwisseling is immers reeds het Medmij-afsprakenkader ingericht. MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de cliënt, bijvoorbeeld in een persoonlijke gezondheidsomgeving.

Dit laat onverlet dat het wetsvoorstel positieve effecten kan hebben op de gegevensuitwisseling met de cliënt. Wanneer gegevens in een aangewezen gegevensuitwisseling genormaliseerd uitwisselbaar zijn, kunnen deze in beginsel gemakkelijker worden ontsloten naar PGO’s. En vice versa, wanneer cliënten gegevens delen met een zorgverlener via het PGO, kunnen deze gegevens ook gedeeld worden met andere zorgverleners onderling. Hiermee versterkt dit wetsvoorstel het gebruik van PGO’s.

Dit positieve effect wordt nog eens versterkt doordat bij de ontwikkeling van een NEN-norm rekening zal worden gehouden met het MedMij- afsprakenstelsel. Dit wordt geborgd doordat de Minister bij de opdrachtverlening als richtinggevend kader zal meegeven dat de norm zoveel mogelijk rekening dient te houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij.

Het wetsvoorstel richt zich primair op de verzekerde zorg. Er ontstaat intussen echter ook een nieuwe consumentenmarkt met leefstijl- en gezondheidsgerelateerde apps en digitale diensten. Combineren van deze data met medische data zou kunnen bijdragen aan meer gezondheid (en wordt in andere landen ook mogelijk gemaakt, soms met aanvullende regelgeving). De leden van de CDA-fractie vragen wat er volgens de regering nodig zou zijn om dat mogelijk te maken en de gezondheidspotentie te realiseren. Hoe verhoudt dat zich tot dit wetsvoorstel? Hoe wordt de veiligheid en betrouwbaarheid van de informatie geborgd die gegenereerd worden met dergelijke apps?

Het voorliggende wetsvoorstel richt zich op een verplichting voor zorgaanbieders om gegevens op een elektronische wijze – al dan niet genormaliseerd – uit te laten wisselen door zorgverleners met het oog op het verlenen van goede zorg en heeft dus geen direct verband met gezondheidsgegevens die een burger zelf verzamelt in apps en digitale diensten. Dit laat onverlet dat ik aandacht heb voor de digitalisering in de zorg in brede zin.

Digitalisering heeft tot gevolg dat mensen steeds vaker buiten de zorgcontext de beschikking krijgen over hun eigen gezondheidsgegevens via het gebruik van allerlei gezondheidsapps, draagbare technologie (wearables) en persoonlijke gezondheidsomgevingen (PGO’s). Via met name PGO’s krijgen mensen meer inzicht in en controle over hun gezondheid omdat PGO’s mensen in staat stellen om via een website of app alle relevante gezondheidsgegevens, die verspreid liggen opgeslagen bij bijvoorbeeld huisartsen, ziekenhuizen of apotheken in te zien en aan te vullen met zelf gegenereerde (meet)gegevens van bijvoorbeeld een stappenteller of glucosemeter. Met een PGO kan iemand daarom meer regie krijgen over zijn gezondheid en zijn gezondheidsgegevens. Mijn ambtsvoorganger heeft in de brief aan uw Kamer inzake verwerking en bescherming van persoonsgegevens (Kamerstukken II 2019/20, 32 761, nr. 190) aangegeven hier een groot voorstander van te zijn, net als een groot aantal branchepartijen in de zorg. Ik deel die opvatting. Ik stimuleer dan ook de ontwikkeling van PGO’s door marktpartijen door deelname aan MedMij. Ook stimuleer ik het gebruik van PGO’s met een MedMij keurmerk via een aankomende tijdelijke financieringsregeling zodat iedere Nederlander die dat wil kosteloos een PGO kan kiezen en gebruiken. Via de VIPP-programma’s stimuleer ik bovendien de implementatie van de MedMij-standaarden in diverse sectoren, waaronder de huisartsenzorg, ziekenhuiszorg, GGZ, langdurige zorg en geboortezorg.

De ontwikkeling dat mensen steeds meer de beschikking krijgen over hun eigen gezondheidsgegevens versterkt hun positie en maakt dat zij meer grip kunnen krijgen op hun gezondheid. Dit brengt echter ook nieuwe vraagstukken met zich, bijvoorbeeld op het terrein van privacy, waaronder ook veiligheid en betrouwbaarheid van de apps en digitale diensten vallen. In de brief aan uw Kamer inzake verwerking en bescherming van persoonsgegevens (Kamerstukken II 2019/20, 32 761, nr. 190) is uitgebreid ingegaan op de bescherming van deze gegevens. De gegevens in gezondheidsapps en digitale diensten worden beschermd door met name de AVG. In het geval van PGO’s is dit aangevuld met het Afsprakenkader MedMij en voor zover het gaat om gegevens die tot stand zijn gebracht in het kader van de vertrouwelijke relatie tussen arts en patiënt, via het afgeleid verschoningsrecht.

In Europees Verband wordt door CEN (de Europese Standaardenorganisatie) gewerkt aan de formulering van standaarden waaraan aan gezondheid en welzijn gerelateerde eHealth toepassingen moeten voldoen. Daarin wordt vanuit Nederland onder andere geparticipeerd vanuit het National eHealth Living Lab (NeLL). In opdracht van het Ministerie van VWS wordt door NeLL tevens gewerkt aan een Nederlandse versie van een toetsingskader, en wordt de mogelijk betekenis van de toetsingsorganisatie ORCHA voor de Nederlandse situatie onderzocht.

De regering geeft aan dat uitwisseling van een pdf-bestand via computerverbinding wordt beschouwd als elektronische gegevensuitwisseling. Is de regering het met de leden van de CDA-fractie eens dat spoor 1 zeer kort zou moeten duren omdat data op deze wijze niet makkelijk te ordenen zijn en het een grote bak met Pdf’s wordt in plaats van een papieren bak?

De aanwijzing van een gegevensuitwisseling in spoor 1 heeft meerwaarde voor het zorgveld. Niet alleen op het niveau van zorgprocessen, waarin door een spoor 1-aanwijzing elektronisch zal worden uitgewisseld in plaats van analoog, maar ook om van onderop innovatie te stimuleren. Door elektronische uitwisseling van gegevens te verplichten in spoor 1 kan het zorgveld in de juiste richting worden gestimuleerd om te komen tot afspraken. De ambitie met dit wetsvoorstel is om voor iedere gegevensuitwisseling te komen tot een spoor 2-aanwijzing. En dus tot genormaliseerde uitwisseling van gegevens. Als ik voor een bepaalde gegevensuitwisseling de ambitie heb om tot een spoor 2-aanwijzing te komen is de tijd tussen het realiseren van een spoor 1 en een spoor 2-aanwijzing mede afhankelijk van de verandercapaciteit bij zorgaanbieders en ICT-leveranciers. En van de veranderingen die moeten worden doorgevoerd om een gegevensuitwisseling te realiseren. Het zal daarom niet in alle gevallen mogelijk zijn om een gegevensuitwisseling in spoor 1 zeer kort te laten duren.

En is de regering het met de leden van de CDA-fractie eens dat indien er mondelinge of telefonische data-uitwisseling plaatsvindt daarvan een digitale aantekening gemaakt moet worden zodat traceerbaar is welke data met welke zorgverleners zijn gedeeld, ook in het belang van de patiënt?

Als het gaat om mondelinge of telefonische data-uitwisseling die ziet op gegevens die vallen onder een aangewezen gegevensuitwisseling is een digitale aantekening niet nodig. De gegevens zullen dan immers op grond van het wetsvoorstel ten minste ook al uitgewisseld zijn via een elektronische infrastructuur. Alle gegevens die voor het verlenen van zorg aan die cliënt benodigd zijn, zullen al bij de opvolgende zorgverlener aanwezig zijn.

Daarnaast geldt dat dit wetsvoorstel uitgaat van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat de eisen uit onder meer de Wgbo en de AVG onverkort van toepassing zijn. Op grond van de Wgbo moeten hulpverleners voldoen aan onder meer de dossierplicht, de bewaarplicht en de geheimhoudingsplicht. Daarnaast heeft een cliënt op grond van zowel de Wgbo als de AVG verschillende rechten aanzien van het medisch dossier die kunnen worden geeffectueerd. Zoals het recht op inzage, rectificatie of gegevenswissing en het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden. Deze regels inzake gegevensbescherming gelden onafhankelijk van de manier waarop de gegevens kunnen worden uitgewisseld, dus ook bij mondelinge of telefonische-data.

De leden van de CDA-fractie vragen waarom de regering een ruimte van vijf jaar hanteert als overgangsperiode om kwaliteitsstandaarden aan te passen. Waarom geen drie jaar, want vijf jaar betekent dat de eerste echte effecten pas tegen 2030 waarneembaar zijn.

De leden van de PvdD-fractie hebben enkele vragen met betrekking tot de reikwijdte van het wetsvoorstel. Deze leden vragen de regering bijvoorbeeld of deze wet ook gaat gelden voor natuurgeneeskundige- of antroposofische zorgverleners, en zo ja, verwacht de regering dat daar draagvlak is voor het verplicht elektronisch werken.

Voor zover de natuurgeneeskundige- of antroposofische zorgverleners zorg verlenen als bedoeld in het wetsvoorstel, is het mogelijk gegevensuitwisselingen op dit terrein aan te wijzen. De gegevensuitwisseling moet dan wel eerst worden voorgedragen voor plaatsing op de MJA Wegiz. Bij het aanmelden van een gegevensuitwisseling voor de MJA Wegiz, wordt er getoetst op de criteria draagvlak, toegevoegde waarde realiseerbaarheid en of er een kwaliteitsstandaard is. Op deze manier wordt er per gegevensuitwisseling onderzocht in hoeverre het zorgveld tempo wil en kan maken voor het elektronisch genormaliseerd uitwisselen van gezondheidsgegevens. Op basis daarvan wordt de prioriteit bezien van die gegevensuitwisseling binnen de natuurgeneeskundige- of antroposofische zorg om te komen tot een mogelijke aanwijzing bij AMvB.

De leden van de PvdD-fractie vragen hoe rekening gehouden gaat worden met mensen die principiële bezwaren hebben tegen het verplicht elektronisch werken met of verwerken van persoonsgegevens? Of mensen die het risico willen vermijden om opgenomen te worden in een Landelijk Schakel Punt? Herkent de regering deze mogelijke bezwaren, en wat gaat zij voor deze burgers doen?

Met persoonsgegevens, waaronder bijzondere persoonsgegevens zoals gezondheidsgegevens, moet zorgvuldig worden omgegaan. Recht op bescherming van persoonsgegevens is van belang met het oog op privacy en toegang tot de zorg6 en is daarom in internationale en nationale wetgeving geregeld (in onder meer het EVRM, de Grondwet, de AVG, de UAVG, de Wgbo, de Wet BIG en de Wabvpz).

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgt. Zo kunnen gegevens bijvoorbeeld niet uitgewisseld worden als er geen verwerkingsgrondslag is of doorbrekingsgrond voor het medisch beroepsgeheim.

Echter, nadat geconcludeerd is dat uitwisseling is toegestaan, heeft een cliënt geen directe zeggenschap over de manier waarop de gegevens worden uitgewisseld. Dit is onder de huidige kaders al zo: ook op dit moment bepalen zorgaanbieders zelf of gegevens worden uitgewisseld via papier, de fax, of elektronisch, zoals via e-mail. Het wordt niet opportuun geacht om met dit wetsvoorstel de cliënt alsnog direct zeggenschap te geven over de manier waarop de gegevens worden uitgewisseld. Het doel van dit wetsvoorstel is immers, op verzoek van het veld en de Tweede Kamer, om (gestandaardiseerd) elektronische gegevensuitwisseling te stimuleren.

In de Wabvpz is geborgd dat gegevens enkel via een elektronisch uitwisselingssysteem beschikbaar worden gesteld als de cliënt daartoe uitdrukkelijk toestemming heeft verleend. Deze uitdrukkelijke toestemming is opgenomen, omdat via een elektronisch uitwisselingssysteem gegevens kunnen worden gedeeld die vooraf beschikbaar zijn gesteld voor later onbekend gebruik. Het voorliggende wetsvoorstel brengt geen wijzigingen aan in de eis dat hiervoor toestemming vereist is.

In relatie tot het voorliggend wetsvoorstel betekent dit dat de wetgeving (dat wil zeggen de NEN-norm die voor een gegevensuitwisseling verplicht wordt gesteld) niet zal bepalen dat verplichte elektronische gegevensuitwisseling slechts via een elektronisch uitwisselingssysteem kan. De zorgverlener die gegevens uitwisselt (binnen de wettelijke kaders) kan dit dan immers niet in alle gevallen doen op de wijze zoals voorgeschreven in onderhavig wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke toestemming heeft gegeven.

Het doel is dat het voorliggend wetsvoorstel samen met het andere instrumentarium, zoals overstijgende afspraken en regie op publieke voorzieningen, leidt tot het bereiken van volledige interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen zorgverleners.

De leden van de SGP-fractie vragen de regering naar aanleiding van de toelichting in paragraaf 2.3.1 of deze wet ook gaat gelden voor zorg die wordt geleverd onder verantwoordelijkheid van gemeenten, zoals maatschappelijke ondersteuning en jeugdhulp. Valt dit onder «andere zorg» waarover de toelichting spreekt?

In verband met de uitvoerbaarheid is er niet voor gekozen om het wetsvoorstel ook te laten zien op uitwisseling van gegevens in of met de jeugdhulp als bedoeld in de Jeugdwet en de maatschappelijke ondersteuning als bedoeld in de Wmo 2015. Beoogd is evenwel om op een later moment deze (dan vastgestelde) wet daartoe te verbreden middels een wetswijziging.

De leden van de SGP-fractie vragen in hoeverre dit wetsvoorstel ook betrekking heeft op gegevensuitwisseling tussen overheden (waaronder gemeenten) en zorgaanbieders?

Dit wetsvoorstel kan overheden zoals gemeenten betreffen voor zover zij gezien kunnen worden als zorgaanbieder. Dit kan zich bijvoorbeeld voordoen in de jeugdgezondheidszorg.

De leden van de SGP-fractie lezen dat het zorgverleners vrijstaat om naast de verplichte uitwisseling van gegevens door middel van een elektronische infrastructuur ook op een andere wijze met elkaar gegevens uit te wisselen. Zorgverleners kunnen eventueel parallel ook gegevens telefonisch of mondeling delen. Dit geldt ook voor de verplicht uit te wisselen gegevens van bij AMvB aangewezen gegevensuitwisselingen. De leden van de SGP-fractie begrijpen dit, maar vragen de regering tegelijkertijd in hoeverre de administratieve lastendruk hiermee verlicht wordt. Hoe wordt voorkomen dat zorgverleners te veel vasthouden aan ingesleten gewoonten om informatie te delen?

Dit is inderdaad een aandachtspunt bij de implementatie van een gegevensuitwisseling, maar het staat zorgverleners uiteraard vrij om naast de verplichte elektronische uitwisseling van gegevens ook op een andere wijze met elkaar gegevens uit te wisselen. Ervaring leert dat als zorgverleners merken dat het elektronisch uitwisselen van gegevens tijdswinst oplevert, zij hiervan meer gebruik gaan maken.

De leden van de SGP-fractie lezen dat met het begrip ««zorgaanbieder»» wordt gedoeld op ««de bestuurder»». Een zorgaanbieder kan een instelling zijn, maar ook een solistisch werkende zorgverlener, in zijn rol als bestuurder. De leden van de SGP-fractie vragen de regering af wat dit wetsvoorstel gaat betekenen voor zelfstandigen en heel kleine zorgorganisaties. Kan redelijkerwijs hetzelfde worden verwacht van een ZZP’er als van een groot ziekenhuis? Hoe wordt hiermee rekening gehouden bij het opstellen van regels in de AMvB?

Het uitgangspunt is dat alle zorgaanbieders – voor zover zij gegevens uitwisselen die vallen onder een aangewezen gegevensuitwisseling – gaan voldoen aan de eisen die worden gesteld in een AMvB. Indien nodig is het echter mogelijk om te differentiëren in welke zorgaanbieder wanneer aan de AMvB moet voldoen. Een zelfstandige zonder personeel in dienst die slechts een paar cliënten bedient met thuiszorg kan misschien wat meer tijd krijgen.

De leden van de SGP-fractie vragen de regering te reageren op de kritiek van de Federatie Medisch Specialisten (FMS) dat kwaliteitsstandaarden een onjuiste basis bieden voor gegevensuitwisseling.

Een kwaliteitsstandaard is een richtlijn, module, norm, zorgstandaard of organisatiebeschrijving, die betrekking heeft op een zorgproces, vastlegt wat noodzakelijk is om vanuit het perspectief van de cliënt goede zorg te verlenen. Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt op de juiste plek op het juiste moment. De eerste stap die hiervoor nodig is, is dat er duidelijke afspraken komen over welke gegevens tussen welke zorgverleners in welke situatie worden uitgewisseld. Wanneer deze afspraken worden vastgelegd in een kwaliteitsstandaard, is verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk via het register van het Zorginstituut, en is geborgd dat alle partijen die een belang hebben betrokken zijn. Het uitgangspunt van een kwaliteitsstandaard is dat de kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens uit te wisselen.

Ik merk echter dat de praktijk nog niet aansluit bij het gekozen stelsel. Daarom is, om de snelheid te houden voor de huidige gegevensuitwisselingstrajecten gekozen voor een overgangsperiode van vijf jaar voor de nu geprioriteerde uitwisselingen.

3. NADERE TOELICHTING STRUCTUUR WETSVOORSTEL

3.1 Inleiding

De leden van de VVD-fractie lezen dat de regering ter waarborging van de continuïteit van het stelsel zelf certificaten kan verstrekken. In hoeverre gebeurt dit in andere sectoren ook dat de regering certificaten verstrekt? In hoeverre is dit praktisch uitvoerbaar? Is het ministerie voor Volksgezondheid, Welzijn en Sport daarvoor gereed en geëquipeerd om dat op te pakken? Zo ja, hoe?

Deze mogelijkheid is als noodvoorziening opgenomen en de verwachting is dat hiervan geen gebruik zal hoeven te worden gemaakt. Een soortgelijke voorziening is bijvoorbeeld opgenomen in de Arbeidsomstandighedenwet. In die wet is geregeld dat de Minister of de door hem aangewezen certificerende instelling certificaten kan verstrekken. Uit de wetsgeschiedenis bij artikel 20 van de Arbeidsomstandighedenwet blijkt dat, omdat het om een vrijwillig en privaat systeem gaat, de overheid afhankelijk is van de bereidheid van potentiële certificerende instellingen. In het uiterste geval dat er geen certificerende instelling worden gevonden, zal de Minister zelf certificaten moeten verstrekken. Dit wordt niet als wenselijk beschouwd, maar is als juridische mogelijkheid ingebouwd om het stelsel in geval van nood te kunnen continueren. Op mijn departement is in beginsel de expertise niet aanwezig, maar indien nodig zal deze expertise worden aangetrokken wanneer de certificaten onder mijn verantwoordelijkheid worden verstrekt.

De leden van de SP-fractie vragen de regering waarom geen gebruik wordt gemaakt van een open Application Programming Interfaces (API) strategie om de interoperabiliteit van patiëntgegevenssystemen te bevorderen. Kan hier een toelichting op worden gegeven?

Open API’s maken het mogelijk dat data in informatietechnologieproducten kan worden benaderd, zowel om op te vragen als om wijzigingen aan te brengen. Hoewel ook voor API’s standaarden gelden, bestaat er niet zoiets als een universele API. In de AMvB kunnen (via normen) eisen worden gesteld aan de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling moet plaatsvinden. Zo kunnen API’s onder dit wetsvoorstel voor aangewezen gegevensuitwisselingen worden verplicht. Dat leidt naar verwachting tot een breder gebruik van API’s, ook voor andere (niet onder het wetsvoorstel aangewezen) gegevensuitwisselingen. Ik zie toegevoegde waarde in het gebruik van open API’s, zoals ik eerder al heb geschreven in mijn brief over open standaarden en open architectuur in december 2020 (Kamerstukken II 2020/21, 27 529, nr. 202). Ik heb Nictiz gevraagd advies aan mij uit te brengen ten aanzien van een open API strategie en hierbij voorbeelden uit binnen- en buitenland te betrekken. Ik informeer u uiterlijk in de eerste helft van 2022 over de voortgang.

3.2 Aan te wijzen gegevensuitwisselingen

De leden van VVD-fractie lezen dat de toetsing binnen een jaar wordt afgerond om te bekijken of een aanwijzing in spoor 2 (op afzienbare termijn) haalbaar is of dat eerst spoor 1 gewenst is. Waarom moet dat maar liefst een jaar duren? In hoeverre kan dat sneller?

Evenals de leden van de VVD-fractie zie ik graag dat de aanwijzing bij AMvB van een gegevensuitwisseling die op de MJA Wegiz staat zo snel mogelijk wordt gerealiseerd. Voordat definitief kan worden beoordeeld of een aanwijzing onder het wetsvoorstel voor een bepaalde gegevensuitwisseling kan worden gerealiseerd, moet voor iedere gegevensuitwisseling op de MJA Wegiz een diepgaander toets worden uitgevoerd door middel van een volwassenheidsscan en een MKBA. Deze instrumenten bieden het inzicht wat noodzakelijk is op de invalshoeken toegevoegde waarde, draagvlak en realiseerbaarheid om tot een weloverwogen besluit te komen over het aanwijzen van een gegevensuitwisseling in spoor 1 dan wel in spoor 2. Daarnaast dient het uitvoeren van deze toetsen meteen als voorbereiding op het nader uitwerken van de bekostiging en de NEN-norm verderop in het proces. De ervaring leert dat een volwassenheidsscan en MKBA binnen een jaar uitgevoerd kunnen worden. Dat kan soms sneller, maar de doorlooptijd wordt in belangrijke mate bepaald door factoren als het aantal, de soort en de omvang van zorgpartijen die bij de toets betrokken zijn en door de complexiteit van de gegevensuitwisseling.

Er wordt periodiek een nieuwe Meerjarenagenda Wegiz opgesteld. De leden van VVD-fractie vragen wat wordt bedoeld met «periodiek»?

Met «periodiek» wordt bedoeld de frequentie waarmee de MJA Wegiz zal worden geactualiseerd en ik de Kamer daarover informeer. Deze wordt onder meer bepaald door mijn beleidsprioriteiten op het gebied van gegevensuitwisseling, maar ook door de snelheid waarmee de huidige gegevensuitwisselingen op de MJA Wegiz worden gerealiseerd, of nieuwe gegevensuitwisselingen door het zorgveld voor plaatsing op de MJA Wegiz worden aangedragen.

De leden van de D66-fractie vragen hoeveel jaar het volgens de regering gaat duren om de huidige Meerjarenagenda van de Wegiz (de dertien punten) volledig gereed te hebben.

Voor de overige gegevensuitwisselingen op de MJA Wegiz zal eerst in de voorbereidingsfase een MKBA en een volwassenheidsscan worden uitgevoerd. Pas na het uitvoeren hiervan kan een goed onderbouwde uitspraak worden gedaan over de termijn waarop de gegevensuitwisselingen gerealiseerd kunnen worden.

De leden van de D66-fractie vragen welke van de genoemde eisen van de toelichting, zoals een tijdige een kwaliteitsstandaard, hierin voor de meeste vertraging zorgen?

Met het wetsvoorstel beoog ik een bespoediging van elektronische gegevensuitwisseling in de zorg. Wanneer er echter randvoorwaarden ontbreken, zoals bijvoorbeeld draagvlak of een kwaliteitsstandaard, dan kan dat vertraging opleveren. De impact op de doorlooptijd van dergelijke vertraging is daarbij afhankelijk van de situatie rondom de specifieke gegevensuitwisseling.

De leden van de D66-fractie lezen dat voordat gegevensuitwisselingen op de Meerjarenagenda Wegiz worden geplaatst, ze op een verzamellijst worden gezet. Voor elke aangeleverde gegevensuitwisseling op de verzamellijst wordt beoordeeld wat de verwachting is over drie voorwaarden (toegevoegde waarde, realiseerbaarheid, draagvlak). In welke mate voldoen de gegevensuitwisselingen die op dit moment al op de Meerjarenagenda Wegiz staan aan deze voorwaarden? Partijen in de zorg geven aan dat vooral aan het technische aspect nog niet wordt voldaan. Kan de regering hierop reflecteren?

In 2019 is na advies van het Informatieberaad Zorg de MJA Wegiz (voorheen: Roadmap) opgesteld. Bij de uitwerking van de vier prioritaire gegevensuitwisselingen zijn voor deze gegevensuitwisselingen beperkingen gebleken. Naar aanleiding daarvan zijn in een lerende aanpak de toetsingscriteria en -instrumenten aangescherpt. Dit voorjaar is een actualisatie uitgevoerd van de MJA Wegiz. Hierbij zijn de gegevensuitwisselingen op de MJA Wegiz opnieuw beoordeeld om te toetsen of ze voldoen aan de criteria toegevoegde waarde, draagvlak en realiseerbaarheid. Uw Kamer heeft de geactualiseerde MJA Wegiz gelijktijdig met de aanbieding van de nota naar aanleiding van het verslag ontvangen.

De Meerjarenagenda Wegiz betreft een lijst van gegevensuitwisselingen waarvan de regering van oordeel is dat ze prioritair zijn. Het kan gaan om gegevensuitwisselingen die door het zorgveld zijn aangedragen als prioritair, of de regering zelf prioritair acht. De leden van de CDA-fractie vragen of de regering bij een voorstel vanuit het zorgveld om een bepaalde gegevensuitwisseling prioritair te maken in alle gevallen een effectenverkenning zal uitvoeren. Of kunnen er ook redenen zijn om een dergelijk voorstel niet over te nemen? Zo ja, kan de regering daar voorbeelden van geven? Kan de regering toelichten waarom professionele standaarden niet voldoende zijn, in plaats van voorgestelde kwaliteitsstandaarden?

Als een gegevensuitwisseling door het zorgveld wordt aangedragen voor plaatsing op de MJA Wegiz wordt een gegevensuitwisseling eerst door het zorgveld zelf beoordeeld aan de hand van een vast format op de criteria toegevoegde waarde, draagvlak en realiseerbaarheid. Na het aandragen van een gegevensuitwisseling door zorgveld wordt de gegevensuitwisseling op een verzamellijst geplaatst en beoordeeld op dezelfde criteria. Overwegingen die kunnen leiden tot het laten afvallen van een gegevensuitwisseling in deze fase zijn een zeer lage score op de drie genoemde criteria, het ontbreken van een passende kwaliteitsstandaard of wettelijke basis waarin is geduid welke gegevens uitgewisseld moeten worden met het oog op de goede zorg, of het niet voldoen aan andere wettelijke vereisten. Ook als een gegevensuitwisseling niet valt binnen het doel van het wetsvoorstel – namelijk de uitwisseling van gegevens voor het verlenen van goede zorg, voor zover het gaat om het uitwisselen van gegevens over een cliënt tussen zorgverleners – zal een gegevensuitwisseling afvallen. Voorbeelden van voorstellen voor gegevensuitwisselingen die in het verleden zijn afgevallen voor opname op de Roadmap (voorloper van de MJA Wegiz) zijn gegevensuitwisselingen die zagen op het gebruik van een specifieke applicatie of op uitwisseling met de cliënt.

Wat betreft de vraag over de keuze voor kwaliteitsstandaarden, het volgende. Het onderhavig wetsvoorstel regelt alleen een verplichting hoe gegevens worden uitgewisseld. Het is aan het zorgveld om te bepalen welke gegevens uitgewisseld moeten worden voor het verlenen van goede zorg. Wanneer deze afspraken in een kwaliteitsstandaard zijn vastgelegd, is verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk via het register van het Zorginstituut, en is geborgd dat alle partijen die een belang hebben betrokken zijn. Dit is geregeld in de Zorgverzekeringswet en met ingang van 1 juli 2021 in de Wkkgz. Voor onderdelen van de professionele standaard opgenomen in informatiestandaarden ontbreekt dit juridische kader, waardoor niet verzekerd kan worden dat gegevens daadwerkelijk in het kader van goede zorg worden uitgewisseld.

In paragraaf 3.2 van de toelichting wordt aangegeven dat gegevensuitwisselingen pas op de Meerjarenagenda Wegiz worden geplaatst, zodra «het technisch mogelijk is dat de gegevens worden uitgewisseld, bijvoorbeeld door landelijke dekking van onderling verbonden infrastructuren.» Klopt het dat de gegevensuitwisselingen die op dit moment al op de Meerjarenagenda Wegiz staan, nog niet voldoen aan deze voorwaarde? De leden van de CDA-fractie vragen de regering op welke termijn voor deze gegevensuitwisselingen wel aan de voorwaarden voldaan zal zijn.

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken te verplichten voor taal en techniek.

Ik onderschrijf de noodzaak om te komen tot een landelijk dekkend stelsel van onderling verbonden infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van de individuele zorgaanbieder een belangrijk criterium is. Vanuit dat perspectief en in lijn met de eerder genoemde moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) onderzoek ik hoe ik meer publieke sturing en regie kan nemen op de landelijke infrastructuur, generieke functies en aanpalende ICT-voorzieningen. Hierover zal ik uw Kamer voor het einde van het jaar informeren.

In mijn afwegingen neem ik mee dat op grond van voorliggend wetsvoorstel in de aangewezen norm voor een aangewezen gegevensuitwisseling verwezen kan worden naar een norm die eisen stelt aan generieke functies, maar dat zorgbreed soms meer nodig kan zijn. Zoals zorgbrede (eventueel dwingende) afspraken over eisen aan generieke «stekkerdozen», zoals (open) API’s, en aan interoperabiliteit tussen (delen van) infrastructuren, zoals NTA7516 voor veilige mail.

Vast staat dat ik steviger ga sturen op de landelijke totstandkoming van generieke functies en benodigde voorzieningen hiervoor in de zorg-ICT. Zo ontwikkel ik een opvolger van de UZI-pas en heb ik een voorziening ontwikkeld waarmee zorginstellingen via inlogmiddelen zoals DigiD hun digitale dienstverlening kunnen ontsluiten (toegangsverleningsservice/TVS).

Voorafgaande aan het bij AMvB aanwijzen van een gegevensuitwisseling toetst de regering de geprioriteerde gegevensuitwisselingen onder andere met een maatschappelijke kosten -en batenanalyse (MKBA) en een volwassenheidscan. Het streven is daarbij om deze toetsing binnen een jaar af te ronden. De leden van de CDA-fractie vragen waarom de regering niet vastlegt dat dergelijke toetsingen binnen een bepaalde termijn afgerond dienen te worden, eventueel met een bijbehorende mogelijkheid voor een (goed onderbouwde) mogelijkheid tot uitstel.

Evenals de leden van de CDA-fractie zie ik graag dat de aanwijzing bij AMvB van een gegevensuitwisseling die op de MJA Wegiz staat zo snel mogelijk wordt gerealiseerd. Voordat definitief kan worden beoordeeld of een aanwijzing onder het wetsvoorstel voor een bepaalde gegevensuitwisseling kan worden gerealiseerd, moet voor iedere gegevensuitwisseling op de MJA Wegiz een diepgaander toets worden uitgevoerd door middel van een volwassenheidsscan en een MKBA. Deze instrumenten bieden het inzicht wat noodzakelijk is op de invalshoeken toegevoegde waarde, draagvlak en realiseerbaarheid om tot een weloverwogen besluit te komen over het aanwijzen van een gegevensuitwisseling in spoor 1 dan wel in spoor 2. Daarnaast dient het uitvoeren van deze toetsen meteen als voorbereiding op het nader uitwerken van de bekostiging en de NEN-norm verderop in het proces. De ervaring leert dat een volwassenheidsscan en MKBA binnen een jaar uitgevoerd kunnen worden. Dat kan soms sneller, maar de doorlooptijd wordt in belangrijke mate bepaald door factoren als het aantal, de soort en de omvang van zorgpartijen die bij de toets betrokken zijn en door de complexiteit van de gegevensuitwisseling.

De leden van de CDA-fractie vragen of het ook mogelijk is dat de gegevensset van (corona)vaccinatiegegevens op korte termijn verplicht moet worden uitgewisseld tussen zorgverleners. Ziet de regering dit – bovenop bijvoorbeeld digitaal receptenverkeer – als een extra geprioriteerde gegevensuitwisseling?

De leden van de SP-fractie vragen de regering op welke termijn zij verwacht dat voor de eerste terreinen een verplichting tot elektronische gegevensuitwisseling wordt ingevoerd.

Als het wetsvoorstel wordt aangenomen, zal naar verwachting in 2023 de eerste AMvB in werking kunnen treden. Het gaat om een spoor 1 aanwijzing voor de gegevensuitwisseling Digitaal voorschrijven en ter hand stellen (voorheen: Digitaal receptenverkeer). De exacte datum van inwerkingtreding is mede afhankelijk van de datum van inwerkingtreding van het wetsvoorstel.

De leden van de SP-fractie vragen wanneer voor de eerste terreinen genormaliseerde eisen voor taal en techniek verplicht gesteld zullen worden?

Naar verwachting kunnen de eerste spoor 2-aanwijzingen, waarin genormaliseerde eisen worden gesteld aan taal en techniek, begin 2024 aangewezen worden. Het gaat dan om de gegevensuitwisselingen Beelduitwisseling medisch-specialistisch zorg en BgZ voor instellingen voor medisch-specialistische zorg. In de brief die ik uw Kamer heb toegezonden tegelijkertijd met de aanbieding van het wetsvoorstel (Kamerstukken II 2020/21, 27 529, nr. 263), ben ik hier nader op ingegaan.

De leden van de GroenLinks-fractie hebben een vraag over de meerjarenagenda en de beoordeling van de gezondheidswinst. Er wordt beoordeeld wat de gezondheidswinst is als een gegevens op de meerjarenagenda wordt geplaatst. Binnen dit domein van de zorg is er altijd een dilemma tussen het beschermen van de privacy en het delen van gegevens ten behoeve van de kwaliteit van zorg. De leden van de GroenLinks-fractie vragen de regering waarom dan ook niet wordt beoordeeld wat het effect is op de privacy, zodat ook een afweging gemaakt kan worden tussen de potentiële gezondheidswinst/efficiëntie en mogelijke effecten op privacy. Kan de AP hierbij worden betrokken?

Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming, zoals neergelegd in het EVRM, de Grondwet, de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens worden dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als er bijvoorbeeld geen verwerkingsgrondslag is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is. Het onderhavig wetsvoorstel regelt alleen een verplichting hoe gegevens worden uitgewisseld. Bij deze nota naar aanleiding van het verslag ontvangt heb ik een nota van wijziging gevoegd, waarmee verduidelijkt wordt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens. Het is aan het zorgveld om te bepalen welke gegevens uitgewisseld moeten worden voor het verlenen van goede zorg.

Elke concept-AMvB waarin een gegevensuitwisseling wordt aangewezen, wordt voor een uitvoeringstoets voorgelegd aan de AP.

De leden van de SGP-fractie vragen de regering wat precies de bedoeling is van het voorgestelde artikel 1.3 (Meerjarenagenda Wegiz). Hoe verhoudt de lijst waarover in 1.3, eerste lid wordt gesproken zich tot de AMvB waarover wordt gesproken in artikel 1.4, eerste lid. Waarom is voor deze constructie gekozen?

De reden dat ik in het wetsvoorstel de MJA Wegiz heb opgenomen, is omdat er al veel gebeurt in het voortraject. Voordat overgegaan kan worden tot het aanwijzen van een gegevensuitwisseling bij AMvB dient er in de eerste plaats een kwaliteitsstandaard aangepast of ontwikkeld te worden (met uitzondering van de overgangsperiode). Om een volgende stap te kunnen zetten zal onderzocht moeten worden of er draagvlak is (voor het opstellen van de benodigde NEN-norm is betrokkenheid van het zorgveld nodig), en is het voor de implementatietermijn noodzakelijk om te bezien hoe ver het zorgveld al is met de digitalisering van de gegevensuitwisseling. Wanneer de uitkomst van de toetsing die hiervoor is ontwikkeld, namelijk de volwassenheidscan en MKBA, positief is, zal ik in het geval van een beoogde spoor 2 aanwijzing aan de NEN een opdracht geven tot het opstellen van een NEN-norm.

Het opnemen van een gegevensuitwisseling op de MJA Wegiz leidt niet per definitie tot een wettelijke verplichting door het opnemen van die gegevensuitwisseling in een AMvB. Dit heeft te maken met de toetsing die nog gedaan wordt nadat een gegevensuitwisseling is opgenomen op de MJA Wegiz. Omgekeerd is het wel zo dat er geen gegevensuitwisseling wordt aangewezen alvorens deze is opgenomen op de MJA Wegiz.

De leden van de SGP-fractie vragen waarom het nodig is om het bestaan van een dergelijke lijst wettelijk te verankeren? Zijn er andere wetten waarbij dit op een vergelijkbare wijze is geregeld?

Door het wettelijk verankeren van de lijst wordt voorkomen dat «uit het niets» een gegevensuitwisseling kan worden aangewezen. Dit biedt het (brede) zorgveld, maar ook leveranciers, en andere belanghebbenden comfort dat niets gebeurt waar ze niet van op de hoogte zijn. Er zijn geen wetten waarin het op vergelijkbare wijze geregeld is maar er zijn wel overeenkomsten met bijvoorbeeld wetgeving waarin (beleids)plannen een wettelijke basis hebben, zoals de Nationale Omgevingsvisie.

De leden van de SGP-fractie vragen of de Kamer een vorm van inspraak heeft bij samenstelling van de lijst? Waarom is er niet voor gekozen om de criteria die in artikel 1.3, tweede lid worden genoemd, samen te voegen met de criteria die gelden voor het aanwijzen van gegevensuitwisselingen bij of krachtens AMvB?

De samenstelling van de lijst komt in eerste instantie tot stand door gegevensuitwisselingen die worden voorgedragen door het zorgveld. Het is echter ook mogelijk dat vanuit mij gegevensuitwisselingen worden voorgedragen om op de MJA Wegiz geplaatst te worden. Uw Kamer kan hierin een rol spelen door na ontvangst van de lijst mij voorstellen te doen. De criteria die genoemd zijn in artikel 1.3, tweede lid, zijn geen harde criteria, maar aspecten die relevant zijn om een goed besluit te kunnen nemen over het al dan niet verplichten tot het elektronisch uitwisselen van gegevens, en de vraag of dit via een spoor 2-aanwijzing kan, dan wel in eerste instantie gekozen wordt voor een spoor 1-aanwijzing.

De leden van de SGP-fractie vragen of het zo kan zijn dat een gegevensuitwisseling wel op de lijst uit artikel 1.3, eerste lid is geplaatst, maar (voor een bepaalde periode) niet in een AMvB wordt vastgelegd?

Ja, dit is mogelijk. Na plaatsing op de MJA Wegiz worden de geprioriteerde gegevensuitwisselingen getoetst, onder andere met een MKBA en een volwassenheidscan. De uitkomst kan zijn dat bijvoorbeeld op dat moment de kosten de baten nog niet te boven gaan, of het zorgveld nog aan het begin staat van digitaliseren en dat een AMvB op korte termijn nog niet realistisch is voor die gegevensuitwisseling.

De leden van de SGP-fractie lezen dat de regering de lijst samenstelt aan de hand van een effectenverkenning en daarbij behorende eenduidige, vooraf aan het veld gecommuniceerde, criteria. Kan de regering nader toelichten hoe zo’n effectenverkenning eruitziet? Kan de regering verduidelijken welke criteria hierin worden opgenomen?

De leden van de SGP-fractie begrijpen dat de Meerjarenagenda Wegiz «periodiek» wordt opgesteld. Kan de regering aangeven wat zij verstaat onder «periodiek»?

Met «periodiek» wordt bedoeld de frequentie waarmee de MJA Wegiz zal worden geactualiseerd en ik de Kamer daarover informeer. Deze wordt onder meer bepaald door mijn beleidsprioriteiten op het gebied van gegevensuitwisseling, maar ook door de snelheid waarmee de huidige gegevensuitwisselingen op de MJA Wegiz worden gerealiseerd, of nieuwe gegevensuitwisselingen door het zorgveld voor plaatsing op de MJA Wegiz worden aangedragen.

De leden van de SGP-fractie lezen dat gegevensuitwisselingen pas op de Meerjarenagenda Wegiz worden geplaatst, zodra «het technisch mogelijk is dat de gegevens worden uitgewisseld, bijvoorbeeld door landelijke dekking van onderling verbonden infrastructuren.» Deze leden begrijpen dat dat de dertien gegevensuitwisselingen die op dit moment al op de Meerjarenagenda Wegiz staan nog niet aan deze voorwaarde voldoen. Zij vragen de regering wat zij eraan gaat doen om ervoor te zorgen dat er een landelijk dekkend stelsel van onderling verbonden infrastructuren komt. En hoe wordt bewerkstelligd dat zorgaanbieders hier ook daadwerkelijk gebruik van gaan maken?

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken te verplichten voor taal en techniek.

Ik onderschrijf de noodzaak om te komen tot een landelijk dekkend stelsel van onderling verbonden infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van de individuele zorgaanbieder een belangrijk criterium is. Vanuit dat perspectief en in lijn met de eerder genoemde moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) onderzoek ik hoe ik meer publieke sturing en regie kan nemen op de landelijke infrastructuur, generieke functies en aanpalende ICT-voorzieningen. Hierover zal ik uw Kamer voor het einde van het jaar informeren.

In mijn afwegingen neem ik mee dat op grond van voorliggend wetsvoorstel in de aangewezen norm voor een aangewezen gegevensuitwisseling verwezen kan worden naar een norm die eisen stelt aan generieke functies, maar dat zorgbreed soms meer nodig kan zijn. Zoals zorgbrede (eventueel dwingende) afspraken over eisen aan generieke «stekkerdozen», zoals (open) API’s, en aan interoperabiliteit tussen (delen van) infrastructuren, zoals NTA7516 voor veilige mail.

Vast staat dat ik steviger ga sturen op de landelijke totstandkoming van generieke functies en benodigde voorzieningen hiervoor in de zorg-ICT. Zo ontwikkel ik een opvolger van de UZI-pas en heb ik een voorziening ontwikkeld waarmee zorginstellingen via inlogmiddelen zoals DigiD hun digitale dienstverlening kunnen ontsluiten (toegangsverleningsservice/TVS).

3.3 Verplichtingen voor zorgaanbieders en eisen aan informatie- en technologieproducten

De leden van de D66-fractie vragen de regering of voor elke gegevensuitwisseling een apart certificaat nodig is voor degene die voor het uitwisselen van gegevens in een aangewezen gegevensuitwisseling informatietechnologieproducten of -diensten aanbiedt aan een zorgaanbieder (bijvoorbeeld een leverancier van een EPD).

Voor iedere gegevensuitwisseling is inderdaad een apart certificaat nodig. Per gegevensuitwisseling wordt een norm gesteld waarin worden opgenomen waaraan een informatietechnologieproduct of -dienst moet voldoen. Een zorgaanbieder wil vervolgens per gegevensuitwisseling kunnen zien of een informatietechnologieproduct of -dienst is gecertificeerd voor die norm voor die bij AMvB aangewezen gegevensuitwisseling. Indien een leveranciers informatietechnologieproducten of -diensten aanbiedt die worden ingezet voor meerdere verplicht gestelde gegevensuitwisselingen, dan dient de leverancier te beschikken over meerdere certificaten.

De leden van de D66-fractie merken op dat enkele leveranciers van elektronische patiëntendossiers aanzienlijke marktmacht hebben. Signalen uit de praktijk zijn onder andere dat innovatie of dienstverlening door deze partijen stokt omdat hier in mindere mate (extra) geld aan is te verdienen. Op welke wijze heeft dit wetsvoorstel invloed op de marktpositie van deze leveranciers?

Als gevolg van de keuze voor normering wordt verzekerd dat de norm, die gaat gelden voor de informatietechnologieproducten of -diensten en die leidt tot interoperabiliteit, het effect heeft dat het voor aanbieders van informatietechnologieproducten of -diensten eenvoudiger wordt om hun product of dienst zonder aanpassingen te doen inpassen bij meerdere zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer en afhankelijkheid van een leverancier wordt tegengegaan. Dit bevordert de concurrentie in de leveranciersmarkt. Dit wetsvoorstel heeft als bijkomend positief effect dat de afhankelijkheid van dominante aanbieders wordt beperkt. Het stellen van eisen aan informatietechnologieproducten of -diensten beperkt naar verwachting de afhankelijkheid van klanten van hun leverancier voor deze producten en diensten, omdat ze beter in staat zijn om van leverancier te veranderen zonder substantiële omschakelingskosten of ongemak. Ook leidt het stellen van eisen ertoe dat producten en diensten volledig interoperabel worden. Dit alles maakt het voor leveranciers makkelijker om toe te treden tot de zorgmarkt. Ik zie ook risico’s voor leveranciers. Hoewel in de normen zoveel mogelijk gebruik wordt gemaakt van (internationale) open standaarden, kan dit wetsvoorstel ervoor zorgen dat aanbieders van informatietechnologieproducten of -diensten maatwerkoplossingen zullen moeten ontwikkelen voor de Nederlandse markt. Dit kan tot gevolg hebben dat aanbieders van informatietechnologieproducten of -diensten ervoor kiezen om hun producten niet (langer) op de Nederlandse markt aan te bieden, omdat ze liever willen investeren in schaalbare oplossingen.

Kleine aanbieders van informatietechnologieproducten of -diensten kunnen de kosten die zij moeten maken voor certificering en het aanpassen van hun producten of diensten over minder klanten spreiden en zullen daarom op prijs niet gemakkelijk kunnen concurreren met grote aanbieders. Dit kan ertoe leiden dat deze kleine aanbieders niet meer mee kunnen doen op de markt.

Daarom monitor ik de markt voor informatietechnologiesystemen en -diensten die in de zorg gebruikt worden in het kader van de ontwikkeling van het Duurzaam Informatie Stelsel. De ACM als onafhankelijke toezichthouder in de zorgmarkt, waakt erover dat leveranciers geen misbruik maken van hun positie. Zorgpartijen, ICT- leveranciers en andere belanghebbenden kunnen bij ervaren misbruik van marktmacht hiervan melding maken. Recent heeft ook de ACM een onderzoek ingesteld naar de EPD-leveranciers in de ziekenhuissector. Zodra de uitkomsten van dit onderzoek bekend zijn zal ik uw Kamer informeren welke gevolgen ik zie voor de zorgmarkt.

De leden van de D66-fractie vragen hoe de regering aankijkt tegen het voorstel om het gebruik van een landelijk dekkend stelsel van zorginfrastructuren toe te voegen aan dit wetsvoorstel, zodat meer regie ook van toepassing is op de infrastructuur?

Wanneer de zorgaanbieder een product of dienst zonder certificaat gebruikt en de dienstverlening aan dat product of dienst wordt voortgezet door middel van technische ondersteuning zoals software updates, dan kan een boete worden opgelegd aan degene die deze ondersteuning van het product of dienst biedt. De leden van de CDA-fractie vragen hoe en door wie op deze verplichting wordt toegezien en wat de (maximale) boete hierbij is.

De door de Minister aangewezen toezichthouder, de IGJ, houdt toezicht op de aanwezigheid van een certificaat. Dit doet de IGJ onder meer door schriftelijke vragen te stellen, of documentatie of inspectiebezoeken op te vragen, waarbij wordt gecontroleerd of door zorgaanbieders of leveranciers van informatietechnologieproducten of -diensten, aan wetgeving voldoen. Op basis van een risicoschatting bepaalt de IGJ welke marktdeelnemers, productgroepen of processen hierbij (extra) onder aandacht staan. Ook voert de IGJ – wanneer daartoe aanleiding is – nader onderzoek uit op basis van meldingen die zij ontvangen.

De bestuurlijke boete is ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht of, als dat meer is, ten hoogste 10% van de omzet van de onderneming, onderscheidenlijk, als de overtreding door een ondernemersvereniging is begaan, van de gezamenlijke omzet van de ondernemingen die van de vereniging deel uitmaken, in het boekjaar voorafgaande aan de beschikking waarin de bestuurlijke boete wordt opgelegd.

De leden van de SP-fractie vragen de regering hoe ervoor zal worden gezorgd dat informatietechnologieproducten voor het uitwisselen van patiëntgegevens goed aansluiten op het zorgproces, zodat zij ook daadwerkelijk leiden tot tijdswinst voor zorgverleners en betere zorg voor patiënten.

De eisen aan informatietechnologieproducten- en diensten worden in de NEN-norm opgenomen, die vervolgens verplicht wordt gesteld bij AMvB. NEN nodigt alle belanghebbenden bij een norm, dus zeker ook belanghebbende zorgaanbieders en (vertegenwoordigers van) zorgverleners en cliënten, uit om deel te nemen aan de werkgroep die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook zorgaanbieders, zorgverleners en cliënten die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren. Zo kunnen zij borgen dat de informatietechnologieproducten en -diensten goed aansluiten op het zorgproces. Daarnaast laat ik voorafgaand aan de aanwijzingen van een gegevensuitwisseling bij AMvB een MKBA uitvoeren. In deze analyse wordt ook onderzocht welke tijds- en kwaliteitswinst kan worden behaald door te verplichten tot elektronische uitwisseling (volgens vastgestelde eisen voor taal en techniek).

Hoe wordt voorkomen dat zorginstellingen afhankelijk worden van dure informatietechnologieproducten of -diensten van één of weinig aanbieders?

Als gevolg van de keuze voor normering wordt verzekerd dat de norm, die gaat gelden voor de informatietechnologieproducten of -diensten en die leidt tot interoperabiliteit, het effect heeft dat het voor aanbieders van informatietechnologieproducten of -diensten eenvoudiger wordt om hun product of dienst zonder aanpassingen te doen inpassen bij meerdere zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer en afhankelijkheid van een leverancier wordt tegengegaan. Dit bevordert de concurrentie in de leveranciersmarkt. Dit wetsvoorstel heeft als bijkomend positief effect dat de afhankelijkheid van dominante aanbieders wordt beperkt. Het stellen van eisen aan informatietechnologieproducten of -diensten beperkt naar verwachting de afhankelijkheid van klanten van hun leverancier voor deze producten en diensten, omdat ze beter in staat zijn om van leverancier te veranderen zonder substantiële omschakelingskosten of ongemak. Ook leidt het stellen van eisen ertoe dat producten en diensten volledig interoperabel worden. Dit alles maakt het voor leveranciers makkelijker om toe te treden tot de zorgmarkt. Ik zie ook risico’s voor leveranciers. Hoewel in de normen zoveel mogelijk gebruik wordt gemaakt van (internationale) open standaarden, kan dit wetsvoorstel ervoor zorgen dat aanbieders van informatietechnologieproducten of -diensten maatwerkoplossingen zullen moeten ontwikkelen voor de Nederlandse markt. Dit kan tot gevolg hebben dat aanbieders van informatietechnologieproducten of -diensten ervoor kiezen om hun producten niet (langer) op de Nederlandse markt aan te bieden, omdat ze liever willen investeren in schaalbare oplossingen.

Kleine aanbieders van informatietechnologieproducten of -diensten kunnen de kosten die zij moeten maken voor certificering en het aanpassen van hun producten of diensten over minder klanten spreiden en zullen daarom op prijs niet gemakkelijk kunnen concurreren met grote aanbieders. Dit kan ertoe leiden dat deze kleine aanbieders niet meer mee kunnen doen op de markt.

Daarom monitor ik de markt voor informatietechnologiesystemen en -diensten die in de zorg gebruikt worden in het kader van de ontwikkeling van het Duurzaam Informatie Stelsel. De ACM als onafhankelijke toezichthouder in de zorgmarkt, waakt erover dat leveranciers geen misbruik maken van hun positie. Zorgpartijen, ICT- leveranciers en andere belanghebbenden kunnen bij ervaren misbruik van marktmacht hiervan melding maken. Recent heeft ook de ACM een onderzoek ingesteld naar de EPD-leveranciers in de ziekenhuissector. Zodra de uitkomsten van dit onderzoek bekend zijn zal ik uw Kamer informeren welke gevolgen ik zie voor de zorgmarkt.

Nadat een gegevensuitwisseling op de MJA Wegiz is geplaatst, zal gestart worden met een MKBA en een volwassenheidscan. Het zorgveld wordt bij deze toetsing betrokken. Naar aanleiding van deze toets zal in de eerste plaats bezien worden of overgegaan wordt tot een aanwijzing in spoor 2 die zal leiden tot volledige interoperabiliteit of dat in eerste instantie gekozen wordt voor een spoor 1 aanwijzing.

In het eerste geval zal -indien de uitkomsten van de MKBA en volwassenheidscan positief zijn – ik opdracht geven aan de NEN voor het opstellen van een NEN-norm voor de beoogde verplichte gegevensuitwisseling. Alle belanghebbende zorgpartijen zullen worden uitgenodigd om deel te nemen aan de in te stellen werkgroep waarin de NEN-norm wordt ontwikkeld. Als blijkt dat er al een geschikte norm is die leidt tot een interoperabele gegevensuitwisseling, zal van die norm gebruik worden gemaakt. Bij de vraag of er een geschikte norm is worden ook alle zorgpartijen betrokken. Wanneer de NEN-norm wordt ontwikkeld zal gelijktijdig gestart worden met de concept-AMvB.

De leden van de SGP-fractie vragen de regering te verduidelijken wat bedoeld wordt met de eisen die bij AMvB worden gesteld zodat het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling plaatsvindt ««op een functionele, technische of organisatorische wijze.»» De leden van de SGP-fractie menen dat deze begrippen breed opgevat kunnen worden. Kan de regering concrete voorbeelden geven van de eisen die zij wil gaan stellen? Biedt deze bepaling ruimte om verplichtingen op te leggen met betrekking tot te gebruiken infrastructuren en gemeenschappelijke voorzieningen?

Mijn inzet is dat het wetsvoorstel gaat leiden tot een versnelling in het interoperabel uitwisselen van gegevens in de zorg. Een spoor 1-aanwijzing om een gegevensuitwisseling verplicht elektronisch te laten verlopen, kan snel gaan. In dat geval hoeft er niet gewacht te worden op een normtraject. In spoor 1 kunnen bestaande overkoepelende eisen gesteld worden die interoperabiliteit bevorderen, zoals eisen inzake identificatie van de zorgaanbieder, authenticatie, berichtstandaard, beveiliging of transport. Dat zijn functionele, technische of organisatorische eisen die gesteld kunnen worden. Doordat op deze manier de eerste stap wordt gezet voor het elektronisch uitwisselen van gegevens, wordt verwacht dat hieruit ook van onderop initiatieven en innovatie uit het zorgveld ontstaan, waardoor de vervolgstap naar een spoor 2-aanwijzing wordt verkleind. Overigens is de formulering overeenkomstig de formulering in artikel 15j Wabvpz.

De leden van de SGP-fractie vragen hoe wordt voorkomen dat zorgaanbieders straks systemen hanteren die allemaal voldoen aan de gestelde normen, maar onderling nog steeds niet interoperabel zijn waardoor landelijke gegevensuitwisseling nog steeds niet van de grond komt?

Interoperabiliteit is het doel bij de ontwikkeling van normen. Certificerende instellingen zullen vervolgens toetsen of een informatietechnologieproduct of -dienst ook daadwerkelijk interoperabel is met andere betrokken informatietechnologieproducten of -diensten. De IGJ ziet erop toe dat zorgverleners op de juiste wijze de gegevens in een aangewezen gegevensuitwisseling uitwisselen, gebruik makend van de gecertificeerde informatietechnologieproduct of -diensten. Wanneer de IGJ constateert dat, ondanks de aanwezigheid van gecertificeerde informatietechnologieproduct of -diensten er geen interoperabele gegevensuitwisseling plaatsvindt, dan geeft de IGJ hierover een signaal af aan de certificerende instelling, aan de Raad voor Accreditatie of aan mij, waarna wordt bepaald welke vervolgstappen worden gezet.

3.4 Verplichting om gegevens elektronisch uit te wisselen

De leden van de D66-fractie vragen de regering of het zetten van normen binnen dit wetsvoorstel voldoende is om uitwisseling van gegevens sneller van de grond te krijgen. Partijen in de zorg geven aan dat er met dit wetsvoorstel wel afspraken worden gemaakt over het verplicht digitaal uitwisselen met van informatiestandaarden, maar dat geen afspraken worden gemaakt over het gebruik van zogeheten open API. Waarom is hier niet voor gekozen?

Open API’s maken het mogelijk dat data in informatietechnologieproducten kan worden benaderd, zowel om op te vragen als om wijzigingen aan te brengen. Hoewel ook voor API’s standaarden gelden, bestaat er niet zoiets als een universele API. Het wetsvoorstel ondersteunt het gebruik van (open) API’s. In de AMvB kunnen (via normen) eisen worden gesteld aan de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling moet plaatsvinden. Zo kunnen API’s onder dit wetsvoorstel voor aangewezen gegevensuitwisselingen worden verplicht. Dat leidt naar verwachting tot een breder gebruik van API’s, ook voor andere (niet onder het wetsvoorstel aangewezen) gegevensuitwisselingen. Ik zie toegevoegde waarde in het gebruik van open API’s, zoals ik eerder al heb geschreven in mijn brief over open standaarden en open architectuur in december 2020 (Kamerstukken II 2020/21, 27 529, nr. 202). Ik heb Nictiz gevraagd advies aan mij uit te brengen ten aanzien van een open API strategie en hierbij voorbeelden uit binnen- en buitenland te betrekken. Ik informeer u uiterlijk in de eerste helft van 2022 over de voortgang.

Open API’s maken het mogelijk dat data in informatietechnologieproducten kan worden benaderd, zowel om op te vragen als om wijzigingen aan te brengen. Hoewel ook voor API’s standaarden gelden, bestaat er niet zoiets als een universele API. In de AMvB kunnen (via normen) eisen worden gesteld aan de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling moet plaatsvinden. Zo kunnen API’s onder dit wetsvoorstel voor aangewezen gegevensuitwisselingen worden verplicht. Dat leidt naar verwachting tot een breder gebruik van API’s, ook voor andere (niet onder het wetsvoorstel aangewezen) gegevensuitwisselingen. Ik zie toegevoegde waarde in het gebruik van open API’s, zoals ik eerder al heb geschreven in mijn brief over open standaarden en open architectuur in december 2020 (Kamerstukken II 2020/21, 27 529, nr. 202). Ik heb Nictiz gevraagd advies aan mij uit te brengen ten aanzien van een open API strategie en hierbij voorbeelden uit binnen- en buitenland te betrekken. Ik informeer u uiterlijk in de eerste helft van 2022 over de voortgang.

De leden van de D66-fractie vragen of Spoor 2, welke ingaat op de technische aspecten van de uitwisseling, in voldoende mate ervoor kan zorgen dat softwareleveranciers verplicht worden om hun systemen zo aan te passen dat uitwisseling gemakkelijker gaat of betreft het slechts uitgangsposities die omschreven zijn in de normen.

Binnen spoor 2 worden normen voor aan te wijzen gegevensuitwisselingen ontwikkeld en vervolgens wordt het toepassen van de norm dwingend en exclusief voorgeschreven. De zorgaanbieder is gehouden uit te wisselen overeenkomstig de norm, tenzij het gaat om eisen die gesteld worden aan het gebruik van informatietechnologieproducten of -diensten. Die informatietechnologieproducten of -diensten kunnen alleen gebruikt worden als ze voorzien zijn van een certificaat voor de gegevensuitwisseling. Een norm voor een gegevensuitwisseling kan alleen worden aangewezen als met de norm interoperabiliteit wordt bereikt. Een certificaat wordt alleen verstrekt als het informatietechnologieproduct of -dienst voldoet aan de eisen van de norm.

Wat wordt bedoeld met deze passage onder paragraaf 3.5.1 van de toelichting: «door genormaliseerde eisen te stellen, zien deze eisen niet op een specifieke elektronische infrastructuur of informatietechnologieproduct of -dienst.»

In normen worden eisen gesteld aan informatietechnologieproducten of -diensten. Alle producten en diensten die aan deze eisen voldoen, komen voor certificering in aanmerking. Bij het ontwikkelen van normen onder het wetsvoorstel is het niet toegestaan om naar een specifieke elektronische infrastructuur of informatietechnologieproduct of -dienst van één leverancier te verwijzen. Zo wordt gedwongen winkelnering en monopolievorming voorkomen.

De leden van de CDA-fractie vragen de regering waar de verwachting op gebaseerd is dat aanwijzing in spoor 1 het veld focus en motivatie biedt om de stap te zetten om te komen tot normalisatie op het gebied van de eisen aan taal en techniek.

Een spoor-1 aanwijzing om een aan te wijzen gegevensuitwisseling verplicht elektronisch te laten verlopen, kan snel gaan. In dat geval hoeft er niet gewacht te worden op een normtraject. Bestaande normen, zoals ten aanzien van informatiebeveiliging, kunnen opgenomen worden in spoor 1. Doordat op deze manier de eerste stap wordt gezet voor het elektronisch uitwisselen van gegevens, wordt verwacht dat hieruit ook van onderop initiatieven en innovatie uit het zorgveld ontstaan, waardoor de vervolgstap naar een spoor 2-aanwijzing wordt verkleind.

Ik verwacht dat het wetsvoorstel eraan bijdraagt dat met het oog op een komende wettelijke verplichting ook initiatieven ontstaan voor het komen tot gezamenlijk gedragen standaarden, afspraken en eisen die breder toepasbaar zijn.

Het wetsvoorstel werpt nu al zijn schaduw vooruit. Dit is te zien bij implementatietrajecten zoals eOverdracht en Medicatieoverdracht, waarvoor een wettelijke verplichting als sluitstuk beoogd is. Deze trajecten zijn al gestart en maken het mogelijk om na inwerkingtreding van het wetsvoorstel bij AMvB aangewezen te worden als een gegevensuitwisseling in spoor 1 of 2. Daarnaast hebben leveranciers al voorstellen gedaan voor technische afspraken voor de uitwisseling van de Basisgegevensset Zorg (hierna: BgZ) en beelduitwisseling, wat ook twee van de vier gegevensuitwisselingen zijn die op dit moment worden uitgewerkt. Ik vind het bemoedigend om te zien dat er al concrete stappen worden gezet voorafgaand aan de wetsbehandeling door uw Kamer.

Bovendien is de inzet dat het met iedere volgende gegevensuitwisseling makkelijker wordt om deze te digitaliseren. Door zoveel mogelijk gebruik te maken van eerdere trajecten met bijbehorende standaarden, normen, andere afspraken en ICT-infrastructuur ben ik optimistisch dat al doende versnelling wordt gerealiseerd.

De leden van de SP-fractie vragen de regering of er ook een verplichting komt om bepaalde patiëntgegevens te delen. Zo ja, om welke gegevens gaat het en hoe verhoudt dit zich tot andere wetgeving op het gebied van de bescherming van patiëntgegevens?

Het wetsvoorstel verplicht niet tot het uitwisselen van gezondheidsgegevens. Bij deze nota naar aanleiding van het verslag heb ik een nota van wijziging gevoegd, waarmee verduidelijkt wordt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens.

De verplichting in dit wetsvoorstel ziet alleen op de vraag hoe de uitwisseling van gegevens plaats moet vinden, namelijk op elektronische wijze. Als binnen het bestaande wettelijke kader voor de uitwisseling van gezondheidsgegevens geen verwerkingsgrondslag bestaat, geen uitzonderingsgrond op het verbod om bijzondere persoonsgegevens en geen doorbrekingsgrond voor het medisch beroepsgeheim, dan kan deze niet plaatsvinden.

Met persoonsgegevens, waaronder bijzondere persoonsgegevens zoals gezondheidsgegevens, moet zorgvuldig worden omgegaan. Recht op bescherming van persoonsgegevens is van belang met het oog op privacy en toegang tot de zorg en is daarom in internationale en nationale wetgeving geregeld (in onder meer het EVRM, de Grondwet, de AVG, de UAVG, de Wgbo, de Wet BIG en de Wabvpz). Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Hiermee is gegarandeerd dat de privacy op orde is.

Met dit wetsvoorstel wordt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens uitgewisseld moeten worden. Welke gegevens uitgewisseld moeten worden ten behoeve van de goede zorg of met het oog daarop wordt in beginsel bepaald door het veld. Dit kan per gegevensuitwisseling verschillen. In het geval van gegevensuitwisseling «beeld» worden bijvoorbeeld andere gegevens van belang geacht dan bij «digitaal voorschrijven en ter hand stellen» of «verpleegkundige overdracht». Als voorbeeld van gegevens waarvan het veld van oordeel is dat deze uitgewisseld moeten worden ten behoeve van de goede zorg of met het oog daarop, is de basisset medicatiegegevens. Dit zijn gegevens zoals afspraken per geneesmiddel, gestopte of gewijzigde medicatie, geneesmiddelovergevoeligheden en afwijkende nierfunctiewaarden.

Met dit wetsvoorstel wordt geregeld dat een gegevensuitwisseling pas kan worden aangewezen bij AMvB als in een kwaliteitsstandaard of in wet- en regelgeving is vastgelegd welke gegevens uitgewisseld moeten worden (met uitzondering van de overgangsperiode).

De leden van de SP-fractie vragen of er terreinen zijn waarop er nu al gezegd kan worden dat elektronische uitwisseling van patiëntgegevens niet verplicht zal worden?

Nee.

3.5 Normalisatie

De leden van de VVD-fractie willen graag een nadere uitleg over «geen wederzijdse erkenning», aangezien wat er nu staat niet duidelijk is voor deze leden. Wat zou nut en noodzaak van wederzijdse erkenning kunnen zijn? Wat zijn daarvan de voor- en nadelen?

Er is in het wetsvoorstel een keuze gemaakt om geen materiële eisen in het voorstel zelf op de nemen. De keuze is gemaakt om de gewenste interoperabiliteit van een gegevensuitwisseling te bereiken door het voorschrijven van een norm waarmee die interoperabiliteit behaald moet worden. Interoperabiliteit is geen vast begrip, maar wordt steeds door elke norm ingevuld. Dit is anders dan bijvoorbeeld een eis als «een dak is waterdicht». Er zou een norm kunnen worden ontwikkeld die bepaald hoe je komt tot het vereiste resultaat, namelijk een waterdicht dak. Maar je kan ook bepalen dat je ook via andere normen hetzelfde resultaat mag bereiken (wederzijdse erkenning). De uitkomst is namelijk dan in alle gevallen hetzelfde resultaat, namelijk een waterdicht dak. Maar als je een wederzijdse erkenning opneemt voor «interoperabiliteit», kan de ene norm ertoe leiden dat er interoperabel wordt uitgewisseld met een USB-stick en de andere norm die bepaald dat de gegevens interoperabel via een elektronische infrastructuur worden uitgewisseld. Het resultaat is dan echter niet wat je wilt bereiken met het wetsvoorstel, namelijk interoperabiliteit in de totale gegevensuitwisseling. De interoperabiliteit kan daarmee alleen voor die gegevensuitwisseling daadwerkelijk behaald worden, als de invulling daarvan in de norm dwingend en exclusief wordt voorgeschreven. Dit gaat bijvoorbeeld ook op voor het Besluit elektronische gegevensverwerking door zorgaanbieders (hierna: Begz) waarin dwingend en exclusief naar de NEN 7510 wordt verwezen, omdat die normen van belang zijn voor de standaardisatie en samenwerking tussen instellingen en bevorderen de mogelijkheden om goed toezicht te houden op een «passende beveiliging» van de gegevensverwerkingen. Door het dwingend en exclusief voorschrijven van de norm, kan er geen wederzijdse erkenning worden opgenomen.

De licentiekosten die verbonden zijn aan het gebruik van NEN-normen zal de overheid afkopen. De leden van de VVD-fractie vragen welke kosten daar gemiddeld mee zijn gemoeid?

Om ervoor te zorgen dat ontwikkelde normen vrij beschikbaar zijn voor de zorg, heb ik besloten om de kosten voor het gebruik en het beheer van de normen af te kopen. Hiermee is een jaarlijks bedrag gemoeid. De hoogte van het bedrag hangt af van het aantal normen dat formeel is gepubliceerd.

Verderop lezen de leden van de VVD-fractie dat de kosten worden meegenomen bij de AMvB. Maar hoe wordt dit dan verwerkt in de begroting van het Ministerie van Volksgezondheid, Welzijn en Sport? In hoeverre wordt daar in de toekomst rekening gehouden met deze kosten?

Samen met het zorgveld werk ik aan een toekomstbestendige gegevensuitwisseling in de gezondheidszorg met als uitgangspunten dat systemen met elkaar kunnen communiceren (interoperabiliteit), de keuzevrijheid voor zorgaanbieders bij het kiezen van een ICT-systeem geborgd blijft en dit tegen acceptabele maatschappelijke kosten gebeurt.

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen leidt tot implementatiekosten en nalevingskosten. Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met de implementatie de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Hier zal per gegevensuitwisseling goed gekeken worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij hou ik per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

Mocht dit gevolgen hebben voor de begroting van het ministerie dan verwerk ik dat middels de reguliere begrotingscyclus in de begroting, hiermee heeft de Kamer de mogelijkheid om hierop te sturen.

De NEN-normen komen tot stand na consensus onder de leden van de normcommissie. De leden van de VVD-fractie vragen hoe besluitvorming daar plaatsvindt? Wie zitten in de normcommissie? En wat wordt bedoeld met «consensus»? Hoe worden patiënten, cliënten en zorgverleners daarbij betrokken?

Juist door het ontwikkelen van normen onder auspiciën van NEN borg ik dat normen tot stand komen via een onafhankelijk en transparant proces. Bij aanvang van een normontwikkeling wordt in kaart gebracht wie de belanghebbenden zijn, worden zij geïnformeerd en vervolgens uitgenodigd tot deelname aan de werkgroep. De inhoud van de norm wordt getoetst door een normcommissie, die bestaat uit een evenwichtige vertegenwoordiging van belanghebbende partijen ten aanzien van het onderwerp waar de norm over gaat. Deze commissie toetst of een voorgestelde norm via een zorgvuldig proces tot stand is gekomen en toetst de samenhang met al bestaande normen. Binnen de commissie dient hierover consensus te worden bereikt, waarbij van belang is dat er geen onoverkomelijk bezwaar leeft bij een of meer betrokken partijen. Zo nodig kent NEN diverse formele escalatiemechanismen om toch tot consensus te komen en de norm vast te kunnen stellen, mocht de gewenste consensus niet direct tot stand komen. Indien het ernaar uitziet dat het bereiken van consensus lastig is, gaat NEN in gesprek met de betreffende partijen om achterliggende redenen in beeld te brengen en de verschillende belangen tot elkaar te brengen. De ervaring leert dat deze benadering bijna altijd tot consensus leidt, zoals dit ook het geval was bij de totstandkoming van de norm voor veilig mailen en chatten in de zorg, NTA 7516. Als (vertegenwoordigers van) cliënten en zorgverleners belang bij en expertise over het onderwerp van de norm hebben, dan worden zij uitgenodigd om deel te nemen aan de normcommissie.

De leden van de VVD-fractie vinden dat medische informatie veilig moet zijn. In hoeverre wordt informatiebeveiliging meegenomen in de NEN-normen?

Ik onderschrijf volledig dat medische informatie veilig moet zijn. Het beveiligingsregime in de zorg is reeds genormaliseerd (NEN 7510, NEN 7512 en NEN 7513). Deze normen sluiten aan bij de algemene eisen rondom beveiliging uit de AVG. De AMvB onder het wetsvoorstel zal verwijzen naar deze bestaande normen.

De leden van de VVD-fractie vragen hoe er voor kan worden gezorgd dat de zorgaanbieders aantoonbaar voldoen aan de basisnormen van informatiebeveiliging?

In het Begz is bepaald dat een zorgaanbieder overeenkomst het bepaalde in NEN 7510 (norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg) en NEN 7512 (nadere invulling van NEN 7510 betreffende de veiligheid van gegevensuitwisseling tussen partijen in de zorg) zorg moet dragen voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem waarop hij is aangesloten. De AP en de IGJ houden toezicht op de naleving van deze verplichtingen, aan de hand van het Samenwerkingsprotocol AP- IGJ io, Autoriteit Persoonsgegevens (Staatscourant 2018, nr. 702). Het toezicht van de AP zich richt op privacyaspecten van informatiebeveiliging. De IGJ ziet toe dat zorgaanbieders voldoen aan de juiste randvoorwaarden voor de inzet van ICT, zodat de kwaliteit en veiligheid van de zorg daardoor niet in het geding komen. Het onderwerp informatiebeveiliging is onderdeel van het toetsingskader van de IGJ, voor zover dit invloed heeft op de continuïteit van de informatiesystemen.

De leden van de D66-fractie vragen hoe lang het duurt om vanaf de opdracht voor een NEN-norm te komen tot een daadwerkelijke NEN-norm. Is het volgens de regering voor dit doeleinde het juiste instrumentarium.

Van het moment dat ik opdracht geef voor het ontwikkelen van een NEN-norm tot de publicatie ervan neemt gemiddeld genomen zo’n anderhalf jaar in beslag. Deze tijd is enerzijds nodig om tot zorgvuldige afspraken te komen en biedt anderzijds zorgaanbieders en leveranciers de mogelijkheid om zich voor te bereiden op de komst van een nieuwe NEN-norm en dus toe te werken naar het inbouwen van de afspraken en informatiestandaarden die daar onderdeel van zijn.

NEN-normen acht ik zeker het juiste instrumentarium. Naast het feit dat normen onder auspiciën van NEN tot stand komen via een onafhankelijk en transparant proces, waarin alle belanghebbenden betrokken worden gericht op het bereiken van consensus, bieden NEN-normen de mogelijkheid om deze ook wettelijk te verplichten. Het NEN-stelsel geeft invulling aan EU-afspraken over normering.

De leden van de D66-fractie vragen welke alternatieven voor de NEN-norm zijn overwogen?

Om gegevensuitwisselingen interoperabel te kunnen is het nodig hierover afspraken te maken. Er zijn drie varianten onderzocht hoe dit het beste kan, waarvan er twee zijn overgebleven in het wetsvoorstel.

Eén mogelijkheid is om een spoor 1 aanwijzing te doen: daarbij geldt een verplichting ten aanzien van elektronische gegevensuitwisseling, zonder dat in een NEN-norm beschreven is hoe dat precies moet. Dit staat nu in het wetsvoorstel.

Daarnaast is overwogen om afspraken en standaarden direct (zonder tussenkomst van NEN-normen) in het wetsvoorstel op te nemen. De benodigde kennis en expertise ligt echter bij het zorg- en ICT-veld. Door de afspraken en standaarden direct in wet- en regelgeving vast te leggen bestaat het risico dat de wetgever eisen stelt aan een gegevensuitwisseling waaraan niet kan worden voldaan of die innovatie in de weg staat die juist gewenst is. Wat de beste eisen zijn om te komen tot interoperabiliteit op het moment van aanwijzen van een gegevensuitwisseling kunnen het zorg- en ICT-veld het beste zelf bepalen. Om deze redenen is dit alternatief afgevallen.

Daarom is de keuze uiteindelijk gevallen op verplicht gestelde NEN-normen. De getrapte verwijzing vanuit het wetsvoorstel via de AMvB, naar normen en vervolgens open standaarden, zorgt voor flexibiliteit en compacte wetgeving. Het biedt ook de mogelijkheid om de benodigde set aan standaarden te toetsen en samenhangend te verbinden in een norm. NEN is bovendien onderdeel van een semi-publiek (EU) stelsel. NEN is onafhankelijk en heeft een uitsluitend faciliterende rol; het heeft geen belang bij de inhoud van de normen, zoals dit voor de standaardisatieorganisatie soms wel het geval is. In haar faciliterende rol is NEN goed in staat om het veld in haar volle breedte tot inhoudelijke afspraken te laten komen.

Omdat de regering aangeeft dat er op dit moment nog geen Europese of internationale normen zijn, vragen de leden van de D66-fractie hoe andere landen dan eisen stellen aan gegevensuitwisseling tussen zorgaanbieders.

Daarnaast vragen leden van de D66-fractie of andere sectoren (buiten de zorg, zoals de logistiek, uitvoeringsorganisaties, banken) ook werken met dergelijke normen of dat zij hier andere methoden voor hebben om uitwisseling te waarborgen.

Ook in andere sectoren dan de zorg, zoals de financiële wereld en de bouw, wordt veelvuldig gewerkt met normen. Maar er zijn uiteraard ook andere manieren om binnen een sector tot gezamenlijke afspraken en standaardisatie te komen. In de zorgsector is het afgelopen decennia echter niet gelukt om zelf tot dergelijke afspraken te komen. Daarom is mij gevraagd om regie te nemen. Dat doe ik door samen met het veld afspraken te maken, die afspraken vast te leggen in normen en deze normen wettelijk te verplichten.

De leden van de D66-fractie vragen de regering een uitsplitsing te geven van de kosten die gepaard kunnen gaan bij het opstellen en het voldoen aan NEN-normen bij zorgaanbieders.

Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Per gegevensuitwisseling zal goed gekeken worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij houd ik per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

Het wetsvoorstel voorziet in normalisatietrajecten. De leden van de CDA-fractie vragen hoe de regering borgt dat, ook gelet op de ervaringen met het vaststellen van kwaliteitsnormen, er voldoende voortgang wordt geboekt c.q. wie kan de knoop doorhakken of krijgt doorzettingsmacht. Welke instrumenten zijn daar volgens de regering voor nodig en hoe beoordeelt de regering deze?

NEN-normen komen tot stand na consensus onder de leden van de normcommissie. In principe komen normwerkgroepen zelf tot vaststelling van de norm, na openbare consultatie (openbare kritiekronde van het normontwerp). Zo nodig kent NEN diverse formele escalatiemechanismen om toch tot consensus te komen en de norm vast te kunnen stellen, mocht de gewenste consensus niet direct tot stand komen. Indien het ernaar uitziet dat het bereiken van consensus lastig is, gaat NEN in gesprek met de betreffende partijen om achterliggende redenen in beeld te brengen en de verschillende belangen tot elkaar te brengen. De ervaring leert dat deze benadering bijna altijd tot consensus leidt, zoals dit ook het geval was bij de totstandkoming van de norm voor veilig mailen en chatten in de zorg, NTA 7516.

Mocht dit niet tot consensus leiden, dan wordt de door NEN ingestelde Programmaraad Egiz om advies gevraagd. Het advies van deze raad wordt voorgelegd aan de verantwoordelijke normcommissie en vervolgens de verantwoordelijke beleidscommissie.

Als ondanks deze mechanismen een norm niet tot stand komt, is alleen een aanwijzing in spoor 1 mogelijk met eventueel minimale te stellen eisen.

Voorafgaande aan de ontwikkeling van een NEN-norm voor een specifieke gegevensuitwisseling benadert NEN alle belanghebbenden en roept hen op om deel te namen aan de werkgroep die de normontwikkeling uitvoert. Deelt de regering de verwachting van de Patiëntenfederatie Nederland dat de normalisatiewerkzaamheden door dit wetsvoorstel sterk zullen toenemen, zo vragen de leden van de CDA-fractie.

Ik deel de verwachting van de Patiëntenfederatie dat normalisatiewerkzaamheden door dit wetsvoorstel zullen toenemen. De verwachting is dat vooral de eerste normen extra inspanning zullen vragen en dat op een gegeven moment generieke onderdelen van normen kunnen worden hergebruikt. Voorafgaand aan het ontwikkelen van een norm voor een gegevensuitwisseling waarvoor beoogd is die bij AMvB aan te wijzen, wordt sowieso een MKBA uitgevoerd. In de MKBA worden ook de kosten van normontwikkeling en certificering meegenomen.

De leden van de CDA-fractie vragen wat de reactie van de regering is op de stelling van de Patiëntenfederatie dat daardoor zonder extra financiële ondersteuning inbreng van het patiëntperspectief in de voorgestelde normontwikkeling niet mogelijk is?

Het normtraject is een onafhankelijk proces gestuurd door NEN. In de standaardwerkwijze zit opgenomen dat er een representatieve groep belanghebbenden wordt meegenomen in het proces om tot een norm te komen. Mogelijk leidt dit tot een toename van normalisatiewerkzaamheden voor deze organisaties. Hierbij zullen vooral de eerste normen extra inspanning vragen en zal niet iedere gegevensuitwisseling worden genormeerd. Op een gegeven moment kunnen ook generieke eisen worden hergebruikt.

Voorafgaand aan het besluit om voor een specifieke gegevensuitwisseling een norm te ontwikkelen zal sowieso een MKBA worden uitgevoerd. In deze analyse worden ook de inzet voor en kosten van normontwikkeling en certificering meegenomen. Daardoor kan er gericht gekeken worden in hoeverre bepaalde organisaties overvraagd worden en in gesprek moet worden gegaan over een passende oplossing.

De leden van de CDA-fractie vragen hoe de regering de inbreng van het patiëntenperspectief in normontwikkeling die voortkomt uit dit wetsvoorstel borgt en faciliteert?

NEN nodigt alle belanghebbenden bij een norm, dus zeker ook (vertegenwoordigers van) cliënten, uit om deel te nemen aan de werkgroep die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook cliënten die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken te verplichten voor taal en techniek.

Ik onderschrijf de noodzaak om te komen tot een landelijk dekkend stelsel van onderling verbonden infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van de individuele zorgaanbieder een belangrijk criterium is. Vanuit dat perspectief en in lijn met de eerder genoemde moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) onderzoek ik hoe ik meer publieke sturing en regie kan nemen op de landelijke infrastructuur, generieke functies en aanpalende ICT-voorzieningen. Hierover zal ik uw Kamer voor het einde van het jaar informeren.

In mijn afwegingen neem ik mee dat op grond van voorliggend wetsvoorstel in de aangewezen norm voor een aangewezen gegevensuitwisseling verwezen kan worden naar een norm die eisen stelt aan generieke functies, maar dat zorgbreed soms meer nodig kan zijn. Zoals zorgbrede (eventueel dwingende) afspraken over eisen aan generieke «stekkerdozen», zoals (open) API’s, en aan interoperabiliteit tussen (delen van) infrastructuren, zoals NTA7516 voor veilige mail.

Vast staat dat ik steviger ga sturen op de landelijke totstandkoming van generieke functies en benodigde voorzieningen hiervoor in de zorg-ICT. Zo ontwikkel ik een opvolger van de UZI-pas en heb ik een voorziening ontwikkeld waarmee zorginstellingen via inlogmiddelen zoals DigiD hun digitale dienstverlening kunnen ontsluiten (toegangsverleningsservice/TVS).

De leden van de CDA-fractie vragen hoe wordt voorkomen dat er generieke normen worden ontwikkeld voor generieke functies die zich lenen voor het onderbrengen in een gemeenschappelijke voorziening?

Ik constateer dat er rond gemeenschappelijke en mogelijk publieke voorzieningen momenteel veel beweging is, ook in het verlengde van de moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223). Bij het uitwisselen van gegevens in de zorg treffen we diverse functies aan die in veel uitwisselingen terugkomen, zogenaamde generieke functies. Voorbeelden van dergelijke generieke functies zijn identificatie, autorisatie van de zorgverlener en registratie van toestemming van de patiënt. Voor het bereiken van interoperabiliteit is het noodzakelijk om voor generieke functies eenduidige afspraken vast te leggen. Normering van deze afspraken is hierbij wenselijk. Normen zorgen voor consistente en breed gedragen eisen aan deze functies. Zo kan er bijvoorbeeld ook bij de uitwerking van specifieke gegevensuitwisselingen vanuit het wetsvoorstel eenduidig verwezen worden naar deze normen.

Ik heb de NEN gevraagd een werkgroep te starten die voor generieke functies een plan van aanpak te ontwikkelen. Onder andere zal worden bepaald over welke functies met voorrang afspraken moeten worden gemaakt. De generieke functies zoals deze zijn vastgesteld in het Informatieberaad vormen hierbij het uitgangspunt. Het is denkbaar dat voor sommige generieke functies ook voorzieningen worden aangewezen, te denken valt aan de functie toestemming. Of dat een of meerdere (onderdelen) van normen voor generieke functies uiteindelijk opgenomen worden ter verplichting.

Er wordt geen Nederlandse norm ontwikkeld als er al een Europese of internationale norm beschikbaar is, die zonder wijzigingen in Nederland kan worden geïmplementeerd en ook voldoet aan de door de regering meegegeven richtinggevende kaders. Tegelijk geeft de regering echter ook aan dat het voor Europese en internationale normen niet mogelijk is deze openbaar en kosteloos beschikbaar te stellen, terwijl de licentiekosten voor NEN-normen wel openbaar en kosteloos beschikbaar worden gesteld. Het gebruik van deze normen afkopen wordt ook niet gedaan als de prijs van die norm onredelijk hoog is. De leden van de CDA-fractie vragen of in het geval van onredelijke hoge prijzen toch wordt afgezien van het gebruik van Europese of internationale normen, ook al voldoen die voor de rest wel. Wat ziet de regering als een onredelijke hoge prijs voor een norm? Als een Europese of internationale norm wordt gehanteerd, maar de regering koopt het gebruik van deze norm niet af vanwege een onredelijk hoge prijs, bij wie komen de kosten dan wel te liggen?

Hoe de bekostigingsstructuur er precies in dat geval uit komt te zien, is nog niet op voorhand te zeggen, omdat zoals ook door mij is aangegeven in de memorie van toelichting, er voorlopig nog geen Europese normen gebruikt kunnen worden onder het wetsvoorstel. Wanneer blijkt dat voor een aan te wijzen gegevensuitwisseling bij AMvB gebruik zal gaan worden van een Europese norm en deze verplichtend kan worden aangewezen omdat de kosten niet onredelijk hoog zijn, dan zal – evenals gebruikelijk voor alle andere kosten die samenhangen met de AMvB, zoals implementatie- en structurele kosten, in de nota van toelichting ingegaan worden op de financiële gevolgen voor zorgaanbieders, overheid en andere betrokken, zoals leveranciers van ICT-systemen. Deze AMvB wordt ook voorgehangen bij uw Kamer.

Sinds 2018 is het werken volgens en voldoen aan bepaalde NEN-normen uit het Besluit Elektronische Gegevensverwerking Zorgaanbieders verplicht. Deze normen vormen de basis voor goede en betrouwbare omgang met digitale patiëntgegevens. Certificering voor de basisnormen is echter niet verplicht, en dat wordt het ook niet met onderhavig wetsvoorstel. De leden van de CDA-fractie vragen of de regering meerwaarde ziet in het voorstel van de Patiëntenfederatie Nederland om certificering voor de verplichte basisnormen uit het Besluit Elektronische Gegevensverwerking Zorgaanbieders op te nemen in dit wetsvoorstel, om te borgen dat zorginstellingen aantoonbaar de basis van informatiebeveiliging op orde hebben. Zo nee, waarom niet? Zo ja, is de regering bereid dit in onderhavig wetsvoorstel op te nemen?

Het belang van het op orde hebben van de informatiebeveiliging onderschrijf ik. Het huidige Begz verplicht zorgaanbieders nu al om te voldoen aan NEN 7510 en aanverwante normen. Deze normen zullen ook wanneer een gegevensuitwisseling onder het wetsvoorstel in spoor 2 wordt aangewezen, verplicht blijven en eventueel worden aangevuld. In het kader van de NEN-normen zal per gegevensuitwisseling worden bezien of dit nuttig en noodzakelijk is. Hierbij neem ik ook de administratieve lasten mee in overweging.

Ik zet mij in op het verkleinen van de risico’s en impact van die risico’s door te zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets gebeurt. Ook heb ik samen met ICTU en vereniging Brancheorganisaties Zorg het Actieplan informatieveilig gedrag opgezet en werk ik samen met Z-CERT aan een risico gestuurde aanpak. Met de aanbieding van de nota naar aanleiding van het verslag ontvangt u een brief over de voortgang op elektronische gegevensuitwisseling in de zorg waarin onder andere ook de voortgang op deze projecten gemeld wordt.

De leden van de CDA-fractie vragen de regering hoe wordt voorkomen dat door de hoeveelheid normerings- en certificeringstrajecten het onbedoelde effect optreedt van vertraging in lopende programma’s en innovaties.

Dit effect is niet waarschijnlijk. Ik verwacht eerder dat het wetsvoorstel eraan bijdraagt dat met het oog op een komende wettelijke verplichting ook initiatieven ontstaan voor het komen tot gezamenlijk gedragen standaarden, afspraken en eisen die breder toepasbaar zijn. Het wetsvoorstel werpt nu al zijn schaduw vooruit en versnelt daarmee nu al de digitalisering. Dit is te zien bij implementatietrajecten zoals eOverdracht en Medicatieoverdracht, waarvoor een wettelijke verplichting als sluitstuk beoogd is. Deze trajecten zijn al gestart en maken het mogelijk om na inwerkingtreding van het wetsvoorstel bij AMvB aangewezen te worden als een gegevensuitwisseling in spoor 1 of 2. Daarnaast hebben leveranciers al voorstellen gedaan voor technische afspraken voor de uitwisseling van de Basisgegevensset Zorg (hierna: BgZ) en beelduitwisseling, wat ook twee van de vier gegevensuitwisselingen zijn die op dit moment worden uitgewerkt. Ik vind het bemoedigend om te zien dat er al concrete stappen worden gezet voorafgaand aan de wetsbehandeling door uw Kamer.

NEN-normen moeten minimaal eens in de vijf jaar worden geëvalueerd, of zoveel eerder als belanghebbende partijen dat nodig achten. De leden van de CDA-fractie vragen de regering in hoeverre het veld elke vijf jaar zelf expliciet kan beoordelen of een norm aan herziening toe is. Kan ook de bewuste keuze worden gemaakt dit niet te doen?

Volgens de spelregels van NEN worden normen minimaal eens in de 5 jaar gereviseerd. NEN bespreekt daartoe met het veld wat de ervaringen met de norm zijn en welke wijzigingen zijn gewenst. De mate waarin dit resulteert in daadwerkelijke revisie van de norm is afhankelijk van de (omvang van de) wijzigingsvoorstellen uit het veld.

De leden van de CDA-fractie vragen of de kosten voor de herziening van de norm wederom door de overheid betaald worden, of moeten partijen die hier aan deel willen nemen dan – zoals gebruikelijk – zelf de kosten van deelname voor hun rekening nemen?

De afspraak is dat mijn ministerie de eerste jaren de kosten voor deze revisies op zich neemt. Verzoeken voor wijzigingen van normen kunnen door belanghebbenden op elk moment worden ingebracht. Dit is ook een kracht van normalisatie: meegaan met innovaties en nieuwe inzichten en de inspraak van experts.

Deze leden vragen tevens of een NEN-norm met betrekking tot digitalisering eigenlijk niet veel eerder verouderd is dan na vijf jaar.

De afspraak is dat mijn ministerie de eerste jaren de kosten voor deze revisies op zich neemt. Verzoeken voor wijzigingen van normen kunnen door belanghebbenden op elk moment worden ingebracht. Dit is ook een kracht van normalisatie: meegaan met innovaties en nieuwe inzichten en de inspraak van experts.

De leden van de CDA-fractie vragen hoe wordt voorkomen dat er een NEN-norm wordt opgeleverd die vooral een papieren tijger is en het veld deze vervolgens nog werkend moet zien te krijgen in de praktijk. Is hier een testproces voor voorzien vanuit NEN?

De AMvB waarin een NEN wordt aangewezen zal pas in de formele procedure gebracht als de NEN-norm is gepubliceerd. Dit betekent dat in de praktijk al gewerkt zal worden met de norm alvorens de wettelijke verplichting van kracht wordt, waardoor beproefd kan worden hoe de norm in de praktijk werkt.

Onder regie van NEN zullen, op basis van de NEN-normen, certificatieschema’s worden opgesteld in speciale certificeringscommissies. In het certificatieschema worden de spelregels opgenomen voor het certificeren van informatietechnologieproducten en -diensten.

Is de regering het met de leden van de CDA-fractie eens dat alle zorgaanbieders minimaal gebruiken moeten maken van een beveiligd email-systeem met beveiligde login?

Voor e-mail is een norm ontwikkeld. De NTA 7516 is een veldnorm die kwalificeert als een «passende technische en/of organisatorische maatregel om een op het risico afgestemd beveiligingsniveau te waarborgen» in de zin van artikel 32 van de AVG. De zorgverlener is niet verplicht om de NTA 7516 te volgen maar als een zorgaanbieder de NTA 7516 volgt, is hij zeker dat hij AVG-proof mailt. Omdat deze norm is opgesteld is samenspraak met het zorgveld, mag worden verwacht dat zorgaanbieders zich in de praktijk ook houden aan deze norm

De leden van de CDA-fractie lezen op bladzijde 21 van de toelichting dat daarvoor een NEN-norm is. Maar hoe is gecontroleerd dat alle zorgaanbieders die NEN-norm ook toepassen?

De norm die is ontwikkeld voor veilig mailen en chatten in de zorg, NTA 7516, betreft een zogenaamde veldnorm. Het veld is de afspraken in deze norm gezamenlijk overeengekomen. Het toepassen ervan is echter geen wettelijke verplichting en wordt dan ook niet gecontroleerd. De NTA 7516 is een veldnorm die kwalificeert als een «passende technische en/of organisatorische maatregel om een op het risico afgestemd beveiligingsniveau te waarborgen» in de zin van artikel 32 van de AVG. De zorgverlener is niet verplicht om de NTA 7516 te volgen maar als een zorgaanbieder de NTA 7516 volgt, is hij zeker dat hij AVG-proof mailt. Omdat deze norm is opgesteld is samenspraak met het zorgveld, mag worden verwacht dat zorgaanbieders zich in de praktijk ook houden aan deze norm.

De leden van de SP-fractie vragen in hoeverre de invoering van algemene regels over welke gegevens moeten worden gedeeld, een belemmering vormen voor het toepassen van maatwerk voor in welke mate het medisch beroepsgeheim doorbroken wordt. Hoe wordt voorkomen dat deze regels ervoor zorgen dat een zorgverlener alleen nog de keuze heeft tussen het delen van alle voorgeschreven gegevens en helemaal geen gegevens delen?

Dit wetsvoorstel verplicht niet tot het uitwisselen van gegevens. Om dit te verduidelijken heb ik bij deze nota naar aanleiding van het verslag een nota van wijziging gevoegd waarin staat dat onderhavig wetsvoorstel niet leidt tot een verplichting tot het uitwisselen van gegevens.

Met persoonsgegevens, waaronder bijzondere persoonsgegevens zoals gezondheidsgegevens, moet zorgvuldig worden omgegaan. Recht op bescherming van gezondheidsgegevens is van belang met het oog op privacy en toegang tot de zorg7 en is daarom in internationale en nationale wetgeving geregeld (in onder meer het EVRM, de Grondwet, de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz).

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van een gegeven altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgt. Dit betekent concreet dat – ook na inwerkingtreding van dit wetsvoorstel – een gegeven niet worden uitgewisseld als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is. Dit kan per gegeven verschillen.

Pas wanneer de vraag óf een gegeven uitgewisseld mogen worden positief beantwoord is en de zorgverlener over wil gaan tot gegevensuitwisseling, komt dit wetsvoorstel in beeld. Het wetsvoorstel ziet namelijk enkel op hoe gegevens uitgewisseld moeten worden.

De leden van de GroenLinks-fractie hebben ook nog een vraag over wat de rol is van zorgverleners en zorgaanbieders binnen het normalisatietraject. Hoe wordt omgegaan met verschillende wensen van zorgaanbieders rondom de standaardisatie en wie hakt de knoop door als verschillende partijen er niet uitkomen?

Zorgverleners en zorgaanbieders zijn belanghebbenden bij het ontwikkelen van normen. Ik vind betrokkenheid van hun kant dan ook erg belangrijk. In het normalisatietraject is geborgd dat zij worden uitgenodigd om deel te nemen aan de normontwikkeling. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook zorgverleners en zorgaanbieders die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

Bij normontwikkeling onder auspiciën van NEN is alles erop gericht om consensus te bereiken. Dit is één van de redenen waarom ik het verplicht stellen van elektronische gegevensuitwisseling laat verlopen via NEN. Het normalisatieproces van NEN is zodanig ingericht dat de werkgroep altijd tot consensus komt. Zo nodig kent NEN ook diverse formele escalatiemechanismen om toch tot consensus te komen en een norm toch vast te kunnen stellen, mocht de gewenste consensus niet direct tot stand komen. Indien het ernaar uitziet dat het bereiken van consensus lastig is, gaat NEN in gesprek met de betreffende partijen om achterliggende redenen in beeld te brengen en de verschillende belangen tot elkaar te brengen. Mochten ook deze gesprekken niet tot consensus leiden, dan wordt de door NEN ingestelde Programmaraad Egiz om advies gevraagd. Het advies van deze raad wordt voorgelegd aan de verantwoordelijke normcommissie en vervolgens de verantwoordelijke beleidscommissie.

Indien ondanks deze mechanismen een norm niet tot stand komt is alleen een aanwijzing in spoor 1 mogelijk met eventueel minimale eisen.

Met betrekking tot de licentiekosten en het afkopen daarvan hebben de leden van de fractie van GroenLinks ook nog een vraag. De overheid heeft als doel de licentiekosten af te kopen om deze kosteloos beschikbaar te stellen. Hoe gaat dat precies in zijn werk en hoeveel gaat dat kosten? En zijn dat eenmalige kosten of keren deze mogelijkerwijs terug?

Om ervoor te zorgen dat ontwikkelde normen vrij beschikbaar zijn voor de zorg, moeten de kosten voor het beheer en de overdracht van auteursrechten van de normen worden afgekocht. Hiermee is een jaarlijks bedrag gemoeid. De hoogte van het bedrag hangt af van het aantal normen dat formeel is gepubliceerd.

De leden van de PvdD-fractie lezen dat het ontwikkelen van de normen wordt overgelaten aan NEN. Daar wordt in zogeheten normcommissies samengewerkt, maar daar zitten ook veel commerciële partijen in. Daarom willen deze leden het volgende weten: wie vertegenwoordigd daar het privacybelang? Is dat een deelnemer van de overheid? Of moet iemand namens een patiëntenvereniging dat doen?

De leden van de GroenLinks-fractie vragen of de regering de mening deelt dat hier een onafhankelijke privacy waakhond bij hoort, die geen belangen heeft in de zorg of NEN?

Elke concept-AMvB waarin een gegevensuitwisseling wordt aangewezen wordt voor een uitvoeringstoets voorgelegd aan de AP die hierover vervolgens adviseert.

Verder vragen de leden van de GroenLinks-fractie het volgende: hoe borgt en faciliteert de regering de inbreng van het patiëntenperspectief in normontwikkeling die voortkomt uit dit wetsvoorstel?

NEN nodigt alle belanghebbenden bij de ontwikkeling van een norm, dus zeker ook (vertegenwoordigers van) patiënten en cliënten, uit om deel te nemen aan de werkgroep die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook cliënten die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

De leden van de GroenLinks-fractie vragen of de regering bereid is om de toenemende inzet van patiënten- en cliëntenorganisaties bij de normontwikkeling financieel te faciliteren?

Het normtraject is een onafhankelijk proces gestuurd door het NEN. In de standaardwerkwijze zit opgenomen dat er een representatieve groep belanghebbenden wordt meegenomen in het proces om tot een norm te komen. Mogelijk leidt dit tot een toename van normalisatiewerkzaamheden voor deze organisaties. Hierbij zullen vooral de eerste NEN-normen extra inspanning vragen. Niet elke gegevensuitwisseling zal echter (op korte termijn) in aanmerking komen voor een normalisatietraject Daarbij komt dat op een gegeven moment generieke eisen kunnen worden hergebruikt, wat de lasten voor deelname aan de normalisatiewerkzaamheden verlicht.

Voorafgaand aan het besluit om voor een aan te wijzen gegevensuitwisseling een norm te ontwikkelen laat ik sowieso een MKBA uitvoeren. In deze analyse worden ook de inzet voor en kosten van normontwikkeling en certificering meegenomen. Daardoor kan er gericht gekeken worden in hoeverre bepaalde organisaties overvraagd worden en in gesprek moet worden gegaan over een passende oplossing.

3.6 Initiatiefmogelijkheden door de Minister

De leden van de SGP-fractie lezen dat de regierol van de Minister niet beperkt is tot de wettelijk vastgelegde taken en bevoegdheden. De Minister kan ook initiatief nemen door bijvoorbeeld te sturen op een prominente plek van gestandaardiseerde elektronische gegevensuitwisseling in convenanten zoals Hoofdlijnenakkoorden en versnellingsprogramma’s. Kan de regering ingaan op hoe zij de rol van de Minister precies ziet?

Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt op de juiste plek op het juiste moment. Door het tijdig elektronisch uitwisselen van de juiste gegevens op een eenduidige manier kan goede zorgverlening worden bevorderd. Ik gebruik verschillende manieren om deze transitie te organiseren. De implementatie wordt in eerste instantie via versnellingsprogramma’s gestimuleerd binnen en tussen verschillende sectoren. Daarnaast zijn in elk van de vier afgesloten Hoofdlijnenakkoorden afspraken gemaakt over de ambities op het gebied van gegevensuitwisseling. Het is aan het nieuwe kabinet om te bepalen of ingezet wordt op eventuele nieuwe afspraken. Het wetgevingstraject kan gezien worden als sluitstuk op de andere initiatieven om elektronische gegevensuitwisseling in de zorg te bewerkstelligen.

De leden van de SGP-fractie vragen hoe ambitieus de regering is om gegevensuitwisseling een plek te geven in Hoofdlijnenakkoorden en eventueel wetgeving en wat gaat zij daarvoor doen?

Dit is aan het nieuwe kabinet. Op dit moment zijn in de Hoofdlijnenakkoorden Medisch Specialistische Zorg, Huisartsenzorg, Paramedische zorg en GGZ afspraken gemaakt over gegevensuitwisseling.

3.7 Certificatie van informatietechnologieproducten en -diensten

De leden van de VVD-fractie begrijpen dat er verschillende manieren zijn om te borgen dat informatietechnologische producten en – diensten en zorgaanbieders voldoen aan de normen. Er zijn lichte middelen, zoals zelfbeoordeling door aanbieders, tot zwaardere middelen, zoals certificering door een geaccrediteerde certificerende instelling. Wat zijn de voor- en nadelen van de verschillende manieren?

In dit wetsvoorstel is er evenwel voor gekozen om naleving van private normen verplicht te stellen. Om volledige interoperabiliteit te bereiken moeten alle partijen uitgaan van dezelfde eisen inzake taal en techniek. Met vrijblijvendheid wordt volledige interoperabiliteit niet bereikt.

Het wetsvoorstel gaat verder uit van certificering van informatietechnologieproducten- en diensten door een geaccrediteerde onafhankelijke certificerende instelling. Dit volgt echter niet uit de norm, maar uit het wetsvoorstel zelf. Hiervoor is gekozen met het oog op de uitvoerbaarheid. Dit zorgt namelijk voor een kwalitatief goede en transparante toetsing, zodat gebruikers en aanbieders van en toezichthouders op informatietechnologieproducten of -diensten zekerheid wordt geboden over de mate waarin aan (delen van) de norm wordt voldaan. Het wetsvoorstel bepaalt daarbij dat zorgaanbieders alleen gebruik mogen maken van gecertificeerde producten of diensten.

Ook zorgaanbieders moeten aan de norm voldoen (tenzij het eisen betreffen die zien op informatietechnologieproducten of -diensten), maar hiervoor zet ik geen certificering in. In spoor 2 houdt de IGJ toezicht op de verplichtingen die rusten op de zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten. Dit betekent dat erop wordt toegezien dat zorgverleners de norm naleven, zorgverleners enkel gebruik maken van gecertificeerde informatietechnologieproducten of -diensten en aanbieders van informatietechnologieproducten of -diensten deze producten en diensten alleen aanbieden met een certificaat. Het toezicht van de IGJ zal ook in spoor 2 in praktijk vooral bestaan uit het opvragen van stukken en het vorderen van informatie (bevragen) van zorgaanbieders waaruit blijkt dat is geborgd dat zorgverleners conform de norm handelen. Het toezicht van de IGJ heeft daarmee nadrukkelijk geen betrekking op eisen aan informatietechnologieproducten en – diensten waarvoor een certificaat is afgegeven.

Om de regering de mogelijkheid te geven stelseltoezicht te houden, wordt voorgesteld dat naast het vereiste van accreditatie, certificerende instellingen aangewezen moeten worden door de regering. De leden van de CDA-fractie vragen welke voorwaarden aan een dergelijke aanwijzing zullen worden gesteld.

De leden van de CDA-fractie vragen de regering of de mogelijkheid bestaat om voor het hernieuwen van de certificering een verkort traject te doorlopen.

Ja, deze mogelijkheid bestaat. Certificering gebeurt op basis van certificatieschema’s die samen met zorgpartijen, leveranciers en certificerende instellingen worden opgesteld. In een dergelijk schema kan ook worden vastgelegd dat bij hernieuwen van de certificatie een verkort traject wordt doorlopen.

De leden van de CDA-fractie vragen de regering welke kosten er in zijn algemeenheid gepaard gaan met een verplicht certificeringsproces en de hiertoe ingerichte normenraad, normcommissie en werkgroepen.

De leden van de CDA-fractie vragen de regering hoe wordt omgegaan met de situatie dat een eerder gecertificeerd product opeens niet meer aan de eisen voldoet (al dan niet na aanpassing van de normen). De gevolgen hiervan kunnen immers zeer groot zijn.

Het wetsvoorstel beoogt de zorgaanbieder te steunen in het werken met interoperabele systemen. Daarbij is het natuurlijk niet de bedoeling om een zorgaanbieder te benadelen, wanneer de leverancier niet voldoet aan de eisen om gecertificeerd te worden. Binnen elk certificeringstraject wordt een redelijk termijn gesteld en gecommuniceerd wanneer de implementatie van de nieuwe eisen gereed moet zijn. Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat het gestelde termijn onredelijk kort is, kan ik de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen.

De leden van de SP-fractie vragen de regering welke eisen er door certificerende instellingen worden gesteld aan informatietechnologieproducten of -diensten voordat er een certificaat aan verstrekt wordt.

Dat is op voorhand niet te zeggen. Per aangewezen gegevensuitwisseling zal in het geval van een spoor 2-aanwijzing een norm worden aangewezen. De eisen zullen per norm verschillen. Certificerende instellingen toetsen aan de hand van een schema dat bij de norm hoort of informatietechnologieproducten of -diensten voldoen aan de norm. In het schema wordt ook afgesproken hoe er getoetst dient te worden.

De leden van de SP-fractie vragen hoeveel informatietechnologieproducten of -diensten bestaan er op dit moment die in aanmerking zouden kunnen komen voor certificering?

Dit verschilt per gegevensuitwisseling. Voor de gegevensuitwisseling Digitaal voorschrijven en ter handstellen (voorheen: Digitaal receptenverkeer) is er sprake van meerdere informatietechnologieproducten of -diensten van evenveel ICT-leveranciers die in aanmerking zouden kunnen komen voor certificering. Denk hierbij aan de verschillende dossiersystemen en uitwisselinfrastructuren.

De leden van de SP-fractie willen daarnaast weten hoe lang het naar verwachting duurt om de certificering van een informatietechnologieproduct of -dienst te regelen?

Een leverancier van een informatietechnologieproduct of -dienst vraagt een certificerende instelling om te toetsen of een product of dienst voldoet aan een norm. De doorlooptijd tussen aanvraag en het verstrekken van het certificaat wordt sterk beïnvloed door het aantal beschikbare certificerende instellingen. De bereidheid onder certificerende instellingen om deel te nemen heb ik daarom begin van dit jaar laten toetsen. Hieruit is gebleken dat de bereidheid groot is. Op basis hiervan verwacht ik dat na aanvraag een certificaat binnen maximaal zes maanden zal zijn verstrekt. Een leverancier hoeft echter niet te wachten met het aanvragen van een certificaat totdat zijn informatietechnologieproduct of -dienst volledig is gerealiseerd of aangepast. Hierdoor kan de toetsing door de certificerende instelling veelal kort na de realisering of het gereed komen van de aanpassingen plaatsvinden.

De leden van de SP-fractie vragen of er meerdere informatietechnologieproducten of -diensten kunnen worden voorzien van een certificaat voor de gegevensuitwisseling op hetzelfde terrein?

Ja, dit kan. Het is juist de bedoeling dat er meerdere gecertificeerde informatietechnologieproducten en -diensten beschikbaar komen. Niet de technologie is bepalend, maar of een informatietechnologieproduct of -dienst voldoet aan de norm. Zo hebben zorgaanbieders keuze uit meerdere producten en diensten.

De leden van de GroenLinks-fractie hebben een aantal vragen over de certificatie. Hoe gaan zorgaanbieders om met systemen die zij nu hebben als die niet worden gecertificeerd? Kunnen ze daar zomaar vanaf? Moeten er dan contracten afgekocht worden?

Het is gebruikelijk om in contracten met leveranciers op te nemen dat de afgenomen producten of diensten ook in de toekomst blijven voldoen aan wettelijke verplichtingen, zoals dit ook is opgenomen in de Algemene Inkoopvoorwaarden Gezondheidszorg. Niet voldoen aan een wettelijke verplichting -in dit geval ontbreken van een certificaat- is dan een grond voor ontbinding van het contract zonder dat er sprake is van een afkoopsom. Daarnaast zit er geruime tijd tussen het moment dat gestart wordt met een traject om een gegevensuitwisseling aan te wijzen bij AMvB en het moment van publicatie van een AMvB in het Staatsblad. Na publicatie duurt het ook nog geruime tijd voordat de AMvB in werking treedt. Zorgaanbieders en hun leveranciers hebben daarmee de tijd om zich voor te bereiden op de wettelijke verplichting. Een zorgaanbieder kan bij een nieuw af te sluiten contract dan ook een clausule opnemen over de te behalen certificaten door de leverancier.

De leden van de fractie van GroenLinks vragen of aanbieders gecompenseerd worden voor de extra kosten die ze moeten maken voor de nieuwe systemen en zo ja, door wie?

De kosten voor het voldoen aan de normen vallen onder de bedrijfsvoeringskosten van zorgaanbieders. Daar gelden de reguliere bekostigingsafspraken voor. De kosten zullen door de aanbieders ingepast worden in hun reguliere investerings- en vervangingscyclus. Ik houd in de aanpak rekening met implementatietermijnen. Onder andere door een zogenaamde volwassenheidsscan uit te voeren, bekijk ik per verplichting wat een reële implementatietermijn is. Daardoor krijgen zorgaanbieders de tijd om eventuele extra kosten in de bestedingscyclus van hun reguliere bedrijfsvoeringskosten in te plannen.

Met de uitwerking van de AMvB’s onder het wetsvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Per gegevensuitwisseling zal goed gekeken worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij houd ik per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

Over de certificerende partijen hebben de leden van de fractie van GroenLinks ook nog een aantal vragen. Welke instellingen zijn er momenteel die een certificerende rol op zich kunnen nemen? Is er al een voorkeur?

Er zijn meer dan tien certificerende instellingen die in principe voor accreditatie in aanmerking komen. De bereidheid onder deze instellingen om deel te nemen heb ik begin van dit jaar laten toetsen. Hieruit is gebleken dat de bereidheid groot is. De Raad voor Accreditatie accrediteert de instellingen en ik wijs deze vervolgens aan. Ik streef ernaar om meerdere certificerende instellingen aan te wijzen. Dit komt de kwaliteit van certificeren ten goede en zal de kosten voor het certificaat vanwege marktwerking naar beneden drukken.

De leden van de fractie van GroenLinks ook vragen of dat dat per se een private partij moet zijn of kan dat ook door een van de Nederlandse toezichthouders gebeuren? Dan is namelijk ook duidelijk wie er verantwoordelijk is en is er ook geen risico dat een marktpartij zich terugtrekt of failliet gaat.

Ik heb gekozen voor private certificerende instellingen om verschillende redenen. Zij zijn in dit werk gespecialiseerd. Binnen de overheid is deze kennis nauwelijks aanwezig. Ook sluit de inzet van private partijen goed aan bij de normalisatie door NEN, waarin de inzet van private partijen gebruikelijk is. NEN ondersteunt en coördineert hun activiteiten.

De leden van de fractie van GroenLinks willen weten hoe deze voordelen opwegen tegen de nadelen van een marktpartij als certificerende instelling?

Ik streef ernaar om niet één maar meerdere certificerende instellingen aan te wijzen. Dit komt de kwaliteit van certificeren ten goede en zal de kosten voor het certificaat vanwege marktwerking naar beneden drukken. Wanneer een certificerende instelling haar werk niet naar behoren uitvoert, zal de Raad voor Accreditatie corrigerende maatregelen nemen. Mocht dit onvoldoende soelaas bieden, dan kan ik de aanwijzing van een certificerende instelling intrekken.

De nadelen kunnen zien op dat wanneer er weinig certificerende instellingen zijn, de kosten hoger kunnen uitvallen door het gebrek aan concurrentie tussen instellingen. Ook kan de situatie voorkomen dat er geen certificerende instellingen meer zijn, bijvoorbeeld door intrekken accreditatie of faillissement. In dat laatste geval kan ik in het uiterste geval zelf de certificaten (laten) verstrekken. Er is recentelijk een marktverkenning uitgevoerd naar de bereidheid van certificerende instellingen en die was zeer positief, er bleken veel instellingen bereid om zich te laten accrediteren.

In de toelichting lezen deze leden dat certificerende instellingen marktpartijen zijn, die niet uit de Rijksbegroting betaald hoeven te worden. Dat doen de zorgaanbieders zelf bij het aanvragen van een certificaat. Deze aanbieders worden echter ook uit publieke middelen betaald, dus wat is dan het daadwerkelijk het verschil?

ICT-leveranciers vragen voor hun informatietechnologie producten of -diensten een certificaat aan bij een certificerende instelling en betalen voor de dienstverlening van de certificerende instelling. Indien de leveranciers deze kosten doorberekenen aan zorgaanbieders, beschouw ik deze kosten voor certificering als kosten voor bedrijfsvoering die uit de daarvoor bestemde middelen moeten worden voldaan

En wat als er geen concurrentie plaatsvindt tussen certificerende instellingen en er de facto maar één marktpartij is die dit kan doen? Hoe wordt dan voorkomen dat de prijs hiervoor niet te hoog wordt?

De bereidheid onder certificerende instellingen om deel te nemen heb ik begin van dit jaar laten toetsen. Hieruit is gebleken dat de bereidheid groot is. Er zijn meerdere certificerende instellingen die in principe voor accreditatie in aanmerking komen. De kans op het ontbreken van concurrentie is hierdoor klein.

De leden van de SGP-fractie hebben de nodige vragen over het normerings- en certificatietraject dat dit wetsvoorstel wil creëren. Zij vragen of er op dit moment al vrijwillig gebruik wordt gemaakt van certificatie of normering van informatietechnologie in de zorg.

Ja, dat gebeurt. Steeds meer zorginstellingen laten zich vrijwillig certificeren, onder andere voor de informatiebeveiligingsnorm NEN 7510. Daarnaast laten ook leveranciers van informatietechnologieproducten- en diensten deze producten en diensten vrijwillig certificeren, omdat zij hiermee concurrentievoordeel verwachten te behalen.

De leden van de SGP-fractie hoe wordt voorkomen dat er een stapeling van certificering plaatsvindt, wat de administratieve lastendruk alleen maar vergroot?

Ik herken uw zorg. Ik heb daarom NEN gevraagd om samen met (vertegenwoordigers van) certificerende instellingen en leveranciers van informatietechnologieproducten en -diensten te komen tot een samenhangend certificatiestelsel. Dit stelsel moet ervoor zorgen dat de lasten voor certificering behapbaar blijven en de voordelen van certificeren niet tenietdoen.

De leden van de SGP-fractie vragen hoe wordt voorkomen dat er een NEN-norm wordt gemaakt die er op papier mooi uitziet, maar vervolgens nog jarenlang duurt om in de praktijk uitgevoerd te krijgen.

De leden van de SGP-fractie lezen dat het bij certificering gaat om een vrijwillig en privaat stelsel. De regering is voor het realiseren van dit stelsel afhankelijk van de bereidheid van certificerende instellingen om hieraan deel te nemen. Kan de regering aangeven hoe groot het risico is dat deze bereidheid laag of afwezig is? In hoeverre spelen ook de kosten van deelname hierbij een rol?

De bereidheid onder certificerende instellingen om deel te nemen heb ik begin van dit jaar laten toetsen. Hieruit is gebleken dat de bereidheid groot is. Uiteraard spelen de kosten van de deelname door certificerende instellingen een rol bij het besluit om accreditatie aan te vragen. Met de Raad voor Accreditatie ben ik in overleg om de kosten voor certificerende instellingen in kaart te brengen.

Voor zover ik kan beoordelen is er geen sprake van onbedoelde vertragende werking door normeringstrajecten. Door samen met het zorgveld vast te stellen welke gegevensuitwisselingen in aanmerking komen voor verplichte (gestandaardiseerde) elektronische uitwisseling, breng ik juist focus aan. Het maken van afspraken en het vastleggen van deze afspraken in NEN-normen zorgt er verder voor dat elektronische communicatie tussen informatietechnologieproducten en -diensten mogelijk wordt en gegevens in de zorg kunnen gaan stromen tussen zorgaanbieders. Bij de ontwikkeling van normen brengt NEN alle belanghebbenden aan tafel, zodat gedragen normen ontstaan. Dit is de basis voor het tot stand brengen van de tot nu toe nog ontbrekende interoperabiliteit.

Ook vragen de leden van de SGP-fractie in hoeverre er ruimte bestaat bij de vijfjaarlijkse beoordeling een bewuste keuze te maken om de norm niet te herzien. Bestaat de mogelijkheid om voor het hernieuwen van de NEN-norm een verkort traject te doorlopen?

Volgens de spelregels van NEN worden normen minimaal eens in de 5 jaar gereviseerd. NEN bespreekt daartoe met het veld wat de ervaringen met de norm zijn en welke wijzigingen zijn gewenst. Of dit resulteert in een daadwerkelijke revisie van de norm is afhankelijk van de wijzigingsvoorstellen uit het veld. Dit geldt ook voor de mogelijkheid tot het doorlopen van een verkort traject.

3.8 Kaderwet zelfstandige bestuursorganen

De leden van de VVD-fractie willen graag van de regering weten of het vaker gebeurt dat een instelling deels een zelfstandig bestuursorgaan is en deels een privaatrechtelijk orgaan. Zijn daar voorbeelden van te geven?

Van sommige publieke taken vind ik dat ze beter door de particuliere sector kunnen worden uitgevoerd. Bij of krachtens de wet wordt dan aan organen uit de particuliere sector een publieke taak opgedragen waarbij het orgaan «openbaar gezag» krijgt om die taak te kunnen uitvoeren. Een bekend voorbeeld zijn garages die een Apk-keuring verrichten.

De verwachting is dat aanbieders van informatietechnologieproducten en – diensten de kosten (deels) zullen doorberekenen aan zorgaanbieders. De leden van de VVD-fractie vragen of hiervan een schatting of raming worden gegeven?

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen leidt tot implementatiekosten en nalevingskosten. Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Per gegevensuitwisseling zal goed gekeken worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij houd ik per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

De leden van de SGP-fractie lezen dat ervaring in vergelijkbare Europese trajecten is dat er te weinig auditoren zijn om de certificeringstrajecten van alle aanbieders van producten en diensten te begeleiden. Zij maken zich hierover zorgen. Voldoende capaciteit is een randvoorwaarde om tijdig certificaten te kunnen verstrekken, zodat concurrentie tussen certificerende instellingen wordt bevorderd. Kan de regering nader op dit risico voor de uitvoering van het wetsvoorstel ingaan? Hoe wordt dit ondervangen?

De bereidheid onder certificerende instellingen om deel te nemen heb ik begin van dit jaar laten toetsen. Hieruit is gebleken dat de bereidheid groot is. Sommige instellingen maken zich wel zorg over de beschikbare deskundigheid om alle verwachte certificeringen uit te voeren. De beschikbare deskundigheid hangt vooral af van de eisen die aan deze deskundigheid worden gesteld. Ik ben met certificerende instellingen en de Raad voor Accreditatie in gesprek om ervoor te zorg dat de deskundigheidseisen passen bij het soort certificering, zonder dat daarbij wordt overvraagd.

4. VERHOUDING TOT HOGER RECHT

De leden van de VVD-fractie willen graag weten wat de relatie van het voorliggende wetsvoorstel is tot de in februari 2019 door de Europese Commissie gedane aanbeveling voor een Europees uitwisselingsformaat voor elektronische patiëntendossiers (Aanbeveling 2019/243). Eenheid van taal en daarbij horende informatiestandaarden zijn belangrijke aspecten van deze aanbeveling. In hoeverre rijmen de twee met elkaar?

Verder wordt in de loop van 2021 een Europees wetgevend voorstel gedaan voor de Europese ruimte voor gezondheidsdata. De leden van de VVD-fractie willen graag weten wat de stand van zaken is van dit voorstel? Wat staat er naar verwachting in het voorstel? In hoeverre is er in de voorliggende wet al rekening gehouden met dit voorstel? In hoeverre raakt het Europese voorstel aan het voorliggende wetsvoorstel?

Het wetgevend voorstel voor de Europese ruimte voor gezondheidsgegevens (European Health Data Space: EHDS) wordt begin 2022 verwacht, waarna deze in de Europese Raad en het Europees parlement behandel zullen worden. Ik verwacht daarmee dat de definitieve Europese wetgeving niet vóór 2023 in werking zal treden. De EHDS wetgeving zal zich naar verwachting richten op het veilig en betrouwbaar beschikbaar stellen voor wetenschappelijk onderzoek, beleid, publieke gezondheidszorg en grensoverschrijdende behandeling van patiënten, gebruik makend van privacy-respecterende technologieën. Ik zet hierbij in op het op die wijze ontsluiten van bestaande lokale, regionale, nationale en internationale infrastructuren en niet op een centrale Europese verzameling van zorgdata.

Mijn inzet bij het Europees wetgevend voorstel is dat er geen nationale bevoegdheden over de inrichting van de informatievoorziening van de zorg naar Europa verschuiven. Met het wetsvoorstel wil ik de elektronische uitwisseling van gegevens voor de directe zorglevering binnen Nederland regelen. Hiermee creëer ik de juiste randvoorwaarden om de zorggegevens in het kader van de toekomstige EHDS wetgeving grensoverschrijdend te ontsluiten.

4.1 Verhouding met regels over cyberveiligheid

Binnen het kader van de Cyberbeveiligingsverordening wordt een mechanisme ontwikkeld voor het Europese cybersecuritycertificatieschema. Een dergelijk schema ziet in het bijzonder op beveiligingsvoorschriften en bevat daartoe een aantal minimumvereisten. De leden van de CDA-fractie vragen wanneer dit certificatieschema klaar zal zijn.

Versie 1.1.1 is op 25 mei 2021 gepubliceerd op de website van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA).

De leden van de CDA-fractie willen daarnaast weten of de regering al inzicht heeft in welke normen uit dit schema meegenomen zullen moeten worden in de op te stellen AMvB?

Nee. De NEN-normen zullen door NEN samen met het zorgveld opgesteld worden. Hierbij worden alle bestaande Europese normen, zoals normen uit het Europese cybersecurity certificatieschema, betrokken. De NEN-norm mag daar niet mee in conflict zijn.

De leden van de SP-fractie vragen de regering welke eisen zullen worden vastgelegd in de normen voor patiëntgegevensuitwisseling op het gebied van privacy (waaronder de AVG), cyberveiligheid en informatieveiligheid.

Welke eisen in de NEN-norm worden vastgelegd worden tijdens het normalisatietraject besloten. Ten behoeve van de ontwikkeling NEN-norm nodigt NEN alle belanghebbenden uit. Ik vind het van groot belang dat er aandacht is voor het zorgvuldig omgaan met (bijzondere) persoonsgegevens. Ik zal daarom bij de opdrachtverlening voor de ontwikkeling van een NEN-norm voor een aan te wijzen gegevensuitwisseling onder andere in het richtinggevende kader meegeven dat de norm dient te verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren – zoals het recht op inzage, rectificatie of gegevenswissing -en het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden en dat de norm dient te verzekeren dat een informatietechnologieproduct- of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder of zorgverlener aan zijn verplichtingen uit de AVG kan voldoen.

De leden van de SP-fractie vragen daarnaast hoe gegarandeerd kan worden dat de patiëntgegevens veilig elektronisch gedeeld kunnen worden, zonder dat er een risico is op datalekken?

Zorgaanbieders zijn primair zelf verantwoordelijk voor eigen informatiebeveiliging. Volgens het Begz moeten zorgaanbieders nu al voldoen aan de NEN 7510 en aanverwante normen. Deze normen zullen ook wanneer een gegevensuitwisseling onder het wetsvoorstel in spoor 2 wordt aangewezen, verplicht blijven en eventueel worden aangevuld. Datalekken kunnen evenwel nooit helemaal worden voorkomen. Ik zet me in op het verkleinen van de risico’s en impact ervan door te zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets gebeurt. Zo heb ik samen met ICTU en vereniging Brancheorganisaties Zorg het Actieplan informatieveilig gedrag opgezet en werk ik samen met Z-CERT aan een risico gestuurde aanpak. Met de aanbieding van de nota naar aanleiding van het verslag ontvangt u een brief over de voortgang op elektronische gegevensuitwisseling in de zorg waarin onder andere ook de voortgang op deze projecten gemeld wordt.

De leden van de SP-fractie willen ook weten hoe vaak er momenteel datalekken voorkomen in de zorg?

In 2020 ontving de AP 23.976 datalekmeldingen. Dertig procent van deze meldingen kwamen uit de sector gezondheid en welzijn (7.193).

De leden van de SP-fractie vragen de regering hoeveel zorginstellingen momenteel niet voldoen aan de basisnormen voor informatiebeveiliging.

De leden van de SP-fractie vragen of de regering bereid is om maatregelen te treffen in deze wet om ervoor te zorgen dat alle zorginstellingen hieraan gaan voldoen?

Zorgaanbieders zijn primair zelf verantwoordelijk voor eigen informatiebeveiliging. Volgens het Begz moeten zorgaanbieders voldoen aan de NEN 7510 en aanverwante normen. Deze normen zullen ook wanneer een gegevensuitwisseling onder het wetsvoorstel in spoor 2 wordt aangewezen, verplicht blijven en eventueel worden aangevuld.

In het kader van de NEN-normen zal per gegevensuitwisseling worden bezien of dit nuttig en noodzakelijk is. Hierbij neem ik ook de administratieve lasten mee in overweging.

Verder zet ik me in op het verkleinen van de risico’s en impact ervan door te zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets gebeurt. Zo heb ik samen met ICTU en vereniging Brancheorganisaties Zorg het Actieplan informatieveilig gedrag opgezet en werk ik samen met Z-CERT aan een risico gestuurde aanpak.

4.2 Verhouding tot vrij verkeer van diensten

De leden van de D66 fractie lezen dat in de loop van 2021 een Europees wetgevend voorstel volgt voor de Europese ruimte voor gezondheidsdata. Kan de regering aangeven of er bij het opstellen van dit wetsvoorstel in overweging is genomen wat de mogelijke consequenties zijn van deze Europese wetgeving voor het voorliggende wetsvoorstel?

In voorbereiding op het wetgevend voorstel voor de Europese ruime voor gezondheidsgegevens is in februari 2021 een Joint Action gestart Towards a European Health Data Space (TEHDAS JA), waar mijn ministerie ook actief in participeert. In deze Joint Action worden onder anderen richtlijnen opgesteld voor genormaliseerde gezondheidsgegevens, met nadruk op eenheid van taal, zoals SNOMED CT en de FAIR-data principes (Findable (vindbaar), Accessible (toegankelijk), Interoperable (uitwisselbaar) en Reusable (herbuikbaar)). Ik ben vanaf het begin actief betrokken bij het opstellen van deze richtlijnen, en borg zo dat de toekomstige Europese wetgeving zo goed mogelijk aansluit bij de Nederlandse situatie en andersom.

De leden van de D66 fractie wil weten waarom de keuze is gemaakt om nu al met het voorliggend wetsvoorstel te komen, terwijl er nog een Europees wetsvoorstel komt dat mogelijk raakt aan het voorliggende wetsvoorstel?

Het wetgevend voorstel voor de Europese ruimte voor gezondheidsgegevens (European Health Data Space: EHDS) wordt begin 2022 verwacht, waarna deze in de Europese Raad en het Europees parlement behandel zullen worden. Ik verwacht daarmee dat de definitieve Europese wetgeving niet vóór 2023 in werking zal treden. De EHDS wetgeving zal zich naar verwachting richten op het veilig en betrouwbaar beschikbaar stellen voor wetenschappelijk onderzoek, beleid, publieke gezondheidszorg en grensoverschrijdende behandeling van patiënten, gebruik makend van privacy-respecterende technologieën. Ik zet hierbij in op het op die wijze ontsluiten van bestaande lokale, regionale, nationale en internationale infrastructuren en niet op een centrale Europese verzameling van zorgdata.

Het Europese voorstel betreft dus het beschikbaar maken van gegevens voor secundair gebruik. Met het wetsvoorstel richt ik me op de elektronische uitwisseling van gegevens voor de directe zorglevering binnen Nederland (primair gebruik ten behoeve van zorg). Gebruik van gegevens ten behoeve van onderzoek of beleid kan immers pas echt goed als gegevens goed in het primaire proces beschikbaar zijn gemaakt.

Mijn inzet bij het Europees wetgevend voorstel is dat er geen nationale bevoegdheden over de inrichting van de informatievoorziening van de zorg naar Europa verschuiven. Met het wetsvoorstel wil ik de elektronische uitwisseling van gegevens voor de directe zorglevering binnen Nederland regelen. Hiermee creëer ik de juiste randvoorwaarden om de zorggegevens in het kader van de toekomstige EHDS wetgeving grensoverschrijdend te ontsluiten.

De leden van de D66 fractie vragen of grensoverschrijdende zorgaanbieders, bijvoorbeeld in Duitsland, meegenomen zijn in dit wetsvoorstel. Is het mogelijk voor deze aanbieders om straks ook gegevens uit te wisselen met Nederlandse zorgaanbieders? Zo ja, hoe is dit wettelijk geregeld? Zo nee, waarom niet?

Nee, deze zijn niet meegenomen in het wetsvoorstel. Het is niet mogelijk om verplichtingen op te leggen aan buitenlandse aanbieders vanuit Nederlandse wetgeving. Echter, bij het bepalen van de norm wordt ook rekening gehouden met wat de internationaal gangbare en gebruikte manier is om gestandaardiseerd elektronisch gezondheidsgegevens uit te wisselen. Waar mogelijk wordt daar gebruik van gemaakt.

In de loop van 2021 volgt een Europees wetgevend voorstel voor de Europese ruimte voor gezondheidsdata. De leden van de CDA-fractie vragen of de regering kan aangeven of er bij het opstellen van dit wetsvoorstel in overweging is genomen wat de mogelijke consequenties zijn van deze Europese wetgeving voor het voorliggende wetsvoorstel. Kan de regering aangeven waarom de keuze is gemaakt om nu al met het voorliggend wetsvoorstel te komen, terwijl er nog een Europees wetsvoorstel komt dat mogelijk raakt aan het voorliggende wetsvoorstel?

Het wetgevend voorstel voor de Europese ruimte voor gezondheidsgegevens (European Health Data Space: EHDS) wordt begin 2022 verwacht, waarna deze in de Europese Raad en het Europees parlement behandel zullen worden. Ik verwacht daarmee dat de definitieve Europese wetgeving niet vóór 2023 in werking zal treden. De EHDS wetgeving zal zich naar verwachting richten op het veilig en betrouwbaar beschikbaar stellen voor wetenschappelijk onderzoek, beleid, publieke gezondheidszorg en grensoverschrijdende behandeling van patiënten, gebruik makend van privacy-respecterende technologieën. Ik zet hierbij in op het op die wijze ontsluiten van bestaande lokale, regionale, nationale en internationale infrastructuren en niet op een centrale Europese verzameling van zorgdata.

Het Europese voorstel betreft dus het beschikbaar maken van gegevens voor secundair gebruik. Met het wetsvoorstel richt ik me op de elektronische uitwisseling van gegevens voor de directe zorglevering binnen Nederland (primair gebruik ten behoeve van zorg). Gebruik van gegevens ten behoeve van onderzoek of beleid kan immers pas echt goed als gegevens goed in het primaire proces beschikbaar zijn gemaakt.

Mijn inzet bij het Europees wetgevend voorstel is dat er geen nationale bevoegdheden over de inrichting van de informatievoorziening van de zorg naar Europa verschuiven. Met het wetsvoorstel wil ik de elektronische uitwisseling van gegevens voor de directe zorglevering binnen Nederland regelen. Hiermee creëer ik de juiste randvoorwaarden om de zorggegevens in het kader van de toekomstige EHDS wetgeving grensoverschrijdend te ontsluiten.

5. VERHOUDING TOT NATIONALE REGELGEVING

De leden van de GroenLinks-fractie lezen dat het onderliggende wetsvoorstel niks veranderd aan de grondslag om gegevens uit te wisselen, de AVG en WGBO blijven van kracht. Het lijkt daardoor alsof er geen extra waarborgen ingebouwd hoeven te worden om misbruik te voorkomen. Tegelijkertijd, ook al blijven de bijzondere persoonsgegevens binnen de WGBO en de AVG beschermd, dat betekent niet dat er in de praktijk geen misbruik gemaakt zal worden. Sterker nog, ook al zijn deze wettelijke waarborgen ingebouwd, doordat er meer mogelijkheden zijn om gegevens in te zien van anderen, ligt het in de lijn der verwachtingen dat er ook vaker onrechtmatig gegevens worden in gezien. Is de regering bereid om extra waarborgen in te bouwen om zo de persoonsgegevens te beschermen?

De leden van de GroenLinks-fractie stellen dat ondanks bestaande wet- en regelgeving er een risico is op misbruik van persoonsgegevens, en dat dit risico groter is als meer gegevens worden uitgewisseld.

Met deze leden ben ik van mening dat het heel belangrijk is dat (gezondheids-)gegevens goed worden beschermd. Recht op bescherming van persoonsgegevens is immers van belang met het oog op privacy en toegang tot de zorg8. In de huidige internationale en nationale wet- en regelgeving is echter al veel geregeld voor de bescherming van gezondheidsgegevens (denk aan het EVRM, de Grondwet, de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz). Gelet hierop acht ik aanvullende waarborgen vooralsnog niet nodig. Om de gezondheidsgegevens te beschermen, moet het accent liggen op een goede toepassing van de al bestaande regels. Op grond van de bestaande wet- en regelgeving zijn zorgaanbieders reeds verplicht om door logging bij te houden wie er toegang hebben tot welke gegevens over cliënten. Hierdoor hebben cliënten meer zicht op welke gegevens worden gedeeld met welke zorgverlener en kunnen de IGJ en AP als toezichthouders beter toezicht houden op welke gegevens in het zorgproces gedeeld worden.

Met dit wetsvoorstel wordt bij AMvB stap voor stap (gegevensuitwisseling na gegevensuitwisseling) de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners (gestandaardiseerd) elektronisch uitwisselen met gecertificeerde informatietechnologieproducten of -diensten. De effecten op de bescherming van gezondheidsgegevens kunnen per gegevensuitwisseling verschillend zijn. De gevolgen van dit wetsvoorstel zijn daarmee vooral verbonden aan de verschillende (wijzigings-) AMvB’s waarin gegevensuitwisselingen worden aangewezen. Daarom zal in de nota van toelichting bij de (wijzigings-)AMvB’s steeds worden ingegaan op welke wijze in de praktijk zal worden voorzien hoe cliënten worden geïnformeerd over de gevolgen die het elektronisch uitwisselen van gegevens voor hen heeft. Hierbij zal aandacht worden besteed aan de manier waarop cliënten in een interoperabel systeem hun dossier in kunnen zien, hun gegevens kunnen controleren en eventuele fouten kunnen herstellen en bij wie ze daarvoor terecht kunnen.

De leden van de GroenLinks-fractie vragen of de AP meer capaciteit nodig heeft om effectief controle uit kunnen oefenen?

Nee, vooralsnog geeft het wetsvoorstel geen reden om tot die conclusie te komen. Met het wetsvoorstel heb ik nadrukkelijk ervoor gekozen dat informatietechnologieproducten en -diensten gecertificeerd dienen te zijn. Met een certificaat toont de leverancier aan dat het product of de dienst voldoet aan de NEN-norm die voor de specifieke gegevensuitwisseling wordt opgesteld. Certificaten worden verleend door mij aangewezen certificerende instellingen, die door de Raad voor Accreditatie geaccrediteerd dienen te zijn. Ik houd toezicht op het stelsel van certificering, waarbij de IGJ een signalerende rol heeft. De AP kan in aansluiting op dit stelsel toezicht houden op afstand, waarbij ik besef dat de AP als onafhankelijk toezichthouder zelf bepaalt op welke wijze zij toezicht houdt en hoe zij haar prioriteiten stelt. Dit wetsvoorstel gaat niet over of en wat wordt uitgewisseld en biedt om die reden geen grondslag om (bijzondere) persoonsgegevens te verwerken, maar bepaalt wel hoe uitgewisseld wordt, waarbij de in de AVG opgenomen bepalingen over de rechten van betrokkenen, beveiliging en privacy by design dienen te worden in acht genomen. In de NEN-norm per gegevensuitwisseling zal daaraan invulling worden gegeven. Hierbij wordt de toezichtstaak van de AP niet vergroot. De AP houdt immers al toezicht op de reeds bestaande uitwisseling van gezondheidsgegevens van een cliënt tussen zorgverleners en de beveiliging van de gegevens die worden uitgewisseld. Ondanks dat naar verwachting in algemene zin geen extra capaciteit nodig is, zal steeds bij het opstellen van de AMvB’s per gegevensuitwisseling aandacht besteed worden aan de verwachtte gevolgen voor de AP als toezichthouder. Daarbij zal rekening worden gehouden met de motie van het lid Hijink c.s. (Kamerstukken II 2020/21, 27 529, nr. 240). In de nota van toelichting bij de (wijzigings-)AMvB’s zal steeds worden ingegaan op de gevolgen voor de AP. Dit alles geschiedt in overleg met de toezichthouder.

En de leden van de GroenLinks-fractie willen weten hoe het aantal zorgverleners dat toegang heeft wordt beperkt, waardoor zo veel mogelijk enkel zorgverleners die de gegevens nodig hebben voor het verlenen van goede zorg toegang hebben tot deze gegevens?

Met deze leden ben ik van mening dat het heel belangrijk is dat (gezondheids-)gegevens goed worden beschermd. Recht op bescherming van persoonsgegevens is immers van belang met het oog op privacy en toegang tot de zorg. In de huidige internationale en nationale wet- en regelgeving is al veel geregeld voor de bescherming van gezondheidsgegevens (denk aan het EVRM, de Grondwet, de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz). Gelet hierop acht ik aanvullende waarborgen vooralsnog niet nodig. Om de gezondheidsgegevens te beschermen, moet het accent liggen op een goede toepassing van de al bestaande regels.

Met dit wetsvoorstel wordt bij AMvB stap voor stap (gegevensuitwisseling na gegevensuitwisseling) de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners (gestandaardiseerd) elektronisch uitwisselen met gecertificeerde informatietechnologieproducten of -diensten. De effecten op de bescherming van gezondheidsgegevens kunnen per gegevensuitwisseling verschillend zijn. De gevolgen van dit wetsvoorstel zijn daarmee vooral verbonden aan de verschillende (wijzigings-) AMvB’s waarin gegevensuitwisselingen worden aangewezen. Daarom zal in de nota van toelichting bij de (wijzigings-)AMvB’s steeds worden ingegaan op welke wijze in de praktijk zal worden voorzien hoe cliënten worden geïnformeerd over de gevolgen die het elektronisch uitwisselen van gegevens voor hen heeft. Hierbij zal aandacht worden besteed aan de manier waarop cliënten in een interoperabel systeem hun dossier in kunnen zien, hun gegevens kunnen controleren en eventuele fouten kunnen herstellen en bij wie ze daarvoor terecht kunnen.

5.1 Aanpassing wetten

De leden van de D66-fractie vragen hoe geborgd is dat zorgaanbieders hun informatiebeveiliging voldoende op orde hebben en hoe dit zich verhoudt tot deze wet. Deze leden constateren bijvoorbeeld dat er enkele datalekken hebben plaatsgevonden, waaronder in de jeugdzorg. Sommige zorginstellingen zijn wel aangesloten bij Z-CERT terwijl anderen, met name jeugdzorginstellingen, dit nog niet zijn. Met andere woorden, het zou spijtig zijn als gegevensuitwisseling wettelijk verplicht is maar de basis ICT-systemen van de zorgaanbieders nog niet op orde is. Hoe wordt dit voorkomen?

De leden van de D66-fractie vragen daarnaast of het wenselijk is om ook hier basisnormen voor op te stellen en zorgaanbieders hierop te toetsen?

De basisnormen waaraan gerefereerd wordt bestaan reeds. De vereisten op het gebied van informatiebeveiliging waaraan zorgaanbieders moeten voldoen zijn neergelegd in NEN 7510 «Informatiebeveiliging in de zorg», NEN 7512 Vertrouwensbasis voor gegevensuitwisseling en NEN 7513 Logging. Zorgaanbieders zijn op grond van het Begz wettelijk verplicht om aan de vereisten die in deze NEN-normen zijn neergelegd te voldoen. Deze normen zullen ook wanneer een gegevensuitwisseling onder het wetsvoorstel in spoor 2 wordt aangewezen, verplicht blijven en eventueel worden aangevuld.

5.2 Verhouding met de WGBO (medisch beroepsgeheim)

De leden van de VVD-fractie willen graag weten wanneer elektronische gegevensuitwisseling in strijd is met het medisch beroepsgeheim. Wanneer is er wel een grondslag voor gegevensuitwisseling en wanneer niet? Kunnen daarvan enkele concrete voorbeelden gegeven worden?

Wanneer en onder welke voorwaarden het medisch beroepsgeheim kan worden doorbroken is ongeacht of de gegevensuitwisseling elektronisch of op een andere manier plaatsvindt.

Wanneer gezondheidsgegevens uitgewisseld worden is daarnaast ingevolge de AVG een verwerkingsgrondslag nodig is om persoonsgegevens uit te wisselen9. Verder is op grond van de AVG ook een uitzonderingsgrond om het verbod om persoonsgegevens van bijzondere aard te verwerken te doorbreken10.

Bij deze nota naar aanleiding van het verslag heb ik ook een nota van wijziging gevoegd, waarmee verduidelijkt wordt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens. Onderhavig wetsvoorstel biedt daarmee geen grondslag om het beroepsgeheim te doorbreken.

De leden van de GroenLinks-fractie hebben zorgen over de borging van de rechten van patenten onder de WGBO. Zo heeft een patiënt bijvoorbeeld het recht op vernietiging. Als een dossier op meerdere plekken staat, kan een patiënt dat recht dan nog effectief uitoefenen? En kan de patiënt altijd het meest actuele dossier inzien?

Met persoonsgegevens, waaronder bijzondere persoonsgegevens zoals gezondheidsgegevens, moet zorgvuldig worden omgegaan. Recht op bescherming van persoonsgegevens is van belang met het oog op privacy en toegang tot de zorg en is daarom in internationale en nationale wetgeving geregeld (in onder meer het EVRM, de Grondwet, de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz).

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming. Het wetsvoorstel verandert dus niets aan de rechten van de patiënten die voortvloeien uit de geldende wetgeving in het zorgdomein. Zo zijn bijvoorbeeld de WGBO en AVG, met daarin het recht van een patiënt om gegevens uit het medisch dossier te laten vernietigen, onverkort van toepassing.

Welke eisen in de NEN-norm worden vastgelegd worden tijdens het normalisatietraject besloten. Ten behoeve van de ontwikkeling NEN-norm nodigt NEN alle belanghebbenden uit. Ik vind het van groot belang dat er aandacht is voor het zorgvuldig omgaan met (bijzondere) persoonsgegevens. Ik zal daarom bij de opdrachtverlening voor de ontwikkeling van een NEN-norm voor een aan te wijzen gegevensuitwisseling onder andere in het richtinggevende kader meegeven dat de norm dient te verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren – zoals het recht op inzage, rectificatie of gegevenswissing – en het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden en dat de norm dient te verzekeren dat een informatietechnologieproduct- of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder of zorgverlener aan zijn verplichtingen uit de AVG kan voldoen.

5.3 Verhouding met elektronisch uitwisselingssysteem (artikel 15a Wabvpz)

In deze paragraaf wordt gesproken over toestemming geven gegevens te delen en dat daarmee het beroepsgeheim kan worden doorbroken, zo lezen de leden van de VVD-fractie. Hoe werkt dit in spoedeisende gevallen of in het geval een cliënt niet in staat is om toestemming te geven?

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als bedoeld in artikel 6, eerste lid, AVG, een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens als bedoeld in artikel 9 AVG en doorbrekingsgrond van het medisch beroepsgeheim als bedoeld in de Wgbo en de Wet BIG is.

De verbetering van digitale gegevensuitwisseling in de spoedzorgketen heeft mijn volle aandacht. In de kamerbrief van 30 april 2021 (Kamerstukken II 2020/21, 27 529, nr. 262) is uw Kamer over de voortgang van gegevensuitwisseling bij spoed geïnformeerd.

De leden van de GroenLinks-fractie lezen in de toelichting dat de patiënt altijd nadrukkelijk toestemming moet geven voor het uitwisselen van gegevens. Het ligt wel in de lijn der verwachting dat gegevens, vanwege het onderliggende wetsvoorstel, in de toekomst vaker digitaal uitgewisseld zullen worden. Daarover hebben genoemde leden een aantal vragen. Zo vragen deze leden de regering of er voor elke vorm van gegevensuitwisseling binnen de dertien prioriteitsgebieden apart toestemming gevraagd moet worden.

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als bedoeld in artikel 6, eerste lid, AVG, een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens als bedoeld in artikel 9 AVG en doorbrekingsgrond van het medisch beroepsgeheim als bedoeld in de Wgbo en de Wet BIG is. Dit kan (uitdrukkelijke) toestemming zijn, maar ook een wettelijke grondslag. Dit betekent concreet dat – ook na inwerkingtreding van dit wetsvoorstel – een gegeven niet mag worden uitgewisseld als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim is.

Pas wanneer de vraag óf een gegeven uitgewisseld mag worden, positief beantwoord is en de zorgverlener over wil gaan tot gegevensuitwisseling, komt het wetsvoorstel in beeld. Het wetsvoorstel ziet namelijk enkel op hoe gegevens uitgewisseld moeten worden. Met de bij deze nota naar aanleiding van het verslag gevoegde nota van wijziging, wordt verduidelijkt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens.

De leden van de GroenLinks-fractie vragen de regering ook welke middelen patiënten in handen krijgen om te controleren welke gegevens er allemaal worden ingezien door welke zorgverleners.

In het Begz is onder andere de NEN 7513 voor zorgaanbieders verplicht gesteld. De NEN 7513 geeft zorgaanbieders en leveranciers van informatiesystemen aanwijzingen over de manier waarop logging moet worden geregeld. Door middel van logging kan achteraf worden gecontroleerd of er een (goede) reden was voor een medewerker om bijvoorbeeld een bepaald patiëntendossier in te zien of gegevens in het dossier te wijzigen. Op grond van (onder andere) het recht op inzage uit de AVG kan de patiënt de zorgaanbieder verzoeken om inzage te geven in de loggegevens. In de Wabvpz is bepaald dat de cliënt bij elektronische inzage of afschrift van zijn dossier kan verzoeken om een overzicht van wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien.

De leden van de GroenLinks-fractie vragen zich de regering ook of het mogelijk is om nog een extra waarborg in te bouwen bij de gegevensuitwisseling waarbij vooraf toestemming moet worden verleend. Nu lijkt het of zorgverleners uit het hele land die gegevens in kunnen zien wanneer zij het nodig achten. Kan het helpen, om de gegevens beter te beschermen, dat deze zorgverleners daarvoor eerst toestemming moeten vragen bij de dossierhouder? Voor de acute zorg is dit misschien niet optimaal en zou je hiervan kunnen uitzonderen, maar is dit een mogelijkheid voor de uitwisseling van gegevens binnen andere sectoren?

Uitwisseling van gegevens kan plaatsvinden via een elektronisch uitwisselingssysteem als bedoeld in de Wabvpz. Dit is een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier. Met een elektronisch uitwisselingssysteem kunnen gegevens worden gedeeld die vooraf beschikbaar zijn gesteld voor later onbekend gebruik. De gegevens hoeven niet in het systeem zelf te staan, maar worden via het systeem uitgewisseld. Om gegevens te kunnen uitwisselen via een elektronische uitwisselingssysteem, is uitdrukkelijke toestemming nodig van de cliënt.

De leden van de GroenLinks-fractie stellen dat nadat toestemming is verleend zorgverleners gegevens in kunnen zien wanneer zij dit wensen. Dit is echter niet het geval. De toestemmingsvraag moet specifiek zijn. Dit betekent onder andere dat uit de toestemmingsvraag moet blijken welke gegevens op welk moment met welke categorie zorgaanbieders uitgewisseld mogen worden. Uit de AVG volgt bovendien dat gegevensverwerking niet verder mag gaan dan voor de doeleinden noodzakelijk is. Bovendien mogen alleen gegevens geraadpleegd worden als dat noodzakelijk is voor de behandeling. De AP houdt toezicht op de naleving van de AVG. Bovendien bepaalt de Wabvpz dat de cliënt bij elektronische inzage of afschrift van zijn dossier kan verzoeken om een overzicht van wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien (logging).

5.4 Verhouding ten aanzien van wetsvoorstel digitale overheid

De leden van de VVD-fractie lezen dat bij het opstellen van de NEN-normen in de AMvB de Wet digitale overheid (Wdo) in acht genomen wordt. Hoe gebeurt dat? Met welke zaken uit de Wdo gaat dan rekening gehouden worden? Waarom is dat niet al opgenomen in de voorliggende wet zelf?

Het wetsvoorstel digitale overheid gaat onder meer gelden voor categorieën van zorgaanbieders die vallen onder de Wabvpz in het kader van de taken waarvoor zij op grond van de Wabvpz het BSN gebruiken. Dit betekent dat deze zorgaanbieders bij de uitwisseling van gegevens zullen moeten voldoen aan de eisen en normen ten aanzien van veilig inloggen uit nu nog het wetsvoorstel, zodat de identiteit van de zorgprofessional kan worden vastgesteld.

Het wetsvoorstel digitale overheid is een kaderwet die algemene principes, verantwoordelijkheden en procedures regelt. Het wetsvoorstel digitale overheid zal zorgaanbieders onder meer verplichten tot het indelen van hun digitale diensten naar betrouwbaarheidsniveau en het op orde hebben van hun informatiebeveiliging. Met deze aspecten zal tegen die tijd bij het opstellen van de NEN-normen dan ook rekening moeten worden gehouden.

Het wetsvoorstel digitale overheid zal, indien het door de Eerste Kamer wordt aangenomen, onverkort gelden naast het onderhavige wetsvoorstel, zodat daarin geen bepalingen behoeven te worden opgenomen die al uit Wet digitale overheid zullen voortvloeien.

6. IMPLEMENTATIE EN UITVOERING

Er wordt gesproken van een transitieperiode, zo lezen de leden van de VVD-fractie. Hoe lang gaat die transitieperiode duren?

Bij het bepalen van de duur van de transitieperiode zal bij de totstandkoming van de AMvB nadrukkelijk aandacht worden besteed aan de werkzaamheden die voortvloeien uit het opstellen van certificatieschema’s, het accrediteren van certificerende instellingen en het certificeren van informatietechnologieproducten of -diensten.

De regering schrijft dat door middel van zelfevaluatie individuele zorgaanbieders in staat zullen worden gesteld, om een inschatting te kunnen maken welke maatregelen getroffen dienen te worden en de tijd en inspanning die dat vergt om uitvoering te kunnen geven aan de AMvB. De leden van de CDA-fractie vragen de regering om een nadere uitleg wat hiermee bedoeld wordt. Betekent dit dat individuele zorgaanbieders onbeperkt de tijd mogen nemen om de aan hen opgelegde wettelijke plicht uit te voeren?

Bij het vaststellen van de ingangsdatum van de AMvB wordt rekening gehouden met de implementatiegereedheid van het veld en de verwachting wanneer het merendeel van het zorgveld hiervoor gereed zou kunnen zijn. Met zelfevaluatie wordt bedoeld dat ik het zorgveld wil helpen bij de implementatie van de wettelijke verplichting door het door individuele zorgaanbieders kunnen uitvoeren van een zelfevaluatie waarna duidelijk wordt welke activiteiten de zorgaanbieder nog zal moeten uitvoeren om te voldoen aan de AMvB.

7. TOEZICHT EN HANDHAVING

De leden van de GroenLinks-fractie lezen dat de IGJ en de AP samen toezicht gaan houden. Is er met deze partijen overlegd over de capaciteit? Heeft de AP het idee dat e voldoende middelen zijn om effectief toezicht te houden en te kunnen handhaven? Zo nee, hoeveel extra mankracht en welke extra bevoegdheden heeft de AP nodig om effectief als toezichthouder en handhaver op te treden?

Met dit wetsvoorstel wordt bij AMvB stap voor stap (gegevensuitwisseling na gegevensuitwisseling) de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners (gestandaardiseerd) elektronisch uitwisselen met gecertificeerd informatietechnologieproducten of -diensten. De effecten voor de capaciteit voor de IGJ en de AP zullen per aangewezen gegevensuitwisseling verschillend zijn. Met het wetsvoorstel heb ik ervoor gekozen dat informatietechnologieproducten en -diensten gecertificeerd dienen te zijn. Met een certificaat toont de leverancier aan dat het product of de dienst voldoet aan de NEN-norm die voor de specifieke gegevensuitwisseling wordt opgesteld. Certificaten worden verleend door mij aangewezen certificerende instellingen, die door de Raad voor Accreditatie geaccrediteerd dienen te zijn. Ik houd toezicht op het stelsel van certificering, waarbij de IGJ een signalerende rol heeft. De AP kan in aansluiting op dit stelsel toezicht houden op afstand, waarbij ik besef dat de AP als onafhankelijk toezichthouder zelf bepaalt op welke wijze zij toezicht houdt en hoe zij haar prioriteiten stelt. Dit wetsvoorstel gaat niet over of en wat wordt uitgewisseld en biedt om die reden geen grondslag om (bijzondere) persoonsgegevens te verwerken, maar bepaalt wel hoe uitgewisseld wordt, waarbij de in de AVG opgenomen bepalingen over de rechten van betrokkenen, beveiliging en privacy by design dienen te worden in acht genomen. In de NEN-norm per gegevensuitwisseling zal daaraan invulling worden gegeven. Hierbij wordt de toezichtstaak van de AP niet vergroot. De AP houdt immers al toezicht op de reeds bestaande uitwisseling van gezondheidsgegevens van een cliënt tussen zorgverleners en de beveiliging van de gegevens die worden uitgewisseld. Ondanks dat naar verwachting in algemene zin geen extra capaciteit nodig is, zal steeds bij het opstellen van de AMvB’s per gegevensuitwisseling aandacht besteed worden aan de verwachtte gevolgen voor de AP als toezichthouder. De gevolgen van dit wetsvoorstel voor de IGJ en de AP zijn daarmee vooral verbonden aan de verschillende (wijzigings-) AMvB’s waarin gegevensuitwisselingen worden aangewezen. Of de IGJ of de AP meer capaciteit nodig heeft, zal daarom nog nader moeten worden bezien bij het opstellen van de AMvB’s. Daarbij zal rekening worden gehouden met de motie van het lid Hijink c.s. (Kamerstukken II 2020/21, 27 529, nr. 240). In de nota van toelichting bij de (wijzigings-)AMvB’s zal steeds worden ingegaan op de gevolgen voor de IGJ en de AP. Dit alles geschiedt in overleg met de IGJ en de AP.

7.1 Toedeling van de taak tot bestuursrechtelijke handhaving

In de Inspectieraad zal worden besproken hoe de samenwerking op het vlak van gegevensuitwisselingen tussen de IGJ en andere inspecties kan worden vormgegeven. De leden van de CDA-fractie vragen of het noodzakelijk is dat deze samenwerking is geregeld voordat dit wetsvoorstel in werking treedt.

Met dit wetsvoorstel wordt bij AMvB stap voor stap (gegevensuitwisseling na gegevensuitwisseling) de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners (gestandaardiseerd) elektronisch uitwisselen met gecertificeerd informatietechnologieproducten of -diensten. De samenwerking tussen de IGJ en de andere inspecties kunnen per aangewezen gegevensuitwisseling verschillend zijn. Het is daarom meer opportuun om met het maken van eventuele afspraken te wachten tot er een beter beeld is van de verschillende (wijzigings-) AMvB’s waarin gegevensuitwisselingen worden aangewezen.

7.2 Toezicht op aanwijzing in spoor 1 en aanwijzing in spoor 2

Het toezicht in spoor 1 ziet niet op de wijze en snelheid waarmee de betrokken (zorg)partijen invulling geven aan de gezamenlijke ambitie van het veld om de gegevensuitwisseling door middel van een elektronische infrastructuur van spoor 1 naar spoor 2 te brengen. De leden van de CDA-fractie vragen de regering op welke wijze dan wel vinger aan de pols wordt gehouden of benodigde inspanningen worden verricht om de gegevensuitwisseling naar spoor 2 te brengen.

De keuze om een gegevensuitwisseling in spoor 1 of spoor 2 aan te wijzen, zal mede gemaakt worden aan de hand van de volwassenheidsscan en de MKBA. Als op basis daarvan een voorlopige keus voor spoor 1 volgt, zal door de toetsing een beter beeld ontstaan welke stappen nog gezet moeten worden om en wanneer tot een spoor 2-aanwijzing te komen. Dit kan per gegevensuitwisseling verschillen. Soms zullen er nog technische ontwikkelingen nodig zijn, in andere gevallen is er bijvoorbeeld onvoldoende sprake van digitalisering bij zorgaanbieders. Afhankelijk van de reden voor een aanwijzing in spoor 1 zal dus bekeken moeten worden op welke wijze inspanningen nodig zijn en door wie die inspanningen geleverd moeten worden. In de nota van toelichting bij de aanwijzing van een gegevensuitwisseling in spoor 1 zal ingegaan worden hoe naar verwachting en op welke termijn de gegevensuitwisseling naar een spoor 2-aanwijzing zal gaan.

8. EFFECTEN VAN HET WETSVOORSTEL

8.1 Financiële gevolgen

De leden van de VVD-fractie zijn van mening dat niet alleen naar de lasten voor zorgaanbieders gekeken moet worden, maar ook naar de baten c.q. de opbrengsten. Kan uitgebreid op de batenkant c.q. de opbrengsten van elektronische gegevensuitwisseling worden ingegaan?

Uiteraard zal ik de baten die naar verwachting gerealiseerd zullen worden meenemen in de besluitvorming over het al dan niet uitwerken van een gegevensuitwisseling tot een aanwijzing onder het wetsvoorstel. De uitkomsten van de MKBA voor een bepaalde gegevensuitwisseling zullen bij het doorlopen van de voorhangprocedure met uw Kamer worden gedeeld.

Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met de implementatie de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Hier zal per gegevensuitwisseling goed gekeken worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij hou ik per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

Er is een pilot in de regio Amsterdam gedaan. De leden van de VVD-fractie vragen of de hoofdlijnen van de overige resultaten van die pilot kunnen worden gedeeld met de Kamer?

De proeftuinen zijn in de zomer 2020 afgerond en geëvalueerd. De resultaten van de proeftuin Amsterdam inclusief de andere 15 proeftuinen zijn te vinden via het publieksvriendelijke boekje: «Geef InZicht door. Kennis en kansen voor de langdurige zorg» De proeftuinen zijn een goede basis geweest om de subsidieregeling InZicht in te richten en inmiddels nemen vrijwel alle proeftuinen verdere stappen via de subsidieregeling om elektronische gegevensuitwisseling verder te implementeren.

Er is berekend dat er ruim twee uur tijdsbesparing per overdracht kan opleveren. De leden van de VVD-fractie vragen wat dit betekent in financiële zin? Kan dat gekwantificeerd worden? En kan ook aangegeven worden wat dat cumulatief kan betekenen voor de zorg in financiële zin?

Volgens de toelichting zijn er geen lasten voor de cliënt. Ook niet als het gaat om toestemming voor uitwisseling van gegevens, zo vragen de leden van de VVD-fractie aan de regering.

Het wetsvoorstel noch de lagere regelgeving onder het wetsvoorstel zullen invloed hebben op de lasten van cliënten als het gaat over toestemming voor uitwisseling van gegevens. Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming (AVG, Wgbo, Wabvpz, e.d.). Er worden hierin geen wijzigingen doorgevoerd. Dat betekent dat pas wanneer de vraag óf gegevens uitgewisseld mogen worden, positief beantwoord is en de zorgverlener over wil gaan tot gegevensuitwisseling, het wetsvoorstel in beeld komt. Het wetsvoorstel ziet namelijk enkel op hoe gegevens uitgewisseld moeten worden.

Er zijn signalen uit de praktijk dat er problemen worden ervaren rondom de grondslagen voor gegevensuitwisseling, waaronder het toestemmingsvereiste valt. Daarom worden de grondslagen voor gegevensuitwisseling, waaronder ook het toestemmingsvereiste voor het delen van gezondheidsgegevens via een elektronisch uitwisselingssysteem valt, geanalyseerd. U ontvangt rond de jaarwisseling een brief hierover.

De leden van de D66-fractie hebben enkele vragen over de financiële gevolgen voor met name zorgaanbieders en de premiebetaler. Deze leden constateren dat aanpassingen van ICT-systemen bij zorgaanbieders soms forse investeringen vragen. In de overgang van papier naar een EPD ziet men dat er extra geld nodig, mogelijk zelfs vanuit ofwel de zorgverzekeraar ofwel de bank. Dit omdat het veelal een miljoenen investering betreft. Er zijn zelfs zorginstellingen die een zeer beperkt een EPD hebben, omdat het vanwege financiële redenen niet mogelijk is te investeren in een nieuw ICT-systeem. De leden vragen de regering waar uiteindelijk de rekening van zorgaanbieders komt te liggen indien zij willen voldoen aan de verplichtingen in dit wetsvoorstel.

De kosten en baten zullen per te verplichten gegevensuitwisseling en per organisatie verschillen. Ik toets voorafgaande aan het bij AMvB aanwijzen van een (prioritaire) gegevensuitwisseling, of de aanwijzing toegevoegde waarde heeft hoe de kosten en baten verdeeld zijn tussen de verschillende sectoren. Dit doe ik door middel van een MKBA, waarin de kosten en baten voor de gehele maatschappij beschouwd worden. Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Hier zal per gegevensuitwisseling goed gekeken worden of het nodig is hiervoor te compenseren. Voor de concept AMvB vinden allerlei uitvoeringstoetsen plaats waaronder een door de NZa over onder meer de eventuele effecten op de bekostiging.

Daarnaast ben ik bezig met het opstellen van een financierings- en bekostigingsproces om vroegtijdig te kunnen reageren op de te verwachten transitie-kosten en de structurele kosten en baten bij betrokken partijen.

Ook de Raad van State benoemt in haar advies dat de kosten ten laste zullen komen van de bedrijfsvoering van zorgaanbieders. De leden van de D66-fractie vragen de regering hierbij te reflecteren in welke mate de extra eisen voor softwareleveranciers direct worden gefactureerd aan zorgaanbieders.

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen leidt tot implementatie- en nalevingskosten. Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Per gegevensuitwisseling zal goed gekeken worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij houd ik per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

Gezien er slechts een beperkt aantal leveranciers zijn en dat het overstappen naar een andere leverancier veelal onbegonnen werk is, vragen De leden van de D66-fractie de regering in welke mate er gecontroleerd wordt op aanzienlijke marktmacht van deze partijen.

Ik monitor de markt voor zorg ICT systemen en -diensten in het kader van de ontwikkeling van het Duurzaam Informatie Stelsel voortdurend. De ACM, als onafhankelijke toezichthouder in de zorgmarkt, waakt erover dat leveranciers geen misbruik maken van hun positie. Zorgpartijen, ICT- leveranciers en andere belanghebbenden kunnen bij ervaren misbruik van marktmacht hiervan melding maken. Recent heeft de ACM een onderzoek ingesteld naar de EPD-leveranciers in de ziekenhuissector. Zodra de uitkomsten van dit onderzoek bekend zijn zal ik uw Kamer hierover informeren en welke gevolgen ik zie voor de zorgmarkt.

Het wetsvoorstel verplicht leveranciers interoperabele oplossingen te leveren voor aangewezen gegevensuitwisselingen. Het wetsvoorstel richt zich daarmee op de koppelvlakken van informatietechnologieproducten- en diensten. Een dergelijk koppelvlak per specifieke gegevensuitwisseling vormt dus slechts een klein deel van een compleet EPD of ECD. De in het wetsvoorstel opgenomen normalisatie en certificering maakt het voor inkopende zorgpartijen bovendien gemakkelijker na te gaan welke leverancier voldoet aan de wettelijke verplichtingen en daarmee interoperabiliteit borgt.

De leden van de D66-fractie vragen de regering in welke mate het de taak is van inkopende partijen binnen de zorg zoals gemeenten, zorgkantoren en zorgverzekeraars om de financiële gevolgen van dit wetsvoorstel te voorkomen.

Ik voorzie geen taak voor inkopende partijen om de financiële gevolgen van dit wetsvoorstel te voorkomen.

Het beoogd effect van elektronische gegevensuitwisseling (en een eventuele wettelijke verplichting) is dat de kwaliteit van de zorg verbetert en dat de financiële gevolgen daarom op de lange termijn positief zullen zijn. Aan het begin, bij de eerste gegevensuitwisselingen, zullen de investeringskosten naar verwachting hoger liggen dan de te verwachten baten. De kosten gaan immers voor de baat uit. Maar bij daaropvolgende wettelijke verplichte elektronische gegevensuitwisselingen zal meer en meer geprofiteerd worden van eerder gedane investeringen bijvoorbeeld op het gebied van verlaging van administratieve lasten, infrastructuur, ICT-systemen, toegenomen digitale vaardigheden.

De leden van de PVV-fractie vragen de regering hoeveel tijd en geld er gaat zitten in het opstellen van normen en eisen. Genoemde leden voorzien een bureaucratische chaos die enorm vertragend gaat werken. Graag ontvangen de leden een tijdstraject en een overzicht van de kosten van het normerings- en certificeringstraject en wie voor deze kosten opdraait.

Het opstellen van NEN-normen gebeurt volgens een zorgvuldig, efficiënt en transparant proces. Voor een kwalitatief goed en door het veld gedragen resultaat is het essentieel dat dit proces doorlopen wordt en de betrokken partijen consensus bereiken. Dit proces duurt gemiddeld genomen anderhalf jaar. De kosten voor het opstellen van NEN-normen en overige kosten binnen het certificeringstraject verschillen per norm. Op voorhand kan ik daarom geen uitspraak over de kosten van normontwikkeling en certificering doen. Wel zal ik voorafgaand aan het besluit om voor een gegevensuitwisseling waarvoor aanwijzing is beoogd een norm te ontwikkelen een MKBA uit laten voeren. In deze analyse worden ook de kosten van normontwikkeling en certificering meegenomen.

De kosten van NEN voor normontwikkeling en -revisies komen voor rekening van het Ministerie van VWS. Kosten voor certificering worden gedragen door de IT-leveranciers die de certificering aanvragen.

Op basis van de MKBA voor een aan te wijzen gegevensuitwisseling zal worden beoordeeld of het noodzakelijk is om, bijvoorbeeld, te komen tot vereffening van kosten en baten dan wel een oplossing voor de transitiekosten. De leden van de CDA-fractie vragen of de regering dit nader kan toelichten. Betekent dit dat mogelijk vanuit het Rijk financieel zal worden bijgedragen, ondanks dat het uitgangspunt is dat de (investerings)kosten voor de implementatie van de wettelijk verplichte gegevensuitwisseling worden opgebracht uit de middelen van de zorgaanbieders?

Naast dat – zoals aangegeven is in de memorie van toelichting – een zekere schaalgrootte nodig is om de voordelen van een verplichte elektronische uitwisseling mogelijk te maken, speelt ook mee dat dit wetsvoorstel aansluit bij de bestaande systematiek van de Wkkgz. Deze wet is alleen van toepassing voor Europese deel van Nederland.

De leden van de SP-fractie vragen hoe de kosten die veroorzaakt worden door de normalisering precies worden gedragen. Wordt dit volledig vergoed door aanvullende middelen ter beschikking te stellen aan zorginstellingen vanuit de begroting van het ministerie of gaat dit ten koste van financiële middelen voor andere taken van zorginstellingen? Hoe wordt dit budgettair geregeld?

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen leidt tot implementatie- en nalevingskosten. Met de uitwerking van AMvB’s onder het wetvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Hier zal per gegevensuitwisseling goed gekeken worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij hou ik per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

De leden van de SGP-fractie vragen naar de financiële gevolgen voor decentrale overheden. Dit wetsvoorstel ziet op zorgaanbieders en leveranciers van informatie-technologieproducten of -diensten. Decentrale overheden kunnen zorgaanbieders zijn in de zin van dit wetsvoorstel, zoals in het geval van jeugdgezondheidszorg. Het voorstel zal dus voor hen ook financiële consequenties hebben. Kan de regering inschatten hoe groot deze zijn?

Het klopt dat decentrale overheden zorgverlener kunnen zijn, dat is bijvoorbeeld bij de jeugdgezondheidszorg het geval (vanuit Wpgd) wanneer ze de uitvoering van de jeugdgezondheidszorg beleggen binnen de gemeentelijke organisatie (de wijze van organiseren bepaalt dus of het college van B&W formeel zorgverlener is).

Mijn inschatting is gezien de huidige (concept) MJA Wegiz dat decentrale overheden de komende jaren niet geraakt worden door het wetsvoorstel en dus niet te maken krijgen met financiële consequenties als gevolg van het wetsvoorstel. Samen met het zorgveld werk ik aan een toekomstbestendige gegevensuitwisseling in de gezondheidszorg met als uitgangspunten dat systemen met elkaar kunnen communiceren (interoperabiliteit), de keuzevrijheid voor zorgaanbieders bij het kiezen van een ICT-systeem geborgd blijft en dit tegen acceptabele maatschappelijke kosten gebeurt.

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen leidt tot implementatie- en nalevingskosten. Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Hier zal per gegevensuitwisseling goed gekeken worden of het nodig is hiervoor te compenseren. Per gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij hou ik per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

De leden van de SGP-fractie vragen de regering welke kosten er gepaard gaan met het opstellen van de normen en het verplichte certificeringsproces. Denk aan de kosten voor certificerende instellingen, ontwikkelaars van producten en aanvragende zorgaanbieders, maar ook de vijfjaarlijkse herijking.

8.2 Effecten op de markt en innovatie

In de brief van 15 december geeft de regering aan volledig juridisch advies te willen over mogelijkheden die het Nederlands en Europees recht geven om excessen in de zorg-ICT te voorkomen. De leden van de CDA-fractie vragen of de regering de Kamer wil informeren over de opties die er zijn en hoe de regering deze beoordeelt.

Het juridisch adviestraject loopt nog. Zoals ik in debrief aan uw Kamer van 15 december 2020 reeds melde, wil ik bezien of we met wetgeving excessen in de zorg-ICT kunnen voorkomen en hiermee ondoelmatige besteding van zorggelden kunnen tegengaan. Ik noemde toen twee mogelijke voorbeelden, namelijk de wijze waarop we in Nederland «dure geneesmiddelen» beoordelen op toegevoegde waarde en kosteneffectiviteit en een maximering van winsten in de zorg ICT. Daarbij wil ik laten onderzoeken welke mogelijkheden er zijn om kosteneffectiviteit zeker te stellen zonder daarbij innovatieprikkels bovenmatig te schaden. Zo wil ik volledig juridisch advies over de huidige en toekomstige mogelijkheden die ons Nederlandse en Europese recht biedt. Uiteraard in goed overleg met de Staatssecretaris van EZK en de Europese Commissie. Ik informeer uw Kamer, zoals toegezegd, voor het eind van het jaar over het verloop van dit onderzoek, de opties die er zijn en mijn beoordeling daarvan.

De leden van de CDA-fractie willen weten of de regering bereid is om de Autoriteit Consument & Markt (ACM) te vragen om een advies over de voorwaarden voor een concurrerende markt voor ICT in de gehele zorg (breder dan ziekenhuizenzorg), ook gelet op nieuwe en disruptieve spelers die de zorg efficiënter organiseren voor patiënten?

De ACM is bezig met de afronding van de marktverkenning naar informatiesystemen en gegevensuitwisseling in de ziekenhuiszorg. Daarnaast heeft de ACM mij laten weten binnenkort met een update te komen over haar markttoezicht op informatie-uitwisseling en gegevensuitwisseling in de zorg. Ik wil deze publicaties afwachten en bezien welke lessen hieruit te trekken zijn.

De leden van de CDA-fractie vragen of het mogelijk is dat, vergelijkbaar met de monitor Zorgverzekeringsmarkt van de Nederlandse Zorgautoriteit (NZa), er een jaarlijks overzicht wordt gemaakt van de ICT-zorg (zowel over de marktsituatie als de voortgang op onderlinge gegevensuitwisseling ten behoeve van patiënten en zorgverleners)? Kan de regering daar ook de prijszetting en prijsontwikkeling van de afgelopen vijf jaar in meenemen?

De NZa heeft op basis van de Wet marktordening gezondheidszorg (Wmg) de opdracht goed werkende markten voor zorgverlening, zorginkoop en ziektekostenverzekeringen te maken (reguleren) en te bewaken (toezicht). De taken van de NZa zijn omschreven in de Wmg. Een jaarlijks monitor omtrent de ICT in de zorg valt niet onder de wettelijke taken van de NZa.

Als gegevensuitwisseling in de zorg wordt verbeterd (voor zorgprofessionals en patiënten), wordt het per definitie gemakkelijker om wetenschappelijk onderzoek te doen. Het Nationaal Groeifonds heeft een claim gehonoreerd gekregen voor Health RI. De leden van de CDA-fractie vragen hoe de regering aankijkt tegen deze ontwikkeling en wat nodig is om dubbele data-infrastructuren te voorkomen.

Health-RI is een bestaande alliantie van gerenommeerde organisaties die nationaal en internationaal wetenschappelijk onderzoek doen op basis van zorgdata. Hun voorstel dat door het Groeifonds is gehonoreerd beoogt een versnelling van de veilige en betrouwbare ontsluiting van medische data voor wetenschappelijk onderzoek en innovatie, met inzet van privacybeschermende en -respecterende technologieën. Health-RI werkt daarbij volgens de FAIR-data principes: Findable (vindbaar), Accessible (toegankelijk), Interoperable (uitwisselbaar) en Reusable (herbruikbaar). Deze principes sluiten aan bij die van het wetsvoorstel, waarbij de genormaliseerde uitwisseling van gezondheidsgegevens bijdraagt aan de vindbaarheid en vooral de uitwisselbaarheid. Juist door gegevens vanaf het begin gestructureerd en genormaliseerd vast te leggen, wordt de herbruikbaarheid van die gegevens voor wetenschappelijk onderzoek, innovatie maar ook toezicht en beleid, vergroot.

De beoordelingscommissie van het Groeifonds heeft Health-RI als voorwaarde meegegeven goed af te stemmen met mijn ministerie om synergie te benutten en dubbel werk te voorkomen. Over de concrete invulling hiervan ben ik met Health-RI in gesprek en ik heb er alle vertrouwen in dat we hier samen goede afspraken over maken.

De leden van de CDA-fractie vragen wat de stand van zaken is van het onderzoek van de ACM naar de aanmerkelijke marktmacht van ICT-leveranciers in de zorg. Wanneer kan de Kamer de resultaten hiervan verwachten?

ACM heeft de marktverkenning naar informatiesystemen en gegevensuitwisseling in en met de ziekenhuissector afgerond. De ACM is bezig met de voorbereidingen voor publicatie. De publicatie hiervan wordt binnenkort verwacht.

8.3 Effecten op de gegevensbescherming

De leden van de D66-fractie constateren dat gegevensbescherming een belangrijk onderdeel is van dit wetsvoorstel. Temeer omdat gevoelige gegevens van patiënten worden uitgewisseld tussen zorgaanbieders. Het is voor deze leden vooralsnog onduidelijk of toestemmingsverklaringen voor uitwisselingen nodig blijft binnen deze wet. Zo ja, op welke momenten vindt dit plaats en hoe wordt hier uitvoering aan gegeven?

Het wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming en verandert dus niets aan de huidige waarborgen rondom zeggenschap. Het wetsvoorstel beschrijft immers alleen hoe en niet of er uitgewisseld kan of moet worden. Bij deze nota naar aanleiding van het verslag heb ik ook een nota van wijziging gevoegd, waarmee verduidelijkt wordt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens.

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als bedoeld in artikel 6, eerste lid, AVG, een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens als bedoeld in artikel 9 AVG en doorbrekingsgrond van het medisch beroepsgeheim als bedoeld in de Wgbo en de Wet BIG is.

Dit kan toestemming zijn, maar ook een wettelijke grondslag. De AVG vereist dat detoestemming uitdrukkelijk moet zijn.Verder bepaalt de Wabvpz dat uitdrukkelijke toestemming gegeven moet wordenindien patiëntgegevens vooraf beschikbaar worden gesteld in een elektronisch uitwisselingssysteem voor later onbekend gebruik.

De huidige wijze van het uitvragen en registreren van toestemmingen wordt evenmin met de komst van dit wetsvoorstel anders. Toestemmingen kunnen nu geregistreerd worden bij de zorgaanbieder of mensen kunnen zelf hun toestemming geven voor uitwisseling via het LSP via volgjezorg.nl. Er is een factsheet beschikbaar waarin uitleg gegeven wordt over het geven van toestemming voor het uitwisselen van medische gegevens tussen zorgverleners.11

De leden van de D66-fractie vragen de regering of er ook conflicterende wetgeving is, zoals de Wet aanvullende bepalingen verwerking persoonsgegevens, die onbedoeld ervoor kan zorgen dat snelle gegevensuitwisseling wordt belemmerd. Zo ja, wanneer kan dit spelen?

Vanwege de signalen uit de praktijk worden op dit moment de mogelijke problemen rondom de grondslagen voor gegevensuitwisseling, waaronder het toestemmingsvereiste valt, geanalyseerd. U ontvangt rond de jaarwisseling een brief hierover.

De leden van de PvdD-fractie achten privacy en gegevensbescherming een van de belangrijkste onderdelen van dit wetsvoorstel, en zoals eerder vermeld, vinden deze leden dat de wet valt of staat bij een decentrale infrastructuur. Deze leden vinden dat er gebruik gemaakt moet worden van decentrale technieken bij het elektronisch werken met privacygevoelige informatie. Door het werken met dergelijke decentrale technieken, wanneer er elektronisch met privacygevoelige informatie gewerkt wordt, kan er volgens deze leden geen single-point of failure ontstaan, zoals bij het Landelijk Schakel Punt. Daarom willen deze leden de regering herinneren aan de Eerste Kamermotie-Teunissen c.s. die de regering opdraagt dat toegang tot het medisch dossier decentraal via bij de zorgaanbieder vastgelegde toestemmingen en autorisaties mogelijk moet blijven, en de met algemene stemmen aangenomen motie van de leden Van Kooten-Arissen en Hijink die aanstuurde op het interoperabel maken van decentrale systemen. Herkent de regering het Landelijk Schakel Punt als single-point of failure? Zo niet, waarom niet? Deelt de regering dat een single-point of failure binnen de gegevensuitwisseling in de zorg een enorme vertrouwensdeuk zou opleveren bij patiënten?

Ik deel de mening dat een single-point of failure binnen de gegevensuitwisseling zoveel mogelijk moet worden vermeden vanwege de ook door de PvdD gestelde risico’s ten aanzien van gegevensbescherming maar ook beschikbaarheid. Daarom onderschrijf ik de noodzaak om te komen tot een landelijk dekkend stelsel van onderling verbonden infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van de individuele zorgaanbieder een belangrijk criterium is, conform motie Van Kooten-Arissen en Hijink (Kamerstuk II 2019/2020, 29 515, nr. 431).

Het voorliggende wetsvoorstel zet een belangrijke stap door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij de genormaliseerde eisen aan taal en techniek onafhankelijk zijn van een specifieke elektronische infrastructuur. Daarmee wordt voorkomen dat niet slechts één systeem voor een specifieke gegevensuitwisseling gaat gelden. Het wetsvoorstel leidt daarmee niet tot de introductie van het gebruik van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling. Conform de motie van de Teunissen c.s. (Kamerstukken I 2016/17, 33 509, T) gaat het wetsvoorstel uit van, en past binnen de internationale en nationale wetgeving inzake gegevensbescherming en verandert dus niets aan de huidige waarborgen rondom zeggenschap. Het wetsvoorstel beschrijft immers alleen hoe en niet of er uitgewisseld kan of moet worden.

Daarnaast vragen de leden van de PvdD-fractie of er al een analyse is uitgevoerd naar wat de effecten zouden zijn als er een single-point of failure ontstaat in de werkwijze die onder spoor 2 valt. Is het met het oog op de medische- en privacy risico’s van een dergelijke fout niet wenselijk om vooraf digitale infrastructuur die uitgaat van een gecentraliseerde werking uit te sluiten?

Ik deel de mening dat een single-point of failure binnen de gegevensuitwisseling zoveel mogelijk moet worden vermeden vanwege de ook door de leden van de PvdD-fractie gestelde risico’s ten aanzien van gegevensbescherming maar ook beschikbaarheid. Daarom onderschrijf ik de noodzaak om te komen tot een landelijk dekkend stelsel van onderling verbonden infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van de individuele zorgaanbieder een belangrijk criterium is, conform motie Van Kooten-Arissen en Hijink (Kamerstukken II 2019/20, 29 515, nr. 431).

Het voorliggende wetsvoorstel zet een belangrijke stap door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij de genormaliseerde eisen aan taal en techniek onafhankelijk zijn van een specifieke elektronische infrastructuur. Daarmee wordt voorkomen dat niet slechts één systeem voor een specifieke gegevensuitwisseling gaat gelden. Het wetsvoorstel leidt daarmee niet tot de introductie van het gebruik van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling. Conform de motie van Teunissen c.s. (Kamerstukken I 2016/17, 33 509, T), worden er met dit wetsvoorstel ook geen grondslagen wat betreft toestemming of autorisatie veranderd.

Naast zorgen over een mogelijke single-point of failure zijn er nog andere privacy technische zorgen bij de leden van de PvdD-fractie. De wet verplicht dat er voldaan moet worden aan de AVG, maar in het verleden zijn daar in de zorg al meerdere keren grote problemen mee geweest. Genoemde leden constateren dat in de afgelopen jaren veel datalekken zijn geweest in de zorg, onder andere bij de GGD, in de ggz, in de jeugdzorg, en bij verschillende ziekenhuizen. Daarbij werd altijd gezegd dat deze instellingen, met name ziekenhuizen, conform de AVG zelf verantwoordelijk zijn voor het bewaken van die data. De verschillende datalekken tonen dat zij daar zelfstandig niet toe in staat zijn. Daarom vragen deze leden of de regering met deze wet, die dus partijen verplicht hoe ze gegevens moeten uitwisselen, ook iets gaat regelen over de mate van beveiliging van die gegevens, zodat datalekken niet meer voor kunnen komen.

Zorgaanbieders zijn primair zelf verantwoordelijk voor eigen informatiebeveiliging. Volgens het Begz moeten zorgaanbieders voldoen aan de NEN 7510 en aanverwante normen. Deze normen zullen ook wanneer een gegevensuitwisseling onder het wetsvoorstel in spoor 2 wordt aangewezen, verplicht blijven en eventueel worden aangevuld. Over de nadere invulling omtrent informatiebeveiliging ga ik nog in gesprek met het veld. De uitkomst kan per gegevensuitwisseling verschillen.

De leden van de PvdD-fractie vragen of de regering mogelijkheden ziet om privacy by design sterker te verankeren in de wet zelf? Daarnaast willen deze leden de regering herinneren aan de met algemene stemmen aangenomen motie van het lid Van Kooten-Arissen, en nogmaals de oproep delen dat er binnen de zorg alleen end-to-end encryptie gebruikt zou moeten worden, vanwege de hoge mate van privacygevoelige informatie.

Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming, zoals onder meer opgenomen in de AVG en de UAVG. Dat betekent dat bij het uitwisselen van een gegeven altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Ik zie dan ook geen reden om privacy by design sterker te verankeren in dit wetsvoorstel zelf. Daarbij neem ik in aanmerking dat de AVG voorziet in een heldere definitie wat dit beginsel inhoudt, de concrete invulling daarvan per gegevensuitwisseling anders kan zijn en in de loop van de tijd kan wijzigen. Wel geef ik bij de ontwikkeling van de NEN-norm per aan te wijzen gegevensuitwisseling als richtinggevend kader mee dat aan de AVG dient te worden voldaan. Hierdoor wordt bijvoorbeeld verzekerd dat de leverancier zich bij het ontwikkelen van technologieproducten en -diensten zich houdt aan de verplichting om volgens de beginselen uit de AVG, zoals van privacy by design te werken.

De leden van de PvdD-fractie vragen of de regering end-to-end encryptie gaat vastleggen in deze wet en verplicht stellen voor het versturen van medische gegevens?

Gezien de systematiek van dit wetsvoorstel wordt end-to-end encryptie niet in het wetsvoorstel zelf verplicht gesteld. Wel kan een dergelijke verplichting in de NEN-norm per gegevensuitwisseling worden opgenomen en verder worden uitgewerkt, zoals bijvoorbeeld welke algoritmen en sleutellengtes dienen te worden gebruikt.

De leden van de PvdD-fractie vinden dat patiënten eigenaar moeten zijn van hun eigen medische gegevens. Momenteel lijken patiënten buitenspel te staan als deze wet wordt geïmplementeerd, behalve dat zij akkoord of niet akkoord moeten geven op het delen van hun persoonlijke medische gegevens en recht op inzage hebben. Deze leden vragen de regering daarom hoe eigenaarschap van medische gegevens voor patiënten versterkt kan worden.

Daarnaast deel ik met deze leden het belang van de bescherming van de rechten van cliënten omtrent hun gezondheidsgegevens. Dit wetvoorstel gaat uit van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming (zoals de AVG, de UAVG, de WGBO, de wet BIG en de Wabvpz). Daarbij merk ik op dat onder het Nederlandse recht eigendomsrechten kunnen alleen rusten op voor menselijke beheersing vatbare stoffelijke objecten.12 Aangezien gezondheidsgegevens onstoffelijk zijn, kan er geen sprake kan zijn van eigendom van de gezondheidsgegevens. Dit betekent echter niet dat gegevens vogelvrij zijn en cliënten geen zeggenschap over hun gegevens hebben. In het bestaande juridische kader is deze zeggenschap namelijk geregeld. Naast de regels over grondslagen voor verwerking en doorbreking van het medisch beroepsgeheim, kan daarbij ook gedacht worden aan het recht op inzage, rectificatie of gegevenswissing en het wijzigen mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden.

De leden van de PvdD-fractie willen weten of de regering kan toelichten waarom in deze wet niet is opgenomen dat als er informatie gedeeld wordt patiënten dan op de hoogte worden gesteld van welke informatie en met wie deze gedeeld wordt?

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving inzake gegevensbescherming (zoals de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz). De regels omtrent het op de hoogte houden van cliënten over wat er gebeurt met hun medische informatieplicht is daarin geborgd. Zo zijn in de AVG informatieplichten opgelegd aan degene die gegevens verwerkt en kan de cliënt op grond van (onder andere) het recht op inzage verzoeken om inzage te geven in de loggegevens. In de Wabvpz is bepaald dat de cliënt bij elektronische inzage of afschrift van zijn dossier kan verzoeken om een overzicht van wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien.

De leden van de PvdD-fractie vragen of de regering bereid is om de doelstelling en reikwijdte van het wetsvoorstel uit te breiden naar gegevensuitwisseling tussen zorgverleners én met patiënten/cliënten?

Voor het op elektronische wijze uitwisselen van gegevens tussen de zorgverlener en de cliënt is reeds het Medmij-afsprakenkader ingericht. MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de cliënt, bijvoorbeeld in een persoonlijke gezondheidsomgeving. Een (uitbreiding van de reikwijdte van dit) wetsvoorstel wordt daarom niet noodzakelijk geacht.

Dit laat onverlet dat het voorliggende wetsvoorstel positieve effecten kan hebben op de gegevensuitwisseling met de cliënt. Doordat gegevens met behulp van een elektronische infrastructuur beschikbaar worden en tussen zorgverleners op die wijze worden uitgewisseld, kunnen deze logischerwijs ook makkelijker uitgewisseld worden met de cliënten. Dit positieve effect wordt nog eens versterkt doordat bij de ontwikkeling van een NEN-norm rekening zal worden gehouden met het MedMij- afsprakenstelsel.

Daarnaast willen de leden van de PvdD-fractie weten hoe de regering gaat zorgen voor het minimaliseren van de gegevensuitwisseling (oftewel geen gegevens uitwisselen die niet uitgewisseld hoeven worden)? Ter illustratie: er kan gedacht worden een kwaliteitsstandaard voor de eerste hulp waarin gegevens A, B, C, en D opgenomen zijn. Stel een patiënt breekt zijn of haar been, en wordt na een bezoek aan de eerste hulp doorgestuurd naar een fysiotherapeut. Deze behandelaar zou bij wijze van spreken gegevens B en D nodig hebben. Worden dan ook alleen gegevens B en D doorgestuurd, of krijgt de behandelaar dan alle gegevens? En hoe zit dit als de eerdergenoemde fysiotherapeut de patiënt doorverwijst naar een revalidatiecentrum? Krijgt deze dan van de fysiotherapeut alleen gegevens B en D of het hele pakket? Hoe zou deze situatie uitpakken, als het revalidatiecentrum ook gegeven C nodig blijkt te hebben. Kan deze dan zonder tussenbericht van de eerdergenoemde fysiotherapeut opgevraagd worden aan de eerste hulp?

Daarbij is ook relevant dat de toestemmingsvraag voor het delen van gegevens specifiek moet zijn. Dit betekent dat indien gebruik wordt gemaakt van een elektronisch uitwisselingssysteem onder andere uit de toestemmingsvraag moet blijken welke gegevens op welk moment met welke categorie zorgaanbieders uitgewisseld mogen worden. Er is een factsheet beschikbaar waarin uitleg gegeven wordt over het geven van toestemming voor het uitwisselen van medische gegevens tussen zorgverleners.13

9. ADVIES EN CONSULTATIE

De vaste Kamercommissie VWS heeft op 27 mei 2021 van een groot aantal organisaties een gezamenlijke brief gekregen over de voorliggende wet, zo constateren de leden van de VVD-fractie. In hoeverre zijn deze organisaties betrokken geweest bij de totstandkoming van deze wet? In hoeverre hebben zij meegedaan aan de consultatieronde en wat hebben ze daar ingebracht? Kan de regering reageren op de punten in de brief en de daarin opgenomen vragen beantwoorden?

Tussen 10 maart en 10 juni van vorig jaar – welke termijn verlengd was ten gevolge van de coronacrisis – heeft eenieder die dat wil de mogelijkheid gehad mee te denken en te reflecteren op het conceptwetsvoorstel via internetconsultatie.nl. Hierop zijn 66 openbare reacties en 33 niet openbare reacties binnengekomen, welke elk in een zorgvuldig proces zijn afgewogen. Welke punten ik precies heb meegenomen uit de verschillende consultaties is te lezen in het consultatieverslag dat is gepubliceerd op internetconsultatie.nl14. Ook is er meerdere malen in het Informatieberaad Zorg stil is gestaan bij de werking van het wetsvoorstel, de MJA Wegiz en het proces. Aanvullend zijn verschillende sessies met veldpartijen, waaronder zorgverleners, geweest om het wetsvoorstel te verduidelijken en is de mogelijkheid geboden vragen te stellen en input te leveren.

I. Herkent de Minister het risico dat gecertificeerde systemen de verplicht gestelde gegevensuitwisseling via een informatiestandaard kunnen ondersteunen, terwijl zorgaanbieders bij gebrek aan onderling verbonden infrastructuren alsnog niet in staat worden gesteld om onderling gegevens uit te wisselen?

De verplichting onder het wetsvoorstel is één van de puzzelstukjes op weg naar volledige interoperabiliteit, maar staat niet op zichzelf om daar te komen. Naast afspraken over hoe er dient te worden uitgewisseld, moet dit in de praktijk ook kunnen via samenhangende infrastructuren. Op het vlak van verbinden van infrastructuren en mogelijke noodzakelijke voorzieningen (zoals een digitaal adresboek). Vanuit dat perspectief en in lijn met de eerder genoemde moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) onderzoek ik hoe ik meer publieke sturing en regie kan nemen op de landelijke infrastructuur, generieke functies en aanpalende ICT-voorzieningen. Hierover zal ik uw Kamer voor het einde van het jaar informeren.

II. Onderschrijft de Minister de noodzaak te komen tot een landelijke digitale infrastructuur (c.q. stelsel van samenhangende, interoperabele zorginfrastructuren) in Nederland en wettelijke verplichting van het gebruik hiervan, om dit probleem te ondervangen?

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken te verplichten voor taal en techniek.

Ik onderschrijf de noodzaak om te komen tot een landelijk dekkend stelsel van onderling verbonden infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van de individuele zorgaanbieder een belangrijk criterium is. Vanuit dat perspectief en in lijn met de eerder genoemde moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) onderzoek ik hoe ik meer publieke sturing en regie kan nemen op de landelijke infrastructuur, generieke functies en aanpalende ICT-voorzieningen. Hierover zal ik uw Kamer voor het einde van het jaar informeren.

In mijn afwegingen neem ik mee dat op grond van voorliggend wetsvoorstel in de aangewezen norm voor een aangewezen gegevensuitwisseling verwezen kan worden naar een norm die eisen stelt aan generieke functies, maar dat zorgbreed soms meer nodig kan zijn. Zoals zorgbrede (eventueel dwingende) afspraken over eisen aan generieke «stekkerdozen», zoals (open) API’s, en aan interoperabiliteit tussen (delen van) infrastructuren, zoals NTA7516 voor veilige mail.

Vast staat dat ik steviger ga sturen op de landelijke totstandkoming van generieke functies en benodigde voorzieningen hiervoor in de zorg-ICT. Zo ontwikkel ik een opvolger van de UZI-pas en heb ik een voorziening ontwikkeld waarmee zorginstellingen via inlogmiddelen zoals DigiD hun digitale dienstverlening kunnen ontsluiten (toegangsverleningsservice/TVS).

III. Welke mogelijkheden ziet de Minister om de Wegiz uit te breiden met afspraken over te gebruiken infrastructuren en gemeenschappelijke voorzieningen, dan wel wat zijn de argumenten om dit niet te doen?

Zoals ik hierboven schreef, is er naast het wetsvoorstel nog meer nodig om te komen tot volledige interoperabiliteit dan alleen afspraken voor taal en techniek en overweeg ik publieke regie op noodzakelijke voorzieningen te nemen. Uiteraard moet ik dit zorgvuldig afgewogen en beargumenteerd doen. Momenteel werk ik daarom aan een afwegingskader om te bezien of er voorzieningen onder publieke sturing gebracht kunnen worden. Ik zal uw Kamer voor het einde van het jaar informeren of, en zo ja op welke wijze, dergelijke voorzieningen verplicht dienen te zijn.

IV. Wat gaat de Minister doen om ervoor te zorgen dat er een landelijk dekkend stelsel van onderling verbonden infrastructuren komt?

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken te verplichten voor taal en techniek.

Ik onderschrijf de noodzaak om te komen tot een landelijk dekkend stelsel van onderling verbonden infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van de individuele zorgaanbieder een belangrijk criterium is. Vanuit dat perspectief en in lijn met de eerder genoemde moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) onderzoek ik hoe ik meer publieke sturing en regie kan nemen op de landelijke infrastructuur, generieke functies en aanpalende ICT-voorzieningen. Hierover zal ik uw Kamer voor het einde van het jaar informeren.

In mijn afwegingen neem ik mee dat op grond van voorliggend wetsvoorstel in de aangewezen norm voor een aangewezen gegevensuitwisseling verwezen kan worden naar een norm die eisen stelt aan generieke functies, maar dat zorgbreed soms meer nodig kan zijn. Zoals zorgbrede (eventueel dwingende) afspraken over eisen aan generieke «stekkerdozen», zoals (open) API’s, en aan interoperabiliteit tussen (delen van) infrastructuren, zoals NTA7516 voor veilige mail.

Vast staat dat ik steviger ga sturen op de landelijke totstandkoming van generieke functies en benodigde voorzieningen hiervoor in de zorg-ICT. Zo ontwikkel ik een opvolger van de UZI-pas en heb ik een voorziening ontwikkeld waarmee zorginstellingen via inlogmiddelen zoals DigiD hun digitale dienstverlening kunnen ontsluiten (toegangsverleningsservice/TVS).

V. Daaraan gerelateerd de vraag hoe de Minister ervoor gaat zorgen dat hier ook daadwerkelijk gebruik van wordt gemaakt? Gezien de marktmacht van met name een aantal grote softwareleveranciers, lijkt wettelijke verplichting de enige mogelijkheid om dit te realiseren.

Vanuit mijn verantwoordelijkheid voor een landelijk dekkende stelsel van zorginfrastructuren zal ik aan de hand van het in ontwikkeling zijnde afwegingskader bepalen hoe tot een landelijk dekkend stelsel van onderling verbonden infrastructuren en generieke voorzieningen kan worden gekomen. Ik monitor daarnaast de markt voor zorg ICT systemen en -diensten in het kader van de ontwikkeling van het Duurzaam Informatie Stelsel voortdurend. De ACM als onafhankelijke toezichthouder in de zorgmarkt, waakt erover dat leveranciers geen misbruik maken van hun positie. Zorgpartijen, ICT- leveranciers en andere belanghebbenden kunnen bij ervaren misbruik van marktmacht hiervan melding maken. Recent heeft ook de ACM een onderzoek ingesteld naar de EPD-leveranciers in de ziekenhuissector. Zodra de uitkomsten van dit onderzoek bekend zijn zal ik uw Kamer hierover informeren en welke gevolgen ik zie voor de zorgmarkt.

VI. Onderschrijft de Minister het nut en de noodzaak te komen tot een open API-strategie in Nederland en wettelijke verplichting van het gebruik hiervan, zodat sneller en goedkoper volledige interoperabiliteit kan worden bereikt?

De keuzes in het wetsvoorstel ondersteunen het gebruik van (open) API’s. Zowel in normen (spoor 2) als in de AMvB (spoor 1) kunnen eisen worden gesteld aan de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling moet plaatsvinden, dus kunnen API’s via deze wegen onder dit wetsvoorstel voor specifieke gegevensuitwisselingen worden verplicht. De verplichting middels specifieke gegevensuitwisselingen voor deze API’s (in feite generieke stekkerdozen) leidt naar verwachting tot een breder gebruik hiervan, ook voor andere (niet onder het wetsvoorstel verplichte) gegevensuitwisselingen. Ik heb Nictiz gevraagd advies aan mij uit te brengen ten aanzien van een open API strategie en hierbij voorbeelden uit binnen- en buitenland te betrekken. Ik informeer u uiterlijk eind van het jaar over de voortgang.

VII. Wat zijn volgens de Minister de mogelijkheden om de Wegiz uit te breiden met wettelijke verplichting van een open API-strategie, dan wel wat zijn de argumenten om dit niet te doen?

De bestaande opzet van het wetsvoorstel biedt ruimte aan het gebruik van open standaarden en open API’s. Het wetsvoorstel geeft het kader om te komen tot gezamenlijke afspraken, om deze vervolgens desgewenst wettelijk verplicht te stellen en hierop te handhaven. De eventuele verplichting om API’s (in feite generieke «stekkerdozen») te gebruiken in aangewezen gegevensuitwisselingen leidt naar verwachting tot een breder gebruik hiervan voor andere (niet aangewezen) gegevensuitwisselingen. Gedurende de implementatie van het wetsvoorstel zal worden gemonitord of de verwachte inzet van API’s voldoende op deze wijze tot stand komt of aanvullende actie noodzakelijk is.

VIII. Hoe wordt voorkomen dat door de hoeveelheid normerings- en certificeringstrajecten het onbedoelde effect optreedt van vertraging in lopende programma’s en innovaties?

Dit effect is niet waarschijnlijk. Ik verwacht eerder dat het wetsvoorstel eraan bijdraagt dat met het oog op een komende wettelijke verplichting ook initiatieven ontstaan voor het komen tot gezamenlijk gedragen standaarden, afspraken en eisen die breder toepasbaar zijn. Het wetsvoorstel werpt nu al zijn schaduw vooruit en versnelt daarmee nu al de digitalisering. Dit is te zien bij implementatietrajecten zoals eOverdracht en Medicatieoverdracht, waarvoor een wettelijke verplichting als sluitstuk beoogd is. Deze trajecten zijn al gestart en maken het mogelijk om na inwerkingtreding van het wetsvoorstel bij AMvB aangewezen te worden als een gegevensuitwisseling in spoor 1 of 2. Daarnaast hebben leveranciers al voorstellen gedaan voor technische afspraken voor de uitwisseling van de Basisgegevensset Zorg (hierna: BgZ) en beelduitwisseling, wat ook twee van de vier gegevensuitwisselingen zijn die op dit moment worden uitgewerkt. Ik vind het bemoedigend om te zien dat er al concrete stappen worden gezet voorafgaand aan de wetsbehandeling door uw Kamer.

IX. In hoeverre kan het veld elke 5 jaar zelf expliciet beoordelen of een norm aan herziening toe is en kan ook de bewuste keuze worden gemaakt dit niet te doen?

Volgens de spelregels van NEN worden normen minimaal eens in de 5 jaar gereviseerd. NEN bespreekt daartoe met het veld wat de ervaringen met de norm zijn en welke wijzigingen zijn gewenst. De mate waarin dit resulteert in daadwerkelijke revisie van de norm is afhankelijk van de (omvang van de) wijzigingsvoorstellen uit het veld.

X. Worden de kosten voor de herziening van de norm wederom door de overheid betaald, of moeten partijen die hier aan deel willen nemen dan – zoals gebruikelijk – zelf de kosten van deelname voor hun rekening nemen?

De afspraak is dat mijn ministerie de eerste jaren de kosten voor deze revisies op zich neemt. Verzoeken voor wijzigingen van normen kunnen door belanghebbenden op elk moment worden ingebracht. Dit is ook een kracht van normalisatie: op deze wijze kan mee worden gegaan met innovaties en nieuwe inzichten en de inspraak van experts.

XI. Bestaat de mogelijkheid om voor het hernieuwen van de certificering een verkort traject te doorlopen?

Ja, deze mogelijkheid bestaat. Certificering gebeurt op basis van certificatieschema’s die samen met zorgpartijen, leveranciers en certificerende instellingen worden opgesteld. In een dergelijk schema kan ook worden vastgelegd dat bij hernieuwen van de certificatie een verkort traject wordt doorlopen.

XII. Welke kosten gaan er in zijn algemeenheid gepaard met een verplicht certificeringsproces en de hiertoe ingerichte normenraad, normcommissie en werkgroepen? Wij zouden graag inzicht krijgen in een integrale inschatting van alle kosten gepaard gaand met:

Deze kosten verschillen per norm en de reikwijdte van de gegevensuitwisseling die de norm beslaat. Daarom zal voorafgaand aan het besluit om voor een gegevensuitwisseling een norm te ontwikkelen een MKBA worden uitgevoerd. In deze analyse worden ook de kosten van normontwikkeling en certificering meegenomen.

De kosten van NEN voor normontwikkeling worden in beginsel gedragen door mijn ministerie. De kosten voor revisies komen de komende jaren voor rekening van mijn ministerie. De kosten voor certificering worden -zoals gebruikelijk- gedragen door de ICT-leveranciers die de certificering aanvragen.

XIII. Hoe wordt voorkomen dat er een NEN-norm wordt opgeleverd die vooral een papieren tijger is en het veld deze vervolgens nog werkend moet zien te krijgen in de praktijk? Is hier een testproces voor voorzien vanuit NEN?

Het onder het wetsvoorstel verplichten van een norm dient als sluitstuk om te komen tot interoperabiliteit. Er lopen bijvoorbeeld al verschillende versnellingsprogramma’s (VIPP’s) waarin wordt gewerkt aan de implementatie van een aantal gegevensuitwisselingen. Hierbij zorgt aanwijzing van deze gegevensuitwisseling in een AMvB onder dit wetsvoorstel uiteindelijk ervoor dat de afspraken afdwingbaar worden, ook voor aanbieders van informatietechnologieproducten en -diensten in de zorg.

Binnen deze normeringstrajecten worden alle belanghebbenden betrokken, waarbij voornamelijk gekeken wordt welke gemaakte afspraken in het veld formeel kunnen worden vastgelegd. De eisen aan taal en techniek die leiden tot interoperabiliteit en die aanbieders van informatietechnologieproducten of -diensten in andere trajecten hebben doorgevoerd, kunnen ook worden benut in andere producten van deze aanbieders.

XIV. Hoe wordt omgegaan met de situatie dat een eerder gecertificeerd product opeens niet meer aan de eisen voldoet (al dan niet na aanpassing van de normen)? De gevolgen hiervan zijn zeer groot (mogelijkheid om een forse boete opgelegd te krijgen, mogelijke noodzaak om over te stappen naar een andere leverancier); dit kan zorgaanbieders voor een groot dilemma stellen.

In het wetsvoorstel wordt er rekening mee gehouden dat een zorgaanbieder zo min mogelijk wordt benadeeld als de leverancier niet voldoet aan de eisen om gecertificeerd te worden. Binnen elk certificeringstraject wordt een redelijk termijn gesteld en gecommuniceerd wanneer de implementatie van de nieuwe eisen gereed moet zijn. Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat het gestelde termijn onredelijk kort is, kan ik de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen.

XV. In paragraaf 8.2 van de memorie van toelichting wordt gesteld dat «het van groot belang is dat ook kleine aanbieders van informatietechnologieproducten of -diensten en potentiële nieuwe toetreders worden betrokken bij de ontwikkeling van de normen, om de positieve effecten op de marktwerking te kunnen realiseren». De verwachting is dat kleine leveranciers hier helemaal geen capaciteit voor hebben. Is voldoende rekening gehouden met de gevolgen die dit zal hebben op de marktwerking?

Eerdere normontwikkeling laat zien dat ook kleine zorgaanbieders van informatietechnologieproducten of -diensten zeer goed in staat zijn om zelf mee te werken aan de ontwikkelen van normen of zich hierbij te laten vertegenwoordigen. Een goed voorbeeld hiervan is de NTA norm 7516 voor veilig mailen en chatten in de zorg. Aan de ontwikkeling van deze norm hebben meerdere kleine aanbieders deelgenomen.

XVI. Hoe verhoudt de ontwikkeling van NEN-normen voor generieke functies zich tot de ontwikkeling van gemeenschappelijke voorzieningen die in deze functies voorzien? Hoe wordt voorkomen dat er generieke normen worden ontwikkeld voor generieke functies die zich lenen voor het onderbrengen in een gemeenschappelijke voorziening?

Zoals ik eerder aan uw Kamer heb laten weten (Kamerstukken II 2020/21, 27 529, nr. 230), stel ik een afwegingskader op om mijn precieze rol, sturingsvorm en in te zetten instrumentarium te bepalen om de benodigde ICT-infrastructuur in de zorg te realiseren. Dit is in lijn met de moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) die mij verzoeken om meer publieke regie en sturing te nemen op ICT-infrastructuur en aanpalende voorzieningen.

Bij het uitwisselen van gegevens in de zorg treffen we diverse functies aan die in veel uitwisselingen terugkomen, zogenaamde generieke functies. Voorbeelden van dergelijke generieke functies zijn identificatie, autorisatie van de zorgverlener en toestemming van de patiënt. Voor het bereiken van interoperabiliteit is het noodzakelijk om voor generieke functies eenduidige afspraken vast te leggen. Normering van deze afspraken is hierbij wenselijk. Normen zorgen voor consistente en breed gedragen eisen aan deze functies. Zo kan er bijvoorbeeld ook bij de uitwerking van de NEN-norm voor een aangewezen gegevensuitwisselingen vanuit deze norm eenduidig verwezen worden naar deze normen voor generieke functies.

Ik heb de NEN gevraagd om een werkgroep te starten die voor generieke functies een plan van aanpak ontwikkelen. Onder andere zal worden bepaald over welke functies met voorrang afspraken moeten worden gemaakt. De generieke functies, zoals deze zijn vastgesteld in het informatieberaad, vormen hierbij het uitgangspunt.

Het is denkbaar dat voor sommige generieke functies ook voorzieningen worden aangewezen. Of dat een of meerdere (onderdelen) van normen voor generieke functies uiteindelijk opgenomen worden ter verplichting.

De leden van de SGP-fractie vragen de regering of ook advies en consultatie is gevraagd aan mogelijke certificerende instellingen, aangezien deze organisaties een belangrijke rol zullen spelen bij de uitvoering van het wetsvoorstel. Zo ja, waarom is dit niet opgenomen in de toelichting? Zo nee, is de regering bereid om dit alsnog te doen?

In de voorbereiding van het wetsvoorstel hebben alle organisaties, dus ook certificerende instellingen, via een openbare consultatie de gelegenheid gehad om in te spreken op het wetsvoorstel. Daarnaast heb ik begin dit jaar de bereidheid onder certificerende instellingen om deel te nemen laten toetsen. Hieruit is gebleken dat de bereidheid groot is.

9.1 Toezicht- en handhaafbaarheidstoets IGJ

Het verzoek van de IGJ voor een ontheffing is niet overgenomen, zo lezen de leden van de VVD-fractie. Waarom niet? Wat zouden de gevolgen en voor- en nadelen zijn van een dergelijke ontheffing?

De IGJ heeft in zijn uitvoeringstoets aangegeven dat in de situatie dat een certificaat bij een informatietechnologieproduct- of dienst wordt ingetrokken, de zorgaanbieder in een situatie komt waarin hij moet overstappen op een ander product. Hierbij is denkbaar dat zorgaanbieders belemmeringen zullen ervaren, waardoor dit redelijkerwijs niet verlangd kan worden (bv. andere leveranciers kunnen niet snel genoeg in het gat springen, andere belangrijke ontwikkelingen worden teveel vertraagd). Om te voorkomen dat in dit geval onduidelijke gedoogsituaties ontstaan stelde de IGJ voor om een ontsnappingsmogelijkheid op te nemen in het wetsvoorstel, in de vorm van een tijdelijke ontheffing die de Minister kan verlenen, analoog aan een vergelijkbaar «noodmechanisme» in de Wet op de medische hulpmiddelen.

In overeenstemming met IGJ is voor een andere constructie gekozen die dit probleem ook adresseert. Op deze wijze worden (aanmerkelijke) administratieve lasten voorkomen die aan de orde kunnen komen bij het verwerken en beoordelen van ontheffingsverzoeken. Door de gekozen constructie wordt voorkomen dat er een gedoogsituatie ontstaat.

9.2 Uitvoering- en handhaafbaarheidstoets Nederlandse Zorgautoriteit (NZa)

De NZa maakt enkele opmerkingen over de mogelijke stijging van de zorgkosten, zo lezen de leden van de VVD-fractie. Kan hier nader op worden ingegaan? Om welke kosten gaat het dan? Hoe hoog zouden deze kosten kunnen zijn?

De NZa geeft aan dat of, en in welke omvang het wetsvoorstel tot kosten zal leiden, afhangt van de betreffende gegevensuitwisseling en de bijbehorende verplichtingen vanuit de AMvB. Er kan sprake zijn van meerkosten, maar ook van een verschuiving van kosten tussen zorgaanbieders die in verschillende sectoren werkzaam zijn. Hier zal per gegevensuitwisseling goed naar gekeken worden of het nodig is hiervoor te compenseren.

De NZa maakt enkele opmerkingen over de mogelijke stijging van de zorgkosten, zo schrijft de regering. De leden van de CDA-fractie vragen de regering wat deze opmerkingen waren van de NZa. Kan de regering hierbij aangeven waarom de NZa er juist niet van uit gaat dat de zorgkosten zullen dalen, omdat er van veel minder maatwerk sprake zal zijn?

De leden van de SGP-fractie hechten eraan het belang te onderstrepen van de uitvoerings- en handhaafbaarheidstoets van de NZa. Zij vragen de regering of er op basis van de gesprekken die de regering in de voorbereiding op dit wetsvoorstel met de NZa heeft gevoerd, al iets te melden valt over de vermoedelijke uitvoerbaarheid en handhaafbaarheid van de AMvB’s.

Elke AMvB waarin een of meer gegevensuitwisselingen worden aangewezen zal steeds getoetst worden op alle onderdelen die van belang zijn voor de uitvoerbaarheid en handhaafbaarheid, zoals benodigde toezicht capaciteit van de IGJ en AP, de financiële gevolgen van de verplichtstelling, de gevolgen voor de zorgaanbieders en zorgverleners, de gevolgen voor de rechtspraak, de gevolgen voor de regeldruk, en natuurlijk de gevolgen voor de cliënt.

9.3 Toets Adviescollege toetsing regeldruk (ATR)

De leden van de D66-fractie vragen graag een extra reactie van de regering op het feit dat meerdere partijen in de zorg aangeven dat er sprake is van omvangrijke bureaucratie door het beoogde normalisatie- en certificatieproces van individuele gegevensuitwisselingen. In de brief van meerdere brancheorganisaties wordt gesteld dat de normalisatietrajecten afleiden van de door het Informatieberaad aangewezen focusprogramma’s en de noodzakelijke versnelling in de ontwikkeling van een generieke, digitale infrastructuur. Hoe ziet de regering dit?

Dit effect is niet waarschijnlijk. Ik verwacht eerder dat het wetsvoorstel eraan bijdraagt dat met het oog op een komende wettelijke verplichting ook initiatieven ontstaan voor het komen tot gezamenlijk gedragen standaarden, afspraken en eisen die breder toepasbaar zijn. Het wetsvoorstel werpt nu al zijn schaduw vooruit en versnelt daarmee nu al de digitalisering. Dit is te zien bij implementatietrajecten zoals eOverdracht en Medicatieoverdracht, waarvoor een wettelijke verplichting als sluitstuk beoogd is. Deze trajecten zijn al gestart en maken het mogelijk om na inwerkingtreding van het wetsvoorstel bij AMvB aangewezen te worden als een gegevensuitwisseling in spoor 1 of 2. Daarnaast hebben leveranciers al voorstellen gedaan voor technische afspraken voor de uitwisseling van de Basisgegevensset Zorg (hierna: BgZ) en beelduitwisseling, wat ook twee van de vier gegevensuitwisselingen zijn die op dit moment worden uitgewerkt. Ik vind het bemoedigend om te zien dat er al concrete stappen worden gezet voorafgaand aan de wetsbehandeling door uw Kamer.

9.4 Toets Vereniging Nederlandse Gemeenten (VNG)

De leden van de VVD-fractie lezen eigenlijk alleen bij de toets van de VNG over het betreden van een woning zonder toestemming van de bewoner. Ook in de artikelsgewijze toelichting en in de toelichting komt dit eigenlijk verder niet uitgebreid aan de orde. Kan hier een uitgebreide toelichting op worden gegeven? Wat is nut en noodzaak van een dergelijke bevoegdheid? Waarvoor is het nodig om een woning te kunnen betreden in het kader van deze wet?

Artikel 4.1, tweede lid, is niet expliciet toegelicht in de artikelsgewijze toelichting, omdat in afdeling 7.1 van het algemeen deel van de memorie hier al een toelichting op is gegeven. Naar deze paragraaf wordt in de artikelsgewijze toelichting op artikel 4.1, tweede lid, verwezen. De toelichting op artikel 4.1, tweede lid, is naar aanleiding van inbreng door de VNG en de Raad voor de Rechtspraak aangevuld in de paragrafen 9.5 en 9.8 van het algemeen deel van de memorie.

Elke bepaling is in het algemeen of artikelsgewijze deel van de memorie van toelichting toegelicht, tenzij evident onnodig. Zo is het begripsomschrijving «Onze Minister» niet nader toegelicht. De toezichts- en handhavingsbepalingen in het voorliggende wetsvoorstel zijn overeenkomstig de toezichts- en handhavingsbepalingen van de Wkkgz. Dit omdat het wetsvoorstel randvoorwaardelijk is voor het verlenen van goede zorg, zoals dit is neergelegd in de Wkkgz. Bij de houden van toezicht en het handhaven waar nodig door de IGJ, zal steeds gekeken worden of door de zorgaanbieder goede zorg wordt verleend. Een onderdeel daarvan is of aan de randvoorwaarden wordt voldaan om goede zorg te verlenen, zoals bijvoorbeeld de aanwezigheid van voldoende deskundig personeel, middelen, en met de komst van onderhavig wetsvoorstel ook of gegevens worden uitgewisseld op de juiste wijze. Er is vanwege de verwevenheid van de Wkkgz en dit wetsvoorstel gekozen voor een overeenkomstig toezichts- en handhavingsregime. Een afwijkend regime zou voor onduidelijkheid zorgen.

De bevoegdheid tot het betreden van een woning zonder toestemming van de bewoner voor het toezicht op de regels, gesteld bij of krachtens het wetsvoorstel, kan noodzakelijk zijn als bijvoorbeeld een deel van de administratie of het computersysteem in de woning bij een huisartsenpraktijk is opgeslagen. De bevoegdheid voor de IGJ om zonder toestemming van de bewoner binnen te treden is in het licht van de eerbiediging van het privéleven (artikel 8 EVRM) ingrijpend. Daarom is de bevoegdheid beperkt tot woningen die deel uitmaken van een bouwkundige voorziening voor het verlenen van zorg. Daarnaast is op het binnentreden van een woning door de IGJ artikel 12 van de Grondwet van toepassing. Uit die bepaling volgt dat voorafgaande legitimatie en mededeling van het doel van het binnentreden is vereist en dat aan de bewoner een schriftelijk verslag van binnentreden wordt verstrekt. Bovendien is de Algemene wet binnentreden van toepassing. Op grond van de Algemene wet binnentreden is een machtiging vereist voor het betreden van de woning zonder toestemming. Dit alles maakt dat de IGJ zeer terughoudend met deze bevoegdheid om zal gaan.

De VNG wil graag nu al een integrale benadering (uitwisseling buiten de zorgdomeinen zoals Wmo, jeugd, pleegzorg en mantelzorg) en denkt daar graag over mee als belangrijke partner. De leden van de CDA-fractie vragen hoe de regering dit punt oppakt om tot een integrale benadering te komen.

Ik ben blij te constateren dat veel partijen, waaronder de VNG, positief zijn over het wetsvoorstel en hier bij betrokken willen zijn. Ik heb ervoor gekozen om met dit wetsvoorstel in eerste instantie in te zetten op verbetering van de gegevensuitwisseling in de zorgdomeinen, vanwege de uitvoerbaarheid. Daarom wil ik nu ook eerst met vier gegevensuitwisselingen voldoende ervaring opdoen. Die ervaringen wil ik gebruiken om de aanpak succesvol te verbreden. Ik zal daarbij ook zeker de VNG betrekken indien het college van burgemeester en wethouders als zorgaanbieder wordt aangewezen.

De leden van de SGP-fractie delen de analyse van de VNG dat dit wetsvoorstel lijkt te worden gedomineerd door de curatieve zorg. Kan de regering aangeven of zij van mening is dat het wetsvoorstel voldoende is toegesneden op ander zorgdomeinen, zoals de Wmo en de Jeugdzorg?

Het wetsvoorstel zoals het nu is vormgegeven is onvoldoende toegesneden op andere domeinen dan zorgdomeinen, zoals de jeugdhulp als bedoeld in de Jeugdwet en maatschappelijke ondersteuning als bedoeld in de Wmo 2015. De in het wetsvoorstel gemaakte keuze om de jeugdhulp en maatschappelijke ondersteuning nog niet mee te nemen, heeft te maken met de uitvoerbaarheid van het wetsvoorstel binnen die domeinen. De keuze om een gegevensuitwisseling alleen aan te wijzen voor zover de afspraken hierover zijn opgenomen in een kwaliteitsstandaard dan wel in wet- of regelgeving, maakt bijvoorbeeld dat het wetsvoorstel niet «zomaar» is uit te breiden tot andere domeinen. Overigens is de verwachting dat het wetsvoorstel een indirect positief effect zal hebben buiten de zorgdomeinen.

Volledigheidshalve merk ik dat de jeugdgezondheidszorg, bedoeld in de Wpg, wel onder de reikwijdte van dit wetsvoorstel valt.

De leden van de SGP-fractie vragen de regering te reflecteren op de suggestie van de VNG om meer aandacht te hebben voor het ««burgerperspectief»». Zij herinneren de regering eveneens aan het advies van de Raad van State om nadrukkelijker in te gaan op de gevolgen van dit wetsvoorstel voor burgers.

De suggestie van de VNG om meer aandacht te hebben voor het «burgerperspectief» neem ik uiteraard ter harte. Als gevolg van de inbreng van de VNG en de Afdeling Advisering van de Raad van State is in een extra ingevoegde paragraaf in het algemeen deel van de memorie van toelichting bij het voorliggende wetsvoorstel (paragraaf 8.1.2) nader ingegaan op de lasten voor cliënten te beschrijven.

Bovendien hebben burgers (cliënten) een belangrijke rol in de uitvoering van het wetsvoorstel. Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is in de eerste plaats een kwaliteitsstandaard nodig waarin is opgenomen welke gegevens met het oog op het verlenen van goede zorg moeten worden uitgewisseld. Het opstellen of wijzigingen van een kwaliteitsstandaard geschiedt tripartiet, dat wil zeggen door organisaties van cliënten samen met zorgaanbieders of zorgverleners en zorgverzekeraars of Wlz-uitvoerders. Wanneer een gegevensuitwisseling op de MJA Wegiz is geplaatst en de uitkomsten van de MKBA en volwassenheidscan positief zijn wordt gestart met de ontwikkeling van een NEN-norm. NEN nodigt belanghebbenden bij een norm, dus zeker ook (vertegenwoordigers van) cliënten, uit om deel te nemen aan de werkgroep die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook cliënten die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

Ik wil benadrukken dat dit wetsvoorstel uitgaat van en past binnen de internationale en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgt. Dit betekent dat er bijvoorbeeld niet uitgewisseld kan worden als er geen verwerkingsgrondslag is of doorbrekingsgrond voor het medisch beroepsgeheim. Bij de ontwikkeling van NEN-normen zal ik gezien het belang van privacy ook nog eens als richtinggevend kader meegeven dat de NEN-norm moet verzekeren dat een patiënt zijn rechten onder de AVG – bijv. een verzoek van een patiënt om bepaalde gegevens te verwijderen – kan effectueren. Hoe cliënten hun rechten onder de AVG kunnen effectueren zal concreet worden ingevuld bij de uitwerking van een AMvB en het opstellen van de bijbehorende NEN-norm.

Voor het wetsvoorstel is de bewuste keuze gemaakt om te starten met uitwisseling binnen- en tussen de zorgdomeinen om het beheersbaar te houden. De leden van de SGP-fractie ondersteunen de opmerking van de VNG dat het van belang is om al op korte termijn de afstemming te gaan zoeken met de VNG als het gaat om een integrale benadering, aangezien het uitdrukkelijk de bedoeling is dat het wetsvoorstel in een later stadium verder zal worden uitgebouwd. Kan de regering aangeven hoe het wetsvoorstel later ««uitgebouwd»» zou kunnen worden? Heeft de regering hier een visie op? Aan welke termijn moet worden gedacht?

Dit kan ik op dit moment nog niet beantwoorden. De in het wetsvoorstel gemaakte keuze om de jeugdhulp als bedoeld in de Jeugdwet en maatschappelijke ondersteuning als bedoeld in de Wmo 2015 nog niet mee te nemen, heeft te maken met de uitvoerbaarheid van het wetsvoorstel binnen die domeinen. De keuze om een gegevensuitwisseling alleen aan te wijzen voor zover de afspraken hierover zijn opgenomen in een kwaliteitsstandaard dan wel in wet- of regelgeving, maakt bijvoorbeeld dat het wetsvoorstel niet «zomaar» is uit te breiden tot andere domeinen. Overigens is de verwachting dat het wetsvoorstel een indirect positief effect zal hebben buiten de zorgdomeinen.

9.5 Toets Autoriteit Persoonsgegevens (AP)

De leden van de VVD-fractie vragen of ook overleg met de AP plaats heeft gevonden over de wijzigingen die wel en niet zijn doorgevoerd op basis van de toets. Zo nee, waarom niet? Wat was of is hun reactie op de niet overgenomen punten en eerdere bezwaren?

In aanloop naar de advisering door de AP heb ik met de AP overleg gehad. Tijdens dat overleg heb ik de achtergronden van het wetsvoorstel toegelicht en vragen van de AP beantwoord.

Het advies van de AP is aanleiding geweest om de memorie van toelichting op meerdere punten aan te passen en nader te motiveren. Hiermee is voor een belangrijk deel aan de bezwaren van de AP tegemoet gekomen. Echter gezien dit eerdere advies en de vragen die gesteld zijn door leden van verschillende fracties, heb ik bij deze nota naar aanleiding van het verslag een nota van wijziging gevoegd waarin ik verduidelijk dat bij of krachtens dit wetsvoorstel geen verplichting tot het uitwisselen van gegevens kan worden opgelegd aan zorgverleners.

De AP heeft in de eerste plaats gewezen op het risico dat de zorgverlener in een feitelijke dwangpositie komt die zijn beroepsgeheim kan aantasten en geadviseerd dit risico te adresseren. Met de nota van wijziging wordt dit risico weggenomen. Onderhavig wetsvoorstel leidt in geen enkel geval tot de situatie dat de zorgverlener in een positie gedwongen wordt om gegevens uit te wisselen. Ten aanzien van de overige onderdelen van het advies van de AP in aanvulling van wat ik daarover heb opgemerkt in de memorie van toelichting het volgende.

In het wetsvoorstel is de keuze gemaakt om alle eisen rondom «hoe uit te wisselen» onder onderhavig wetsvoorstel te regelen. Hiermee wordt voorkomen dat er op meerdere plekken in de wetgeving eisen worden gesteld over het «hoe uitwisselen van gegevens». Op deze wijze zijn alle eisen zoveel mogelijk geconcentreerd in één regeling. Dit geldt dus ook voor de beveiligingsnormen. Dit laat onverlet dat in beginsel aangesloten wordt bij generieke eisen zoals die nu ook al gelden voor zorgaanbieders, zoals de NEN 7510, 7512 en 7513. De inhoud verandert daarmee niet, alleen de grondslag van de verplichting.

Tot slot heeft de AP geadviseerd de delegatie van regelgevende bevoegdheid in artikel 1.4 concreter en nauwkeuriger te begrenzen. De begrenzing tot het doel als omschreven in artikel 1.2, eerste lid: «goede zorg als bedoeld in artikel 2, tweede lid, van de Wet kwaliteit, klachten en geschillen zorg» acht de AP onvoldoende concreet en nauwkeurig. Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats omdat het wetsvoorstel en de onderliggende AMvB geen afzonderlijke grondslagen zullen creëren voor de verwerking van persoonsgegevens en niet leidt tot een verplichting tot het uitwisselen van gegevens, wat ik verduidelijk met de bij deze nota naar aanleiding van het verslag gevoegde nota van wijziging. In de tweede plaats omdat wat onder goede zorg moet worden verstaan is omschreven in artikel 2 Wkkgz. Voor zover dit geen concrete en nauwkeurige begrenzing biedt, vindt deze plaats in de kwaliteitsstandaarden die door de tripartiete partijen worden opgesteld. In deze standaarden wordt immers vastgelegd welke (bijzondere) persoonsgegevens in het kader van goede zorg nodig zijn.

De leden van de D66-fractie lezen dat de AP bij de consultatie bezwaar heeft gemaakt tegen het conceptwetsvoorstel en geadviseerd heeft om procedure voor het wetsvoorstel te stoppen. Deze leden lezen dat de toelichting is aangepast op meerdere punten. Heeft de AP nog gereageerd op de reactie van de regering, gezien de eerdergenoemde bezwaren en enkele niet overgenomen punten? Zo nee, is de regering bereid die alsnog te vragen?

De AP heeft naar aanleiding van de reactie op haar advies niet naar mij toe gereageerd. Dat is ook niet gebruikelijk. Gezien het eerdere advies van de AP en de vragen die gesteld zijn door leden van verschillende fracties, heb ik bij deze nota naar aanleiding van het verslag een nota van wijziging gevoegd waarin ik verduidelijk dat bij of krachtens dit wetsvoorstel geen verplichting tot het uitwisselen van gegevens kan worden opgelegd aan zorgverleners. Dit komt alsnog tegemoet aan een belangrijk bezwaar van de AP die een risico signaleert dat de zorgverlener in een feitelijke dwangpositie komt die zijn beroepsgeheim kan aantasten. Daarnaast zal de AP nog een belangrijke rol spelen bij het aanwijzen van gegevensuitwisselingen, doordat de daadwerkelijke aanwijzing van een gegevensuitwisseling plaatsvindt bij AMvB. De concept-AMvB zal ter advisering aan de AP worden voorgelegd. Voordat ik dit doe, zal ik, waar opportuun, net als bij de totstandkoming van dit wetsvoorstel, met de AP in overleg gaan over de inhoud van de concept-AMvB in relatie tot het gegevensbeschermingsrecht.

Gelet op het vorenstaande zie ik geen aanleiding om, in afwijking van het reguliere moment waarop advies wordt gevraagd, de AP nogmaals om advies te vragen.

De leden van de GroenLinks-fractie lezen dat de AP heeft geadviseerd om het wetgevingstraject niet voort te zetten, maar ook dat de regering heeft geprobeerd tegemoet te komen aan de bezwaren van de AP. De leden van de GroenLinks-fractie vragen de regering om de AP nog een toets te laten doen, om zo te bezien of zij nog ernstige bezwaren hebben. Genoemde leden hechten hier zeer veel waarde aan, omdat niet alle punten van de AP zijn overgenomen.

Het advies van de AP is aanleiding geweest om de memorie van toelichting op meerdere punten aan te passen en nader te motiveren. Hiermee is voor een belangrijk deel aan de bezwaren van de AP tegemoet gekomen. Echter gezien dit eerdere advies en de vragen die gesteld zijn door leden van verschillende fracties, heb ik bij deze nota naar aanleiding van het verslag een nota van wijziging gevoegd waarin ik verduidelijk dat bij of krachtens dit wetsvoorstel geen verplichting tot het uitwisselen van gegevens kan worden opgelegd aan zorgverleners.

De AP heeft in de eerste plaats gewezen op het risico dat de zorgverlener in een feitelijke dwangpositie komt die zijn beroepsgeheim kan aantasten en geadviseerd dit risico te adresseren. Met de nota van wijziging wordt dit risico weggenomen. Onderhavig wetsvoorstel leidt in geen enkel geval tot de situatie dat de zorgverlener in een positie gedwongen wordt om gegevens uit te wisselen. Ten aanzien van de overige onderdelen van het advies van de AP in aanvulling van wat ik daarover heb opgemerkt in de memorie van toelichting het volgende.

In het wetsvoorstel is de keuze gemaakt om alle eisen rondom «hoe uit te wisselen» onder onderhavig wetsvoorstel te regelen. Hiermee wordt voorkomen dat er op meerdere plekken in de wetgeving eisen worden gesteld over het «hoe uitwisselen van gegevens». Op deze wijze zijn alle eisen zoveel mogelijk geconcentreerd in één regeling. Dit geldt dus ook voor de beveiligingsnormen. Dit laat onverlet dat in beginsel aangesloten wordt bij generieke eisen zoals die nu ook al gelden voor zorgaanbieders, zoals de NEN 7510, 7512 en 7513. De inhoud verandert daarmee niet, alleen de grondslag van de verplichting.

Tot slot heeft de AP geadviseerd de delegatie van regelgevende bevoegdheid in artikel 1.4 concreter en nauwkeuriger te begrenzen. De begrenzing tot het doel als omschreven in artikel 1.2, eerste lid: «goede zorg als bedoeld in artikel 2, tweede lid, van de Wet kwaliteit, klachten en geschillen zorg» acht de AP onvoldoende concreet en nauwkeurig. Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats omdat het wetsvoorstel en de onderliggende AMvB geen afzonderlijke grondslagen zullen creëren voor de verwerking van persoonsgegevens en niet leidt tot een verplichting tot het uitwisselen van gegevens, wat ik verduidelijk met de bij deze nota naar aanleiding van het verslag gevoegde nota van wijziging. In de tweede plaats omdat wat onder goede zorg moet worden verstaan is omschreven in artikel 2 Wkkgz. Voor zover dit geen concrete en nauwkeurige begrenzing biedt, vindt deze plaats in de kwaliteitsstandaarden die door de tripartiete partijen worden opgesteld. In deze standaarden wordt immers vastgelegd welke (bijzondere) persoonsgegevens in het kader van goede zorg nodig zijn.

Daarnaast zal de AP nog een belangrijke rol spelen bij het aanwijzen van gegevensuitwisselingen, doordat de daadwerkelijke aanwijzing van een gegevensuitwisseling plaatsvindt bij AMvB. De concept-AMvB zal ter advisering aan de AP worden voorgelegd. Voordat ik dit doe, zal ik, waar opportuun, net als bij de totstandkoming van dit wetsvoorstel, met de AP in overleg gaan over de inhoud van de concept-AMvB in relatie tot het gegevensbeschermingsrecht.

Gelet op het vorenstaande zie ik geen aanleiding om, in afwijking van het reguliere moment waarop advies wordt gevraagd, de AP nogmaals om advies te vragen.

De leden van de PvdD-fractie begrijpen dat de AP stevige kritiek had op het conceptwetsvoorstel, en dat een gedeelte hiervan vervolgens is meegenomen door de regering. Waarom heeft de regering niet alle kritiek overgenomen? Kan de regering verduidelijken waarom zij de kritiek niet herkende? Heeft de AP gereageerd op de reactie van de regering?

Het advies van de AP is aanleiding geweest om de memorie van toelichting op meerdere punten aan te passen en nader te motiveren. Hiermee is voor een belangrijk deel aan de bezwaren van de AP tegemoet gekomen. Echter gezien dit eerdere advies en de vragen die gesteld zijn door leden van verschillende fracties, heb ik bij deze nota naar aanleiding van het verslag een nota van wijziging gevoegd waarin ik verduidelijk dat bij of krachtens dit wetsvoorstel geen verplichting tot het uitwisselen van gegevens kan worden opgelegd aan zorgverleners.

De AP heeft in de eerste plaats gewezen op het risico dat de zorgverlener in een feitelijke dwangpositie komt die zijn beroepsgeheim kan aantasten en geadviseerd dit risico te adresseren. Met de nota van wijziging wordt dit risico weggenomen. Onderhavig wetsvoorstel leidt in geen enkel geval tot de situatie dat de zorgverlener in een positie gedwongen wordt om gegevens uit te wisselen. Ten aanzien van de overige onderdelen van het advies van de AP in aanvulling van wat ik daarover heb opgemerkt in de memorie van toelichting het volgende.

In het wetsvoorstel is de keuze gemaakt om alle eisen rondom «hoe uit te wisselen» onder onderhavig wetsvoorstel te regelen. Hiermee wordt voorkomen dat er op meerdere plekken in de wetgeving eisen worden gesteld over het «hoe uitwisselen van gegevens». Op deze wijze zijn alle eisen zoveel mogelijk geconcentreerd in één regeling. Dit geldt dus ook voor de beveiligingsnormen. Dit laat onverlet dat in beginsel aangesloten wordt bij generieke eisen zoals die nu ook al gelden voor zorgaanbieders, zoals de NEN 7510, 7512 en 7513. De inhoud verandert daarmee niet, alleen de grondslag van de verplichting.

Tot slot heeft de AP geadviseerd de delegatie van regelgevende bevoegdheid in artikel 1.4 concreter en nauwkeuriger te begrenzen. De begrenzing tot het doel als omschreven in artikel 1.2, eerste lid: «goede zorg als bedoeld in artikel 2, tweede lid, van de Wet kwaliteit, klachten en geschillen zorg» acht de AP onvoldoende concreet en nauwkeurig. Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats omdat het wetsvoorstel en de onderliggende AMvB geen afzonderlijke grondslagen zullen creëren voor de verwerking van persoonsgegevens en niet leidt tot een verplichting tot het uitwisselen van gegevens, wat ik verduidelijk met de bij deze nota naar aanleiding van het verslag gevoegde nota van wijziging. In de tweede plaats omdat wat onder goede zorg moet worden verstaan is omschreven in artikel 2 Wkkgz. Voor zover dit geen concrete en nauwkeurige begrenzing biedt, vindt deze plaats in de kwaliteitsstandaarden die door de tripartiete partijen worden opgesteld. In deze standaarden wordt immers vastgelegd welke (bijzondere) persoonsgegevens in het kader van goede zorg nodig zijn.

De AP heeft naar aanleiding van de reactie op haar advies niet naar mij toe gereageerd. Dat is ook niet gebruikelijk.

De leden van de PvdD-fractie vragen aan de regering wat de verwachte extra werkdruk gaat zijn voor de AP naar aanleiding van dit wetsvoorstel. Daarbij vragen deze leden hoe hier rekening mee wordt gehouden bij de uitvoering van de motie Hijink c.s.?

Ik verwacht weinig tot geen extra werkdruk bij de AP. Met het wetsvoorstel heb ik ervoor gekozen dat informatietechnologieproducten en -diensten gecertificeerd dienen te zijn. Met een certificaat toont de leverancier aan dat het product of de dienst voldoet aan de NEN-norm die voor de aangewezen gegevensuitwisseling wordt opgesteld. Certificaten worden verleend door door mij aangewezen certificerende instellingen, die door de Raad voor Accreditatie geaccrediteerd dienen te zijn. Ik houd toezicht op het stelsel van certificering, waarbij de IGJ een signalerende rol heeft. De AP kan in aansluiting op dit stelsel toezicht houden op afstand, waarbij ik besef dat de AP als onafhankelijk toezichthouder zelf bepaalt op welke wijze zij toezicht houdt en hoe zij haar prioriteiten stelt. Dit wetsvoorstel gaat niet over of en wat wordt uitgewisseld en biedt om die reden geen grondslag om (bijzondere) persoonsgegevens te verwerken, maar bepaalt wel hoe uitgewisseld wordt, waarbij de in de AVG opgenomen bepalingen over de rechten van betrokkenen, beveiliging en privacy by design dienen te worden in acht genomen. In de NEN-norm per gegevensuitwisseling zal daaraan invulling worden gegeven. Hierbij wordt de toezichtstaak van de AP niet vergroot. De AP houdt immers al toezicht op de reeds bestaande uitwisseling van gezondheidsgegevens van een cliënt tussen zorgverleners en de beveiliging van de gegevens die worden uitgewisseld. Ondanks dat naar verwachting in algemene zin geen extra capaciteit nodig is, zal steeds bij het opstellen van de AMvB’s per gegevensuitwisseling aandacht besteed worden aan de verwachtte gevolgen voor de AP als toezichthouder. Daarbij zal rekening worden gehouden met de motie van het lid Hijink c.s. (Kamerstukken II 2020/21, 27 529, nr. 240). In de nota van toelichting bij de (wijzigings-)AMvB’s zal steeds worden ingegaan op de gevolgen voor de AP. Dit alles geschiedt in overleg met de toezichthouder.

9.6 Raad voor Rechtsbijstand

In de uitvoeringstoets gaat de Raad voor de Rechtsbijstand in op de uitwisseling van medische gegevens in het kader van piketmeldingen bij een crisismaatregel. In het wetsvoorstel is geregeld dat artikel 8.22, tweede lid van de Wvggz en artikel 18c, zesde lid van de Wzd niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen elektronische gegevensuitwisseling. De leden van de CDA-fractie vragen de regering om een nadere toelichting waarom de Wvggz en Wzd niet onder het bereik van de Wegiz komen te vallen.

De reikwijdte van het wetsvoorstel is overeenkomstig de reikwijdte van de Wkkgz. Anders dan de leden van de CDA-fractie stellen, valt zorg als bedoeld in de Wvggz en Wzd in beginsel binnen de reikwijdte van de Wkkgz en dus dit wetsvoorstel. Echter, in bepaalde gevallen moet zorg als bedoeld in de Wvggz en Wzd gekwalificeerd worden als jeugdhulp in de zin van de Jeugdwet of maatschappelijke ondersteuning als bedoeld in de Wmo 2015. Daarop is de Wkkgz en het voorliggende wetsvoorstel niet van toepassing.

9.7 Internetconsultatie

De leden van de VVD-fractie zijn altijd groot voorstander van innovatie in de zorg. Een aantal respondenten heeft hun zorgt geuit dat normalisatie innovatie belemmert. Kan hier een uitgebreide toelichting op gegeven worden? Wat betekent deze wet voor innovatie in de zorg? Waardoor zouden belemmeringen kunnen ontstaan?

Dit wetsvoorstel kan mogelijk beperkende effecten hebben op de innovatie, doordat zorgaanbieders worden verplicht om binnen de aangewezen gegevensuitwisselingen gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten en het certificaat voor een product of dienst alleen wordt verleend als voldaan is aan de eisen die opgenomen zijn in een aangewezen (Nederlandse) norm. Dit kan tot gevolg hebben dat aanbieders van informatietechnologieproducten of -diensten ervoor kiezen om hun innovatieve producten niet op de Nederlandse markt aan te bieden. Kleine aanbieders van innovatieve producten of -diensten kunnen de kosten die zij moeten maken voor certificering en het aanpassen van hun producten of diensten over minder klanten spreiden en zullen daarom op prijs minder makkelijk kunnen concurreren met grote aanbieders. Dit kan ertoe leiden dat deze kleine aanbieders niet meer mee kunnen doen op de markt. Wel is mijn verwachting dat des te meer gegevensuitwisselingstrajecten zijn afgerond, des te lager gemiddeld genomen de kosten worden voor aanbieders van ICT-producten om te voldoen aan de gestelde eisen in de normen onder dit wetsvoorstel. De eisen aan techniek die leiden tot interoperabiliteit en die aanbieders van informatietechnologieproducten of -diensten in andere trajecten hebben doorgevoerd, zullen door hergebruik ook worden benut in andere producten van deze aanbieders.

Anderzijds verwacht ik dat het wetsvoorstel ook positieve effecten heeft op innovatie. Het stellen van eisen aan informatietechnologieproducten of -diensten beperkt naar verwachting de afhankelijkheid van klanten van hun leverancier voor deze producten en diensten, omdat ze met minder omschakelingskosten of ongemak in staat zijn om te wisselen naar een leverancier die een innovatiever product of innovatievere dienst levert. Ook leidt het stellen van eisen ertoe dat producten en diensten volledig interoperabel worden. Dit maakt het voor aanbieders van innovatieve producten of diensten makkelijker om toe te treden tot de zorgmarkt. Het wordt namelijk minder makkelijk om klanten en data af te schermen voor andere aanbieders, zodat zorgaanbieders makkelijker over kunnen stappen naar een ander product of een andere dienst. Ook zorgt dit ervoor dat nieuwe innovatieve producten en diensten eenvoudiger aangesloten kunnen worden op de bestaande informatietechnologieproducten en – diensten. Normalisatie is hierdoor juist de motor voor innovatie.

Om de positieve effecten van het wetsvoorstel te kunnen realiseren, is het van groot belang dat ook kleine aanbieders van informatietechnologieproducten of -diensten en potentiële nieuwe toetreders worden betrokken bij de ontwikkeling van de normen. Dit is geborgd door de werkwijze van NEN.

De leden van de D66-fractie vragen de regering te reageren op de stelling van de FMS dat met het wetsvoorstel wordt bepaald «wat» verplicht moet worden vastgelegd en uitgewisseld, maar dat over het «hoe» in de praktijk zijn geen afspraken gemaakt en dat zij het een reëel risico achten dit wetsvoorstel de gegevensuitwisseling vooral op papier realiseert.

Ik herken mij niet in het beeld zoals geschetst wordt. Met dit wetsvoorstel wordt het mogelijk om bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens uitgewisseld moeten worden. Dit betekent dat in de AMvB een duidelijke koppeling wordt gemaakt tussen welke gegevens uitgewisseld moeten worden die noodzakelijk zijn voor het leveren van goede zorg aan de cliënt en hoe die uitwisseling moet plaatsvinden.

In spoor 2 worden bij AMvB eisen gesteld die zien op de vraag hoe gegevens uitgewisseld moeten worden. In de AMvB wordt verwezen naar een NEN-norm die alle eisen voor een specifieke gegevensuitwisseling beschrijft. Normalisatie is al eerder succesvol ingezet en een bekend instrument bij het zorgveld en de aanbieders van informatietechnologieproducten of -diensten.

10. EVALUATIE, OVERGANGSRECHT EN INWERKINGTREDING

10.1 Evaluatie

De regering geeft aan dat zij de wet eens per vijf jaar wil evalueren. ICT-ontwikkelingen gaan echter supersnel. De wetgever loopt snel achter op technologische ontwikkelingen. De leden van de CDA-fractie vragen waarom niet een (tussen)evaluatie na bijvoorbeeld twee jaar wordt uitgevoerd.

In het wetsvoorstel is voor een systematiek gekozen die los staat van technologische ontwikkelingen. Er worden in het wetsvoorstel geen technische eisen gesteld, en ook in de AMvB worden in spoor 2 geen technische eisen gesteld. De eisen aan de gegevensuitwisseling worden in de van toepassing zijnde norm gesteld, waarnaar statisch zal worden verwezen. In de norm zelf zal, waar nodig, wel dynamisch worden verwezen naar onderliggende gedetailleerde standaarden, zoals bijvoorbeeld informatiestandaarden van Nictiz. Deze standaarden worden meerdere malen per jaar aan de stand der techniek aangepast. Om de rechtszekerheid te waarborgen geldt dat bij dergelijke ongedateerde verwijzingen de laatste versie van het document (met inbegrip van wijzigingsbladen) waarnaar is verwezen van toepassing is. Vervolgens zal in het certificeringsschema opgenomen worden aan de hand van welke versie het certificaat getoetst wordt. Vanuit dit oogpunt acht ik het daarom niet noodzakelijk al na twee jaar te evalueren.

10.2 Overgangsrecht

Het accreditatieproces zal naar verwachting achttien maanden in beslag nemen, zo schrijft de regering. De leden van de CDA-fractie vragen wat dit betekent voor het tijdpad. Waarom kan dit niet sneller?

In de eerste plaats merk ik op dat de 18 maanden het volledige accreditatieproces is. Een certificerende instelling zal als onderdeel van het accreditatieproces ook daadwerkelijk een of meerdere certificeringen moeten verrichten om aan te tonen dat de instelling voldoende gekwalificeerd is. De inwerkingtreding van een AMvB waarin een gegevensuitwisseling wordt aangewezen is daarmee niet afhankelijk van de duur van het accreditatieproces. Ten tweede verwacht ik dat naarmate er meer gegevensuitwisselingen zijn aangewezen, de duur van het accreditatieproces zal versnellen. Vaak zal immers niet een volledig accreditatieproces meer hoeven te worden doorlopen, maar zal alleen beoordeeld worden of de instelling die al voor één of meer gegevensuitwisselingen is geaccrediteerd, voldoet aan de extra eisen voor een nieuwe gegevensuitwisseling.

10.3 Inwerkingtreding

De leden van de VVD-fractie lezen dat er momenteel dertien concept gegevensuitwisselingen in beeld zijn. Daarvan worden momenteel vier nader uitgewerkt, te weten Digitaal receptenverkeer, Ziekenhuizen BgZ, Verpleegkundige overdracht en Beeld-Ziekenhuizen. Bij twee van de drie hebben deze leden wel een beeld, maar wat houden Ziekenhuizen BgZ en Beeld-Ziekenhuizen precies in? Waarom is voor deze vier gekozen? Hoe is de selectie tot stand gekomen? Hoe worden zorgverleners in de verschillende ketens betrokken bij de selectie en invulling?

Met Ziekenhuizen BgZ wordt bedoeld Basisgegevensset Zorg. De BgZ is een verzameling zorginformatiebouwstenen (zibs) die bestaat uit gezondheidsgegevens waarvan het veld aangeeft dat deze (bijna) altijd nodig zijn voor continuïteit van zorg. Beeld-Ziekenhuizen omvat uitwisseling van medische beelden en bijbehorend verslag (meer specifiek radiologiebeelden en verslagen).

Na advies van het Informatieberaad Zorg, zijn in 2019 dertien gegevensuitwisselingen geselecteerd. Daarvan worden momenteel vier gegevensuitwisselingen nader uitgewerkt.

Bij de uitwerking van de vier gegevensuitwisselingen worden uiteraard de zorgverleners betrokken. Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is in de eerste plaats een kwaliteitsstandaard nodig waarin is opgenomen welke gegevens met het oog op het verlenen van goede zorg moeten worden uitgewisseld. Het opstellen of wijzigen van een kwaliteitsstandaard geschiedt tripartiet, dat wil zeggen door zorgaanbieders of zorgverleners, organisaties van cliënten, en zorgverzekeraars of Wlz-uitvoerders. Voor zover er een NEN-norm verplicht wordt gesteld, is relevant dat NEN alle belanghebbenden bij een norm, waaronder zorgverleners, uitnodigt om deel te nemen aan de werkgroep die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook zorgverleners die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

Voor de selectie van nieuwe prioritaire gegevensuitwisselingen die in de geactualiseerde MJA Wegiz opgenomen kunnen worden, is inmiddels een proces vormgegeven.

De leden van de VVD-fractie zien vooral ook bij de spoedeisende zorg (ambulance, SEH) voordelen van elektronische gegevensuitwisseling. Waarom is daar niet voor gekozen? En dekt «ambulance-overdracht» de volledige spoedeisende zorg?

Ik deel de mening dat er ook bij de spoedeisende zorg voordelen zijn van elektronische gegevensuitwisseling. Het veld deelt dit ook. Binnen het Programma Met spoed beschikbaar, een samenwerking tussen veldpartijen en ook VWS, wordt daarom gewerkt aan elektronische uitwisseling van gegevens in de acute zorg. Op dit moment heeft het de voorkeur om eerst binnen dit programma verdere stappen te zetten. Een eventuele wettelijke verplichting om (gestandaardiseerd) elektronisch gegevens uit te wisselen is immers bedoeld als sluitstuk. Na het afronden van het programma zal samen met de organisaties opnieuw gekeken worden naar het opnemen van de gegevensuitwisseling op de MJA Wegiz.

Ambulance-overdracht dekt niet de volledige spoedeisende zorg. Er zijn meerdere uitwisselingen die onderdeel zijn hiervan, bijvoorbeeld gegevensuitwisselingen tussen de huisarts, huisartsenpost, ambulancedienst en afdeling spoedeisende hulp. Deze uitwisselingen zijn overigens ook onderdeel van het Programma Met spoed beschikbaar.

De leden van de VVD-fractie zien bovendien grote voordelen bij medicatie verstrekken en toedienen. Deze is ook niet geselecteerd als een van de eerste vier. Waarom niet?

Laat ik vooropstellen dat ik de grote voordelen bij medicatie verstrekken en toedienen ook zie, het zorgveld heeft voor nu echter andere gegevensuitwisselingen processen geprioriteerd. Ik stimuleer wel het landelijke Programma Medicatieoverdracht. Het programma Medicatieoverdracht werkt aan goede en complete elektronische overdracht van medicatiegegevens.

De leden van de VVD-fractie vragen of er een indicatie gegeven kan worden van de meerjarenplanning van de concept-gegevensuitwisselingen? En wat ontbreekt er na deze eerste dertien nog voor een goede elektronische gegevensuitwisseling in de zorg?

De leden van de D66-fractie vragen de regering of zorgaanbieders en leveranciers van software voldoende zijn voorbereid op de komst van deze wet. Of is de verwachting dat na inwerkingtreding er voldoende tijd is voor partijen om zich alsnog voor te bereiden voor de geldende verplichtingen? Zo ja, hoe lang zal het duren voordat de eerste gegevensuitwisseling via deze wet echt van kracht is?

Als onderdeel van de voorbereiding van het wetsvoorstel heb ik zorgaanbieders en ICT-leveranciers op verschillende momenten geïnformeerd over de inhoud van het wetsvoorstel (bijvoorbeeld via online bijeenkomsten). Daarnaast hebben zorgaanbieders en leveranciers de gelegenheid gekregen om via internetconsultatie te reageren op het wetsvoorstel.

De verplichtingen die uit het wetsvoorstel voortvloeien voor zorgaanbieders en leveranciers zullen stap voor stap, gegevensuitwisseling per gegevensuitwisseling ingaan. Pas als een gegevensuitwisseling bij AMvB is aangewezen en de AMvB inwerking is getreden, gaan de verplichtingen gelden voor zover het om die betreffende gegevensuitwisseling gaat. Bij de ontwikkeling van de AMvB en de NEN-norm – in het geval van een spoor 2-aanwijzing – wordt het veld betrokken. Om betrokken partijen voldoende tijd te geven om zich voor te bereiden op en te voldoen aan de bij AMvB gestelde eisen, zal bovendien tussen de publicatie van de AMvB en inwerkingtreding van die AMvB een dan nader te bepalen termijn in acht worden genomen.

Zoals beschreven in de brief ik uw Kamer heb toegezonden in het kader van de aanbieding van het wetsvoorstel (Kamerstukken II 2020/21, 27 529, nr. 263) zal de eerste gegevensuitwisseling, als het wetsvoorstel wordt aangenomen, naar verwachting in 2023 in werking treden. Bij het bepalen van de exacte datum van inwerkingtreding zal uiteraard rekening worden gehouden met de mogelijkheden voor zorgaanbieders en leveranciers om zich op de inwerkingtreding van deze verplichting voor te bereiden.

Er zijn momenteel dertien (concept)gegevensuitwisselingen in beeld. Daarvan worden momenteel vier nader uitgewerkt. Bij deze vier concept gegevensuitwisselingen zijn er nog geen (passende) kwaliteitsstandaarden of is de kwaliteitsstandaard niet specifiek genoeg als basis voor een wettelijke verplichting op grond van de dit wetsvoorstel. De leden van de CDA-fractie vragen wat de planning hierbij is. Wanneer zouden deze kwaliteitsstandaarden op zijn vroegst uitgewerkt kunnen zijn? In hoeverre worden zorgpartijen meegenomen in het bepalen van deze tijdspaden?

De leden van de CDA-fractie vragen op welke manieren zorgpartijen de komende periode inhoudelijk worden betrokken bij de totstandkoming van de AMvB. Hoe ziet het vervolgtraject eruit nadat het wetsvoorstel wordt aangenomen? Wordt dit traject vanuit de ministeries bedacht, of worden zorgpartijen hierbij betrokken?

Nadat een gegevensuitwisseling op de MJA Wegiz is geplaatst, zal gestart worden met een MKBA en een volwassenheidscan. Het zorgveld wordt bij deze toetsing betrokken. Naar aanleiding van deze toets zal in de eerste plaats bezien worden of overgegaan wordt tot een aanwijzing in spoor 2 die zal leiden tot volledige interoperabiliteit of dat in eerste instantie gekozen wordt voor een spoor 1 aanwijzing.

In het eerste geval zal -indien de uitkomsten van de MKBA en volwassenheidscan positief zijn – ik opdracht geven aan de NEN voor het opstellen van een NEN-norm voor de beoogde verplichte gegevensuitwisseling. Alle belanghebbende zorgpartijen zullen worden uitgenodigd om deel te nemen aan de in te stellen werkgroep waarin de NEN-norm wordt ontwikkeld. Als blijkt dat er al een geschikte norm is die leidt tot een interoperabele gegevensuitwisseling, zal van die norm gebruik worden gemaakt. Bij de vraag of er een geschikte norm is worden ook alle zorgpartijen betrokken. Wanneer de NEN-norm wordt ontwikkeld zal gelijktijdig gestart worden met de concept-AMvB.

Zoals aangegeven in paragraaf 2.3.1 zijn er momenteel dertien concept-gegevensuitwisselingen in beeld, zo lezen de leden van de SGP-fractie. Geen van de kwaliteitsstandaarden op basis waarvan gegevensuitwisseling zou kunnen worden gebaseerd lijkt specifiek genoeg als basis voor een wettelijke verplichting op grond van de dit wetsvoorstel. Wanneer verwacht de regering dat de gegevensuitwisselingen gereed zijn om aan de lijst toegevoegd te worden en de kwaliteitsstandaarden gereed zijn om als grondslag te dienen? Heeft dit nog consequenties voor de datum van inwerkingtreding van de wet?

De gegevensuitwisselingen die in 2019 zijn opgenomen op de voorloper van de MJA Wegiz zijn opgenomen na overleg met het Informatieberaad Zorg. Vier van deze gegevensuitwisselingen worden momenteel tot een aanwijzing onder het wetsvoorstel uitgewerkt. De in het wetsvoorstel beschreven systematiek gaat uit van passende kwaliteitsstandaarden. Het is aan namelijk aan het zorgveld om te bepalen welke gegevens uitgewisseld moeten worden voor het verlenen van goede zorg. Wanneer deze afspraken in een kwaliteitsstandaard zijn vastgelegd, is verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk via het register van het Zorginstituut, en is geborgd dat alle partijen die een belang hebben betrokken zijn. Dit is geregeld in de Zorgverzekeringswet en met ingang van 1 juli 2021 in de Wkkgz. Een andere mogelijkheid die het wetsvoorstel biedt is dat de afspraken worden neergelegd in wet- en regelgeving. Omdat voor de vier reeds geprioriteerde gegevensuitwisselingen nog geen passende kwaliteitsstandaard of wettelijke basis aanwezig is, wordt bij deze gegevensuitwisselingen voor de aanwezigheid van een kwaliteitsstandaard een overgangstermijn gehanteerd van 5 jaar (door artikel 1.4, tweede lid, pas vijf jaar na inwerkingtreding van artikel 1.4, eerste lid, in werking te laten treden). Indien noodzakelijk kan deze overgangstermijn ook worden gehanteerd voor de overige negen gegevensuitwisselingen die op de MJA Wegiz staan. Voor de overige gegevensuitwisselingen geldt dat er plaatsing van gegevensuitwisselingen op de MJA Wegiz een passende kwaliteitsstandaard of wettelijke basis aanwezig moet zijn of in ontwikkeling moet zijn.

Voor de overige gegevensuitwisselingen op de MJA Wegiz zal eerst in de voorbereidingsfase een MKBA en een volwassenheidsscan worden uitgevoerd. Pas na het uitvoeren hiervan kan een goed onderbouwde uitspraak worden gedaan over de termijn waarop de gegevensuitwisselingen gerealiseerd kunnen worden.

De leden van de SGP-fractie lezen dat voor de dertien concept gegevensuitwisselingen een overgangsperiode van vijf jaar gaat gelden waarin wat wordt uitgewisseld nog niet neergelegd hoeft te zijn in een kwaliteitsstandaard of in wetgeving. Gedurende deze periode kunnen de gegevensuitwisselingen wel aangewezen worden bij AMvB (artikel 1.4, eerste lid), maar zullen parallel de benodigde kwaliteitsstandaarden opgesteld respectievelijk aangepast moeten worden of eventueel in wet- of regelgeving moeten worden vastgelegd (artikel 1.4, tweede lid). Kan de regering toelichten hoe zij dit proces precies voor zich ziet?

Voor een aantal van de vier gegevensuitwisselingen die momenteel uitgewerkt worden geldt dat er al afspraken zijn waarbij bepaald is welke gegevens worden uitgewisseld. Voor Digitaal voorschrijven en ter hand stellen is dit de informatiestandaard Medicatieproces 9.0 waarin staat welke gegevens door welke zorgverlener op welk moment worden uitgewisseld. Voor Ziekenhuizen Bgz is ook een informatiestandaard ontwikkeld die bepaalt welke gegevens ten minste van een patiënt beschikbaar moeten zijn.

De leden van de SGP-fractie merken overigens op dat er een evaluatiebepaling is opgenomen in het wetsvoorstel waardoor eveneens binnen vijf jaar een evaluatie van de wet plaatsvindt. Hoe verhouden evaluatie en overgangsperiode zich tot elkaar?

De termijnen zijn niet onlosmakelijk met elkaar verbonden, maar de duur van de overgangsperiode is inderdaad mede gekozen met het oog op de evaluatie termijn. In de evaluatie zal ook aandacht besteed worden aan het gekozen wettelijke stelsel, waaronder de rol van de kwaliteitsstandaarden daarin.

11. Overig

De leden van de PvdD-fractie zien mogelijkheden voor een gefaseerde regionale uitrol van het wetsvoorstel. Deze regionale uitrol zou mogelijk zijn wanneer er privacybestendig, niet elektronisch verplicht, en er met een decentrale digitale infrastructuur gewerkt gaat worden. Is de regering bereid, wanneer aan het voorgaande voldaan is, een regionale proef op te starten? Zo ja, op welke termijn denkt de regering dit te kunnen doen?

Met de leden van de PvdD-fractie constateer ik dat regionale proeven bijdragen aan het mogelijk maken van elektronische gegevensuitwisseling. Conform de amendementen Van den Berg/Veldman (Kamerstuk II 2019/20, 35 300 XVI, nr. 28) en amendement Van den Berg c.s. (Kamerstuk II 2020/21, 35 570 XVI, nr. 61) stimuleer ik sinds 2020 pilots die gericht zijn op cross-sectorale gegevensuitwisseling in de regio. Zo ben ik gestart met het ondersteunen van de ontwikkeling van een digitaal regionaal zorgplatform in de provincie Zeeland en verken ik mogelijkheden voor pilots in Limburg en de Achterhoek. Daarbij richt ik me op de randvoorwaarden die nodig zijn om de gegevensuitwisseling op gang te brengen.

II. ARTIKELGEWIJZE TOELICHTING

Artikel I

De leden van de VVD-fractie lezen dat in artikel 1.5, eerste lid, dat het voor de zorg die wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra vanuit veiligheidsoverwegingen noodzakelijk kan zijn dat op een andere wijze gegevens worden uitgewisseld en dat er een uitzondering is opgenomen. Kan daarop een uitgebreide toelichting worden gegeven, want het lijkt deze leden juist belangrijk dat er in die gevallen wel elektronische gegevensuitwisseling kan plaats vinden, omdat dan meestal een totaal andere en nieuwe zorgverlener zal zijn.

Zorg in strafrechtelijk kader vergt steeds een bijzondere afweging vanwege het veiligheidsaspect. Dat geldt ook voor gegevensoverdracht in het kader van die zorg. Dat maakt dat de gegevensoverdracht soms anders dient te verlopen dan in de reguliere zorg. Dit laat echter onverlet dat ook bij zorg in strafrechtelijk kader elektronische uitwisseling van gegevens – voor zover dat met het oog op de veiligheid verantwoord is – het uitgangspunt is. Waar mogelijk zal steeds de in dit wetsvoorstel voorziene wijze van het uitwisselen van gegevens worden gevolgd, zeker als het gaat om gegevensuitwisseling met zorgverleners die onverkort onder het bereik van de wet vallen. Ook hier geldt immers dat elektronische uitwisseling over het algemeen de veiligste manier is voor de uitwisseling van persoonsgegevens. Er zullen echter altijd situaties zijn waar verplichte elektronische gegevensoverdracht op de voorgeschreven wijze niet zal kunnen plaatsvinden omdat daardoor bijvoorbeeld de verblijfplaats of mogelijke vervoersbewegingen van gedetineerden bekend zouden kunnen worden, terwijl dat uitdrukkelijk niet de bedoeling is vanwege de risico’s voor de veiligheid van bijvoorbeeld de gedetineerde of personeel van Dienst Justitiële Inrichtingen (hierna: DJI). Dit betreffen dus veiligheidsoverwegingen die zijn verbonden aan de tenuitvoerlegging van straffen en maatregelen.

De leden van de CDA-fractie vragen waarom deze wet niet van toepassing is op de zorg in justitiële inrichtingen, forensische zorg en militaire gezondheidszorg. De regering wijst in de toelichting op het artikel dat dit is vanwege veiligheidsoverwegingen. Dat begrijpen de leden van de CDA-fractie niet, want de kern van de gegevensuitwisseling is nu juist dat dit veilig moet gebeuren?

Zorg in strafrechtelijk kader vergt steeds een bijzondere afweging vanwege het veiligheidsaspect. Dat geldt ook voor gegevensoverdracht in het kader van die zorg. Dat maakt dat de gegevensoverdracht soms anders dient te verlopen dan in de reguliere zorg. Dit laat echter onverlet dat ook bij zorg in strafrechtelijk kader elektronische uitwisseling van gegevens – voor zover dat met het oog op de veiligheid verantwoord is – het uitgangspunt is. Waar mogelijk zal steeds de in dit wetsvoorstel voorziene wijze van het uitwisselen van gegevens worden gevolgd, zeker als het gaat om gegevensuitwisseling met zorgverleners die onverkort onder het bereik van de wet vallen. Ook hier geldt immers dat elektronische uitwisseling over het algemeen de veiligste manier is voor de uitwisseling van persoonsgegevens. Er zullen echter altijd situaties zijn waar verplichte elektronische gegevensoverdracht op de voorgeschreven wijze niet zal kunnen plaatsvinden omdat daardoor bijvoorbeeld de verblijfplaats of mogelijke vervoersbewegingen van gedetineerden bekend zouden kunnen worden, terwijl dat uitdrukkelijk niet de bedoeling is vanwege de risico’s voor de veiligheid van bijvoorbeeld de gedetineerde of personeel van DJI. Dit betreffen dus veiligheidsoverwegingen die zijn verbonden aan de tenuitvoerlegging van straffen en maatregelen.

Waarom is ervoor gekozen om de wettelijke beveiligingsnormen in de zorg straks onder te brengen in verschillende AMvB’s in plaats van in één wettelijke regeling, vragen de leden van de SP-fractie aan de regering.

Op grond van het Begz moeten zorgaanbieders reeds onder het huidige recht voldoen aan de NEN 7510 en aanverwante normen inzake informatiebeveiliging. Om zoveel mogelijk te voorkomen dat zorgaanbieders in verschillende wet- en regelgeving moeten zoeken naar de normen die voor hen gelden, is beoogd dat wanneer een gegevensuitwisseling wordt aangewezen in de AMvB onder het voorliggende wetsvoorstel, de verplichting om aan NEN 7510 en de aanverwante normen te voldoen over te nemen in de NEN-norm die voor die gegevensuitwisseling verplicht wordt gesteld.

De leden van de PvdD-fractie lezen in de wetstekst dat er bij artikel 1.4 2a verwezen wordt naar kwaliteitstandaard conform de Wkkgz. Echter wordt in dit artikel geen kwaliteitsstandaard genoemd. Kan de regering dit toelichten?

Met ingang van 1 juli 2021 is de Wet van 9 september 2020 tot wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het creëren van een bevoegdheid voor Onze Minister om een voorgedragen kwaliteitsstandaard vanwege financiële gevolgen niet in het openbaar register op te nemen (financiële toetsing voorgedragen kwaliteitsstandaarden) (Stb. 2020, nr. 346) in werking getreden (Stb. 2021, nr. 143). Met die wet is aan artikel 1, eerste lid, Wkkgz een begripsomschrijving van het begrip kwaliteitsstandaard toegevoegd, zoals die eerst was opgenomen in de Zorgverzekeringswet. De omschrijving van kwaliteitsstandaard is niet veranderd met deze wijziging. De verwijzing in artikel 1.4, tweede lid, onder a, van voorliggend wetsvoorstel is daarmee – anders dan op het moment waarop de leden van de SP-fractie de vraag stelden – correct.

Daarnaast willen de leden van de PvdD-fractie ook weten hoe de kwaliteitsstandaarden bepaald gaat worden. Komt dit vanuit de zorgverleners zelf of vanuit de NEN? Of gaan we hierbij wederom een verschuiving naar de zorgverzekeraars zien, met alle gevolgen van dien?

Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is een kwaliteitsstandaard nodig waarin is opgenomen welke gegevens met het oog op het verlenen van goede zorg moeten worden uitgewisseld. Het opstellen of wijzigingen van een kwaliteitsstandaard geschiedt tripartiet, dat wil zeggen door organisaties van cliënten, zorgaanbieders of zorgverleners en zorgverzekeraars of Wlz-uitvoerders. Dit is bestaand recht, het voorliggende wetsvoorstel brengt hierin geen veranderingen aan. Zo kan tripartiet bijvoorbeeld worden bepaald dat gegevens over bloeddruk nodig zijn voor goede zorg en dus ook – bijvoorbeeld in het kader van overdracht – moeten worden uitgewisseld.

De leden van de PvdD-fractie vragen of het klopt dat, omdat het om een «kan-bepaling» gaat, de lijst met gegevensuitwisselingen dus niet omgezet moet worden in AMvB’s?

Dit is juist. De MJA Wegiz betreft een lijst van gegevensuitwisselingen waarvan de Minister van oordeel is dat ze prioritair zijn. Het kan gezien worden als een beleidsvoornemen om bepaalde gegevensuitwisselingen aan te wijzen. Alvorens deze gegevensuitwisselingen daadwerkelijk (kunnen) worden aangewezen toetst de Minister de geprioriteerde gegevensuitwisselingen op toegevoegde waarde en realiseerbaarheid door middel van onder andere een MKBA en een volwassenheidscan. De ontwerpAMvB, waarbij de uiteindelijke gegevensuitwisselingen worden aangewezen, wordt voorgehangen. Bij geprioriteerde gegevensuitwisselingen waarvan na toetsing blijkt dat een verplichting per AMvB niet wenselijk is, of in ieder geval niet op korte termijn, verantwoordt de Minister zich in een kamerbrief.

De leden van de SGP-fractie vragen de regering of aan artikel 1.3 niet nog een zinsnede of bepaling worden toegevoegd die verwijst naar de periodieke herziening van een lijst.

Periodiek zal een nieuwe MJA Wegiz worden opgesteld. Het wordt niet wenselijk geacht dit vast te leggen in een wettelijke bepaling, omdat dit ertoe kan leiden dat niet het beleid leidend is voor de actualisatie, maar de verplichting tot herziening. Het is niet onwaarschijnlijk dat vooral in de eerste paar jaar een veelheid van gegevensuitwisselingen door het veld worden aangemeld en de MJA Wegiz frequenter zal moeten worden geactualiseerd, dan in de jaren daarna.

De leden van de SGP-fractie vragen over artikel 1.4, tweede lid, onderdeel b: zou in deze bepaling niet explicieter moeten worden gemaakt dat het gaat om wet- of regelgeving waarin de deling van gegevens verplicht wordt gesteld? Is ««welke gegevens noodzakelijk zijn»» niet te algemeen?

Artikel 1.4, tweede lid, onderdeel b, moet steeds in samenhang met het doel van het wetsvoorstel, bedoeld in artikel 1.2 worden bezien. Het gaat dus steeds om gegevens die noodzakelijk zijn uit te wisselen over een cliënt tussen zorgverleners.

Artikel 1.4, derde lid: De leden van de SGP-fractie vragen of de regering voornemens is één of meerdere AMvB’s op te stellen.

Onder het wetsvoorstel zal in beginsel één AMvB worden opgesteld die steeds gewijzigd wordt middels wijziging-AMvB’s wanneer nieuwe gegevensuitwisselingen worden aangewezen.

Artikel II

In artikel 2.1, vierde lid, wordt geregeld dat de hoofdaannemer verantwoordelijk is te voldoen aan de verplichting zoals opgenomen in het eerste tot en met het derde lid, zo leden de leden van de VVD-fractie. Waarom is daarvoor gekozen? Is dit werkbaar en uitvoerbaar?

Met het bepaalde in artikel 2.1, vierde lid, wordt aangesloten bij de verantwoordelijkheids- en aansprakelijkheidsstructuur uit de Wkkgz. Daarmee wordt gewaarborgd dat de onderaannemer zich houdt aan de op de zorgaanbieder rustende wettelijke verplichtingen, waaronder die op grond van dit wetsvoorstel. Daartoe wordt een schriftelijke overeenkomst tussen beide partijen gesloten. Doordat wordt aangesloten bij een bestaande werkwijze uit de Wkkgz wordt artikel 2.1, vierde lid, in de praktijk werkbaar en uitvoerbaar geacht. Bij de evaluatie zal moeten blijken wat de ervaringen zullen zijn en of eventuele aanpassingen nodig zijn.

Mogen de leden van de CDA-fractie concluderen dat de gehele keten van zorgverleners de verantwoordelijkheid is van de zorgaanbieder die hoofdaannemer is?

Dat is juist. Een zorgaanbieder is verantwoordelijk voor de onder hem ressorterende zorgverleners. Dit geldt ook wanneer een instelling (zoals een medisch specialistisch bedrijf) zorg verleent binnen een andere instelling (zoals een ziekenhuis). Een medisch specialistisch bedrijf fungeert in dat geval niet als een zorgaanbieder in de zin van de Wkkgz, maar als zorgverlener. Het ziekenhuis is in dit voorbeeld de zorgaanbieder en daarmee verantwoordelijk voor het voldoen aan de verplichting in artikel 2.1 van het wetsvoorstel.

Artikel III

In artikel 3.1, zevende lid, wordt in de toelichting aangegeven dat de bepaling noodzakelijkerwijs ruim geformuleerd is, zo lezen de leden van de VVD-fractie. Waarom is dat nodig? In hoeverre wordt dat in vergelijkbare gevallen ook ruim geformuleerd? En in hoeverre is het niet te ruim?

In de toelichting op artikel 3.2 zevende lid, wordt verwezen naar een andere wet, namelijk de Kaderwet Zbo’s. Het in die wet opgenomen artikel 23 is ruim geformuleerd. In voorliggend wetsvoorstel is een soortgelijke bepaling opgenomen die juist beperkter is geformuleerd.

In artikel 3.6, derde lid, is ervoor gekozen een standaardtermijn van zes maanden te hanteren. De leden van de VVD-fractie vragen in hoeverre dit een redelijke termijn is? Hoe is dit in vergelijkbare gevallen geregeld bij certificaten?

In artikel 3.6, derde lid, heb ik een lastige afweging gemaakt tussen voortgezet gebruik van een informatietechnologieproduct of -dienst waarvoor geldt dat het niet meer voldoet aan de vereiste om in aanmerking te komen voor een certificaat en de realiteit dat de zorgaanbieder tijd nodig heeft om over te stappen op een product of dienst die wel (weer) aan de eisen voldoet. In de meeste gevallen zal een termijn van zes maanden hiervoor voldoende zijn.

Deze verlenging is ingekaderd door de eis dat de verlenging noodzakelijk moet zijn met het oog op de continuïteit van het uitwisselen van gegevens. Voor bepaalde gegevensuitwisselingen zal de implementatie van een nieuw informatietechnologieproduct of -dienst meer tijd vergen dan voor andere gegevensuitwisselingen. Dan kan het dus noodzakelijk zijn de termijn te verlengen. Hoe lang en hoe vaak is dus niet in algemene zin te zeggen, omdat de omvang en implementatie verschilt per gegevensuitwisseling. Over de noodzakelijk verlenging zal ik steeds in overleg treden met de IGJ, die zicht heeft op de concrete situatie bij de zorgaanbieder. Een vergelijkbaar geval is wanneer een «aangemelde instantie» haar aanwijzing kwijt raakt. In dat geval is er in artikel 46 van Verordening (EU) 2017/745 van het Europees parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen, tot wijziging van Richtlijn 2001/83/EG, Verordening (EG) nr. 178/2002 en (EG) nr. 1223/2009, en tot intrekking van Richtlijnen 90/385/EEG en 93/42/EEG van de Raad (PbEU 2017, L 117) een regeling voor de weescertificaten. Onder voorwaarden blijven certificaten nog 9 maanden geldig, met een verlengingsmogelijkheid van nog 3 maanden.

De leden van de CDA-fractie vragen waarom de regering kiest voor private certificerende instellingen, zoals bij medische hulpmiddelen, en niet voor een publiek stelsel zoals bij geneesmiddelen, gezien de ervaring met deze laatste positiever is.

Ik heb gekozen voor private certificerende instellingen om verschillende redenen. In de eerste plaats heeft de private markt de kennis in huis die binnen de overheid niet of nauwelijks aanwezig is. Ook sluit de inzet van private partijen goed aan bij de normalisatie door NEN, waarin de inzet van private partijen gebruikelijk is. NEN ondersteunt en coördineert hun activiteiten. Wel zal de keuze voor private certificerende instellingen onderdeel zijn van de evaluatie.

De bevoegde instelling kan ook geaccrediteerd zijn door een ander Europees land. De leden van de CDA-fractie begrijpen dat er nog geen Europese verordening is, zoals dat wel het geval is bij Medical Devices. Het is deze leden niet duidelijk hoe dan de kwaliteit van zo’n buitenlands notified body wordt geborgd. Kan de regering hierop ingaan?

Alle lidstaten van de Europese Unie hebben de mogelijkheid om een nationale accreditatie-instantie aan te wijzen. Dat is wettelijk vastgelegd in de Europese Verordening 765/2008. De Raad voor Accreditatie (RvA) is door de overheid aangewezen om deze rol in Nederland te vervullen.

Eens in de vier jaar onderwerpen nationale accreditatie-instanties elkaar aan een intensieve beoordeling, de zogenoemde peer reviews. Een peer review wordt uitgevoerd door collega’s van andere Europese accreditatie-instanties. Zij controleren of de te beoordelen organisatie aan de gestelde criteria voldoet. De internationale norm ISO/IEC 17011 en de Europese Verordening 765/2008 gelden hierbij als richtlijn. De peer reviews dienen als waarborg voor de deskundigheid, onpartijdigheid en onafhankelijkheid van nationale accreditatie-instanties. De RvA werkt elk jaar mee aan diverse peer reviews in andere Europese landen. Begin 2014 is de RvA zelf beoordeeld.

Artikel IV

In artikel 4.1 tweede lid wordt geregeld dat ambtenaren bevoegd zijn een woning binnen te treden zonder toestemming van de bewoner, zo lezen de leden van de VVD-fractie. Waarom wordt dit in de artikelsgewijze toelichting in de toelichting niet toegelicht? Kan aangegeven worden welke artikelen of delen van artikelen nog meer niet zijn toegelicht in de toelichting (artikelsgewijs of anderszins)?

Artikel 4.1, tweede lid, is niet expliciet toegelicht in de artikelsgewijze toelichting, omdat in afdeling 7.1 van het algemeen deel van de memorie hier al een toelichting op is gegeven. Naar deze paragraaf wordt in de artikelsgewijze toelichting op artikel 4.1, tweede lid, verwezen. De toelichting op artikel 4.1, tweede lid, is naar aanleiding van inbreng door de VNG en de Raad voor de Rechtspraak aangevuld in de paragrafen 9.5 en 9.8 van het algemeen deel van de memorie.

Elke bepaling is in het algemene deel dan wel het artikelsgewijze deel van de memorie van toelichting toegelicht, tenzij evident onnodig. Zo is het begripsomschrijving «Onze Minister» niet nader toegelicht.

De regering kan een last onder dwangsom opleggen. De leden van de CDA-fractie vragen wat daarvan de maximale hoogte kan zijn aangezien de boete terecht een zesde categorie boete kan zijn dan wel maximaal 10% van de omzet.

Op grond van artikel 5:32, derde lid, van de Algemene wet bestuursrecht moet het bedrag in redelijke verhouding tot de zwaarte van het geschonden belang en tot de beoogde werking van de dwangsom. Er is geen wettelijk maximaal te verbeuren bedrag noch zijn er concrete regels voor het bepalen van de hoogte van een dwangsom.

Artikel VII

De leden van de VVD-fractie vragen welke gevolgen de aanpassing van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg in artikel 7.1 concreet heeft.

Deze wijziging heeft als gevolg dat wanneer bij AMvB onder het voorliggende wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels die gesteld zijn op grond van artikel 15j van de Wabvpz op het uitwisselen van die gegevens niet meer van toepassing zijn. De regels inzake hoe de gegevens bij die gegevensuitwisseling uitgewisseld moeten worden valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wabvpz valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Begz en het Besluit vaststelling bewaartermijn logging (hierna: Bvbl) opgenomen worden.

Wanneer bijvoorbeeld de gegevensuitwisseling «Digitaal voorschrijven en ter hand stellen» wordt aangewezen, zijn daarop niet langer de eisen uit de Begz en de Bvbl van toepassing. De relevante eisen uit de Begz en de Bbvl zullen overgenomen worden in (de NEN-norm in) de AMvB die voor die gegevensuitwisseling wordt opgesteld onder het wetsvoorstel.

De leden van de VVD-fractie vragen waarom in artikel 7.3 (Wpg) het zo wordt geformuleerd dat de Wpg onder de reikwijdte van het wetsvoorstel valt en bij artikel 7.4 (Wvggz) dat zorg die verleend onder de reikwijdte van de «kan» vallen? Vanwaar het verschil in formulering?

Terecht wijzen deze leden op dit verschil in formulering. Dit verschil kan tot onbedoelde onduidelijkheid leiden, die ik hier graag weg neem.

Zorg als bedoeld in de Wvggz valt in beginsel onder de reikwijdte van de Wkkgz en dus dit wetsvoorstel. Echter, in bepaalde gevallen moet zorg als bedoeld in de Wvggz en Wzd gekwalificeerd worden als jeugdhulp in de zin van de Jeugdwet of maatschappelijke ondersteuning als bedoeld in de Wmo 2015. Daarop is de Wkkgz en dus het voorliggende wetsvoorstel niet van toepassing. Dit geldt ook voor zorg als bedoeld in de Wzd.

Zorg als bedoeld in de Wpg kan ook onder de reikwijdte vallen. Dat geldt in ieder geval voor de jeugdgezondheidszorg. Maar voorlichtingscampagnes en behoefte-inventarisaties vallen bijvoorbeeld niet onder de definitie van «zorg» in de Wkkgz en het voorliggende wetsvoorstel.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge