Brief regering : Vierde voortgangsrapportage Wet cliëntrechten bij elektronische verwerking van gegevens in de zorg (Wabvpz)

Nr. 228
BRIEF VAN DE MINISTER VOOR MEDISCHE ZORG

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 14 december 2020

Op 4 oktober 2016 heeft de Eerste Kamer de Wet cliëntrechten bij elektronische verwerking
van gegevens in de zorg1 aangenomen. Hierbij is toegezegd dat beide Kamers jaarlijks geïnformeerd zullen worden
over de voortgang van de wet. De eerste voortgangsrapportage stuurde ik op 12 december
2017 naar uw Kamer (Kamerstuk 27 529, nr. 152), de tweede voortgangsrapportage ontving uw Kamer op 20 december 2018 (Kamerstuk
27 529, nr. 167) en de derde in deze reeks van voortgangsrapportages ontving uw Kamer op 13 december
2019 (Kamerstuk 27 529, nr. 209). Deze brief vormt de vierde en laatste voortgangsrapportage en betreft de periode
december 2019 tot en met begin december 2020.

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) omvat
waarborgen voor cliënten bij elektronische gegevensuitwisseling. Een deel van de wettelijke
bepalingen is per 1 juli 2017 in werking getreden. Voor de inwerkingtreding van de
bepalingen rondom elektronische afschrift/inzage en logging is een groeimodel afgesproken.
Op deze manier kregen zorgaanbieders de tijd zich hierop voor te bereiden. De bepalingen
in onder andere artikel 15e zijn op 1 juli jongstleden in werking getreden.

In artikel 15e van de Wabvpz wordt er ingegaan op logging en specifiek welke loggingsinformatie
moet worden opgenomen in een afschrift. Op grond van art. 15e kan een cliënt verzoeken
om een overzicht met daarin opgenomen wie wanneer bepaalde informatie beschikbaar
heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien. In aanvulling op
art. 15e van de Wabvpz moet de logging voldoen aan de eisen van NEN 75132.

In mijn vorige rapportage heb ik een aantal toezeggingen gedaan met betrekking tot
gegevensuitwisseling in de zorg. Over de voortgang van een deel hiervan bent u separaat
geïnformeerd3. Daarnaast heb ik uw Kamer gemeld dat bij de inwerkingtreding van de artikelen 15d
(recht op kosteloze elektronische inzage en afschrift van het dossier) en 15e (recht
op elektronische inzage in de loggegevens) van de Wabvpz in het eerste halfjaar van
2020 aanvullende informatie zou worden gegeven aan het zorgveld. Dit is gebeurd in
de vorm van een juridische factsheet4. De factsheet is verspreid met behulp van de AVG Helpdesk5 en is tevens terug te vinden op de website van de rijksoverheid en die van verschillende
brancheorganisaties.

In deze voortgangsrapportage ga ik in op de onderwerpen waar ontwikkelingen te melden
zijn: de implementatie van de norm NEN 7513 – welke betrekking heeft op artikel 15e
van de Wabvpz – en de revisie van desbetreffende norm. Tevens ga ik hiermee in op
de vraag van Kamerlid Raemakers met betrekking tot het bewustzijn en gebruik van het
elektronisch ontsluiten van logginggegevens6.

Logging en elektronisch ontsluiten logginggegevens

Op grond van de AVG is logging in de meeste gevallen al een noodzakelijke beveiligingsmethode.
Ook onder de Wbn (de voorganger van de AVG) was logging al verplicht. Voor de medische
gegevens die beschikbaar zijn via een elektronisch uitwisselingssysteem is van belang
dat volstrekt helder is wat de herkomst van de gegevens is, en tevens dat kenbaar
is wie bepaalde informatie heeft ingezien en op welk moment. Daarom is in artikel
15e van de Wabvpz bepaalt welke gegevens uit logging moeten blijken. Daarnaast schrijft
het Besluit elektronische gegevensuitwisseling door zorgaanbieders via NEN 7513 voor
waar logging aan moet voldoen.

NEN 7513 is een norm van het Koninklijk Nederlands Normalisatie Instituut. Het geeft
aanwijzingen over de te gebruiken templates van de logging voor cliënten en zorgaanbieders,
conform wettelijke kaders. Zo stelt de norm eisen aan de registratie van gegevens
rond de toegang tot de totale verzameling van alle elektronisch vastgelegde persoonlijke
gezondheidsinformatie. Het beschrijft de stelselmatige geautomatiseerde registratie
van gegevens rond de toegang tot het elektronisch opgeslagen patiëntdossier die controle
van de rechtmatigheid ervan mogelijk maakt. Het specificeert de gebeurtenissen die
worden gelogd en de loggegevens die bij een gebeurtenis in een logregel worden vastgelegd.
De gebeurtenissen betreffen toegang tot patiëntgegevens, toegang tot de logging en
gebeurtenissen die invloed kunnen hebben op de betekenis of de betrouwbaarheid van
de logging. Daarnaast specificeert de norm het detailniveau waarmee de acties worden
gelogd die bij een gebeurtenis plaatsvinden. Als er bijvoorbeeld gegevens zijn toegevoegd
in een patiëntdossier zal dat als feit worden gelogd. De toegevoegde gegevens zelf
staan dan in het patiëntdossier, niet in de logging.

In het Algemeen Overleg met de vaste commissie van VWS in uw Kamer, gehouden op 8 oktober
2020, over Gegevensuitwisseling/Gegevensbescherming/ICT/E-health/Slimme zorg/Administratieve
lasten heb ik toegezegd om in de vierde voortgangsrapportage in te gaan op de vraag
of patiënten de weg tot het verkrijgen van inzicht in hun loggegevens voldoende kennen.

Op grond van de AVG hebben patiënten al het recht om inzage in hun medische gegevens
(en dus ook de loggegevens) te vragen. Vanaf 1 juli 2020 hebben patiënten op grond
van de Wabvpz ook recht op elektronische inzage in hun medische gegevens en recht
op elektronische inzage in de loggegevens. Op het generieke inzagerecht uit de AVG
wordt de patiënt voldoende gewezen door zorgaanbieders.

Eerder is aan de Tweede Kamer gemeld dat ik vooral wil inzetten op bewustwording om
patiënten beter bekend te maken met hun rechten ten aanzien van het gebruik van hun
gezondheidsgegevens. Dit gebeurt op dit moment in verschillende programma’s, waar
ik zoveel mogelijk bij aansluit.

Ik ben op dit moment aan het bekijken wat er nog meer nodig is aan gerichte acties
bovenop de bewustwordingscampagnes die al lopen om patiënten beter te informeren over
wat wel en niet van ze gevraagd mag worden in het kader van de uitwisseling van gezondheidsgegevens.
Ik zal daarbij ook bezien wat er nog nodig is om patiënten te informeren over hun
recht op inzage van logginggegevens. Daarnaast wil ik aanvullend inzicht krijgen in
de mate waarop daadwerkelijk gebruik wordt gemaakt van dit recht.

Daarnaast is de Autoriteit Persoonsgegevens gevraagd of er klachten binnen zijn gekomen
over digitale inzage in loggegevens en de implementatie hiervan. De AP heeft laten
weten dat er slechts enkele klachten en signalen binnen zijn gekomen. Deze klachten
en signalen vormden voor de AP geen aanleiding om nader controlerend onderzoek in
te stellen.

De IGJ ziet er, op basis van de Wet Kwaliteit, klachten en geschillen zorg (Wkkgz),
op toe dat zorgaanbieders voldoen aan de juiste randvoorwaarden voor de inzet van
ICT, zodat de kwaliteit en veiligheid van de zorg daardoor niet in het geding komen.
Het onderwerp informatiebeveiliging is onderdeel van het toetsingskader van de IGJ,
voor zover dit invloed heeft op de continuïteit van de informatiesystemen. De IGJ
en het AP hebben een samenwerkingsprotocol over de wijze van samenwerking bij het
toezicht opgesteld7. Daarin is afgesproken dat het toezicht op de privacyaspecten van informatiebeveiliging,
waaronder dus ook de deze specifieke norm valt, primair is belegd bij de AP.

Vooralsnog zie ik geen reden om aan te nemen dat patiënten het recht op elektronische
inzage/afschrift en de manier waarop zij dit kunnen ontsluiten niet kennen. Dit geldt
ook voor de implementatie van de desbetreffende norm (NEN 7513). Ik vertrouw erop
dat ik hiermee de vraag van de heer Raemakers voldoende heb beantwoord.

Revisie NEN 7513

Vanuit het programma Elektronische Gegevensuitwisseling in de Zorg onderzoekt het
Ministerie van VWS samen met NEN en de zorgsector of een revisie van de NEN 7513 noodzakelijk
is. Bij de revisie van andere normen (NTA 7516, NEN 7503) wordt onderscheid gemaakt
in rollen en verantwoordelijkheden voor zorgaanbieders en leveranciers. Mogelijk is
een dergelijke aanvulling ook relevant voor NEN 7513. Leveranciers van logging software
geven volgens NEN aan dat de norm te veel vrijheden geeft. De internationale norm
ISO 27789 «Audit trails for electronic health records» wordt momenteel herzien en zoekt deze een betere aansluiting bij de HL7 standaarden.
De norm heeft dezelfde scope als NEN 7513, waardoor eventuele veranderingen ook relevant
zijn voor NEN 7513.

Bij normontwikkeling is het belangrijk dat alle belanghebbende partijen deel kunnen
nemen. NEN heeft dan ook een oproep gedaan aan alle zorgaanbieders, zorggebruikers-
en patiëntenorganisaties, zorgverzekeraars, ICT-leveranciers, adviesbureaus en certificerende
instellingen om deel te nemen aan de informatiebijeenkomst van 2 december 2020. Tijdens
deze bijeenkomst is gebleken dat de aanwezige partijen de behoefte hebben aan een
revisie. Een van de voornaamste redenen hiervoor is dat de ontwikkelingen met betrekking
tot de revisie ISO 27789 relevant zijn voor NEN 7513, waardoor deze ook moeten worden
doorgevoerd. Daarnaast gaven zorgaanbieders aan dat er behoefte is aan een verduidelijking
van de eisen die de norm stelt en bij wie de verantwoordelijkheid voor het implementeren
van de norm ligt – de ICT-leveranciers of de zorgaanbieders zelf.

Ik vertrouw erop u hiermee voldoende geïnformeerd te hebben over de implementatie
van NEN 7513 en (het bewust zijn onder patiënten over) het ontsluiten van zowel logginggegevens
als elektronische inzage/afschrift.

De Minister voor Medische Zorg,
T. van Ark