Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag

Nr. 6
NOTA NAAR AANLEIDING VAN HET VERSLAG

ONTVANGEN 16 NOVEMBER 2020

Inhoudsopgave

1.

Algemeen deel

2

2.

Landelijke alcohol en drugs informatiesysteem

5

3.

De Landelijke Trauma Registratie

5

4.

Gegevensuitwisseling en privacy

5

5.

Regeldrukgevolgen

6

Artikelsgewijze toelichting

7

Introductie

Met belangstelling heb ik kennis genomen van het verslag van de vaste commissie voor
Volksgezondheid, Welzijn en Sport (VWS) over het voorstel tot Wijziging van de Wet
kwaliteit, klachten en geschillen zorg in verband met het creëren van grondslagen
voor het verwerken van gepseudonimiseerde persoonsgegevens ten behoeve van registraties
ter bevordering van de kwaliteit en veiligheid van de gezondheidszorg en wijziging
van de Wet langdurige zorg in verband met het toevoegen van de bevoegdheid voor het
CIZ om geaggregeerde informatie te genereren en verstrekken aan de Minister van VWS
ten behoeve van het doen van ramingen.

Er zijn door de leden van de fracties van de VVD en CDA vragen gesteld en opmerkingen
gemaakt. Ik hoop met de beantwoording van de gestelde vragen de nog bestaande onduidelijkheden
te kunnen wegnemen.

Leeswijzer

In deze nota naar aanleiding van het verslag wordt de volgorde van de hoofdstukken
van het verslag aangehouden. De leden van de VVD- en CDA-fractie hebben over een aantal
onderwerpen vergelijkbare vragen gesteld. Waar dit de helderheid en overzichtelijkheid
ten goede kwam, zijn vragen samengenomen in de beantwoording.

1. Algemeen deel

De leden van de CDA-fractie vragen of de regering kan toelichten hoe de vraag naar
verslavingszorg in Nederland en het bewaken van de kwaliteit naast het gebruik van
gegevens uit het LADIS vorm krijgt.

Partijen in de ggz werken continu aan de verbetering van kwaliteit van zorg. Onder
begeleiding van Alliantie kwaliteit in de ggz (Akwa ggz) wordt er bijvoorbeeld gewerkt
aan kwaliteitsstandaarden voor de ggz, waaronder kwaliteitsstandaarden voor goede
zorg in de verslavingszorg. Hierbij valt te denken aan de multidisciplinaire richtlijn
ggz stoornissen in het gebruik van cannabis, cocaïne, amfetamine, ecstasy, GHB en
benzodiazepines. Deze multidisciplinaire richtlijn is opgenomen in het openbare Register
van Zorginstituut Nederland als landelijke invulling van de norm voor goede zorg.
Een aantal andere kwaliteitsstandaarden voor verslavingszorg zoals die voor opiaatverslaving
en problematisch alcoholgebruik en alcoholverslaving is nog in ontwikkeling. De Inspectie
Gezondheidszorg en Jeugd (IGJ) houdt toezicht op zorgverlening door de ggz en volgt
intensief het brede traject rondom het opstellen en de registratie van kwaliteitsstandaarden.

De leden van de CDA-fractie vragen of de regering kan aangeven waarom ze jaren heeft
gewacht om de grondslag voor verwerking van persoonsgegevens ten behoeve van het LADIS
en de LTR wettelijk te regelen.

Het College Bescherming Persoonsgegevens (tot 1 januari 2016 de naam van de Autoriteit
van Persoonsgegevens) ging er tot eind 2015 vanuit dat persoonsgegevens na pseudonimisering
geen persoonsgegevens meer vormen. Dit standpunt is door de Autoriteit van Persoonsgegevens
echter gewijzigd. Er wordt dan ook voor de verwerking van gepseudonimiseerde gegevens
een expliciete grondslag noodzakelijk geacht, en dient ook voor deze kwaliteitsregistraties
een grondslag te bestaan. Het traject voor de wettelijke grondslag is, na inventarisatie
van de diverse kwaliteitsregistraties, in 2017 ingezet. Afstemming en consultatie
met betrokken partijen heeft vervolgens de nodige tijd in beslag genomen.

De leden van de CDA-fractie vragen of er al een infractieprocedure is gestart door
de Europese Commissie.

Er is door de Europese Commissie geen infractieprocedure gestart.

De leden van de CDA-fractie vragen of de regering er zorg voor kan dragen dat voordat
de plenaire behandeling van het onderhavige wetsvoorstel plaatsvindt, de onderliggende
algemene maatregel van bestuur (amvb), waarin onder andere wordt opgenomen welke precieze
gegevens vastgelegd worden, wie daar toegang tot hebben, hoe deze worden beveiligd
en hoelang ze worden bewaard, naar de Kamer wordt gestuurd. Ook de leden van de VVD-fractie
vragen hoe de beveiliging van gegevens is georganiseerd.

De onderliggende amvb is nog niet gereed om te kunnen delen met de Kamer. Deze wordt
dit najaar afgestemd met betrokken partijen en in internetconsultatie gegeven. Wel
wordt hieronder een uitgebreide beschrijving gegeven van wat wordt beoogd in deze
amvb ten aanzien van de gegevensset, beveiliging, toegang en bewaartermijnen te regelen.

In de amvb is beoogd te regelen dat in LADIS een aantal groepen gegevens wordt verwerkt.
Het betreft identificerende gegevens van de cliënten, zijnde de naam, de geboortedatum,
de woonplaats en het geslacht. De identificerende persoonsgegevens zoals NAW-gegevens,
leeftijd en geslacht, worden onomkeerbaar gepseudonimiseerd opgeslagen. LADIS bevat
naast gewone persoonsgegevens, bijzondere persoonsgegevens van een cliënt in de verslavingszorg,
zoals gegevens over de problematiek van de cliënt. Aanvullende (bijzondere) persoonsgegevens
gerelateerd aan demografie, problematiek en behandeling worden niet gepseudonimiseerd
opgeslagen in LADIS, omdat deze gegevens noodzakelijk zijn voor het verwerkingsdoeleinde.
Tot slot worden ook administratieve kenmerken van de opname in de verslavingsinstelling
zoals registratienummer, inschrijfnummer, datum inschrijving en datum uitschrijving
vastgelegd.

De partijen die toegang hebben tot deze gegevens zijn de verstrekkers van de gegevens
aan LADIS (zijnde Nederlandse zorgaanbieders die verslavingszorg bieden en apothekers
die die verstrekking van opiaatvervangende middelen registreren ten behoeve van een
opiaatonderhoudsbehandeling in de verslavingszorg), de verwerker van de gegevens (zijnde
Stichting Informatievoorziening Zorg (IVZ)) en de subverwerker (zijnde ZorgTTP). Onderstaand
schema geeft weer hoe de datastroom vanuit de zorgaanbieder via ZorgTTP naar IVZ wordt
verzonden.

Afbeelding 1 – Gegevensstroom aanbieder, ZorgTTP en IVZ (bron ZorgTTP)

De gele kleur in het schema representeert de Privacy Verzend Module (PVM). In dit
proces wordt de techniek van onomkeerbare pseudonimisatie toegepast. Hierbij worden
identificerende persoonsgegevens (zoals NAW-gegevens) verwijderd zodat detailinformatie
van betrokkenen niet meer herleidbaar is. Daarnaast worden waar mogelijk gegevens
gegeneraliseerd. De data en de pseudoniemen worden door de PVM verzonden naar ZorgTTP.
Het blauwe deel representeert het proces van de tweede versleuteling bij ZorgTTP.
De aangemaakte pseudoniemen worden een tweede keer versleuteld en worden samen met
de andere data klaargezet voor IVZ. Het rode gedeelte representeert de Data Retour
Module (DRM). Hiermee worden de bestanden door IVZ bij ZorgTTP via een beveiligde
verbinding opgehaald. De pseudoniemen en de data worden middels een tijdelijk koppelnummer
samengevoegd. Dit voor de aanlevering unieke koppelnummer wordt vervolgens verwijderd.

Om de beveiliging te garanderen is IT-beheer van het serverplatform van LADIS uitbesteed
aan een professionele IT-aanbieder inclusief het beschrijven van de wederzijdse verantwoordelijkheden
ten aanzien van de AVG, beveiligingsniveaus en autorisaties. Deze IT-aanbieder is
een gecertificeerde Zorg Service Provider. Beheerders hebben geen toegang tot de LADIS-data.
Van de gegevens in LADIS wordt op dit moment geen bewaartermijn vastgesteld. LADIS
is een longitudinale monitor van de aard en omvang van de verslavingszorg in Nederland.
Aangezien verslaving gezien wordt als een chronisch recidiverende ziekte is het van
belang de duur en het aantal opnames in zorg te kunnen monitoren. Dit maakt dat er
op dit moment geen bewaartermijn voor de gegevensverzameling is opgenomen, maar dit
is nog onderdeel van nadere uitwerking in de onderliggende amvb.

In de amvb is verder beoogd te regelen dat in de Landelijke traumaregistratie (hierna:
de LTR) een aantal groepen gegevens wordt verwerkt. Het betreft identificerende gegevens
van de patiënten, zijnde de geboortedatum, het geslacht en het BSN. De identificerende
persoonsgegevens zoals NAW-gegevens, geboortedatum en geslacht, worden onomkeerbaar
gepseudonimiseerd opgeslagen en het BSN wordt versleuteld. De LTR bevat naast gewone
persoonsgegevens, bijzondere persoonsgegevens van een cliënt in de traumazorg, zoals
gegevens over het ongeval, de fysieke toestand van de patiënt en de behandeling(en)/spoedinterventies.
Tot slot worden ook administratieve kenmerken verwerkt zoals ambulance ritnummer,
ziekenhuis patiëntnummer, datum en tijdstip ontslag ziekenhuis en ontslagbestemming.

De volgende partijen hebben toegang tot (delen van) bovenstaande gegevens:

– Ambulancediensten (verstrekker van gegevens);

– Ziekenhuisafdeling Spoedeisende Hulp (verstrekker van gegevens);

– Aangewezen traumacentrum (verstrekker van gegevens);

– Bureau LNAZ, namens traumacentra (verwerker van gegevens);

– Advanced Data Management (ADM) LUMC (verwerker van gegevens);

– ZorgTTp (verwerker van gegevens);

– IVZ (verwerker van gegevens)

Voor het waarborgen van de beveiliging van de persoonsgegevens in de LTR zijn verschillende
maatregelen genomen:

a. Voor het database beheer en onderhoud van de LTR is vanuit het LNAZ een overeenkomst
afgesloten met ADM LUMC. Het is ISO27001/NEN7510 gecertificeerd. Toegang tot de LTR-database,
in het ProMISe datamanagement omgeving, is ingeregeld via autorisaties en logbestanden
worden bijgehouden;

b. Voor de versleuteling van persoonsgegevens is een overeenkomst afgesloten met ZorgTTP
(trusted third party). Zij verzorgt versleuteling van het BSN via «Trusted Reversible
Encryption Service»(TRES). De combinatie van ProMISe met TRES encryptie geeft een
dubbele beveiliging. ProMISe authentiseert en autoriseert de gebruiker voor toegang
tot de data met de geëncrypteerde identiteit. Vervolgens is een onafhankelijk authenticatie
en autorisatie bij TRES nodig voor toegang tot decryptie en daarmee tot de identificatie
in de data;

c. Voor het opstellen van standaardrapportages op geaggregeerd niveau is een overeenkomst
afgesloten met Stichting Informatie Voorziening Zorg (IVZ). Ten aanzien van de technische
infrastructuur hanteert IVZ de richtlijnen van de NEN 7510 normering. Tweejaarlijks
beoordelen externe auditors de status van de informatiebeveiliging en technische infrastructuur
volgens deze normen;

d. Er is een apart reglement voor LTR gegevensaanvragen voor (wetenschappelijke) onderzoek
en publicatie. Hierbij geldt dat geen gegevens op patiënt niveau wordt verstrekt aan
onderzoekers. Data-analyse vindt plaats door de verwerker ADM LUMC (biostatistiek
medewerker).

Ten aanzien van de in de LTR bewaarde gegevens wordt op dit moment geen bewaartermijn
vastgesteld, maar dit is nog onderdeel van nadere uitwerking in de onderliggende amvb.
Dit is zo gedaan om te zorgen dat de LTR-gegevens gebruikt kunnen worden voor statistische
doeleinden en onderzoek naar onder meer ontwikkelingen/trends zorgvraag en zorgverlening
over de tijd, inclusief het onderzoeken van personen met meerdere ongevallen.

2. Landelijke alcohol en drugs informatiesysteem

De leden van de CDA-fractie vragen wie er in het bestuur respectievelijk de raad van
toezicht van Stichting IVZ zitten? Zij vragen daarnaast wie welke functionaris mag
benoemen?

Het bestuur van de stichting bestaat uit een door de raad van toezicht vast te stellen
aantal personen. Bestuurders worden benoemd, geschorst en ontslagen door de raad van
toezicht. De raad van toezicht is bevoegd tot het benoemen, schorsen en ontslaan van
de leden van de raad van toezicht. Bij de benoeming van leden van de raad van toezicht
spant de raad van toezicht zich er zoveel mogelijk voor in, dat de meerderheid van
de leden afkomstig is uit sectoren waaruit klanten van de stichting afkomstig zijn.

Bij de benoeming van bestuurders en leden van de raad van toezicht wordt de code voor
good governance voor bestuurders en toezichthouders in acht genomen.

Het huidige bestuur bestaat uit één functionaris. De raad van toezicht bestaat uit
drie leden.

3. De Landelijke Trauma Registratie

De leden van de VVD-fractie vragen op welk regioniveau in het «regionaal overleg acute
zorgketen» overleg wordt gevoerd.

Het regionaal overleg acute zorgketen (ROAZ) wordt gevoerd op het niveau van bestuurders
en managers van verschillende aanbieders van acute zorg. Er zijn 11 ROAZ-regio’s in
Nederland.

De leden van de CDA-fractie vragen waarom de huisartsenposten en de crisisdiensten
ggz niet in het LADIS participeren en of dit nog zal veranderen.

Ik ga ervan uit dat de leden van de CDA-fractie bedoelen waarom de huisartsen en de
crisisdiensten GGZ niet in de LTR participeren. Ik beantwoord de vraag dan ook met
dat uitgangspunt. Huisartsenposten en crisisdiensten GGZ participeren inderdaad niet
in de LTR. De Huisartsenposten en crisisdiensten GGZ leveren namelijk geen traumazorg
aan ongevalpatiënten die acuut worden opgenomen voor behandeling van hun letsel(s).
De LTR is een ketenregistratie van ongevalpatiënten die acuut worden opgenomen voor
behandeling van hun letsel(s). De gegevens voor de LTR worden ter beschikking gesteld
door de ziekenhuizen met een afdeling spoedeisende hulp waar ongevalpatiënten kunnen
worden opgevangen en behandeld voor hun letsel alsook door ambulancediensten die prehospitaal
hulp verlenen aan ongevalpatiënten. Elk traumacentrum vervult in haar regio (voor
de ambulancediensten en de ziekenhuizen) een coördinerende en ondersteunende rol voor
de dataverzameling.

4. Gegevensuitwisseling en privacy

De leden van de CDA-fractie lezen dat de regering stelt dat er op dit moment reeds
drie jaar geen actuele informatie meer opgenomen is in het LADIS, omdat dit in strijd
zou zijn met de AVG. Toch stelt de regering in de toelichting dat dit wetsvoorstel
niet in strijd is met de AVG. Zij concluderen hieruit dat de regering en/of zorgaanbieders
dit standpunt hebben herzien. Deze leden vragen om een uitgebreide toelichten waarom
»men» hier anders over is gaan denken en welke inzichten hieraan ten grondslag liggen.

Er is de afgelopen jaren geen informatie opgenomen in het LADIS, omdat een grondslag
voor de verwerking van persoonsgegevens hiervoor ontbreekt. Daarvoor is onderhavig
wetsvoorstel opgesteld, waarbij de van belang zijnde privacyregels in acht zijn genomen.
Het wetsvoorstel is daarmee niet in strijd met de AVG. Echter, de verwerking van persoonsgegevens
ten behoeve van het LADIS is pas rechtmatig op het moment dat dit wetsvoorstel in
werking treedt.

De leden van de CDA-fractie vinden het zorgelijk dat al drie jaar geen actuele informatie
meer is opgenomen in het LADIS over verslavingsproblematiek en over de vraag of deze
toe- dan wel afneemt en of er extra interventies hadden moeten plaatsvinden. Deze
leden stellen dat toch mag worden aangenomen dat er andere informatiebronnen zijn
dan alleen signalen of vermoedens van zorgaanbieders zoals informatie en/of cijfers
van de politie. Ze vragen of de regering hier uitgebreid op in kan gaan.

LADIS is een van de belangrijkste bronnen voor informatie over de hulpvraag in de
verslavingszorg. De database geeft de trends weer in opnames in verslavingszorginstellingen,
hierin is deze uniek. Naast deze database is er ook een aantal monitors waarin verslavingsproblematiek
wordt gemeten en geanalyseerd. Zo wordt het gebruik van middelen onder andere gemeten
in de leefstijlmonitor en het peilstationsonderzoek. Verder worden ook trends in drugsincidenten
bijgehouden door de spoedeisende hulpdiensten, de politie en de ambulancediensten.
Deze registratiegegevens worden bijgehouden en geanalyseerd in de Monitor Drugs Incidenten.
Ongevallen en letsels gerelateerd aan alcoholgebruik geregistreerd op de spoedeisende
hulpdiensten worden bijgehouden door VeiligheidNL. Alle bronnen komen ieder jaar samen
in de Nationale Drug Monitor (NDM). De NDM beschrijft zowel trends in gezondheidsindicatoren
als op het gebied van politie en justitie. Naast deze bronnen is het echter van belang
om ook weer de trends in de verslavingszorginstellingen te meten en analyseren in
LADIS.

De leden van de CDA-fractie vragen aan welke passende technische en organisatorische
maatregelen de regering denkt om persoonsgegevens te beveiligen tegen verlies of enige
andere vorm van onrechtmatige verwerking. Aan welke passende technische en organisatorische
maatregelen denkt de regering?

In aanvulling op het antwoord wat ik hiervoor heb gegeven ten aanzien van de vraag
van de CDA-fractieleden naar de invulling van de amvb, waaronder de beveiliging van
gegevens nog het volgende. De kwaliteitsregisters hebben en houden een gesloten systeem
voor de verwerking van (persoons)gegevens, enkel bedoeld voor de aangesloten instanties.
Daarnaast zijn de persoonsgegevens versleuteld. De gegevens zijn dus ook niet beschikbaar
op individueel niveau of op persoons-herleidbaar niveau.

5. Regeldrukgevolgen

De leden van de VVD-fractie vragen welke extra administratieve druk dit wetsvoorstel
oplevert.

De wijzigingen van de Wkkgz met deze registratieplichten zijn geen wijzigingen van
de huidige situatie, behalve dat ten aanzien van de bestaande registraties die nu
reeds verplicht waren ook een grondslag wordt gecreëerd met de daadwerkelijke bevoegdheid
om deze gegevens te mogen verwerken. De taken van het LNAZ en de regionale traumacentra
ten aanzien van registratie blijven zoals deze nu reeds worden uitgevoerd. Ditzelfde
geldt voor de taken van IVZ en de zorgaanbieders ten aanzien van registratie van gegevens
in het LADIS.

Artikelsgewijze toelichting

De leden van de VVD-fractie willen weten wie juridisch verantwoordelijk is voor het
eventueel mis kunnen gaan van de pseudonimisering bij de gegevensuitwisseling bij
verstrekking aan derden.

In antwoord op de vraag van de CDA-fractieleden naar de invulling van de amvb hierboven
is al aangegeven op welke wijze de verwerking van persoonsgegevens is beveiligd. De
pseudonimisering gebeurt door een third thrusted party met wie een verwerkersovereenkomst
gesloten. Voor zowel de registratie in het kader van LADIS als LTR is deze partij
ZorgTTP. Afhankelijk van wat er mis gaat rondom de pseudonimisering is of de zorgaanbieder
(verslavingszorgaanbieder respectievelijk aanbieder van acute zorg) of ZorgTTP verantwoordelijk.
Indien bijvoorbeeld gedurende de verstrekking aan ZorgTTP een datalek zou ontstaan
is de aanbieder verantwoordelijk. Als er gedurende de versleuteling van persoonsgegevens
bijvoorbeeld een datalek zou ontstaan is ZorgTTP verantwoordelijk.

De Minister voor Medische Zorg,
T. van Ark