Brief regering : Appreciatie amendementen wetsvoorstel elektronische gegevensuitwisseling in de zorg (Kamerstuk 35824)

Nr. 47
BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 26 september 2022

Vorige week sprak ik met uw Kamer over het wetsvoorstel Elektronische gegevensuitwisseling
in de zorg (hierna ook: Wegiz) (Handelingen II 2021/22, nr. 108). Bij dit wetsvoorstel is een groot aantal amendementen ingediend. Omdat sommige
amendementen inmiddels gewijzigd zijn, neem ik uw Kamer graag mee in mijn aangepaste
appreciaties op deze gewijzigde amendementen. Ook maak ik van de gelegenheid gebruik
om dieper in te gaan op mijn inzet om te komen tot een beter functionerende ICT-markt.
Daarnaast ga ik in op de toelichting van de Ministeries van Defensie en Justitie &
Veiligheid op amendement nr. 10 en geef ik invulling aan mijn toezegging aan de heer
Hijink (SP) om informatie over end-to-end encryptie in relatie tot de Wegiz met uw
Kamer te delen.

De Wegiz en uitwisseling met patiënten

Het is tijdens de behandeling van het wetsvoorstel regelmatig gegaan over de ontsluiting
van gegevens via een persoonlijke gezondheidsomgeving (PGO). Ik hecht veel belang
aan goed functionerende PGO’s, zoals ook opgenomen in het coalitieakkoord. Ik onderzoek
daarom hoe gegevensontsluiting naar PGO’s minder vrijblijvend kan worden gemaakt,
zoals ik uw Kamer heb laten weten in mijn brief van afgelopen juni1.

Bij het voorliggend wetsvoorstel ligt nu een gewijzigd amendement van de leden Van den Berg en Paulusma over de uitwisseling van gegevens
met de persoonlijke gezondheidsomgeving van patiënten2. Ik vind het belangrijk om per uitwisseling te kunnen bepalen hoe de verplichting
om via PGO te kunnen ontsluiten tot stand moet komen. Dit amendement biedt hier na
aanpassing genoeg ruimte voor en ik laat het oordeel over het gewijzigde amendement
daarom aan de Kamer. Ik onderzoek aanvullend of er meer nodig is om te komen tot minder
vrijblijvende ontsluiting van gegevens aan PGO’s.

Een eerste stap is gezet door dit nu ook onder de Wegiz (en de Wet aanvullende bepalingen
verwerking persoonsgegevens in de zorg) te brengen.

De Wegiz en interoperabiliteit

Het uiteindelijke doel van het wetsvoorstel is om tot maximaal interoperabele gegevensuitwisseling
te komen. Hiertoe dient het gewijzigd amendement van de leden Van den Berg en Hijink nr. 43 over een jaarlijkse
verantwoordingsplicht aan het parlement over het gebruik van spoor 1 (Kamerstuk 35 824, nr. 43)3. Dit aangepaste amendement ziet er op toe dat ik in het geval van een spoor 1-aanwijzing
jaarlijks rapporteer aan de Kamer over hoe de ontwikkeling naar een spoor 2-aanwijzing
vordert en welke stappen ik zet om dit te bereiken. Dit geeft de Kamer goed zicht
op welke stappen het zorgveld onder mijn regie zet. Daarom geef ik het aangepaste
amendement oordeel Kamer.

De Wegiz en de ICT-markt in de zorg

Ik deel de zorgen van uw Kamer over de staat van de huidige ICT-markt in de zorg.
In mijn brief over de ICT- markt in de zorg van 4 september jl.4 gaf ik aan dat ik vastberaden ben om deze beter te laten werken. Twee amendementen
ondersteunen het komen tot een gezonde ICT-markt. Zowel het amendement van de leden Van den Berg en Hijink over verplicht gebruik van open
en waar mogelijk internationale standaarden (API)5 als het gewijzigde amendement van het lid Van den Berg over eisen voor informatietechnologieproducten
of -diensten6 zullen met de voorgestelde aanpassingen het openmaken van de ICT-markt vergemakkelijken.

Door de koppelvlakken (API’s) onder de Wegiz te brengen, wordt het communiceren tussen
twee systemen eenvoudiger geregeld. Ik heb uw Kamer eerder laten weten7 met een API-strategie te komen en dat de bereidheid uit het zorgveld om hieraan mee
te werken groot is. In het eerste kwartaal van 2023 deel ik de API-strategie met uw
Kamer en kunnen de eerste API’s opgenomen worden in een toegankelijke bibliotheek.
Het ingediende amendement sluit daarop aan door vervolgens het gebruik van deze API’s
per uitwisseling te verplichten. Het amendement heb ik bij de wetsbehandeling reeds
oordeel Kamer gegeven.

Het oorspronkelijke amendement over basiseisen sloot onvoldoende aan bij de Wegiz.
In de eerste plaats richt de Wegiz zich alleen op de uitwisseling van gegevens, niet
op het verwerken van die gegevens in het zorginformatiesysteem zelf. Het was onduidelijk
wie de eisen stelde en hoe de verhouding van deze eisen was met de normen die per
AMvB onder de Wegiz verplicht worden. Het gewijzigde amendement over eisen voor informatietechnologieproducten of -diensten8 is in lijn met wat ik met dit wetsvoorstel voor ogen heb. Namelijk dat systemen niet
alleen met elkaar uit moeten kunnen wisselen, maar ook dat overstappen tussen verschillend
systemen moet worden vergemakkelijkt. Dit is complementair aan het stelsel met normen
binnen de Wegiz, en verkleint de afhankelijkheid van een leverancier, het zogenaamde
vendor lock-in effect. Dat vraagt eenvoudige toegang tot geregistreerde gegevens.
In deze vorm kan ik dit amendement oordeel Kamer geven.

Wat betreft het amendement van de leden Van den Berg en Hijink over een vergunningplicht voor
systemen voor gegevensuitwisseling van ziekenhuizen9. De Wegiz voorziet in een stelsel van certificering waarbij ook informatietechnologieproducten
alleen gebruikt kunnen als ze conform de Wegiz normen uitwisseling kunnen ondersteunen.
Ik kan me voorstellen dat er meer eisen gesteld moeten en kunnen worden, zoals ik
ook aangegeven heb bij het aangepaste amendement over verplichte basiseisen. Echter,
in deze vorm brengt dit amendement zoals gezegd grote problemen met zich mee voor
de uitvoerbaarheid van deze wet indien aangenomen en het beoogde stelsel hieromheen.

De Wegiz is te typeren als een technisch wetsvoorstel die er voor zorgt dat afspraken
omtrent taal en techniek die partijen maken en juridisch afdwingbaar worden, zodat
de vrijblijvendheid van zorgpartijen en IT-leveranciers verdwijnt. Het voorgestelde
amendement is van een heel andere orde dan de Wegiz. Het is een compleet nieuw onderwerp
waarvoor door mij geen zorgvuldige beleidsafweging heeft kunnen plaatsvinden. Of ingrijpen
via een vergunningsstelsel in de ICT-markt waarbij eisen gesteld worden aan winstmarges,
tariefopbouw en op de andere genoemde onderdelen in het amendement doeltreffend is,
uitvoerbaar, financieel haalbaar, niet in strijd komt met nationale of Europese wetgeving,
en past binnen ander nationaal en Europees beleid, heb ik niet in deze korte tijd
kunnen beoordelen, mede omdat zoals eerder aangegeven dit amendement geen aansluiting
heeft bij de overige artikelen van de Wegiz.

Ik ontraad daarom met klem dit amendement, omdat hiermee grote vertraging zal ontstaan
voor de geprioriteerde gegevensuitwisselingen. Ik verzoek uw Kamer mijn reeds lopende
beleidstraject op ICT-markt af te wachten waar ik de strekking van dit amendement
ook meeneem. Ik ga met de NZa in gesprek of een vergunningstelsel buiten de Wegiz
wel vorm kan krijgen en informeer uw Kamer hierover begin 2023 over de uitkomsten.
Op dit moment ben ik zoals aangekondigd in eerder genoemde brief van 4 september jl.
bezig met een onderzoek over wat mijn mogelijkheden zijn om de ICT-markt op orde te
brengen. Want naast deze toevoegingen aan de Wegiz is er meer nodig om iets te doen
aan de hoge winsten in de zorg ICT. Buitensporig hoge winsten in de zorg-ICT vind
ik onwenselijk, want het gaat hier om publiek geld. Ik begin daarom een juridisch
onderzoek, naar wat binnen wettelijke kaders van marktwerking en binnen de Europese
kaders mogelijk is en informeer u hierover begin 2023.

Bovendien wil ik de inkoopkracht van zorgpartijen verder versterken, door gebruikersverenigingen
tot stand te laten komen. Tegelijkertijd wil ik ook beter met leveranciers samenwerken.
Dit wil ik bereiken door het inzicht voor leveranciers te gaan verbeteren in de planning
van de trajecten die vanuit VWS lopen in samenhang met grote landelijke projecten.
Tot slot wil ik kijken of ik met een convenant of gedragscode leveranciers kan binden
aan hun maatschappelijke verantwoordelijkheid.

In de ingezette trajecten neem ik graag de elementen mee die in de verschillende amendementen
en de inbreng van de deelnemende fracties tijdens de plenaire behandeling van de Wegiz
en het commissiedebat Gegevensuitwisseling /-bescherming in de zorg / E-Health/Slimme
zorg / Administratieve lasten van 15 september jl. zijn meegegeven.

De Wegiz en het strafrechtelijk kader

In het debat van vorige week heb ik aangegeven dat de Ministeries van Defensie en
Justitie en Veiligheid praktische bezwaren zien bij het laten vervallen van de uitzondering
zoals voorgesteld in het amendement van het lid Van den Berg over het laten vervallen van de uitzondering
voor zorg in strafrechtelijk kader (35 824-10). Hieronder vindt u de overwegingen van beide ministeries waardoor ik het amendement
moet blijven ontraden.

Oordeel Ministerie van Defensie

Hoewel het Ministerie van Defensie toezegt de gegevensuitwisseling conform de Wegiz
te willen realiseren, lukt dit niet altijd onder operationele omstandigheden. Met
de beelden van de oorlog in Oekraïne voor ogen zult u begrijpen dat de systemen voor
gegevensuitwisseling in die omstandigheden er niet altijd zijn, of niet altijd zullen
functioneren. De certificering van de informatietechnologieproducten en -diensten
voor het verlenen van zorg onder operationele omstandigheden zal daarmee niet mogelijk
zijn. Daar waar de systemen in operationele omstandigheden wel functioneren, zal het
Ministerie van Defensie de gegevens conform de Wegiz delen, tenzij die elektronische
uitwisseling van gegevens een belemmering vormt voor de operationele inzet. In dat
geval wisselt Defensie in principe geen elektronische gegevens uit. Het Ministerie
van Defensie vraagt nadrukkelijk geen uitzondering voor de reguliere omstandigheden.

Oordeel Ministerie J&V

Binnen de zorgverlening in strafrechtelijk kader is – daar waar dat verantwoord is
– reeds sprake van elektronische uitwisseling van gegevens. In de situatie dat dit
niet verantwoord is, bestaat de mogelijkheid om dat op andere wijze te doen. Die mogelijkheid
dient behouden te blijven. De kern is dat verplichte elektronische gegevensuitwisseling
als beoogd in het wetsvoorstel, op het terrein waar zorg en strafrecht elkaar raken
juist ook extra risico's voor die veiligheid met zich meebrengt. Met name voor de
personen op wie die gegevens betrekking hebben. Denk daarbij aan personen van wie
de verblijfplaats onder geen beding bekend mag raken bij kwaadwillende derden en waarbij
elektronische gegevensuitwisseling juist altijd direct of indirect herleidbare gegevens
bevat terzake diens verblijfplaats.

Het kan niet zo zijn dat via het kanaal van de zorggegevens er gegevens uit het strafrechtsysteem
worden gemengd als dat onverantwoord is (met name waar het gaat om het hoogste veiligheidssegment).
Het kan daarbij ook gaan om bescherming van (medisch) personeel van DJI of van de
zorgverlener die de gegevens ontvangt. De recente ontwikkelingen in het kader van
de ondermijning laten zien dat bijzondere aandacht voor dit aspect op zijn plaats
is. Dit laat – zoals in de toelichting op het wetsvoorstel is beschreven – onverlet
dat waar mogelijk de in dit wetsvoorstel voorziene wijze van uitwisselen van gegevens
wordt gevolgd. In een omgeving waarin zich zeer gevaarlijke criminelen en patiënten
begeven, kan het één op één aansluiten op het wetsvoorstel onder omstandigheden betekenen
dat de veiligheidsrisico’s te groot zijn.

Daarom is het belangrijk dat in de justitiële inrichtingen (jeugdinrichtingen, penitentiaire
inrichtingen en tbs-instellingen) de Minister die verantwoordelijk is voor de tenuitvoerlegging
van straffen en maatregelen primair de regie blijft houden over de mate en het tempo
waarin de stappen worden gezet.

De Wegiz en beveiliging van gegevens

Ik heb toegezegd terug te komen op de zorgen van de heer Hijink over de eisen aan
de beveiliging van gegevens die onder de Wegiz gesteld worden. Het uitsluitend verplicht
stellen van end-to-end encryptie levert technische en praktische problemen op, die
de kwaliteit van zorg niet ten goede komen en in potentie tot gevaarlijke situaties
kan leiden. Medicatiegegevens kunnen bijvoorbeeld uit verschillende bronnen (huisarts,
apotheken) afkomstig zijn, die niet dezelfde taal dan wel eenheid van taal hanteren.
Bij toepassing van end-to-end encryptie op de afzonderlijke berichten wordt het onmogelijk
om de vertaalslag te maken en informatie uit verschillende gegevensbronnen te combineren
en daarmee effectief uit te wisselen.

Er zijn meerdere manieren om tot een passende beveiliging te komen. End-to-end encryptie
is één manier om data bij uitwisseling te beschermen. Het is ook niet de enige maatregel
om te komen tot veilige omgang met gegevens. Welke beveiligingsmaatregelen het meest
passend zijn bij een bepaalde uitwisseling is de verantwoordelijkheid van de betrokken
partijen. Daarbij geldt dat voor wat noodzakelijke passende technische en organisatorische
maatregelen zijn conform art. 32 AVG voor de zorg nader is uitgewerkt in het Besluit
elektronische gegevensverwerking door zorgaanbieders. Daarin staat dat zorgaanbieders
moeten voldoen aan de NEN7510, NEN7512 en NEN7513 normen.

NEN 7512 bevat de voorschriften die relevant zijn voor de beveiliging van communicatie
in de zorg. In deze norm wordt onder andere meerlaagsbeveiliging voorgeschreven. Dat
betekent dat het doorbreken van één beveiligingslaag niet automatisch mag leiden tot
het gecompromitteerd raken van de gegevens in de communicatie doordat er teruggevallen
kan worden op een tweede beveiligingslaag. NEN 7512 bereikt zodoende passende beveiliging
zonder in alle gevallen end-to-end encryptie voor te schrijven, wat in de praktijk
tot problemen kan leiden en ook niet in alle gevallen nodig is.

Slot

Tot slot wil ik de Kamer graag bedanken voor de gedachtewisseling die wij over het
wetsvoorstel hebben gehad. Ik heb in deze brief gereageerd op de laatste versies van
de amendementen die ik hiervan onder ogen heb gekregen. Ik hoop op steun om met dit
wetsvoorstel een belangrijke stap te zetten in het verbeteren van de elektronische
uitwisseling van gegevens in de zorg.

De Minister van Volksgezondheid, Welzijn en Sport,
E.J. Kuipers