Brief regering : Regie op elektronische gegevensuitwisseling in de zorg

35 824 Regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners
in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de
zorg)

Nr. 268
BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 oktober 2021

Voor zorgverleners en voor de mensen aan wie zij zorg verlenen is het belangrijk dat
zij tijdig over de juiste informatie beschikken, zodat de juiste zorg op de juiste
plaats en op het juiste moment geleverd kan worden. Dit is op dit moment nog niet
altijd het geval. Zorgverleners wisselen nog steeds veel uit op papier of via de fax.
Daarnaast moet er nog vaak informatie worden overgetypt, dit zorgt soms voor fouten
en levert een flinke bijdrage aan de administratieve lastendruk in de zorg. Ook moeten
mensen hun verhaal vaker vertellen, omdat zorgverleners niet over alle informatie
beschikken. Om het uitwisselen van gegevens in de zorg beter, sneller en eenvoudiger
te laten verlopen is het noodzakelijk om de gegevensstromen te digitaliseren; dit
is een grote opgave.

Over dit onderwerp zijn aan uw Kamer door mijn voorgangers meerdere brieven gezonden
en met uw Kamer debatten gevoerd. De urgentie is groot en mede daarom heeft het zorgveld
mij samen met uw Kamer gevraagd nog meer regie te nemen. Dit onder meer met de gewijzigde
motie van de leden Aukje De Vries (VVD), Dijkstra (D66) en Van den Berg (CDA) die
verzoekt «regie te nemen en tevens te onderzoeken of het mogelijk is een wettelijke
basis te creëren voor het verplichten van een goede, verantwoorde en veilige elektronische
gegevensuitwisseling tussen zorgaanbieders»1. Een dergelijke verplichting is een volgende stap in de stapsgewijs toegenomen rol
van de overheid in het versnellen van elektronische gegevensuitwisseling in de zorg
in de afgelopen jaren. Ik onderschrijf de noodzaak daartoe en werk nauw samen met
de partijen in het zorgveld om versnelling te realiseren, want zowel de overheid als
het veld kunnen dit niet alleen.

Het wetsvoorstel elektronische gegevensuitwisseling in de zorg is op 3 mei van dit
jaar aan uw Kamer aangeboden (Kamerstuk 35 824, nrs. 1 tot en met 4). Mijn voorgangers op dit dossier hebben uw Kamer daaraan voorafgaand met voortgangsbrieven
geïnformeerd (Kamerstuk 27 529, nrs. 219, 230, 263 en 189).

Gelijktijdig met deze brief bied ik uw Kamer zowel de nota naar aanleiding (Kamerstuk
35 824, nr. 6) van het verslag als een nota van wijziging (Kamerstuk 35 824, nr. 7) aan, waarmee in het wetsvoorstel verduidelijkt wordt dat dit wetsvoorstel niet verplicht
tot het uitwisselen van gegevens en daarmee het mogelijk breken van het medisch beroepsgeheim.
Dit mede gezien de vragen vanuit uw Kamer hierover.

In het eerste deel van deze brief leg ik uit hoe de Wegiz werkt en hoe deze wet de
komende jaren elektronische uitwisseling in de zorg gaat versnellen. Ik schets welke
afspraken ik met de zorg wil gaan maken om tot implementatie te komen en hoe de planning
eruit ziet. De Wegiz is een kaderwet; nadere invulling en implementatie zullen dus
stapsgewijs plaatsvinden.

In het tweede deel van de brief neem ik uw Kamer mee in de randvoorwaarden om te komen
tot zorgbrede elektronische uitwisseling. De Wegiz verplicht elektronische uitwisseling
voor specifieke situaties, bijvoorbeeld als er een beeld uitgewisseld moet worden
tussen ziekenhuizen. Dat is noodzakelijk, maar niet voldoende om zorgbreed informatie
te laten stromen. Daarom zet ik ook maximaal in op het scheppen van de juiste randvoorwaarden.
In deze brief ga ik onder meer in op de ontwikkeling en het beheer van informatiestandaarden,
op het digitaal identificeren en adresseren van zorgverleners, op het kunnen vaststellen
dat – indien nodig – toestemming is gegeven voor uitwisseling, en op herijking van
de grondslagen voor gegevensuitwisseling passend bij de omslag van papier naar digitaal.
Daarnaast ga ik in op informatieveiligheid, op de rol van leveranciers en op maatschappelijk
acceptabele kosten van elektronische gegevensuitwisseling. Tot slot ga ik in het tweede
deel van deze brief ook in op hergebruik van informatie voor betere zorg van morgen
en op de internationale context.

I De Wegiz

Met het wetsvoorstel Elektronische gegevensuitwisseling in de zorg en de aanwijzing
van verplichte elektronische gegevensuitwisselingen neemt de overheid weer een grotere
rol in de totstandkoming van gegevensuitwisseling in de zorg. Dit wetsvoorstel zorgt
ervoor dat gegevens die tussen zorgverleners worden uitgewisseld voor het verlenen
van goede zorg verplicht elektronisch worden uitgewisseld. Hieronder beschrijf ik
eerst hoe het wetsvoorstel eruit ziet; ik leg uit welke afspraken ik met de zorg wil
gaan maken en wat er vastgelegd gaat worden in de onderliggende AMVB’s. Het zorgveld
heeft zelf een rol in het bepalen welke gegevensuitwisseling wanneer verplicht elektronisch
wordt, ik licht op welke wijze deze planning tot stand komt.

Het wetsvoorstel

Het wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) is een heel
zichtbare stap in de toenemende regie van de overheid op de digitalisering van de
informatiestromen in de zorg. Dit wetsvoorstel zorgt ervoor dat gegevens die tussen
zorgverleners worden uitgewisseld voor het verlenen van goede zorg verplicht elektronisch
worden uitgewisseld. De Wegiz bepaalt niet welke gegevens nodig zijn voor goede zorg,
dat bepalen zorgprofessionals zelf. De Wegiz schrijft alleen voor dat dit moet zijn
vastgelegd in een kwaliteitsstandaard of in wet- en regelgeving. De Wegiz bepaalt
voor aangewezen gegevensuitwisselingen wel dat deze ten minste elektronisch moeten
verlopen en kan ook aanwijzen hoe, met welke eisen aan taal en techniek, dit moet.

De Wegiz kent een lange aanloop. Al in 2000 werd vastgesteld dat de potentie van elektronische
gegevensuitwisseling groot was, maar dat er in de zorg nog onvoldoende gebruik werd
gemaakt van de beschikbare mogelijkheden (Kamerstuk 27 529, nr. 1). In de jaren erna is vervolgens gewerkt aan de totstandkoming van wat het landelijk
Elektronisch Patiëntendossier (EPD) ging heten. Hoewel de naam anders doet vermoeden
werd hierbij gewerkt aan digitalisering van de gegevensuitwisseling en niet aan een
landelijk dossier. Een kernelement daarvan was het Landelijk Schakelpunt, waarlangs
gegevens elektronisch worden uitgewisseld. Het toenmalige wetsvoorstel dat regels
stelde omtrent de infrastructuur en inrichting van een landelijk EPD (Kamerstuk 31 466, A) werd in 2011 door de Eerste Kamer verworpen. Onder meer omdat het zorgveld minder
overheidsbetrokkenheid wilde. Op basis daarvan diende het lid Tan c.s. (Kamerstuk
31 466, X) een motie in. Daarin werd gevraagd om elke beleidsinhoudelijke, financiële en organisatorische
medewerking aan de landelijke infrastructuur voor elektronische gegevensverwerking
te beëindigen. De koepelorganisaties in de zorgsector hebben vervolgens het beheer
van het Landelijk Schakelpunt – dat destijds al door de overheid was gerealiseerd –
in eigen beheer genomen.

Door het veld zijn – met ondersteunende programma’s en maatregelen vanuit mijn ministerie –
vervolgens nieuwe stappen in de richting van elektronische uitwisseling gezet. Er
is een basis gelegd voor een genormaliseerde uitwisseling van gegevens. Dat wil zeggen:
onafhankelijk van een specifieke elektronische infrastructuur. Het zorglandschap en
de bijbehorende gegevensuitwisselingen zijn echter decentraal ingericht. Mede daardoor
is de gewenste elektronische gegevensuitwisseling – ondanks de stappen die de afgelopen
jaren door het zorgveld zijn gezet – nog niet voldoende tot stand gekomen. Zoals ik
in de memorie van toelichting bij het wetsvoorstel (Kamerstuk 35 824, nr. 3) heb aangegeven, komt dat onder andere door een gebrek aan eenduidigheid in taal
en techniek. Maar ook door het ontbreken van een samenhangende en centrale aanpak
van alle betrokken partijen. Dat leidt in de praktijk tot vermijdbare fouten (zoals
verkeerd gestelde diagnoses). Maar ook tot een toename van administratieve lasten
(zoals overtypen) en een toename van de zorgkosten (bijvoorbeeld wanneer onderzoek
moet worden overgedaan door het ontbreken van gegevens).

Gestimuleerd door de verzoeken vanuit zowel het zorgveld als uw Kamer2 trekt het kabinet sinds 2018 de regie meer naar zich toe om de totstandkoming van
elektronische gegevensuitwisseling in de zorg te versnellen. Het aanbieden van de
Wegiz aan uw Kamer vormt daarin een belangrijke mijlpaal.

Spoor 1 en spoor 2

Het doel van de Wegiz is het interoperabel uitwisselen van gegevens volgens een voor
die aangewezen gegevensuitwisseling aangewezen norm. In die norm staan in ieder geval
de eisen aan taal en techniek zodat systemen elkaar begrijpen en bereiken. Dit wordt
ook wel aangeduid als spoor 2. Soms moeten voor een bepaalde gegevensuitwisseling
eerst nog (grote) stappen worden gezet. Dan kan er met het oog op het behoud van tempo
voor worden gekozen om eerst verplicht de aangewezen gegevens elektronisch uit te
wisselen (spoor 1).

Maximale interoperabiliteit is dan nog niet verplicht, maar wel beoogd. Uiteraard
worden het zorgveld en de ICT-leveranciers nauw betrokken bij het normalisatieproces.
Zo wordt hun deskundigheid optimaal benut. Ook de (vertegenwoordigers van) cliënten
worden betrokken.

In de kaders voor normen is expliciet opgenomen dat er een open standaard geldt ten
aanzien van infrastructuren voor gegevensuitwisseling. Er wordt dus geen specifieke
ICT-infrastructuur of -voorziening aangewezen voor de uitwisseling van gegevens. Anders
dan bij het wetsvoorstel voor het landelijk EPD, houden zorgaanbieders hierdoor hun
keuzevrijheid op het gebied van ICT-infrastructuur, -producten en -voorzieningen,
tenzij in andere wetgeving ander is bepaald. Denk daarbij bijvoorbeeld aan het gebruik
van de UZI-pas, waarop ik in het tweede deel van deze brief in ga.

Koppeling met het stelsel van kwaliteitsstandaarden

Met de Wegiz wordt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen
te bepalen hoe gegevens uitgewisseld moeten worden. Welke gegevens tussen zorgverleners
worden uitgewisseld voor het verlenen van goede zorg wordt echter bepaald door de
zorgprofessionals zelf. Wat goede zorg is leggen zorgprofessionals neer in onderdelen
van de professionele standaard of in kwaliteitsstandaarden. Onderdelen van de professionele
standaard, waaronder bijvoorbeeld veldnormen, zijn echter niet toereikend om naar
te verwijzen in een AMvB onder de Wegiz, omdat deze vormvrij en eenvoudig te wijzigen
zijn. Ook is de kenbaarheid en transparantie niet geborgd. Soms is een onderdeel van
de professionele standaard niet meer dan «bestaande praktijk» en niet schriftelijk
vastgelegd. Dit maakt dat onderdelen van de professionele standaard op een hoog tempo,
zonder afstemming met alle betrokkenen en zonder berichtgeving kunnen worden aangepast.
Daarom is in de Wegiz ervoor gekozen om aan te sluiten bij het stelsel van kwaliteitstandaarden.

Door de keuze voor een kwaliteitsstandaard als kenbare bron wordt geborgd dat gegevens
daadwerkelijk worden uitgewisseld, zodat vanuit de Wegiz vervolgens eisen gesteld
kunnen worden hoe deze gegevens worden uitgewisseld. Dat gegevens daadwerkelijk worden
uitgewisseld wordt geborgd doordat de kwaliteitsstandaarden tripartiet tot stand komen,
dat wil zeggen door organisaties van cliënten, zorgaanbieders of zorgverleners en
zorgverzekeraars of Wlz-uitvoerders. Daarnaast is geborgd dat de gegevensuitwisseling
kenbaar is voor de zorgverleners, door registratie ervan in het openbaar register
van het Zorginstituut Nederland. Ten slotte geldt dat het uitgangspunt van een kwaliteitsstandaard
is dat de kwaliteitsstandaard door de zorgverlener wordt toegepast. Dit geldt daarmee
ook voor de vraag of het noodzakelijk is gegevens uit te wisselen.

De koppeling van gegevensuitwisseling aan kwaliteitsstandaarden moet met de komst
van de Wegiz het uitgangspunt worden, waarbij ik merk dat deze praktijk vaak nog moet
gaan aansluiten. Daarom is, om de snelheid te houden voor de vier geprioriteerde gegevensuitwisselingstrajecten,
gekozen voor de mogelijkheid tijdelijk af te wijken van de eis dat de gegevensuitwisseling
moet zijn neergelegd in een kwaliteitsstandaard (of in wet- en regelgeving). Dit is
voor een periode van maximaal vijf jaar.

Ik heb het Zorginstituut Nederland gevraagd een actieve bijdrage te leveren ter ondersteuning
van het zorgveld bij de realisatie van de relevante kwaliteitsstandaarden voor de
op de Meerjarenagenda Wegiz geprioriteerde uitwisselingen. De komende jaren wordt
er maximaal ingezet om de kwaliteitstandaarden die nodig zijn om de Wegiz een stap
verder te brengen. In gesprek met het Zorginstituut Nederland en het zorgveld bekijk
ik op welke wijze ook ik daarbij kan ondersteunen.

Planning en snelheid

Vliegwieleffect

De Wegiz verplicht elektronische gegevensuitwisseling stapsgewijs. Dat zou de indruk
kunnen wekken dat dit leidt tot traagheid in de digitalisering van de zorg. Maar het
maken van afspraken over de eenheid van taal en techniek hoeft niet te wachten op
een aankomende verplichting onder de Wegiz. Daar waar dat nodig is vormt de aanwijzing
van een gegevensuitwisseling onder de Wegiz het sluitstuk van landelijke implementatie
door afspraken wettelijk te verplichten. De prioritering van gegevensuitwisselingen
geeft ook focus voor landelijke initiatieven, zo sluit de Meerjarenagenda Wegiz aan
bij grote programma’s in het zorgveld.

Elke aangewezen gegevensuitwisseling leidt tot verdere invulling van gezamenlijk gedragen
standaarden, afspraken en eisen die breder toepasbaar zijn. Door hergebruik van afspraken
wordt het met iedere gegevensuitwisseling makkelijker om een volgende gegevensuitwisseling
te digitaliseren. Informatiebouwstenen die bijvoorbeeld eerder door een spoor 2-aanwijzing
verplicht zijn, kunnen onderdeel worden van andere nieuwe elektronische uitwisselingen.
Ook wanneer deze (nog) niet onder de Wegiz zijn genormeerd.

Het vliegwieleffect geldt ook voor het gebruik van persoonlijke gezondheidsomgevingen
(PGO), waarin mensen zelf regie hebben op de eigen (medische) gegevens. Door de wettelijke
verplichting voor zorgaanbieders bepaalde gegevens volgens standaarden elektronisch
uit te wisselen, zijn deze gegevens ook eenvoudig te ontsluiten in een PGO. Daarbij
geef ik Nederlands Normalisatie Instituut (NEN) als kader mee dat bij elke normontwikkeling
in het kader van gegevensuitwisseling aan moet worden gesloten bij het afsprakenstelsel
van MedMij.

Meerjarenagenda Wegiz

Welke gegevensuitwisselingen zullen worden verplicht is kenbaar voor iedereen. In
de Meerjarenagenda Wegiz geef ik, samen met de zorgsector, de prioriteiten aan voor
de komende jaren voor het bevorderen van elektronische gegevensuitwisseling in de
zorg. Dat doen we vanuit de zorginhoud en de integraliteit, waarbij we op samenhang
sturen. Uit de gegevensuitwisselingen die in 2019 zijn geselecteerd (op basis van
advies van het Informatieberaad Zorg) zijn vier gegevensuitwisselingen geselecteerd.
Deze «geprioriteerde gegevensuitwisselingen» worden met voorrang gerealiseerd.

Dit zijn Uitwisseling van beeld en bijbehorend verslag tussen MSZ-instellingen, Overdracht
van de Basisgegevensset Zorg (BgZ) tussen MSZ-instellingen, digitaal voorschrijven
en ter hand stellen en Verpleegkundige Overdracht.

Met de Wegiz zal ik de Meerjarenagenda Wegiz van een wettelijke basis voorzien. De
Meerjarenagenda Wegiz zal, zodra deze wettelijke basis er is, alle gegevensuitwisselingen
omvatten waarvan ik voornemens ben om deze onder de Wegiz aan te wijzen bij AMvB.
Ik wil benadrukken dat de Meerjarenagenda niet een lijst van op zichzelf staande gegevensuitwisselingen
is, maar dat er een grote mate van samenhang bestaat tussen de gegevensuitwisselingen.
Zo komen de bouwstenen uit de Basisgegevensset Zorg (BgZ) ook voor in andere gegevensuitwisselingen
en komt de uitwisseling van radiologische beelden de oncologische zorg weer ten goede.

Door het inbouwen van bouwstenen voor gegevensuitwisseling in het domein van de curatieve
zorg kunnen in de toekomst ook eenvoudiger gegevens worden uitgewisseld met zorgaanbieders
in de langdurige zorg. Door bijvoorbeeld de uitwisseling van medicatiegegevens en
de BgZ in de curatieve zorg te realiseren ontstaan zo ook effecten over de zorgdomeinen
heen. Deze samenhang geeft focus en biedt mogelijkheden voor versnelling. Het is mijn
streven om in de komende jaren voort te bouwen op de samenhang tussen de gegevensuitwisselingen
op de Meerjarenagenda Wegiz en deze verder te bevorderen. Om de prioriteiten aan te
geven voor het veld en aan te sluiten bij de ontwikkelingen wordt de Meerjarenagenda
Wegiz periodiek geactualiseerd.

Geactualiseerde Meerjarenagenda Wegiz

De Meerjarenagenda Wegiz is in de periode januari tot juni 2021 geactualiseerd in
nauwe samenwerking met het zorgveld.3 De aanleiding om de Meerjarenagenda te actualiseren is dat sinds het opstellen van
de oorspronkelijke Roadmap met gegevensuitwisselingen in 2019 meer duidelijkheid is
gekomen over de gekozen systematiek van het wetsvoorstel en de redenen om een gegevensuitwisseling
al dan niet aan te wijzen onder de Wegiz. Om uw Kamer een concreter beeld te geven
van de beoogde werking van de Meerjarenagenda Wegiz en de gegevensuitwisselingen informeer
ik u met deze brief over de uitkomsten van de actualisatie. Als bijlage bij deze brief
treft uw Kamer de geactualiseerde Meerjarenagenda Wegiz aan en het daarbij behorende
eindrapport.4

De Meerjarenagenda Wegiz bevat na actualisatie in totaal nog elf gegevensuitwisselingen,
waarvan de vier eerdergenoemde gegevensuitwisselingen inmiddels met voorrang worden
gerealiseerd. Bij de aanbieding van de Wegiz aan uw Kamer heb ik de verwachting uitgesproken
om in de zomer met de geactualiseerde Meerjarenagenda Wegiz van deze vier gegevensuitwisselingen
een zo volledig mogelijk tijdpad aan uw Kamer toe te kunnen zenden (Kamerstuk 27 529, nr. 263). Om invulling te geven aan mijn toezegging heb ik hieronder de te verwachten ingangsdatum
van de AMvB voor de vier geprioriteerde gegevensuitwisselingen opgenomen en aanvullend
daarop de fase waarin zij zich momenteel bevinden.

Bij het selecteren en uitwerken van een gegevensuitwisseling tot een aanwijzing bij
AMvB onder de Wegiz worden vier fasen doorlopen. In de voorfase worden gegevensuitwisselingen
door middel van een eerste toets beoordeeld op toegevoegde waarde, draagvlak en realiseerbaarheid.
Daarna worden in de voorbereidingsfase twee verdiepende onderzoeken uitgevoerd, de
maatschappelijke kosten baten analyse (MKBA) en de Volwassenheidsscan (VHS). De Volwassenheidsscan
is ontwikkeld om te kunnen beoordelen in welke mate zorgaanbieders klaar zijn voor
implementatie van een gegevensuitwisseling. In de uitvoeringsfase wordt vervolgens
de aanwijzing bij AMvB uitgewerkt, waarna in de nazorgfase wordt toegezien op het
nakomen van de gemaakte afspraken.5

Ingangsdatum en fase per gegevensuitwisseling

1. Uitwisseling van beeld en bijbehorend verslag tussen instellingen voor Medisch Specialistische
Zorg (MSZ)

De onderzoeken die gedaan worden in de voorbereidingsfase (Volwassenheidsscan en MKBA)
zijn afgerond en geven een positieve uitkomst. Door het veld is een voorstel voor
een kwaliteitsstandaard ingediend bij het Zorginstituut en door Nictiz wordt een informatiestandaard
ontwikkeld. Inmiddels is begonnen met de uitvoeringsfase. Daarbij is een begin gemaakt
met het ontwikkelen van de benodigde NEN-norm en met de uitwerking van een AMvB. De
beoogde spoor 2-aanwijzing kan naar verwachting in 2024 in werking treden, er wordt
onderzocht of een eerdere stap gezet kan worden met een spoor 1-aanwijzing.

2. Overdracht van de Basisgegevensset Zorg (BgZ) tussen MSZ-instellingen

De onderzoeken die gedaan worden in de voorbereidingsfase (Volwassenheidsscan en MKBA)
zijn afgerond. De uitkomsten van de MKBA zijn positief. De uitkomsten van de Volwassenheidsscan
laten zien dat er nog behoorlijke stappen te zetten zijn richting implementatie. De
vooruitzichten worden echter, mede door de uitvoering van het VIPP 5-programma en,
de ontwikkeling van de benodigde kwaliteitsstandaard en informatiestandaard die onlangs
is opgeleverd, toch als positief ingeschat. Op basis van de uitgevoerde onderzoeken
is ervoor gekozen om meteen een spoor 2-aanwijzing uit te werken. Inmiddels is ook
een start gemaakt met de ontwikkeling van de benodigde NEN-norm en de uitwerking van
een AMvB. De beoogde spoor 2-aanwijzing kan naar verwachting in 2024 in werking treden.

3. Digitaal voorschrijven en ter hand stellen

De spoor 1-aanwijzing die momenteel wordt voorbereid bevindt zich in de uitvoeringsfase.
Wanneer de Wegiz wordt aangenomen, kan de spoor 1-aanwijzing naar verwachting in 2023
in werking treden. Beoogd is om uiteindelijk een spoor 2-aanwijzing te realiseren.
De voorbereidingsfase voor de spoor 2-aanwijzing loopt momenteel. Voor de herziening
van de benodigde NEN-norm6 heeft recent de openbare commentaarronde plaatsgevonden. De uitkomsten hiervan worden
nu door NEN in een volgende versie van de norm verwerkt. Een spoor 2-aanwijzing voor
deze gegevensuitwisseling kan naar verwachting in 2026 in werking treden.

4. Verpleegkundige Overdracht

De voorbereidingsfase wordt momenteel doorlopen. Van de verdiepende onderzoeken in
de voorbereidingsfase is de MKBA inmiddels afgerond. Door het zorgveld wordt momenteel
de benodigde kwaliteitsstandaard opgesteld. Het stimuleringsprogramma InZicht loopt
tot eind 2022. Naar verwachting kan eind 2022 ook een goede inschatting worden gemaakt
van wat er aanvullend moet gebeuren om de Verpleegkundige overdracht breed te implementeren
door middelen van een spoor 2-aanwijzing. In afstemming met het veld onderzoek ik
momenteel of een spoor 1-aanwijzing voorafgaand aan een spoor 2-aanwijzing een reële
mogelijkheid is. Naar verwachting is hier eind van dit jaar zicht op.

Voor de overige gegevensuitwisselingen op de Meerjarenagenda Wegiz is de ambitie om
te komen tot een spoor 2-aanwijzing. Als opmaat naar een spoor 2-aanwijzing kan eerst
een spoor 1-aanwijzing worden overwogen. Door middel van een spoor 1-aanwijzing kunnen
namelijk lopende ontwikkelingen binnen het veld naar elektronische uitwisseling van
gegevens worden versneld, afgerond en geborgd. De overige gegevensuitwisselingen op
de Meerjarenagenda Wegiz zijn:

5. Medicatie- en toediengegevens;

6. Laboratoriumgegevens voor medicatie;

7. Contra-indicatie en overgevoeligheden;

8. De gegevensuitwisseling rondom geboortezorg;

9. Gegevensuitwisseling tussen geboortezorg en jeugdgezondheidszorg;

10. Beelduitwisseling pathologie;

11. Gegevensuitwisseling in de oncologische zorg.

De gegevensuitwisselingen vijf tot en met zeven zijn onderdeel van het lopende VWS-programma
Medicatieoverdracht. Meer gedetailleerde informatie over de gegevensuitwisselingen
en het gevolgde proces bij de actualisatie is te vinden in de Meerjarenagenda Wegiz
en het bijbehorende eindrapport die als bijlage zijn bijgevoegd bij deze brief7.

Als het wetsvoorstel wordt aangenomen zal ik de Meerjarenagenda Wegiz voorafgaand
aan de inwerkingtreding opnieuw actualiseren. Daarvoor zal ik een nieuwe uitvraag
doen aan het zorgveld om gegevensuitwisselingen aan te dragen voor op de Meerjarenagenda,
en zal ik ook zelf onderwerpen meegeven aan het veld waarvan ik van mening ben dat
deze meer aandacht verdienen.

Vaststellen van geschiktheid voor aanwijzing

Als onderdeel van de voorbereidingsfase van een gegevensuitwisseling worden twee onderzoeken
gedaan: de MKBA en de volwassenheidsscan. De MKBA is een bekend instrument om maatschappelijke
kosten en baten in kaart te brengen. De volwassenheidsscan is door VWS samen met de
Healthcare Information and Management Systems Society (HIMSS) ontwikkeld. De scan
is bedoeld om te beoordelen in welke mate zorgaanbieders klaar zijn voor de implementatie
van een gegevensuitwisseling. De volwassenheidsscan is onlangs getoetst in twee pilots.
Een belangrijke uitkomst van de pilots is dat er bij zorgaanbieders inderdaad behoefte
is aan een instrument als de volwassenheidsscan, als hulpmiddel bij het implementeren
van een gegevensuitwisseling. Nictiz zal het instrument nu verder ontwikkelen naar
een zelfscan voor zorgaanbieders en ook een voorstel doen voor beheer.

Rapportage ICT-landschap paramedische zorg

Specifieke afspraken zijn belangrijk om gegevens elektronisch te laten stromen. De
voortgang op dit gebied wisselt erg per sector. Dit wordt nogmaals geïllustreerd in
het als bijlage gevoegde rapport waarin Nictiz concludeert dat er op dit moment nauwelijks
sprake is van gestructureerde elektronische gegevensuitwisseling in de eerstelijns
paramedische zorg8. Naar aanleiding van het rapport van Nictiz verken ik samen met de partijen van de
bestuurlijke afspraken paramedische zorg op welke manier gestructureerde elektronische
gegevensuitwisseling vorm kan krijgen binnen deze sector. Deze verkenning moet in
ieder geval inzicht geven in de baten en lasten die hiermee gepaard gaan.

Gateway review programma Elektronische gegevensuitwisseling in de zorg

Voor de zomer is op het programma Elektronische gegevensuitwisseling in de zorg een
Gateway Review (Health Check) uitgevoerd. Op verzoek van uw Kamer heb ik bij de uitvoering
van de Gateway Review tevens aandacht laten besteden aan de aandachtspunten die worden
genoemd in de motie van het lid Renkema (Kamerstuk 27 529, nr. 226). Momenteel werk ik de opvolging van de aanbevelingen van de Gateway Review uit.
Ik zal uw Kamer voor het eind van dit jaar over de vervolgstappen informeren.

II De randvoorwaarden

Het wetsvoorstel Wegiz kan alleen goed geïmplementeerd en uitgevoerd worden als het
informatielandschap in de zorg op orde is. Gegevens moeten eenvoudig, veilig en op
een toegankelijke manier uitgewisseld kunnen worden. Ik ben van plan op een aantal
van deze onderwerpen steviger te gaan sturen. In dit tweede deel van deze brief beschrijf
ik per onderwerp welke stappen ik al gezet heb en welke stappen in van plan de komende
tijd nog te gaan zetten. Achtereenvolgens ga ik in op houderschap van informatiestandaarden,
zorgbrede afspraken en voorzieningen, passende grondslagen voor gegevensuitwisseling,
informatieveiligheid, kosten, hergebruik van informatie en de internationale context.

A. Houderschap van informatiestandaarden in de zorg

Bij de realisatie van elektronische gegevensuitwisseling in de zorg is een belangrijke
rol weggelegd voor het gebruik van informatiestandaarden. Een informatiestandaard
is kortweg een verzameling afspraken van veldpartijen die er voor moeten zorgen dat
de zorginformatie met de juiste kwaliteit kan worden vastgelegd, opgevraagd, gedeeld,
uitgewisseld en overgedragen.

Die standaarden moeten in samenhang beheerd en doorontwikkeld worden, dat ontbreekt
op dit moment. In een eerder onderzoek naar houderschap van informatiestandaarden
heeft adviesbureau Berenschot geadviseerd om het houderschap van informatiestandaarden
bij een publiekrechtelijke organisatie neer te leggen (Kamerstuk 27 529, nr. 210). Het adviesbureau VKA heeft daarom een verkenning uitgevoerd op hoe publieke houderschap
op beheer van informatiestandaarden vorm zou kunnen krijgen. Dit heeft geleid tot
het advies «Governance van Informatiestandaarden in de zorg» dat ik u hierbij toezendt9.

VKA adviseert om het houderschap van informatiestandaarden voor een termijn van maximaal
drie jaar onder te brengen bij een regie-organisatie waarin het veld en het Ministerie
van VWS vertegenwoordigd zijn en samen wordt gewerkt op basis van een convenant. Dit
betreft houderschap van die informatiestandaarden die niet bij een andere veldpartij
als houder belegd kunnen worden of wanneer een programma een informatiestandaard heeft
ontwikkeld, waarbinnen het houderschap was geborgd, eindigt. Zo kan ik er bijvoorbeeld
op toezien dat normen onder de Wegiz aansluiten op afsprakenstelsels zoals MedMij,
wat belangrijk is voor het ontsluiten in PGO’s.

Voor de inrichting van de governance voor informatiestandaarden op de lange termijn
vormt de NEN 7522 norm een belangrijk uitgangspunt. In die drie jaar wordt onderzocht
hoe invulling te geven aan de verschillende rollen die in de NEN 7522 zijn genoemd
en of het houderschap ondergebracht moet worden bij een zelfstandig bestuursorgaan.
Het VKA adviseert het beheer van het stelsel van informatiestandaarden als wettelijke
taak bij Nictiz te beleggen, naast het functioneel en technisch beheer van specifieke
informatiestandaarden. Dit zou Nictiz een rechtspersoon met een wettelijke taak als
bedoeld in de Comptabiliteitswet 2016 maken. VKA stelt verder voor dat VWS het houderschap
en beheer financiert.

Ik heb een kwartiermaker aangesteld om te onderzoeken of de inrichting die VKA adviseert
wenselijk en noodzakelijk is en in dat geval ook zo te organiseren. De kwartiermaker
bekijkt ook voor welke informatiestandaarden het nodig is om het houderschap en beheer
nader vorm te geven. De resultaten van de kwartiermakerfase verwacht ik begin volgend
jaar. Op basis van deze resultaten besluit ik hoe de feitelijke realisatie van publiek
houderschap op de korte en lange termijn wenselijk is en in gang kan worden gezet.

B. Zorgbrede afspraken en voorzieningen

Elektronische gegevensuitwisseling kan niet zonder zorgbrede afspraken en voorzieningen.
Denk aan het kunnen inloggen als zorgprofessional. In lijn van versterking van de
publieke regie, en daartoe onder meer opgeroepen met de moties van de leden Van den
Berg en Kerstens (Kamerstuk 27 529, nrs. 222 en 223) neem ik meer regie op een landelijk dekkend stelsel van infrastructuur, generieke
functies en aanpalende ICT-voorzieningen.

Op dit moment bezie ik op welke wijze dit het beste vorm kan krijgen. Denk daarbij
aan eisen aan toegang tot gegevens in systemen, zoals (open) Application Programming
Interfaces (API’s)10. Of aan eisen aan interoperabiliteit tussen (delen van) infrastructuren, zoals de
bestaande veldnorm NTA7516 voor veilige mail. Voor dergelijke overkoepelende afspraken
onderzoek ik op welke wijze deze verplicht kunnen worden gesteld voor de zorg, in
aansluiting en aanvulling op de eisen per gegevensuitwisseling die de Wegiz zal stellen.

Ook het Informatieberaad Zorg heeft mij geadviseerd over de behoefte aan landelijke
ICT-voorzieningen en afspraken en over wat er door het zorgveld gezamenlijk tot stand
kan worden gebracht. Het betreft onder andere afspraken of voorzieningen op het gebied
van:

• Identificatie (manieren om de identiteit van cliënt en zorgaanbieder vast te stellen)

• Authenticatie (vaststellen wie de gebruiker is)

• Autorisatie (toekennen van rechten aan zorgaanbieders om gegevens in te zien)

• Toestemming (toestemming van de cliënt voor het delen van gegevens)

• Lokalisatie (wie heeft welke gegevens van welke cliënt)

Ik constateer met het Informatieberaad Zorg dat de invulling van dergelijke generieke
functies in de zorg-ICT op dit moment ontoereikend is of soms zelfs ontbreekt, terwijl
zonder deze functies geen elektronische gegevensuitwisseling tot stand komt. Als onderdeel
daarvan heb ik aan NEN gevraagd om een plan van aanpak te maken hoe NEN-normen voor
generieke functies in het plaatje kunnen passen. Duidelijk is dat het zorgveld als
eerste behoefte heeft aan voorzieningen die op de korte termijn breed inzetbaar zijn,
zoals de toestemmingsvoorziening Mitz voor het vaststellen van door mensen gegeven
toestemming voor uitwisseling via uitwisselingssystemen en een goed elektronische
inlogmiddel voor zorgverleners.

Vast staat dat ik steviger ga sturen op de totstandkoming van generieke voorzieningen
in de zorg. Zorgverleners kunnen op dit moment in sommige sectoren gebruik maken van
voorzieningen als Mitz en het ZorgAB (zorgadresboek voor adressering). Ik ga in gesprek
met de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) om het implementatietempo
en het gebruik van Mitz en het ZorgAB bij medicatieoverdracht en in de spoedzorg op
te voeren en met hen te bezien welke ondersteuning ik daarbij kan bieden.

Daarnaast ontwikkel ik zelf een opvolger van de UZI-pas voor identificatie en authenticatie
(hierover verderop in deze brief meer) en heb ik een voorziening ontwikkeld waarmee
zorginstellingen via inlogmiddelen zoals DigiD hun digitale dienstverlening naar burgers
kunnen ontsluiten (toegangsverleningsservice/TVS).

Aanvullend op bovenstaande initiatieven breng ik indien nodig ICT-voorzieningen onder
mijn verantwoordelijkheid tot stand en beheer deze, zoals met de UZI-pas en bijbehorend
register al het geval is. Zoals eerder aan uw Kamer is gemeld (Kamerstuk 27 529, nr. 230), stel ik een afwegingskader op om mijn precieze rol en sturingsvorm te bepalen.
Vooruitlopend op dit kader wil ik bestaande initiatieven vanuit het zorgveld zo veel
mogelijk ondersteunen om op de korte termijn knelpunten op te lossen. Zoals ik al
doe met de voorziening Mitz in de gegevensuitwisseling bij spoed en medicatieoverdracht
(Kamerstuk 27 529, nr. 219). Ik zal uw Kamer voor het einde van het jaar informeren over de vormgeving van het
afwegingskader inzake regie op de landelijke infrastructuur, generieke functies en
aanpalende ICT-voorzieningen en de wijze waarop deze voorziening geïmplementeerd gaan
worden

Regie op het Landelijk Schakelpunt (LSP)

De moties van de leden Van den Berg en Kerstens (Kamerstuk 27 529, nrs. 222 en 223) verzoeken mij om meer regie te nemen op de bestaande landelijke infrastructuur het
Landelijk Schakelpunt (LSP) en in gesprek te gaan met de Vereniging van Zorgaanbieders
voor Zorgcommunicatie (VZVZ). Het doel daarvan is ervoor zorgen dat de Patiëntenfederatie
twee zetels krijgt in het bestuur van VZVZ en dat er een onafhankelijke voorzitter
komt.

Het LSP is een zorginfrastructuur onder beheer van VZVZ. VZVZ is een vereniging opgericht
door en met uitsluitend koepelorganisaties uit de zorg als leden. Op dit moment zijn
dat er 1411. Ik kan uw Kamer melden dat Patiëntenfederatie Nederland lid is van de vereniging
en statutair een kwart van de stemrechten heeft toegewezen gekregen. Gelet op het
aantal leden en de stemverhoudingen komt dit momenteel neer op deelname aan de Algemene
Vergadering door vier personen. De voorzitter wordt benoemd door de Algemene Vergadering;
de Raad van Bestuur is eenhoofdig. Gezien de organisatievorm van een (private) vereniging
waar het Ministerie van VWS geen deel van uitmaakt, is het niet mogelijk dat de Minister
van VWS een bestuurder benoemt. Dit is voorbehouden aan de Raad van Toezicht van VZVZ12. De Patiëntenfederatie Nederland en VZVZ hebben aangegeven tevreden te zijn met de
wijze waarop de betrokkenheid en zeggenschap door de Patiëntenfederatie Nederland
is ingevuld.

Publieke voorziening voor Zorgverlener identificatie (UZI)

Om elektronische gegevensuitwisseling de komende jaren op te kunnen schalen moet er
een veilig, betrouwbaar en gebruiksvriendelijk inlogmiddel beschikbaar zijn. Daartoe
is het nodig om de UZI-pas en het bijbehorende register te herzien. Zodat in de toekomst
alle professionals kunnen beschikken over een middel om als zorgverlener in te loggen.

In de afgelopen maanden heb ik in dat kader de wensen van het zorgveld ten aanzien
van de digitale identificatie en authenticatie van zorgverleners in kaart gebracht.
Hiertoe heb ik reeds beschikbare documentatie vanuit het zorgveld13 verzameld, expertsessies georganiseerd en gesprekken gevoerd14.

Uit deze verkenning blijkt dat zorgveld behoefte heeft aan een register en een inlogmiddel
die toegankelijk, breed beschikbaar en betrouwbaar zijn. Dat betekent dat elke zorgaanbieder
in het register moet staan en dat het inlogmiddel door elke zorgverlener in elke zorginstelling
te gebruiken moet zijn. aandachtspunten die zijn meegegeven zijn gebruiksvriendelijkheid,
inpasbaarheid binnen de eigen werkprocessen, locatie onafhankelijk kunnen werken en
keuzevrijheid voor inlogmiddelen belangrijk te vinden en wil daarbij gebruik maken
van erkende. In dat verband moet een zorgverlener (bijvoorbeeld een wijkverpleegkundige)
locatie onafhankelijk kunnen inloggen om zo de benodigde gegevens over een cliënt
op te halen.

Mede op basis van de geïdentificeerde wensen zijn een eerste herontwerp en implementatie
gerealiseerd waarbij gebruik wordt gemaakt van bestaande publieke inlogmiddelen (DigiD).
In de toekomst kan worden aangesloten op alle onder het wetsvoorstel Digitale Overheid
erkende inlogmiddelen. Dit ontwerp wordt in de komende periode besproken met het zorgveld,
leveranciers en andere belanghebbenden. Ik zal uw Kamer begin volgend jaar informeren
over de voortgang van de uitfasering van de UZI-pas en de opvolger van het UZI-register.

C. Passende grondslagen

Ik vind het belangrijk dat gegevens beschermd zijn en uitwisseling van deze gegevens
op stevige juridische gronden berust. Het wetsvoorstel elektronische gegevensuitwisseling
in de zorg verplicht nadrukkelijk niet tot het uitwisselen van gegevens. Het doel
van en de grondslag voor de verwerking van persoonsgegevens worden bepaald in andere
regelgeving. De verplichting ziet alleen op het hoe van de uitwisseling, namelijk
op elektronische wijze. Als binnen het bestaande wettelijke kader geen grondslag bestaat
voor de uitwisseling van (bijzondere) persoonsgegevens, kan deze niet plaatsvinden.

Gegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als bedoeld
in de AVG en een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens als
bedoeld in de AVG is. Tevens moet er een doorbrekingsgrond van het medisch beroepsgeheim
als bedoeld in de Wgbo en de Wet op de beroepen in de individuele gezondheidszorg
(Wet BIG) aanwezig zijn.

Als de verwerkingsgrondslag en uitzonderingsgrond «toestemming» is, dan vereist de
AVG dat deze toestemming uitdrukkelijk is. Daarnaast bepaalt de Wet aanvullende bepalingen
verwerking persoonsgegevens in de zorg (Wabvpz) dat ook uitdrukkelijke toestemming
gegeven moet worden (zonder uitzondering) indien gebruik wordt gemaakt van een elektronisch
uitwisselingssysteem. Het woord uitwisselingssysteem is hierbij verwarrend, omdat
het niet gaat om alle elektronische uitwisseling. Het begrip ziet alleen op die vormen
van uitwisseling waarbij gegevens van cliënten vooraf raadpleegbaar worden gemaakt
voor nog onbekend later gebruik door andere zorgaanbieders (waarop de zorgprofessional
die de gegevens beschikbaar stelt geen invloed meer heeft).

Daarom bepaalt de Wegiz dat een aangewezen gegevensuitwisseling niet slechts via een
elektronisch uitwisselingssysteem mag verlopen. Zo wordt voorkomen dat als er een
grondslag voor uitwisseling is maar de uitdrukkelijke toestemming voor uitwisseling
via een elektronisch uitwisselsysteem ontbreekt, de gebruikte techniek die elektronische
uitwisseling alsnog in de weg staat. Dat geen uitdrukkelijke toestemming is gegeven
om een gegeven raadpleegbaar te maken voor later onbekend gebruik, wil namelijk niet
zeggen dat op een later moment in de toekomst dat gegeven niet alsnog voor het verlenen
van goede zorg wordt uitgewisseld. Ook in dat geval dient er sprake te zijn van een
interoperabele gegevensuitwisseling, zodat de juiste gegevens op de juiste plek komen.

Analyse problemen rondom grondslagen

Tijdens het Algemeen Overleg van oktober 2020 is aan uw Kamer toegezegd om een separate
brief over toestemming rondom gegevensuitwisseling te sturen. Deze brief volgt rond
de jaarwisseling, ik geef hier alvast een tussenstand.

Zorgverleners beschikken soms niet over alle reeds beschikbare informatie voor zorg
of behandeling wegens ontbrekende of onbekende toestemming.

Ik onderzoek op dit moment welke problemen bestaan rondom het verlenen van toestemming
voor gegevensverwerking in de zorg. Hierbij onderzoek ik onder meer of de wettelijke
grondslagen voor gegevensverwerking nog in lijn zijn met de omslag van papier naar
digitaal. Over het pad dat ik wil bewandelen bij spoedzorg heb ik u eerder dit jaar
reeds geïnformeerd (Kamerstuk 27 529, nr. 262). Bij het onder de loep nemen van de huidige wet- en regelgeving moet zowel het verlenen
van goede zorg als de privacy van de cliënt worden meegenomen. Ik vind het van belang
is dat hier zorgvuldig naar gekeken wordt. Uw Kamer heeft mij gevraagd hier ook het
model dat in Estland gebruikt wordt15 in mee te nemen. Ik zal uw Kamer hier rond de jaarwisseling verder over informeren.

Toegankelijke toestemmingsregistratie en MITZ

Toestemmingsregistraties zijn op dit moment versnipperd. Zorgverleners hebben hierdoor
vaak moeite te achterhalen of hun cliënten toestemming hebben gegevens voor het delen
van hun gegevens.

Uw Kamer is tijdens het afgelopen AO ook toegezegd om te onderzoeken of de toestemmingsvoorziening
Mitz als centrale voorziening voor toestemmingsregistraties ingezet kan gaan worden.
De roep vanuit het zorgveld en patiëntenorganisaties om een breed beschikbare toestemmingsvoorziening
is groot, daarom wordt VZVZ alvast in staat gesteld deze voorziening ter beschikking
te stellen. Omdat het hier vaak medische gegevens betreft, moet het inloggen op Mitz
gebeuren met een veilig inlogmiddel. In overleg met mijn collega van BZK is daarom
overeengekomen dat Mitz onder strenge voorwaarden nu al op DigiD mag aansluiten. Voor
een DigiD aansluiting is het vereist dat een aangesloten partij zelfstandig BSN-gerechtigd
is. Hiertoe is een wettelijke grondslag nodig, die op dit moment wordt voorbereid.

Aantal bezoekers volgjezorg.nl

Tijdens het AO gegevensuitwisseling van 8 oktober 2020 (Kamerstuk 27 529, nr. 221) is uw Kamer een toezegging gedaan over in hoeverre door burgers gebruik gemaakt
wordt van inzage in loggegevens via een andere toestemmingsvoorziening, namelijk de
website volgjezorg.nl.

Volgjezorg is een website van VZVZ waarin burgers online toestemming kunnen regelen
voor gegevens die uitgewisseld worden via het LSP. De website biedt daarnaast de mogelijkheid
om inzage te krijgen wat er met je gegevens gebeurt en waar deze zijn ingezien. In
2020 hebben 300 duizend unieke bezoekers de persoonlijke omgeving van volgjezorg.nl
bezocht.

In de eerste 5 maanden van 2021 waren dit er al 150 duizend. De beheerder van de website
ziet de bezoeken stabiliseren op ongeveer 1,5 keer zoveel bezoeken als voor de coronapandemie.

D. Informatieveiligheid

De zorg kan alleen elektronisch gegevens uit te wisselen als zowel cliënten en zorgverleners
erop kunnen vertrouwen dat de toegankelijkheid, continuïteit, vertrouwelijkheid, integriteit,
betrouwbaarheid en betaalbaarheid van de informatievoorziening gegarandeerd is. Om
dit te realiseren is het nodig dat partijen in de zorg zich voldoende bewust zijn
van de risico’s op het gebied van informatieveiligheid en dat informatieveiligheid
volledig geïntegreerd is in alle werkprocessen van en tussen de verschillende partijen,
in en buiten de zorgsector.

De noodzaak van goede cyberweerbaarheid in Nederland is onlangs onderstreept door
het recente adviesrapport van de Cyber Security Raad.16

Ik vind het belangrijk om te benadrukken dat informatieveiligheid primair de verantwoordelijkheid
van zorgaanbieders zelf is. Ik neem wel meer regie op informatieveiligheid. Regie
betekent dat ik waar nodig de zorg op dit vlak wil ondersteunen en dat ik in de komende
jaren meer aandacht wil schenken aan het stellen van kaders. Bij de uitvoering van
het door mij eerder gedeelde 4B-model: bewust worden, beveiligen, bewaken en blussen17, zal de komende twee jaar de nadruk van mijn informatieveiligheidsbeleid liggen op
het verhogen van de bewustwording over digitale veiligheid, digitaal veilig gedrag
en de geldende wet- en regelgeving. Dit doe ik door het project informatieveilig gedrag
te steunen, intensief samen met Z-CERT te werken, bijvoorbeeld aan een risico gestuurde
aanpak, en een herijking van de vitaliteitsbeoordeling van de zorg uit te voeren.

Project Informatieveilig gedrag

In eerdere brieven bent u geïnformeerd over het project «Informatieveilig gedrag in
de zorg» dat ik in samenwerking met Brancheorganisaties Zorg (BoZ) uitvoer. Er lopen
op dit moment meerdere pilots, binnen de gehandicaptenzorg, de GGZ, een algemeen ziekenhuis
en een universitair medisch centrum, om gestructureerd gedragsverandering van informatieveilig
gedrag in de praktijk toepasbaar te maken. Deze pilots hebben als doel dat zorgorganisaties
effectieve aanpakken voor gedragsverandering kennen en gebruiken voor hun belangrijkste
informatieveiligheidsproblemen. De eerste bevindingen uit de pilots laten een positieve
trend zien; de ontwikkelede aanpak leidt tot positieve veranderingen in informatieveilig
gedrag. De opgedane ervaringen uit de pilots zijn gebundeld, in de aanpak «Aan de slag met informatieveilig gedrag»18, waarmee zorgorganisaties zelf gestructureerde gedragsverandering van informatieveilig
gedrag toe kunnen passen in de eigen organisatie. De aanpak focust op concreet en
meetbaar veilig gedrag, leidt de zorgorganisatie stap voor stap door het proces en
voorziet hen van tips, voorbeelden en formats.

Z-CERT als sectorale CERT voor de zorg

Bij de oprichting van Z-CERT, het expertisecentrum voor cybersecurity in de zorg,
lag de focus op het leveren van basis CERT-diensten19, aan grote(re) zorginstellingen binnen de tweedelijnszorg (met name ziekenhuizen
en GGZ-instellingen). Momenteel ontwikkelt Z-CERT zich tot een landelijk informatieknooppunt
voor informatieveiligheid binnen de zorgsector en dit ondersteun ik. Z-CERT werkt
zeer nauw samen met het Nationaal Cyber Security Centrum en met andere expertisecentra
en zorg gerelateerde partners in het binnen- en buitenland. Op 1 februari 2021 heeft
Z-CERT het eerste dreigingsbeeld voor de zorg gepubliceerd.20 Naast diensten specifiek voor de bij Z-CERT aangesloten organisaties ontwikkelt Z-CERT
ook openbare kennisproducten, zoals de recent verschenen handreiking verlopen domeinnamen21 die op verzoek van en in samenspraak met het Ministerie van VWS is opgesteld, naar
aanleiding van eerdere datalekken in de jeugdzorg.22

In februari 2019 verzocht uw Kamer om te verkennen of deelname van zorgaanbieders
aan Z-CERT verplicht gesteld kon worden, in reactie op de motie van het Kamerlid Ellemeet
over verplichte deelname van zorgaanbieders aan Z-CERT (Kamerstuk 27 529 nr. 177). Zoals gemeld in de vierde brief elektronische gegevensuitwisseling in de zorg gaat
de voorkeur er naar uit de deelname aan Z-CERT in beheerst tempo laten verlopen, zodat
de continuïteit en kwaliteit van de dienstverlening van Z-CERT gelijke tred kan houden.23 Daarom wordt deelname niet verplicht gesteld.

Ook is in genoemde brief aangegeven dat samen met Z-CERT onderzoek werd gedaan naar
welke sectoren in de zorg de meeste risico’s lopen en dus het meeste baat hebben bij
deelname aan Z-CERT. In de bijlage 1 treft u het rapport «Onderzoek naar de prioriteitstelling
en aansluitbaarheid van zorgsectoren bij Z-CERT»24. Graag deel ik met u de eerste resultaten van deze risico gestuurde aanpak.

Bij vijf sectoren is gebleken dat ICT falen door cyberincidenten een relatief hoge
impact heeft op de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening
en hiermee op de continuïteit van de zorgverlening. Dit wil zeggen dat uitvallen van
digitale systemen een verstorende werking kan hebben op het zorgproces waardoor de
kwaliteit en de veiligheid van de zorg in gevaar kan komen. Deze vijf sectoren kennen
daarmee een hogere prioriteit om aangesloten te worden bij Z-CERT. Dit zijn, in willekeurige
volgorde:

A. Jeugdzorg (gecertificeerde jeugdzorginstellingen).

B. Publieke gezondheidszorg (Gemeentelijke Gezondheidsdiensten en GHOR).

C. Huisartsenzorg (huisartsenposten en huisartspraktijken).

D. Farmaceutische zorg (apotheken).

E. Ambulancezorg (ambulancediensten).

Om een vervolg te geven aan de uitkomsten van de risico gestuurde aanpak wordt momenteel
in samenwerking met Z-CERT de aansluiting van deze sectoren bij Z-CERT aan het organiseren.
Z-CERT is momenteel bezig met de voorbereiding voor de aansluiting van Jeugdzorg.
Parallel hieraan lopen er verkennende gesprekken met de Ambulancezorg en de GGD GHOR.
Ik zal verder opdracht geven om de toegepaste systematiek uit de risico gestuurde
aanpak door te ontwikkelen zodat ook andere zorgsectoren op een snelle en effectieve
wijze kunnen worden aangesloten bij Z-CERT. Hiermee heb ik uitvoering gegeven aan
de motie Ellemeet.

Stand van zaken herbeoordelen vitaal verklaren zorg

In een eerdere brief bent u geïnformeerd over het wel of niet vitaal verklaren van
de zorg (Kamerstuk 27 529, nr. 158). De rijksoverheid benoemt vitale processen om maatregelen te kunnen treffen die
het risico op ernstige crises verkleinen en om in geval van een crisis sneller prioriteiten
te kunnen stellen voor de respons op de crisis. Op dit moment word, door een externe
partij de herijking van de vitaliteitsbeoordeling van het proces gezondheidszorg uitgevoerd.
Het veld wordt hierbij betrokken. De eerste resultaten hiervan verwacht ik later dit
jaar.

E. Kosten

De intensivering van elektronische gegevensuitwisseling zal van zorgaanbieders ook
om investeringen in hun ICT-systemen vragen. Met dat in het achterhoofd is aan uw
Kamer toegezegd te verkennen hoe kosten voor ICT terug te kunnen brengen middels versterking
van de inkoop van ICT.

Versterking van de inkoop acht ik niet alleen belangrijk vanuit het oogpunt van het
beperken van ICT kosten in de zorg, maar ook omdat het bij kan dragen aan de interoperabiliteit.
De afgelopen tijd zijn de eerste stappen gezet op het versterken van de inkoopkracht.
Zo heb ik aandacht besteed aan het bij elkaar brengen van de reeds ontstane gebruikersverenigingen.

Belangrijk is dat een gezamenlijke inkoop binnen de wettelijke kaders van marktwerking
plaatsvindt. Het recent door de ACM gepubliceerde25 communiqué geeft aan dat daarin meer ruimte benut kan worden. De ACM stelt een leidraad
op voor het verduidelijken van de uit de mededingingsregels vloeiende verplichtingen
voor ICT-leveranciers en andere marktpartijen. De ACM geeft ook advies over de inkoopsamenwerking
en technische afstemming ten behoeve van interoperabiliteit. In het verlengde daarvan
wordt verder gewerkt aan samenwerking tussen de inkopende zorgorganisaties, koepels
en hun gebruikersverenigingen. Aan de hand van dat onderzoek kan verder inzichtelijk
gemaakt worden welke stappen mogelijk zijn om marktrisico’s weg te nemen. Zodra het
ACM het definitieve rapport publiceert, zal ik deze met uw Kamer delen begeleid door
een beleidsreactie.

F. Hergebruik van informatie

Het is belangrijk dat er bij het standaardiseren van uitwisselingen rekening wordt
gehouden met hergebruik. Zo kan er geprofiteerd worden van de ontwikkelingen van het
gebruik van data voor onderzoek en kwaliteit. Door gegevens vanaf het begin gestructureerd
en genormaliseerd vast te leggen, wordt de herbruikbaarheid van die gegevens voor
wetenschappelijk onderzoek, innovatie maar ook toezicht en beleid vergroot. Kamerleden
Veldman en Van den Berg (Kamerstuk 35 570 XVI, nr. 112) hebben hierover op 3 december 2020 een motie ingediend. Graag ga ik in op deze motie.

Op dit moment ben ik met het veld in gesprek om inzicht te krijgen in welke wettelijke
en beleidsmatige knelpunten het gebruik van data voor wetenschappelijk onderzoek en
beleid bemoeilijken. Ik wil ook samen met het veld tot oplossingen komen. De (voorwaardelijk)
toegewezen financiële middelen uit het Groeifonds aan Health-RI26 vormen hiervoor de basis.

Het verzoek in de hiervoor genoemde motie om te onderzoeken of er op Europees niveau
eisen gesteld kunnen worden, hangen samen met de ontwikkelingen rondom het Europese
project Towards a European Health Data Space Joint Action (TEHDAS JA). Bij het aantreden van de nieuwe Europese Commissie in november 2019,
is het creëren van een Europese ruimte voor gezondheidsdata ook wel de European Health Data Space (EHDS) aangemerkt als één van haar speerpunten
voor de periode 2019–2025.

Met het ontwikkelen van een gezamenlijke ruimte voor zorgdata wil de Commissie de
beschikbaarheid van verschillende typen zorgdata bevorderen voor het verbeteren van
behandelingen en onderzoek, innovatie en beleid, volgens de principes van transparantie
en privacy conform de AVG. De Europese Commissie is voornemens om vóór het einde van
dit jaar met een wetgevend voorstel te komen voor een Europese verordening die eisen
stelt aan wie wat mag met welke gezondheidsdata en hoe zorgdata uitgewisseld worden,
aan datakwaliteit, en aan de te gebruiken infrastructuren op het gebied van eenheid
van taal en techniek (interoperabiliteit). Hierna zal het triloog zal plaatsvinden.

Parallel hieraan zal het kabinetsstandpunt worden geformuleerd waarover ik uw Kamer
zal informeren. In voorbereiding op dit wetgevend voorstel, vindt er een openbare
raadpleging Digitale gezondheidsgegevens en -diensten- Europese ruimte voor gezondheidsgegevens» plaats. Mijn reactie op deze openbare raadpleging zal ik met uw Kamer delen.

De Europese Commissie heeft ter voorbereiding op het wetgevend voorstel op de Europese
ruimte voor gezondheidsgegevens een project opgezet genaamd Towards a European Health
Data Space Joint Action (TEHDAS JA) waarin 26 landen (EU-landen, EER-landen) deelnemen.
De TEHDAS JA heeft als doel ideeën en concepten te ontwikkelen die nodig zijn voor
de implementatie van de Europese ruimte voor gezondheidsgegevens. Daarmee creëert
het concrete voorstellen voor de wetgeving van de Europese Commissie. Ik heb het RIVM
opdracht gegeven namens Nederland actief deel te nemen en input te leveren op dit
wetgevend voorstel om ervoor te zorgen dat de Nederlandse belangen goed zijn geborgd.
Dit betekent concreet dat de RIVM meeschrijft aan voorstellen over zowel de nationale
en de Europese governancestructuur.

Waardevolle AI voor gezondheid

Hierboven heb ik uw Kamer meegenomen in mijn inspanningen gericht op secundair gebruik
van data. Ook voor inzet van Artificiële Intelligentie (AI) voor gezondheid is het
van belang dat er – op een veilige, betrouwbare en transparante manier – voldoende
en kwalitatief goede data beschikbaar is.

Slimme inzet van artificiële intelligentie kan ons helpen om de juiste zorg op de
juiste plek (op het juiste moment) te realiseren. Bijvoorbeeld door het gebruik van
voorspelmodellen in preventie, diagnostiek of behandeling of door zorgverleners te
ondersteunen met beeld-, spraak- of tekstherkenning. Om de ontwikkeling en implementatie
van AI te versnellen en op te schalen ben ik in 2019 met het programma Waardevolle
AI voor gezondheid gestart. Dit programma heeft als doel AI concreet van waarde te
maken voor cliënten en zorgverleners.

Vanuit dat programma heb ik vorig jaar een inventarisatie laten maken van welke AI-toepassingen
op dit moment in Nederland voor gezondheid en zorg worden ingezet in de praktijk27 en welke initiatieven en/of constructies er in Nederland bestaan om (zorg)data beschikbaar
te maken voor AI28. Uit deze inventarisaties blijkt dat er op zich geen gebrek is aan gezondheidsdata,
maar dat er wel beperkingen zijn aan het hergebruik van deze data voor de ontwikkeling
en opschaling van AI-toepassingen voor de praktijk. Ook komt naar voren dat de geïnventariseerde
AI-toepassingen veelal nog op kleine schaal toepast worden en zich concentreren op
toepassingsgebieden waar het nut van AI zich inmiddels laat bewijzen: beeld-verwerkende
technieken, veelal in de diagnostiek en aan het begin van het zorgproces.

Opschaling en verbreding van AI

De potentie van AI reikt echter veel verder, daarom werk ik samen met de Nederlandse
AI Coalitie (NL AIC)29 aan opschaling en verbreding van AI naar alle zorgsectoren. Dit doen we door met
praktische hulpmiddelen kansrijke AI initiatieven naar de praktijk te brengen en op
te schalen, en daarbij zoveel mogelijk belemmeringen weg te nemen. De NL AIC richt
zich daarnaast ook op het decentraal op zorgvuldige wijze beschikbaar maken van gezondheidsdata.
Dit maakt regionale en nationale samenwerking door zorgprofessionals mogelijk en is
daarom een belangrijke voorwaarde om de kracht van AI te kunnen benutten.

Een veldnorm voor AI

Ten slotte richt ik mij met het programma ook op het ondersteun van de zorg om te
komen tot een veldnorm medische kwaliteit AI. Hiermee wil ik zorgverleners helpen
de kwaliteit van aangeboden AI te beoordelen en ontwikkelaars helpen om kwalitatieve,
betrouwbare AI te ontwerpen en realiseren. Hierbij werk ik samen met experts en vertegenwoordigers
van (koepel)organisaties. Deze norm geeft ook eisen en criteria hoe met de data voor
hergebruik omgegaan moet worden om daarmee tot betrouwbare en medisch inhoudelijk
goede algoritmes te komen. Inzicht in de kwaliteit van AI vanuit medisch perspectief,
helpt vertrouwen in het gebruik van dit soort intelligente algoritmes voor gezondheid
te realiseren. De medisch inhoudelijke (veld)norm draagt ook bij aan uniformiteit
en het proces van markttoelating en vergoeding door verzekeraars.

Begin 2022 zal ik bij uw Kamer terugkomen met alle resultaten van mijn programma Waardevolle
AI voor gezondheid en hoe ik mijn beleid hierop voortzet.

G. Internationale context

De zorg stopt niet bij de grens. Het is daarom ook steeds belangrijker om goed aan
te sluiten op de ontwikkelingen in de EU. Door de EU worden er ook eisen gesteld aan
hoe patiëntgegevens uitgewisseld moeten en mogen worden. Denk bijvoorbeeld aan de
EIDAS verordening30 die randvoorwaarden aan digitale inlogmiddelen voor burgers stelt.

Met deze Europese randvoorwaarden houd ik nu al rekening in de stappen die ik zet
om tot een veilig inlogmiddel voor zorgverleners te komen.

Er lopen ook verschillende initiatieven om elektronische gegevensuitwisseling van
patiëntgegevens binnen de EU te intensiveren. Zo zijn verschillende Nederlandse ziekenhuizen
op dit moment bezig met de implementatie van het Nationaal Contact Punt voor eHealth
(NCPeH). Dit knooppunt zorgt ervoor dat Nederlandse zorgverleners in de toekomst patiëntgegevens
sneller en makkelijker met hun Europese collega’s kunnen uitwisselen. Ook wordt er
binnen de EU nu een Europese gezondheidsdata ruimte gecreëerd, ook wel de European Health Data Space (EHDS). Met de EHDS wil de EU de
beschikbaarheid van gezondheidsdata bevorderen.

Beide projecten betekenen dat de randvoorwaarden die we in Nederland aan elektronische
gegevensuitwisseling stellen getoetst moeten worden aan de eisen die gesteld worden
in Europese wet- en regelgeving. Dit gebeurt via het Europese eHealth Netwerk en verschillende
zogenaamde «joint actions». Het eHealth Netwerk is een vrijwillig netwerk waarin alle
EU lidstaten in vertegenwoordigd zijn. In het eHealth Netwerk worden door de 27 landen
afgestemde strategische besluiten genomen op digitale zorgonderwerpen. Deze besluiten
worden vervolgens door de lidstaten in samenwerking met elkaar geïmplementeerd via
joint actions. In november 2020 is Nederland31 verkozen tot de eHealth Netwerk covoorzitter namens de lidstaten.

Grensoverschrijdende gegevensuitwisseling

In het Europese eHealth Netwerk wordt gewerkt aan het bevorderen van de grensoverschrijdende
interoperabiliteit. Zo moeten burgers in geval van ongeplande zorg overal in Europa
toegang kunnen krijgen tot hun zorggegevens, ook in het geval van spoedzorg. Om dit
te bewerkstelligen wordt gewerkt aan het opzetten van een Europese infrastructuur
die de uitwisseling van patiëntsamenvattingen en digitale recepten faciliteert; het
Nationaal Contact Punt voor eHealth (NCPeH). Patiëntsamenvattingen bevatten een vastgestelde
set gegevens over bijvoorbeeld medicatie en allergieën zijn daarmee vooral van waarde
zijn in het geval van spoed. Nederland heeft begin 2018 een aanvraag ingediend voor
aansluiting op het NCPeH. We richten ons daarbij in eerste instantie op het ontvangen
van patiëntsamenvattingen uit Europese lidstaten bij zes Nederlandse ziekenhuizen
(OLVG, Maastricht UMC+, Erasmus MC, ZorgSaam, Saxenburgh Groep en het Spaarne Gasthuis).
De aansluiting zal eind 2021 zijn gerealiseerd. Het kunnen verzenden van patiëntsamenvattingen
volgt op een later, nog te bepalen moment.

Voor de daadwerkelijke uitwisseling via het NCPeH moeten nog een aantal juridische
grondslagen worden gecreëerd. De voorbereidingen voor deze juridische grondslagen
zijn reeds gestart. Uw Kamer zal conform de geldende wetgevingsprocedures hierbij
worden betrokken.

Europese interoperabiliteit en COVID-19

Sinds de pandemie heeft het eHealth Netwerk een prominente plek gekregen in het oplossen
van interoperabiliteitsvraagstukken in de bestrijding van COVID-19. Zo heeft het eHealth
Netwerk de technische specificaties ontwikkeld van de European Federated Gateway (EFGS)
waarmee alle bron- en contactonderzoek apps (zoals de CoronaMelder-app in Nederland)
binnen Europa grensoverschrijdend werkt. De Nederlandse aansluiting op de EFGS is
medio december 2020 gerealiseerd. Ook heeft het eHealth Netwerk de technische specificatie
van de Europese digitale interoperabiliteitsoplossing voor het EU Digitaal COVID-19
Certificaat (DCC) ontwikkeld.

Tot slot

Goede zorg vraagt om goede gegevensuitwisseling. De stapsgewijze verplichting tot
het elektronisch uitwisselen van gegevens onder de Wegiz is onderdeel van een brede
aanpak om zorginformatie te laten stromen en daarmee de zorg te verbeteren. Die brede
aanpak, zo schetste ik in deze brief, vraagt ook om versterkte publieke regie. Ik
wil samen met alle betrokkenen tot zichtbare verbeteringen komen waar zowel zorgprofessionals
als cliënten direct profijt van hebben. Zodat zorgverleners minder moeite moeten doen
om de gegevens van hun cliënten boven water te krijgen en mensen hun verhaal minder
vaak opnieuw hoeven te vertellen.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge