Memorie van toelichting : Memorie van toelichting (herdruk)
35 824 Regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg)
Nr. 3 HERDRUK1
MEMORIE VAN TOELICHTING
ALGEMEEN
1. Aanleiding wetsvoorstel
Een belangrijke randvoorwaarde voor zorgverleners om goede zorg2 te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens
over de cliënt3 op de juiste plek op het juiste moment. Denk bijvoorbeeld aan de situatie dat na
overdracht door de medisch specialist een verpleeghuisarts tijdig de beschikking heeft
over de gegevens van een cliënt, zodat hij precies weet wat de cliënt aan zorg nodig
heeft. De urgentie van het beschikbaar hebben van deze gegevens doet zich bijvoorbeeld
voor wanneer een cliënt met een herseninfarct wordt overgeplaatst naar een intra arteriële
thrombectomie-centrum voor een acute ingreep. Als de gegevens op papier of via cd-rom
pas met de cliënt meekomen, kan het medische behandelteam zich niet voorbereiden.
Dit kan onnodig tijdverlies en risico’s voor de behandeling opleveren. Door het tijdig
elektronisch uitwisselen van de juiste gegevens op een eenduidige manier kan goede
zorgverlening worden bevorderd.
Zorgaanbieders maken op dit moment echter gebruik van verschillende manieren van uitwisseling
van gegevens die vaak niet op elkaar aansluiten. Uitwisseling van gegevens gebeurt
vaak nog via de analoge fax, papier, per post, DVD, of ontbreekt zelfs volledig waardoor
actuele informatie niet (op tijd) voor de zorgverlener beschikbaar kan zijn.
Door gebruik te maken in de zorg van het elektronisch uitwisselen van gegevens aan
de hand van eenduidige eisen aan taal en techniek kunnen de juiste gegevens op een
eenduidige manier tijdig worden uitgewisseld. Om zorgverleners elektronisch met elkaar
te laten communiceren zal hierbij gebruik gemaakt worden van een elektronische infrastructuur.
Onder een dergelijke infrastructuur wordt verstaan: een geheel van netwerken alsmede
de benodigde hardware en software waarmee personen en organisaties elektronisch met
elkaar kunnen communiceren. Daartoe behoort niet het uitwisselen van gegevens door
gebruik te maken van bijvoorbeeld een USB-stick of DVD.
Momenteel vindt elektronische gegevensuitwisseling echter nog zeer beperkt plaats.
Daar waar gegevensuitwisseling al wel elektronisch plaatsvindt, verloopt deze vaak
niet zonder problemen aangezien er op dit moment een gebrek is aan eenduidigheid in
taal en techniek.
Doordat gegevens op dit moment veelal niet goed doorkomen of handmatig moeten worden
overgetypt, ontstaan er negatieve effecten op de zorgverlening. Zowel voor de zorgverlener
als aan de kant van de cliënt. Het niet goed doorkomen van gegevens heeft voor cliënten
tot gevolg dat zij soms onnodige onderzoeken moeten ondergaan. Ook bestaat er een
vergroot risico op vermijdbare fouten in de zorgverlening (bijvoorbeeld verkeerd gestelde
diagnoses en niet passende behandelingen). Verder kan gedacht worden aan vermijdbare
medicatiefouten, doordat gegevens over medicatie, allergieën, intoleranties en contra-indicaties
onvolledig, onjuist of in het geheel niet uitgewisseld worden.
Zorgverleners verliezen veel tijd met (extra) administratieve handelingen rondom de
gegevensuitwisseling, zoals door het overtypen, het fysiek moeten overdragen, of door
het achterhalen van ontbrekende gegevens. Dit is tijd die ten koste gaat van de zorgverlening
aan de cliënt. Bovendien kan geen of ontoereikende en daarmee onvolledige gegevensoverdracht
ertoe leiden dat zorgverleners onnodige, soms kostbare, onderzoeken (over) moeten
doen. Hierdoor lopen de zorgkosten onnodig op, ontstaat een negatieve beeldvorming
over de zorg als arbeidsmarkt (juist nu zorgpersoneel hard nodig is) en wordt innovatie
in de zorg geremd. Dit alles brengt ook negatieve gevolgen met zich mee voor de maatschappij
als geheel.
Daarbij komt dat de uitwisseling van gegevens in de zorg steeds belangrijker wordt,
nu steeds meer cliënten zorg uit verschillende domeinen en regio’s ontvangen waarbij
meerdere zorgverleners en zorgaanbieders betrokken zijn. Hierdoor is meer coördinatie
van de zorg nodig en ontstaat dus een toenemende behoefte aan eenduidige elektronische
gegevensuitwisseling. Zorgverleners moeten van elkaar weten wat zij doen en waarom.
In deze context is het op elektronische wijze uitwisselen van gegevens van grote toegevoegde
waarde voor het verlenen van goede zorg. Ook tijdens de coronacrisis is gebleken dat
het kunnen beschikken over medische gegevens van de huisarts in spoedsituaties op
de huisartsenpost en de spoedeisende eerste hulp voor de juiste behandeling van cliënten
van groot belang is.
De Tweede Kamer heeft op meerdere momenten en in meerdere moties de Minister voor
Medische Zorg (hierna: de Minister) gevraagd om meer regie te nemen om te komen tot
elektronische gegevensuitwisseling tussen zorgverleners.4 De vraag om meer regie is ook gesteld vanuit de zorgpartijen, verenigd in het Informatieberaad
Zorg. Het regelen hoe gegevens moeten worden uitgewisseld, vormt een randvoorwaarde voor het verlenen van
goede zorg.
In verschillende brieven aan de Tweede Kamer5 en in het Algemeen Overleg met de Tweede Kamer van 9 oktober 2019 inzake Gegevensuitwisseling
in de zorg, heeft de Minister aangegeven de gevraagde regie te willen nemen en het
voorliggende wetsvoorstel aangekondigd.6
Dit wetsvoorstel vormt een onderdeel van de regie die op verzoek van het zorgveld
en de Tweede Kamer is gevraagd.
Het doel is het bereiken van volledige interoperabiliteit als het gaat om elektronische
gegevensuitwisseling tussen zorgverleners aan de hand van eenduidige eisen aan taal
en techniek. Dit wordt bereikt door het verplicht stellen van het elektronisch uitwisselen
van gegevens, waarbij de genormaliseerde eisen aan taal en techniek onafhankelijk
zijn van een specifieke elektronische infrastructuur. Daarmee wordt voorkomen dat
niet slechts één systeem voor een specifieke gegevensuitwisseling gaat gelden. Het
wetsvoorstel leidt daarmee niet tot de introductie van het gebruik van één landelijk
systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling.
Deze memorie van toelichting is mede namens de Staatssecretaris van Binnenlandse Zaken
en Koninkrijksrelaties (hierna: BZK) vanwege zijn verantwoordelijkheid voor de Kaderwet
zelfstandige bestuursorganen (hierna: Kaderwet zbo’s).
2. Doel en hoofdlijnen van het wetsvoorstel
2.1 Probleembeschrijving
Er zijn verschillende oorzaken aan te wijzen voor het niet volledig tot stand komen
van het op elektronische wijze uitwisselen van gegevens:
– Gebrek aan eenduidigheid in taal. «De zorg» is groot en divers, met veel verschillende
beroepsgroepen. Vrijwel alle beroepsgroepen hebben een eigen vaktaal. Hierdoor begrijpen
zorgverleners de uitgewisselde gegevens niet altijd of ontstaan er misverstanden.
Bij het op elektronische wijze uitwisselen van gegevens is dit een groot probleem,
omdat geen menselijke interpretatie meer is die voor de benodigde vertaling zorgt.
Immers in dat geval worden gegevens direct, dus zonder menselijke tussenkomst, overgedragen
tussen informatietechnologieproducten of -diensten. Daarom zijn eenduidige afspraken
nodig voor termen die gebruikt worden bij het uitwisselen van gegevens. Die eenduidige
afspraken zijn er nog niet voldoende, en waar ze er zijn worden ze nog niet zorgbreed
toegepast.
– Gebrek aan eenduidigheid in techniek. Er is op dit moment geen volledige interoperabiliteit
tussen de verschillende gebruikte informatietechnologieproducten of -diensten, omdat
voor bepaalde gegevensuitwisselingen geen afspraken over eenduidigheid van techniek
bestaan en de afspraken voor andere gegevensuitwisselingen niet op elkaar aansluiten
(bijvoorbeeld voor de uitwisseling van radiologische beelden). Hierdoor kan het voor
zorgverleners moeizaam of niet mogelijk zijn om gegevens uit te wisselen.
– Gebrek aan een integrale aanpak om tot het elektronisch uitwisselen van gegevens te
komen en uiteenlopende belangen van verschillende betrokken partijen. Zorgaanbieders,
zorgverleners en aanbieders van informatieproducten of -diensten werken parallel en
in decentrale verbanden aan digitalisering van gegevensuitwisselingen. Er is daardoor
geen zorgbrede focus op welke gegevensuitwisselingen als eerste elektronisch moeten
verlopen, wat tot gevolg heeft dat er geen zorgbrede afspraken gemaakt worden op het
gebied van taal en techniek. Daardoor komt de zorgbrede gegevensuitwisseling niet
tot stand.
De omvang van het probleem laat zich illustreren door de volgende voorbeelden:
– Mensen met een chronische ziekte hebben met verschillende zorgverleners te maken.
In Nederland heeft 70 procent van de mensen van 65 jaar en ouder een chronische ziekte.
Van de mensen van 75 jaar en ouder met een chronische ziekte, heeft 63 procent twee
of meer chronische ziekten (multimorbiditeit) en 32 procent drie of meer. Ouderen
hebben daarom met verschillende zorgverleners te maken die van elkaar moeten weten
wat ze doen. Zoals wie welke medicatie heeft voorgeschreven, omdat eerder voorgeschreven
medicatie van invloed kan zijn op de werking van nieuwe medicatie.7
– Jaarlijks vinden meer dan 460.000 verpleegkundige overdrachten plaats tussen zorgaanbieders.
Een verpleegkundige overdracht kan nu in totaal 4 uur kosten omdat er tot 8 keer dezelfde
informatie moet worden overgetypt.8 Dit brengt een hoog risico op fouten en een grote administratieve last met zich mee.
Ook zorgt dit ervoor dat onvolledige informatie, geen overdracht of een onduidelijke
overdracht momenteel als belangrijke knelpunten worden gezien bij het uitwisselen
van verpleegkundige gegevens. Zo geeft 64% van de verpleegkundigen en verzorgenden
aan essentiële informatie te missen in de huidige verpleegkundige overdracht om het
zorgproces in de nieuwe zorgsetting te kunnen continueren.9
2.2 Doelstellingen en noodzaak wetgeving
Goede gezondheidszorg is een publiek belang. Het bevorderen van de volksgezondheid
is een verantwoordelijkheid van de overheid en is neergelegd in artikel 22 van de
Grondwet (hierna: Gw). De overheid heeft echter in de zorg bij het realiseren van
het elektronisch uitwisselen van gegevens een terughoudende rol gehad. Dit omdat veldpartijen
zelf verantwoordelijk zijn voor goede zorg en daarmee ook voor de inrichting en totstandbrenging
van een dergelijke gegevensuitwisseling. Deze terughoudendheid kwam mede voort uit
het verwerpen van het wetsvoorstel dat zag op het landelijk Elektronisch Patiëntendossier10 door de Eerste Kamer op 5 april 2011 en de motie van het lid Tan (PvdA) c.s.11 uit 2011, waar in paragraaf 2.2.1 nader op in wordt gegaan.
De afgelopen periode – zoals eerder aangegeven – hebben zowel de Tweede Kamer als
de zorgpartijen de Minister gevraagd om meer regie te nemen op het gebied van elektronische
gegevensuitwisseling tussen zorgverleners. Er is een duidelijke behoefte aan meer
overheidsbetrokkenheid op dit onderwerp. In feite is sprake van een inhaalslag, nu
de overheid zich lange tijd terughoudend heeft opgesteld.
2.2.1 Verhouding voorliggend wetsvoorstel tot wetsvoorstel landelijk EPD
Het wetsvoorstel dat zag op het landelijk Elektronisch patiëntendossier (EPD) regelde
de grondslag voor een verplichting van het gebruik van een landelijk systeem waarbij
de zorgverleners op basis van een in de wet gecreëerde grondslag (wettelijke plicht)
werden verplicht om (bijzondere) persoonsgegevens van de cliënt in een EPD (niet centraal
maar bij de zorgaanbieder, afgeleid van het reguliere medisch dossier) vast te leggen
en beschikbaar te stellen via het Landelijk Schakelpunt (LSP). De Eerste Kamer had
bezwaar tegen de generieke opzet en een te alomvattend systeem en de wettelijke verplichting
die werd gecreëerd voor de zorgverlener om het medisch beroepsgeheim te doorbreken
zonder dat de cliënt daarvoor afzonderlijk toestemming behoefde te geven. Daarnaast
zag de Eerste Kamer een te groot risico op het gebied van privacy. De motie van het
lid Tan verzocht de regering om verdere beleidsinhoudelijke, financiële en organisatorische
medewerking aan de ontwikkeling van het LSP te beëindigen.
Met het voorliggende wetsvoorstel is rekening gehouden met de destijds geuite zorg
in de Eerste Kamer over het landelijk EPD. Voorliggend wetsvoorstel blijft – zoals
ook verzocht in de motie van het lid Tan12 – binnen de bestaande wettelijke kaders (Algemene Verordening Gegevensbescherming
(hierna: AVG), Wet op de beroepen in de individuele gezondheidszorg (hierna: Wet BIG),
Afdeling 5 van Titel 7 van Boek 7 van het Burgerlijk Wetboek (BW) inzake de geneeskundige
behandelingsovereenkomst (vaak aangeduid als de Wet op de geneeskundige behandelingsovereenkomst
(hierna: WGBO)) en Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
(hierna: Wabvpz)) en creëert daarmee geen nieuwe grondslagen voor uitwisseling van
(bijzondere) persoonsgegevens van cliënten. Het wetsvoorstel verplicht niet tot het
uitwisselen van gegevens. De verplichting ziet daarmee alleen op het hoe van de uitwisseling, namelijk op elektronische wijze. Als binnen het bestaande wettelijke
kader geen grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens,
kan deze niet plaatsvinden. Daarbij leidt het voorliggend wetsvoorstel, zoals hiervoor
reeds is vermeld, niet tot de verplichting van het gebruik van één landelijk systeem
of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling.
Het doel is het bereiken van volledige interoperabiliteit bij het elektronisch uitwisselen
van gegevens tussen zorgverleners. Dit wordt bereikt door het verplicht stellen van
het elektronisch uitwisselen van gegevens, waarbij uiteindelijk wordt gestreefd naar
normalisatie van eisen aan taal en techniek.
Normalisatie is het proces waarbij belanghebbende partijen op vrijwillige basis, in
overleg en op basis van consensus afspraken maken over wat, in het licht van de stand
van de techniek en de best beschikbare kennis, goede normen zijn voor een product,
dienst of bedrijfsproces. Deze normen zullen daardoor infrastructuur onafhankelijk
zijn. Normalisatie is een bijzondere vorm van standaardisatie; bij de totstandkoming
van normen is altijd een normalisatie-organisatie betrokken. In beginsel zal dit,
wanneer er geen passende Europese of internationale normen beschikbaar zijn, in dit
geval de stichting Koninklijk Nederlands Normalisatie Instituut (NEN) in haar hoedanigheid
van nationale normalisatie-instelling in de zin van artikel 2 van Verordening (EU)
nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende
Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van
de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG,
2007,23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot
intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het
Europees Parlement en de Raad (PbEU 2012, L 316) (hierna: verordening 1025/2012).
2.2.2 Ondersteuning zorgveld realisering elektronische gegevensuitwisseling
In de afgelopen jaren heeft de overheid zonder een grote regierol op zich te nemen
op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering van
gestandaardiseerde elektronische gegevensuitwisseling:
– In 2014 is een eerste stap tot samenwerking en coördinatie gezet door het Ministerie
van Volksgezondheid, Welzijn en Sport (VWS) met de oprichting van het Informatieberaad
Zorg. In het Informatieberaad Zorg wordt samen met veldpartijen gewerkt aan een duurzaam
informatiestelsel. Het Informatieberaad Zorg werkt aan een aantal doelen, waaronder
gestandaardiseerde gegevensuitwisseling en het eenmalig vastleggen van gegevens.
– In de verschillende Hoofdlijnenakkoorden heeft gestandaardiseerde elektronische gegevensuitwisseling
een prominente plek gekregen. Zo is in het Hoofdlijnenakkoord Medische Specialistische
Zorg 2019–2022 opgenomen dat partijen de afgesproken standaarden implementeren, waaronder
de Basisgegevensset Zorg (BgZ) en andere Zorginformatie bouwstenen (ZIB’s) en de MedMij
standaarden.13
– Er zijn programma’s gestart ter ondersteuning van de standaardisatie van gegevensuitwisseling,
zoals het programma Registratie aan de bron14 en het programma Medicatieproces.15
– Vanaf 2017 stimuleert het kabinet diverse versnellingsprogramma’s voor de informatie-uitwisseling
tussen cliënt en professional (VIPP-regelingen) in onder meer de geestelijke gezondheidszorg
(GGZ), ziekenhuizen, zelfstandige behandelcentra, de geboortezorg, en huisartsen.
Tevens is er een versnellingsprogramma in de langdurige zorg waarbij gestandaardiseerde
elektronische gegevensuitwisseling tussen zorgorganisaties in de care (VVT, GGZen
Gehandicaptenzorg) en met zorgorganisaties in de cure zoals ziekenhuizen en huisartsen)
wordt gestimuleerd. Deze VIPP-regelingen zijn er voor zowel de uitwisseling tussen
zorgverleners, als tussen de zorgverlener met de cliënt. De VIPP-regelingen hebben
als primair doel ervoor te zorgen dat cliënten digitaal over hun medische gegevens
kunnen beschikken en deze kunnen gebruiken voor regie op hun zorg en gezondheid. Zorgaanbieders
ontvangen subsidie om ervoor te zorgen dat deze gegevens digitaal op een veilige en
gestandaardiseerde manier aan de cliënt verstrekt kunnen worden, gebruikmakend van
landelijke standaarden die zorgbreed en binnen sectoren zijn vastgelegd. Hiermee hebben
VIPP-programma’s een belangrijke basis gelegd voor gestandaardiseerde elektronische
vastlegging en informatie-uitwisseling.
– Voor de informatie-uitwisseling met de cliënt is het MedMij-afsprakenstelsel ingericht.
MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens
tussen de zorgverlener en de cliënt, bijvoorbeeld in een persoonlijke gezondheidsomgeving
(PGO). Daarvoor moet zo’n PGO veilig kunnen communiceren met alle plekken waar informatie
van de cliënt staat opgeslagen. Denk aan het ziekenhuis of de huisarts. Een dergelijk
afsprakenstelsel bestaat niet voor het onderling uitwisselen van gegevens tussen zorgverleners,
wat betekent dat gegevens over cliënten nog niet altijd op elektronische wijze uitgewisseld
kunnen worden. De MedMij afspraken16 definiëren specifieke gegevensuitwisselingen tussen professionals en cliënten, waar
zoveel mogelijk gebruik van wordt gemaakt voor het elektronisch uitwisselen tussen
professionals. Het gaat immers bij de uitwisseling van gegevens tussen zorgverleners
in de regel om dezelfde gegevens die ook met de cliënt worden uitgewisseld en waarbij
gebruik kan worden gemaakt van dezelfde standaarden.
2.2.3 Meer regie noodzakelijk
Door het veld zijn – met deze ondersteunende programma’s en maatregelen – belangrijke
stappen in de goede richting gezet en is er een basis gelegd op weg naar het realiseren
van genormaliseerde en daarmee het onafhankelijk van een specifieke elektronische
infrastructuur uitwisselen van gegevens. Dit betekent dat geen specifieke elektronische
infrastructuur zal worden voorgeschreven. Ondanks dat belangrijke stappen in de goede
richting zijn gezet, zijn deze echter nog onvoldoende gebleken om de hierboven genoemde
problemen over gebrek aan eenduidige taal, techniek en regie op te lossen.
Zonder het verplicht stellen van een elektronische gegevensuitwisseling die (uiteindelijk)
genormaliseerd plaatsvindt, komt de beoogde volledige interoperabele gegevensuitwisseling
niet goed tot stand.
De belangen van verschillende partijen (zorgverleners vanuit verschillende beroepsgroepen,
zorgaanbieders, aanbieders van informatietechnologieproducten of -diensten) blijken
in de praktijk soms zover uit elkaar te lopen dat ze er onderling niet uitkomen. Zonder
interventie van de overheid, die zicht houdt op het (publieke) belang van de integraliteit,
blijft het risico bestaan dat noodzakelijke informatie niet actueel, uniform, begrijpelijk
of compleet tussen zorgverleners kan worden uitgewisseld of dat dit te lang gaat duren.
Het genormaliseerd en daarmee onafhankelijk van een specifieke elektronische infrastructuur
uitwisselen van gegevens in de zorg kan dan niet worden gerealiseerd. Bovendien is
de verwachting dat zonder wettelijke verplichtingen niet kan worden geborgd dat alle
zorgaanbieders en zorgverleners voldoen aan de eisen. Dit wordt versterkt door investeringsvraagstukken
die zich bij aanbieders van informatietechnologieproducten of -diensten voordoen.
Aanbieders van informatietechnologieproducten of -diensten geven aan dat ze vooral
graag investeren in landelijke schaalbare oplossingen en niet in maatwerkoplossingen.
Normalisatie draagt hieraan bij.
Met dit wetsvoorstel worden zorgaanbieders stap voor stap (gegevensuitwisseling na
gegevensuitwisseling) verplicht om erop toe te zien dat zorgverleners gegevens onderling
ten minste elektronisch met elkaar uitwisselen. De bedoeling is dat deze uitwisseling
uiteindelijk genormaliseerd en daarmee onafhankelijk van een specifieke elektronische
infrastructuur plaatsvindt.
Aangezien in bepaalde gegevensuitwisselingen soms nog grote stappen gezet moeten worden
om tot volledige interoperabiliteit te komen, is gekozen voor de volgende aanpak.
Als nog grote stappen gezet moeten worden, kan ervoor gekozen worden dat voor een
gegevensuitwisseling eerst de eis geldt dat de aangewezen gegevens elektronisch moeten
worden uitgewisseld (spoor 1). Volledige interoperabiliteit wordt in spoor 1 nog niet
afgedwongen, want daarvoor is het noodzakelijk dat het uitwisselen van gegevens plaatsvindt
aan de hand van verplicht gestelde genormaliseerde eisen voor taal en techniek (spoor
2).
Voor een gegevensuitwisseling waarvoor de eis geldt om elektronisch uit te wisselen
bestaat altijd de ambitie om volledige interoperabiliteit na te streven.
In beginsel zullen de genormaliseerde eisen voor taal en techniek opgenomen worden
in een door de Stichting Nederlands Normalisatie-instituut (hierna: NEN) uitgegeven
norm (hierna: NEN-norm). Zodra het veld daartoe gereed is, zal gezamenlijk en onder
regie van de Minister een traject worden gestart om in een NEN-norm tot normalisatie
te komen van de eisen aan taal en techniek. Beoogd is dat de NEN-norm vervolgens wordt
vastgelegd en verplicht gesteld bij AMvB.
Het is mogelijk dat in plaats van een nieuwe NEN-norm een bestaande NEN-norm of een
Europese of internationale norm dwingend en exclusief wordt voorgeschreven, zoals
een NEN-EN of een NEN-EN-ISO/IEC, indien deze passend is en aan de vereiste voorwaarden
voldoet. In dat geval is er geen sprake van een normalisatietraject onder regie van
de Minister. In paragraaf 3.5.3 van deze memorie wordt dit uitgebreider toegelicht.
2.3 Reikwijdte wetsvoorstel
Dit wetsvoorstel ziet op het op elektronische wijze uitwisselen van gegevens tussen
zorgverleners bij aangewezen gegevensuitwisselingen binnen en tussen de zorgdomeinen.
Het gaat daarbij over het delen en benaderen van gegevens. Het wetsvoorstel stelt
met het oog daarop verplichtingen aan zorgaanbieders en eisen aan degene die een informatietechnologieproduct
of -dienst aanbiedt.
2.3.1 Zorgdomeinen
Het wetsvoorstel ziet op het (genormaliseerd) elektronisch uitwisselen van gegevens
tussen zorgverleners onderling, binnen en tussen de zorgdomeinen en op informatietechnologieproducten
of -diensten die gebruikt worden voor het uitwisselen van die gegevens. Dat betekent
dat het wetsvoorstel geldt voor:
– zorg of dienst als omschreven bij of krachtens de Zorgverzekeringswet (hierna: Zvw)
(Zvw-zorg);
– zorg of dienst als omschreven bij of krachtens de Wet langdurige zorg (hierna: Wlz)
(Wlz-zorg); en
– handelingen op het gebied van de individuele gezondheidszorg als bedoeld in artikel
1 van de Wet op de beroepen in de individuele gezondheidszorg, niet zijnde Zvw-zorg
of Wlz-zorg, en handelingen met een ander doel dan het bevorderen of bewaken van de
gezondheid van de cliënt (andere zorg).
Het wetsvoorstel ziet daarmee niet op het op elektronische wijze uitwisselen van gegevens
tussen de zorgverlener en de cliënt, maar enkel op uitwisseling tussen zorgverleners
onderling.
De zorg die een cliënt ontvangt, is lang niet altijd beperkt tot één zorgverlener.
Immers, een cliënt kan bij bepaalde problematiek met meerdere zorgverleners, al dan
niet binnen een zorgaanbieder, te maken krijgen. Ook op deze situaties ziet dit wetsvoorstel.
Het is voorstelbaar dat gegevens (ook) buiten de zorgdomeinen worden uitgewisseld,
bijvoorbeeld met jeugdhulp of maatschappelijke ondersteuning (voor zover die niet
ook onder andere zorg valt). Het gaat dan bijvoorbeeld over de uitwisseling van gegevens
met pleegzorg of mantelzorg. Uitwisseling van gegevens vindt bijvoorbeeld ook buiten
de zorgdomeinen plaats ten behoeve van onderzoek (secundaire data) en met het RIVM
zowel binnen het Rijksvaccinatieprogramma als binnen de verschillende bevolkingsonderzoeken.
Dit wetsvoorstel ziet echter niet op het uitwisselen van gegevens buiten de zorgdomeinen.
Dit laat onverlet dat beoogd is om op een later moment deze (dan vastgestelde) wet
daartoe te verbreden middels een wetswijziging. De reden om dit wetsvoorstel niet
nu al te laten zien op elektronische gegevensuitwisseling buiten de zorgdomeinen is
de uitvoerbaarheid van het wetsvoorstel. Gekozen is om te beginnen bij de Zvw-zorg,
Wlz-zorg en andere zorg, omdat bij deze vormen van zorg gebruik gemaakt kan worden
van de bestaande systematiek en organisatie. Dit komt de uitvoerbaarheid ten goede.
Naar verwachting heeft het wetsvoorstel overigens een indirect effect buiten de zorgdomeinen.
Als de zorg genormaliseerd en daarmee onafhankelijk van een specifieke elektronische
infrastructuur gegevens uitwisselt, dan volgen mogelijk andere domeinen op vrijwillige
basis.
In de eerdergenoemde brieven van de Minister aan de Tweede Kamer zijn in concept dertien
gegevensuitwisselingen17 genoemd die als eerste in aanmerking komen om de gegevensuitwisseling elektronisch
te laten plaatsvinden. Deze prioritaire gegevensuitwisselingen passen allemaal binnen
de reikwijdte van het wetsvoorstel.
2.3.2 Uitwisselen door middel van een elektronische infrastructuur
Met het elektronisch uitwisselen van gegevens wordt gedoeld op het delen en benaderen
van gegevens waarbij ten minste gebruik wordt gemaakt van een elektronische infrastructuur.
Een elektronische infrastructuur geldt, zoals reeds in hoofdstuk 1 is vermeld, als
het geheel van netwerken en de benodigde hardware en software waarmee personen en
organisaties elektronisch met elkaar kunnen communiceren. Het wetsvoorstel ziet niet
op de uitwisseling via fysieke gegevensdragers, zoals een papieren fax, Cd-rom of
USB-stick. Het uitwisselen van gegevens door middel van een Pdf-bestand die via een
computerverbinding wordt verzonden kan daarentegen wel worden beschouwd als een gegevensuitwisseling
door middel van een elektronische infrastructuur.
Delen en benaderen omvat het verzenden, ontvangen, inzien, uploaden, downloaden, verzamelen,
opvragen, enzovoort van gegevens.
Met delen wordt gedoeld op het rechtstreeks tussen zorgverleners delen van gegevens
al dan niet op genormaliseerde wijze.
Met benaderen wordt gedoeld op het verkrijgen van toegang tot die gegevens. Op deze
wijze worden gegevens indirect verkregen van een andere zorgverlener. Een voorbeeld
van «benaderen» is de situatie waarbij een behandelend arts op de spoedeisende hulp
inzage krijgt in de relevante gegevens van de cliënt in het dossier dat zich bij zijn
huisarts bevindt.
Het resultaat van de aanwijzing in spoor 2 is dat eisen aan taal en techniek genormaliseerd
zijn, zodat gegevens van een cliënt door zorgverleners eenduidig kunnen worden vastgelegd
en gedeeld, zodat een zorgverlener meteen bij binnenkomst van een cliënt over de belangrijkste
algemene en medische gegevens van de cliënt kan beschikken en de behandeling zonder
onnodige vertraging kan worden gestart of voortgezet. In spoor 1 wordt op korte termijn
nog geen volledige interoperabiliteit nagestreefd en blijft de mogelijkheid bestaan
om ongestructureerde data (zoals een Pdf-bestand) uit te wisselen.
Het staat zorgverleners uiteraard vrij om naast de verplichte uitwisseling van gegevens
door middel van een elektronische infrastructuur ook op een andere wijze met elkaar
gegevens uit te wisselen. Zorgverleners kunnen eventueel parallel ook gegevens telefonisch
of mondeling delen. Dit geldt ook voor de verplicht uit te wisselen gegevens van bij
AMvB aangewezen gegevensuitwisselingen.
2.3.3 Gegevens
Met dit wetsvoorstel wordt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen
te bepalen hoe gegevens uitgewisseld moeten worden. Deze verplichtingen zijn niet uitvoerbaar als
niet bekend is op welke gegevens de verplichting precies ziet. Dit betekent dat in de AMvB een duidelijke
koppeling moet worden gemaakt tussen welke gegevens uitgewisseld worden die noodzakelijk zijn voor het leveren van goede zorg
aan de cliënt en hoe die uitwisseling plaats moet vinden.
Met het oog op de rechtszekerheid is het daarbij essentieel dat kenbaar en actueel
voldoende nauwkeurig wordt omschreven welke gegevens elektronisch uitgewisseld moeten
worden. Dit geldt zowel voor spoor 1 als spoor 2. Uiteraard moet voor de uitwisseling
van gegevens wel een grondslag bestaan. Indien bijvoorbeeld een cliënt toestemming
moet verlenen voor het uitwisselen van zijn (bijzondere) persoonsgegevens en deze
toestemming ontbreekt, is er geen grondslag voor de uitwisseling en mag deze niet
plaatsvinden.
Het gaat in de aanwijzing in spoor 1 en de aanwijzing in spoor 2 om de uitwisseling
van de volgende soort gegevens.
In de eerste plaats kan het gaan om gegevens die een zorgverlener op grond van een
kwaliteitsstandaard als bedoeld in artikel 1, eerste lid, van de Wet kwaliteit, klachten
en geschillen zorg (hierna: Wkkgz) nodig heeft voor het verlenen van goede zorg. Kwaliteitsstandaarden
leggen voor een zorgproces of een deel daarvan vast wat noodzakelijk is om vanuit
het perspectief van de cliënt goede zorg te verlenen. Een kwaliteitsstandaard zal
dus aangeven welke zorggegevens nodig zijn. Gedacht kan worden aan medicatievoorschriften,
uitkomsten van noodzakelijke bloedonderzoeken in een laboratorium of gegevens voor
hartbewaking.
In de tweede plaats kan het gaan om gegevens die in andere wet- of regelgeving is
opgenomen en wordt uitgewisseld voor het verlenen van goede zorg of met het oog daarop.
In het laatste geval gaat het om administratieve gegevens (zoals naam, adres en woonplaats)
of gegevens over cliëntencontext (zoals bijvoorbeeld informatie over burgerlijke staat,
ziektebeleving) (hierna: basisgegevens). Deze basisgegevens zijn niet direct noodzakelijk
voor het leveren van goede zorg, maar indirect wel. Deze basisgegevens zijn nodig
voor de continuïteit in het zorgproces.
Kwaliteitsstandaarden
Welke gegevens nodig zijn als onderdeel van de goede zorg wordt – met het oog op de
professionele autonomie – bepaald door de zorgverleners. Zo bepalen zorgverleners
bijvoorbeeld dat gegevens over bloeddruk nodig zijn voor goede zorg en dus ook – bijvoorbeeld
in het kader van overdracht – moeten worden uitgewisseld. Zorgverleners leggen dit
neer in onderdelen van de professionele standaard of in kwaliteitsstandaarden. Bij
kwaliteitsstandaarden geldt dat deze gezamenlijk met organisaties van zorgverleners/zorgaanbieders,
cliënten en zorgverzekeraars/zorgkantoren worden opgesteld. Daarbij blijft het uitgangspunt
van kracht dat de kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij
de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener zich
daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk
is gegevens uit te wisselen. Hierin wordt met dit wetsvoorstel geen wijziging aangebracht.
Op grond van de Wkkgz moeten zorgaanbieders ervoor zorgen dat zorgverleners overeenkomstig
kwaliteitsstandaarden handelen. Dat laat onverlet dat de zorgverlener altijd nog zelf
een afweging moet maken of het in het kader van de behandeling daadwerkelijk noodzakelijk
is om alle in de kwaliteitsstandaarden opgenomen gegevens uit te wisselen. De zorgverlener
maakt in een concreet geval zelf de afweging of en welke gegevens moeten worden uitgewisseld
voor het leveren van goede zorg in die specifieke situatie en passend bij de behoeften
van de individuele cliënt.
De eisen die in de AMvB onder dit wetsvoorstel worden gesteld over hoe de gegevens
uitgewisseld moeten worden (bijvoorbeeld via eisen aan taal en techniek), moeten aansluiten
op de gegevens die volgens de professionals nodig zijn voor de goede zorg. Gedacht
kan worden aan de eisen die zijn opgenomen in de zorginformatiebouwsteen over bloeddruk,
waarin bijvoorbeeld staat dat aangegeven dient te worden wat de boven- en onderdruk
is in welke meetwaarde, en kan meegegeven worden wat de houding van de cliënt was
bij het meten van de bloeddruk.
Kwaliteitsstandaarden lenen zich goed als bron waarnaar in de bij AMvB te stellen
eisen kan worden verwezen als het gaat om welke gegevens nodig zijn voor goede zorg
en moeten worden uitgewisseld.
Een kwaliteitsstandaard is altijd kenbaar doordat die wordt opgenomen in het openbaar
register van het Zorginstituut Nederland (hierna: Zorginstituut).18 Ook is geborgd dat alle relevante partijen betrokken zijn bij de totstandkoming van
de kwaliteitsstandaard (tripartiete indiening).
De verwachting is dat het veld – waar nodig – zelf kwaliteitsstandaarden voor de bij
AMvB aan te wijzen gegevensuitwisselingen zal opstellen of wijzigen, aangezien het
verzoek om regie op gegevensuitwisseling onder andere vanuit het veld afkomstig is.
Bijvoorbeeld wanneer er nog geen kwaliteitsstandaarden zijn of de huidige kwaliteitsstandaarden
onvoldoende basis geven. Echter, mocht een kwaliteitsstandaard onverhoopt niet tot
stand komen, dan kan de Minister het Zorginstituut vragen de betreffende kwaliteitsstandaard
op de Meerjarenagenda van het Zorginstituut te plaatsen. Het Zorginstituut heeft in
dat geval al doorzettingsmacht op grond van het huidige recht. Mochten de tripartiete
partijen er dan niet (op tijd) uitkomen, dan kan het Zorginstituut de Adviescommissie
Kwaliteit (in overleg met de tripartiete partijen) vragen de kwaliteitsstandaard op
te stellen, waarna het Zorginstituut betreffende kwaliteitsstandaard kan opnemen in
het Openbare Register.
Het Zorginstituut beoordeelt of een kwaliteitsstandaard, waarin een specifiek zorgproces
staat beschreven, kan worden aangemerkt als een adequate beschrijving vanuit het perspectief
van de cliënt van wat goede zorg is en welke gegevens moeten worden vastgelegd en
uitgewisseld tussen zorgverleners om die goede zorg te verlenen. Dit is noodzakelijk
om sectoroverstijgende interoperabiliteit te realiseren.
Onderdelen van de professionele standaard lenen zich niet goed als bron van verwijzing
in de AMvB aangezien deze juridisch vormvrij zijn en er geen juridische criteria worden
gesteld aan de manier waarop de standaard kenbaar wordt gemaakt. Soms is een onderdeel
van de professionele standaard niet meer dan «bestaande praktijk» en niet schriftelijk
vastgelegd. Dit maakt dat onderdelen van de professionele standaard op een zeer hoog
tempo, zonder afstemming met alle betrokkenen en zonder berichtgeving richting de
regering kunnen worden aangepast. Hierdoor ontstaat een reëel risico dat de eisen
die bij AMvB zijn gesteld over hoe gegevens uitgewisseld moeten worden, niet stroken met de gegevens die volgens onderdelen
van de professionele standaard uitgewisseld moeten worden. Dit brengt een groot risico
op onuitvoerbaarheid, onduidelijkheid en onvoldoende betrokkenheid van partijen met
zich. Bovendien is bij de professionele standaard van overheidswege niet goed geborgd
dat rekening wordt gehouden met gegevens die nodig zijn voor goede zorg vanuit het
cliëntenperspectief en het sectoroverstijgend perspectief daarbij.
De huidige kwaliteitsstandaarden zijn niet altijd volledig als het gaat om de beschrijving
welke gegevens nodig zijn voor goede zorg. Dit betekent dat in de huidige kwaliteitsstandaarden
mogelijk niet altijd ingegaan wordt op welke gegevens nodig zijn als onderdeel van
de goede zorg. Bovendien zijn er nog niet veel sector overstijgende kwaliteitsstandaarden.
Sommige sectoren werken nog zeer beperkt met kwaliteitsstandaarden. Dit betekent dat
een aanvullings- of actualisatieslag nodig kan zijn op de kwaliteitsstandaarden voordat
bij AMvB een gegevensuitwisseling in spoor 1 dan wel spoor 2 aangewezen wordt. Dit
proces kan parallel lopen aan de ontwikkeling van de eisen aan hoe uitgewisseld moet
worden. Uiteraard hoeven niet alle kwaliteitsstandaarden meteen aangepast te worden
met het oog op dit wetsvoorstel. Dit kan stapsgewijs, in het verlengde van de stapsgewijze
aanwijzing van gegevensuitwisselingen bij AMvB. Soms zal de aanpassing van de kwaliteitsstandaard
beperkt zijn tot het opnemen van een paragraaf over noodzakelijk uit te wisselen gegevens.
Voor de gegevensuitwisselingen waarvan beoogd is om die op korte termijn bij AMvB
aan te wijzen, maar de kwaliteitsstandaard nog moet worden opgesteld of aanpassing
behoeft, geldt een overgangsperiode van 5 jaar. In paragraaf 10.3 van deze memorie
wordt hier uitgebreid op ingegaan.
Zoals hierboven is weergegeven zal de kwaliteitsstandaard leidend zijn voor welke
gegevens worden uitgewisseld en zal de hoe door dit wetsvoorstel worden bepaald. Een wijziging van goede zorg en daarmee een
wijziging in welke gegevens worden uitgewisseld, kan dan ook alleen worden bewerkstelligd
door middel van (een wijziging van) de kwaliteitsstandaard.
In het geval een kwaliteitsstandaard wijzigt die betrekking heeft op een reeds bij
AMvB aangewezen gegevensuitwisseling, wordt in artikel 7.2 een nieuw artikel 11k in
de Wkkgz voorgesteld dat bepaalt dat het Zorginstituut de Minister informeert over
een voorgedragen kwaliteitsstandaard.
Dit wetsvoorstel wijzigt overigens de bestaande toetsingsprocedure van het Zorginstituut
van kwaliteitsstandaarden niet. Het is en blijft de verantwoordelijkheid van de tripartiete
partijen om waar nodig met het oog op het op elektronische wijze uitwisselen van gegevens,
een of meerdere kwaliteitsstandaarden op te stellen of te wijzigen.
Bij AMvB zal bij de aanwijzing van een gegevensuitwisseling worden verwezen naar de
desbetreffende kwaliteitsstandaard. Welke versie van die kwaliteitsstandaard geldt
zal bij ministeriële regeling worden bepaald. De verwijzing naar de kwaliteitsstandaard
is dus statisch: verwezen wordt naar de tekst zoals die op een bepaald tijdstip luidde.
Een dynamische verwijzing (zijnde een verwijzing naar de tekst zoals die met inbegrip
van sinds de totstandkoming vastgestelde wijzigingen luidt of zal luiden) is onwenselijk
omdat dit niet zorgt voor maximale duidelijkheid voor het zorgveld en de aanbieders
van informatietechnologieproducten of -diensten en niet passend is bij de regie van
de overheid op de bepaling van eisen.
Wet- en regelgeving voor het verlenen van goede zorg of met het oog daarop
In bepaalde gevallen wordt in wet- en regelgeving bepaald wat goede zorg is en welke
gegevens noodzakelijk zijn voor het verlenen van goede zorg of met het oog daarop.
Bijvoorbeeld bij de jeugdgezondheidszorg. Jeugdgezondheidszorg is onderdeel van de
publieke gezondheidszorg als bedoeld in de Wet publieke gezondheid (hierna: Wpg).
Welke zorg noodzakelijk is voor een goede jeugdgezondheidzorg staat in het geval van
jeugdgezondheidzorg op grond van artikel 5, tweede lid, in samenhang met het vijfde
lid, van de Wpg in hoofdstuk III van het Besluit publieke gezondheid (hierna: Bpg).
Dit maakt dat de jeugdgezondheidszorg als gegevensuitwisseling kan worden aangewezen
bij algemene maatregel van bestuur (hierna: AMvB) onder dit wetsvoorstel en dat daarbij
verwezen kan worden naar de Bpg. Bij de aanwijzing zal worden bezien of er een aanscherping
nodig is van de Bgp zodat voldoende duidelijk is welke gegevens worden uitgewisseld
ten behoeve van goede jeugdgezondheidzorg. De AMvB waarin de jeugdgezondheidzorg als
gegevensuitwisseling in een spoor 1 of spoor 2 wordt aangewezen, bepaalt vervolgens
hoe de gegevens worden uitgewisseld.
2.3.4 Uitwisseling gegevens tussen zorgverleners
Dit wetsvoorstel ziet op de uitwisseling van gegevens tussen zorgverleners. Voor wat
verstaan wordt onder een zorgverlener is aangesloten bij het begrippenkader van de
Wkkgz. Dit geldt ook voor het begrip «cliënt», «zorg» en «zorgaanbieder». Een zorgverlener
is een natuurlijke persoon die beroepsmatig zorg verleent. Hiermee wordt gedoeld op
degene die de zorg daadwerkelijk verleent, oftewel «de handen». Dat kan een zorgverlener
in loondienst zijn, een vrijgevestigde zorgverlener of zzp’er die binnen een organisatorisch
verband werkzaam is, maar ook een solistisch werkende zorgverlener, in zijn rol als
daadwerkelijke zorgverlener.
Met het begrip «zorgaanbieder» wordt gedoeld op «de bestuurder». Een zorgaanbieder
kan een instelling zijn, maar ook een solistisch werkende zorgverlener, in zijn rol
als bestuurder.
Het is de zorgaanbieder die verantwoordelijk is voor de materiële middelen (zoals
informatietechnologieproducten of -diensten) waarvan gebruik wordt gemaakt en voor
de organisatie van de informatiehuishouding. De zorgverleners hebben hier in beginsel
geen rol in en kunnen de verplichtingen niet realiseren. Daarom zijn de verplichtingen
uit dit wetsvoorstel opgelegd aan de zorgaanbieder, en niet aan de zorgverlener. Om
zijn verantwoordelijkheid te kunnen waarmaken, moet de zorgaanbieder het zo organiseren,
dat de zorgverleners verantwoording afleggen aan de zorgaanbieder. Daarbij is het
niet relevant of deze personen in loondienst zijn van de zorgaanbieder of op andere
wijze door de zorgaanbieder worden ingeschakeld. Hoewel de verplichtingen op grond
van dit wetsvoorstel dus zien op uitwisseling van gegevens tussen zorgverleners, is
de zorgaanbieder ervoor verantwoordelijk dat de uitwisseling door zorgverleners plaatsvindt
overeenkomstig die verplichtingen.
Het wetsvoorstel betreft het uitwisselen van gegevens over de cliënt, maar niet de uitwisseling van gegevens met de cliënt. Voor de informatie-uitwisseling richting de cliënt is het MedMij- afsprakenstelsel
ingericht. Dit afsprakenstelsel is onder paragraaf 2.2 toegelicht. Dit laat onverlet
dat het wetsvoorstel ook positieve effecten kan hebben op de gegevensuitwisseling
met de cliënt. Doordat gegevens met behulp van een elektronische infrastructuur beschikbaar
worden en tussen zorgverleners op die wijze worden uitgewisseld, kunnen deze logischerwijs
ook makkelijker uitgewisseld worden met de cliënten. Dit positieve effect wordt nog
eens versterkt doordat bij de ontwikkeling van een NEN-norm rekening zal worden gehouden
met het MedMij- afsprakenstelsel. Wanneer een NEN-norm wordt ontwikkeld, zal namelijk
altijd gestart worden met een brede inventarisatie. Het proces staat open voor alle
belanghebbenden. Tijdens deze inventarisatie wordt onder meer in kaart gebracht welke
(internationale) standaarden en andersoortige afspraken beschikbaar zijn, die als
input kunnen dienen voor de normontwikkeling. Hierbij worden onder meer de afspraken
vanuit het MedMij-stelsel meegenomen. Bovendien zal de Minister bij de opdrachtverlening
als richtinggevend kader meegeven dat de norm zoveel mogelijk rekening dient te houden
met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij.
2.3.5 Gegevensuitwisselingen
De in dit wetsvoorstel opgenomen verplichtingen zullen stapsgewijs van kracht worden.
Bij AMvB zullen gegevensuitwisselingen worden aangewezen waarvoor de verplichtingen
gaan gelden. Een gegevensuitwisseling kan bijvoorbeeld zijn »digitaal receptenverkeer»,
«verpleegkundige overdracht van ziekenhuis naar instelling of thuiszorg» of «beelduitwisseling
tussen ziekenhuizen». De reikwijdte van een gegevensuitwisseling kan op verschillende
manieren worden begrensd. Bijvoorbeeld door te specificeren welke gegevens het betreft,
of door aan te geven om welke zorgaanbieders het gaat. Bij de duiding van de zorgaanbieders
kunnen allerlei criteria worden toegepast, zoals de grootte van de zorgaanbieder in
termen van omzet, personeelsbezetting of cliënten. Zoals in paragraaf 2.3.1 al is
aangegeven zijn in de eerdergenoemde brieven van de Minister aan de Tweede Kamer in
concept dertien gegevensuitwisselingen genoemd die als eerste in aanmerking komen
om te worden aangewezen. De prioritering van de gegevensuitwisselingen zal worden
opgenomen in de Meerjarenagenda Wegiz. Op welke wijze de Meerjarenagenda Wegiz tot
stand komt en hoe besloten wordt welke gegevensuitwisseling prioritair is, wordt nader
toegelicht in paragraaf 3.2.
3. Nadere toelichting structuur wetsvoorstel
3.1 Inleiding
Wanneer in het kader van de goede zorg bij AMvB een gegevensuitwisseling wordt aangewezen,
dienen die gegevens in ieder geval elektronisch te worden uitgewisseld. Daarnaast
kan bij de AMvB worden verplicht om gegevens elektronisch uit te wisselen volgens
een voor die aangewezen gegevensuitwisseling geldende norm teneinde volledige interoperabiliteit
te bereiken.
Daartoe dienen informatietechnologieproducten of -diensten te zijn voorzien van een
certificaat. Uitgangspunt is dat dit certificaat door een certificerende instelling
wordt verleend. Om een dergelijk certificaat te mogen verlenen dient een certificerende
instelling aangewezen te zijn door de Minister. In het uiterste geval dat geen certificerende
instelling beschikbaar is, kan de Minister ter waarborging van de continuïteit van
het stelsel zelf certificaten verstrekken.
Voordat een gegevensuitwisseling bij AMvB zal worden aangewezen, zal die gegevensuitwisseling
eerst als prioritair worden aangemerkt. Welke gegevensuitwisselingen prioritair zijn
volgt uit de zogenoemde Meerjarenagenda Wegiz.
In dit hoofdstuk zal worden ingegaan op de totstandkoming van de Meerjarenagenda Wegiz
(paragraaf 3.2), degenen voor wie de verplichtingen gelden (paragraaf 3.3), de verplichting
om met behulp van een elektronische infrastructuur gegevens uit te wisselen (paragraaf
3.4), normalisatie en standaardisatie (paragraaf 3.5), initiatiefmogelijkheden voor
de Minister (paragraaf 3.6), certificering (paragraaf 3.7) en de Kaderwet zelfstandige
bestuursorganen (paragraaf 3.8).
3.2 Aan te wijzen gegevensuitwisselingen
De Meerjarenagenda Wegiz betreft een lijst van gegevensuitwisselingen waarvan de Minister
van oordeel is dat ze prioritair zijn. Het kan gaan om gegevensuitwisselingen die
door het zorgveld zijn aangedragen als prioritair, of de Minister zelf prioritair
acht. In dat laatste geval zal uiteraard overleg plaatsvinden met het zorgveld. Voordat
gegevensuitwisselingen op de Meerjarenagenda Wegiz worden geplaatst, worden ze op
een verzamellijst gezet. Voor elke aangeleverde gegevensuitwisseling op de verzamellijst
wordt beoordeeld wat de verwachting is over:
a. De toegevoegde waarde voor het verlenen van goede zorg: het risico op vermijdbare
fouten moet bijvoorbeeld merkbaar kleiner worden. Daarbij is ook van belang hoeveel
cliënten direct gezondheidsvoordeel hebben van een wettelijke verplichting.
b. De realiseerbaarheid: het is noodzakelijk dat duidelijk is welke gegevens verplicht
uitgewisseld moeten worden voor het verlenen van goede zorg (in een kwaliteitsstandaard
of in wet- en regelgeving, zie ook de toelichting in paragraaf 2.3.3). Daarnaast moet
het technisch mogelijk zijn dat de gegevens worden uitgewisseld, bijvoorbeeld door
landelijke dekking van onderling verbonden infrastructuren.
c. Het draagvlak: in beginsel geldt dat voor het plaatsen van een gegevensuitwisseling
op de Meerjarenagenda Wegiz er voldoende draagvlak voor moet zijn bij het veld.
De Minister toetst deze elementen aan de hand van een effectenverkenning19 en daarbij behorende eenduidige, vooraf aan het veld gecommuniceerde, criteria. Met
dit analyse-instrument kan op een relatief snelle manier inzicht worden verkregen
in de kwalitatieve effecten van de op de verzamellijst vermelde gegevensuitwisselingen.
Om op de lijst van geprioriteerde gegevensuitwisselingen te kunnen worden aangewezen,
is ook vereist dat:
– er tijdig een kwaliteitsstandaard is, waarin beschreven is welke informatie moet worden
uitgewisseld in het kader van goede zorgverlening; of
– de ontwikkeling van de kwaliteitsstandaard is geplaatst op de Meerjarenagenda van
het Zorginstituut en concreet is wanneer de ontwikkeling hiervan gereed is; of
– een wettelijke basis aanwezig is of ontwikkeld wordt en concreet is wanneer de ontwikkeling
hiervan gereed is, die bepaalt welke gegevens moeten worden uitgewisseld.
Op basis van de beoordeling van al deze aspecten, stelt de Minister een concept op
van de lijst met geprioriteerde gegevensuitwisselingen. Deze concept-lijst wordt ter
consultatie voorgelegd aan het Informatieberaad Zorg. Na de beoordeling van de inbreng
van het Informatieberaad Zorg, stelt de Minister de definitieve lijst als onderdeel
van de Meerjarenagenda Wegiz vast. De Minister informeert de Tweede Kamer over de
gegevensuitwisselingen die aangewezen kunnen worden op grond van artikel 1.4, eerste
lid, door toezending van de Meerjarenagenda Wegiz (artikel 1.3, eerste lid) en geeft
voor die gegevensuitwisselingen de uitkomst weer van de verwachtingen op de hiervoor
genoemde onderdelen.
Voorafgaande aan het bij AMvB aanwijzen van een gegevensuitwisseling toetst de Minister
de geprioriteerde gegevensuitwisselingen op toegevoegde waarde en realiseerbaarheid
door middel van onder andere een maatschappelijke kosten -en batenanalyse (MKBA) en
een volwassenheidscan.
Het streven is om deze toetsing binnen een jaar af te ronden en om binnen die termijn,
aan de hand van de toetsen, te bekijken of een aanwijzing in spoor 2 (op afzienbare
termijn) haalbaar is of dat eerst spoor 1 aanwijzing gewenst is. Beoogd is ook om
binnen deze termijn de aanpak en verwachte doorlooptijd van de beoogde gegevensuitwisseling
te ontwikkelen.
De ontwerpAMvB, waarbij de uiteindelijke gegevensuitwisselingen worden aangewezen,
wordt ingevolge artikel 6.1 door middel van een voorhangprocedure aan beide kamers
der Staten-Generaal overgelegd. Bij geprioriteerde gegevensuitwisselingen waarvan
na toetsing blijkt dat een verplichting per AMvB niet wenselijk is, of in ieder geval
niet op korte termijn, verantwoordt de Minister zich in een Kamerbrief.
Periodiek wordt een nieuwe Meerjarenagenda Wegiz opgesteld. De Minister zendt de geactualiseerde
Meerjarenagenda Wegiz weer aan de Tweede Kamer.
3.3 Verplichtingen voor zorgaanbieders en eisen aan informatie- en technologieproducten
De verplichting om bij een aangewezen gegevensuitwisseling door middel van een elektronische
infrastructuur gegevens uit te wisselen, wordt in dit wetsvoorstel opgelegd aan zorgaanbieders.
In paragraaf 2.3, onder «Uitwisseling gegevens tussen zorgverleners», is toegelicht
waarom de verplichting is opgelegd aan zorgaanbieders en niet aan zorgverleners.
De zorgaanbieder moet erop toezien dat – als op grond van de aanwijzing in spoor 2,
eisen zijn gesteld – de zorgverlener hieraan voldoet. De zorgaanbieder hoeft niet
aan alle eisen te voldoen die bij of krachtens AMvB zijn gesteld. De zorgaanbieder
hoeft namelijk niet te voldoen aan de (technische) eisen die gesteld worden aan een
informatietechnologieproduct of -dienst waarvoor een certificaat is vereist. De zorgaanbieder
is dan uiteraard wel verplicht op grond van artikel 2.1, derde lid, om de zorgverlener
alleen gebruik te laten maken van die gecertificeerde informatietechnologieproducten
of -diensten bij het uitwisselen van gegevens. Dit voor zover bij AMvB verplicht is
gesteld dat informatietechnologieproducten of -diensten moeten zijn voorzien van een
certificaat.
De bij AMvB gestelde eisen over de manier waarop het elektronisch uitwisselen van
gegevens moet plaatsvinden, zullen zodanig zijn, dat zorgaanbieders vrij blijven in
de keuze voor informatietechnologieproducten of -diensten. Zolang deze maar voorzien
zijn van een geldig certificaat. Daarmee wordt zo min mogelijk getreden in de bedrijfsvoering
van de zorgaanbieder.
Om te kunnen voldoen aan de verplichting om bij aangewezen gegevensuitwisselingen
gegevens elektronisch uit te wisselen, zullen gegevens elektronisch moeten worden
geregistreerd en opgeslagen door de zorgaanbieder, daar waar de gegevens ontstaan.
Het is aan de zorgaanbieder om hierop toe te zien waarbij de zorgaanbieder ook de
verantwoordelijkheid draagt dat kan worden uitgewisseld conform de afspraken en regie
kan uitoefenen op de informatiehuishouding van de zorgaanbieder.
Degene die voor het uitwisselen van gegevens in een aangewezen gegevensuitwisseling
informatietechnologieproducten of -diensten aanbiedt aan een zorgaanbieder dan wel
die producten of diensten ondersteunt, dient voor die desbetreffende producten of
diensten over een certificaat te beschikken. Indien informatietechnologieproducten
of -diensten, die zijn bestemd voor het uitwisselen van gegevens, zonder een certificaat
worden aangeboden aan zorgaanbieders, dan kan aan degene die deze producten of diensten
aanbiedt een boete worden opgelegd. Wanneer de zorgaanbieder een product of dienst
zonder certificaat gebruikt en de dienstverlening aan dat product of dienst wordt
voortgezet door middel van technische ondersteuning zoals software updates, dan wordt
dit beschouwd als het aanbieden van producten en diensten en kan een boete worden
opgelegd aan degene die deze ondersteuning van het product of dienst biedt.
Het certificaat voor informatietechnologieproducten of -diensten wordt door een door
de Raad voor Accreditatie (hierna: RvA) geaccrediteerde en door de Minister aangewezen
gecertificeerde instelling, of bij het ontbreken van een gecertificeerde instelling
in het uiterste geval door de Minister zelf (paragraaf 3.7), verleend als het informatietechnologieproduct
of de informatietechnologiedienst voldoet aan de in de norm gestelde eisen voor taal
en techniek waar in de AMvB naar wordt verwezen.
Volledigheidshalve wordt opgemerkt dat wanneer een zorgaanbieder zelf informatietechnologieproducten
of -diensten ontwikkelt, de zorgaanbieder verplicht is te voldoen aan de eisen die
gelden voor die producten of diensten. Ook deze producten of diensten dienen te zijn
voorzien van een certificaat.
3.4 Verplichting om gegevens elektronisch uit te wisselen
Mede aan de hand van de uit te voeren MKBA-toets en een beoordeling van de realiseerbaarheid
(de volwassenheidsscan) wordt beoordeeld of een gegevensuitwisseling wordt aangewezen
in spoor 1, dan wel in spoor 2.
Bij deze beoordeling worden technische, inhoudelijke, economische en bestuurlijke
invalshoeken gehanteerd die bijdragen aan de beoordeling van toegevoegde waarde, realiseerbaarheid
en draagvlak van een gegevensuitwisseling. Per gegevensuitwisseling worden deze toegepast
om te bepalen of een aanwijzing in spoor 1 of spoor 2 gerechtvaardigd is. De uitkomsten
daarvan zijn echter niet zonder meer voor alle gegevensuitwisselingen te vergelijken,
omdat gegevensuitwisselingen zelf onderling verschillen. Deze onderbouwing wordt daarom
per uitwisseling met behulp van een zorgvuldig gewogen proces vastgesteld.
Als een gegevensuitwisseling wordt aangewezen in spoor 1 is altijd de ambitie om op
een later moment die gegevensuitwisseling aan te wijzen in spoor 2. Het doel is immers
om te komen tot volledige interoperabiliteit, wat een genormaliseerde wijze van het
elektronisch uitwisselen van gegevens vereist. Echter, niet elke gegevensuitwisseling
is al gereed om te worden aangewezen in spoor 2, bijvoorbeeld omdat nog een groei
doorgemaakt moet worden om tot normalisatie van eisen aan taal en techniek te komen.
In dat geval vindt een aanwijzing plaats in spoor 1.
Voor zowel spoor 1 als spoor 2 geldt dat om daadwerkelijk tot een aanwijzing van een
gegevensuitwisseling bij AMvB te komen, de aanwezigheid van een kwaliteitsstandaard
of wettelijke basis die bepaalt welke gegevens moeten worden uitgewisseld, randvoorwaardelijk
is.
3.4.1 Spoor 1
Wanneer een gegevensuitwisseling ingevolge artikel 1.4, derde lid, onderdeel a, bij
AMvB wordt aangewezen dan geldt op grond van dit wetsvoorstel daarvoor ten minste
de eis dat de aangewezen gegevens op elektronische wijze moeten worden uitgewisseld.
Volledige interoperabiliteit wordt daarmee in spoor 1 niet afgedwongen, want daarvoor
is het noodzakelijk dat deze gegevensuitwisseling verplicht volgens een norm plaatsvindt
(spoor 2). Deze verplichting is echter wel een belangrijke stap in het realiseren
van volledige interoperabiliteit. In bepaalde gegevensuitwisselingen moeten op technisch
vlak nog grote stappen gezet worden om tot volledige interoperabiliteit te komen.
In die gevallen kan ervoor gekozen worden om niet meteen verplicht te stellen dat
dit op de aangewezen genormaliseerde wijze plaats moet vinden, maar te beginnen met
een eerste stap: de verplichting om gegevens elektronisch uit te wisselen. De aanwijzing
spoor 1 heeft in die situatie de volgende voordelen:
– De verwachting is dat de aanwijzing van de gegevensuitwisseling het veld focus en
motivatie biedt om de stap te zetten om te komen tot normalisatie op het gebied van
de eisen aan taal en techniek.
– De verplichting om gegevens met behulp van een elektronisch infrastructuur uit te
wisselen kan al een stap in de goede richting zijn in die gevallen waarin de gegevens
nu nog bijvoorbeeld fysiek worden gedeeld.
Bij AMvB kunnen eisen worden gesteld aan de functionele, technische of organisatorische
wijze waarop het uitwisselen van gegevens tussen zorgverleners bij een aangewezen
gegevensuitwisseling moet plaatsvinden. Hierbij kan ook worden gedacht aan eisen aan
generieke functies. In paragraaf 3.5.3 wordt nader ingegaan op deze generieke functies.
Uiteraard moet bij de aanwijzing in spoor 1 ook voldaan worden aan de eisen die gelden
op grond van andere wet- en regelgeving.
3.4.2 Spoor 2
Met de aanwijzing van een gegevensuitwisseling als bedoeld in artikel 1.4, derde lid,
onder b, wordt volledige interoperabiliteit nagestreefd. Daartoe geldt een wettelijke
verplichting om gebruik te maken van bij AMvB gestelde eisen ten aanzien van taal
en techniek. Deze eisen worden per aangewezen gegevensuitwisseling in spoor 2 neergelegd
in een daarop toegespitste norm, waarnaar in de AMvB wordt verwezen. Deze eisen hebben
tot doel dat de gegevens:
– in taal eenduidig zijn;
– in de systemen gelezen kunnen worden zoals ze zijn bedoeld.
Beoogd is dat zender en ontvanger onder de uitgewisselde gegevens hetzelfde verstaan
en dat hun informatietechnologiesystemen met elkaar kunnen communiceren. Door de eisen
inzake taal en techniek verplicht te stellen, ontstaat interoperabiliteit en wordt
gegevensuitwisseling tussen en binnen zorgdomeinen mogelijk. Het neemt immers de in
hoofdstuk 1 en paragraaf 2.1 geschetste problemen weg.
Net als bij de aanwijzing in spoor 1 moet ook bij een aanwijzing in spoor 2 uiteraard
voldaan worden aan de eisen die gelden op grond van andere wet- en regelgeving.
3.5 Normalisatie
3.5.1 Algemeen
In spoor 1 kunnen bij AMvB eisen worden gesteld die niet zien op volledige interoperabiliteit
van de gegevensuitwisseling, maar op de functionele, technische of organisatorische
wijze waarop gegevensuitwisseling moet plaatsvinden. Zoals in paragraaf 3.4.1 van
deze memorie al is aangegeven, kunnen deze eisen voor meerdere gegevensuitwisselingen
verplicht worden gesteld en hebben dus een meer algemeen karakter. Deze eisen kunnen
direct in de AMvB worden opgenomen, maar ook kan in de AMvB worden verwezen naar een
norm of een andere standaarden.
Functionele, technische, organisatorische eisen kunnen zien op generieke functies.
Generieke functies zijn functies die in veel of zelfs in alle gegevensuitwisselingen
terugkomen. Denk hierbij aan functies zoals identificatie, authenticatie, vindbaarheid
en adressering. Voor een aantal van deze eisen worden normen ontwikkeld. In paragraaf
3.5.3 wordt nader ingegaan op normen voor generieke functies in het kader van spoor
2.
In spoor 2 worden bij AMvB eisen gesteld die zien op het op genormaliseerde wijze
uitwisselen van specifieke gegevens (de eisen voor taal en techniek). In paragraaf
3.5.3 van deze memorie wordt hier uitgebreider op ingegaan.
Door genormaliseerde eisen te stellen, zien deze eisen niet op een specifieke elektronische
infrastructuur of informatietechnologieproduct of -dienst. De eisen die in het kader
van de aanwijzing in spoor 2 worden gesteld gelden niet alleen voor zorgaanbieders,
maar ook voor (aanbieders van) informatietechnologieproducten of -diensten die in
deze gegevensuitwisseling worden gebruikt. Om aan te tonen dat informatietechnologieproducten
of -diensten voldoen aan deze genormaliseerde eisen, dienen deze producten of diensten
te zijn voorzien van een certificaat, afgegeven door een daartoe aangewezen certificerende
instelling. Een certificaat voor een informatietechnologieproduct of -dienst wordt
alleen verstrekt als voldaan wordt aan de relevante eisen in de norm waarnaar bij
AMvB wordt verwezen.
3.5.2 Ontsluiting markt- en veldexpertise
Door gebruik te maken van normalisatie wordt de brede expertise van de markt goed
benut. De verschillende partijen, zoals zorgaanbieders, zorgverleners en aanbieders
van informatietechnologieproducten of -diensten, beschikken bij uitstek over de deskundigheid
om adequate eisen op te stellen. De verwachting is dat het stelsel van normalisatie
goed zal functioneren. In de eerste plaats, omdat binnen de zorgsector sprake is van
een hoge organisatiegraad en structuur om vorm en inhoud aan de normen te geven. In
de tweede plaats, omdat binnen de sector voldoende draagvlak is en er dus een hoge
inzet van betrokken private partijen wordt verwacht. Verwezen wordt naar het Informatieberaad
Zorg, waarin vertegenwoordigers uit het zorgveld en VWS samenwerken aan een duurzaam
informatiestelsel in de zorg. Om te voorkomen dat eisen worden gesteld waaraan aanbieders
van informatietechnologieproducten of -diensten niet kunnen of willen voldoen, is
het van belang dat deze aanbieders betrokken zijn bij het tot stand komen van de normen.
In het manifest «Samen Vooruit» van VNO-NCW en diverse zorgpartijen committeren het
bedrijfsleven en de zorg zich aan afspraken over makkelijke en veilige gegevensuitwisseling
in de zorg.20
3.5.3 Normen voor specifieke gegevensuitwisselingen
In spoor 2 worden bij AMvB eisen gesteld die zien op het op genormaliseerde wijze
uitwisselen van specifieke gegevens (de eisen voor taal en techniek). De eisen waaraan
voldaan moet worden in spoor 2 worden opgelegd bij AMvB, middels een verwijzing naar
één norm die alle eisen voor een specifieke gegevensuitwisseling beschrijft. Normalisatie
al eerder succesvol ingezet en een bekend instrument bij het zorgveld en de aanbieders
van informatietechnologieproducten of -diensten. Dit is bijvoorbeeld het geval bij
ontwerpNEN 7503:2021 Gegevensuitwisseling in de zorg – Elektronische verwerking en
uitwisseling van gegevens voor het voorschrijven en ter hand stellen van medicatie.
Norm
De norm waarin de eisen staan kan zijn een nationale norm (NEN-norm) of een Europese
of internationale norm (NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO).
Op dit moment zijn er nog geen Europese of internationale normen die aansluiten op
de behoefte van het Nederlandse zorgveld. De ervaring leert ook dat Europese en internationale
normen vaak een te hoog abstractieniveau hebben om tot directe implementatie van de
norm in Nederland te kunnen komen. Een specificering op nationaal niveau is hiervoor
vereist.
Ontwikkelingen staan echter niet stil. Mocht bij een toekomstige specifieke gegevensuitwisseling
wel een Europese of internationale norm beschikbaar zijn met het benodigde detailniveau,
dan kan deze norm worden gebruikt. Het wetsvoorstel maakt het daarom mogelijk om voor
een specifieke gegevensuitwisseling te verwijzen maar naar een Europese of internationale
norm. Ook dan is er dus sprake van één norm voor desbetreffende specifieke gegevensuitwisseling,
namelijk de Europese of internationale norm.
In de meeste gevallen zal een NEN-norm voor de specifieke gegevensuitwisseling ontwikkeld
moeten worden. Die zal worden opgesteld in opdracht van de Minister, die hierbij richtinggevende
kaders meegeeft (zie voor een uitleg over deze richtinggevende kaders paragraaf 3.5.4).
Wanneer verwezen wordt naar een bestaande NEN-norm of een Europese of internationale
norm is er geen sprake van normontwikkeling in opdracht van de Minister, en dus niet
van vooraf gestelde richtinggevende kaders. Dit laat onverlet dat de bestaande nationale,
Europese of internationale normen, alvorens aangewezen te kunnen worden bij AMvB,
beoordeeld worden aan de hand van richtinggevende kaders die van belang worden geacht
voor een aan te wijzen gegevensuitwisseling.
Wanneer een opdracht tot de ontwikkeling van een NEN-norm wordt gegeven met het oog
op de aanwijzing van een gegevensuitwisseling in spoor 2, wordt een normalisatietraject
gestart. Voorafgaande aan de ontwikkeling van een NEN-norm voor een specifieke gegevensuitwisseling
benadert NEN alle belanghebbenden en roept hen op om deel te namen aan de werkgroep
die de normontwikkeling uitvoert.
Eisen in norm
In de aangewezen norm worden eisen gesteld die er toe leiden dat het uitwisselen van
gegevens tussen zorgverleners plaatsvindt op interoperabele wijze. Dat betekent dat
er eisen worden gesteld aan taal en techniek.
Ook kunnen in de aangewezen norm functionele en organisatorische eisen worden gesteld.
Deze eisen kunnen zien op generieke functies. Generieke functies zijn functies die
in veel of zelfs in alle gegevensuitwisselingen terugkomen. Denk hierbij aan functies
zoals identificatie, authenticatie, vindbaarheid en adressering.
Het wordt wenselijk geacht dat deze eisen aan generieke functies in NEN-normen worden
opgenomen. Door eisen te stellen aan generieke functies in NEN-normen wordt geborgd
dat de in spoor 2 aangewezen gegevensuitwisselingen niet onnodig van elkaar gaan afwijken
en daardoor zorgaanbieders en leveranciers mogelijk voor tegenstrijdige eisen stellen.
Tevens is hierdoor versnelling mogelijk bij het ontwikkelen van normen voor specifieke
gegevensuitwisselingen en wordt het risico op desinvesteringen verkleind.
Sommige NEN-normen voor generieke functies bestaan al, zoals de norm voor logging
en de norm voor veilige e-mail. NEN-normen voor andere functies, zoals identificatie,
authenticatie en vindbaarheid worden in opdracht van de Minister ontwikkeld. In de
aangewezen norm voor een specifieke gegevensuitwisseling wordt dan naar de NEN-norm
die eisen stelt aan generieke functies verwezen.
Geen wederzijdse erkenning
Voorgesteld wordt dat de normen waarnaar wordt verwezen, dwingend en exclusief worden
voorgeschreven bij AMvB, nadat ze getoetst zijn aan de richtinggevende kaders (zie
paragraaf 3.5.4), en als ze zien op een gegevensuitwisseling die bij AMvB wordt aangewezen.
Deze dwingende en exclusieve verwijzing is noodzakelijk om de gegevensuitwisseling
tussen zorgverleners tot stand te brengen en een goede werking daarvan te kunnen garanderen.
Om die reden wordt geen andere wijze toegestaan om te bewijzen dat wordt voldaan aan
de eisen die zijn opgenomen in de normen. In het wetsvoorstel of de daaronder hangende
AMvB wordt voor spoor 2 dus geen clausule tot wederzijdse erkenning opgenomen. Een
dergelijke clausule is alleen mogelijk als de materiële eisen waaraan getoetst wordt
in wet- en regelgeving zijn opgenomen. De eisen die gesteld worden aan een gegevensuitwisseling
worden echter opgenomen in een norm. Zoals aangegeven in paragraaf 3.5.2 van deze
memorie is hiervoor gekozen zodat aangesloten kan worden bij de kennis en expertise
van het zorg- en ICT-veld. Zo wordt voorkomen dat de wetgever eisen stelt aan een
gegevensuitwisseling waaraan niet kan worden voldaan of die innovatie in de weg staat
die juist gewenst is. Wat de beste eisen zijn om te komen tot interoperabiliteit op
het moment van aanwijzen van een gegevensuitwisseling kunnen het zorg- en ICT-veld
het beste zelf bepalen. De enige materiële eis die in het wetsvoorstel is opgenomen,
is dat interoperabiliteit bereikt moet worden met de norm. Het wel opnemen van een
wederzijde erkenning van andere normen zou tot gevolg hebben dat die normen getoetst
zullen worden aan het vereiste van interoperabiliteit, en daaraan op zichzelf kunnen
voldoen, maar dat deze erkenning desondanks het risico in zich heeft dat er onderling
in die aangewezen gegevensuitwisseling geen interoperabiliteit ontstaat. Door de erkenning
van een andere norm wordt de gegevensuitwisseling als geheel dan niet interoperabel,
wat nu juist beoogd wordt met dit wetsvoorstel. De afgelopen jaren is precies dit
probleem opgetreden bij de digitalisering in de zorg. Er zijn tal van elektronische
gegevensuitwisselingen ontstaan die volgens verschillende standaarden uitwisselen.
Binnen een specifieke gegevensuitwisseling bestaat hierdoor vaak geen interoperabiliteit.
Om voor specifieke gegevensuitwisselingen interoperabiliteit te borgen is het daarom
noodzakelijk om één norm per uitwisseling vast te stellen.
Licentiekosten
De overheid zal de licentiekosten die verbonden zijn aan het gebruik van NEN-normen
(voor zowel de NEN-norm voor een specifieke gegevensuitwisseling als de NEN-normen
waarnaar binnen die NEN-norm voor een specifieke gegevensuitwisseling verwezen wordt)
afkopen met als doel die normen openbaar en kosteloos beschikbaar te kunnen stellen.
Dit sluit aan bij het kabinetsbeleid inzake de kenbaarheid van normen en normalisatie.21 Wanneer het gaat om Europese en internationale normen is het openbaar en kosteloos
beschikbaar stellen in dit geval niet mogelijk is, omdat Europese en internationale
regels hieraan in de weg staan. Europese of internationale normen verplichtend voorschrijven
in wet- of regelgeving zonder dat de licentiekosten die verbonden zijn aan het gebruik
van deze normen worden afgekocht is mogelijk, mits de prijs van die norm niet onredelijk
hoog is.
3.5.4 Eisen voor NEN-normen
In de vorige paragraaf is al aangegeven dat in de meeste gevallen voor een spoor 2
aanwijzing een NEN-norm voor de specifieke gegevensuitwisseling ontwikkeld moet worden.
Deze NEN-norm zal dan via een AMvB onder dit wetsvoorstel dwingend en exclusief voorgeschreven
worden.
Voor de ontwikkeling van NEN-normen worden onder toezicht van NEN steeds de volgende
aspecten geborgd:
1. De NEN-norm is ontwikkeld op basis van een vastgelegd, transparant proces waarbij
alle belanghebbende partijen in staat zijn gesteld een bijdrage te leveren;
2. De NEN-norm kent een breed draagvlak;
3. De NEN-norm is voor eenieder beschikbaar;
4. De NEN-norm voldoet aan geldende wet- en regelgeving;
5. De NEN-norm bevat geen patenten en leidt niet naar één partij of techniek;
6. De NEN-norm mag niet in conflict zijn met een bestaande nationale, Europese of internationale
norm (NEN, NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO);
7. De NEN-norm is norm technisch goed geformuleerd. De norm bevat te allen tijde eenduidige
eisen en afspraken die niet voor meerder uitleg vatbaar zijn;
8. Het proces voor onderhoud en beheer van de NEN-norm standaard is helder beschreven
en is duurzaam geborgd;
9. De verantwoordelijke normcommissie stelt de NEN-norm naar de standaard vast;
10. Voorafgaande aan een normontwikkeling wordt altijd het bestaan van eventuele Europese
en internationale normen verkent. Er wordt geen Nederlandse norm ontwikkeld als er
al een Europese of internationale norm beschikbaar is, die zonder wijzigingen in Nederland
kan worden geïmplementeerd en ook voldoet aan de door de Minister meegegeven richtinggevende
kaders (zie toelichting in de volgende alinea). Het gebruik van Europese en internationale
normen en standaarden is daarmee een leidend principe voor iedere norm, die onder
de toezicht van NEN wordt ontwikkeld.
Aanvullend aan de hierboven genoemde eisen aan het ontwikkelen van NEN-normen, geeft
de Minister bij de opdrachtverlening voor de ontwikkeling van een NEN-norm richtinggevende
kaders mee, die bestaan uit specifieke aspecten voor die gegevensuitwisseling en een
aantal algemene aspecten die voor elke normontwikkeling voor een gegevensuitwisseling
zullen worden meegegeven. De algemene kaders zien op aspecten, zoals:
– in de norm (en de standaarden waar de norm naar verwijst) moet altijd duidelijk zijn
welke eisen gelden, voor wie of wat de eisen gelden en op welke gegevens de eisen
zien;
– de norm dient te verzekeren dat een informatietechnologieproduct- of dienst voldoet
aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder of zorgverlener
aan zijn verplichtingen uit de AVG kan voldoen;
– de norm dient te verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren
– zoals het recht op inzage, rectificatie of gegevenswissing en het mogelijk maken
dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden;
– de norm mag er gelet op het doel van het wetsvoorstel (artikel 1.2) niet toe leiden
dat het uitwisselen van gegevens enkel kan via een elektronisch uitwisselingssysteem
als bedoeld in de Wabvpz (zie paragraaf 5.2);
– de norm dient in overeenstemming te zijn met de architectuurprincipes van DIZRA22;
– de norm dient zoveel mogelijk rekening te houden met bestaande afsprakenstelsels,
zoals het afsprakenstelsel van MedMij;
– de norm wordt door de normencommissie Informatievoorziening in de zorg 23, beoordeeld op aansluiting bij en onderlinge samenhang van alle binnen aangewezen
gegevensuitwisselingen vallende normen; en
– de norm mag niet tot gevolg hebben dat gegevensuitwisseling buiten de directe behandelingsrelatie
om (secundair gebruik van gegevens) bemoeilijkt wordt. Zeker gezien de ondersteuning
die dit wetsvoorstel geeft aan het principe van eenmalig vastleggen en meervoudig
gebruiken (zie paragraaf 2.2.2). Dit wetsvoorstel en de normen waar dit wetsvoorstel
naar verwijst houden op die manier rekening met de FAIR-principes (die internationaal
omarmd worden) en met mogelijke andere toepassingen van gegevens, zoals het gebruik
voor onderzoek, het toepassen van kunstmatige intelligentie en het vormen van een
lerend/intelligent zorgsysteem.
Bij een opdracht aan NEN voor het ontwikkelen van een NEN-norm worden door de Minister
richtinggevende kaders meegegeven om te voorkomen dat een NEN-norm tot stand komt
die uiteindelijk niet zou kunnen worden aangewezen onder het wetsvoorstel. Maar het
zijn met nadruk richtinggevende kaders vóóraf, waarbij nog niet voldoende zicht is
op de beoogde inhoud van de NEN-norm. Er kunnen gedurende het NEN-traject goede redenen
zijn waarom voor een specifieke gegevensuitwisseling voor een andere (technische)
benadering wordt gekozen dan vooraf bij het startdocument van het normeringstraject
werd voorzien.
3.5.5 Statische verwijzing naar normatieve documenten
Bij AMvB wordt verwezen naar een norm waarin de eisen voor die gegevensuitwisseling
staan opgenomen. In beginsel zal dat een NEN-norm betreffen. Welke versie van die
norm geldt zal bij ministeriële regeling worden bepaald. De verwijzing naar de norm
is dus statisch: verwezen wordt naar de tekst zoals die op een bepaald tijdstip luidde.
Een dynamische verwijzing op het niveau van normen (zijnde een verwijzing naar de
tekst zoals die met inbegrip van sinds de totstandkoming vastgestelde wijzigingen
luidt of zal luiden) is onwenselijk omdat dit niet zorgt voor maximale duidelijkheid
voor het zorgveld en de aanbieders van informatietechnologieproducten of -diensten
en niet passend is bij de regie van de overheid op de bepaling van eisen. Daarnaast
is bij dynamische verwijzing een met de maatstaven van de Bekendmakingswet vergelijkbaar
niveau van bekendmaking bij private normatieve documenten niet gegarandeerd.
In de norm zelf zal, waar nodig, wel dynamisch worden verwezen naar onderliggende
gedetailleerde standaarden, zoals bijvoorbeeld informatiestandaarden van Nictiz. Deze
standaarden worden meerdere malen per jaar aan de stand der techniek aangepast. Om
de rechtszekerheid te waarborgen geldt dat bij dergelijke ongedateerde verwijzingen
de laatste versie van het document (met inbegrip van wijzigingsbladen) waarnaar is
verwezen van toepassing is. Vervolgens zal in het certificeringsschema opgenomen worden
aan de hand van welke versie het certificaat getoetst wordt.
3.5.6 Rol NEN
Met NEN vindt afstemming plaats over de ontwikkeling en inhoud van de NEN-normen of
– in voorkomend geval – de bruikbaarheid van Europese of internationale normen. De
NEN volgt – overeenkomstig verordening 1025/2012 – een proces dat ervoor zorgt dat
iedereen met een aantoonbaar belang kan deelnemen. Dat betekent dat het veld betrokken wordt bij de ontwikkeling
van de NEN-norm of de bruikbaarheid van Europese of internationale normen en zeggenschap
heeft over de inhoud ervan. Hiermee wordt de verantwoordelijkheid voor het leveren
van goede zorg en het handelen in overeenstemming met de kwaliteitsstandaarden en
daarmee ook hoe gegevens uitgewisseld moeten worden zoveel mogelijk in acht genomen.
De betrokkenheid van het veld heeft tot gevolg dat de normen goed aansluiten bij specifieke
kenmerken van de zorgsector en de innovatiekracht van deze sector en aanbieders van
informatietechnologieproducten of -diensten.
NEN-normen komen tot stand na consensus onder de leden van de normcommissie. In principe
komen normwerkgroepen zelf tot vaststelling van de norm, na openbare consultatie (openbare
kritiekronde van het normontwerp). Daarbij geldt dat de Minister streeft naar het
samen doen vallen van de internetconsultatie van de AMvB met de openbare kritiekronde
van het normontwerp, die in de AMvB verplicht wordt gesteld.
NEN borgt op grond van de statuten van NEN tijdige actualisatie. Zo moeten normen
minimaal eens in de vijf jaar worden geëvalueerd, of zoveel eerder als belanghebbende
partijen dat nodig achten. Herziening van de norm kan hier een gevolg van zijn. Deze
procedure volgt uit het huishoudelijk reglement van NEN. Daarbij is het in verband
met de relatie tussen de NEN-norm en de kwaliteitsstandaarden (zie paragraaf 2.3.3)
van belang dat de herziening aansluit bij eventuele herziening van kwaliteitsstandaarden.
Hierin zullen belanghebbende partijen, zoals onder andere het zorgveld en het Zorginstituut
een rol spelen.
3.6 Initiatiefmogelijkheden door de Minister
Aangezien het zorgveld zelf heeft aangegeven stappen te willen zetten in het verder
brengen van elektronische gegevensuitwisseling in de zorg, is de verwachting en het
uitgangspunt dat het zorgveld zelf initiatief neemt om dit te realiseren. In deze
situatie (het zogenoemde reguliere proces) zal het veld zorgdragen voor het ontwikkelen
of aanpassen van een kwaliteitstandaard waarin staat welke gegevens noodzakelijk zijn
voor het leveren van goede zorg, wordt de gegevensuitwisseling vanuit het zorgveld
aangemeld voor de Meerjarenagenda Wegiz en wordt – na een besluitvormingsproces waarbij
de conclusie is dat een spoor 2-aanwijzing wenselijk is en een NEN-norm ontwikkelt
moet worden – door de Minister de opdracht gegeven voor de ontwikkeling van een NEN-norm.
Op verschillende momenten in dit proces kan de Minister ingrijpen.
Zoals in paragraaf 2.3.3 van deze memorie al is toegelicht kan de Minister, als een
kwaliteitsstandaard onverhoopt niet tot stand komt, het Zorginstituut vragen de betreffende
kwaliteitsstandaard op de Meerjarenagenda van het Zorginstituut te plaatsen. Ook kan
de Minister beoordelen of wet- of regelgeving noodzakelijk is om te duiden welke gegevens
noodzakelijk zijn voor het leveren van goede zorg of met het oog daarop.
De Minister kan vervolgens, als duidelijk is welke gegevens moeten worden uitgewisseld
die noodzakelijk zijn voor het leveren van goede zorg of met het oog daarop, de gegevensuitwisseling
zelf aanmelden voor de Meerjarenagenda Wegiz. Een door de Minister aangemelde gegevensuitwisseling
zal hetzelfde vervolgtraject doorlopen als wanneer het zorgveld de gegevensuitwisseling
aanmeldt.
Wanneer een kwaliteitsstandaard door middel van de Meerjarenagenda van het Zorginstituut
tot stand is gebracht en vervolgens de gegevensuitwisseling door de Minister op de
Meerjarenagenda Wegiz is geplaatst, is de kans kleiner dat het zorgveld actief bijdraagt
aan de ontwikkeling van een NEN-norm. In dit geval kan de Minister overgaan tot het
aanwijzen van de gegevensuitwisseling, maar dan in spoor 1. Daarmee wordt bereikt
dat gegevens ten minste elektronisch worden uitgewisseld.
Ook als een kwaliteitsstandaard via de reguliere weg tot stand komt, en de gegevensuitwisseling
door het zorgveld is aangedragen maar de ontwikkeling van de NEN-norm zelf onverhoopt
niet tot stand komt, kan de Minister overgaan tot een spoor 1 aanwijzing. Het bovenstaande
laat onverlet dat een spoor 1 aanwijzing ook de uitkomst kan zijn in het reguliere
proces waarbij het zorgveld zelf het initiatief heeft genomen.
Ook kan de situatie zich voordoen dat een NEN-norm (deels) niet voldoet, doordat bijvoorbeeld
de reikwijdte van de NEN-norm breder is dan alleen de uitwisseling van gegevens. In
dat geval kan de Minister er voor kiezen om bij AMvB slechts delen van de NEN-norm
te verplichten. Ook kan de Minister er in dat geval voor kiezen om in eerste instantie
te opteren voor een spoor-1 aanwijzing, waarbij een NEN-norm niet nodig is.
Verder wijst de Minister certificerende instellingen aan en kan de Minister in een
uiterst geval zelf certificaten verstrekken.
De regierol van de Minister is uiteraard niet beperkt tot de wettelijk vastgelegde
taken en bevoegdheden. De Minister kan ook initiatief nemen door bijvoorbeeld te sturen
op een prominente plek van gestandaardiseerde elektronische gegevensuitwisseling in
convenanten zoals Hoofdlijnenakkoorden en versnellingsprogramma’s. Daarnaast heeft
de Minister nog de mogelijkheid om middels richtinggevende kaders enige sturing te
geven aan de ontwikkeling van NEN-normen (zie ook paragraaf 3.5.4 van deze memorie).
3.7 Certificatie van informatietechnologieproducten en -diensten
In paragraaf 3.3 is reeds weergegeven dat op grond van dit wetsvoorstel informatietechnologieproducten
en -diensten die gebruikt worden bij een aangewezen gegevensuitwisselingen in spoor
2 ingevolge artikel 3.1 voorzien moeten zijn van een certificaat. Een certificaat
wordt verleend als is voldaan aan de eisen die gesteld zijn voor een aangewezen gegevensuitwisseling
en die gelden voor dat betreffende informatietechnologieproduct of die betreffende
informatietechnologiedienst. De zorgaanbieder is, wanneer voor informatietechnologieproducten
– of diensten is bepaald dat ze voorzien moeten zijn van een certificaat, ingevolge
artikel 2.1, derde lid, verplicht gebruik te maken van gecertificeerde informatietechnologieproduct
of -diensten.
Certificering draagt bij aan duidelijkheid rond de te kiezen informatietechnologieproducten
en -diensten voor zorgaanbieders. Zij hoeven immers zelf geen onderzoek te doen of
het product of de dienst voldoet aan de technische eisen die gelden voor het product
of de dienst, maar alleen de producten of diensten met een certificaat te vergelijken.
Daarnaast verlicht certificering de taak van de toezichthouders. Conformiteitsbeoordeling
kan voor toezichthouders een ondersteunende rol vervullen bij een efficiëntie en effectieve
invulling van het toezicht. De toezichthouder kan zich voor de eisen die gelden voor
informatietechnologieproducten en -diensten vooral richten op de vraag of die producten
of diensten voorzien zijn van geldige, wettelijk verplicht gestelde certificaten.
Als dat het geval is, kan de toezichthouder meer vertrouwen hebben dat het product
of de dienst voldoet aan de technische eisen die gelden voor informatietechnologieproducten
of -diensten.
Certificering betreft een systeem van conformiteitsbeoordeling (een proces waarin
wordt aangetoond of voldaan is aan de vastgestelde eisen aan systeem, product of dienst).
Door gebruik te maken van conformiteitsbeoordelingen wordt aangesloten bij het zelfregulerende
vermogen van private sectoren om publieke belangen te dienen en wordt de expertise
van de markt goed benut. Veldpartijen als aanbieders van informatietechnologieproducten
of -diensten en zorgaanbieders zullen wanneer een NEN-norm wordt ontwikkeld, in die
NEN-norm afspraken maken over de eisen waaraan informatietechnologieproducten en -diensten
moeten voldoen om te kunnen borgen dat gegevens elektronisch kunnen worden uitgewisseld.
Er zijn verschillende manieren om te borgen dat informatietechnologieproducten en
-diensten en zorgaanbieders voldoen aan normen. Dit varieert van zeer lichte middelen,
zoals zelfbeoordeling door aanbieders, tot zwaardere middelen, zoals certificering
door een geaccrediteerde certificerende instelling. In dit wetsvoorstel is gekozen
voor certificering door geaccrediteerde en aangewezen instellingen in beginsel het
uitgangspunt. Deze accreditatie vindt plaats op basis van de EN-ISO/IEC 17065. Dit
zorgt namelijk voor een kwalitatief goede en transparante toetsing, zodat gebruikers
en aanbieders van informatietechnologieproducten of -diensten zekerheid wordt geboden
over de mate waarin aan (delen van) de norm voldaan wordt. Om de Minister de mogelijkheid
te geven stelseltoezicht te houden, wordt voorgesteld dat naast het vereiste van accreditatie,
certificerende instellingen aangewezen moeten worden door de Minister (artikel 3.2,
eerste en tweede lid). De Minister kan namelijk deze aanwijzing intrekken of schorsen
wanneer een certificerende instelling onvoldoende opereert. Daarmee heeft de Minister
altijd het laatste woord en kan invulling gegeven worden aan zijn stelselverantwoordelijkheid.
Om accreditatie te kunnen verlenen aan een certificerende instelling die nog niet
is geaccrediteerd voor het certificeren van informatietechnologieproducten- of diensten als bedoeld in dit wetsvoorstel, dient de RvA mee te kijken
bij het doorlopen van een certificatieproces van deze producten of diensten. Een certificerende
instelling kan deze activiteiten echter alleen uitvoeren als zij een aanwijzing heeft
van de Minister. In afwijking met de hoofdregel dat een aanwijzing door de Minister
enkel kan worden verkregen als de certificerende instelling geaccrediteerd is, zal
de Minister ten behoeve van het verkrijgen van de accreditatie een tijdelijke aanwijzing
van ten hoogste één jaar als bedoeld in artikel 3.2, vijfde lid, onderdeel a, verlenen
in afwachting van een volledige accreditatie.
Het gaat bij certificering om een vrijwillig en privaat stelsel. De Minister is voor
het realiseren van dit stelsel afhankelijk van de bereidheid van certificerende instellingen
om hieraan deel te nemen. Deze bereidheid zal worden onderzocht als onderdeel van
de toetsing van de realiseerbaarheid voorafgaand aan de aanwijzing bij AMvB van een
gegevensuitwisseling in spoor 2. Indien geconstateerd wordt dat de bereidheid bij
certificerende instellingen om deel te nemen aan dit stelsel niet aanwezig is en die
bereidheid zich ook niet zal ontwikkelen, dan staat dit in de weg aan een aanwijzing
van een gegevensuitwisseling in spoor 2.
Nadat een gegevensuitwisseling in spoor 2 is aangewezen, kan de situatie ontstaan
dat een ministeriële aanwijzing van een certificerende instelling wordt ingetrokken.
Deze situatie kan zich voordoen in het geval de certificerende instelling zelf beslist
zich terug te trekken uit de markt of failliet gaat. Ook kan de aanwijzing door de
Minister worden ingetrokken wanneer de certificerende instelling niet meer aan de
aanwijzingseisen voldoet of haar accreditatie verliest. In deze gevallen zal de certificaathouder
zijn certificaat bij een andere certificerende instelling continueren.
In het uiterste geval dat er geen andere certificerende instelling is, waarbij het
certificaat kan worden gecontinueerd, zal de Minister vanuit zijn regierol zelf certificaten
moeten kunnen verstrekken om zo de continuïteit van het stelsel te waarborgen. De
voorgestelde wetstekst (artikel 3.2, zevende lid) voorziet in deze mogelijkheid.
Onder regie van NEN zullen, op basis van de NEN-normen, certificatieschema’s worden
opgesteld in speciale certificeringscommissies. In het certificatieschema worden de
spelregels opgenomen voor het certificeren van informatietechnologieproducten en -diensten.
Voorafgaande aan het gebruik van het certificeringsschema zal de schemabeheerder de
RvA verzoeken om te toetsen of het schema voldoet aan de accreditatievereisten voortvloeiende
uit de EN-ISO/IEC 17065. De RvA toetst vervolgens de conformiteit van het schema aan
deze accreditatievereisten.
De RvA zal in het kader van accreditatie van een certificerende instelling toetsen
of de certificerende instelling de werkzaamheden zoals beschreven in het door de NEN-commissie
voor een aangewezen gegevensuitwisseling opgesteld certificatieschema, kan uitvoeren
in overeenstemming met dat schema. Om in aanmerking te komen voor een aanwijzing als
bedoeld in artikel 3.2, eerste lid, is het vervolgens aan de certificerende instelling
om bij de aanvraag tot aanwijzing als certificerende instelling aan te tonen dat de
instelling in staat is een aanvraag voor een certificaat te beoordelen aan de hand
van eisen die zijn vastgelegd in het desbetreffende certificatieschema.
Het beheer van bij conformiteitsbeoordelingen te hanteren certificatieschema’s is
een activiteit die primair door de certificerende instellingen zelf wordt uitgevoerd.
Wel kunnen de certificerende instellingen, gezien de gewenste uniformiteit van de
certificeringsactiviteiten, de NEN verzoeken om ten behoeve van een gecentraliseerd
schemabeheer als schemabeheerder op te treden.
3.8 Kaderwet zelfstandige bestuursorganen
De certificerende instellingen die door de Minister worden aangewezen om verplichte
certificaten af te geven krijgen een publieke taak en openbaar gezag toebedeeld en
zijn dus een zelfstandig bestuursorgaan, maar alleen voor zover het de uitvoering
van de publieke taak betreft. Deze certificerende instellingen blijven echter voor
het overige privaatrechtelijke organen.
In overeenstemming met de Staatssecretaris van BZK in verband met zijn verantwoordelijkheid
voor het verzelfstandigingsbeleid, is in dit wetsvoorstel expliciet opgenomen dat
de Kaderwet zbo’s niet van toepassing is op certificerende instellingen die door de
Minister worden aangewezen. Dit is overeenkomstig het kabinetsstandpunt conformiteitsbeoordeling
en accreditatie in het kader van overheidsbeleid om dergelijke instanties niet onder
de Kaderwet zbo’s te brengen. Overigens sluit deze benadering aan bij de positie die
de Minister heeft ten opzichte van het zorgveld. De Minister is stelselverantwoordelijke.
Ten tijde van de invoering van de Kaderwet zbo’s is besloten dat die wet niet van
toepassing behoort te zijn op certificerende instellingen die aan bepaalde voorwaarden
voldoen. Deze voorwaarden zijn dat de certificerende instellingen zelf kiezen om de
taak uit te voeren door zich te laten aanwijzen, zij marktpartijen zijn en ook andere
activiteiten uitvoeren, zij voor hun diensten worden betaald door de partijen die
een certificaat vragen en niet uit de rijksbegroting worden bekostigd. Bovendien betreft
het een open systeem, waarbij meerdere certificerende instellingen de taak kunnen
verrichten en dus in concurrentie kunnen treden.
De verwachting is dat deze concurrentie tussen certificerende instellingen zal optreden.
Doordat in spoor 2 normalisatie per aangewezen gegevensuitwisseling plaatsvindt, gelden
de daaruit voortkomende eisen voor taal en techniek voor alle informatietechnologieproducten
of -diensten, waarmee de desbetreffende gegevensuitwisseling mogelijk kan worden gemaakt.
Door het gebruik van normalisatie om volledige interoperabiliteit te bewerkstelligen
is de verwachting dat de markt voor deze producten en diensten wordt vergroot. Een
dergelijke ontwikkeling kan een stimulerend effect hebben op de markt voor certificering
die daarmee groter wordt. Wel kan de mate waarin deze concurrentie plaatsvindt per
aangewezen gegevensuitwisseling verschillen. De concurrentie tussen certificerende
instellingen zal op de prijs van het certificaat plaatsvinden.
In het hier voorgestelde stelsel van certificering voldoen de certificerende instellingen
aan deze voorwaarden.
De ervaring in vergelijkbare Europese trajecten is dat er te weinig auditoren zijn
om de certificeringstrajecten van alle aanbieders van producten en diensten te begeleiden.
Voldoende capaciteit is een randvoorwaarde om tijdig certificaten te kunnen verstrekken,
zodat concurrentie tussen certificerende instellingen wordt bevorderd. De Minister
zal dit daarom betrekken bij de beoordeling of een gegevensuitwisselingen realiseerbaar
is en dus uiteindelijk aangewezen kan worden bij AMvB. Verder moet een certificerende
instelling, die onderdeel uitmaakt van een wettelijk stelsel conform het kabinetsstandpunt
voor conformiteitsbeoordeling en accreditatie, door de verantwoordelijke Minister
zijn aangewezen voor het verstrekken van certificaten. In dit wetsvoorstel is bepaald
dat de Minister voor Medische Zorg de certificerende instellingen kan aanwijzen. Indien
een certificerende instelling zich niet houdt aan de gestelde voorwaarden, kan de
Minister ingrijpen door bijvoorbeeld de aanwijzing te schorsen of en in het uiterste
geval de aanwijzing in te trekken. Dit zal in de lagere regelgeving worden uitgewerkt.
In de AMvB zullen eisen worden gesteld aan certificerende instellingen, zoals met
betrekking tot de behandeling van een aanvraag van een certificaat, het handelen volgens
de aan de aanwijzing verbonden voorschriften, het verstrekken van informatie tussen
certificerende instellingen onderling en met de Minister in het kader van toezicht
en handhaving en het doen van mededeling aan de Minister van een intrekking of een
schorsing van een certificaat of accreditatie. Op gezette tijden dient de certificerende
instelling vast te stellen of wordt voldaan aan de voorwaarden van certificatie. Tijdens
de geldigheidsduur van het certificaat, zal de certificerende instelling regelmatig
onderzoeken of de certificaathouder nog steeds in staat is om volgens de vastgestelde
normen te werken. Daartoe bevat het certificatieschema controle- en sanctierichtlijnen
die certificerende instellingen dienen te volgen.
De certificerende instellingen zijn marktpartijen. Hun activiteiten worden niet vergoed
uit overheidsmiddelen. Dit betekent dat de certificerende instelling kosten in rekening
zal brengen bij de aanvrager van een certificaat. De certificaathouder kan deze kosten
vervolgens terugverdienen door het leveren van gecertificeerde informatietechnologieproducten
of -diensten. De verwachting is dat aanbieders van informatietechnologieproducten
en -diensten deze kosten (deels) zullen doorberekenen aan de zorgaanbieders.
Voorts is op het voorstel tot aanwijzing van certificerende instellingen voor het
afgeven van certificaten het besliskader ten behoeve van toekomstige besluitvorming
over privatiseringen en verzelfstandigingen toegepast.24 Het besliskader biedt een overzicht van inhoudelijke aandachtspunten en procesmatige
richtlijnen voor elke fase van een traject tot privatisering of verzelfstandiging,
gericht op het tijdig en adequaat informeren van het parlement over de voortgang van
trajecten tot privatisering en verzelfstandiging en op de wijze waarop de in het geding
zijnde publieke belangen worden geborgd. Het besliskader bestaat uit vijf stappen
van (1) het voornemen tot verzelfstandiging naar (2) ontwerp, (3) besluitvorming en
(4) uitvoering tot (5) evaluatie (opvolging).
– Stap 1: het voornemen
Zoals in hoofdstuk 1 is uiteengezet is de Tweede Kamer in een drietal brieven over
het beoogde wettelijk kader en de voortgang daarvan geïnformeerd. Ook is dit aan de
orde geweest in het Algemeen Overleg inzake Gegevensuitwisseling in de zorg van 9 oktober
2019. In de brief van 25 september 202025 is de Tweede Kamer ook geïnformeerd over de noodzaak tot invoering van een wettelijk
stelsel van certificering als ook over de wijze waarop dit stelsel publiekrechtelijk
geborgd wordt.
– Stap 2: het ontwerp
In eerste instantie is onderzocht of de publieke taken die door de certificerende
instellingen worden uitgevoerd ook door de Minister zelf uitgevoerd kunnen worden.
Echter, nu de verantwoordelijkheid voor het leveren van goede zorg en het handelen
in overeenstemming met de kwaliteitsstandaarden rust bij het zorgveld, is dat niet
wenselijk. Door gebruik te maken van conformiteitsbeoordelingen wordt aangesloten
bij het zelfregulerende vermogen van private sectoren om publieke belangen te dienen
en wordt de expertise van de markt en het veld goed benut. Veldpartijen als aanbieders
van informatietechnologieproducten of -diensten en zorgaanbieders zullen, wanneer
NEN-normen worden opgesteld, in NEN-normen afspraken maken over de eisen waaraan informatietechnologieproducten
en -diensten moeten voldoen om te kunnen borgen dat gegevens elektronisch kunnen worden
uitgewisseld. Het is niet wenselijk dat de Minister zich mengt in de technische beoordeling
van informatietechnologieproducten en -diensten van de verschillende (concurrerende)
aanbieders. Ook is bij de certificerende instellingen, anders dan bij de Minister,
veel specifieke deskundigheid aanwezig op het gebied van informatietechnologieproducten
en -diensten. Daarnaast is de overheid verantwoordelijk voor de beleidsontwikkeling,
het wettelijk kader en het overheidstoezicht op de goede werking van het stelsel.
De aan te wijzen toezichthouder houdt verder toezicht op de naleving van de verplichtingen
aan zorgaanbieders en eisen aan informatietechnologieproducten en -diensten. Het publieke
belang van goede gezondheidszorg is daarmee geborgd. Gelet op het voorgaande is ervoor
gekozen de publieke taken van de certificerende instellingen niet bij de Minister
zelf onder te brengen. Met het oog op de continuïteit van het stelsel is echter wel
geregeld dat in het uiterste geval wanneer er geen certificerende instelling beschikbaar
is, de Minister zelf certificaten kan verstrekken.
– Stap 3: de besluitvorming
Met het indienen van dit wetsvoorstel bij het parlement wordt het ter besluitvorming
voorgelegd.
– Stap 4: de uitvoering
De werking van het stelsel van certificering en de rol van de certificerende instellingen
hierin is beschreven in paragraaf 3.7. De Minister houdt als stelselverantwoordelijke
ook toezicht op de certificerende instellingen. In paragraaf 7.4 is dit nader toegelicht.
– Stap 5: evaluatie
In het wetsvoorstel is een evaluatiebepaling opgenomen, zoals toegelicht in paragraaf
10.1.
4. Verhouding tot hoger recht
4.1 Verhouding met regels over gegevensbescherming
Dit wetsvoorstel gaat uit van en past binnen de bestaande kaders en regels rondom
gegevensbescherming (in onder meer de Gw, AVG en UAVG en EVRM). Dat betekent dat bij
het uitwisselen van gegevens altijd voldaan moet worden aan die eisen. In paragraaf
8.3 worden de effecten op de gegevensbescherming verder toegelicht.
4.2 Verhouding met regels over cyberveiligheid
Verordening (EU) 2019/881 van het Europese Parlement en de Raad van 17 april 2019
inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake
de certificering van de cyberbeveiliging van informatie- en communicatietechnologie
en tot intrekking van Verordening (EU) nr. 526/2013 (Cyberbeveiligingsverordening)
(PbEU 2019, L151) geeft een kader voor de certificering van producten, processen en
diensten op het gebied van cyberveiligheid. Binnen dit kader wordt een mechanisme
ontwikkelt voor het Europese cybersecurity certificatieschema. Een dergelijk schema
ziet in het bijzonder op beveiligingsvoorschriften en bevat daartoe een aantal minimum
vereisten. Deze verordening sluit niet expliciet uit dat niet-beveiligingselementen
ook deel uitmaken van een dergelijk schema en daarmee betrekking kunnen hebben op
met name de bij AMvB te stellen eisen aan techniek. Bij het opstellen van de AMvB
(en de daarin opgenomen normen) wordt de Cyberbeveiligingsverordening in acht genomen.
4.3 Verhouding tot vrijheid van ondernemerschap
De vrijheid van ondernemerschap is vervat in artikel 16 van het Handvest van de grondrechten
van de Europese Unie26 (Handvest EU) en – meer indirect – in de artikelen 10 en 11 van het op 4 november
1950 te Rome tot stand gekomen Verdrag tot bescherming van de rechten van de mens
en de fundamentele vrijheden (Trb. 1951, 154) (EVRM) en artikel 1 van het Protocol bij het EVRM. De vrijheid van ondernemerschap
wordt door dit wetsvoorstel beperkt, omdat informatietechnologieproducten en -diensten
voortaan (voor aangewezen gegevensuitwisselingen) voorzien moeten zijn van een certificaat,
dat wordt verleend als aan bepaalde eisen wordt voldaan. Dit raakt de vrijheid van
ondernemerschap voor aanbieders van informatietechnologieproducten of -diensten.
De inperking van de genoemde vrijheid is echter gerechtvaardigd. Met het wetsvoorstel
is geborgd dat de inperkingen van de vrijheid van ondernemerschap voorzienbaar en
openbaar toegankelijk is. De inperkingen zullen immers bij AMvB worden vastgesteld.
Dit betekent dat – vanwege de procedurele eisen die gelden voor het opstellen van
wet- en regelgeving – de voorgenomen eisen tijdig kenbaar zullen zijn en gepubliceerd
zullen worden. De overheid zal licentiekosten die verbonden zijn aan het gebruik van
de NEN-normen afkopen met als doel de NEN-normen openbaar beschikbaar te kunnen stellen.
Doordat het doel in het wetsvoorstel is vastgelegd, is bovendien geborgd dat de eisen
die bij AMvB worden gesteld, gericht zijn op een maatschappelijk belang (verlenen
van goede zorg).
De procedurele eisen die gelden voor het opstellen van wet- en regelgeving en normen
borgen dat de normadressanten tijdig betrokken worden en dat geen willekeurige inperkingen
kunnen plaatsvinden op genoemde vrijheid. Ook wordt voorzien in waarborgen tegen willekeur
door het toezicht door de RvA conform Verordening (EG) 765/2008 van het Europees Parlement
en de Raad van de Europese Unie van 9 juli 2008 tot vaststelling van de eisen inzake
accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking
van Verordening (EEG) nr. 339/93 (PbEG 2008, L218) (hierna: verordening 765/2008)
en verordening 1025/2012 en de aanwijzing en toezicht door de Minister.
Uit de vaste jurisprudentie van het Europees Hof van de Rechten van de Mens27 en het Hof van Justitie van de Europese Unie28 volgt dat dit toegestane uitzonderingen zijn op de vrijheid van ondernemerschap.
4.4 Verhouding tot vrij verkeer van goederen
Met dit wetsvoorstel worden eisen gesteld aan informatietechnologieproducten. Het
stellen van eisen aan goederen is op grond van het Europese recht toegestaan als hiervoor
een toegestane uitzondering geldt en het proportioneel en subsidiair is.
In het voorliggende geval is sprake van het stellen van eisen met het oog op de bescherming
van de gezondheid van personen.29 Bescherming van de gezondheid van personen is in de Nederlandse wetgeving vervat
onder het beginsel van het verlenen van goede zorg. Zonder het stellen van eisen aan
informatietechnologieproducten die gebruikt worden in (bepaalde onderdelen van) de
zorg, kunnen gegevens niet goed worden uitgewisseld. In hoofdstuk 1 van deze memorie
is al toegelicht welke negatieve effecten dit heeft op het verlenen van goede zorg.
Zoals aangegeven in paragraaf 2.1 van deze memorie zijn verschillende oorzaken aan
te wijzen voor het niet volledig tot stand komen van elektronische gegevensuitwisseling:
(1) gebrek aan eenduidigheid in taal, (2) gebrek aan eenduidigheid in techniek en
(3) gebrek aan een integrale aanpak om tot gegevensuitwisseling door middel van een
elektronische infrastructuur te komen en uiteenlopende belangen van verschillende
betrokken partijen. De afgelopen jaren zijn – zoals ook beschreven in paragraaf 2.2
van deze memorie – verschillende stappen gezet om te komen tot volledige interoperabiliteit
bij een zorgbrede gegevensuitwisseling. Maar zoals ook beschreven in voorgenoemde
paragraaf is het onvoldoende gebleken om de hierboven genoemde problemen met betrekking
tot gebrek aan eenduidige taal, techniek en regie op te lossen. Er is behoefte aan
overheidsbetrokkenheid op dit onderwerp. Immers, verlening van goede zorg kan alleen
worden bereikt als de interoperabiliteit van de informatietechnologieproducten die
de gegevensuitwisselingen moeten bewerkstelligen, wordt gegarandeerd. Om deze reden
wordt voorgesteld vast te leggen bij AMvB dat bij die gegevensuitwisselingen alleen
informatietechnologieproducten mogen worden gebruikt waarvan is vastgesteld dat zij
de beoogde interoperabiliteit kunnen bewerkstelligen. Dit zijn de informatietechnologieproducten
die voldoen aan de voorschriften in de normen die bij AMvB zullen worden aangewezen.
Zoals beschreven in paragraaf 3.5.3 wordt dwingend en exclusief verwezen naar deze
normen. Het garanderen van volledige interoperabiliteit is noodzakelijk omdat anders
de elektronische gegevensuitwisseling niet tot stand komt. De normen zijn geschikt
om dit doel te bereiken, omdat de daarin opgenomen eisen voor taal en techniek bij
AMvB dwingend en exclusief worden voorgeschreven waardoor volledige interoperabiliteit
verzekerd wordt. Zoals weergegeven in paragraaf 2.2 van deze memorie is de afgelopen
jaren op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering
van gestandaardiseerde gegevensuitwisseling door middel van een elektronische infrastructuur.
Deze minder vergaande eisen zijn echter zoals hierboven is weergegeven, onvoldoende
gebleken om de genoemde problemen over gebrek aan eenduidige taal, techniek en regie
op te lossen. De bij AMvB te stellen eisen gaan daarom niet verder dan nodig is om
het gestelde doel van volledige interoperabiliteit te bereiken. De eisen die gesteld
worden aan informatietechnologieproducten zullen daarbij geen onderscheid maken tussen
nationale en buitenlandse goederen.
Het dwingend en exclusief verwijzen naar de normen zal plaatsvinden op het niveau
van de AMvB.30
4.5 Verhouding tot vrij verkeer van diensten
De Europese dienstenrichtlijn beoogt de Europese interne dienstenmarkt te harmoniseren
door de belemmeringen voor het vrije verkeer van diensten weg te nemen. Deze richtlijn
is met name geïmplementeerd door middel van de Dienstenwet. Het wetsvoorstel bevat
bepalingen die onder het toepassingsbereik van de dienstenrichtlijn kunnen vallen.
Het uitwisselen van gegevens gaat via een geheel van hardware en software, waarbij
in bepaalde gevallen de software ook gebruik maakt van een geavanceerde onlinedienst.
Deze dienstverlening valt onder de dienstenrichtlijn. Net als hiervoor beschreven
ten aanzien van de informatietechnologieproducten, geldt ook voor de informatietechnologiediensten
dat ze moeten voldoen aan de voorschriften in de normen die bij AMvB zullen worden
aangewezen. Het stellen van eisen aan diensten is op grond van het Europese recht
toegestaan als hiervoor een toegestane uitzondering geldt en het proportioneel en
subsidiair is. In het voorliggende geval is sprake van het stellen van eisen met het
oog op de volksgezondheid.31 De onderbouwing die in paragraaf 4.4 van deze memorie is gegeven van het stellen
aan eisen aan informatietechnologieproducten, is van overeenkomstige toepassing op
het stellen van eisen aan diensten. Kortheidshalve wordt daarom verwezen naar die
genoemde paragraaf.
Onder dit wetsvoorstel kunnen informatietechnologieproducten en -diensten verplicht
worden voorzien te zijn van een certificaat. Daarnaast worden in het wetsvoorstel
eisen gesteld aan certificerende instellingen: de certificerende instellingen moeten
geaccrediteerd zijn door de RvA en aangewezen zijn door de Minister. Een certificaat,
aanwijzing en accreditatie kunnen worden aangemerkt als vergunning in de zin van de
dienstenrichtlijn. De richtlijn verstaat onder een vergunning een beslissing, uitdrukkelijk
of stilzwijgend, over de toegang tot of de uitoefening van een dienst (zie ook artikel
1 van de Dienstenwet). Een vergunningstelsel is alleen toegestaan als aan bepaalde
eisen wordt voldaan (artikel 9 van de Dienstenrichtlijn). Daaraan wordt voldaan. De
bepalingen zijn non-discriminatoir, er wordt geen direct of indirect onderscheid gemaakt
tussen dienstverrichters. De normen die worden voorgeschreven om een certificaat te
kunnen krijgen en de eisen die gesteld worden aan certificerende instellingen zullen
openbaar beschikbaar worden gesteld voor eenieder, dus ook buitenlandse dienstverrichters.
De bepalingen zijn noodzakelijk uit hoofde van de volksgezondheid.32
Daarnaast zijn de verplichtingen om voorzien te zijn van een certificaat, aanwijzing
en accreditatie proportioneel. Zoals in paragraaf 4.4 van deze memorie al is aangegeven
is het noodzakelijk dat dwingend en exclusief naar normen wordt verwezen om interoperabiliteit
te bereiken. Om te verzekeren dat informatietechnologieproducten of -diensten aan
de eisen voldoen, wordt een stelsel van certificering voorgesteld (zie ook paragraaf
3.6). Deze certificering is noodzakelijk om te verzekeren dat de informatietechnologieproducten
of -diensten aan de eisen voldoen. Om certificaten te kunnen verlenen is het noodzakelijk
dat degene die het certificaat verleend daartoe in staat is. Door een accreditatie
voor te schrijven kan worden verzekerd dat een certificerende instelling hiertoe in
staat is. Een accreditatie is geschikt om dit doel te bereiken omdat de RvA op grond
van Wet aanwijzing nationale accreditatie-instantie aangewezen is als nationale accreditatie-instantie
en toeziet op de deskundigheid, onafhankelijkheid, onpartijdigheid en betrouwbaarheid
van de certificerende instellingen. Naast het toezicht door de RvA is het vanwege
de dwingende en exclusieve verwijzing naar de normen, noodzakelijk op de werking van
het stelsel toezicht te houden. Door op te nemen dat de Minister certificerende instellingen
dient aan te wijzen, wordt dit mogelijk gemaakt. Dit geeft de Minister de bevoegdheid
om op basis van signalen in te grijpen waar nodig. Dit kan de Minister doen door een
aanwijzing te schorsen of in te trekken. Dit is een terughoudende vorm van toezicht
die zijn doel bereikt.
Van verplichtingen die gelden voor grensoverschrijdende dienstverrichting (hoofdstuk
IV van de dienstenrichtlijn) kan sprake zijn bij verplichtingen voor dienstverrichters
die grensoverschrijdende activiteiten (kunnen) verrichten, zoals van certificerende
instellingen of aanbieders van informatietechnologiediensten. Artikel 16 van de Dienstenrichtlijn
bepaalt dat lidstaten het recht van dienstverrichters om diensten te verrichten in
een andere lidstaat dan die waar zij zijn gevestigd moeten eerbiedigen. De lidstaat
waar de dienst wordt verricht moet zorgen voor vrije toegang tot en vrije uitoefening
van een dienstenactiviteit op zijn grondgebied. Dit artikel regelt verder dat de lidstaten
de toegang tot en de uitoefening van een dienstenactiviteit op hun grondgebied niet
afhankelijk mogen maken van de naleving van eisen die discrimineren (onderscheid naar
nationaliteit of vestiging) of niet noodzakelijk of evenredig zijn.
De eisen in dit wetsvoorstel zijn van toepassing op alle dienstverrichters en maken
daarbij geen onderscheid waardoor voldaan wordt aan het discriminatieverbod. Zoals
hierboven is toegelicht, zijn de bepalingen noodzakelijk uit hoofde van de volksgezondheid.33 De eis van evenredigheid houdt in dat de eis geschikt moet zijn om het doel te bereiken
en dat de eis niet verder mag gaan dan nodig is om dit doel te bereiken. Hierboven
is toegelicht waarom de eisen in dit wetsvoorstel evenredig zijn.
5. Verhouding tot nationale regelgeving
Met dit wetsvoorstel wordt een aantal wetten aangepast, te weten de Wabvpz, de Wkkgz,
de Wpg, de Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz), de Wet zorg
en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Wzd).
De aanpassingen worden onderstaand in paragraaf 5.1 kort beschreven. Een uitgebreide
toelichting op de aanpassing van bovenstaande wetten is opgenomen in artikelsgewijze
deel van deze memorie (artikel 7.1 tot en met artikel 7.5).
Vervolgens wordt een beknopte toelichting gegeven op de verhouding van voorliggend
wetsvoorstel ten aanzien van de WGBO en meer in het bijzonder het medisch beroepsgeheim
(paragraaf 5.2) en de Wabvpz (paragraaf 5.3). Tenslotte wordt het wetsvoorstel digitale
overheid behandeld (paragraaf 5.4).
5.1 Aanpassing wetten
Met dit wetsvoorstel wordt een belangrijke koppeling gelegd met kwaliteitsstandaarden.
Om deze koppeling te borgen wordt voorgesteld in de Wkkgz een regeling te treffen
voor het geval een onderdeel van de professionele standaard niet in overeenstemming
is met eisen die gesteld worden op grond van de Wegiz. Hiermee wordt afgedwongen dat
een wijziging van goede zorg die afwijkt van de wettelijk verplichte gegevensuitwisseling
door middel van een elektronische infrastructuur alleen kan via de weg van de kwaliteitsstandaarden.
Daarnaast wordt voorgesteld om in de Wkkgz te regelen dat de Minister geïnformeerd
wordt over wijzigingen van een kwaliteitsstandaard die gebruikt wordt in een aangewezen
gegevensuitwisseling.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze
waarop elektronische uitwisseling van gegevens moet plaatsvinden. Voorkomen moet worden
dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld
vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren
op de eisen wordt toegezien en gehandhaafd. Daarom worden onderstaande wetten aangepast:
– Wabvpz; met dit wetsvoorstel wordt geregeld dat artikel 15j, eerste lid, Wabvpz niet van toepassing
is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling;
– Wvggz; met dit wetsvoorstel geregeld dat artikel 8.22, tweede lid, Wvggz niet van toepassing
is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling;
– Wzd; met dit wetsvoorstel wordt geregeld dat artikel 18c, zesde lid, Wzd niet van toepassing
is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Met dit wetsvoorstel wordt verder geregeld dat de op grond van de Wpg bij regeling
voor de jeugdgezondheidszorg opgenomen verplichting om software af te nemen die elektronische
gegevensuitwisseling mogelijk maakt, te zijner tijd – als de jeugdgezondheidszorg
bij AMvB als gegevensuitwisseling wordt aangewezen – vervalt. Deze eis zal, zoals
in paragraaf 5.1 aangegeven, als de jeugdgezondheidszorg bij AMvB als gegevensuitwisseling
wordt aangewezen, aangepast wordt in een verplichting om gegevens uit te wisselen
door middel van een elektronische infrastructuur. Ook de andere eisen die op grond
van de Wpg worden gesteld met het oog op het elektronisch uitwisselen van gegevens
in de jeugdgezondheidzorg, zoals het registreren in rubrieken, zullen dan worden overgenomen.
Hiermee wordt het bestaande beleid (stimuleren gegevensuitwisseling via een elektronische
infrastructuur) bestendigd. De effecten van deze aangepaste verplichting zijn naar
verwachting minimaal, omdat de noodzakelijke software al is afgenomen en het veld
al gewoon is elektronisch gegevens uit te wisselen.
5.2 Verhouding met de WGBO (medisch beroepsgeheim)
Het algemene uitgangspunt van «goed hulpverlenerschap» is in de WGBO verankerd.34 Daarnaast is wat goed hulpverlenerschap is nader uitgewerkt in de (tucht-)rechtspraak
en in de door de beroepsgroep opgestelde protocollen en richtlijnen. Voor hulpverleners
brengt het «goed hulpverlenerschap» een aantal verplichtingen met zich mee met betrekking
tot de verwerking van informatie over cliënten. Zo moeten hulpverleners voldoen aan:
de dossierplicht en de bewaarplicht, de geheimhoudingsplicht, en een aantal patiëntenrechten,
zoals het recht op inzage en afschrift, aanvulling en vernietiging. Het voorliggende
wetsvoorstel zal vaak zien op de uitwisseling van gegevens uit het medisch dossier.
De bijbehorende plichten ten aanzien van het dossier en de geheimhouding en de patiëntenrechten
zijn onverminderd van kracht.
Vanuit de WGBO is aan de hulpverlener de primaire verantwoordelijkheid gegeven voor
het inrichten en beheren van een (elektronisch) dossier met betrekking tot de behandeling
van de patiënt, ook wel de «dossierplicht» genoemd. De dossierplicht houdt voor de
hulpverlener in dat in het dossier aantekeningen moeten worden opgenomen van gegevens
omtrent de gezondheid van de patiënt en omtrent de uitgevoerde verrichtingen die voor
een goede behandeling noodzakelijk zijn.35
De hulpverlener is ook degene die eventueel gegevens uit het medisch dossier uitwisselt
met anderen. Het uitwisselen van gegevens moet in overeenstemming zijn met de op de
hulpverlener rustende geheimhoudingsplicht.36 Dit beroepsgeheim is onverkort van kracht bij dit wetsvoorstel en is verankerd in
artikel 272 van het Wetboek van Strafrecht, in artikel 88 van de Wet BIG en in artikel
7:457 van het BW (WGBO).
Zoals reeds in paragraaf 2.2.1 is weergegeven regelt het wetsvoorstel niet óf uitgewisseld
mag worden maar – als uitgewisseld mag of moet worden – hoe uitgewisseld moet worden (door middel van een elektronische infrastructuur, en eventueel
volgens bepaalde eisen).
Dat betekent dat de kaders en regels rondom grondslagen voor gegevensverwerking (in
onder meer de AVG en de UAVG) en het (doorbreken van) medisch beroepsgeheim, zoals
hierboven is weergegeven niet ter discussie staan en onverminderd van kracht zijn.
Concreet wil dit zeggen dat wanneer vanwege bijvoorbeeld het medisch beroepsgeheim
of het ontbreken van een grondslag voor het verwerken van (bijzondere) persoonsgegevens
geen uitwisseling van die gegevens kan plaatsvinden, niet toe wordt gekomen aan de
regels in dit wetsvoorstel. Kortom: er geldt géén verplichting om elektronisch gegevens
uit te wisselen als er geen grondslag is voor gegevensuitwisseling of dit strijd oplevert
met het medisch beroepsgeheim. In paragraaf 8.3 wordt verder ingegaan op de effecten
van het wetsvoorstel op de gegevensbescherming.
5.3 Verhouding met elektronisch uitwisselingssysteem (artikel 15a Wabvpz)
Zoals bovenstaand beschreven geldt voor zorgverleners het medisch beroepsgeheim. Als
een zorgverlener de gegevens van een cliënt wil uitwisselen – en dus het medisch beroepsgeheim
wil doorbreken – heeft de zorgverlener een grond voor doorbreking nodig. Bijvoorbeeld,
de cardioloog wil graag de medicijngegevens van een cliënt ontvangen die eerder zijn
voorgeschreven door een internist, omdat een bepaalde combinatie van medicijnen een
gevaar voor de gezondheid kan opleveren. De cliënt kan vervolgens de internist toestemming
geven deze gegevens te delen (in de praktijk geeft de cliënt de opvolgende hulpverlener
toestemming de gegevens op te vragen bij de voorgaande hulpverlener, in dit voorbeeld
zal de cliënt dus toestemming geven aan de cardioloog om bij de internist de gegevens
op te vragen). Als de cliënt toestemming geeft, vraagt de cardioloog aan de betreffende
internist om de gegevens. De internist kan het beroepsgeheim dan doorbreken want er
is sprake van toestemming. Als de gegevensuitwisseling vervolgens elektronisch plaatsvindt,
zoekt de internist de noodzakelijke gegevens op in het dossier van de cliënt en verstuurt
deze via een elektronische infrastructuur of zorgt dat de cardioloog de gegevens zelf
kan benaderen via een elektronische infrastructuur.
Er zijn echter ook elektronische systemen die anders werken. Bij deze systemen worden
de gegevens van de cliënt al van tevoren beschikbaar gesteld door de zorgverlener
die deze gegevens heeft. De zorgverlener zorgt er dan voor dat de gegevens die hij
heeft over de cliënt alvast raadpleegbaar zijn voor een nog onbekende zorgverlener.
Die zorgverlener weet dan nog niet op welk moment en welke collega die gegevens in
de toekomst gaat raadplegen. Ze staan in elk geval alvast klaar voor een uitwisseling
met een andere zorgverlener.
Als wordt gewerkt met elektronische systemen die de gegevens al van tevoren beschikbaar
stellen, is in de Wabvpz geregeld dat voor dat vooraf beschikbaar stellen uitdrukkelijke
toestemming nodig is van de cliënt (artikel 15a Wabvpz). Dan worden er dus nog geen
gegevens uitgewisseld, ze zijn alleen beschikbaar. De elektronische systemen die op
deze manier functioneren worden «elektronische uitwisselingssystemen» genoemd in de
Wabvpz.
De situatie kan zich voordoen dat het uitwisselen van gegevens is toegestaan op basis
van de WGBO; bij bijvoorbeeld een verwijzing van een huisarts naar een specialist
wordt uitgegaan van veronderstelde toestemming van de cliënt aan de huisarts om zijn
medisch beroepsgeheim te doorbreken. Als de uitwisseling via (beveiligde) e-mail plaatsvindt,
kan de huisarts de gevraagde gegevens op basis van die veronderstelde toestemming
naar de specialist sturen of de specialist toegang geven tot die gegevens.
Als echter gebruik wordt gemaakt van een systeem dat de gegevens al van tevoren beschikbaar
stelt, dan is (aanvullend op de gegeven veronderstelde toestemming voor de doorbreking
van het beroepsgeheim) de uitdrukkelijke toestemming van de cliënt wettelijk verplicht
voor het beschikbaar stellen. Als de cliënt die toestemming niet heeft gegeven, is
uitwisseling via een elektronisch uitwisselingssysteem niet mogelijk, de gegevens
zijn dan namelijk niet in het systeem beschikbaar.
In relatie tot het voorliggend wetsvoorstel betekent dit dat als het binnen een gegevensuitwisseling
verplicht is om uit te wisselen overeenkomstig de norm voor die gegevensuitwisseling,
dat die norm niet mag bepalen dat dit slechts via een elektronisch uitwisselingssysteem
kan. De zorgverlener die gegevens uitwisselt (binnen de wettelijke kaders) kan dit
dan immers niet in alle gevallen doen op de wijze zoals voorgeschreven in onderhavig
wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke toestemming heeft gegeven.
5.4 Verhouding ten aanzien van wetsvoorstel digitale overheid
Het wetsvoorstel digitale overheid (hierna: Wdo)37 heeft tot doel het regelen van het veilig en betrouwbaar kunnen inloggen voor Nederlandse
burgers en bedrijven bij de (semi-) overheid (eID stelsel). De Wdo gaat ook gelden
voor categorieën van zorgaanbieders die vallen onder de Wabvpz, in het kader van de
taken waarvoor zij op basis van de Wabvpz het BSN gebruiken. Dit betekent dat deze
zorgaanbieders bij de uitwisseling van gegevens (in aanvulling op eventuele eisen
die gelden op grond van het voorliggende wetsvoorstel) zullen moeten voldoen aan de
eisen en normen ten aanzien van veilig inloggen uit de Wdo. Op grond van dit wetsvoorstel
worden dergelijke regels voor elektronische gegevensuitwisseling dan ook vooralsnog
niet vastgesteld. Wel zal, wanneer NEN-normen ontwikkeld worden, bij het opstellen
van die normen de AMvB de Wdo in acht genomen worden.
6. Implementatie en uitvoering
De ervaring met verschillende wetgevingstrajecten heeft geleerd dat een goede implementatie
veel voorbereidingstijd kost. Op tijd starten is noodzakelijk om te voorkomen dat
de invoering van een wettelijke verplichting tot elektronische gegevensuitwisseling
vertraging oploopt. Echter de basis voor een succesvolle implementatie ligt bij de
betrokkenheid en het draagvlak van het veld om gezamenlijk de met het wetsvoorstel
beoogde doelstelling te behalen. De inbreng van kennis en kunde van het zorgveld is
belangrijk om het wetsvoorstel uiteindelijk met succes te kunnen implementeren. Hieraan
wordt invulling gegeven door het zorgveld een belangrijke en noodzakelijke rol te
geven vanaf het proces van de totstandkoming van een Meerjarenagenda Wegiz (paragraaf
3.2) tot en met de daadwerkelijke implementatie van de AMvB, met inbegrip van de daarin
aangewezen norm.
Draagvlak en betrokkenheid zijn ook aspecten die maken of een gegevensuitwisseling
uiteindelijk bij AMvB wordt aangewezen in spoor 1 of in spoor 2 (paragraaf 3.4). Belangrijk
hierbij is om te onderkennen dat ondanks dat de Minister met dit wetsvoorstel regie
neemt hij geen doorzettingsmacht heeft om de totstandkoming van een NEN-norm af te
dwingen. Dit vergt tijd, betrokkenheid bij de uitvoering, vereist een breed draagvlak
binnen het zorgveld en gezamenlijke inspanning om interoperabiliteit op het gebied
van gegevensuitwisseling te realiseren. Het veld, waaronder zorgaanbieders en aanbieders
van technologieproducten en -diensten, kan actief participeren bij het ontwikkelen
van de NEN-norm per gegevensuitwisseling, waarnaar in de AMvB voor de eisen aan taal
en techniek zal worden verwezen. Ook worden betrokkenen in de gelegenheid gesteld
om op de concept-NEN-norm te reageren gedurende de openbare consultatie daarvan (paragraaf
3.5).
In de periode nadat de AMvB in werking is getreden, dienen bijvoorbeeld certificeringsschema’s
te worden opgesteld, certificerende instellingen te worden geaccrediteerd en informatietechnologieproducten
of -diensten te worden gecertificeerd. Bij het bepalen van de duur van de transitieperiode
zal bij de totstandkoming van de AMvB nadrukkelijk aandacht worden besteed aan onder
meer de hiervoor genoemde aspecten.
Door middel van zelfevaluatie zullen individuele zorgaanbieders in staat worden gesteld,
om een inschatting te kunnen maken welke maatregelen getroffen dienen te worden en
de tijd en inspanning die dat vergt om uitvoering te kunnen geven aan de AMvB.
Een andere succesfactor voor implementatie en uitvoering van het wetsvoorstel is de
inzet op kennis, kunde, houding en gedrag van degenen die met het wetsvoorstel moeten
werken. Dat er geschikt instrumentarium is, betekent niet vanzelfsprekend dat dit
ook wordt benut en op de juiste wijze wordt ingezet. Implementatie is dus niet alleen
het overdragen van feitelijke kennis, maar vooral het overdragen van succesvolle werkwijzen
(bepaalde vaardigheden en werkprocessen) en gedrag. Het delen van ervaringen die zijn
opgedaan met de aan te wijzen gegevensuitwisseling kunnen hierbij behulpzaam zijn.
Dit is ook een succesfactor gebleken bij de uitvoering van de VIPP-regelingen waarover
in paragraaf 2.2.1 geschreven is.
Implementatie van deze wet vraagt veel van het zorgveld en alle betrokken partijen.
Daarom is een beoordeling op effectiviteit en leren van ervaring belangrijk om te
beoordelen of aanvullende maatregelen nodig zijn. Om te beoordelen of het met het
wetsvoorstel beoogd doel wordt bereikt, is in artikel 8.1 een evaluatiebepaling op
genomen.
7. Toezicht en handhaving
Hoofdstuk 4 van het wetsvoorstel bevat de bepalingen inzake het toezicht op en de
handhaving van de bij of krachtens het wetsvoorstel gestelde bepalingen. Deze zijn
deels ontleend aan hoofdstuk 4 Wkkgz.
7.1 Toedeling van de taak tot bestuursrechtelijke handhaving
Bestuursrechtelijke handhaving omvat het houden van toezicht op de naleving van regels.
Ook valt onder deze taak het behandelen van klachten over de naleving van regels en
het opleggen van bestuurlijke sancties in geval van overtreding van regels. Het wetsvoorstel
deelt de taak tot bestuursrechtelijke handhaving toe aan de Minister. De Minister
zal de handhaving veelal mandateren aan de instantie die belast is met het toezicht,
de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ). De IGJ is gespecialiseerd in
en heeft veel ervaring met het toezicht houden op zorgaanbieders, en heeft daarmee
zicht op de aanbieders van informatietechnologieproducten of -diensten.
De Minister wijst ambtenaren aan als toezichthouder. De bevoegdheden van de toezichthouder
zijn beschreven in titel 5.2 van de Awb. Aanvullend hierop kan de bevoegdheid tot
het betreden van een woning zonder toestemming van de bewoner worden toegekend voor
het toezicht op de regels, gesteld bij of krachtens het wetsvoorstel maar alleen voor
zover de woning deel uitmaakt van een bouwkundige voorziening voor het verlenen van
zorg. Met betrekking tot binnentreden zijn artikel 12 van de Grondwet en de Algemene
wet op het binnentreden onverkort van toepassing. Er is dan ook een schriftelijke
machtiging vooraf nodig voor het binnentreden van het deel van de bouwkundige eenheid
waarin de huisartsenpraktijk is gevestigd.
In het kader van het houden van toezicht op de naleving van de verplichtingen kan
het noodzakelijk zijn dat de toezichthouder inzage krijgt in bijzondere persoonsgegevens.
Het spreekt voor zich dat voorkomen moet worden dat deze gegevens, tenzij met toestemming
van de cliënt, onder ogen van derden zouden komen. Daarom geldt voor deze gegevens
een geheimhoudingsverplichting voor de toezichthouder.
In de Inspectieraad zal worden besproken hoe de samenwerking op het vlak van gegevensuitwisselingen
tussen de IGJ en andere inspecties kan worden vormgegeven. Gedacht kan worden aan
samenwerking met het Agentschap Telecom, dat toezicht houdt op aspecten van gegevensuitwisselingen
die zijn of zullen worden geregeld in de Wdo en de Cyberbeveiligingsverordening.
Ook de IGJ en de Autoriteit Persoonsgegevens zullen moeten bespreken hoe samenwerking
en taakverdeling kan worden vormgegeven, gezien de samenloop van bevoegdheden van
de IGJ en de Autoriteit Persoonsgegevens aangaande het uitoefenen van toezicht op
de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer
binnen de zorg. Er bestaat hieromtrent al een samenwerkingsprotocol, namelijk het
Samenwerkingsprotocol AP- IGJ io, Autoriteit Persoonsgegevens (Staatscourant 2018, nr. 7023). Door de IGJ en de Autoriteit Persoonsgegeven zal moeten worden bezien of dit wetsvoorstel
of de AMvB’s die op grond van dit wetsvoorstel worden opgesteld, nopen tot wijziging
van dit protocol.
7.2 Keuze sanctiestelsel
Bij de keuze van het sanctiestelsel is gekeken naar de discussie die in Nederland
al enige jaren speelt over de wijze van sanctioneren (bestuurlijk, strafrechtelijk
of duaal), de hoogte van de op te leggen sancties en de rechtsbescherming in dat kader.
Hierbij is met name relevant het advies van de Raad van State uit 201538, en de reactie daarop van het kabinet in het uitgebrachte nader rapport39 en de documenten die in dat nader rapport worden genoemd, zoals met name de kabinetsnota
over de uitgangspunten bij de keuze van een sanctiestelsel.40
Uit de hierboven aangehaalde documenten blijkt dat met betrekking tot sanctionering
in beginsel alle modaliteiten (bestuurlijke, strafrechtelijke of duale handhaving)
mogelijk zijn. In dit wetsvoorstel is gekozen voor de bestuurlijke modaliteit en kan
de Minister, wanneer een informatietechnologieproduct of -dienst in strijd met artikel
3.1 niet vergezeld gaat van een certificaat, een bestuurlijke boete opleggen. Dit
is een bestuursrechtelijke punitieve sanctie. Voor dit sanctiestelsel is om de volgende
redenen gekozen.41 De feitelijke pakkans wordt verhoogd door de keuze van een bestuursrechtelijke punitieve
sanctie. Het gaat om een eenvoudig te identificeren maar kleine doelgroep. Bij de
aard van de overtreding past veel beter een financiële sanctie dan een vrijheidsbenemende
sanctie. De keuze voor een bestuursrechtelijke sanctie is proportioneel tot het herstel
van de rechtsorde in algemene zin. Bovendien is bij de IGJ gespecialiseerde kennis
en ervaring aanwezig om de overtreding te kunnen constateren.
In het voorgestelde artikel 4.3 is, conform artikel 5:46 Awb, de maximale hoogte van
de op te leggen boete vastgelegd op een boete van de zesde categorie als bedoeld in
artikel 23, vierde lid, van het Wetboek van Strafrecht of, indien die boetecategorie
geen passende bestraffing toelaat, een geldboete tot ten hoogste tien procent van
de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of
strafbeschikking. Dit maximum weerspiegelt het belang dat moet worden gehecht aan
het gebruik van gecertificeerde informatietechnologieproducten of -diensten. Voor
grote ondernemingen is de mogelijkheid opgenomen om wanneer de maximale boete in de
zesde categorie niet voldoende is om afschrikwekkende werking te hebben, voor een
hogere boete te gaan gebaseerd op de jaaromzet van de onderneming. Het omgekeerde
is ook van toepassing ten aanzien van kleine ondernemingen. Het opleggen van het maximumbedrag
dat mogelijk is zal bij kleine bedrijven in beginsel niet aan de orde zijn. Uiteindelijk
blijft de precieze boetehoogte in een specifieke casus maatwerk en zal het bedrag
altijd proportioneel moeten zijn in relatie tot de begane overtreding en onder meer
de financiële draagkracht van het bedrijf. Een certificaat geeft immers zekerheid
dat de beoogde gegevensuitwisseling kan plaatsvinden op een wijze dat zorgverleners
op het juiste moment en op de juiste plek beschikken over adequate, actuele en uniforme
informatie over cliënten. Overtreding kan gevolgen hebben voor de kwaliteit van de
gegevensuitwisseling én daarmee uiteindelijk in een verder verband voor de gezondheid
van cliënten. Van de mogelijkheid om een bestuurlijke boete op te leggen voor het
aanbieden én op de ondersteuning van een informatietechnologieproduct of -dienst,
wordt ook een preventief effect verwacht. Zowel de zorgaanbieder als de leverancier
van de informatietechnologieproducten en -diensten zullen ervoor willen zorgen dat
de juiste certificaten aanwezig zijn en de functionaliteiten van de informatietechnologieproducten
en -diensten op de juiste wijze gebruikt worden bij aangewezen gegevensuitwisselingen.
De informatietechnologieproducten en -diensten die gebruikt worden voor het uitwisselen
van gegevens, maar die niet uitgewisseld worden in een aangewezen gegevensuitwisseling,
vallen niet onder de wettelijke verplichting en daarop kan de handhaving in het kader
van dit wetsvoorstel dan ook niet zien.
7.3 Toezicht op aanwijzing in spoor 1 en aanwijzing in spoor 2
In aanwijzing van een gegevensuitwisseling in spoor 1 zal worden toegezien dat zorgverleners
bij het uitwisselen van gegevens ten minste gebruik maken van een elektronische infrastructuur.
Ook wordt toegezien op de naleving van de bij AMvB gestelde eisen die ertoe leiden
dat het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling
kan plaatsvinden op een functionele, technische of organisatorische wijze. Het toezicht
van de IGJ zal in praktijk vooral bestaan uit het opvragen van stukken en het vorderen
van informatie (bevragen) van zorgaanbieders waaruit blijkt dat is geborgd dat conform
de eisen wordt gehandeld. Het toezicht van de IGJ heeft daarmee geen betrekking op
de producten en – diensten die gebruikt worden om aan de eisen te voldoen.
Het toezicht in spoor 1 ziet niet op de wijze en snelheid waarmee de betrokken (zorg)partijen
invulling geven aan de gezamenlijke ambitie van het veld om de gegevensuitwisseling
door middel van een elektronische infrastructuur van spoor 1 naar spoor 2 te brengen.
In spoor 2 houdt de IGJ toezicht op de verplichtingen die rusten op de zorgaanbieders
en aanbieders van informatietechnologieproducten of -diensten. Dit betekent dat erop
wordt toegezien dat zorgverleners de norm naleven, zorgverleners enkel gebruik maken
van gecertificeerde informatietechnologieproducten of -diensten en aanbieders van
informatietechnologieproducten of -diensten deze producten en diensten alleen aanbieden
met een certificaat. Het toezicht van de IGJ zal ook in spoor 2 in praktijk vooral
bestaan uit het opvragen van stukken en het vorderen van informatie (bevragen) van
zorgaanbieders waaruit blijkt dat is geborgd dat zorgverleners conform de norm handelen.
Het toezicht van de IGJ heeft daarmee nadrukkelijk geen betrekking op eisen aan informatietechnologieproducten
en – diensten waarvoor een certificaat is afgegeven. In het stelsel van verplichte
certificering, is de certificerende instelling degene die moet beoordelen of aan deze
eisen wordt voldaan. Dit is immers een randvoorwaarde voor het kunnen afgeven en verlengen
van een certificaat. Of de certificerende instelling deze beoordeling goed uitvoert,
wordt gecontroleerd door de RvA.
Wel heeft de IGJ een rol in het stelseltoezicht op de certificerende instellingen;
zie in dit verband paragraaf 7.6.
7.4 Verplichtingen voor zorgaanbieders
Voor artikel 2.1 (verplichtingen aan zorgaanbieders) geldt dat een schriftelijke aanwijzing
aan zorgaanbieders kan worden ingezet. Een schriftelijke aanwijzing geeft de Minister
de bevoegdheid tot het concretiseren van de norm, in de vorm van een aanwijzing, in
die gevallen waarin sprake is van een tekortkoming. De aanwijzing geeft de situatie
aan die de zorgaanbieder moet creëren en bevat de termijn waarbinnen aan de aanwijzing
moet zijn voldaan.
Aanvullend daarop kunnen de last onder bestuursdwang en de last onder dwangsom als
bestuursrechtelijke herstelsancties worden ingezet. Deze sancties, die tot doel hebben
een overtreding te beëindigen, zijn gereguleerd in hoofdstuk 5, titel 5.3, Awb. Deze
herstelsancties kunnen worden gehanteerd om een aanwijzing kracht bij te zetten, maar
ook om – wanneer meer snelheid geboden is – snel in te kunnen grijpen. Het is aan
de professionele inschatting van de Minister of van de instantie waaraan de handhaving
gemandateerd is om te bepalen welk instrument het meest passend is in een bepaalde
situatie. Deze systematiek voor handhaving is ontleend aan hoofdstuk 4 Wkkgz.
7.5 Eisen aan informatietechnologieproducten of -diensten
Voor gegevensuitwisselingen die zijn aangewezen in spoor 2, is de eis gesteld dat
informatietechnologieproducten of -diensten voorzien moeten zijn van een certificaat.
Certificerende instellingen geven op aanvraag en voor zover aan de eisen wordt voldaan
een certificaat af voor een informatietechnologieproduct of -dienst. De certificerende
instelling zal er ingevolge de certificatieschema’s op moeten toezien dat een informatietechnologieproduct
of -dienst blijft voldoen aan de eisen. De certificerende instelling zal hiertoe steekproefsgewijs
controles en administratieve audits uitvoeren. De certificerende instelling kan, wanneer
het tot de conclusie komt dat niet voldaan wordt aan de eisen, het certificaat schorsen
of intrekken. Een aanbieder die het daarmee niet eens is, kan zich wenden tot de bestuursrechter.
Omdat in dit wetsvoorstel conformiteitbeoordelingen verplicht zijn gesteld, kunnen
de certificerende instanties die deze beoordelingen uitvoeren worden aangemerkt als
bestuursorgaan. Immers, een certificerende instelling beslist feitelijk of een informatietechnologieproduct
of -dienst al dan niet in de markt mag worden gezet. Hiermee moet een certificerende
instelling geacht te zijn bekleed met openbaar gezag. Dit houdt in dat de certificerende
instellingen voor het verstrekken van certificaten op grond van dit wetsvoorstel bestuursorganen
zijn en de besluiten die ze in dat kader nemen, besluiten zijn in de zin van de Awb.
Een certificerende instelling moet bij deze activiteiten aan alle eisen voor een bestuursorgaan
voldoen en haar besluiten staan open voor bezwaar en beroep.
Certificerende instellingen kunnen alleen toezien op informatietechnologieproducten
of -diensten waarvoor een certificaat is verleend. Wanneer geen aanvraag om een certificaat
wordt ingediend, of het certificaat wordt geweigerd, is het informatietechnologieproduct
of -dienst niet in beeld bij de certificerende instelling. Daarom houdt de door de
Minister aangewezen toezichthouder, de IGJ, toezicht op de aanwezigheid van een certificaat.
In het geval de Minister in het uiterste geval ter waarborging van de continuïteit
van het systeem gebruik maakt van de bevoegdheid om zelf te certificeren, komt de
Minister in die specifieke omstandigheid de bevoegdheid toe om het certificaat te
schorsen of in te trekken. Daarvan kan sprake zijn in het geval de Minister tot de
conclusie komt dat niet wordt voldaan aan de gestelde eisen.
Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling
wordt ingetrokken. Dit kan bijvoorbeeld zijn omdat de certificerende instelling zich
van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende
instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet
werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing.
Uit het intrekken van de aanwijzing van de certificerende instelling kan niet direct
een oordeel gegeven worden over de vraag of het informatietechnologieproduct of –
dienst voldoet aan de norm die geldt voor de aangewezen gegevensuitwisseling waarvoor
het informatietechnologieproduct of -dienst wordt gebruikt. In het geval de accreditatie
van de certificerende instelling wordt ingetrokken kan niet met zekerheid worden gesteld
dat certificaat voor het informatietechnologieproduct of -dienst terecht is verleend.
Maar in alle gevallen geldt dat een overgangstermijn nodig is waarin de aanbieder
van het informatietechnologieproduct of -dienst de tijd heeft om een nieuwe certificerende
instelling te vinden die de taken van de vorige certificerende instelling overneemt.
Voorgesteld wordt daarom dat de afgegeven certificaten voor een informatietechnologieproduct
of -dienst nog twaalf maanden geldig zijn. Deze geldigheid vloeit voort uit de wet
zelf en geldt ook wanneer de geldigheid van het certificaat zelf op een korte termijn
was bepaald. In deze twaalf maanden kan de aanbieder van het product doorgaan met
het product op de markt te brengen. Zoals hiervoor aangegeven zegt het wegvallen van
de certificerende instelling in eerste instantie namelijk niets over de conformiteit
van het informatietechnologieproduct of -dienst met de norm. Mocht er geen opvolgende
certificerende instelling zijn dan kan worden teruggevallen op artikel 3.2, zevende
lid, waarbij de Minister vanwege de borging van de continuïteit van het systeem de
dossiers van de certificerende instelling en ook diens taken overneemt.
Wanneer een certificerende instelling of in het uiterste geval de Minister een certificaat
schorst of intrekt, dient de zorgaanbieder in de gelegenheid te worden gesteld om
een nieuw informatietechnologieproduct of -dienst aan te schaffen en te implementeren
binnen de eigen organisatie. Dit om te voorkomen dat de continuïteit van de gegevensuitwisseling
in gevaar wordt gebracht. De termijn voor deze transitie dient zo kort mogelijk te
zijn. Immers het informatietechnologieproduct of -dienst voldoet niet (volledig) aan
de voor die aangewezen gegevensuitwisseling geldende norm. Daarom is ervoor gekozen
een standaardtermijn van zes maanden te hanteren (artikel 3.6, derde lid). Dat gegevensuitwisseling
ook in de termijn van zes maanden (of langer) op zijn minst veilig moet gebeuren spreekt
voor zich. Zie hierover ook paragraaf 8.3 (Effecten op de gegevensbescherming). Wanneer
blijkt (uit onder meer de informatie die de IGJ verstrekt) dat de zesmaandentermijn
onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het
informatietechnologieproduct of de -dienst verlengen (artikel 3.6, vierde lid). Aan
dit besluit tot verlenging kan de Minister voorwaarden verbinden. Tegen het besluit
van de Minister om het voortgezet gebruik na zes maanden verder te verlengen, kunnen
rechtsmiddelen worden aangewend.
7.6 Verplichtingen voor certificerende instellingen
De certificerende instellingen die certificaten mogen verlenen, worden aangewezen
door de Minister. De Minister wijst alleen certificerende instellingen aan die geaccrediteerd
zijn door de RvA volgens Europese geharmoniseerde normen of die hiervoor ten minste
een aanvraag tot accreditatie hebben ingediend. Het toezicht op het functioneren van
de certificerende instellingen vindt primair plaats door de RvA. De RvA ziet toe op
de deskundigheid, onafhankelijkheid, onpartijdigheid en betrouwbaarheid van de certificerende
instellingen. Dit doet de RvA door periodiek te controleren. De RvA kan, wanneer de
RvA tot de conclusie komt dat niet voldaan wordt aan de eisen, de accreditatie intrekken
of schorsen. Dit volgt uit de Wet aanwijzing nationale accreditatie-instantie en de
daarbij behorende beleidsregel Accreditatie.42 Een certificerende instelling die het daarmee niet eens is, kan bezwaar indienen
en zich vervolgens wenden tot de bestuursrechter. Immers, de RvA beslist feitelijk
of een certificerende instelling zich op de markt mag bewegen (voor het verlenen van
certificaten voor informatietechnologieproducten of -diensten die voorzien moeten
zijn van een certificaat). Hiermee moet de RvA geacht te zijn bekleed met openbaar
gezag. Dit houdt in dat de RvA voor het accrediteren van certificerende instellingen
op grond van dit wetsvoorstel een bestuursorgaan is en de besluiten die hij in dat
kader neemt besluiten zijn in de zin van de Awb. De RvA moet bij deze activiteiten
aan alle eisen voor een bestuursorgaan voldoen en zijn besluiten staan open voor bezwaar
en beroep.
Van de beslissing van de RvA om een accreditatie in te trekken of te schorsen moet
de Minister worden geïnformeerd, omdat de beslissing gevolgen kan hebben voor de aanwijzing
van de certificerende instelling door de Minister. Doorgaans zal intrekking of schorsing
van een accreditatie leiden tot intrekking of schorsing van de aanwijzing door de
Minister. Dit zal bij AMvB nader worden geregeld op grond van artikel 3.3, aanhef
en onder c, van het wetsvoorstel.
Aangezien de RvA al in belangrijke mate toezicht houdt op certificerende instellingen,
zal het toezicht door de Minister op certificerende instellingen terughoudend zijn
en georganiseerd worden in overleg met de RvA. Dit laat onverlet dat de Minister stelselverantwoordelijk
is en dus toezicht moet kunnen houden en, wanneer dit nodig is, moet kunnen ingrijpen.
Dit volgt ook uit het kabinetsstandpunt voor conformiteitsbeoordeling en accreditatie.43 Dit is kwaliteitstoezicht dat erop is gericht om het stelsel goed te laten functioneren.
Het is er niet op gericht om te controleren of iedere individuele aangewezen certificerende
instelling aan de eisen voldoet. Immers, de RvA houdt al in belangrijke mate toezicht
op certificerende instellingen zodat het toezicht door de Minister op certificerende
instellingen terughoudend zal zijn. Kortom, het toezicht door de Minister op aangewezen
certificerende instellingen moet worden ingevuld als stelseltoezicht. Het toezicht
door de Minister zal georganiseerd worden in overleg met de RvA. Gelet op het terughoudende
karakter van het stelseltoezicht, zal reactief toezicht gehouden worden op basis van
signalen over het functioneren van specifieke aangewezen certificerende instellingen.
De IGJ heeft dus eerst en vooral een onderzoeks- en signaalfunctie. De toezichthouder
zet signalen door naar certificerende instellingen, de RvA of de Minister, waarna
wordt bepaald welke vervolgstappen worden gezet. Ook kan stelseltoezicht op een projectmatige
manier worden ingevuld om een beeld te vormen van het functioneren van het stelsel,
bijvoorbeeld ten aanzien van een specifiek thema. Afhankelijk van risico’s en de kenmerken
van een bepaalde gegevensuitwisseling kan (de intensiteit van) het toezicht door de
toezichthouder verschillend worden ingevuld.
Daarnaast is in dit wetsvoorstel geregeld dat bij AMvB regels gesteld kunnen worden
over onder meer:
– de voorwaarden waaronder een certificerende instelling wordt aangewezen, zoals het
hebben van rechtspersoonlijkheid, financiële stabiliteit, in staat om te beslissen
op bezwaar, voldoende deskundigheid, en of een certificerende instelling in staat
is te beoordelen of een informatietechnologieproduct of -dienst voldoet aan een voor
die gegevensuitwisseling aangewezen norm;
– de gevolgen van vrijwillige of gedwongen beëindiging van de werkzaamheden als certificerende
instelling, zoals overdracht van de dossiers;
– de voorwaarden waaronder de Minister de aanwijzing van een certificerende instelling
kan wijzigen, schorsen of intrekken. Het gaat duidelijkheidshalve niet om een privaatrechtelijke
handhaving, maar om een bestuursrechtelijk sanctiemiddel. Dit sanctiemiddel moet worden
gezien als een uiterst middel als de privaatrechtelijke handhaving door de RvA onverhoopt
niet het gewenste resultaat oplevert. Een certificerende instelling die het niet eens
is met het intrekken, wijzigen of schorsen van de aanwijzing, kan in bezwaar bij de
Minister en in beroep gaan bij de bestuursrechter.
8. Effecten van het wetsvoorstel
Dit hoofdstuk geeft een overzicht van de effecten die het wetsvoorstel naar verwachting
op de Nederlandse samenleving zal hebben. Daarbij wordt ingegaan op zowel de sociale
(regeldruk en rechtspraak) als de economische effecten (lasten).
8.1 Financiële gevolgen
Met dit wetsvoorstel wordt stap voor stap (gegevensuitwisseling na gegevensuitwisseling)
de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners
bij het uitwisselen van gegevens ten minste gebruik maken van een elektronische infrastructuur
en worden genormaliseerde eisen gesteld aan informatietechnologieproducten of -diensten.
De financiële effecten zullen per aangewezen gegevensuitwisseling verschillend zijn.
De financiële gevolgen van dit wetsvoorstel zijn daarmee vooral verbonden aan de AMvB,
waarbij gegevensuitwisselingen worden aangewezen.
Zoals in paragraaf 3.2 is weergegeven toetst de Minister voorafgaande aan het bij
AMvB aanwijzen van een (prioritaire) gegevensuitwisseling of de aanwijzing toegevoegde
waarde heeft. In dat kader wordt een MKBA uitgevoerd.
Bij een MKBA worden de kosten en baten voor de gehele maatschappij beschouwd. Uit
een dergelijke analyse zullen onder meer de transitiekosten blijken en de structurele
kosten en baten bij betrokken partijen. Op basis van de MKBA voor een aan te wijzen
gegevensuitwisseling zal worden beoordeeld of het noodzakelijk is om, bijvoorbeeld,
te komen tot vereffening van kosten en baten dan wel een oplossing voor de transitiekosten.
Overigens zal bij de aanwijzing van een gegevensuitwisseling bij AMvB in de nota van
toelichting uiteraard altijd ingegaan worden op de financiële gevolgen.
8.1.1 Lasten voor zorgaanbieders
De verplichting voor zorgaanbieders om in spoor 2 gebruik te maken van gecertificeerde
informatietechnologieproducten of -diensten, zal tot implementatiekosten en nalevingskosten
leiden. De kosten en baten zullen per gegevensuitwisseling verschillen en, zoals hiervoor
besproken, vooraf in kaart worden gebracht. Hierbij zal uiteraard per gegevensuitwisseling
rekening worden gehouden met de grote diversiteit binnen het zorgveld. Het zorgveld
strekt zich uit van academische ziekenhuizen tot solistisch werkende zorgverleners.
Wel is belangrijk om te vermelden dat het uitgangspunt is dat de (investerings)kosten
voor de implementatie van de wettelijk verplichte gegevensuitwisseling worden opgebracht
uit de bedrijfsvoeringsmiddelen van de zorgaanbieders.
Gezien de aard van het wetsvoorstel is in de fase van beleidsontwikkeling een bedrijfseffectentoets
(hierna: BET) uitgevoerd. Uit de BET volgt dat zorgaanbieders te maken krijgen met
eenmalige effecten en structurele effecten.
Eenmalige effecten waar zorgaanbieders mee te maken krijgen zijn:
– kosten voor kennisname van de nieuwe regelgeving;
– kosten voor het eventueel zoeken naar en aanschaffen van nieuwe informatietechnologieproducten
en -diensten als de bestaande informatietechnologieproducten of -diensten niet voldoen;
– kosten voor aanpassing van bestaande dossiervoering, communicatie en werkprocessen;
– kosten voor het opleiden van zorgverleners om te kunnen werken met nieuwe of aangepaste
informatietechnologieproducten en -diensten; en
– kosten voor het implementeren van nieuwe informatietechnologieproducten en -diensten.
De kosten en baten hiervan zullen per te verplichten gegevensuitwisseling en per organisatie
verschillen.
Structurele effecten waar zorgaanbieders mee te maken krijgen zijn:
– voldoen aan de eisen die mogelijk gaan gelden voor zorgaanbieders. In de nog op te
stellen normen kunnen namelijk ook verplichtingen worden opgelegd aan de zorgaanbieders;
– toezien dat bij aangewezen gegevensuitwisselingen het uitwisselen van gegevens door
zorgverleners elektronisch en volgens de daarvoor geldende eisen plaatsvinden. Hiertoe
zullen zij naar verwachting periodiek controles uitvoeren bij zorgverleners; en
– toename in beheerkosten (bijvoorbeeld door stijgende kosten van licenties).
Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen, moet duidelijk zijn om
welke gegevens het gaat. Daarbij zal het vaak van belang zijn om te kunnen verwijzen
naar een of meer kwaliteitsstandaarden. Een mogelijk effect van het wetsvoorstel is
dat bij het ontbreken van een kwaliteitsstandaard deze alsnog dient te worden opgesteld.
Daarnaast is bekend dat in de thans bestaande kwaliteitsstandaarden niet in alle gevallen
een beschrijving van het «wat» aanwezig is die ook zal moeten worden opgesteld. Dit
brengt lasten mee voor partijen die de kwaliteitsstandaarden opstellen.
Een ander mogelijk effect van het wetsvoorstel is gelegen in het onderscheid tussen
aanwijzing in spoor 1 dan wel spoor 2. Zoals eerder toegelicht wordt onder aanwijzing
in spoor 1 voor een gegevensuitwisseling in eerste instantie alleen de verplichting
opgelegd om gegevens langs elektronische weg uit te wisselen. Wanneer een gegevensuitwisseling
is aangewezen in spoor 1, bestaat bij het veld de ambitie om uiteindelijk de stap
te zetten naar een aanwijzing in spoor 2.
Het uiteindelijk doel zal steeds spoor 2 zijn, omdat alleen dan volledige interoperabiliteit
bereikt zal gaan worden.
Om het risico op desinvestering te beperken, zal bij een aanwijzing in spoor 1 zoveel
mogelijk worden geborgd dat eventueel opgelegde eisen geen belemmering vormen in een
overgang naar spoor 2. Het risico op desinvestering wordt ook beperkt doordat zorgaanbieders
vertegenwoordigd zijn bij het opstellen van de NEN-norm voor spoor 2. De verwachting
is dat door een aanwijzing in spoor 1 de ontwikkelingen in die gegevensuitwisseling
versnellen. Daar waar op het moment van aanwijzen van de gegevensuitwisseling in spoor
1 nog onvoldoende aanknopingspunten waren om over te gaan tot de ontwikkeling van
een NEN-norm, wordt verwacht dat door het elektronisch uitwisselen van gegevens de
noodzaak om te komen tot een interoperabele uitwisseling zal toenemen. Door het elektronisch
uitwisselen van de gegevens zullen sneller de knelpunten naar voren komen, die via
een normeringstraject een oplossing zouden moeten krijgen. Doordat zorgaanbieders
betrokken worden bij het normeringstraject kunnen ze verzekeren dat eventuele (technische)
keuzes die gemaakt zijn bij een spoor 1 aanwijzing, meegewogen worden in de NEN-norm.
Het risico voor desinvestering wordt ook beperkt doordat functies die in veel specifieke
gegevensuitwisselingen voorkomen, zoals identificatie en autorisatie van de zorgverlener,
afzonderlijk worden of naar verwachting zullen worden genormeerd in NEN-normen voor
generieke functies. Investeringen in oplossingen voor deze generieke functies kunnen
daardoor worden hergebruikt in veel specifieke gegevensuitwisselingen.
In de nota van toelichting bij de AMvB waarin een gegevensuitwisseling in spoor 1
wordt aangewezen, zal steeds nadrukkelijk aandacht worden geschonken aan eventuele
risico’s inzake desinvestering.
Aangezien bij het veld de ambitie zal bestaan om te komen tot een spoor 2 aanwijzing,
is de verwachting dat het veld zelf aan de slag gaat met de normalisatie van eisen
die gesteld worden aan taal en techniek. Het is van belang dat alle betrokken partijen
kunnen participeren in de totstandkoming van de NEN-norm per gegevensuitwisseling.
Dit is geborgd door de werkwijze van NEN. In de NEN-normwerkgroepen worden immers
alle belanghebbenden betrokken bij het opstellen van de eisen aan taal en techniek,
zoals die gelden bij een aanwijzing in spoor 2. Het effect van deze werkwijze is dat
het een tijdsinvestering van het zorgveld zal vergen om de NEN-norm te ontwikkelen.
Het wetsvoorstel heeft potentieel ook structurele positieve financiële effecten voor
zorgaanbieders. Wanneer de wetgeving haar doel bereikt en de zorgverleners beschikken
over adequate, actuele en uniforme informatie op de juiste plek op het juiste moment,
dan zal dit een positief effect hebben op de regeldruk voor de zorgverleners. Zoals
in hoofdstuk 1 van deze memorie is toegelicht, verliezen de zorgverleners nu veel
tijd met (extra) administratieve handelingen, zoals door het overtypen van gegevens,
het fysiek overdragen van gegevens of met het achterhalen van ontbrekende gegevens.
Door minder tijd kwijt te zijn aan dit verzamelen en gereed maken van informatie voor
verzending, kan er meer (vaak kostbare) tijd besteed worden aan het verlenen van zorg.
Hierdoor kunnen bijvoorbeeld meer cliënten worden gezien, waardoor de kosten per cliënt
afnemen. Bovendien kan worden vermeden dat door gebrekkige gegevens de zorgverleners
onnodige, soms kostbare, onderzoeken (over) moeten doen. In paragraaf 2.1 van deze
memorie is aangeven dat jaarlijks meer dan 460.000 verpleegkundige overdrachten plaatsvinden
tussen zorgaanbieders en dat een verpleegkundige overdracht nu in totaal meer dan
4 uur kosten, omdat er tot 8 keer dezelfde informatie moet worden overgetypt.44 Uit een pilot in de regio Amsterdam bleek dat het elektronisch uitwisselen van gegevens
op basis van eenduidige afspraken tussen verpleegkundigen tot ruim twee uur tijdsbesparing
per overdracht kan opleveren.45
Bijkomend voordeel van dit wetsvoorstel is bovendien dat gegevens eenvoudiger kunnen
worden hergebruikt voor secundair gebruik (kwaliteitsaanleveringen en onderzoek),
wat ook het aantal administratieve handelingen beperkt.
Mocht daarnaast blijken dat bepaalde zorgaanbieders meer tijd en middelen nodig hebben
om te voldoen aan de eisen, dan kan zo nodig in de AMvB ervoor gekozen worden een
langere overgangstermijn aan te houden.
8.1.2 Lasten voor cliënten
Dit wetsvoorstel brengt geen lasten mee voor cliënten. Het wetsvoorstel richt zich
namelijk op de gegevensuitwisseling door middel van een elektronische infrastructuur
tussen zorgverleners over de cliënt. Het wetsvoorstel heeft wel positieve gevolgen
voor de cliënt. Niet alleen is de verwachting dat met dit wetsvoorstel het risico
op vermijdbare fouten merkbaar wordt verkleind, ook heeft dit wetsvoorstel positieve
effecten op de lasten van cliënten. Zo is het niet meer nodig dat gegevens bij een
opvolgende zorgverlener opnieuw moeten worden aangeleverd. Dit leidt tot de uitvraag
van minder (administratieve) gegevens en tot minder onnodige onderzoeken met mogelijk
verkeerde behandelingen tot gevolg. Omdat gegevens elektronisch beschikbaar worden,
kunnen deze bovendien makkelijker elektronisch worden uitgewisseld met de cliënt zelf.
Het gaat immers bij gegevensuitwisseling tussen zorgverleners vaak om dezelfde gegevens.
8.1.3 Lasten voor certificerende instellingen
Voor de certificerende instellingen bestaan de eenmalige lasten uit de kosten om zich
te laten accrediteren en aan te laten wijzen door de Minister. In paragraaf 3.4 is
al ingegaan op certificeringsproces.
Structurele kosten zijn:
– het onderhouden van de accreditatie en aanwijzing;
– het verrichten van steekproefsgewijze controles en administratieve audits door de
RvA; het beheer van certificatieschema’s.
8.1.4 Lasten voor aanbieders van informatietechnologieproducten of -diensten
Aanbieders van informatietechnologieproducten of -diensten zullen (initieel) extra
werk moeten verzetten en investeringen moeten doen om ervoor te zorgen dat de informatietechnologieproducten
of -diensten voldoen aan de eisen en dat er een certificaat kan worden aangevraagd
en toegekend.
Uit de hierboven genoemde BET volgt dat aanbieders van informatietechnologieproducten
of -diensten te maken krijgen met eenmalige effecten en structurele effecten.
Eenmalige effecten waar aanbieders van informatietechnologieproducten of -diensten
mee te maken krijgen zijn:
– kosten voor kennisname van de nieuwe regelgeving (waaronder de technische eisen die
gaan gelden);
– initiële kosten voor het aanvragen van een certificaat voor hun product of dienst.
Dit betreft kosten voor het aanschaffen van het certificaat zelf en voor het proces
om het certificaat te verkrijgen. Hoe hoog de kosten voor het certificeren van een
product zullen zijn, hangt af van het aantal aangewezen gegevensuitwisselingen dat
het product of de dienst ondersteunt en het aantal deelcertificaten dat nodig is voor
een certificaat;
– kosten om de producten en diensten inhoudelijk aan te passen of te ontwikkelen zodat
ze aansluiten op de eisen uit de norm en daarvoor een certificaat kan worden verkregen;
– kosten voor het opleiden van medewerkers om te kunnen werken volgens de nieuwe (technische)
eisen; en
– kosten voor de aanpassing van werkprocessen, het aanpassen en opstellen van handleidingen,
communicatie en informatie richting bestaande klanten.
De hoogte van de kosten voor het aanpassen van de informatietechnologieproducten en
-diensten zal per norm en per product of dienst verschillen. Dit omdat de aanpasbaarheid
van producten en diensten verschilt per aanbieder en product of dienst. Ook omdat
de normen kunnen verschillen in de impact op de techniek van een product of dienst.
Structurele effecten waar aanbieders van informatietechnologieproducten of -diensten
mee te maken krijgen zijn:
– periodiek hercertificeren om aan te tonen dat een informatietechnologieproduct of
-dienst nog steeds voldoet aan de gestelde eisen. De kosten hiervoor zullen naar verwachting
lager zijn dan de initiële kosten voor het certificeren van de producten en diensten;
– kosten van steekproefsgewijze controles en administratieve audits vanuit de certificerende
instellingen.
Een bijkomend positief effect van het wetsvoorstel is dat het voor aanbieders van
informatietechnologieproducten of -diensten eenvoudiger wordt om hun product of dienst
zonder aanpassingen te doen inpassen bij meerdere zorgaanbieders, in meerdere sectoren
en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer.
De kosten die aanbieders van informatietechnologieproducten of -diensten maken, zullen
zij naar verwachting grotendeels doorberekenen aan zorgaanbieders. Voor kleine aanbieders
van informatietechnologieproducten of -diensten betekent dit dat de prijs van de producten
en diensten waarschijnlijk meer zal stijgen ten opzichte van de grote aanbieders,
omdat zij minder klanten hebben waarover de gemaakte kosten verdeeld kunnen worden.
Zie ook paragraaf 8.2.1.
8.1.5 Lasten voor de overheid
Lasten normalisatie, ontwikkelen en beheer standaarden en lasten afkoop normen
Naar schatting zullen de totale kosten in het kader van normalisatie in de eerste
jaren ongeveer 1,5 miljoen euro per jaar bedragen. Dit zal met name bestaan uit:
– de kosten voor de ontwikkeling en de validatie van nieuwe normen en certificatieschema’s;
en
– de kosten voor het beheer en de overdracht van de auteursrechten aan de overheid van
de in opdracht ontwikkelde normen (ten behoeve van de openbare beschikbaarstelling
van deze normen).
De kosten voor het afkopen van de licentiekosten die verbonden zijn aan het gebruik
van de normen zullen de komende jaren toenemen naarmate er meer naar normen wordt
verwezen bij AMvB. Deze kosten zullen worden meegenomen in de begroting van het Ministerie
van VWS. Overigens is van een aantal normen de auteursrechten al overgenomen (NEN
7510, NEN 7512 en NEN 7513). De verwachting is dat bij AMvB naar deze normen zal worden
verwezen.
Lasten toezicht en handhaving
Onder hoofdstuk 7 inzake toezicht en handhaving is geduid dat de IGJ een belangrijke
rol gaat spelen in het toezicht (en gemandateerd de handhaving) van de plichten die
gaan gelden voor zorgaanbieders en eisen die gesteld worden aan informatietechnologieproducten
of -diensten.
Het toezicht op de plichten voor zorgaanbieders ligt in het verlengde van de taken
die de IGJ al heeft in het kader van de Wkkgz. De verwachting is daarom niet dat deze
taak veel (personele) effecten heeft voor de IGJ. Daarbij speelt mee dat een deel
van de taak wordt vergemakkelijkt doordat gewerkt wordt met gecertificeerde informatietechnologieproducten
of -diensten. Immers, wanneer een zorgaanbieder het certificaat toont, kan aangenomen
worden dat de zorgaanbieder gebruik maakt van een informatietechnologieproduct of
-dienst dat of die voldoet aan de eisen. De IGJ hoeft dan niet zelf het product of
de dienst te gaan beoordelen.
De effecten voor de IGJ zijn echter pas exact te bepalen, wanneer duidelijkheid is
over het toezichtsarrangement (bijvoorbeeld risico gestuurd, volgens een vaste cyclus,
thematisch46 of steekproefsgewijs). Hier wordt op dit moment nog over nagedacht. Afhankelijk van
het toezichtsarrangement waarvoor gekozen wordt, is er meer of minder effect op de
(personele) inzet van de IGJ. Bij de AMvB zal steeds worden ingegaan op de effecten
van deze taak voor de IGJ.
De IGJ gaat ook toezicht houden op de plicht voor informatietechnologieproducten of
-diensten om voorzien te zijn van een certificaat. Deze vorm van toezicht is nieuw
voor de IGJ. Dit betekent dat deze vorm van toezicht ingebed moet worden in de organisatie,
het personeel hiervoor opgeleid moet worden en meer personeel nodig is. De exacte
gevolgen van deze nieuwe taak is pas te bepalen wanneer er duidelijkheid is hoeveel
informatietechnologieproducten of -diensten zijn gecertificeerd. Dit wordt pas duidelijk
als een gegevensuitwisseling en de relevante eisen worden aangewezen bij AMvB. Bij
de AMvB zal dan ook steeds worden ingegaan op de effecten van deze taak voor de IGJ.
Lasten voor de rechtspraak
In de paragrafen 7.5 en 7.6 is weergegeven dat bezwaar kan worden ingediend tegen
besluiten van certificerende instellingen inzake het al dan niet verlenen van een
certificaat, besluiten van de RvA inzake het al dan niet accrediteren van een certificerende
instelling, besluiten van de Minister inzake het al dan niet aanwijzen van een certificerende
instelling en besluiten van de Minister om de duur van het gebruik van een ingetrokken
of geschorst certificaat te verlengen. Daarna kan beroep worden ingediend bij de bestuursrechter.
Daarnaast kan uiteraard bezwaar en beroep worden ingediend tegen handhavingsbesluiten.
Naar verwachting gaat het hierbij niet om grote aantallen zaken. De exacte gevolgen
zijn echter pas te bepalen wanneer een gegevensuitwisseling (met eisen) wordt aangewezen
bij AMvB. Pas dan is beter in te schatten hoeveel certificaten, aanwijzingen of accreditaties
verleend zullen worden. Bovendien is dan ook beter in te schatten hoeveel handhavingsbesluiten
verwacht worden. Hier kan immers een onderscheid zijn tussen de situatie dat de aanwijzing
van een gegevensuitwisseling een sluitstuk is van een bestaande ontwikkeling van het
veld (en het veld dus grotendeels al voldoet aan de eisen) en de situatie dat de aanwijzing
van een gegevensuitwisseling sturend is (en het veld grotendeels nog niet voldoet
aan de eisen). Bij de AMvB zal dan ook steeds worden ingegaan op de effecten voor
de rechtspraak.
Lasten voor decentrale overheden
Dit wetsvoorstel ziet op zorgaanbieders en leveranciers van informatietechnologieproducten
of -diensten. Decentrale overheden kunnen zorgaanbieders zijn in de zin van dit wetsvoorstel,
zoals in het geval van jeugdgezondheidszorg. Voor die gevallen geldt wat in paragraaf
8.1.1 is toegelicht.
Lasten voor Caribisch Nederland
Dit wetsvoorstel ziet niet op zorgaanbieders en leveranciers van informatietechnologieproducten
of -diensten in Caribisch Nederland. Voor het effectief elektronisch uitwisselen van
gegevens over cliënten tussen zorgverleners is een zekere schaalgrootte noodzakelijk.
Deze schaalgrootte is in Caribisch Nederland niet aanwezig. Er zijn daarom geen lasten
voor Caribisch Nederland.
8.2 Effecten op de markt en innovatie
8.2.1 Markt van informatietechnologieproducten of -diensten
Met dit wetsvoorstel wordt de marktwerking beperkt, doordat zorgaanbieders worden
verplicht om binnen de aangewezen gegevensuitwisselingen gebruik te maken van gecertificeerde
informatietechnologieproducten of -diensten (als voor die informatietechnologieproducten
of – diensten is bepaald dat ze voorzien moeten zijn van een certificaat) en het certificaat
voor een product of dienst alleen wordt verleend als voldaan is aan de eisen die opgenomen
zijn in een aangewezen norm. Het is immers niet langer voor elke aanbieder van informatietechnologieproducten
of -diensten mogelijk om deze producten of -diensten aan te bieden. In de paragrafen
4.4 en 4.5 van deze memorie is al toegelicht dat deze inbreuk op het vrij verkeer
van goederen en diensten gerechtvaardigd wordt geacht.
De verwachting is dat het wetsvoorstel twee negatieve effecten heeft op de markt:
– Hoewel in de normen zoveel mogelijk gebruik wordt gemaakt van (internationale) open
standaarden, kan dit wetsvoorstel ervoor zorgen dat aanbieders van informatietechnologieproducten
of -diensten maatwerkoplossingen zullen moeten ontwikkelen voor de Nederlandse markt.
Dit kan tot gevolg hebben dat aanbieders van informatietechnologieproducten of -diensten
ervoor kiezen om hun producten niet (langer) op de Nederlandse markt aan te bieden,
omdat ze liever willen investeren in schaalbare oplossingen.
– Kleine aanbieders van informatietechnologieproducten of -diensten kunnen de kosten
die zij moeten maken voor certificering en het aanpassen van hun producten of diensten
over minder klanten spreiden en zullen daarom op prijs niet gemakkelijk kunnen concurreren
met grote aanbieders. Dit kan ertoe leiden dat deze kleine aanbieders niet meer mee
kunnen doen op de markt.
De verwachting is dat het wetsvoorstel ook positieve effecten heeft op de marktwerking:
– Het stellen van eisen aan informatietechnologieproducten of -diensten beperkt naar
verwachting de afhankelijkheid van klanten van hun leverancier voor deze producten
en diensten, omdat ze beter in staat zijn om van leverancier te veranderen zonder
substantiële omschakelingskosten of ongemak. Ook leidt het stellen van eisen ertoe
dat producten en diensten volledig interoperabel worden. Dit maakt het voor aanbieders
van deze producten of diensten makkelijker om toe te treden tot de zorgmarkt. Het
wordt namelijk minder makkelijk om klanten en data af te schermen voor andere aanbieders,
zodat zorgaanbieders makkelijker over kunnen stappen naar een ander product of een
andere dienst. Doordat meer aanbieders informatietechnologieproducten of -diensten
op de zorgmarkt zullen komen, krijgen zorgaanbieders keuze tussen verschillende informatietechnologieproducten
of -diensten.
– De eisen die worden gesteld over het genormaliseerd uitwisselen van gegevens door
middel van een elektronische infrastructuur (aanwijzing in spoor 2), versterken de
marktwerking. Genormaliseerde eisen zien niet op eén specifieke elektronische infrastructuur.
Het gebruik van standaarden maakt ook dat een informatietechnologieproduct of -dienst
zonder grote aanpassingen bij veel zorgaanbieders bruikbaar is. Daarmee is het voor
aanbieders van informatietechnologieproducten of -diensten eenvoudiger om hun product
of dienst zonder aanpassingen te doen inpassen bij zorgaanbieders, in meerdere sectoren
en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer.
– Certificering versterkt de transparantie en daarmee de marktwerking. Het wordt namelijk
voor alle zorgaanbieders helder welke informatietechnologieproducten of -diensten
aantoonbaar voldoen aan de eisen. Dit maakt het beter mogelijk om producten te vergelijken.
Om de positieve effecten op de marktwerking te kunnen realiseren, is het van groot
belang dat ook kleine aanbieders van informatietechnologieproducten of -diensten en
potentiële nieuwe toetreders worden betrokken bij de ontwikkeling van de normen. Dit
is geborgd door de werkwijze van NEN (zie paragraaf 3.5.3). Zo zijn zij vroegtijdig
op de hoogte, zodat zij op tijd kunnen starten met het inbouwen van de normen in de
informatietechnologieproducten en -diensten, en kunnen zij invloed uitoefenen op de
ontwikkeling van de standaarden.
Voor aangewezen gegevensuitwisselingen zal uiteindelijk de verplichting gelden (aanwijzing
in spoor 2) dat deze op genormaliseerde wijze dienen plaats te vinden. Het kan zijn
dat normalisatie een dempend effect heeft op innovatie. Bijvoorbeeld als het gebruik
van een bepaald product wordt voorgeschreven hetgeen de ontwikkeling van een ander,
beter product kan belemmeren. Dit wordt ondervangen door de normen periodiek te herzien.
Zo kunnen innovatieve ontwikkelingen tijdig meegenomen worden. Bovendien kan normalisatie
ook indirect bijdragen aan innovatie. Normalisatie leidt namelijk tot volledige interoperabiliteit
die op zijn beurt kan bijdragen aan innovatie van primaire zorgprocessen. Daarnaast
dragen normen bij aan het ontstaan van een gelijk speelveld waarmee concurrentie en
daarmee innovatie worden bevorderd.
8.2.2 Arbeidsmarkt
Het wetsvoorstel kan effecten hebben op de werkgelegenheid en arbeidsvoorwaardenontwikkeling
in de zorg. In de huidige situatie heeft de zorgverlener, als gevolg van de gebrekkige
mogelijkheden tot elektronische uitwisseling, lang niet altijd de beschikking over
toereikende, juiste en actuele informatie. Gevolgen hiervan zijn bijvoorbeeld dat
gegevens meerdere keer opnieuw ingetypt moeten worden en dat onderzoeken onnodig moeten
worden herhaald. Hierdoor ontstaat er druk op de kwaliteit van de zorg en op de zorgkosten,
wat weer leidt tot negatieve beeldvorming over de zorg als arbeidsmarkt.
Doel van het wetsvoorstel is dat op den duur de kwaliteit van de zorg verder stijgt,
doordat er minder fouten worden gemaakt, minder tijd nodig is voor administratieve
handelingen en daarmee meer tijd overblijft voor de zorg voor de cliënt of de schaarse
capaciteit op een andere manier beter kan worden benut. Wanneer dit wordt gerealiseerd,
zal de beeldvorming over de zorg als arbeidsmarkt positief veranderen. Aangezien de
zorgsector kampt met tekorten aan personeel en de vraag naar voldoende opgeleid zorgpersoneel
de komende jaren naar verwachting alleen maar toeneemt, is de verwachting dat geen
banen komen te vervallen als gevolg van het automatiseren van werkzaamheden.
8.3 Effecten op de gegevensbescherming
In de fase van beleidsontwikkeling is een gegevensbeschermingseffectbeoordeling (data protection impact assessment, DPIA) uitgevoerd op dit wetsvoorstel.47
Hierin is meegenomen dat de systematiek van het wetsvoorstel zelf geen andere (nieuwe)
doeleinden of grondslagen creëert voor de verwerking van de uit te wisselen persoonsgegevens.
Het wetsvoorstel zal immers alleen betrekking hebben op de bij AMvB aan te wijzen
gegevensuitwisselingen, waarbij het doel van en de grondslag voor de verwerking van
persoonsgegevens al zijn bepaald in andere regelgeving, zoals reeds eerder is weergegeven
in paragraaf 2.3.3. Dat neemt niet weg dat wanneer volledige interoperabiliteit wordt
bereikt, de verandering in de gegevensuitwisseling voor cliënten merkbaar zal zijn.
Wanneer gegevens als gevolg van de interoperabiliteit elektronisch beschikbaar worden,
wordt het gemakkelijker om deze gegevens te raadplegen, te bewerken en te bewaren,
ook op meer systematische wijze en in grotere hoeveelheden. Daarmee beoogt het wetsvoorstel
de slagkracht van de gegevensuitwisseling en -verwerking te vergroten. Dit betekent
echter ook dat eventuele fouten, dan wel onjuiste of onbevoegde gegevensuitwisseling
voor cliënten, grotere gevolgen kunnen hebben. Een van de richtinggevende kaders die
zullen worden meegegeven bij de opdracht om een NEN-norm op te stellen zal zijn dat
het mogelijk moet zijn om onjuist ingevoerde gegevens (met terugwerkende kracht) te
kunnen wijzigen om te voorkomen dat dergelijke foutieve gegevens verderop in de keten
gebruikt blijven worden.
Ook is in de DPIA meegenomen dat het wetsvoorstel geen verandering aanbrengt in de
rechten van betrokkenen die voortvloeien uit de reeds geldende wetgeving in het zorgdomein.
Zo zijn bijvoorbeeld de AVG, de WGBO en de Wabvpz onverkort van toepassing. Volledigheidshalve
wordt over de verhouding tussen de AVG en de genoemde wetten opgemerkt dat de AVG
voorrang heeft daar waar deze verder gaat in de bescherming van persoonsgegevens dan
de Wabvpz en de WGBO.
Het wetsvoorstel laat dus onverlet dat zorgaanbieders als «verwerkingsverantwoordelijken»
op grond van de AVG gebonden zijn aan de beginselen van, onder andere, rechtmatigheid,
dataminimalisatie, juistheid, integriteit en vertrouwelijkheid. Uit de systematiek
van het wetsvoorstel volgt evenwel dat, voor zover de beginselen uit de AVG betrekking
hebben op informatietechnologieproducten en -diensten, de zorgaanbieder door de aanschaf
van een gecertificeerd informatietechnologieproduct of -dienst het aannemelijk mag
achten dat aan de AVG wordt voldaan. Dat dit ook daadwerkelijk aannemelijk is, wordt
bewerkstelligd door dit bij de ontwikkeling van een NEN-norm als richtinggevend kader
mee te geven. Hierdoor wordt bijvoorbeeld verzekerd dat de leverancier zich houdt
aan de verplichting om volgens principes van privacy by design te werken.
Ook zal als richtinggevend kader worden meegegeven dat de NEN-norm moet verzekeren
dat een cliënt zijn rechten onder de AVG kan effectueren. Dit leidt er toe dat bij
het ontwikkelen van NEN-normen niet alleen nagegaan wordt of de normen voldoen aan
de beginselen van de AVG, maar ook aandacht wordt geschonken aan de wijze waarop betrokkenen
hun rechten, zoals neergelegd in de AVG kunnen uitoefenen.
Overigens heeft de zorgaanbieder los van deze NEN-normen een eigen verantwoordelijkheid
om betrokkenen in staat te stellen om hun rechten uit te oefenen.
Het bovenstaande laat onverlet dan een zorgaanbieder aanvullende contractueel kan
bedingen dat informatietechnologieproducten of -diensten voldoen aan de AVG eisen
en dat het product of de dienst het mogelijk maakt dat de cliënt zijn rechten kan
effectueren. Dit geldt ook voor eventuele andere wensen die niet direct uit de AVG
voortvloeien, maar wel positieve effecten kunnen hebben op het gemak waarmee de eisen
uit de AVG kunnen worden nageleefd.
Het wetsvoorstel laat dus ook onverlet dat betrokkenen hun rechten kunnen uitoefenen
bij elke verwerkingsverantwoordelijke die hun persoonsgegevens verwerkt. Indien persoonsgegevens
van een cliënt tussen zorgaanbieders onderling worden uitgewisseld, kan de cliënt
dus bij beide zorgaanbieders – bijvoorbeeld – zijn recht op inzage uitoefenen op basis
van artikel 7:456 van het BW in samenhang met artikelen 12 en 15 van de AVG. Ook kunnen
cliënten bij beide zorgaanbieders een elektronische inzage en een elektronische kopie
van hun dossier opvragen op basis van artikel 15d, eerste lid, van de Wabvpz in samenhang
met de artikelen 12 en 15 van de AVG. De verwerkingsverantwoordelijken (zorgaanbieders),
die in het kader van dit wetsvoorstel gegevens uitwisselen door middel van een elektronische
infrastructuur, blijven ook verplicht om cliënten te informeren over onder meer de
doeleinden van de verwerking, de rechten die cliënten in het kader van de verwerking
van hun persoonsgegevens toekomen en de wijze waarop zij deze rechten kunnen uitoefenen.
Dit recht op informatie van cliënten vloeit voort uit de artikel 15c, eerste lid,
van de Wabvpz in samenhang met de artikelen 13 en 14 van de AVG.
De AVG brengt verder met zich dat bij elke uitwisseling in het kader van dit wetsvoorstel
moet worden nagegaan welke persoonsgegevens noodzakelijk zijn om uit te wisselen gelet
op de doeleinden van de uitwisseling. Als binnen het bestaande wettelijke kader geen
grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens, kan deze
niet plaatsvinden. Immers het wetsvoorstel biedt geen grondslag als bedoeld in artikel
6, eerste lid, van de AVG om het verwerken van persoonsgegevens mogelijk te maken.
Al bij de ontwikkeling van NEN-normen, waarin de eisen aan taal en techniek zijn opgenomen,
moet worden nagegaan of met de desbetreffende NEN-norm – ten minste – uitdrukking
wordt gegeven aan de vereisten ingevolge de AVG, bijvoorbeeld op het gebied van de
beveiliging van persoonsgegevens (opgenomen in onder meer artikel 32 van de AVG).
Bij AMvB worden gegevensuitwisselingen aangewezen. Bij elke aanwijzing zal steeds
worden toegelicht op welke wijze in de praktijk zal worden voorzien hoe cliënten worden
geïnformeerd over de gevolgen die het elektronisch uitwisselen van gegevens voor hen
heeft. Hierbij zal aandacht worden besteed aan de manier waarop cliënten in een interoperabel
systeem hun dossier in kunnen zien, hun gegevens kunnen controleren en eventuele fouten
kunnen herstellen en bij wie ze daarvoor terecht kunnen.
8.4 Fraude
De precieze gevolgen van dit wetsvoorstel zijn vooral verbonden aan de AMvB, waarbij
gegevensuitwisselingen worden aangewezen. Bij elke (aanpassing van de) AMvB zal steeds
ingegaan worden op de fraudegevoeligheid van de regelgeving. In deze paragraaf zal
om die reden alleen in algemene zin worden ingegaan op fraudegevoeligheid.
De mogelijkheden tot fraude zullen niet toenemen door dit wetsvoorstel. Ook in termen
van fraudemogelijkheden in de bekostiging van het stelsel van (te ontwikkelen) normen
en de implementatie daarvan is niet voorzienbaar dat hier een wezenlijk andere situatie
kan ontstaan dan in de huidige.
Wel moet opgemerkt worden dat, omdat dit wetsvoorstel het uitwisselen van gegevens
via een elektronische infrastructuur tussen zorgverleners beoogt te stimuleren, de
impact van bijvoorbeeld identiteitsfraude of fouten in zorgregistraties kan worden
versterkt. Wat nu nog een geïsoleerde fout kan zijn, kan gaan doorwerken in ketens
van de zorgverleners. Het is aan de zorgaanbieder en de zorgverlener als directe behandelaar
om te controleren of de gegevens juist en actueel zijn, zoals dat overigens ook bij
andere vormen van gegevensuitwisseling noodzakelijk is.
9. Advies en consultatie48
9.1 Toezicht- en handhaafbaarheidstoets IGJ
Op 18 juni 2020 heeft de IGJ een toezicht- en handhaafbaarheidstoets inzake het wetsvoorstel
uitgebracht. De IGJ concludeert dat aanpassing, dan wel aanscherping van het wetsvoorstel
op enkele onderdelen noodzakelijk is om op een goede manier te kunnen handhaven. De
opmerkingen van de IGJ hebben geleid tot aanpassingen van de definitie van het begrip
«informatietechnologieproduct of -dienst», artikelen 1.2 en 1.4, eerste lid, aanhef
en onderdeel b, onder 1° (oud, vernummerd tot 1.4, tweede lid, onder a). Voorts is
in de memorie van toelichting verduidelijkt dat het wetsvoorstel ook betrekking heeft
op het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen
zorgverleners onderling (al dan niet binnen een zorgaanbieder), binnen en tussen de
zorgdomeinen (paragraaf 2.3), is de samenhang met de Wabvpz toegelicht (paragraaf
5.2) en is het onderscheid tussen de aanwijzing in spoor 1 dan wel spoor 2 verhelderd
(paragrafen 3.4.1 en 3.4.2). Daarnaast is de beoogde rol van de IGJ met betrekking
tot het stelseltoezicht op de certificerende instellingen en het toezicht op de zorgaanbieders
in aanwijzing in spoor 1 verduidelijkt (paragraaf 7.3). Hierover wordt nog opgemerkt
dat, gelet op het terughoudende karakter van het stelseltoezicht, geen reguliere controles
door de IGJ plaatsvinden om na te gaan of de certificerende instellingen nog aan de
eisen voor aanwijzing voldoen. Gelet op het stelsel, waarin de certificerende instellingen
beoordelen of informatietechnologieproducten of -diensten voldoen aan de hieraan gestelde
eisen, past bij het toezicht ook niet dat de IGJ toezicht houdt op naleving van de
norm op het niveau van taal en techniek. De IGJ heeft nog verzocht om de mogelijkheid
van een tijdelijke ontheffing van de certificeringsplicht in het geval een certificaat
wordt ingetrokken. Hier is echter niet voor gekozen. Wanneer een certificaat is geschorst
of ingetrokken voorziet het wetsvoorstel erin dat een informatietechnologieproduct- of dienst voor de duur van zes maanden kan worden gebruikt in een aangewezen
gegevensuitwisseling (artikel 3.6, derde lid). Wanneer blijkt (uit onder meer de informatie
die de IGJ verstrekt) dat de zesmaandentermijn onredelijk kort is, kan de Minister
de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de
-dienst verlengen (artikel 3.6, vierde lid). Aan dit besluit tot verlenging kan de
Minister voorwaarden verbinden. Hiermee wordt de zorgaanbieder in de gelegenheid gesteld
om over te stappen op een ander informatietechnologieproduct of -dienst. Op deze wijze
is geborgd dat zo kort mogelijk gebruik wordt gemaakt van een informatietechnologieproduct
of -dienst die of dat niet voldoet aan de eisen, zodat interoperabiliteit geborgd
blijft.
9.2 Uitvoering- en handhaafbaarheidstoets Nederlandse Zorgautoriteit (NZa)
In de uitvoering- en handhaafbaarheidstoets van de NZa wordt de noodzaak onderschreven
van het wetsvoorstel en wordt het voorstel van harte ondersteund. Wel maakt de NZa
enkele opmerkingen over de mogelijke stijging van de zorgkosten. Ook geeft de NZa
aan op verschillende momenten in het proces bij de totstandkoming van de AMvB’s betrokken
te willen worden. Daarnaast geeft de NZa aan het onwenselijk te vinden als in verschillende
regelgeving voor het registreren van gegevens homoniemen, synoniemen of registratie
op verschillende niveaus wordt voorgeschreven en adviseert de NZa te betrekken bij
het opstellen van kwaliteitsstandaarden en NEN-normen.
Naar aanleiding van de reactie van de NZa wordt opgemerkt dat voor iedere concept-AMvB
die op basis van dit wetsvoorstel wordt opgesteld, een uitvoerbaarheid- en handhaafbaarheidstoets
zal worden gevraagd. Hierin wordt de NZa uitgenodigd aan te geven in hoeverre de voorgenomen
regelgeving uitvoerbaar is voor de NZa. Dit sluit aan bij de reguliere procedures
rond nieuwe regelgeving die de taken en bevoegdheden van de NZa raken. Bij elke AMvB
wordt een financiële paragraaf opgenomen, waarin de financiële gevolgen en de bekostiging
worden beschreven die voortvloeien uit de voorgenomen AMvB. Waar nodig zal daarover
in overleg getreden worden met de NZa.
Het ontwikkelen van eenheid van taal en techniek is niet eenvoudig. In de te ontwikkelen
AMvB’s zal worden verwezen naar kwaliteitsstandaarden of naar wet- en regelgeving
en zal, bij een aanwijzing in spoor 2, waarin de aangewezen gegevensuitwisseling verplicht
wordt gesteld, een specifieke norm aanwezig zijn. De verantwoordelijkheid om bij nieuwe
ontwikkelingen rekening te houden met bestaande kwaliteitsstandaarden is daarmee een
verantwoordelijkheid van het veld (NEN-normen) en het Zorginstituut (kwaliteitsstandaarden).
Voor de NZa wordt geen aanvullende rol voorzien.
9.3 Toets Zorginstituut Nederland (Zorginstituut)
Het Zorginstituut heeft op het gebied van kwaliteit als hoofdtaken het bevorderen
van de kwaliteit van zorg en het transparant maken van de kwaliteit van de geleverde
zorg. Hiervoor heeft het Zorginstituut een aantal instrumenten ter beschikking, waaronder
het stimuleren van de ontwikkeling van kwaliteitsstandaarden en bijbehorende meetinstrumenten.
Het wetsvoorstel legt de verbinding tussen een te verplichten gegevensuitwisseling
tussen zorgverleners en de kwaliteitsstandaarden in het Openbare Register. Zie in
dit verband paragraaf 2.3.3.
In zijn reactie op het wetsvoorstel geeft het Zorginstituut aan de toegekende rol
passend te vinden bij de wettelijke taak die het Zorginstituut al heeft. Het Zorginstituut
omarmt de maatregelen om in de zorg elektronische gegevensuitwisseling te bevorderen
en zal zoveel mogelijk ondersteunen bij het bereiken van dit doel. Het Zorginstituut
legt in zijn reactie de nadruk op de verbondenheid van het «wat», de informatieparagraaf
in de kwaliteitsstandaard en het «hoe» zoals beschreven wordt in de NEN-norm en wil
een meer actievere, verbindende rol spelen. Gelet op de noodzaak van een (blijvende)
goede aansluiting van de op grond van een AMvB verplichte NEN-norm(en) op kwaliteitsstandaard(en),
is in het wetsvoorstel voorzien in een wijziging van de Wkkgz door artikel 11k toe
te voegen. Het Zorginstituut zal daarmee de taak worden toebedeeld om bij wijzigingen
in een kwaliteitsstandaard die van invloed zijn op een wettelijke gegevensuitwisseling
de Minister te informeren.
9.4 Toets Adviescollege toetsing regeldruk (ATR)
Het conceptwetsvoorstel is voor advies voorgelegd aan het Adviescollege toetsing regeldruk
(hierna: ATR). De ATR heeft het wetsvoorstel getoetst op nut en noodzaak (namelijk
of er een taak is voor de overheid en of regelgeving het meest aangewezen instrument
is), de mogelijkheid van minder belastende alternatieven, of de uitvoeringswijze werkbaar
is voor de doelgroepen die de wetgeving moeten naleven, en of de gevolgen voor de
regeldruk volledig en juist in beeld zijn gebracht. De ATR komt samengevat met de
volgende adviezen:
– Nut en noodzaak: Het college onderschrijft nut en noodzaak van het zetten van stappen
naar regie in de uitwisseling van gegevens via een elektronische infrastructuur en
deze zijn toereikend beschreven.
– Werkbare uitvoeringswijze: De keuze voor een kaderwet – als instrument – is volgens
het college passend. De toelichting op het wetsvoorstel geeft het college op het punt
van minder belastende alternatieven geen aanleiding tot opmerkingen.
– Werkbare uitvoeringswijze: Het verdient volgens het college aanbeveling ook expliciet
te kijken naar de werkbaarheid voor zorgaanbieders, zorgverleners en leveranciers
en de effecten voor hun regeldruk (administratieve lasten en inhoudelijke nalevingskosten).
Ook adviseert het college in de toelichting inzicht te bieden in de termijn waarbinnen
de voorgestane wijze van gegevensuitwisseling in de zorg klaar moet zijn (de einddatum),
een concretisering van de doelen (betere kwaliteit van de zorg, meer cliëntveiligheid
en minder regeldruk) en de monitoring van voortgang en resultaten.
– Gevolgen regeldruk: Het college adviseert om de regeldrukparagraaf aan te vullen met
een beschrijving van de regeldrukeffecten voor burgers (cliënten) en de opstellers
van professionele en kwaliteitsstandaarden.
Het advies van het college is om het wetsvoorstel in te dienen, nadat met de adviespunten
rekening is gehouden.
De adviezen van ATR hebben geleid tot de volgende aanpassingen in deze memorie van
toelichting:
– In hoofdstuk 8 worden de effecten van het wetsvoorstel beschreven. Deze komen overeen
met de uitgevoerde BET.
– Paragraaf 8.1.1 aangevuld met de effecten voor de opstellers van kwaliteitsstandaarden.
– In paragraaf 10.1 is toegelicht dat de werking van de wet wordt geëvalueerd.
– In paragraaf 10.2 is beschreven welke stappen gezet moeten worden voordat een AMvB
in werking kan treden. Een volwassenheidsscan moet inzicht bieden welke overgangs-
en implementatietermijnen in de AMvB opgenomen kunnen gaan worden.
– Omdat pas bij het aanwijzen van een gegevensuitwisseling bij AMvB inzichtelijk wordt
wat de gevolgen zijn voor de regeldruk, zal bij de totstandkoming van de AMvB in dit
kader aan de ATR worden gevraagd de regeldruk per gegevensuitwisseling te toetsen.
9.5 Toets Vereniging Nederlandse Gemeenten (VNG)
De Vereniging Nederlandse Gemeenten (hierna: VNG) acht de uitvoeringseffecten voor
gemeenten in eerste aanleg niet groot. Daarom voorziet zij geen belemmeringen voor
de uitvoering. Omdat de effectuering later verder zal worden geconcretiseerd in de
vorm van één of meerdere AMvB’s wil de VNG graag betrokken blijven bij de verdere
ontwikkelingen en de implementatie, en bieden daarbij ondersteuning aan.
Een aantal aandachtspunten die worden genoemd:
– Deze kaderwet lijkt te zijn gedomineerd door de Curatieve Zorg, maar tegelijkertijd
heeft deze ook gevolgen voor gemeenten. Gemeenten in de rol van zorgaanbieder (bijvoorbeeld
in de jeugdgezondheidszorg) en in relatie tot andere wetgeving, zoals de Wvggz. Ook
aanbestedingen van gemeenten zullen hierdoor beïnvloed worden. Via gemeenten en zorginstellingen
zal de wet ook grote invloed hebben op burgers. De VNG vraagt meer aandacht voor het
«burgerperspectief.» De VNG werkt ook graag mee aan de uitvoering van een MKBA.
– Dit aandachtspunt is deels verwerkt door in de extra ingevoegde paragraaf 8.1.2 de
lasten voor cliënten te beschrijven. Per aangewezen gegevensuitwisseling zal het burgerperspectief
(impact op de burger en de gemeente) worden meegenomen en zal de VNG gevraagd worden
een uitvoeringstoets te doen.
– Uitwisseling buiten de zorgdomeinen: gemeenten hebben directe bemoeienis met de Wet
maatschappelijke ondersteuning en de Jeugdwet, maar ook met de Wet Langdurige Zorg
en maatschappelijke ondersteuning, pleegzorg en mantelzorg. De VNG wil graag nu al
een integrale benadering en denkt daar graag over mee als belangrijke partner.
– Voor het wetsvoorstel is de bewuste keuze gemaakt om te starten met uitwisseling binnen-
en tussen de zorgdomeinen om het beheersbaar te houden. Dat zal niet wijzigen. Het
is echter van belang om al op korte termijn de afstemming te gaan zoeken met de VNG
als het gaat om een integrale benadering, aangezien het uitdrukkelijk de bedoeling
is dat het wetsvoorstel in een later stadium verder zal worden uitgebouwd.
– De VNG is het ermee eens dat het wetsvoorstel niet ziet op uitwisseling met cliënten.
Maar wil wel graag meer aandacht in de memorie van toelichting als het gaat om de
mogelijkheden en rechten die de burger heeft om zijn dan wel haar medisch dossier
in te zien en hoe dit (beter) gefaciliteerd kan worden. Dit is verder verduidelijkt
in hoofdstuk 5 en paragraaf 8.3. De rechten van betrokkenen die voortvloeien uit de
AVG, WGBO en de Wabvpz zijn onverminderd van toepassing. Echter, een analyse over
hoe dit in de praktijk beter gefaciliteerd kan worden, valt niet binnen het bereik
van dit wetsvoorstel.
– Verder vraagt de VNG nadrukkelijk aandacht voor privacy en beveiliging en voor de
proportionaliteit en doelbinding bij de verwerking van bijzondere persoonsgegevens,
zoals levensovertuiging in het kader van gegevens over «cliëntcontext». In paragraaf
8.3 van de memorie van toelichting is aandacht besteed aan de effecten op de gegevensbescherming.
Hierbij is onder meer geconstateerd dat de AVG onverkort van toepassing is
– Als het gaat om het betreden van een woning zonder toestemming van de bewoner wil
de VNG graag in gesprek over deze vergaande bevoegdheid. Onder andere wil men weten
op welke «woningen» de bevoegdheden betrekking hebben. In reactie hierop wordt opgemerkt
dat in artikel 4.1, tweede lid, van het wetsvoorstel nadrukkelijk is bepaald dat het
betreden van woningen alleen mogelijk is voor zover deze deel uitmaken van een bouwkundige
voorziening voor het verlenen van zorg.
9.6 Toets Autoriteit Persoonsgegevens (AP)
De AP heeft bij brief van 30 juli 2020 haar advies gegeven over het wetsvoorstel.
De AP heeft bezwaar tegen het concept en adviseert de procedure niet voort te zetten,
tenzij het bezwaar is weggenomen.
Hierna wordt op hoofdlijnen ingegaan op het advies van de AP. De toelichting is naar
aanleiding van het advies van de AP op meerdere punten aangepast en nader gemotiveerd.
Voor zover het advies van de AP niet is overgenomen, is dit nader toegelicht.
1. De voorgestelde wettekst laat te veel ruimte voor twijfel over de vraag of het alleen
verplicht tot uitwisselen door middel van een elektronische infrastructuur of (ook)
tot het uitwisselen als zodanig. De AP adviseert de wettekst zo aan te passen dat
de intentie van het wetsvoorstel volstrekt helder wordt.
In reactie hierop is in paragraaf 2.2.1 van deze memorie expliciet gemaakt dat het
wetsvoorstel niet verplicht tot het uitwisselen van gegevens maar als er gegevens
worden uitgewisseld, dit door middel van een elektronische infrastructuur dient plaats
te vinden.
2. Ervan uitgaand dat het wetsvoorstel uitsluitend verplicht tot het uitwisselen door
middel van een elektronische infrastructuur, is er een risico dat de zorgverlener
in een feitelijke dwangpositie komt die zijn beroepsgeheim kan aantasten. De AP adviseert
dit risico te adresseren in de memorie van toelichting en daarbij zo nodig aan te
geven welke maatregelen worden voorzien om dit te voorkomen.
Het door de AP gesignaleerde risico wordt niet herkend. Welke gegevens nodig zijn
als onderdeel van de goede zorg wordt bepaald door de zorgprofessionals en zullen
zijn neergelegd in kwaliteitsstandaarden of in wet- en regelgeving. Op grond van de
Wkkgz handelen zorgverleners overeenkomstig deze kwaliteitsstandaarden. Dat laat onverlet
dat in het concrete geval de zorgverlener altijd nog zelf een afweging dient te maken
welke gegevens noodzakelijk zijn in het kader van de behandeling. De zorgverlener
maakt in een concreet geval zelf de afweging of en welke gegevens moeten worden uitgewisseld
voor het leveren van goede zorg in die specifieke situatie en passend bij de behoeften
van de individuele cliënt. Het voorgaande brengt met zich dat een zorgverlener in
het concrete geval altijd nog zelf een afweging dient te maken of een doorbreking
van het medisch beroepsgeheim aangewezen is en zelf het laatste woord heeft welke
gegevens worden uitgewisseld. Het voorgaande is toegelicht in paragraaf 2.3.3.
3. De wettelijke beveiligingsnormen in de zorg zijn straks niet meer eenduidig terug
te vinden in het Besluit elektronische gegevensverwerking in de zorg (hierna: Begiz)
maar ook in de diverse op het wetsvoorstel gebaseerde AMvB’s. Uit oogpunt van kenbaarheid,
samenhang en eenduidigheid adviseert de AP alle beveiligingseisen te concentreren
in één wettelijke regeling.
Met de AP is de Minister van mening dat eenduidigheid van wettelijke beveiligingsnormen
belangrijk is. Concentratie van beveiligingseisen in één wettelijke regeling achten
we echter niet noodzakelijk. Immers, het beveiligingsregime in de zorg is reeds genormaliseerd
(NEN 7510, NEN 7512 en NEN 7513). Deze normen sluiten aan bij de algemene eisen van
de AVG. De Begiz verwijst ook naar deze normen. Door in de nog op te stellen NEN-normen
in spoor 2 geen aparte beveiligingseisen op te nemen maar te verwijzen naar bestaande
en binnen de zorg toegepaste beveiligingsnormen, wordt een (potentiële) wildgroei
van beveiligingsnormen voorkomen.
4. De AP adviseert de delegatie van regelgevende bevoegdheid in artikel 1.3 concreter
en nauwkeuriger te begrenzen. De begrenzing tot het doel als omschreven in artikel
1.2, eerste lid: «goede zorg als bedoeld in artikel 2, tweede lid, van de Wet kwaliteit,
klachten en geschillen zorg» acht de AP onvoldoende concreet en nauwkeurig.
Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats omdat het
wetsvoorstel geen nieuwe grondslagen creëert voor de verwerking van persoonsgegevens.
In de tweede plaats omdat wat onder goede zorg moet worden verstaan is omschreven
in artikel 2 Wkkgz. Voor zover dit geen concrete en nauwkeurige begrenzing biedt,
vindt deze plaats in de kwaliteitsstandaarden die door het veld worden opgesteld.
In deze standaarden wordt immers vastgelegd welke (bijzondere) persoonsgegevens in
het kader van goede zorg nodig zijn.
9.7 Raad voor Rechtsbijstand
Op 14 januari 2021 heeft de Raad voor Rechtsbijstand (RvR) een advies uitgebracht
op het wetsvoorstel. Aangezien een groot gedeelte van de zorgaanbieders is uitgesloten
van gesubsidieerde rechtsbijstand, verwacht de RvR dat slechts een zeer gering aantal
zorgaanbieders in aanmerking zal kunnen komen voor gesubsidieerde rechtsbijstand.
Verder verwacht de RvR gezien de memorie van toelichting waarin al is aangegeven dat
het niet om grote aantallen zaken gaat, dan ook dat het effect van het wetsvoorstel
op de gesubsidieerde rechtsbijstand gering zal zijn.
De RvR heeft eveneens een taak om te voorzien in het organiseren van rechtsbijstand
in piketzaken. In het kader van de piketmeldingen worden medische gegevens uitgewisseld.
Aangezien het wetsvoorstel ziet op het op elektronische wijze uitwisselen van gegevens
tussen zorgverleners en niet op de elektronische gegevens uitwisseling buiten de zorgdomeinen,
gaat de RvR ervan uit dat het wetsvoorstel geen gevolgen heeft voor deze gegevensuitwisseling.
Als de ontvanger van de medische gegevens in piketzaken inderdaad geen zorgverlener
is, is deze aanname juist.
Het advies van de RvR heeft verder niet geleid tot aanpassing van het wetsvoorstel
of memorie van toelichting.
9.8 Raad voor de rechtspraak
Op 20 januari 2021 heeft de Raad voor de rechtspraak (Rvdr) een advies uitgebracht
op het wetsvoorstel. Dit wetsvoorstel leidt volgens de Rvdr tot diverse beroepen tegen
besluiten van onder andere de certificerende instellingen en de Minister. Daarnaast
kan beroep worden ingesteld tegen een handhavingsbesluit, de Rvdr verwacht dat het
in de praktijk tot weinig beroepszaken zal komen.
Verder sluit de Rvdr zich aan bij de conclusie uit de memorie van toelichting waarin
is opgenomen dat exacte gevolgen pas zijn te bepalen wanneer een gegevensuitwisseling
(met eisen) wordt aangewezen bij AMvB, omdat dan beter is in te schatten hoeveel certificaten,
aanwijzingen of accreditaties verleend zullen worden en beter is in te schatten hoeveel
handhavingsbesluiten verwacht worden. In dat kader gaat de Rvdr ervan uit dat de concept
AMvB te zijner tijd ter advisering aan hem wordt voorgelegd. Inderdaad zal elke AMvB
waarin een gegevensuitwisseling wordt aangewezen voorgelegd worden aan de Rvdr.
Ook merkt de Rvdr op dat in artikel 4.1, derde lid (nu tweede lid), van het wetsvoorstel
een, ten opzichte van titel 5.2 van de Awb aanvullende bevoegdheid is opgenomen voor
het binnentreden van een woning zonder toestemming van de bewoner. Omdat binnentreden
van een woning zonder toestemming een ingrijpende bevoegdheid is die inbreuk maakt
op grondrechten, adviseert de Rvdr in het wetsvoorstel kaders te stellen voor de inzet
van deze bevoegdheid. De Rvdr wijst in dit kader nog op artikel 12 van de Grondwet
en de Algemene wet op het binnentreden. Het stellen van nadere kaders over de bevoegdheid
tot het binnentreden van een woning kan volgens de Rvdr gevolgen hebben voor de werklast
van de rechtspraak. De Rvdr gaat ervan uit dat hierover duidelijkheid bestaat ten
tijde van het adviestraject inzake de AMvB zodat de Raad die gevolgen zo nodig in
zijn advies over de AMvB kan opnemen.
Verder stelt de Rvdr zich op het standpunt dat artikel 4.1, vijfde lid (nu vierde
lid), van het wetsvoorstel voor toezichthouders/handhavers een zeer ruime uitzondering
is op het verschoningsrecht dat in artikel 5:20, tweede lid, van de Awb is neergelegd.
De Rvdr merkt op dat de bevoegdheid om de gegevens, met terzijdestelling van het beroepsgeheim,
te verkrijgen niet nader is geclausuleerd (met uitzondering van dat dit noodzakelijk
moet zijn voor het toezicht op de naleving van het bepaalde bij of krachtens deze
wet). Gelet op het gewicht van het beroepsgeheim acht de Rvdr deze ingrijpende bevoegdheid
onvoldoende specifiek ingekaderd waardoor te weinig waarborgen voor een terughoudende
toepassing daarvan zijn gegeven. Verder stelt de Rvdr dat uit het wetsvoorstel niet
blijkt in hoeverre rechtsbescherming openstaat tegen de verplichting om het beroepsgeheim
te doorbreken. Gelet op de zeer ruime formulering van de bevoegdheid is de Rvdr van
mening dat rechterlijke toetsing wenselijk is. Gelet op het gewicht van het beroepsgeheim
adviseert de Raad nadrukkelijk het wetsvoorstel op dit punt aan te passen.
Ten aanzien van de opmerkingen van de Rvdr over artikel 4.1 wordt opgemerkt dat het
wetsvoorstel overeenkomstig de toezichts- en handhavingsbepalingen van de Wkkgz is49. Dit omdat het wetsvoorstel randvoorwaardelijk is voor het verlenen van goede zorg,
zoals dit is neergelegd in de Wkkgz. Bij de houden van toezicht en het handhaven waar
nodig door de IGJ, zal steeds gekeken worden of door de zorgaanbieder goede zorg wordt
verleend. Een onderdeel daarvan is of aan de randvoorwaarden wordt voldaan om goede
zorg te verlenen, zoals bijvoorbeeld de aanwezigheid van voldoende deskundig personeel,
middelen, en met de komst van onderhavig wetsvoorstel ook of gegevens worden uitgewisseld
op de juiste wijze. Er is vanwege de verwevenheid van de Wkkgz en dit wetsvoorstel
gekozen voor een overeenkomstig toezichts- en handhavingsregime. Een afwijkend regime
zou voor onduidelijkheid zorgen.
Daarbij komt dat de formulering in artikel 4.1 van dit wetsvoorstel een standaardformulering
betreft die niet alleen in de Wkkgz, maar ook in andere VWS wetgeving wordt gebezigd.
Er zijn geen aanwijzingen dat deze bepalingen op de door de Rvdr genoemde punten tot
problemen leiden.
Er is daarom gekozen de suggesties van de Rvdr niet te volgen.
Met betrekking tot binnentreden zijn artikel 12 van de Grondwet en de Algemene wet
op het binnentreden uiteraard onverkort van toepassing. Er is dan ook een schriftelijke
machtiging vooraf nodig voor het binnentreden van het deel van de bouwkundige eenheid
waarin de huisartsenpraktijk is gevestigd. Volledigheidshalve is dit verduidelijkt
in paragraaf 7.1 van deze memorie.
9.9 Internetconsultatie
Van 10 maart 2020 tot en met 10 juni 2020 heeft het wetsvoorstel ter consultatie voorgelegen
op internetconsultatie.nl. De oorspronkelijk termijn is tussentijds verlengd vanwege
COVID-19 om op die manier zorgpartijen in de gelegenheid te stellen te reageren op
het conceptwetsvoorstel. Hierop zijn 66 openbare en 26 niet-openbare reacties ontvangen.
De reacties op de internetconsultatie zijn afkomstig van zorgverleners, patiëntenorganisaties,
leveranciers van ICT-producten, adviesbureaus en particulieren. Het wetsvoorstel is
in zijn algemeenheid positief ontvangen. Nut en noodzaak van het wetsvoorstel is door
de meeste respondenten onderschreven. Wel waren er nog opmerkingen en adviezen ter
verbetering en verduidelijking van het wetsvoorstel en de memorie van toelichting.
Hieronder worden de ontvangen opmerkingen en adviezen per thema en op hoofdlijnen
besproken en van een reactie voorzien.
Particulieren maken zich met name zorgen over de veiligheid van de gegevensuitwisseling
vanuit het gegevensbeschermingsperspectief. In reactie hierop wordt benadrukt dat
de verplichtingen die voortvloeien uit de AVG onverkort van toepassing zijn en wordt
voorzien in waarborgen om een toereikend beschermingsniveau te bieden. In paragraaf
8.3 is dit verder verduidelijkt.
Veel reacties hadden betrekking op (onduidelijkheid over) de reikwijdte van het wetsvoorstel.
Volgens sommige respondenten zouden gegevensuitwisselingen tussen cliënt en zorgverlener,
tussen zorgdomeinen en binnen de Wmo-ondersteuning binnen de reikwijdte van het wetsvoorstel
moeten vallen. Andere respondenten brachten naar voren dat het wetsvoorstel ook het
hergebruik van gegevens ten behoeve van medisch onderzoek zou moeten regelen. Dit
is aanleiding geweest om in de memorie van toelichting de reikwijdte van het wetsvoorstel
te verduidelijken (paragraaf 2.3).
Ook bestond bij veel respondenten onduidelijkheid over de verhouding van het wetsvoorstel
tot het toestemmingsvereiste in artikel 15a van de Wabvpz en het medisch beroepsgeheim.
Dit is verhelderd in paragraaf 5.2.
Bij veel respondenten bestond onduidelijkheid over de totstandkoming van de roadmap,
de verhouding van spoor1 tot spoor2 en het NEN-proces. Dit is aanleiding geweest deze
onderwerpen in paragrafen 3.2 en 3.5 nader toe te lichten. Ook werd aangegeven dat
de gebruikte terminologie niet helder was. Daarom is de benaming van de roadmap gewijzigd
in Meerjarenagenda Wegiz, dit doet meer recht aan het meerjarige karakter van het
traject.
Een aantal respondenten hebben hun zorg geuit dat normalisatie innovatie belemmert.
In paragraaf 8.2 is toegelicht hoe eventuele effecten op innovatie worden gemitigeerd
en welke positieve effecten worden verwacht.
Ook bestaat bij een aantal respondenten de vrees dat certificering, gelet op de kosten
ervan, negatieve gevolgen zal hebben voor de marktwerking. In paragraaf 8.2 zijn de
positieve effecten van het wetsvoorstel op de marktwerking toegelicht.
In de internetconsultatie is ook gewezen op het ontbreken van een evaluatiebepaling.
In reactie hierop is in het wetsvoorstel een evaluatiebepaling toegevoegd. Kortheidshalve
wordt verwezen naar paragraaf 10.1.
10. Evaluatie, overgangsrecht en inwerkingtreding
10.1 Evaluatie
Met dit wetsvoorstel wordt een substantiële beleidswijziging beoogd. Om die reden
zal de verwerkelijking van de doelstellingen van dit wetsvoorstel en de effecten daarvan
binnen vijf jaar na inwerkingtreding van de wet worden geëvalueerd en zal verslag
worden gedaan aan de Staten-Generaal. Om inzicht te verkrijgen in de doelmatigheid
en doeltreffendheid van het voorziene stelsel zal geëvalueerd worden hoe de werking
van het wettelijk stelsel en de daarbinnen voorgestane wijze van prioritering heeft
plaatsgevonden, de wijze waarop gegevensuitwisselingen worden geselecteerd om uiteindelijk
bij AMvB aangewezen te worden in spoor 1 of spoor 2 en de implementatie en uitvoering
van de AMvB. Daarnaast zal de keuze om te komen tot interoperabiliteit via normalisatie
in een spoor 2-aanwijzing worden geëvalueerd, waarbij onder meer bezien wordt of die
keuze voldoende recht doet aan de gevraagde regierol van de Minister. Eveneens wordt
in het kader van het evaluatieonderzoek in beeld gebracht of de verwachte effecten
van individuele AMvB’s, zoals voorzien in onder meer de uitgevoerde MKBA’s, daadwerkelijk
zijn opgetreden. Bovendien zal de werking van het toezicht op en de handhaving van
het wettelijk stelsel worden geëvalueerd. Mocht deze evaluatie aantonen dat de gekozen
aanpak in de praktijk onvoldoende effect sorteert, dan zal een nadere afweging plaatsvinden
over de te nemen maatregelen.
10.2 Overgangsrecht
In dit wetsvoorstel wordt geen overgangsrecht opgenomen. Daarbij wordt in aanmerking
genomen dat de beoogde verplichting pas effect heeft als bij AMvB ten minste één aangewezen
gegevensuitwisseling onder het stelsel wordt gebracht.
Om betrokken partijen voldoende tijd te geven om zich voor te bereiden op en te voldoen
aan de bij AMvB gestelde eisen, zal tussen de publicatie van de AMvB en inwerkingtreding
van die AMvB een dan nader te bepalen termijn in acht worden genomen.
Bij de afweging van een redelijke overgangstermijn zullen verschillende aspecten in
aanmerking worden genomen, zoals de duur en voorwaarden van afgesloten contracten
tussen zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten,
de beschikbaarheid van certificatieschema’s en de hoeveelheid certificerende instellingen
met noodzakelijke kennis en de tijd die nodig is voor het accrediteren door de RvA
van certificerende instellingen. Daarbij dient in ieder geval in aanmerking te worden
genomen dat het accreditatieproces naar verwachting ongeveer 18 maanden in beslag
zal nemen. De optelsom van deze factoren zal uiteindelijk de duur van de overgangsperiode
bepalen.
Het wetsvoorstel kan ertoe leiden dat overeenkomsten tussen zorgaanbieders en aanbieders
van informatietechnologieproducten of -diensten (moeten) worden beëindigd, omdat het
product of de dienst niet (meer) voldoet aan de eisen die bij AMvB worden gesteld,
waaronder de eis dat het product of de dienst voorzien moet zijn van een certificaat.
De verwachting is dat de voorzienbare groep van zorgaanbieders en aanbieders van informatietechnologieproducten
of -diensten die in een geschilsituatie (bijvoorbeeld over eventuele aansprakelijkheidskwesties
of boetes vanwege contractbreuk) zullen komen dermate klein zal zijn, dat dit geen
wettelijke (overgangsrechtelijke) regeling vergt:
– In de eerste plaats wordt, zoals hierboven aangegeven, gewerkt met gefaseerde invoering,
waardoor bestaande overeenkomsten binnen de invoeringstermijn zullen eindigen.
– In de tweede plaats zijn er geen problemen te verwachten rondom de overdracht van
gegevens naar een nieuw informatietechnologieproduct of -dienst. Op de grond van de
AVG is het verboden om zonder grondslag persoonsgegevens te verwerken. Wanneer een
overeenkomst tussen een zorgaanbieder en aanbieder van een informatietechnologieproduct
of -dienst beëindigd wordt, zal de aanbieder van het product of dienst geen grondslag
hebben om persoonsgegevens te verwerken. De aanbieder moet de persoonsgegevens dan
verwijderen. Hierover moeten op grond van artikel 28 AVG nadere afspraken zijn vastgelegd
in een verwerkingsovereenkomst en -in het geval van gezamenlijke verwerkingsverantwoordelijkheid
– in een overeenkomst als bedoeld in artikel 26 AVG. Daarbij geldt dat uit de NEN
7510, die op grond van verschillende wet- en regelgeving verplicht is50, volgt dat de overeenkomsten tussen zorgaanbieders en aanbieders van bepaalde informatietechnologieproducten
of -diensten moeten voldoen aan wet- en regelgeving. Dit is een extra waarborg dat
een verwerkersovereenkomst wordt gesloten.
– In de derde plaats is het bestaande praktijk in het zorgveld dat voor software die
de primaire processen faciliteert (zoals ziekenhuisinformatiesystemen en huisartseninformatiesystemen)
onderhoudscontracten worden afgesloten waarbij aanbieders van informatietechnologieproducten
of -diensten (op basis van vergoedingen) zich verplicht hebben om de software onder
meer in lijn te houden met de geldende wet- en regelgeving. Een bij AMvB aangewezen
norm waarin een standaard wordt voorgeschreven om gegevens uit te wisselen, zal veelal
binnen de reikwijdte van dergelijke zogenaamde adaptieve onderhoudsverplichtingen
vallen.
10.3 Inwerkingtreding
In dit wetsvoorstel worden kwaliteitsstandaarden – of een wettelijke basis die bepaalt
welke gegevens moeten worden uitgewisseld – de concrete bron waarnaar vanuit een AMvB
wordt verwezen. Deze koppeling is onlosmakelijk: géén kwaliteitsstandaard of wettelijke
basis, géén AMvB. Deze koppeling geldt zowel voor een spoor 1 als een spoor 2 aanwijzing.
Het uitgangspunt is dat het veld – waar nodig – zorgdraagt dat kwaliteitsstandaarden
(of informatieparagrafen in bestaande of nieuwe kwaliteitsstandaarden) worden opgesteld.
In de kwaliteitsstandaarden dient te worden vastgelegd welke gegevens worden uitgewisseld
in een bepaald zorgproces of over de hele breedte van de zorg. Bestaande kwaliteitsstandaarden
bevatten geen basisgegevens, terwijl deze nodig zijn voor de continuïteit in het zorgproces.
Bovendien draagt het benoemen van noodzakelijke basisgegevens in een bepaald zorgproces
tot een vermindering van administratieve lasten.
Zoals aangegeven in paragraaf 2.3.1 zijn er momenteel dertien concept gegevensuitwisselingen
in beeld. Daarvan worden momenteel vier nader uitgewerkt, te weten Digitaal receptenverkeer,
Ziekenhuizen BgZ, Verpleegkundige overdracht en Beeld-Ziekenhuizen. Bij deze vier
concept gegevensuitwisselingen zijn er nog geen (passende) kwaliteitsstandaarden of
is de kwaliteitsstandaard niet specifiek genoeg als basis voor een wettelijke verplichting
op grond van de dit wetsvoorstel. Naar verwachting geldt dit ook voor de overige (negen)
concept gegevensuitwisselingen.
Voor deze dertien concept gegevensuitwisselingen gaat een overgangsperiode van vijf
jaar gelden waarin wat wordt uitgewisseld nog niet neergelegd hoeft te zijn in een
kwaliteitsstandaard of in wetgeving. Gedurende deze periode kunnen de gegevensuitwisselingen
wel aangewezen worden bij AMvB, maar zullen parallel de benodigde kwaliteitsstandaarden
opgesteld respectievelijk aangepast moeten worden of eventueel in wet- of regelgeving
moeten worden vastgelegd. Om te komen tot een interoperabele elektronische gegevensuitwisseling
in de zorg en een goede werking van het wetsvoorstel is het immers noodzakelijk dat
er heldere afspraken komen over welke gegevens moeten worden uitgewisseld, die worden
vastgelegd in een kwaliteitsstandaard of in wetgeving. De vraag of een kwaliteitsstandaard
of wet- en regelgeving noodzakelijk is voor het vastleggen van de afspraken zal mede
beantwoord worden aan de hand van de vraag of een kwaliteitsstandaard niet alleen
gegevens bevat voor het verlenen van goede zorg, maar ook de gegevens die met het
oog op het verlenen van die zorg worden uitgewisseld, de zogenaamde basisgegevens
van een cliënt.
Voor de vier gegevensuitwisselingen die momenteel uitgewerkt worden geldt dat er al
afspraken zijn waarbij bepaald is welke gegevens worden uitgewisseld. Voor Digitaal
Receptenverkeer is dit de informatiestandaard Medicatieproces 9.0 waarin staat welke
gegevens door welke zorgverlener op welk moment worden uitgewisseld. Voor Beeld-Ziekenhuizen
geldt dat gegevens in de meeste gevallen al elektronisch uitgewisseld wordt, maar
dat er nog geen heldere afspraken zijn gemaakt in welke gevallen beelden tussen ziekenhuizen
en andere medisch-specialistische instellingen worden uitgewisseld. Voor Ziekenhuizen
Bgz is ook een informatiestandaard ontwikkeld die bepaalt welke gegevens ten minste
van een patiënt beschikbaar moeten zijn. In de informatiestandaard is afgesproken
dat bij het overdragen van een patiënt deze «patiëntsamenvatting» mee overgedragen
wordt. Voor Verpleegkundige overdracht wordt momenteel een kwaliteitsstandaard ontwikkeld
die mogelijk voldoende bepaalt welke gegevens bij de verpleegkundige overdracht mee
overgedragen moeten worden.
Om de komende jaren alvast stappen te kunnen zetten in de vier hiervoor genoemde gegevensuitwisselingen
(en eventueel in de overige negen wanneer blijkt dat die vanuit de praktijk als zeer
wenselijk wordt gezien), is het voornemen om het tweede lid van het voorgestelde artikel
1.4 pas vijf jaar na inwerkingtreding van het eerste lid van artikel 1.4 in werking
te laten treden. Op grond van artikel 1.4, eerste lid, van het wetsvoorstel kunnen
de vier genoemde gegevensuitwisselingen worden aangewezen waarbij in plaats van verwijzen
naar een kwaliteitsstandaard of wettelijke grondslag, de gemaakte afspraken benoemd
zullen worden in de AMvB. Waarbij dit wetsvoorstel niet bepaalt dát die gegevens moeten
worden uitgewisseld, maar alleen regelt dat als er wordt uitgewisseld, dit gebeurt
overeenkomstig een elektronische infrastructuur (spoor 1) of volgens een voor die
gegevensuitwisseling geldende norm (spoor 2).
Voor artikel 7.3 geldt dat dit artikel gelijktijdig in werking moet treden met het
aanwijzen van de gegevensuitwisseling jeugdgezondheidzorg onder dit wetsvoorstel.
Wanneer dit naar verwachting het geval zal zijn, zal onderdeel vormen van de Meerjarenagenda
Wegiz. Zolang deze aanwijzing niet geschiedt, geldt de huidige wetgeving onverkort.
Met uitzondering van de hierboven beschreven situatie ten aanzien van de artikelen
1.4, tweede lid, en 7.3 kunnen de artikelen in dit wetsvoorstel in werking treden
met ingang van een bij koninklijk besluit (KB) te bepalen tijdstip, waarbij aangesloten
zal worden bij het beleid van het kabinet inzake vaste verandermomenten van regelgeving.
De inwerkingtreding van het wetsvoorstel heeft in eerste instantie tot gevolg dat
de Minister over kan gaan tot het formeel vaststellen van de Meerjarenagenda Wegiz
en het aanwijzen van certificerende instellingen, die als taak hebben op aanvraag
informatietechnologieproducten of -diensten van een certificaat te voorzien. De inwerkingtreding
van een gegevensuitwisseling in spoor 2 kan namelijk pas plaatsvinden als er gecertificeerde
informatietechnologieproducten of -diensten zijn en zorgaanbieders voldoende tijd
hebben gekregen om deze informatietechnologieproducten of -diensten te implementeren.
Materieel heeft voor het overige het wetsvoorstel pas daadwerkelijk betekenis als
een gegevensuitwisseling bij AMvB wordt aangewezen in spoor 1 of spoor 2.
ARTIKELSGEWIJS DEEL
Artikel 1.1 (begripsbepalingen)
Aangewezen gegevensuitwisseling
In de begripsbepalingen is een verkorte aanduiding opgenomen voor wat onder een aangewezen
gegevensuitwisseling wordt verstaan. Voor een inhoudelijk toelichting wordt verwezen
naar de toelichting op artikel 1.4.
Benaderen
Zie voor een uitleg wat onder benaderen in dit wetsvoorstel wordt verstaan paragraaf
2.3.2 van het algemeen deel van de memorie van toelichting.
Certificaat
Op grond van dit wetsvoorstel wordt aan bepaalde informatietechnologieproducten of
-diensten die bij aangewezen gegevensuitwisselingen worden gebruikt de eis gesteld
voorzien te zijn van een certificaat. In de begripsbepalingen is voor «certificaat»
een verkorte aanduiding opgenomen. In artikel 3.1 is uitgewerkt wat dit certificaat
betreft (zie toelichting bij dat artikel).
Certificerende instelling
Een certificerende instelling is een instelling die krachtens artikel 3.2 beschikt
over een aanwijzing van de Minister om certificaten te verstrekken aan informatietechnologieproducten
of -diensten die voldoen aan de voor die aangewezen gegevensuitwisseling vastgestelde
norm.
Cliënt, Zorg, Zorgaanbieder, Zorgverlener
Zoals aangegeven in het algemeen deel van deze memorie (zie hoofdstuk 1) wordt met
dit wetsvoorstel voorgesteld randvoorwaarden te stellen voor goede zorg door het elektronische
uitwisselen van gegevens, al dan niet op genormaliseerde wijze, te bevorderen. De
gehanteerde terminologie en begrippenkader uit de Wkkgz worden voor zover nodig overgenomen
in dit wetsvoorstel.
Informatietechnologieproducten of -diensten
Dit wetsvoorstel bepaalt dat de informatietechnologieproducten en -diensten waarvan
zorgaanbieders gebruik maken in een aangewezen gegevensuitwisseling waarbij gegevens
op genormaliseerde wijze worden uitgewisseld, aan bepaalde eisen voldoen. Daarnaast
bepaalt dit wetsvoorstel dat deze informatietechnologieproducten en -diensten voorzien
moeten zijn van een certificaat. Het is van belang dat duidelijk is waarop de eisen
en de verplichting zien. De aanbieder van het informatietechnologieproduct of – dienst
moet weten wanneer en waarvoor een certificaat moet worden aangevraagd.
Welk informatietechnologieproduct of welke -dienst moet voldoen aan de eisen en voorzien
zijn van een certificaat in welke aangewezen gegevensuitwisseling is echter niet in
algemene zin te zeggen. Op basis van de in de norm te ontwikkelen eisen die gelden
voor een aangewezen gegevensuitwisseling zal steeds in de AMvB naar (delen van) de
norm worden verwezen waaraan een informatietechnologieproduct of -dienst moet voldoen
en of daarvoor een certificaat nodig is om dat aan tonen.
De eisen en de certificeringsverplichting kunnen over verschillende onderdelen van
de informatietechnologie gaan. Het kan gaan over de software en hardware die bij de
aangewezen gegevensuitwisseling gebruikt wordt om de gegevens uit te wisselen, maar
ook over bepaalde diensten die worden geleverd. Het kan gaan om een combinatie van
software of hardware, maar dat hoeft niet. Het gaat hierbij onder meer om de koppelvlakken
waarvoor specificaties gaan gelden, en waarop de software, hardware of diensten zien.
Norm
In de begripsbepalingen is een verkorte aanduiding opgenomen voor wat onder norm wordt
verstaan. Het kan daarbij gaan om een door de Stichting Nederlands Normalisatie-instituut
uitgegeven norm (NEN-norm), zoals omschreven onder 1°, en om Europese of internationale
normen (NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO), zoals omschreven
onder 2° tot en met 6°. Voor een inhoudelijk toelichting wordt verwezen naar de toelichting
op artikel 1.4.
Uitwisselen
Zoals aangegeven in paragraaf 2.3.2 van het algemeen deel van de memorie van toelichting
wordt onder uitwisselen van gegevens niet alleen verstaan het delen van gegeven van
de ene zorgverlener met de andere zorgverlener, maar kan het ook gaan om het benaderen
van gegevens die ergens anders zijn vastgelegd. Maar in beide gevallen geldt steeds
dat de uitwisseling van gegevens aan de bij of krachtens dit wetsvoorstel opgenomen
eisen zal moeten voldoen. Het delen én benaderen van gegevens zal steeds ten minste
via een elektronische infrastructuur dienen plaats te vinden (zie hierna de artikelsgewijze
toelichting bij artikel 2.1).
Artikel 1.2 (doel)
Goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit
van zorg. Artikel 3 Wkkgz geeft de zorgaanbieder, of deze nu zorg verleent op individuele
basis of in instellingsverband, opdracht de zorgverlening zodanig in te richten dat
goede zorg redelijkerwijs het resultaat is. Met dit wetsvoorstel wordt hieraan nadere
invulling gegeven door duidelijk te maken dat de zorgaanbieder de organisatie zodanig
moet inrichten dat de gegevens in een aangewezen gegevensuitwisseling ten minste door
middel van een elektronische infrastructuur kunnen worden uitgewisseld en eventueel
op genormaliseerde wijze. Als de zorgaanbieder dit nalaat dan is dit een overtreding
van artikel 3 Wkkgz in verbinding met artikel 2.1 van dit wetsvoorstel. Met elektronische
gegevensuitwisseling kan veel winst bereikt worden om de goede zorg te verbeteren.
Uitwisselen van gegevens door middel van een elektronische infrastructuur – al dan
niet op genormaliseerde wijze – is dus geen doel op zich, maar randvoorwaardelijk
voor het verlenen van goede zorg. Zie ook paragraaf 2.2 van het algemeen deel van
deze memorie. Ook het verminderen van tijd die zorgverleners kwijt zijn aan het administreren
van het zorgproces draagt eraan bij dat meer tijd besteed kan worden aan het daadwerkelijk
verlenen van goede zorg. Een gegevensuitwisseling kan daarom ook worden aangewezen
als daarmee primair bereikt wordt dat de administratieve lasten worden verlaagd.
Artikel 1.3 (Meerjarenagenda Wegiz)
Op grond van het hierna toe te lichten artikel 1.4 is het mogelijk om bij AMvB gegevensuitwisselingen
aan te wijzen. De Minister inventariseert voorafgaand hieraan welke gegevensuitwisselingen
eventueel voor aanwijzing in aanmerking komen. Deze lijst met geprioriteerde gegevensuitwisselingen
wordt met de Tweede Kamer gedeeld. Voor een toelichting op het tweede lid wordt verwezen
naar paragraaf 3.2 van het algemeen deel van de memorie van toelichting.
Artikel 1.4 (aanwijzen van gegevensuitwisselingen en gegevens, en stellen van eisen
daaraan)
Dit artikel bevat de delegatiegrondslag voor het aanwijzen van gegevensuitwisselingen,
het noemen en aanwijzen van gegevens, het stellen van eisen om het in artikel 1.2
opgenomen doel te bereiken en voor het eventueel uitzonderen van militaire gezondheidszorg
van de wettelijke verplichtingen.
Eerste lid
Om het in artikel 1.2 opgenomen doel te bereiken, worden bij AMvB gegevensuitwisselingen
aangewezen waarbij zorgverleners gegevens van en over een cliënt uitwisselen. Het
aanwijzen kan alleen voor zover deze gegevensuitwisselingen zijn opgenomen in de Meerjarenagenda
Wegiz, zie paragraaf 3.2 van het algemeen deel van deze memorie. In paragraaf 2.3.1
van het algemeen deel van deze memorie is aangegeven aan welke soorten gegevensuitwisselingen
als eerste wordt gedacht. Het wetsvoorstel gaat dus niet om gegevensuitwisseling in
algemene zin, maar alleen om het uitwisselen van gegevens die plaatsvindt binnen een
bij AMvB afgebakend terrein.
Tweede lid
In paragraaf 2.3.3. van het algemeen deel van deze memorie is uitvoerig toegelicht
dat een gegevensuitwisseling onder dit wetsvoorstel alleen kan worden aangewezen,
als de gegevens die worden uitgewisseld zijn vastgelegd in een kwaliteitsstandaard
of in andere wet- en regelgeving. Duidelijkheidshalve wordt opgemerkt dat de formulering
in dit lid met zich brengt dat een onderdeel van de professionele standaard niet als
basis kan dienen voor een gegevensuitwisseling. Een onderdeel van de professionele
standaard heeft weliswaar gevolgen voor de invulling van goede zorg als bedoeld in
de Wkkgz, maar is zelf geen wet- of regelgeving. De inwerkingtreding van dit lid zal
vijf jaar na inwerkingtreding van het eerste lid plaatsvinden. Verwezen wordt naar
hoofdstuk 10.3 van het algemeen deel van deze memorie voor een toelichting hierop.
Derde lid
Dit lid biedt een basis om nadere eisen te stellen aan de uitwisseling van gegevens
in de aangewezen gegevensuitwisseling.
Onder a
De nadere eisen kunnen in de eerste plaats minimale eisen betreffen die gesteld worden
aan het door middel van een elektronische infrastructuur uitwisselen van gegevens.
Het gaat om eisen die zien op de functionele, technische of organisatorische wijze
waarop het uitwisselen van gegevens door middel van een elektronische infrastructuur
plaats moet vinden. Gedacht kan worden aan een eis dat de elektronische gegevensuitwisseling
op een veilige manier verloopt (zoals NEN 7510), of dat er eisen worden gesteld aan
logging. In de toekomst worden mogelijk nog andere normen ontwikkeld. Wanneer de aanwijzing
plaatsvindt onder a wordt gesproken over een «spoor 1-aanwijzing». Zie voor een uitgebreide
toelichting hierop paragraaf 3.4.1 van het algemeen deel van deze memorie.
Onder b
In de tweede plaats kunnen nadere eisen worden gesteld die als doel hebben te komen
tot het genormaliseerd uitwisselen van gegevens in de aangewezen gegevensuitwisseling,
zodat volledige interoperabiliteit mogelijk is. Het gaat hierbij om:
– technische eisen die gesteld worden aan bijvoorbeeld informatietechnologieproducten
of -diensten;
– eisen aan taal die zorgverleners hanteren voor de omschrijving van de medische aandoening;
en
– eisen die de goede zorg ten goede komen omdat ze de administratieve lasten verminderen.
Deze eisen moeten zijn vastgelegd in één norm. Wat onder een norm wordt verstaan,
is opgenomen in de begripsomschrijvingen in artikel 1.1. Het kan een (bestaande of
te ontwikkelen) nationale norm zijn (NEN) of een Europese of internationale norm (NEN-EN,
NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO). De norm wordt bij AMvB dwingend
en exclusief voorgeschreven. Zoals in paragraaf 3.5.3 van het algemeen deel van deze
memorie al is toegelicht, zal het in de meeste gevallen gaan om een in opdracht van
de Minister nieuw te ontwikkelen NEN.
Wanneer de aanwijzing plaatsvindt onder b wordt gesproken over een «spoor 2-aanwijzing».
Zie voor een uitgebreide toelichting hierop paragraaf 3.4.2 van het algemeen deel
van deze memorie.
Vierde lid
Alleen op grond van de aanwijzing op grond van het derde lid, onderdeel b, kan er
sprake zijn van certificering van informatietechnologieproducten of -diensten. Om
die reden wordt in dit lid alleen naar het derde lid, onderdeel b, verwezen. De certificering
ziet maar op een deel van de eisen die in de norm staan waarnaar bij AMvB zal worden
verwezen, namelijk alleen die eisen die zien op informatietechnologieproducten of
-diensten. De certificering ziet dus niet op de eisen die betrekking hebben op bijvoorbeeld
organisatorische aspecten. De eisen waar certificering niet op ziet, richten zich
tot de zorgaanbieder (zie hiervoor paragraaf 2.3.4. van het algemeen deel van de toelichting).
Uit de norm waarnaar bij AMvB naar verwezen zal voldoende duidelijk moeten blijken
welke eisen zich richten op het gebruik van informatietechnologieproducten of -diensten
bij het uitwisselen van gegevens.
Artikel 1.5 (zorg in justitiële inrichtingen, forensische zorg en militaire gezondheidszorg)
Eerste lid
Ten aanzien van de zorg die wordt verleend in penitentiaire inrichtingen, justitiële
jeugdinrichtingen en Forensisch Psychiatrische Centra kan het vanuit veiligheidsoverwegingen
noodzakelijk zijn dat op andere wijze gegevens worden uitgewisseld dan voorgeschreven
door onderhavig wetsvoorstel. Voor deze instellingen en inrichtingen is derhalve een
uitzondering opgenomen. Het gaat hier om de gegevensuitwisseling tussen de uitgezonderde
inrichtingen en instellingen onderling, maar uiteraard ook – vanwege bovengenoemde
redenen – om de uitwisseling tussen de uitgezonderde inrichtingen, instellingen en
reguliere zorgaanbieders. Dit laat onverlet dat zij waar mogelijk de in dit wetsvoorstel
voorziene wijze van het uitwisselen van gegevens zullen volgen. De bijzondere omstandigheden
van deze instellingen nopen er echter toe dit niet als verplichting vorm te geven.
Gezien het karakter van dit wetsvoorstel, waarbij bij AMvB concrete vormen van gegevensuitwisseling
onder het bereik van de wet zullen worden gebracht, is de mogelijkheid opengehouden
om de uitgezonderde inrichtingen en instellingen alsnog onder de reikwijdte van onderhavig
wetsvoorstel te brengen voor zover een concrete vorm van gegevensuitwisseling zich
verhoudt met de justitiële of forensische zorgsetting.
Tweede lid
In beginsel valt de forensische zorg die niet wordt verleend in penitentiaire inrichtingen,
justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra onder dit wetsvoorstel.
Dit zijn bijvoorbeeld GGZ-instellingen die zowel reguliere zorg verlenen als forensische zorg. Wat de gevolgen zijn
voor de forensische zorg voor de aan te wijzen gegevensuitwisselingen is op dit moment
onvoldoende te overzien. Voorgesteld wordt om deze reden de mogelijkheid op te nemen
bij AMvB af te wijken van de voorgeschreven wijze van uitwisselen van gegevens, wanneer
dit vanwege de forensische setting noodzakelijk is. Ook hierbij valt bijvoorbeeld
te denken aan veiligheidsaspecten. De voordracht voor een zodanige AMvB zal worden
gedaan door de Minister voor Rechtsbescherming.
Derde lid
Ook de militaire gezondheidszorg kan geraakt worden door dit wetsvoorstel. Zo zal
er tijdens operationele omstandigheden niet steeds sprake zijn van een degelijke digitale
infrastructuur om de gegevens elektronisch uit te wisselen. De voordracht voor een
zodanige AMvB zal worden gedaan door de Minister van Defensie.
Artikel 2.1 (verplichting zorgaanbieders)
Eerste lid
Wanneer een gegevensuitwisseling bij AMvB wordt aangewezen, geldt op grond van dit
lid dat – vanaf het moment van inwerkingtreding van de AMvB – de bij die AMvB aangeduide
gegevens bij die gegevensuitwisseling door middel van een elektronische infrastructuur
moeten worden uitgewisseld. De verplichting om hieraan te voldoen is ingevolge dit
lid neergelegd bij de zorgaanbieder. Het gaat daarbij om zorgverleners die onder de
verantwoordelijkheid van de zorgaanbieder zorg verlenen, inclusief bijvoorbeeld maatschappen
die verbonden zijn aan een ziekenhuis. Zie voor een nadere toelichting hierop paragraaf
2.3.4 van het algemeen deel van deze memorie. Wat onder een elektronische infrastructuur
wordt verstaan is aangegeven in paragraaf 2.3.2 van het algemeen deel van deze memorie.
Door het gebruik van het woord «ten minste» wordt verduidelijkt dat dit een minimaal
vereiste is. Naast of aanvullend op het uitwisselen van gegevens door middel van een
elektronische infrastructuur kan nog steeds gebruik gemaakt worden van andere communicatiemiddelen,
zoals bijvoorbeeld de telefoon. Dit laatste mag echter niet in plaats van het uitwisselen
door middel van een elektronische infrastructuur plaatsvinden. Dit is ook toegelicht
in paragraaf 2.3.2 van het algemeen deel van deze memorie.
Tweede en derde lid
Naast de eis die geldt op grond van het wetsvoorstel dat gegevens binnen aangewezen
gegevensuitwisselingen door middel van een elektronische infrastructuur moeten worden
uitgewisseld, kunnen nadere eisen worden gesteld. Dit is geregeld in artikel 1.4,
derde lid (zie toelichting bij dat lid). Uit het tweede lid volgt dat de verplichting
om te voldoen aan artikel 1.4, derde lid, is neergelegd bij de zorgaanbieder (zie
ook paragraaf 2.3.4 van het algemeen deel van deze memorie is), tenzij het gaat om
de (technische) eisen die gesteld worden aan een informatietechnologieproduct of -dienst
waarvoor een certificaat is vereist (zie ook in paragraaf 3.3 van het algemeen deel
van deze memorie). Als dit laatste het geval is, rust op de zorgaanbieder ingevolgde
het derde lid slechts de verplichting om gebruik te maken van gecertificeerde informatietechnologieproducten
of -diensten.
Vierde lid
Artikel 1, zesde lid, Wkkgz regelt dat in het geval een instelling (zoals een medisch
specialistisch bedrijf) (hierna: onderaannemer) zorg verleent binnen een andere instelling
(zoals een ziekenhuis) (hierna: hoofdaannemer), de onderaannemer niet aangemerkt wordt
als een instelling in de zin van de Wkkgz en dus ook niet als een zorgaanbieder in
de zin van de Wkkgz. Door het van overeenkomstige toepassing verklaren van artikel
1, zesde lid, Wkkgz wordt een onderaannemer ook voor dit wetsvoorstel niet als zorgaanbieder
aangeduid. De hoofdaannemer is daarmee dan verantwoordelijk voor het voldoen aan de
verplichting zoals opgenomen in het eerste tot en met derde lid. De onderaannemer
is in dit geval zorgverlener. Artikel 1, zevende lid, Wkkgz bepaalt dat als een instelling
wordt gevormd door een organisatorisch verband van natuurlijke personen, de uit die
wet voortvloeiende verplichtingen zich tot ieder van die personen richten. Voor dit
wetsvoorstel geldt dit daarom ook.
Artikel 3.1 (certificering van informatietechnologieproducten of -diensten)
Op grond van artikel 1.4, derde lid, onderdeel b, kunnen eisen worden gesteld om gegevens
uit te wisselen op genormaliseerde wijze. Deze eisen kunnen onder meer zien op technische
eisen aan informatietechnologieproducten of -diensten. Wanneer op grond van artikel
1.4, vierde lid, de eis is gesteld dat een informatietechnologieproduct of -dienst
moet zijn voorzien van een certificaat, regelt dit artikel dat het product of de dienst
aan de gestelde eisen moet voldoen en het certificaat ook daadwerkelijk moet hebben.
Wanneer een informatietechnologieproduct of -dienst voorzien is van een certificaat
waaruit blijkt dat voldaan wordt aan de eisen, wordt de taak van de toezichthouder
verlicht. Zie ook paragraaf 3.7 van het algemeen deel van deze memorie.
Artikel 3.2 (aanwijzen certificerende instellingen op verzoek)
Eerste lid
In dit lid is geregeld wie de certificaten kan verstrekken. Certificaten worden afgegeven
door gespecialiseerde private partijen, zogenoemde certificerende instellingen. Een
instelling is alleen bevoegd tot het verstrekken van certificaten als deze hiertoe
is aangewezen door de Minister. De Minister wijst alleen geaccrediteerde instellingen
aan (zie toelichting op het derde lid), tenzij sprake is van een uitzondering als
bedoeld in het vijfde lid (zie toelichting bij dit lid).
De certificerende instelling moet voor het verkrijgen van een aanwijzing een aanvraag
bij de Minister indienen. De aanwijzing wordt gepubliceerd in de Staatscourant op
grond van artikel 3:42 Awb.
Tweede lid
Om te borgen dat de Minister de mogelijkheid heeft om stelseltoezicht te houden, is
in dit lid bepaald dat de Minister de aanwijzing van een certificerende instelling
kan wijzigen, weigeren, schorsen of intrekken, aan de aanwijzing, schorsing of intrekking
voorschriften kan verbinden en aan de aanwijzing of de schorsing van de aanwijzing
een termijn kan verbinden. Op grond van artikel 3.3, aanhef en onder a, kunnen hier
nadere eisen aan worden gesteld.
De voorschriften die de Minister kan verbinden aan de aanwijzing van de certificerende
instelling, kunnen zien op de situatie dat de certificerende instelling haar werkzaamheden
– vrijwillig of onvrijwillig – beëindigt. Gedacht kan worden aan voorschriften die
inhouden dat bij het beëindigen van werkzaamheden dossiers moeten worden overgedragen
aan een opvolgende certificerende instelling, of wanneer die in het uiterste geval
niet beschikbaar is, aan de Minister ter uitvoering van zijn taak op grond van het
zevende lid.
Derde lid
De RvA is op grond van artikel 2, eerste lid, van de Wet aanwijzing nationale accreditatie-instantie
aangewezen als nationale accreditatie-instantie. De RvA beoordeelt certificerende
instellingen op basis van normen die door de Europese Commissie zijn aangewezen als
de enige normen die door nationale accreditatie-instanties kunnen worden gebruikt
om certificerende instellingen te accrediteren. In dit geval gaat het alleen om de
geharmoniseerde norm NEN-EN-ISO/IEC 17065:2012; Conformiteitsbeoordeling – Eisen voor
certificatie-instellingen die certificaten toekennen aan producten, processen en diensten.
Daarnaast beoordeelt de RvA of aan de eisen voor het verkrijgen van een aanwijzing
wordt voldaan, die bij AMvB zullen worden vastgelegd. Te denken valt aan eisen over
de rechtsvorm van de certificerende instelling, onafhankelijkheid, deskundigheid en
organisatie van de certificerende instellingen.
In paragraaf 7.6 van het algemeen deel van deze memorie is de accreditatie door de
RvA nader toegelicht.
Vierde lid
In verband met de erkenning van verkregen vergelijkbare documenten is in dit lid opgenomen
dat met een accreditatie gelijk wordt gesteld een accreditatie afgegeven in een lidstaat
van de Europese Unie of een staat waarmee Nederland een verdrag heeft die strekt tot
erkenning van dergelijke documenten. Eis daarbij is dat de verkregen accreditatie
gebaseerd is op documenten of onderzoekingen die tenminste een beschermingsniveau
bieden dat wordt gewaarborgd met de verkrijging van de accreditatie in Nederland voor
het afgeven van deze certificaten. Dit betekent dat de accreditatie moet zien op algemene
waarden als onafhankelijkheid en onpartijdigheid, maar ook op de inhoudelijke eisen
die neergelegd zijn in de AMvB op grond van artikel 3.3, onderdeel a, om voor een
aanwijzing in aanmerking te komen. Overigens is elk nationaal accreditatie-orgaan
in principe verantwoordelijk voor accreditatie van de organisaties uit het desbetreffende
land. Zie hiervoor ook verordening 765/2008.
Vijfde lid
Onder a
Het uitgangspunt is dat een certificerende instelling een accreditatie van de RvA
heeft. Daarbij is het zo dat in het kader van accreditatie een instelling aan moet
tonen dat zij de werkzaamheden zoals beschreven in het certificatieschema, uitvoert
in overeenstemming met dat schema. Dat betekent dat de instelling een klant moet hebben
waar zij het certificatietraject volledig doorloopt en dat de RvA deze werkzaamheden
bijwoont en beoordeeld. Dit is echter niet mogelijk zonder aanwijzing door de Minister.
In dat geval is het mogelijk dat de instelling die een volledige aanvraag heeft ingediend
bij de RvA een tijdelijke aanwijzing kan krijgen. De instelling wordt beoordeeld en
geaccrediteerd, zonder dat er al een bijwoning van de werkzaamheden plaatsvindt. Nadat
deze beoordeling met positief resultaat wordt afgerond, wordt de tijdelijke accreditatie
onder beperkende voorwaarden verleend. Daarmee kan de certificerende instelling een
(tijdelijke) aanwijzing aanvragen bij de Minister. En na aanwijzing kan de certificerende
instelling vervolgens een klant werven, waar de bijwoning kan plaatsvinden. Eventuele
afwijkingen die volgen uit de bijwoning moeten worden opgelost voordat de tijdelijke
accreditatie in een definitieve accreditatie kunnen worden omgezet. Daarna kan de
certificerende instelling ook andere klanten gaan bedienen en certificeren.
Onder b
Het kan in bepaalde gevallen voorkomen dat het accreditatieproces langer duurt dan
verwacht. Aangezien certificerende instellingen een essentiële rol spelen in onderhavig
wetsvoorstel en het belangrijk is dat de certificering van informatietechnologieproducten
of -diensten wordt voortgezet, kan de Minister in het systeem van accreditatie ingrijpen
door te bepalen dat – tijdelijk – van de eis van accreditatie wordt afgezien. De certificerende
instelling kan in die tijd alsnog zorgdragen voor de benodigde accreditatie.
Zesde lid
De certificerende instellingen, bedoeld in dit wetsvoorstel, worden uitgezonderd van
de werking van de Kaderwet zbo’s. Zie voor een toelichting paragraaf 3.7.1 van het
algemeen deel van deze memorie.
Zevende lid
In artikel 23 van de Kaderwet zbo’s is een bevoegdheid opgenomen voor de Minister
om in te grijpen bij een zbo in geval van ernstige verwaarlozing van de bestuurstaak,
waarbij ontwrichting van de uitoefening van de taak dreigt. Het ingrijpen kan bijvoorbeeld
inhouden dat de Minister de taak die aan het zelfstandig bestuursorgaan is opgedragen,
zelf uitvoert. De bepaling in artikel 23 van de Kaderwet zbo’s is vanwege de veelheid
van situaties waarin het toegepast zou kunnen worden, noodzakelijkerwijs ruim geformuleerd.
In onderhavig lid is een soortgelijke bepaling opgenomen die echter een beperktere
strekking heeft en die meer recht doet aan de gekozen systematiek van dit wetsvoorstel.
Zoals aangegeven in paragraaf 3.7 van het algemeen deel van deze memorie kan de Minister
de aanwijzing van de certificerende instelling om verschillende redenen intrekken.
Het vervolgens overnemen van de taken van de certificerende instelling is niet aan
de orde als er nog andere certificerende instellingen zijn die de taken van de instelling
waarvan de aanwijzing is ingetrokken kunnen overnemen. Zoals aangegeven in paragraaf
3.7 kan de Minister dit alleen wanneer er geen andere certificerende instellingen
zijn.
Artikel 3.3 (nadere regels rond certificering)
Eerste lid
Op grond van dit lid kan bij AMvB het certificeren van informatietechnologieproducten
en -diensten worden uitgewerkt.
Zo kunnen nadere eisen worden gesteld aan de aanwijzing van de Minister van de certificerende
instellingen, waaronder voor welke termijn een aanwijzing telkens geldig is (onderdeel
a). De geldigheidsduur van een certificaat is niet in algemene zin te zeggen maar
hangt af van de eisen aan de techniek in de norm. Het certificaat zal in ieder geval
hooguit de geldigheidsduur van de norm bedragen.
Verder kunnen voor de certificerende instellingen regels worden gesteld over het verstrekken,
weigeren, schorsen of intrekken van een certificaatdoor een certificerende instelling(onderdeel
b). Het kan hierbij bijvoorbeeld gaan om de wijze waarop de certificerende instelling
de aanvraagprocedure dient in te richten en de termijn waarbinnen op een aanvraag
moet worden beslist.
Verder kunnen nadere regels gesteld worden aan het informeren van de Minister over
het intrekken of schorsen van een certificaat of accreditatie (onderdeel c).
Tweede lid
Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te
bepalen regels voor de certificerende instellingen. Te denken valt bijvoorbeeld aan
de wijze waarop en de snelheid waarmee de Minister op de hoogte dient te worden gebracht
van een intrekking of schorsing van een certificaat door een certificerende instelling.
Artikel 3.4 (kosten aanvraag en andere werkzaamheden certificering door de Minister)
Eerste lid
In dit artikel is een grondslag opgenomen om bij AMvB nadere regels te stellen over
de vergoeding van de kosten die betrekking hebben met certificering, wanneer die door
de Minister wordt verzorgd. Aan certificering zijn immers kosten verbonden. Normaliter
worden die door de aanvrager betaald aan de certificerende instellingen. De Minister
kan echter overgaan tot certificering, indien de continuïteit van het uitwisselen
van gegevens in een aangewezen gegevensuitwisseling dit vereist (artikel 3.2, zevende
lid). Dat wil zeggen dat de Minister de werkzaamheden waarneemt in het geval er geen
enkele certificerende instelling beschikbaar is voor een aangewezen gegevensuitwisseling.
De grondslag maakt het mogelijk om de kosten die de Minister dan maakt door te berekenen
aan de aanvragen voor een certificaat of de al bestaande certificaathouder. Hiermee
kan worden voorkomen dat de overheid – en dus de belastingbetaler – de kosten dragen
voor een partij die een marktactiviteit verricht, wat onwenselijk is en overigens
ook staatssteunvragen opwerpt.
Tweede lid
Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te
bepalen regels inzake de kosten die de Minister bij certificering. Beoogd is dat bij
AMvB rekenregels worden opgenomen en bij ministeriële regeling tarieven worden vastgesteld.
Artikel 3.5 (verstrekken certificaat)
Eerste lid
Degene die een informatietechnologieproduct of – dienst wil aanbieden aan een zorgaanbieder
om te gebruiken bij een aangewezen gegevensuitwisseling zal een aanvraag moeten indienen
bij een aangewezen certificerende instelling. Om een certificaat te kunnen verkrijgen
dient een aanvrager aan te tonen dat het informatietechnologieproduct of de -dienst
voldoet aan de eisen die gesteld zijn aan dat informatietechnologieproduct of die
-dienst op grond van artikel 1.4, tweede lid (aanwijzing onder b, spoor 2). Concreet
betekent dit dat voldaan moet worden aan de eisen die in de bij AMvB aangewezen norm
zijn opgenomen en zoals die vervolgens zijn neergelegd in een door de NEN te ontwikkelen
certificatieschema. Hierop toetst een certificerende instelling bij het verstrekken
van certificaten en bij het verrichten van audits.
Tweede lid
Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling
wordt ingetrokken. Dit kan bijvoorbeeld zijn om de certificerende instelling zich
van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende
instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet
werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing.
Uit het intrekken van de aanwijzing of accreditatie van de certificerende instelling
kan niet direct een oordeel gegeven worden over de vraag of het informatietechnologieproduct
of – dienst voldoet aan de norm die geldt voor de aangewezen gegevensuitwisseling
waarvoor het informatietechnologieproduct of -dienst wordt gebruikt. In alle gevallen
geldt echter dat een overgangstermijn nodig is waarin de aanbieder van het informatietechnologieproduct
of -dienst een nieuwe certificerende instelling kan vinden die de taken van de vorige
certificerende instelling kan overnemen. In het tweede lid wordt daarom voorgesteld
dat de door de weggevallen certificerende instelling afgegeven certificaten voor een
informatietechnologieproduct of -dienst nog twaalf maanden geldig zijn. Deze termijn
geldt ook wanneer de geldigheid van het certificaat zelf korter was. In deze twaalf
maanden kan de aanbieder van het informatietechnologieproduct of de -dienst doorgaan
met het product of de dienst op de markt te brengen. Zoals hiervoor aangegeven zegt
het wegvallen van de certificerende instelling in eerste instantie namelijk niets
over de conformiteit van het informatietechnologieproduct of -dienst met de norm.
Mocht er geen opvolgende certificerende instelling zijn dan kan eventueel worden teruggevallen
op artikel 3.2, zevende lid, waarbij de Minister de dossiers en de taken overneemt
van de wegvallende certificerende instelling.
De nieuwe certificerende instelling (of de Minister) neemt de taken voor het gecertificeerde
informatietechnologieproduct of -dienst over van de vorige certificerende instelling.
In bepaalde gevallen kan worden volstaan met het voortzetten van de reguliere audits
en toezicht. Bijvoorbeeld in het geval de certificerende instelling die het certificaat
oorspronkelijk heeft afgegeven zich vrijwillig van de markt terugtrekt. Het kan ook
echter zijn dat een certificerende instelling gedwongen wordt zich terug te trekken
doordat de accreditatie of aanwijzing wordt ingetrokken. In die gevallen kunnen twijfels
bestaan over het gecertificeerde informatietechnologieproduct of -dienst. In dat geval
zal de nieuwe certificerende instelling (of de Minister) die de dossiers heeft overgenomen
dienen te onderzoeken of het certificaat voor het informatietechnologieproduct of
-dienst op terechte gronden is verleend. Wanneer de uitkomst daarvan negatief is zal
de opvolgende certificerende instelling (of in uitzonderlijke situaties de Minister)
het certificaat schorsen of intrekken. Voor een toelichting wat de gevolgen zijn van
het intrekken van het certificaat van een informatietechnologieproduct of -dienst
wordt verwezen naar de toelichting op artikel 3.6, derde en vierde lid.
Artikel 3.6 (schorsen of intrekken van een certificaat)
Eerste lid
Het is van groot belang voor de zorgaanbieders dat erop vertrouwd kan worden dat het
informatietechnologieproduct of de -dienst aan de eisen voldoet en blijft voldoen.
Wanneer bij bijvoorbeeld een audit blijkt dat het eerder afgegeven certificaat niet
of niet langer voldoet aan de eisen, bijvoorbeeld omdat niet aan de laatste versie
van de norm wordt voldaan, kan de certificerende instelling het certificaat schorsen
of intrekken, afhankelijk van de ernst van de gebreken. Er is gekozen om de bevoegdheid
bij de certificerende instelling neer te leggen om te bepalen of er redenen zijn om
tot schorsing of intrekking over te gaan. Wanneer slechts sprake is van niet voldoen
op ondergeschikte punten kan dit reden zijn om de certificaathouder tijd te geven
om alsnog te voldoen, zonder dat overgegaan wordt tot schorsing. Het is primair aan
de RvA om in zijn rol als toezichthouder op de certificerende instellingen erop toe
te zien dat de certificerende instellingen op een juiste manier gebruik maken van
hun bevoegdheid. Secundair houdt de Minister – op afstand – als stelselverantwoordelijke
ook toezicht op de certificerende instellingen. In paragraaf 7.4 van het algemeen
deel van deze memorie is dit nader toegelicht.
De gevolgen van het intrekken van het certificaat betekent voor de zorgaanbieder dat
deze in strijd handelt met artikel 2.1, derde lid. Afhankelijk van de aard van de
tekortkoming en of sprake is van schorsing of intrekking van het certificaat, betekent
dit voor de zorgaanbieder dat aanvullende maatregelen moeten worden genomen om aan
de eisen voor die aangewezen gegevensuitwisseling te blijven voldoen. Bij schorsing
kunnen tijdelijke maatregelen overwogen worden, bij intrekking van het certificaat
zal de zorgaanbieder een ander informatietechnologieproduct of -dienst moeten inkopen
die wel beschikt over het vereiste certificaat.
Tweede lid
Wanneer een certificaat wordt geschorst of ingetrokken is dat ook voor de toezichthouder
van groot belang om over geïnformeerd te worden. Daarin voorziet dit lid. De zorgaanbieder
zal immers actie moeten ondernemen op het moment dat de informatietechnologieproducten
of – diensten die gebruikt worden, maar niet langer voorzien zijn van een geldig certificaat.
De toezichthouder zal erop moeten toezien of de zorgaanbieder dat ook doet.
Derde en vierde lid
Wanneer een certificaat wordt ingetrokken kan een zorgaanbieder niet van de een op
de andere dag het gebruik van het informatietechnologieproduct of -dienst staken zonder
de gegevensuitwisseling in gevaar te brengen. Het zal immers tijd kosten voordat een
nieuw informatietechnologieproduct of -dienst is aangeschaft en is geïmplementeerd.
Het is wel de bedoeling dat deze tijd zo kort mogelijk is, omdat het informatietechnologieproduct
of -dienst niet (volledig) voldoet aan de voor die aangewezen gegevensuitwisseling
geldende norm. Daarom is ervoor gekozen een standaardtermijn van zes maanden te hanteren
(derde lid). Wanneer blijkt (uit onder andere de informatie die de IGJ verstrekt)
dat de zes-maanden-termijn onredelijk kort is, kan de Minister de termijn voor het
voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen
(vierde lid).
Artikel 4.1 (toezicht op de naleving)
In dit artikel is het toezicht op het bepaalde bij of krachtens dit wetsvoorstel geregeld.
Het gaat om toezicht op de verplichtingen die aan zorgaanbieders worden opgelegd en
op de eisen die aan informatietechnologieproducten of -diensten worden gesteld. Bovendien
wordt naast het private toezicht door de RvA voorzien een publiekrechtelijk stelseltoezicht
op certificerende instellingen. In paragraaf 7.1 van het algemeen deel van deze memorie
is de regeling van het toezicht nader toegelicht.
Met het derde lid is beoogd om voor gegevens vergelijkbare bevoegdheden te verschaffen
als opgenomen in de artikelen 5:16 en 5:17 van de Awb. Het gaat dan om het recht om
inlichtingen te vorderen (artikel 5:16 Awb), het recht om inzage te vorderen (artikel
5:17, eerste lid, Awb) en het recht om kopieën te maken (artikel 5:17, tweede lid,
Awb).
De gegevens waarop het toezichtinstrumentarium betrekking kunnen hebben, zijn gegevens
als die worden uitgewisseld in een aangewezen gegevensuitwisseling als bedoeld in
artikel 1.4, eerste lid. Dit kunnen gegevens over de gezondheid van de cliënt betreffen.
Gegevens over de gezondheid vallen onder de categorieën bijzondere persoonsgegevens
in de zin van artikel 9 van de Algemene verordening gegevensbescherming (hierna: AVG)
en paragraaf 3.1 van de Uitvoeringswet AVG (hierna: UAVG). Deze gegevens vallen onder
het medisch beroepsgeheim. Dit lid voorziet in de – op grond van artikel 7:457, eerste
lid, van het BW en artikel 6, eerste lid, onderdeel e, juncto artikel 9, tweede lid,
onderdeel g, van de AVG – vereiste wettelijke grondslag voor doorbreking van het medisch
beroepsgeheim respectievelijk de verwerking van categorieën van bijzondere persoonsgegevens.
Artikel 10 van de Gw bepaalt dat eenieder, behoudens bij of krachtens de wet te stellen
beperkingen, recht heeft op eerbiediging van zijn persoonlijke levenssfeer. Ingevolge
artikel 8, tweede lid, van het EVRM, is beperking van dit recht uitsluitend toelaatbaar
indien de beperking is voorzien bij wet, zij een legitiem doel dient en zij «noodzakelijk
is in een democratische samenleving». Het onderhavige voorstel voorziet in een wettelijke
beperking van dit grondrecht, namelijk het zonder toestemming van de betrokkene inzage
krijgen in of gebruik maken van (kopieën maken of de gegevens voor korte tijd mee
te nemen) persoonsgegevens, waaronder gegevens over de gezondheid van de clíënt. Aan
artikel 10 Gw en het eerste criterium van artikel 8, tweede lid, van het EVRM wordt
derhalve voldaan. Het legitieme doel dat gediend wordt en de noodzaak hiervan (artikel
8, tweede lid, EVRM), betreft de bescherming van de volksgezondheid. Immers, goede
en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit
van zorg. Door te regelen hoe gegevens moeten worden uitgewisseld kunnen de randvoorwaarden
worden gesteld om goede zorg te verlenen. Voor het toezicht op de naleving van dit
wetsvoorstel is het noodzakelijk dat de toezichthoudende ambtenaren, zonder toestemming,
de persoonsgegevens van cliënten kunnen inzien om te kunnen controleren of de gegevens
correct zijn uitgewisseld en of bijvoorbeeld informatie die van belang is voor de
veiligheid van een cliënt niet ontbreekt in de uitgewisselde gegevens. Inzage in de
gegevens over de gezondheid van de cliënt is belangrijk om de betrouwbaarheid, volledigheid
en de correctheid van de elektronische uitwisseling van gegevens te kunnen verifiëren.
Als de toezichthoudende ambtenaren (bijzondere persoons)gegevens nodig hebben kunnen
zij deze ingevolge dit voorstel door inzage ter plaatse verkrijgen. De toezichthoudende
ambtenaren beschikken op grond van dit voorstel ook over de bevoegdheid om inlichtingen
te vorderen, waarbij degene bij wie de gegevens of bescheiden worden gevorderd deze
zelf aan de toezichthoudende ambtenaren verstrekt, en over de bevoegdheid om afschriften
van de gegevens te maken. Zo nodig kunnen gegevens voor korte tijd worden meegenomen
om daarvan een afschrift te maken.
De toezichthoudende ambtenaren zijn bij de uitoefening van hun toezichthoudende taak
gebonden aan artikel 5:13 van de Awb, waarin is bepaald dat een toezichthouder slechts
gebruik mag maken van zijn bevoegdheden voor zover dat redelijkerwijs nodig is voor
de vervulling van zijn taak. In de specifieke wetten, als ook in het onderhavige wetsvoorstel
is voorts expliciet bepaald dat uitsluitend van die bevoegdheid gebruik mag worden
gemaakt als dat voor de vervulling van de taak van de inspectie noodzakelijk is.
De uitoefening van deze toezichtsbevoegdheden moet eveneens in overeenstemming zijn
met de (U)AVG. Onder meer geldt daarbij dat de gegevensverwerking beperkt dient te
blijven tot het noodzakelijke (minimale gegevensverwerking), de persoonsgegevens in
beginsel niet langer worden bewaard dan noodzakelijk is voor het doel van de verwerking
(opslagbeperking) en dat een passende beveiliging van de persoonsgegevens gewaarborgd
is.
Wat betreft de opslagbeperking wordt opgemerkt dat bij de uitoefening van deze toezichtsbevoegdheden
sprake kan zijn van het bewaren van bijzondere categorieën van persoonsgegevens. Dit
is bijvoorbeeld aan de orde als de toezichthoudende ambtenaren het in de betreffende
situatie noodzakelijk acht om van bepaalde persoonsgegevens kopieën te maken of de
persoonsgegevens voor dat doel voor korte tijd mee te nemen. De (U)AVG geeft geen
concrete bewaartermijn. Het bewaren van persoonsgegevens als hier bedoeld is toegestaan
voor zover dit noodzakelijk is voor de verwezenlijking van het doel waarmee de gegevens
worden verzameld of verwerkt. Dit is een algemene regel waarvan de uitwerking per
situatie kan verschillen en waaraan in de uitvoering nader invulling zal moeten worden
gegeven.
Artikel 4.2 (handhaving artikel 2.1)
In dit artikel is de handhaving op de verplichtingen, bedoeld in artikel 2.1, geregeld.
In paragraaf 7.1 van het algemeen deel van de memorie van toelichting is hier al uitgebreid
op ingegaan. Aangezien de verplichtingen zich richten tot de zorgaanbieders, richt
de handhaving (en in het verlengde daarvan, het toezicht, bedoeld in artikel 4.1)
zich ook tot de zorgaanbieders.
Artikel 4.3 (handhaving artikel 3.1)
In dit artikel is de handhaving op naleving van de eisen, bedoeld in artikel 3.1,
geregeld. In paragraaf 7.3 van het algemeen deel van de memorie van toelichting is
hier al uitgebreid op ingegaan. De handhaving (en in het verlengde daarvan, het toezicht,
bedoeld in artikel 4.1) richt zich tot de degene die de informatietechnologieproducten
of -diensten aanbiedt aan de zorgaanbieders. Dit kunnen de producenten zijn, tussenpersonen
of eindleveranciers. Ook kan een bestuurlijk boete worden opgelegd aan degene die
het mogelijk maakt dat de zorgaanbieder een niet-gecertificeerd informatietechnologieproduct of -dienst gebruikt of blijft gebruiken door
ondersteuning in het product- of dienstgebruik te bieden. Er bestaat vaak een (langdurige)
relatie tussen de leverancier en de zorgaanbieder bij de ondersteuning van het ingekochte
softwarepakket met bijbehorende dienstverlening en in bepaalde gevallen bijbehorende
hardware. Op de leverancier blijft in dat geval de verantwoordelijkheid rusten voor
een juiste certificering van de informatietechnologieproducten – en diensten.
Artikel 5.1 (nadere regels over informatieverwerking)
Eerste lid
In dit artikel is geregeld dat bij AMvB regels gesteld kunnen worden over de verwerking
van informatie die noodzakelijk is voor de uitvoering van de wettelijke taken of beleidsvorming.
Gedacht kan bijvoorbeeld worden aan informatie van certificerende instellingen of
van de Raad van Accreditatie ten behoeve van de evaluatie van het wetsvoorstel (artikel
9.1). Het begrip informatie dient breed opgevat te worden. Het kan bijvoorbeeld ook
persoonsgegevens betreffen.
Tweede lid
Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te
bepalen regels voor informatie-uitwisseling. Te denken valt bijvoorbeeld aan regels
over de wijze waarop en de frequentie waarmee de informatie uitgewisseld wordt.
Artikel 6.1 (voorhangprocedure)
In dit artikel is een waarborg voor parlementaire betrokkenheid opgenomen bij de uitwerking
van de normstelling, in de vorm van een voorhangprocedure bij beide kamers der Staten-Generaal.
Dat betekent dat ontwerpen van AMvB eerst aan het parlement worden voorgelegd, voordat
die aan de Afdeling advisering van de Raad van State voor advies worden voorgelegd.
Met die voorhangprocedure heeft het parlement de mogelijkheid om, naast de sturing
op de hoofdlijnen van de wet, vroegtijdig rechtstreeks invloed uit te oefenen op de
uitwerking van de regels op het gebied van gegevensuitwisseling in de zorg door middel
van een elektronische infrastructuur.
Deze bepaling geldt als vervanging van de voorhangbepalingen in artikel 15j, tweede
lid, van de Wabvpz, artikel 8:22, derde lid, van de Wvggz, en artikel 18c, zevende
lid, van de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen
gegevensuitwisseling. Op grond van de bepalingen in paragraaf 6 van het wetsvoorstel
vallen deze gegevens dan niet langer onder de genoemde wetten (met bijbehorende voorhangprocedure),
maar komen dan onder het wetsvoorstel te vallen. Het is evident dat de bijbehorende
voorhangprocedure mee over gaat in dit wetsvoorstel.
Van de drie genoemde wetten kent de Wabvpz de meest zware voorhangprocedure. De in
dit wetsvoorstel opgenomen voorhangbepaling is gelijk aan de voorhangprocedure, bedoeld
in die wet. Zo wordt de vroegtijdige rechtstreeks invloed van het parlement in dit
wetsvoorstel stevig geborgd. Dit betekent wel een verzwaring van de voorhangprocedure
van de Wvggz en de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij
een aangewezen gegevensuitwisseling. Omwille van de uniformiteit en duidelijkheid
is echter niet gekozen om verschillende voorhangbepalingen op te nemen.
Artikel 7.1 (aanpassing Wet aanvullende bepalingen verwerking persoonsgegevens in
de zorg)
De reikwijdte van de Wabvpz komt grotendeels overeen met de reikwijdte van het wetsvoorstel.
Op grond van artikel 15j, eerste lid, Wabvpz kunnen bij AMvB regels worden gesteld
over de functionele, technische en organisatorische maatregelen voor het beheer, de
beveiliging en het gebruik van een zorginformatiesysteem51 of een elektronisch uitwisselingssysteem.52 De AMvB onder de Wabvpz moet worden voorgehangen.
Onder artikel 15j, eerste lid, hangt het Besluit elektronische gegevensverwerking
door zorgaanbieders (hierna: Begz).53 In het Begz worden eisen gesteld aan de beveiliging van elektronische zorginformatiesystemen
en elektronisch uitwisselingssystemen. Artikel 5, tweede lid, Begz is uitgewerkt in
het Besluit vaststelling bewaartermijn logging.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze
waarop (hoe) gegevens door middel van een elektronische infrastructuur moeten worden
uitgewisseld. Dit kan ook gaan om eisen aan zorginformatiesystemen of een elektronisch
uitwisselingssystemen als bedoeld in de Wabvpz. Voorkomen moet worden dat deze eisen
ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico
dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien
en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 15j, eerste
lid, Wabvpz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld
bij een aangewezen gegevensuitwisseling.
Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling
wordt aangewezen, de regels die gesteld zijn op grond van artikel 15j van de Wabvpz
op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen
van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel.
Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wabvpz
valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in
ieder geval de eisen uit het Begz en het Besluit vaststelling bewaartermijn logging
opgenomen worden. Opgemerkt wordt dat bij AMvB daarnaast aanvullende eisen opgenomen
kunnen worden.
Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent, ontstaat op
dit punt geen nieuwe situatie.
Artikel 7.2 (aanpassing Wet kwaliteit, klachten en geschillen zorg)
Onderdeel A
In paragraaf 2.3.3 van het algemeen deel van deze memorie is toegelicht dat onderdelen
van de professionele standaard zich niet lenen als bron waarnaar in de eisen die bij
het wetsvoorstel worden gesteld naar verwezen kan worden vanwege het ontbreken van
rechtszekerheid.
In dit onderdeel is in het verlengde daarvan daarom bepaald dat een wijziging van
goede zorg die afwijkt van de wettelijk verplichte gegevensuitwisseling door middel
van een elektronische infrastructuur alleen kan via de weg van de kwaliteitsstandaarden.
Als het gewenst is om afspraken te maken over de goede zorg die niet in overstemming
zijn met de eisen die bij AMvB zijn gesteld, moeten zorgverleners en zorgaanbieders
de procedure voor de kwaliteitsstandaarden bij het Zorginstituut volgen. Het gaat
daarbij uitsluitend over het onderdeel in de kwaliteitsstandaard waarin is vastgelegd
welke gegevens voor de andere zorgverleners nodig zijn en dus uitgewisseld moeten
worden.
Onderdeel B
Om te borgen dat de relatie tussen welke gegevens die onderdeel zijn van de goede
zorg (vastgelegd in kwaliteitsstandaarden) en de eisen hoe moeten worden uitgewisseld
actueel en correct blijft, zal zicht gehouden moeten worden op die relatie. Wanneer
een kwaliteitsstandaard als grondslag dient voor een aangewezen gegevensuitwisseling
en daarmee als basis dient voor een norm is het van belang dat het Zorginstituut de
Minister informeert wanneer een wijziging van de in die norm gehanteerde kwaliteitsstandaard
wordt voorgedragen.
Artikel 7.3 (aanpassing Wet publieke gezondheid)
De zorg die verleend wordt onder de Wpg valt onder de reikwijdte van het wetsvoorstel.
Jeugdgezondheidszorg is onderdeel van de publieke gezondheidszorg als bedoeld in de
Wpg. Het college van burgemeester en wethouders is bij deze vorm van zorg zorgaanbieder.
In de Wpg staat in artikel 5, derde lid, onderdeel b, dat het college van burgemeester
en wethouders er zorg voor moet dragen dat bij de uitvoering van de taak, bedoeld
in artikel 5, eerste lid, (zorgdragen voor de uitvoering van de jeugdgezondheidszorg)
gebruik moet worden gemaakt van digitale gegevensopslag, onder bij regeling van Onze
Minister te stellen eisen aan de daarbij te gebruiken software, voor zover het gaat
om vastleggen van patiëntgegevens als bedoeld in artikel 7:454 van het BW. In de Regeling
eisen software ex artikel 5, derde lid, Wet publieke gezondheid (hierna: Regeling
software) is hier uitvoering aan gegeven. In de Regeling software staat dat gebruik
moet worden gemaakt van software die digitale overdracht en uniforme registratie mogelijk
maakt en die ten minste een aantal nader genoemde rubrieken bevat. In de Regeling
software wordt dus bepaald hoe gegevens geregistreerd moeten worden (de genoemde rubrieken)
en wordt aangegeven dat digitale overdracht mogelijk moet zijn. Er wordt niet bepaald
met welke software deze gegevens moeten worden vastgelegd opdat digitale uitwisseling
mogelijk is. Welke software hiervoor toepasselijk is, is aan de uitvoerende partijen
overgelaten.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB te eisen dat het uitwisselen van
gegevens door middel van een elektronische infrastructuur plaats moet vinden en op
welke wijze dit moet gebeuren. Voorkomen moet worden dat deze eisen ook nog bij of
krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen
niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd.
Hoewel artikel 5, derde lid, onderdeel b, Wpg gaat over het elektronische opslaan
en niet op elektronische uitwisselen van gegevens, zien de eisen die zijn opgenomen
in de Regeling software wel op het elektronisch uitwisselen, of zijn met het oog daarop
opgenomen.
De eis in de Regeling software dat gebruik moet worden gemaakt van software die digitale
overdracht mogelijk maakt, zal, zoals in paragraaf 5.1 aangegeven, als de jeugdgezondheidszorg
bij AMvB als gegevensuitwisseling wordt aangewezen, aangepast worden in een verplichting
om gegevens uit te wisselen door middel van een elektronische infrastructuur. De eisen
dat die software uniforme registratie mogelijk maakt en ten minste een aantal nader
genoemde rubrieken bevat, zal zijn beslag moeten krijgen in de eisen die bij AMvB
worden gesteld. Daarom wordt met dit wetsvoorstel geregeld dat artikel 5, derde lid,
onderdeel b, Wpg vervalt als artikel 6.3 in werking treedt.
Artikel 7.4 (aanpassing Wet verplichte geestelijke gezondheidszorg)
De zorg die verleend wordt onder de Wvggz kan onder de reikwijdte van het wetsvoorstel
vallen. Op grond van artikel 8:22, tweede lid, Wvggz moeten bij of krachtens AMvB
regels worden gesteld over de wijze waarop de gegevensverwerkingen die voortvloeien
uit die wet worden ingericht en met aanvullende waarborgen worden omkleed, waaronder
begrepen de technische standaarden daarvoor. Onder gegevensverwerking valt ook het
uitwisselen van gegevens. Het kan daarbij gaan om het uitwisselen van gegevens tussen
zorgverleners, zoals bijvoorbeeld in een geval als bedoeld in artikel 8:16, zesde
lid, Wvggz.
De AMvB onder de Wvggz moet worden voorgehangen. Op grond van de Wvggz kan een dwangsom
worden opgelegd bij overtreding van artikel 8:22, tweede lid, Wvggz.
Aan de verplichting in artikel 8:22, tweede lid, is uitvoering gegeven in artikel
3.1 van het Besluit verplichte geestelijke gezondheidszorg (hierna: Bvggz) en in artikel
10 van de Regeling verplichte geestelijke gezondheidszorg (hierna: Rvggz).
In artikel 3.1 Bvggz is bepaald dat technische en organisatorische maatregelen genomen
moeten worden om te borgen dat persoonsgegevens zijn beveiligd tegen: verlies of aantasting
of onbevoegde kennisneming, opneming, wijziging, verwijdering of verstrekking. Daartoe
worden een aantal minimale maatregelen genoemd. Daarnaast staat in 3.1 Bvggz dat een
inrichting van die gegevensverwerking zodanig moet zijn dat wordt geborgd dat de verstrekking
van gegevens die voortvloeit uit de wet doelmatig en tijdig plaats kan vinden en dat
de te verstrekken gegevens actueel, juist en volledig zijn. De verplichtingen zijn
gericht tot de verwerkingsverantwoordelijke.
In artikel 10 Rvggz is geregeld dat ten aanzien van gegevensverwerkingen door zorgaanbieders
die voortvloeien uit de wet en de daarop berustende bepalingen voldaan moet worden
aan NEN 7510, en de uitwerking daarvan in NEN 7512.
Met dit wetsvoorstel wordt het mogelijk om bij of krachtens AMvB eisen te stellen
aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische
infrastructuur tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat
deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege
het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen
wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel
8.22, tweede lid, Wvggz niet van toepassing is voor zover het gaat om gegevens die
worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling
wordt aangewezen, de regels van de Wvggz op het uitwisselen van die gegevens niet
meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling
valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een
gegevensuitwisseling die nu onder de Wvggz valt en overgaat naar het regime van het
wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Bvggz en de
Rvggz opgenomen worden. Uiteraard kunnen bij AMvB daarnaast aanvullende eisen opgenomen
worden.
Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent en de mogelijkheid
biedt om een last onder dwangsom op te leggen, ontstaat op die punten geen nieuwe
situatie.
Artikel 7.5 (aanpassing Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte
cliënten)
De zorg die verleend wordt onder de Wzd aan psychogeriatrische en verstandelijk gehandicapte
cliënten valt onder de Wkkgz en dus binnen de reikwijdte van het wetsvoorstel. Op
grond van artikel 18c, zesde lid, Wzd moeten bij of krachtens AMvB regels worden gesteld
over de wijze waarop de gegevensverwerkingen die voortvloeien uit die wet worden ingericht
en met aanvullende waarborgen worden omkleed, waaronder begrepen de technische standaarden
daarvoor. Onder gegevensverwerking valt ook het uitwisselen van gegevens. De AMvB
moet worden voorgehangen. Daarnaast is relevant dat op grond van de Wzd een dwangsom
kan worden opgelegd bij overtreding van artikel 18c, zesde lid, Wzd.
Aan de verplichting in artikel 18c, zesde lid, Wzd is uitvoering gegeven in artikel
4.1 van het Besluit zorg en dwang psychogeriatrische en verstandelijk gehandicapte
cliënten (hierna: Bzd) en in artikel 8 van de Regeling zorg en dwang psychogeriatrische
en verstandelijk gehandicapte cliënten (hierna: Rzd).
In artikel 4.1 Bzd is bepaald dat technische en organisatorische maatregelen genomen
moeten worden om te borgen dat persoonsgegevens zijn beveiligd tegen: verlies of aantasting
of onbevoegde kennisneming, opneming, wijziging, verwijdering of verstrekking. Daartoe
worden een aantal minimale maatregelen genoemd. Daarnaast staat in artikel 4.1 Bzd
dat een inrichting van die gegevensverwerking zodanig moet zijn dat wordt geborgd
dat de verstrekking van gegevens die voortvloeit uit de wet doelmatig en tijdig plaats
kan vinden en dat de te verstrekken gegevens actueel, juist en volledig zijn. De verplichtingen
zijn gericht tot de verwerkingsverantwoordelijke.
In artikel 8 Rzd is geregeld dat ten aanzien van gegevensverwerkingen door zorgaanbieders
die voortvloeien uit de wet en de daarop berustende bepalingen voldaan moet worden
aan NEN 7510, en de uitwerking daarvan in NEN 7512.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze
waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur
tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat deze eisen ook
nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico
dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien
en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 18c, zesde
lid, Wzd niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld
bij een aangewezen gegevensuitwisseling.
Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling
wordt aangewezen, de regels van de Wzd op het uitwisselen van die gegevens niet meer
van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling
valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een
gegevensuitwisseling die nu onder de Wzd valt en overgaat naar het regime van het
wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Bzd en de Rzd
opgenomen worden. Uiteraard kunnen bij AMvB daarnaast aanvullende eisen opgenomen
worden.
Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent en de mogelijkheid
biedt om een last onder dwangsom op te leggen, ontstaat op die punten geen nieuwe
situatie.
Artikelen 8.1 en 8.2 (eerste en tweede samenloopbepaling)
De formulering van het voorliggende wetsvoorstel is afhankelijk van de inwerkingtreding
van de Wet van 3 maart 2021 tot wijziging van de Algemene wet bestuursrecht en enkele
andere wetten in verband met het nieuwe omgevingsrecht en nadeelcompensatierecht (Stb. 2021, 135) (hierna: Wet wijziging Awb). Daarom zijn twee samenloopbepalingen opgenomen. Artikel
8.1 regelt de situatie dat de Wet wijziging Awb gelijktijdig met of eerder inwerking
treedt dan het voorliggende wetsvoorstel. Artikel 8.2 regelt de situatie dat het de
Wet wijziging Awb later in werking treedt dan het voorliggende wetsvoorstel.
Artikelen 9.1 tot en met 9.3 (evaluatiebepaling, inwerkingtreding en citeertitel)
In de slotbepalingen zijn artikelen opgenomen met betrekking tot evaluatie (zie paragraaf
10.1 van het algemeen deel van deze memorie), inwerkingtreding (zie paragraaf 10.3
van het algemeen deel van deze memorie) en de citeertitel.
De Minister voor Medische Zorg,
T. van Ark
Ondertekenaars
-
Eerste ondertekenaar
T. van Ark, minister voor Medische Zorg
Bijlagen
Stemmingsuitslagen
Aangenomen met handopsteken
| Fracties | Zetels | Voor/Tegen |
|---|---|---|
| VVD | 34 | Voor |
| D66 | 24 | Voor |
| PVV | 17 | Voor |
| CDA | 14 | Voor |
| PvdA | 9 | Voor |
| SP | 9 | Voor |
| GroenLinks | 8 | Voor |
| PvdD | 6 | Voor |
| ChristenUnie | 5 | Voor |
| FVD | 5 | Voor |
| DENK | 3 | Voor |
| Groep Van Haga | 3 | Voor |
| JA21 | 3 | Voor |
| SGP | 3 | Voor |
| Volt | 2 | Voor |
| BBB | 1 | Voor |
| BIJ1 | 1 | Voor |
| Fractie Den Haan | 1 | Voor |
| Gündogan | 1 | Voor |
| Omtzigt | 1 | Voor |
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.