Bijdrage Van Esch aan SO over het elek­tro­nisch delen en benaderen van gegevens tussen zorg­ver­leners in aange­wezen gege­vens­uit­wis­se­lingen

35 824 Regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen

Nr. 3 MEMORIE VAN TOELICHTING

Algemeen

1. Aanleiding van het wetsvoorstel

De leden van de fractie van de Partij voor de Dieren hebben met interesse kennisgenomen van de regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg, of afgekort Wegiz). De leden lezen enkele goede zaken, maar lezen ook dat er verplicht elektronisch gewerkt moet worden wanneer er sprake is van het delen van medische gegevens. Een dwang tot het elektronisch (ver)werken van/met medische gegevens waar deze leden nog niet van overtuigd zijn. Dit voorstel lijkt nu al te staan of vallen op één belangrijk punt: gaat er decentraal, en dus zonder Landelijk Schakel Punt (LSP), gewerkt worden? Kan de regering dit toezeggen?

2. Doel en hoofdlijnen van het wetsvoorstel

2.1 Probleembeschrijving

2.2 Doelstelling en noodzaak wetgeving

De Partij voor de Dieren leest dat de regering meermaals stelt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens, maar wanneer er wordt uitgewisseld, dat dit op elektronische wijze gebeurd. Waarom wordt dit verplicht? Dat interoperabiliteit wordt nagestreefd bij het uitwisselen van gegevens vinden de leden in het kader van medische veiligheid en duidelijke communicatie begrijpen. De leden zijn echter niet tevreden met het feit dat er gedwongen elektronisch gewerkt moet worden bij het uitwisselen van gegevens. Dit is een inperking van de uitoefening van het medische beroep en dwang richting de patiënt om medische gegevens digitaal te laten vastleggen. Deze leden vragen daarom een toelichting van de regering, waarom er wordt gekozen tot het verplicht elektronisch werken en er niet gekozen wordt voor het nastreven van interoperabiliteit via verschillende kanalen, zoals brief, elektronisch, en andere mogelijke (zowel elektronische als niet elektronische) communicatiemiddelen die in de zorg gebruikt worden? De leden lezen dat op termijn interoperabiliteit verplicht wordt, waarom is dit niet al opgenomen in het wetsvoorstel?

2.3 Reikwijdte wetsvoorstel

De fractie van de Partij voor de Dieren heeft enkele vragen met betrekking tot de reikwijdte van het wetsvoorstel. Deze leden vragen zich bijvoorbeeld af of deze wet ook gaat gelden voor natuurgeneeskundige- of antroposofische zorgverleners, en zo ja, verwacht u dat daar draagvlak is voor het verplicht elektronisch werken? Hoe gaat er rekening gehouden worden met mensen die principiële bezwaren hebben tegen het verplicht elektronisch werken met of verwerken van persoonsgegevens? Of mensen die het risico willen vermijden om opgenomen te worden in een Landelijk Schakel Punt? Herkent de regering deze mogelijke bezwaren, en wat gaat zij voor deze burgers doen?

3. Nadere toelichting structuur wetsvoorstel

3.1 Inleiding

3.2 Aan te wijzen gegevensuitwisselingen

3.3 Verplichtingen voor zorgaanbieders en eisen aan informatie- en technologieproducten

3.4 Verplichting om gegevens elektronisch uit te wisselen

3.5 Normalisatie

De leden van de fractie Partij voor de Dieren lezen dat het ontwikkelen van de normen wordt overgelaten aan Stichting Koninklijk Nederlands Normalisatie Instituut (NEN). Daar word in zogeheten normcommissies samengewerkt, maar daar zitten ook veel commerciële partijen in. Daarom willen deze leden het volgende weten: wie vertegenwoordigt daar het privacy belang? Is dat een deelnemer van de overheid? Of moet iemand namens een patiëntenvereniging dat doen? Deelt de regering de mening dat hier een onafhankelijke privacy waakhond bij hoort, die geen belangen heeft in de zorg of NEN? Verder vragen deze leden het volgende: hoe borgt en faciliteert de minister de inbreng van het patiëntenperspectief in normontwikkeling die voortkomt uit dit wetsvoorstel? Is de minister bereid om de toenemende inzet van patiënten- en cliëntenorganisaties bij de normontwikkeling financieel te faciliteren?

3.6 Initiatiefmogelijkheden door de Minister

3.7 Certificatie van informatietechnologieproducten en –diensten

3.8 Kaderwet zelfstandige bestuursorganen

4. Verhouding tot hoger recht

4.1. Verhouding met regels over gegevensbescherming

4.2 Verhouding met regels over cyberveiligheid

4.3 Verhouding tot vrijheid van ondernemerschap

4.4 Verhouding tot vrij verkeer van goederen

4.5 Verhouding tot vrij verkeer van diensten

5. Verhouding tot nationale regelgeving

5.1 Aanpassing wetten

5.2 Verhouding met de WGBO (medisch beroepsgeheim)

5.3 Verhouding met elektronisch uitwisselingssysteem (artikel 15a Wabvpz)

5.4 Verhouding ten aanzien van wetsvoorstel digitale overheid

6. Implementatie en uitvoering

7. Toezicht en handhaving

7.1 Toedeling van de taak tot bestuursrechtelijke handhaving

7.2 Keuze sanctiestelsel

7.3 Toezicht op aanwijzing in spoor 1 en aanwijzing in spoor 2

7.4 Verplichtingen voor zorgaanbieders

7.5 Eisen aan informatietechnologieproducten of –diensten

7.6 Verplichtingen voor certificerende instellingen

8. Effecten van het wetsvoorstel

8.1 Financiële gevolgen

8.2 Effecten op de markt en innovatie

8.3 Effecten op de gegevensbescherming

De leden van de fractie van de Partij voor de Dieren achten privacy en gegevensbescherming een van de belangrijkste onderdelen van dit wetsvoorstel, en zoals eerder vermeld vinden deze leden dat de wet valt of staat bij een decentrale infrastructuur. Deze leden vinden dat er gebruik gemaakt moet worden van decentrale technieken bij het elektronisch werken met privacy gevoelige informatie. Door het werken met dergelijke decentrale technieken, wanneer er elektronisch met privacy gevoelige informatie gewerkt wordt, kan er volgens deze leden geen single-point of failure ontstaan, zoals bij het Landelijk Schakel Punt. Daarom willen deze leden de regering herinneren aan de Eerste Kamermotie-Teunissen c.s. (33 509, T) die de regering opdraagt dat toegang tot het medisch dossier decentraal via bij de zorgaanbieder vastgelegde toestemmingen en autorisaties mogelijk moet blijven en de met algemene stemmen aangenomen motie van de leden Van Kooten-Arissen en Hijink (Kamerstuk 29515 nr.431) die aanstuurde op het interoperabel maken van decentrale systemen. Herkent de regering het Landelijk Schakel Punt als single-point of failure? Zo niet waarom niet? Deelt de regering dat een single-point of failure binnen de gegevensuitwisseling in de zorg een enorme vertrouwensdeuk zou opleveren bij patiënten? Daarnaast vragen de leden van de fractie van de Partij voor de Dieren of er al een analyse is uitgevoerd naar wat de effecten zouden zijn als er een single-point of failure ontstaat in de werkwijze die onder spoor 2 valt? Is het met het oog op de medische- en privacy risico’s van een dergelijke fout niet wenselijk om vooraf digitale infrastructuur die uitgaat van een gecentraliseerde werking uit te sluiten?

Naast zorgen over een mogelijke single-point of failure zijn er nog andere privacytechnische zorgen bij de leden van de fractie van de Partij voor de Dieren. De wet verplicht dat er voldaan moet worden aan de Algemene Verordening Gegevensbescherming (AVG), maar in het verleden zijn daar in zorg al meerdere keren grote problemen mee geweest. De Partij voor de Dieren constateert dat er in de afgelopen jaren veel datalekken zijn geweest in de zorg, onder andere bij de GGD, GGZ, in de jeugdzorg, en bij verschillende ziekenhuizen. Daarbij werd altijd gezegd dat deze instellingen, en met name ziekenhuizen, conform de AVG zelf verantwoordelijk zijn voor het bewaken van die data. De verschillende datalekken tonen dat zij daar zelfstandig niet toe in staat zijn. Daarom vragen deze leden of de regering met deze wet, die dus partijen verplicht hoe ze gegevens moeten uitwisselen, ook iets gaat regelen over de mate van beveiliging van die gegevens? Zodat datalekken niet meer voor kunnen komen. Ziet de regering mogelijkheden om privacy by design sterker te verankeren in de wet zelf? Daarnaast willen deze leden de regering herinneren aan de met algemene stemmen aangenomen motie van het lid Van Kooten-Arissen (kamerstuk 27 529 nr.176), en nogmaals de oproep delen dat er binnen de zorg alleen end-to-end encryptie gebruikt zou moeten worden, vanwege de hoge mate van privacygevoelige informatie. Gaat de regering end-to-end encryptie vastleggen in deze wet en verplicht stellen voor het versturen van medische gegevens?

De leden van de fractie van de Partij voor de Dieren vinden dat patiënten eigenaar moeten zijn van hun eigen medische gegevens. Momenteel lijken patiënten buiten spel te staan als deze wet wordt geïmplementeerd, behalve dat zij akkoord of niet akkoord moeten geven op het delen van hun persoonlijke medische gegevens en recht op inzage hebben. De leden vragen zich daarom af hoe eigenaarschap van medische gegevens voor patiënten versterkt kan worden? Kan de regering toelichten waarom in deze wet niet is opgenomen dat als er informatie gedeeld wordt dat patiënten dan op de hoogte worden gesteld van welke informatie en met wie deze gedeeld wordt? Is de regering bereid om de doelstelling en reikwijdte van het wetsvoorstel uit te breiden naar gegevensuitwisseling tussen zorgverleners én met patiënten/cliënten?

Daarnaast willen de leden van de fractie van de Partij voor de Dieren weten hoe de regering gaat zorgen voor het minimaliseren van de gegevensuitwisseling (oftewel geen gegevens uitwisselen die niet uitgewisseld hoeven worden)? Ter illustratie: er kan gedacht worden een kwaliteitsstandaard voor de eerste hulp waarin gegevens A, B, C, en D opgenomen zijn. Stel een patiënt breekt zijn of haar been, en wordt na een bezoek aan de eerste hulp doorgestuurd naar een fysiotherapeut. Deze behandelaar zou bij wijze van spreken gegevens B en D nodig hebben. Worden dan ook alleen gegevens B en D doorgestuurd, of krijgt de behandelaar dan alle gegevens? En hoe zit dit als de eerder genoemde fysiotherapeut de patiënt doorverwijst naar een revalidatiecentrum? Krijgt deze dan van de fysiotherapeut alleen gegevens B en D of het hele pakket? Hoe zou deze situatie uitpakken, als het revalidatiecentrum ook gegeven C nodig blijkt te hebben. Kan deze dan zonder tussenbericht van de eerder genoemde fysiotherapeut opgevraagd worden aan de eerste hulp?

8.4 Fraude

9. Advies en consultatie

9.1 Toezicht- en handhaafbaarheidstoets IGJ

9.2 Uitvoering- en handhaafbaarheidstoets Nederlandse Zorgautoriteit (NZa)

9.3 Toets Zorginstituut Nederland (Zorginstituut)

9.4 Toets Adviescollege toetsing regeldruk (ATR)

9.5 Toets Vereniging Nederlandse Gemeenten (VNG)

9.6 Toets Autoriteit Persoonsgegevens (AP)

De leden van fractie de Partij voor de Dieren begrepen dat de Autoriteit Persoonsgegevens (AP) stevige kritiek had op het conceptwetsvoorstel, en dat een gedeelte hiervan is meegenomen door de regering. Waarom heeft de regering niet alle kritiek overgenomen? Kan de regering verduidelijken waarom zij de kritiek niet herkende? Heeft de AP gereageerd op de reactie van de regering?

De leden van fractie de Partij voor de Dieren vragen aan de regering wat de verwachte extra werkdruk gaat zijn voor de AP naar aanleiding van dit wetsvoorstel? Daarbij vragen deze leden hoe hier rekening mee wordt gehouden bij de uitvoering van de motie Hijink c.s. (Kamerstuk 27 529 Nr. 240)?

9.7 Raad voor Rechtsbijstand

9.8 Raad voor de rechtspraak

9.9 Internetconsultatie

10. Evaluatie, overgangsrecht en inwerkingtreding

10.1 Evaluatie

10.2 Overgangsrecht

10.3 Inwerkingtreding

Artikelsgewijs

Artikel I

1.4 Tweede Lid:

De leden van de fractie van de Partij voor de Dieren lezen in de wetstekst dat er bij artikel 1.4 2a verwezen wordt naar kwaliteitstandaard conform de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Echter wordt er in dit artikel geen kwaliteitsstandaard genoemd, kan de regering dit toelichten? Daarnaast willen deze leden ook weten hoe de kwaliteitsstandaarden bepaald gaat worden, komt dit vanuit de zorgverleners zelf? NEN? Of gaan we hierbij wederom een verschuiving naar de zorgverzekeraars zien, met alle gevolgen van dien?

Artikel II

Artikel III

Artikel IV

Artikel V

Artikel VI

Artikel VII

Artikel VIII

Artikel VIIII

Overig:

De leden van de fractie van de Partij voor de Dieren zien mogelijkheden voor een gefaseerde regionale uitrol van het wetsvoorstel. Deze regionale uitrol zou mogelijk zijn wanneer er privacy bestendig, niet elektronisch verplicht, en er met een decentrale digitale infrastructuur gewerkt gaat worden. Is de regering bereid, wanneer aan het voorgaande voldaan is, een regionale proef op te starten? Zo ja, op welke termijn denkt de regering dit te kunnen doen?