Verslag van de vergadering van 27 september 2016 (2016/2017 nr. 1)
Status: gecorrigeerd
Aanvang: 10.35 uur
De heer Bruijn i (VVD):
Voorzitter. Elektronische uitwisseling van gegevens speelt in de zorg al decennia dagelijks een grote rol. Dit zal in de toekomst alleen maar verder toenemen. Het is in het belang van de patiënt dat hijzelf en zijn zorgverleners snel kunnen beschikken over zijn relevante en actuele medische informatie. Digitale lokale, maar ook landelijke medische archieven tonen dit dagelijks op grote schaal aan met een enorme en niet meer weg te denken kwaliteitsverbetering van de zorg als gevolg. Mijn fractie ondersteunt van harte het uitgangspunt van deze wet dat die uitwisseling van gegevens op een veilige manier moet gebeuren en dat de patiënt er regie over moet kunnen voeren. Het voorstel schept randvoorwaarden voor het eventuele gebruik van een elektronisch uitwisselingssysteem door zorgaanbieders. Het voorstel schrijft het gebruik van elektronische uitwisselingssystemen en de aard van die systemen niet voor.
De in dit wetsvoorstel opgenomen bepalingen vormen een aanvulling op de al bestaande regels van de Wet op de geneeskundige behandelovereenkomst (WGBO) en de Wet bescherming persoonsgegevens (Wbp) en straks de algemene verordening gegevensbescherming (AVG). Dit werd nog eens uiteengezet door de Autoriteit Persoonsgegevens tijdens de deskundigenbijeenkomst van 5 april 2016, die een zeer positief oordeel over dit wetsvoorstel uitsprak. Zo voldoet bijvoorbeeld generieke toestemming al aan de bestaande wetgeving, terwijl nu gespecificeerde toestemming wordt geregeld. Verder hebben de bestaande regels niet specifiek betrekking op elektronische gegevensuitwisseling. De memorie van toelichting meldt hierover en ik citeer: "De bepalingen van dit wetsvoorstel doen niet af aan de bepalingen uit deze wetten die van toepassing zijn op dossiervorming, toestemming bij inzage van gegevens, logging, het verstrekken van gegevens aan derden etc. Dit wetsvoorstel vormt een aanvulling hierop en maakt duidelijk welke extra rechten en waarborgen voor cliënten van toepassing zijn bij elektronische gegevensuitwisseling en de beschikbaarheid van gegevens via een elektronisch uitwisselingssysteem."
Met de wet wordt uitvoering gegeven aan een aantal moties met betrekking tot de elektronische uitwisseling van medische persoonsgegevens. Deze Kamer heeft de motie-Tan c.s. aangenomen waarin de regering wordt verzocht om "te komen tot een nadere wettelijke regeling van normen en standaarden voor zowel digitale dossiervorming en ontsluiting, als de overdracht van gegevens, eisen met betrekking tot de veiligheid, toezicht, handhaving en sancties, inzage door de patiënt, het verstrekken van afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt, teneinde veilig digitaal transport van gegevens, zowel pull als push, mogelijk te maken tussen zorgverleners binnen een regio".
In het oorspronkelijke wetsvoorstel kreeg de patiënt onvoldoende positie. Zo kreeg de patiënt alleen de mogelijkheid om achteraf bezwaar te maken. Mijn fractie heeft dan ook, evenals andere fracties, in eerdere stadia van de behandeling van deze wet en van de voorganger ervan, het epd, een aantal kritische vragen en zorgen naar voren gebracht die ik nu graag langsloop.
Dat betreft de toegang voor verzekeraars, artikel 15f. In aanvulling op de WGBO en de Wbp wordt voor verzekeraars een verbod op toegang geregeld tot de gegevens. In het wetsvoorstel is voor de zorgverzekeraar die zich toch toegang verschaft tot een elektronisch uitwisselingssysteem nu een zwaardere sanctie opgenomen. Ook is een systematiek ingebouwd waarbij een verzekeringnemer zijn verzekering meteen kan opzeggen nadat de zorgautoriteit aan een zorgverzekeraar een bestuurlijke boete heeft opgelegd of een aanwijzing heeft gegeven om reden dat een zorgverzekeraar in strijd met de wet via het elektronisch uitwisselingssysteem gegevens van bepaalde verzekerden of verzekeringnemers heeft ingezien of verwerkt. Dit acht mijn fractie een belangrijke verbetering. Hiervoor is het uiteraard wel noodzakelijk dat de verzekerde in voorkomende gevallen terstond op de hoogte gesteld wordt. Kan de minister bevestigen dat dit zal gebeuren? Bij welke partij ligt deze taak of verplichting?
Een andere vraag betreft de aanwijzing. Dit is geen bestuursrechtelijk instrument en heeft geen juridische status. Met de meldplicht datalekken is de bindende aanwijzing in de Algemene wet bestuursrecht (Awb) geïntroduceerd. Deze aanwijzing wordt wel beschouwd als een gele kaart. Deze kan overgaan in een rode kaart, een bestuurlijke boete, als de aanwijzing niet wordt opgevolgd. Graag zou mijn fractie willen weten hoe het zit met de opzegmogelijkheid als de verzekeraar de bindende aanwijzing wel heeft opgevolgd, dan wel als uit een bezwaar- en beroepsprocedure blijkt dat de bindende aanwijzing ten onrechte is opgelegd.
Dan de beveiligingsnormen. Mijn fractie heeft er in een eerdere termijn op aangedrongen dat er voor de praktijk en bescherming van de persoonlijke levenssfeer van patiënten concrete verplichtingen aan zorgaanbieders worden opgelegd en juicht het toe dat dit nu gebeurt. Deze verplichtingen liggen dus met name in de eisen op het gebied van vertrouwelijkheid, integriteit en controle achteraf. Daarnaast worden beveiligingsnormen als NEN 7510, 7512 en 7513 verplicht gesteld via AMvB. Daarmee worden zeer concrete eisen gesteld op het gebied van informatiebeveiliging, waaronder autorisatie en logging. NEN 7510 en 7512 gelden nu al voor systemen waarmee het bsn wordt verwerkt. NEN 7513 over logging is op dit moment nog niet vastgelegd in regelgeving en wordt met dit wetsvoorstel een noodzakelijke voorwaarde om aan de norm van een passende beveiliging bij elektronische verwerking van medische gegevens te kunnen voldoen. Volgens de Autoriteit Persoonsgegevens, zoals aangegeven tijdens de deskundigenbijeenkomst op 5 april 2016, is de invoering van deze beveiligingsnormen zelfs de belangrijkste winst van dit wetsvoorstel en is invoering ervan nu "noodzakelijk". Ook de heer Verheul van de RU noemde dit een pluspunt. Volgens Nictiz passen de NEN-normen heel goed in deze context. Nu zou men kunnen betogen dat een en ander al geregeld is en dat gaat de heer Ganzevoort nu doen denk ik.
De voorzitter:
Als hij van mij het woord krijgt uiteraard.
De heer Ganzevoort i (GroenLinks):
Ik ben geheel van u afhankelijk, voorzitter.
Die vraag wil ik niet speciaal stellen, maar ik vraag mij wel af of het geen grootspraak is. Wordt het inderdaad via deze wet geregeld of via een Algemene Maatregel van Bestuur die wordt aangehangen aan artikel 26 van de Wbp?
De heer Bruijn (VVD):
Zoals ik zei, de beveiligingsnormen zoals NEN 7510, 7512 en 7513 worden verplicht gesteld via AMvB.
De heer Ganzevoort (GroenLinks):
Die is gerelateerd aan artikel 26 Wbp.
De heer Bruijn (VVD):
Dat zou ik moeten nagaan. Het wordt in ieder geval een AMvB.
De heer Ganzevoort (GroenLinks):
Daar is deze wet niet voor nodig. Dank u.
De heer Bruijn (VVD):
Die AMvB hangt aan deze wet.
Volgens Nictiz passen de NEN-normen heel goed in deze context. Nu zou men kunnen betogen — en daar komt het dan — dat een en ander al geregeld is in artikel 13 van de Wbp die adequate beveiliging voorschrijft. Maar genoemde Autoriteit en ook Nictiz stellen dat het "noodzakelijk" is dat de zorgwereld dit uitwerkt in NEN-normen. De norm van de Wbp — dit zeg ik ook in de richting van de heer Ganzevoort — is te vaag en leidt te vaak tot grijze gebieden en discussies, hetgeen vertragend werkt. Volgens Nictiz geven de huidige NEN-normen wel informatie over authenticatie, autorisatie en logging, maar eigenlijk niet over de specifieke toestemming die hier aan de orde is. Specifieke toestemming, vrijelijk en geïnformeerd, is straks ook op grond van de algemene verordening gegevensbescherming vereist. Graag hier nog eens een afweging ter zake door de minister. Is de minister bereid genoemde AMvB te zijner tijd in concept aan deze Kamer voor te leggen, alsmede de periodieke evaluaties ervan? Graag een toezegging.
Dan kom ik bij de toestemming (artikel 15a) en de informatieplicht (artikel 15c). In het eerdere wetsvoorstel was er naar de mening van mijn fractie onvoldoende zicht op de toegang tot het systeem door hulpverleners. Wie krijgt wel en wie geen toestemming? Dit wordt nu uitdrukkelijk geregeld. De patiënt geeft gespecificeerde toestemming. Op grond van artikel 15c heeft de zorgaanbieder een informatieplicht: hij moet de patiënt informeren als hij gegevens elektronisch wil uitwisselen en melden om welke zorgverleners en welke gegevens het gaat. Hij moet dus een gespecificeerde toestemmingsvraag stellen zodat de patiënt een weloverwogen keuze kan maken ofwel geïnformeerd toestemming kan geven. Overigens dient toestemming altijd voldoende specifiek te zijn, ook gespecificeerde toestemming.
Het huidige wetsvoorstel verplicht te differentiëren tussen de hulpverleners. De mening dat dat zo snel mogelijk geregeld moet worden, deelt mijn fractie met veldpartijen zoals de Consumentenbond en de Autoriteit Persoonsgegevens. Blijkens mededeling van de KNMG — te lezen het verslag van de deskundigenbijeenkomst op 5 april — werken KNMG, LHV, KNMP, NPCF en Nictiz op dit moment constructief samen met het ministerie aan de voorbereiding van de implementatie van die gespecificeerde toestemming. Op dit moment is dat nog niet uitvoerbaar, hetgeen voor de minister aanleiding is dit onderdeel te temporiseren. Mijn fractie is het eens met bijvoorbeeld de NPCF dat dit temporiseren een goede, althans onontkoombare stap is.
Met het wel alvast invoeren van dit onderdeel van de wet wordt richting gegeven aan de manier waarop de toestemmingsregeling wordt en moet worden ingericht. Dit is volgens de KNMP essentieel voor het maken van systeemkeuzen, zoals vermeld tijdens de deskundigenbijeenkomst. Met die keuzen worden immers verplichtingen, waaronder financiële verplichtingen, aangegaan. Partijen zullen alleen stappen willen zetten als de wet is aangenomen en als duidelijk is welke kant wij opgaan. Ook de KNMG stelt dat de wet kan worden aangenomen zonder dat men de gespecificeerde toestemming al invoert en dat dit dus een meerwaarde heeft. Volgens de NPCF, de patiëntenfederatie, heeft invoering van de rompwet meerwaarde omdat het duidelijkheid biedt. Dit geldt volgens de NPCF ook voor de artikelen die worden getemporiseerd, omdat men na de invoering weet waar het de komende jaren naartoe gaat. Ook Nictiz noemde het nuttig en noodzakelijk om druk op het veld uit te oefenen via het aannemen van de rompwet. Nictiz is er daarbij van overtuigd dat implementatie in het beschikbare tijdpad nodig en mogelijk is. Kan de minister aangegeven hoe het hier op dit moment mee staat en wat de vooruitzichten zijn?
In de nota naar aanleiding van het verslag staat op bladzijde 18 dat "zorgpartijen uiterlijk 3 jaar krijgen voor de uitvoerbaarheid van de gespecificeerde toestemming en het realiseren van het portaal. Sommige zorgaanbieders zullen hier mogelijk eerder klaar voor zijn, omdat zij nu al een portaal aan patiënten kunnen bieden." In de nadere memorie van antwoord staat op bladzijde 4 dat de bepalingen drie jaar — en dus niet uiterlijk drie jaar — na de inwerkingtreding van dit wetsvoorstel in werking treden. Zoals mijn fractie het leest, hebben zorgaanbieders drie jaar de tijd om aan de eisen van de wet te voldoen. Wat vindt de minister van de mogelijkheid om de termijn van invoering te stellen op maximaal drie jaar dan wel zoveel eerder als gespecificeerde toestemming uitvoerbaar is zoals ook de heer Engelen lijkt te suggereren? Hierover heeft mijn fractie een motie achter de hand.
Ten slotte op dit punt: acht de minister het in de toekomst mogelijk dat de patiënt toestemming geeft op het moment dat iemand de gegevens wil inzien zoals als ideaal geschetst door de Consumentenbond? Het komt de leden van mijn fractie voor dat dit moeilijk of niet werkbaar zal zijn in tegenstelling tot toestemming vooraf. Als die toestemming op het moment zelf moet worden gegeven, kost dat sowieso tijd. In de zorg zal die tijd niet altijd gegeven zijn. Hoe ziet de minister dit?
Ik vervolg met inzage, afschrift en logging (artikelen 15d en 15e). De toegang van de patiënt tot het elektronische dossier was in het eerdere voorstel niet geregeld en werd niet mogelijk geacht. Mijn fractie achtte dit destijds al zeer onwenselijk. Met dit wetsvoorstel krijgt de patiënt inzage in zijn elektronische dossier bij de zorgverlener met wie hij een behandelrelatie heeft. Inzage in de gegevens die zijn uitgewisseld, krijgt de patiënt bij "de verantwoordelijke voor het elektronisch uitwisselingssysteem, respectievelijk de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) als verantwoordelijke voor het LSP”. Dat laatste kan op papier of online door in te loggen met DigiD. De NPCF heeft aangegeven — ik verwijs hiervoor wederom naar het verslag van de deskundigenbijeenkomst van april — het jammer te vinden dat dit artikel over inzage pas over drie jaar in werking treedt. Dit vinden veldpartijen als de NPCF en de Consumentenbond vooral spijtig omdat er al heel goede voorbeelden zijn van ziekenhuizen, huisartsen en apothekers die patiënten betrekken via portalen en apps. Dit draagt bij aan vertrouwen en inzicht. Patiënten weten dan immers beter over welke gegevens de dokter beschikt en welke hij uitwisselt.
De NPCF vreest dat de ontwikkeling tot stilstand zou kunnen komen als gevolg van uitstel van de inwerkingtreding van dit artikel gedurende drie jaar. Mijn fractie deelt dit in zoverre dat inwerkingtreding in ieder geval niet langer zou moeten duren dan strikt noodzakelijk. Volgens de heer Engelen van Radboudumc is de ontwikkeling met betrekking tot elektronische inzage al zo ver dat men er morgen — woensdag dus — mee kan beginnen. Wat vindt de minister van de optie om het uitstel te bekorten of dit in ieder geval niet langer te laten duren dan tot aan het moment dat uitvoerbaarheid geregeld is? Ook hierover heeft mijn fractie een motie achter de hand.
Behalve inzage in zijn dossier krijgt de patiënt ook de mogelijkheid er zelf aan bij te dragen en er iets in te zetten of uit te halen, zoals de minister heeft uiteengezet tijdens onder meer het AO in de Tweede Kamer van 29 juni jongstleden over ICT in de zorg. Mijn vraag aan de minister is hoe dit zich verhoudt tot de dossierplicht van de zorgaanbieder, met name als het gaat om de eisen met betrekking tot kwaliteit, volledigheid, veiligheid en betrouwbaarheid van dat dossier en daarmee van medische gegevensuitwisseling vanuit dat dossier, het onderwerp van deze wet? De minister heeft in hetzelfde AO immers gemeld — en mijn fractie kan zich daar zeer goed in vinden — dat het dossier adequaat en accuraat moet zijn en dat die verantwoordelijkheid blijft liggen bij de aanbieder. Dit lijkt dus om hetzelfde dossier te gaan. Hoe staat het in dit kader met de informatiestandaard medicatieproces? Wordt de patiënt verplicht zich hieraan te houden bij het redigeren van zijn dossier?
Ten slotte op dit punt: mijn fractie heeft er met instemming kennis van genomen dat de minister een onderzoek naar het gedrag en de cultuur rond de bescherming van patiëntgegevens is gestart, de zogenaamde quickscan. Is de minister bereid de opbrengst van dit onderzoek te zijner tijd ook aan deze Kamer voor te leggen? Graag een toezegging.
Dan de verplichting tot deelname. Volgens sommigen lijkt sprake te zijn van een verplichting voor de huisarts om zich aan te sluiten bij systemen voor elektronische gegevensuitwisseling zoals het landelijk schakelpunt (LSP). Dit was voor mijn fractie eerder een zwaarwegend punt en dat is het nog steeds. Ook de Raad van State heeft hierover opmerkingen gemaakt. Het dictum van de Raad van State luidde: De Afdeling advisering van de Raad van State geeft U in overweging het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal, nadat met het vorenstaande rekening zal zijn gehouden.
In het huidige wetsvoorstel leest mijn fractie geen verplichting. Iets anders is dat op huisartsen druk uitgeoefend zou kunnen worden om zich aan te sluiten. Naar aanleiding van berichten in de media dat verzekeraars druk zouden uitoefenen op zorgaanbieders om zich aan te sluiten bij het LSP heeft Tweede Kamerlid Leijten daarover vragen gesteld. De minister antwoordde dat patiënten en zorgaanbieders zich vrij moeten voelen om al of niet deel te nemen aan het LSP. De wet stelt dat een verplichting tot deelname kan ontstaan als het veld daartoe zelf en met consensus besluit. Kan de minister nader aanduiden wat hier verstaan moet worden onder "het veld" en wat hier de rol is van de ziektekostenverzekeraar? Wat moet verstaan worden onder consensus en hoe moet deze tot stand komen dan wel duidelijk worden?
Dan kom ik bij de vergoeding voor deelname aan het LSP. Met de gewijzigde motie van het lid Leijten (Kamerstuk 33509, nr. 34) heeft de Tweede Kamer de minister verzocht ervoor te zorgen dat financierings- of vergoedingsregelingen voor de informatievoorziening aan cliënten over deelname aan het LSP op geen enkele wijze een financiële stimulans richting deelname of niet-deelname zijn. Een goede zaak. Zowel de zorgaanbieder als de patiënt moet zich vrij voelen om wel of niet deel te nemen aan elektronische gegevensuitwisseling. Blijkens mededeling van de minister in de Tweede Kamer is ook Zorgverzekeraars Nederland geen voorstander van een financiële stimulans richting deelname of niet-deelname. Begrijpt mijn fractie het nu goed dat daarvan dan ook geen sprake is? Huisartsen en apothekers krijgen een tegemoetkoming in de kosten die zij maken voor aansluiting op het LSP en het vragen en het verwerken van toestemming. De minister heeft aangegeven dat zij actie zal ondernemen als haar signalen bereiken die erop duiden dat zorgaanbieders zich door financiële tegemoetkomingen toch gedwongen of verleid voelen zich aan te sluiten bij het LSP of een ander elektronisch uitwisselingssysteem. Graag een bevestiging van de minister. Ziet de minister mogelijkheden om dit eventueel toch actief te monitoren?
Dan de vraag of, met deelname aan het LSP, het huisartsen verplicht wordt mee te werken aan schending van het beroepsgeheim. Dit bezwaar is met name door de Vereniging voor Praktijkhoudende Huisartsen — de VPH — naar voren gebracht. Mijn fractie heeft kennisgenomen van de uitspraak van de rechtbank Midden-Nederland ter zake, luidende dat het zorginformatiesysteem van VZVZ niet in strijd is met de bepalingen van de Wbp. Mijn fractie heeft begrepen dat de VPH, na ook in hoger beroep door de rechter in het ongelijk te zijn gesteld, afgelopen mei heeft besloten in cassatie te gaan bij de Hoge Raad. De LHV vertrouwt, desgevraagd, in haar oordeel over de rechtmatigheid en veiligheid van het LSP op de ICT-expertise van haar verenigingsbureau, op de juridische expertise van haar federatie KNMG en op het toezicht door de Autoriteit Persoonsgegevens, voorheen het CBP. Op basis daarvan vertrouwt de LHV erop dat het LSP voldoet aan de wet- en regelgeving. Kan de minister aangeven hoe het inmiddels staat met de procedure van de VPH en wat haar visie op de bezwaren van de VPH is? Deelt de minister de visie van de LHV en welke argumenten heeft de minister daarbij?
Dan kom ik bij de alternatieven. In genoemde motie-Tan c.s., nr. 31466, Y, uit deze Kamer werd de regering verzocht de mogelijkheden te onderzoeken van een elektronische zorgpas, die recht doet aan de zeggenschap van de patiënt over het eigen medisch dossier. Ook mijn fractie heeft hier eerder aandacht voor gevraagd. In het algemeen lijken er steeds meer mogelijkheden te zijn om informatie via andere media, zoals een chipkaart of usb-stick bij de patiënt te houden. Mijn fractie bereiken echter ook signalen dat dit inmiddels niet meer als voldoende veilig zou worden beschouwd in verband met spoedgevallen, bij nood en bij verlies of diefstal, zoals ook genoemd op pagina 12 van de nota naar aanleiding van het verslag. Bovendien leert navraag in het veld, dat de mobiele informatiedrager door de huisartsen weliswaar gezien wordt als een interessante optie, maar dat deze uitvoerbaarheidsproblemen met zich zou meebrengen. Dit hangt samen met regelmatige betrokkenheid bij veel patiënten van meerdere artsen binnen en buiten het ziekenhuis, aanvullende brieven en uitslagen die verschijnen als de patiënt alweer vertrokken is, multidisciplinair en regionaal overleg en dergelijke. De informatie zou dus snel achterhaald zijn en voor de patiënt wellicht informatief maar voor behandelaars beperkt of in het geheel niet bruikbaar en zeker niet actueel zijn. De KNMP noemt het tijdens de deskundigenbijeenkomst om die reden zelfs "niet realistisch" en sprak over "terug in de tijd". Het voordeel van privacy dat daar mogelijk tegenover staat zou bovendien betrekkelijk zijn, omdat een computer waar de kaart of stick wordt ingestopt de informatie zal downloaden. Wat is de visie van de minister hierop?
Ten slotte vraag ik de minister de toezegging te doen dat zij het evaluatieverslag binnen drie jaar, dat zij tijdens de behandeling in de TK aan die Kamer heeft toegezegd met het overnemen van amendement op stuk nr. 20 van de leden Pia Dijkstra en Bruins Slot, ook aan deze Kamer zal toezenden.
Mijn fractie ziet uit naar de beantwoording door de minister.