Home
Kamerstukken

Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag

35 824 Regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg)

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 19 oktober 2021

Mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, wil
ik de leden van de fracties van de VVD, D66, de PVV, het CDA, de SP, GroenLinks, PvdD
en de SGP danken voor hun inbreng op het voorliggende wetsvoorstel houdende regels
inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen
gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg). Ik stel
vast dat de leden van de verschillende fracties de doelen van het wetsvoorstel onderschrijven.
Met belangstelling heb ik kennisgenomen van de vragen die de verschillende fracties nog bij het wetsvoorstel hebben. De beantwoording van de vragen is geplaatst in de integrale tekst
van het verslag. Met deze nota naar aanleiding van het verslag ontvangt u ook een
nota van wijziging, waarmee verduidelijkt wordt dat het wetsvoorstel niet verplicht
tot het uitwisselen van gegevens.

I. ALGEMEEN

De leden van de PVV-fractie zouden graag een overzicht ontvangen van alle concrete
stappen die er door het veld gezet zijn ten aanzien van het elektronisch uitwisselen
van medische gegevens sinds het verwerpen door de Eerste Kamer van het wetsvoorstel
voor het Elektronisch Patiënten Dossier (EPD/LSP). Aanvullend hierop zien deze leden
graag een toelichting waarom dit nog niet genoeg is en waarom de regering nu aan zet
is.

Door het veld zijn – met ondersteunende programma’s en maatregelen van mijn ministerie
– belangrijke stappen in de goede richting gezet en is er een basis gelegd op weg
naar het realiseren van genormaliseerde, en daarmee onafhankelijk van een specifieke
elektronische infrastructuur, uitwisseling van gegevens. Het zorglandschap en de bijbehorende
gegevensuitwisseling zijn evenwel decentraal ingericht. Daarom heb ik alleen een globaal
overzicht van de stappen die door het veld zijn gezet.

Ondanks de stappen die in de afgelopen jaren door het zorgveld zijn gezet, is de gewenste
volledig interoperabele gegevensuitwisseling tot op heden niet gerealiseerd. Dit blijkt
uit het genoemde globale overzicht, praktijkvoorbeelden, en het verzoek vanuit zowel
het veld als uw Kamer1 aan het kabinet om meer regie te nemen. Met dit wetsvoorstel wil ik graag tegemoetkomen
aan dit verzoek en wordt de gevraagde regie genomen.

Genoemde leden van de PVV-fractie constateren dat tijdens de coronacrisis de digitalisering
in de hele zorgsector een enorme vlucht heeft genomen. Gegevensuitwisseling kwam tot
stand zonder wetgeving, zonder kwaliteitsstandaarden en certificering. Kan de regering
hierop reflecteren en nogmaals het belang van dit wetsvoorstel uitleggen nu er al
zo’n omvangrijke inhaalslag is behaald?

Zoals de PVV-fractie aangeeft heeft de coronacrisis er inderdaad voor gezorgd dat
digitalisering in de zorg een hoge vlucht heeft genomen. Maar waar op het gebied van
zorg op afstand toepassingen breder werden ingezet, werd juist op het gebied van gegevensuitwisselingen
tekortkomingen bij de verplaatsing van cliënten sterk gevoeld. In de zorg worden tussen
zorgverleners altijd al gegevens uitgewisseld, en de laatste jaren worden al meer
gegevens elektronisch uitgewisseld. Dit gebeurt echter regionaal, soms per zorgaanbieder,
ad hoc, en soms – zoals bij de coronacrisis – als reactie op een situatie die een
doorbraak kan brengen in bestaande praktijken. Met voorliggend wetsvoorstel wil ik
echter een gedegen wettelijke basis creëren om veel gebruikte gegevensuitwisselingen
in de zorg verplicht elektronisch uit te wisselen. Waarbij ook oog is voor onder andere
techniek, informatiebeveiliging en authenticatie.

De leden van de PVV-fractie zijn van mening dat de mogelijkheid voor het niet-elektronisch
uitwisselen van gegevens moet blijven bestaan. Een simpel voorbeeld is het papieren
vaccinatieboekje dat naast een digitale corona-app of een Digital Green Certificate
(DGC) blijft bestaan. De leden van de PVV-fractie denken dat zich ook omstandigheden
kunnen voordoen dat elektronische uitwisseling niet mogelijk is. Denk aan een storing
in het mobiele datanetwerk en de apps niet werken. Of dat in het geval van een datalek
uitwisseling via een digitaal netwerk niet kan plaatsvinden. Genoemde leden zijn daarom
voorstander van beide mogelijkheden naast elkaar: elektronisch en niet-elektronisch
uitwisselen. Zij ontvangen in dit kader graag een reactie van de regering.

Met het voorliggende wetsvoorstel wil ik zorgaanbieders verplichten om de onder hen
ressorterende zorgverleners gegevens «ten minste» elektronisch uit te laten wisselen
(artikel 2.1, eerste lid van het wetsvoorstel). Het gaat hier om een minimaal vereiste
voor de communicatie tussen zorgverleners. Naast of aanvullend op het uitwisselen
van gegevens door middel van een elektronische infrastructuur kan nog steeds gebruik
gemaakt worden van andere communicatiemiddelen, zoals bijvoorbeeld de telefoon. Dit
laatste mag niet in plaats van het uitwisselen door middel van een elektronische infrastructuur
plaatsvinden, maar het wetsvoorstel belet zorgverleners dus niet om daarnaast ook
op andere manieren te communiceren. Zorgaanbieders moeten zoveel mogelijk voorbereid
zijn op door de PVV-fractie genoemde omstandigheden, of voorkomen dat ze in een dergelijke
situatie belanden.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel.
Patiënten en zorgverleners zijn immers gebaat bij goede elektronische uitwisseling
van medische gegevens. Deze wet kan wat deze leden betreft daarom niet snel genoeg
in werking treden. Momenteel wordt immers 40% van de arbeidstijd besteed aan administratie.
Ziekenhuizen hebben apothekersassistenten in dienst vrijwel enkel en alleen omdat
de gegevens van de apotheken niet volledig zijn. En er zijn jaarlijks 1100 doden door
medicatiefouten. Goede elektronische gegevensuitwisseling kan eraan bijdragen hier
verbetering in aan te brengen. Deze leden hebben wel nog enkele vragen bij het wetsvoorstel.

De leden van de SP-fractie hebben kennisgenomen van het wetsvoorstel en hebben hierover
de volgende vragen en opmerkingen.

Hoe is de elektronische uitwisseling van patiëntgegevens praktisch en wettelijk geregeld
in vergelijkbare landen? Is in deze landen ook gekozen voor (gedeeltelijke) verplichte
patiëntgegevensuitwisseling met genormaliseerde eisen aan taal en techniek? Wat is
de reden voor deze landen om het zo te regelen?

Eenheid van taal en techniek wordt internationaal gezien als een belangrijk instrument
om de kwaliteit en effectiviteit van de gezondheidszorg te verbeteren. Er zitten grote
verschillen in de wettelijke inrichting van de zorgstelsels van landen. Daardoor wordt
er op verschillende manieren gestuurd op het verplichten van gegevensuitwisseling
van cliëntgegevens.

De meeste landen hebben nationale of regionale bevoegdheden belegd bij overheidsorganisaties
om voorwaarden te stellen aan de wijze waarop gezondheidsgegevens van cliënten uitgewisseld
moeten worden. Veelal gaat dat via voorwaarden voor verplichte aansluiting op nationale
of regionale uitwisselingsinfrastructuren, zoals bijvoorbeeld in Denemarken, Estland,
Portugal en Frankrijk, waardoor vanuit de infrastructuur eisen worden gesteld aan
taal en techniek en dus niet via een aparte wet verplicht hoeven. Ook worden in verschillende
landen voorwaarden ten aanzien van taal en techniek meegegeven bij inkooptrajecten
waarbij de overheid de inkopende partij is, zoals in het Verenigd Koninkrijk en de
Verenigde Staten.

De leden van de SP-fractie vragen de regering of er toestemming moet worden gegeven
door de patiënt voordat de patiëntgegevens mogen worden gedeeld door de zorgverlener.
Zo ja, hoe krijgt dit precies vorm? Voorts vragen deze leden wie er toegang krijgt
tot de patiëntgegevens die elektronisch worden gedeeld. Worden deze enkel gedeeld
met zorgverleners die een behandelrelatie hebben met de patiënt?

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als
bedoeld in de Algemene verordening gegevensbescherming (hierna: AVG), een uitzonderingsgrond
op het verbod om bijzondere persoonsgegevens als bedoeld in de AVG en doorbrekingsgrond
van het medisch beroepsgeheim als bedoeld in de Wet op de geneeskundige behandelovereenkomst
(hierna: Wgbo) en de Wet op de beroepen in de individuele gezondheidszorg (hierna:
Wet BIG) is.Als de verwerkingsgrondslag en uitzonderingsgrond «toestemming» is, dan
vereist de AVG dat deze toestemming uitdrukkelijk is. Gegevens kunnen dus in de huidige
situatie – de inwerkingtreding van dit wetsvoorstel verandert daar niets in – niet
uitgewisseld worden als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond
voor het medisch beroepsgeheim is.

Daarnaast bepaalt de Wet aanvullende bepalingen verwerking persoonsgegevens zorg (hierna:
Wabvpz) dat uitdrukkelijke toestemming gegeven moet worden (zonder uitzondering) indien
gezondheidsgegevens van een cliënt vooraf beschikbaar worden gesteld in een elektronisch
uitwisselingssysteem. In relatie tot het voorliggend wetsvoorstel betekent dit dat
de wetgeving (dat wil zeggen de NEN-norm die voor een gegevensuitwisseling verplicht
wordt gesteld) niet zal bepalen dat verplichte elektronische gegevensuitwisseling
slechts via een elektronisch uitwisselingssysteem kan. De zorgverlener die gegevens
uitwisselt (binnen de wettelijke kaders) kan dit dan immers niet in alle gevallen
doen op de wijze zoals voorgeschreven in onderhavig wetsvoorstel als de cliënt niet
van tevoren uitdrukkelijke toestemming heeft gegeven.

Wanneer gezondheidsgegevens – na uitdrukkelijke toestemming – vooraf beschikbaar worden
gesteld via een elektronisch uitwisselingssysteem kunnen andere zorgaanbieders deze
gegevens raadplegen. De toestemmingsvraag moet specifiek zijn. Dit betekent onder
andere dat uit de toestemmingsvraag moet blijken welke gegevens op welk moment met
welke categorie zorgaanbieders uitgewisseld mogen worden. Het raadplegen door zorgaanbieders
is daarbij, zoals de leden van de SP-fractie terecht opmerken, alleen toegestaan wanneer
er sprake is van een behandelrelatie met de cliënt. De zorgaanbieder die de gegevens
raadpleegt mag ook enkel de gegevens raadplegen die noodzakelijk zijn voor de behandeling
van de cliënt.

Het doel is dat het voorliggend wetsvoorstel, tezamen met het andere instrumentarium,
zoals overstijgende afspraken en regie op voorzieningen, leidt tot het bereiken van
volledige interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen
zorgverleners.

De leden van de SP-fractie vragen hoe wordt voorkomen dat er misbruik wordt gemaakt
van de toegang van zorgverleners tot patiëntgegevens?

Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving
inzake gegevensbescherming, zoals neergelegd in het Europees Verdrag tot bescherming
van de rechten van de mens en de fundamentele vrijheden (hierna: EVRM), de Grondwet,
de AVG, de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG),
de Wgbo, de wet BIG en de Wabvpz. Dat betekent dat bij het uitwisselen van gegevens
altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens
worden dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als
er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond voor het medisch
beroepsgeheim is.

Om dit te kunnen waarborgen is het verder nodig dat zorgverleners zich op een veilige
en betrouwbare manier digitaal kunnen identificeren. Op dit moment gebruiken zorgverleners
de zogenaamde UZI-inlogmiddelen; deze worden uitgegeven op het hoogste betrouwbaarheidsniveau
(eIDAS Hoog) maar zijn nog niet breed (genoeg) beschikbaar. Zo beschikt nog niet iedere
individuele zorgverlener over een UZI-middel. Om ervan verzekerd te zijn dat de uitwisseling
van cliëntgegevens toekomstbestendig is, heb ik de opdracht gegeven om de huidige
UZI-middelen toekomst bestendig te maken en breed beschikbaar te stellen voor het
zorgdomein (zoals aangekondigd in Kamerstukken II 2020/21, 27 529, nr. 219). Ik streef ernaar in de eerste helft van 2022 uw Kamer te informeren over de voortgang
van de uitfasering van de UZI-pas en opvolging UZI-register.

De leden van de SP-fractie vragen de regering hoe zorgpartijen worden betrokken bij
de uitwerking van een algemene maatregel van bestuur (AMvB) en de verdere uitwerking
van deze wet.

De gekozen benadering in het wetsvoorstel zorgt ervoor dat de betrokkenheid van het
zorgveld in grote mate vereist is om tot een aangewezen gegevensuitwisseling te komen.
Het zorgveld zal in de eerste plaats zelf afspraken moeten vastleggen in een kwaliteitsstandaard
over welke gegevens voor het verlenen van goede zorg noodzakelijk zijn om uit te wisselen.
Vervolgens draagt het zorgveld een gegevensuitwisseling aan voor de Meerjarenagenda
Wegiz (hierna: MJA Wegiz). In geval van een spoor 2-aanwijzing zal een norm worden
opgesteld onder auspiciën van het Nederlands Normalisatie Instituut (hierna: NEN).
Ook dit zal niet zonder inbreng van het zorgveld tot stand komen. Zowel de concept-NEN
norm als de concept-AMvB worden vervolgens ter openbare consultatie gebracht zodat
eenieder kan inspreken op de beoogde verplichting tot elektronisch uitwisselen van
gegevens in die gegevensuitwisseling.

De leden van de SP-fractie vragen hoe kan worden voorkomen dat eventuele fouten, dan
wel onjuiste of onbevoegde gegevensuitwisseling voor patiënten, als gevolg van toenemende
gegevensdeling grote gevolgen kunnen hebben (hier waarschuwt de Raad van State voor)?

De verwachting is juist dat de kans op fouten wordt verkleind door de digitalisering.
Er hoeven immers minder gegevens te worden overgetypt of opnieuw te worden ingevoerd.
Ook hebben cliënten door logging meer zicht op welke gegevens worden gedeeld met welke
zorgverlener. Dit geldt ook voor bijvoorbeeld de Inspectie Volksgezondheid en Jeugd
(hierna: IGJ) en de Autoriteit Persoonsgegevens (hierna: AP), die door logging beter
toezicht kunnen houden op welke gegevens in het zorgproces gedeeld worden. Terecht
merkt de Raad van State op dat er een toename zal zijn van gegevensdeling. Dat maakt
het eens te meer belangrijk dat er aandacht is voor het zorgvuldig omgaan met (bijzondere)
persoonsgegevens. Ik zal daarom bij de opdrachtverlening voor de ontwikkeling van
een NEN-norm voor een aan te wijzen gegevensuitwisseling onder andere in het richtinggevende
kader aan de NEN meegeven dat de norm dient te verzekeren dat een cliënt zijn rechten
onder de AVG kan effectueren – zoals het recht op inzage, rectificatie of gegevenswissing
– en het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht)
gewijzigd kunnen worden en dat de norm dient te verzekeren dat een informatietechnologieproduct-
of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder
of zorgverlener aan zijn verplichtingen uit de AVG kan voldoen.

De leden van de SP-fractie vragen hoe er binnen het door de regering voorgestelde
systeem invulling kan worden gegeven aan de rechten van patiënten onder de Algemene
verordening gegevensbescherming (AVG), zoals het recht op inzage, rectificatie of
gegevensuitwissing?

Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving
inzake gegevensbescherming. Zo is bijvoorbeeld de AVG, met daarin het recht op inzage,
rectificatie of gegevensuitwisseling onverkort van toepassing. Bij de ontwikkeling
van NEN-normen zal ik – gezien het belang van gegevensbescherming – bovendien als
richtinggevend kader aan de NEN meegeven dat de NEN-norm moet verzekeren dat een cliënt
zijn rechten onder de AVG kan effectueren en het mogelijk moet maken dat onjuist ingevoerde
gegevens (met terugwerkende kracht) gewijzigd kunnen worden. Daarnaast geef ik als
richtinggevend kader mee dat de norm dient te verzekeren dat een informatietechnologieproduct-
of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder
of zorgverlener aan zijn verplichtingen uit de AVG kan voldoen. Hoe cliënten hun rechten
onder de AVG kunnen effectueren zal concreet worden ingevuld bij de uitwerking van
een AMvB en het opstellen van de bijbehorende NEN-norm norm en zal in de nota van
toelichting bij de AMvB worden toegelicht.

De leden van de GroenLinks-fractie hebben met interesse kennisgenomen van het wetsvoorstel.
De leden van deze fractie hebben nog een aantal vragen hierover.

De leden van de PvdD-fractie hebben met interesse kennisgenomen van het wetsvoorstel.
De leden lezen enkele goede zaken, maar lezen ook dat er verplicht elektronisch gewerkt
moet worden wanneer er sprake is van het delen van medische gegevens. Een dwang tot
het elektronisch (ver)werken van/met medische gegevens waar deze leden nog niet van
overtuigd zijn. Dit voorstel lijkt nu al te staan of vallen op één belangrijk punt:
gaat er decentraal, en dus zonder Landelijk Schakel Punt (LSP), gewerkt worden? Kan
de regering dit toezeggen?

Zoals ik vorig jaar in een brief aan uw Kamer heb medegedeeld (Kamerstukken II 2020/21,
27 529, nr. 219) is het beleid erop gericht geen infrastructuren voor specifieke gegevensuitwisselingen
te verplichten. Daarmee voldoe ik aan de motie van de leden Van Kooten-Arissen en
Hijink waarin wordt opgeroepen niet één infrastructuur te verplichten voor zorgprocessen
(Kamerstukken II 2020/21, 27 529, nr. 174). Tegelijkertijd zijn er al infrastructuren met brede dekkingsgraad voor sommige
gegevensuitwisselingen in gebruik. Om snel stappen te kunnen zetten – bijvoorbeeld
in de reductie van medicatiefouten2- hebben bepaalde sectoren zelf besloten om alsnog aan te sluiten bij het LSP.

De leden van de SGP-fractie hebben met belangstelling kennisgenomen van het voorstel
om regels vast te stellen inzake het elektronisch delen en benaderen van gegevens
tussen zorgverleners. Laagdrempelige uitwisseling van patiëntgegevens draagt bij aan
betere zorg en vermindering van de administratieve lastendruk. De leden van de SGP-fractie
steunen daarom het doel van het wetsvoorstel, namelijk het bereiken van volledige
interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen zorgverleners.
De regering komt hiermee tegemoet aan een wens vanuit het zorgveld en vanuit de Kamer.

Wel hebben de leden van de SGP-fractie vragen bij de wijze waarop de regering volledige
interoperabiliteit wil bereiken, namelijk met een langdurig normalisatie- en certificeringstraject.
Als deze leden de geschetste procedures op zich laten inwerken, komt het complex over.
Daarbij merken de leden van de SGP-fractie op dat in de toelichting nog onvoldoende
duidelijk kan worden gemaakt wat deze normalisatie en certificatietrajecten gaan opleveren.
Daarbij komt dat, voor zover genoemde leden kunnen overzien, op dit moment nog geen
enkel bestaand kwaliteitskader geschikt is om als basis te kunnen dienen voor verplichte
gegevensuitwisseling. Dat maakt het voor de leden van de SGP-fractie lastig om in
te schatten wat dit wetsvoorstel concreet in de praktijk betekent. Kan de regering
aangeven of het wetsvoorstel (en de wijze waarop het is vormgegeven) beproefd is,
bijvoorbeeld in andere landen of door middel van pilots? Heeft de regering alternatieven
overwogen om de gewenste interoperabiliteit te realiseren?

De afgelopen jaren is op verschillende manieren gewerkt om de gewenste interoperabiliteit
binnen de zorg te realiseren. Met stimuleringsgelden, afspraken met het veld en in
verschillende domeinen (zoals jeugd) is elektronisch uitwisselen afgelopen jaren verplicht.
Dit wetsvoorstel wil vooral gebruik maken van wat er al ligt, daarmee zijn alle ingrediënten
al een keer beproefd. Een voorbeeld van de bestendiging van de praktijk is de inzet
van kwaliteits- en informatiestandaarden en verplichte NEN-normen, al dan niet in
combinatie met certificering.

In de zorg zijn al verschillende NEN-normen ontwikkeld, voorbeelden van reeds verplichte
NEN-normen zijn NEN 7510 en 7512 voor informatiebeveiliging. Met de ontwikkeling van
de NEN 7516 voor veilige email is ervaring opgedaan met certificeren; sinds 2020 zijn
er inmiddels 16 verschillende leveranciers gecertificeerd. Daarnaast wordt er bij
de AMvB waarin Digitaal voorschrijven en ter handstelling (voorheen: Digitaal receptenverkeer)
wordt aangewezen gebruik gemaakt van een al bestaande norm (NEN 7503) waar op dit
moment een revisie van plaatsvindt. In deze revisie wordt er door de onafhankelijke
normcommissie van de NEN ervoor gezorgd dat deze aansluit bij de actuele afspraken
en deze gebruikt kan worden voor een wettelijke verplichting onder dit wetsvoorstel.

Met het standaardiseren van specifieke gegevensuitwisselingen bestaat ook ruime ervaring.
Zo hebben Nictiz, en andere standaardisatieorganisaties de afgelopen 15 jaar enige
tientallen informatiestandaarden voor verschillende gegevensuitwisselingen ontwikkeld
en ook geïmplementeerd.

Bij de evaluatie na vijf jaar zal aandacht worden besteed aan de werking van gemaakte
systeemkeuzes.

De leden van de SGP-fractie vragen hierbij ook om een reflectie van de regering op
het advies van de Afdeling advisering van de Raad van State (RvS), die het een risico
acht voor het bereiken van volledige interoperabiliteit dat de invulling van de regierol
van de Minister in belangrijke mate wordt begrensd door de benodigde medewerking van
betrokken partijen en het bestaande draagvlak. Het zorgveld en de ICT-leveranciers
zijn er immers tot op heden nog onvoldoende in geslaagd om interoperabiliteit tot
stand te brengen en bovendien zullen de kosten ten laste komen van de bedrijfsvoering
van zorgaanbieders, zo concludeert de RvS. Deelt de regering deze analyse?

Aangezien het zorgveld zelf heeft aangegeven stappen te willen zetten in het verder
brengen van elektronische gegevensuitwisseling in de zorg, verwacht ik dat het zorgveld
– met de verzochte regie vanuit de overheid – ook initiatief neemt om dit te realiseren.
Bij het aanmelden van een gegevensuitwisseling voor de MJA Wegiz, wordt er getoetst
op de criteria draagvlak, toegevoegde waarde en realiseerbaarheid. Op deze manier
wordt per gegevensuitwisseling onderzocht in hoeverre binnen het zorgveld de bereidheid
aanwezig is voor het elektronisch genormaliseerd uitwisselen van zorggegevens voor
een aan te wijzen gegevensuitwisseling.

Ik kan op verschillende momenten in het proces sturen. Als bijvoorbeeld de relevante
NEN-norm niet tot stand komt kan ik overgaan tot het aanwijzen van de gegevensuitwisseling,
maar dan in spoor 1. Daarmee wordt bereikt dat gegevens ten minste elektronisch worden
uitgewisseld, waarbij een norm niet nodig is.

Ik verwacht dat het wetsvoorstel eraan bijdraagt dat met het oog op een komende wettelijke
verplichting ook initiatieven ontstaan voor het komen tot gezamenlijk gedragen standaarden,
afspraken en eisen die breder toepasbaar zijn. Het wetsvoorstel werpt nu al zijn schaduw
vooruit en versnelt daarmee nu al de digitalisering. Dit is te zien bij implementatietrajecten
zoals eOverdracht en Medicatieoverdracht, waarvoor een wettelijke verplichting als
sluitstuk beoogd is. Deze trajecten zijn al gestart en maken het mogelijk om na inwerkingtreding
van het wetsvoorstel bij AMvB aangewezen te worden als een gegevensuitwisseling in
spoor 1 of 2. Daarnaast hebben leveranciers al voorstellen gedaan voor technische
afspraken voor de uitwisseling van de Basisgegevensset Zorg (hierna: BgZ) en beelduitwisseling,
wat ook twee van de vier gegevensuitwisselingen zijn die op dit moment worden uitgewerkt.
Ik vind het bemoedigend om te zien dat er al concrete stappen worden gezet voorafgaand
aan de wetsbehandeling door uw Kamer.

Bovendien is de inzet dat het met iedere volgende gegevensuitwisseling makkelijker
wordt om deze te digitaliseren. Door zoveel mogelijk gebruik te maken van eerdere
trajecten met bijbehorende standaarden, normen, andere afspraken en ICT-infrastructuur
ben ik optimistisch dat al doende versnelling wordt gerealiseerd.

Om ook op korte termijn snelheid te maken wil ik bestaande initiatieven vanuit het
zorgveld zo veel mogelijk ondersteunen. Zoals ik al doe met gegevensuitwisseling bij
spoed en medicatieoverdracht (Kamerstukken II 2020/21, 27 529, nrs. 219 en 262).

1. AANLEIDING VAN HET WETSVOORSTEL

De leden van de VVD-fractie zijn van mening dat elektronische gegevensuitwisseling
tussen zorgaanbieders van groot belang is voor patiëntveiligheid, kwaliteit van zorg,
vermindering van regeldruk en het tegengaan van verspilling in de zorg. Voor het verlenen
van goede en veilige zorg is het belangrijk dat de juiste informatie op de juiste
plek op het juiste moment beschikbaar is. De leden denk dat elektronische gegevensuitwisseling
ook gunstig kan bijdragen aan de zorgkosten. Niet alleen de gegevensuitwisseling met
de patiënt is wat de leden betreft van belang, maar ook de gegevensuitwisseling tussen
zorgprofessionals.

De leden van de VVD-fractie vinden het goed dat de motie De Vries c.s. uiteindelijk
tot uitvoering wordt gebracht. In de motie werd de regering verzocht regie te nemen
en tevens te onderzoeken of het mogelijk is een wettelijke basis te creëren voor het
verplichten van een goede, verantwoorde en veilige elektronische gegevensuitwisseling
tussen zorgaanbieders.

De leden van de D66-fractie zien ook de noodzaak van betere digitale uitwisseling
van gegevens in de zorg om alle redenen die de regering ook noemt. Wat is volgens
de regering de reden dat het in de zorg zoveel meer achterloopt op andere sectoren,
zowel bij private partijen als bij uitvoeringsinstanties van de overheid? Zo zien
deze leden dat gegevensuitwisseling bij banken, webwinkels en zelfs de overheid vlucht
heeft genomen het afgelopen decennium, maar in de toelichting schetst de regering
nog altijd een beeld alsof in de zorg de afgelopen tien jaar nauwelijks iets is veranderd.
Wat zijn de grootste belemmeringen hiervoor en vormen deze belemmeringen ook de basis
voor dit wetsvoorstel? Zo ja, kan de regering dit nader uitleggen? Zo nee, waarom
niet?

Ik deel het beeld niet dat er de afgelopen 10 jaar nauwelijks iets is veranderd in
de digitalisering van de zorg, integendeel. De afgelopen 10 jaar zijn vele innovaties
geïmplementeerd om de zorg voor cliënten grote stappen vooruit te helpen. Wat wel
door veel spelers in het zorgveld en in uw Kamer geconstateerd wordt, is dat de centrale
regie op deze innovaties, vooral wat betreft het elektronisch uitwisselen van gegevens,
ontbrak. Ondanks dat belangrijke stappen in de goede richting zijn gezet, zijn hierdoor
de problemen over gebrek aan eenduidige taal en techniek nog niet opgelost. Daarom
is het nu tijd om alle goede ontwikkelingen en innovaties proberen te verbinden en
op die manier de interoperabele uitwisseling van gegevens te bevorderen.

De leden van de D66-fractie vragen de regering hoe innovatie in de zorg, op het gebied
van gegevensuitwisseling, gestimuleerd wordt door deze wet. Denkt de regering dat
deze wet bijdraagt aan extra innovatie? Zo ja op welke manier?

Met het wetsvoorstel beoog ik om zorggegevens beter en herhaalbaar elektronisch deelbaar
te maken. Door ontsluiting van bestaande zorgsystemen verwacht ik ruimte voor andere
toepassingen en daarmee een innovatie in de zorg te stimuleren. Hiermee wordt de gegevensblokkade
in de zorgsystemen opgeheven en maakt dat innovatie van beschikbaarheid van zorggegevens
toegepast wordt.

De leden van de D66-fractie lezen dat dit wetsvoorstel een onderdeel vormt van de
regie die op verzoek van het zorgveld en de Tweede Kamer is gevraagd. Deze leden lezen
tevens kritische brieven van datzelfde zorgveld over dit wetsvoorstel. Kan de regering
ingaan hoe zorgaanbieders betrokken zijn bij het opstellen van dit wetsvoorstel?

Zorgaanbieders en hun koepels zijn vanaf de eerste beleidsvorming nauw betrokken bij
het opstellen van het wetsvoorstel. Zo zijn er open bijeenkomsten georganiseerd waarin
zorgaanbieders, zorgverleners en andere belanghebbenden met voorstellen konden komen
voor gegevensuitwisselingen waarvan zij vonden dat die met prioriteit gedigitaliseerd
moesten worden. Dit leverde in eerste instantie 45 zeer diverse voorstellen op.

Ook het Informatieberaad Zorg is regelmatig geconsulteerd over de aanpak van het wetgevingsprogramma.
Ik heb advies ingewonnen bij het Informatieberaad, bijvoorbeeld ten aanzien van de
prioritering van gegevensuitwisselingen.

Het wetsvoorstel is daarnaast vanzelfsprekend in internetconsultatie geweest, welke
periode verlengd is vanwege de coronacrisis tot drie maanden, waarbij iedereen die
wilde kon inspreken op het wetsvoorstel. Ook bij de uitwerking van dit wetsvoorstel
in AMvB’s zal het zorgveld intensief worden betrokken.

De leden van de D66-fractie missen een internationale inventarisatie van gegevensuitwisseling
in de zorg. Van welke landen kan worden geleerd en wat is hiervan overgenomen?

De leden van de PVV-fractie lezen dat gegevens door de huidige gebrekkige uitwisseling
onjuist en onvolledig kunnen zijn met risico’s voor de patiënt. Hoe zorgt dit wetsvoorstel
ervoor dat de gegevens wel juist en volledig zijn? Wie controleert dat?

Welke gegevens uitgewisseld moeten worden ten behoeve van de goede zorg of met het
oog daarop, wordt in beginsel bepaald door het veld. Op dit moment is niet altijd
duidelijk of kenbaar welke gegevens wanneer uitgewisseld moeten worden. In het nieuwe
Toetsingskader kwaliteitsstandaarden en meetinstrumenten versie 3.0 van het Zorginstituut
Nederland, dat per 1 juli 2021 in werking is getreden, is daarom aangegeven dat kwaliteitsstandaarden
waarin een zorgproces staat beschreven, voortaan een informatieparagraaf moeten bevatten.
Dit komt de volledigheid en juistheid van de uit te wisselen gegevens ten goede.

In het verlengde hiervan en ten behoeve van de uitvoerbaarheid van dit wetsvoorstel
wordt geregeld dat een gegevensuitwisseling pas kan worden aangewezen bij AMvB als
in een kwaliteitsstandaard of in wet- en regelgeving is vastgelegd welke gegevens
uitgewisseld moeten worden (met uitzondering van de overgangsperiode). Door te eisen
dat in kwaliteitsstandaard of in wet- en regelgeving opgenomen wordt welke gegevens
uitgewisseld moeten worden, is verzekerd dat deze afspraken kenbaar zijn, en dat alle
belanghebbende partijen inbreng hebben kunnen leveren.

Gebrek in eenduidigheid van taal, techniek en een integrale aanpak om tot het elektronisch
uitwisselen van gegevens te komen en uiteenlopende belangen van verschillende betrokken
partijen leiden op dit moment ook tot onvolledige informatie, geen overdracht of een
onduidelijke overdracht van gegevens. Met dit wetsvoorstel wordt het mogelijk om voor
bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens uitgewisseld moeten
worden. Het wetsvoorstel beoogt per gegevensuitwisseling elektronisch uitwisseling
van gegevens aan de hand van eisen aan taal en techniek verplicht te stellen, zodat
volledige interoperabiliteit wordt bereikt. Dit betekent concreet dat de gegevens
voor de ontvangende partij begrijpelijk en leesbaar zijn.

Na inwerkingtreding houdt de IGJ toezicht op de naleving van het bepaalde bij of krachtens
de wet. De IGJ is gespecialiseerd in en heeft veel ervaring met het toezicht houden
op zorgaanbieders, en heeft daarmee zicht op de aanbieders van informatietechnologieproducten
of -diensten.

De leden van de PVV-fractie vragen hoe wordt voorkomen dat straks blindelings van
de elektronische gegevens wordt uitgegaan, terwijl er nog steeds wel degelijk fouten
in kunnen staan? Wat is in dat kader de laatste stand van zaken ten aanzien van fouten
en onvolledige gegevens in medische patiëntendossiers?

Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving
inzake gegevensbescherming. Dat betekent dat de eisen uit onder meer de Wgbo en de
AVG onverkort van toepassing zijn. Op grond van de Wgbo moeten hulpverleners voldoen
aan onder meer de dossierplicht, de bewaarplicht en de geheimhoudingsplicht. Daarnaast
heeft een cliënt op grond van zowel de Wgbo als de AVG verschillende rechten aanzien
van het medisch dossier die kunnen worden geeffectueerd. Zoals het recht op inzage,
rectificatie of gegevenswissing en het mogelijk maken dat onjuist ingevoerde gegevens
(met terugwerkende kracht) gewijzigd kunnen worden.

Wanneer een gegevensuitwisseling aangewezen wordt in spoor 2 zal ik bij de opdrachtverlening
voor de ontwikkeling van een NEN-norm voor een aan te wijzen gegevensuitwisseling
onder andere in het richtinggevende kader meegeven dat de norm dient te verzekeren
dat een cliënt de hiervoor genoemde rechten onder de AVG kan effectueren.

Dit alles laat onverlet dat het medische dossier inderdaad onvolledig of foutieve
gegevens kan bevatten, of deze nu elektronisch is en elektronisch uitgewisseld wordt
of op papier bestaat en per fax uitgewisseld wordt. Dit is nooit helemaal te voorkomen.

Het doel van dit wetsvoorstel is het bereiken van volledige interoperabiliteit als
het gaat om elektronische gegevensuitwisseling tussen zorgverleners aan de hand van
eenduidige eisen aan taal en techniek. De leden van de CDA-fractie vragen de regering
een reactie op de constatering van Zorgverzekeraars Nederland (ZN) en diverse andere
koepelorganisaties dat de volledige interoperabiliteit die met dit wetsvoorstel beloofd
wordt op de voorgestelde wijze niet gerealiseerd wordt. Zij geven aan dat om tot volledig
interoperabele gegevensuitwisseling te komen, er afspraken moeten worden gemaakt op
alle lagen van het interoperabiliteitsmodel, dus óók over de infrastructuur en gemeenschappelijke
voorzieningen. Wat is het standpunt van de regering op het punt van ZN dat er noodzaak
is te komen tot een landelijke digitale infrastructuur (c.q. stelsel van samenhangende,
interoperabele zorginfrastructuren) in Nederland en wettelijke verplichting van het
gebruik hiervan? Ziet de regering mogelijkheden om de Wegiz uit te breiden met afspraken
over te gebruiken infrastructuren en gemeenschappelijke voorzieningen, dan wel wat
zijn de argumenten om dit niet te doen?

Door verschillende partijen (zoals de preventiecoalitie in een brief aan de informateur)
wordt gepleit om te komen tot een Nationale Digitale Gezondheidsdata-infrastructuur
met een aantal generieke voorzieningen. Deze data-infrastructuur zou digitale communicatie
faciliteren tussen zorgverleners onderling en tussen de zorgverlener en de patiënt.
Ook faciliteert het onderzoek en innovatie op het gebied van gezondheid, (regionaal)
beleid én nieuwe gezondheidsdiensten. De leden van de CDA-fractie vragen hoe de regering
aankijkt tegen deze ambitie. Welke aanvullende stappen zouden volgens de regering
daarvoor nodig zijn, naast dit wetsvoorstel?

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken
te verplichten voor taal en techniek.

Ik onderschrijf de noodzaak om te komen tot een landelijk dekkend stelsel van onderling
verbonden infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van
de individuele zorgaanbieder een belangrijk criterium is. Vanuit dat perspectief en
in lijn met de eerder genoemde moties Van den Berg/Kerstens (Kamerstukken II 2020/21,
27 529, nrs. 222 en 223) onderzoek ik hoe ik meer publieke sturing en regie kan nemen op de landelijke infrastructuur,
generieke functies en aanpalende ICT-voorzieningen. Hierover zal ik uw Kamer voor
het einde van het jaar informeren.

In mijn afwegingen neem ik mee dat op grond van voorliggend wetsvoorstel in de aangewezen
norm voor een aangewezen gegevensuitwisseling verwezen kan worden naar een norm die
eisen stelt aan generieke functies, maar dat zorgbreed soms meer nodig kan zijn. Zoals
zorgbrede (eventueel dwingende) afspraken over eisen aan generieke «stekkerdozen»,
zoals (open) API’s, en aan interoperabiliteit tussen (delen van) infrastructuren,
zoals NTA7516 voor veilige mail.

Vast staat dat ik steviger ga sturen op de landelijke totstandkoming van generieke
functies en benodigde voorzieningen hiervoor in de zorg-ICT. Zo ontwikkel ik een opvolger
van de UZI-pas en heb ik een voorziening ontwikkeld waarmee zorginstellingen via inlogmiddelen
zoals DigiD hun digitale dienstverlening kunnen ontsluiten (toegangsverleningsservice/TVS).

Wat betreft een Nationale Digitale Gezondheidsdata-infrastructuur is recent door het
kabinet besloten om het voorstel van Health-RI te honoreren. Door vanuit het Nationaal
Groeifonds 69 miljoen euro te investeren in Health-RI, kunnen snel stappen gezet worden
om gezondheidsdata beter toegankelijk te maken voor gezondheidsonderzoek en -innovatie.
Dit is een naast de vele versnellingsprogramma’s en initiatieven uit het veld een
aantal van de stappen die het kabinet onderneemt voor het verbeteren van de zorginfrastructuur.

Qua governance wordt door de reeds genoemde preventiecoalitie voorgesteld dat er een
Autoriteit Nationale Digitale Gezondheidsdatainfrastructuur komt, die namens de vragers
en de rijksoverheid regie voert (vraagbundeling en -articulatie). De huidige governance
(Informatieberaad, de Vereniging van Zorgaanbieders voor Zorgcommunicatie en de Taskforce
Samen Vooruit opgaan) zouden dan daarin opgaan. De leden van de CDA-fractie vragen
of de regering deze gedachte van de preventiecoalitie deelt. Zo nee, waarom niet?
Zo ja, wil de regering in dat geval daarvan een meerjarige uitwerking maken in overleg
met de initiatiefnemers ervan?

Op dit moment verken ik de wijze waarop de vraagkant versterkt kan worden en effectiever
en doelmatiger ingericht. Hierbij kijk ik ook naar goede voorbeelden van andere sectoren
en in andere landen. Dit kan bijvoorbeeld door de bundeling van ICT-inkoop in een
inkooporganisatie ten behoeve van een coalitie van zorgaanbieders.

De leden van de GroenLinks-fractie hebben enkele vragen over hoe andere landen in
Europa gegevens in de zorg uitwisselen. Zijn er landen in Europa waar deze gegevens
al worden uitgewisseld en hoe is daar de communicatie gestandaardiseerd? En hoe wordt
daar de privacy gewaarborgd?

De meeste landen hebben nationale of regionale bevoegdheden belegd bij overheidsorganisaties
om voorwaarden te stellen aan de wijze waarop cliëntgegevens uitgewisseld moeten worden.
Veelal gaat dat via voorwaarden voor verplichte aansluiting op nationale of regionale
uitwisselingsinfrastructuren, zoals bijvoorbeeld in Denemarken, Estland, Portugal
en Frankrijk, waardoor vanuit de infrastructuur eisen worden gesteld aan taal en techniek
en dus niet via een aparte wet verplicht hoeven. Ook worden in verschillende landen
voorwaarden ten aanzien van taal en techniek meegegeven bij inkooptrajecten waarbij
de overheid de inkopende partij is, zoals in het Verenigd Koninkrijk en de Verenigde
Staten.

In de loop van 2021 volgt tevens een Europees wetgevend voorstel voor de Europese
ruimte voor gezondheidsdata. De leden van de GroenLinks-fractie vragen of de regering
kan aangeven of bij het opstellen van dit wetsvoorstel in overweging is genomen wat
de mogelijke consequenties zijn van deze Europese wetgeving voor het voorliggende
wetsvoorstel?

Het wetgevend voorstel voor de Europese ruimte voor gezondheidsgegevens (European
Health Data Space: EHDS) wordt begin 2022 verwacht, waarna deze in de Europese Raad
en het Europees parlement behandel zullen worden. Ik verwacht daarmee dat de definitieve
Europese wetgeving niet vóór 2023 in werking zal treden. De EHDS wetgeving zal zich
naar verwachting richten op het veilig en betrouwbaar beschikbaar stellen voor wetenschappelijk
onderzoek, beleid, publieke gezondheidszorg en grensoverschrijdende behandeling van
patiënten, gebruik makend van privacy-respecterende technologieën. Ik zet hierbij
in op het op die wijze ontsluiten van bestaande lokale, regionale, nationale en internationale
infrastructuren en niet op een centrale Europese verzameling van zorgdata.

Mijn inzet bij het Europees wetgevend voorstel is dat er geen nationale bevoegdheden
over de inrichting van de informatievoorziening van de zorg naar Europa verschuiven.
Met het wetsvoorstel wil ik de elektronische uitwisseling van gegevens voor de directe
zorglevering binnen Nederland regelen. Hiermee creëer ik de juiste randvoorwaarden
om de zorggegevens in het kader van de toekomstige EHDS wetgeving grensoverschrijdend
te ontsluiten.

De leden van de GroenLinks-fractie vragen of de regering waarom de keuze is gemaakt
om nu al met het voorliggend wetsvoorstel te komen, terwijl er nog een Europees wetsvoorstel
komt dat mogelijk raakt aan het voorliggende wetsvoorstel?

Het Europese voorstel betreft dus het beschikbaar maken van gegevens voor secundair
gebruik. Met het wetsvoorstel richt ik me op de elektronische uitwisseling van gegevens
voor de directe zorglevering binnen Nederland (primair gebruik ten behoeve van zorg).
Gebruik van gegevens ten behoeve van onderzoek of beleid kan immers pas echt goed
als gegevens goed in het primaire proces beschikbaar zijn gemaakt.

Mijn inzet bij dit Europees wetgevend voorstel is dat er geen nationale bevoegdheden
over de inrichting van de informatievoorziening van de zorg naar Europa verschuiven.
Ik zet hierbij in op het op die wijze ontsluiten van bestaande lokale, regionale,
nationale en internationale onderzoekinfrastructuren en niet op een centrale Europese
verzameling van zorgdata. Hiermee creëer ik de juiste randvoorwaarden om de zorggegevens
in het kader van de toekomstige EHDS wetgeving grensoverschrijdend te ontsluiten.

In aansluiting op het onderwerp van dit voorstel is recent door het kabinet besloten
om het voorstel van Health-RI voor een nationale gezondheidsdata-infrastructuur te honoreren. Door vanuit het Nationaal Groeifonds 69 miljoen
euro te investeren in Health-RI, kunnen snel stappen gezet worden om gezondheidsdata
beter toegankelijk te maken voor gezondheidsonderzoek en -innovatie.

De leden van de GroenLinks-fractie hebben ook nog enkele zorgen over het waarborgen
van het recht op privacy binnen het onderliggende wetsvoorstel. Hoe wordt geborgd
dat patiënten weten welke zorgverleners welke gegevens uitwisselen en inzien? En hoe
worden patiënten beschermd tegen misbruik?

In deze bestaande internationale en nationale wetgeving inzake gegevensbescherming
zijn de rechten van cliënten geborgd en worden de cliënten beschermd tegen misbruik.
Doordat er altijd sprake moet zijn van een verwerkingsgrondslag en een doorbrekingsgrond
van het medisch beroepsgeheim (zoals toestemming), is geborgd dat cliënten weten welke
gegevens uitgewisseld worden en worden ingezien. In de Wabvpz is bovendien geregeld
dat in het geval van elektronische inzage of afschrift in een elektronisch uitwisselingssysteem
een cliënt kan verzoeken om overzicht van wie en wanneer bepaalde informatie beschikbaar
heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien. Hiermee is juridisch
geborgd dat zorgverleners gegevens dus niet ongeoorloofd mogen inzien.

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving
inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd
voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens worden
dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als er geen
verwerkingsgrondslag is of als er geen doorbrekingsgrond voor het medisch beroepsgeheim
is.

Om dit te kunnen waarborgen is het nodig dat zorgverleners zich op een veilige en
betrouwbare manier digitaal kunnen identificeren. Op dit moment gebruiken zorgverleners
de zogenaamde UZI-inlogmiddelen; deze worden uitgegeven op het hoogste betrouwbaarheidsniveau
(eIDAS Hoog) maar zijn nog niet breed (genoeg) beschikbaar. Zo beschikt nog niet iedere
individuele zorgverlener over een UZI-middel. Om ervan verzekerd te zijn dat de uitwisseling
van cliëntgegevens toekomstbestendig is, heb ik de opdracht gegeven om de huidige
UZI-middelen toekomst bestendig te maken en breed beschikbaar te stellen voor het
zorgdomein (zoals aangekondigd in Kamerstukken II 2020/21, 27 529, nr. 219). Ik streef ernaar in de eerste helft van 2022 uw Kamer te informeren over de voortgang
van de uitfasering van de UZI-pas en opvolging UZI-register.

2. DOEL EN HOOFDLIJNEN VAN HET WETSVOORSTEL

De leden van de VVD-fractie hebben in de motie De Vries c.s. ook aangegeven dat de
patiënt zeggenschap moet houden of en met wie er gegevens uitgewisseld mogen worden.
In de onderhavige wet en toelichting komt dit maar mondjesmaat en summier aan de orde.
Kan de regering daarop uitgebreid ingaan? Hoe is dit nu geregeld? Wat is de relatie
met deze wet en waarom dat niet expliciet is meegenomen in de voorliggende wet?

Het wetsvoorstel verplicht niet tot het uitwisselen van gegevens. De bij deze nota
naar aanleiding van het verslag gevoegde nota van wijziging brengt dit explicieter
tot uitdrukking om te voorkomen dat hierover onduidelijkheid kan blijven bestaan.
De verplichting ziet alleen op het hoe van de uitwisseling, namelijk op elektronische wijze.

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als
bedoeld in de AVG, een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens
als bedoeld in de AVG en doorbrekingsgrond van het medisch beroepsgeheim als bedoeld
in de Wgbo en de Wet BIG is. Als de verwerkingsgrondslag en uitzonderingsgrond «toestemming»
is, dan vereist de AVG dat deze toestemming uitdrukkelijk is. Gegevens kunnen dus
in de huidige situatie – de inwerkingtreding van dit wetsvoorstel verandert daar niets
in – niet uitgewisseld als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond
voor het medisch beroepsgeheim is. Het enkele feit dat een gegevensuitwisseling onder
het onderhavige wetsvoorstel wordt aangewezen, brengt geen verplichting voor de zorgverlener
met zich mee om de gegevens uit die aangewezen gegevensuitwisseling verplicht uit
te wisselen.

De leden van de VVD-fractie vragen of kan worden aangegeven wanneer de cliënt c.q.
patiënt wel en wanneer niet uitdrukkelijk toestemming moet geven voor uitwisseling
van gegevens?

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als
bedoeld in artikel 6, eerste lid, AVG, een uitzonderingsgrond op het verbod om bijzondere
persoonsgegevens als bedoeld in artikel 9 AVG en doorbrekingsgrond van het medisch
beroepsgeheim als bedoeld in de Wgbo en de Wet BIG is. Dit kan toestemming zijn, maar
ook een wettelijke grondslag. Als de verwerkingsgrondslag en uitzonderingsgrond «toestemming»
is, dan vereist de AVG dat deze toestemming uitdrukkelijk is. Daarnaast bepaalt de
Wabvpz dat uitdrukkelijke toestemming gegeven moet worden (zonder uitzondering) indien
cliëntgegevens vooraf beschikbaar worden gesteld in een elektronisch uitwisselingssysteem.
Er is een factsheet beschikbaar waarin uitleg gegeven wordt over het geven van toestemming
voor het uitwisselen van medische gegevens tussen zorgverleners.3

De leden van de VVD-fractie vragen wat de ervaringen zijn met het wetsvoorstel cliëntenrechten
bij elektronische verwerking van gegevens, waarin is bepaald dat als een zorgverlener
gegevens van een patiënt beschikbaar stelt via een elektronisch uitwisselingssysteem,
daarvoor dan expliciet toestemming moet worden gevraagd aan de patiënt? In hoeverre
is deze wet ook van toepassing op de voorliggende wet?

Er zijn signalen uit de praktijk dat het toestemmingsvereiste, zoals opgenomen in
de Wet cliëntenrechten bij elektronische verwerking van gegevens (die de Wabvpz op
dit onderdeel heeft gewijzigd), soms als problematisch wordt ervaren.

Een signaal betreft bijvoorbeeld de uitwisseling van gegevens in geval van spoed.
Om relevante gegevens voor die specifieke situatie 24/7 beschikbaar te krijgen op
de huisartsenpost of spoedeisende hulp, is het gebruik van een elektronisch uitwisselingssysteem
zeer gewenst. De Wabvpz bepaalt dat uitdrukkelijke toestemming gegeven moet worden
(zonder uitzondering) indien gezondheidsgegevens vooraf beschikbaar worden gesteld
in een elektronisch uitwisselingssysteem. Cliënten hebben hier echter vaak geen uitdrukkelijke
toestemming voor gegeven, waardoor de gegevens op dat acute moment niet in een elektronisch
uitwisselingssysteem te raadplegen zijn. Dit, terwijl veel cliënten wel graag lijken
te willen dat op de SEH dergelijke gegevens direct beschikbaar zijn en hier ook van
uit gaan. Ook lijken cliënten er vaak van uit te gaan dat op de SEH dergelijke gegevens
direct beschikbaar zijn.

Bekeken wordt of de huidige grondslagen voor gegevensuitwisseling, waaronder ook het
toestemmingsvereiste voor het delen van gezondheidsgegevens via een elektronisch uitwisselingssysteem
valt, de beschikbaarheid van relevante gegevens voor goede zorg voldoende waarborgen.
Daarbij worden uiteraard een goede balans gezocht met het recht op bescherming van
persoonsgegevens in verband met privacy en toegang tot de zorg.

De Wabvpz en het wetsvoorstel staan naast elkaar. De Wabvpz beschrijft onder andere
hoe er gehandeld dient te worden wanneer er voor uitwisseling gebruik wordt gemaakt
van het vooraf beschikbaar stellen van gegevens via een elektronisch uitwisselingssysteem.
De Wabvpz bepaalt dat dit alleen kan als de cliënt daarvoor uitdrukkelijke toestemming
heeft verleend. In relatie tot het voorliggend wetsvoorstel betekent dit dat de wetgeving
(dat wil zeggen de NEN-norm die voor een gegevensuitwisseling verplicht wordt gesteld)
niet zal bepalen dat verplichte elektronische gegevensuitwisseling slechts via een
elektronisch uitwisselingssysteem kan. De zorgverlener die gegevens uitwisselt (binnen
de wettelijke kaders) kan dit dan immers niet in alle gevallen doen op de wijze zoals
voorgeschreven in onderhavig wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke
toestemming heeft gegeven.

Het doel is dat het voorliggend wetsvoorstel samen met het andere instrumentarium,
zoals overstijgende afspraken en regie op publieke voorzieningen, leidt tot het bereiken
van volledige interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen
zorgverleners.

De cliënt behoudt dus altijd de keuze of de gegevens vooraf beschikbaar worden gesteld
via een elektronisch uitwisselingssysteem. Wanneer de cliënt geen toestemming heeft
verleend voor het vooraf beschikbaar stellen, zal via een andere weg elektronisch
uitgewisseld moeten worden.

De leden van de VVD-fractie vragen in hoeverre het klopt dat juist kwetsbare patiënten
voor wie gegevensuitwisseling juist belangrijk is, geen toestemming geven voor gegevensuitwisseling?

In algemene zin zijn bij mij signalen uit de praktijk bekend dat er problemen worden
ervaren rondom de grondslagen voor gegevensuitwisseling, waaronder het toestemmingsvereiste
valt. Daarom wordt de werking van deze grondslagen op het moment geanalyseerd. In
deze analyse zal ook worden meegenomen in hoeverre juist kwetsbare cliënten geen toestemming
geven voor gegevensuitwisseling. U ontvangt rond de jaarwisseling een brief hierover.
Het wetsvoorstel verandert overigens niets aan de wet- en regelgeving inzake grondslagen
voor gegevensuitwisseling en dus ook niet aan de beantwoording van de vraag wanneer
en waarvoor toestemming vereist is.

De leden van de VVD-fractie vragen in hoeverre het klopt dat er conflicterende wetgeving
is rondom het toestemmingsvereiste om gegevens uit te wisselen? In hoeverre wordt
dit in de praktijk wel zo ervaren?

Er zijn signalen uit de praktijk dat er problemen worden ervaren rondom de grondslagen
voor gegevensuitwisseling, waaronder het toestemmingsvereiste valt. Daarom wordt dit
geanalyseerd. U ontvangt rond de jaarwisseling een brief hierover.

De leden van de VVD-fractie vragen hoe patiënten en cliënten ook worden betrokken
bij de totstandkoming van de normen voor elektronische gegevensuitwisseling?

Het normtraject is een onafhankelijk proces gestuurd door de NEN. In de standaardwerkwijze
zit opgenomen dat er een representatieve groep belanghebbenden wordt meegenomen in
het proces om tot een norm te komen, dus zeker ook (vertegenwoordigers van) cliënten.
Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB
in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook cliënten
die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

Via het landelijk schakelpunt worden nu al op beperkte schaal gegevens uitgewisseld
tussen bepaalde zorgverleners met toestemming van de patiënt. De leden van de VVD-fractie
vragen wat de gevolgen zijn van de voorliggende wet voor het landelijk schakelpunt
en de desbetreffende gegevensuitwisseling? Wat is de stand van zaken en wat is de
ervaring tot nu toe met het landelijk schakelpunt? Welke lessen kunnen daar ook uit
geleerd worden?

Het LSP moet, net als ieder ander informatietechnologieproduct of -dienst die of dat
gebruikt wordt in een aangewezen gegevensuitwisseling, voldoen aan de eisen die gesteld
worden onder dit wetsvoorstel. Het LSP speelt een belangrijke rol om diverse primaire
zorgprocessen te ondersteunen. Op dit moment zijn ruim 6000 zorgaanbieders aangesloten
op het LSP. Illustratief voor de meerwaarde die door het zorgveld wordt ervaren, is
het uitwisselen van medicatiegegevens en toestemming voor de uitwisseling van informatie
over medicatie, contra-indicaties en allergieën van een cliënt. Hiermee krijgen zorgverleners
een zo compleet mogelijk medicatieoverzicht. De hoge dekkingsgraad van het LSP is
een van de factoren die bijdraagt aan het elektronisch kunnen uitwisselen van gegevens.
Het LSP zal echter niet worden aangewezen als verplichte infrastructuur voor aangewezen
gegevensuitwisselingen. Dit is in lijn met de structuur van het wetsvoorstel, waarbij
genormaliseerde eisen worden gesteld aan taal en techniek, en met mijn beleid om geen
individuele ICT-infrastructuren te verplichten voor het uitwisselen van gegevens.
Dit heb ik verleden jaar gecommuniceerd aan uw Kamer (Kamerstukken II 2020/21, 27 529, nr. 230) en is in lijn met de motie van de leden Van Kooten-Arissen en Hijink (Kamerstukken
II 2020/21, 27 529, nr. 174).

De leden van de VVD-fractie willen verder allereerst graag van de regering een overzicht
van de met deze wet annex zijnde AMvB’s, ministeriële regelingen en eventuele andere
lagere regelgeving. Met daarbij in ieder geval ook aangegeven hoe de betrokkenheid
van de Tweede Kamer is bij die lagere regelgeving (bijvoorbeeld in de vorm van een
voorhang- of nahangprocedure)?

In de uiteindelijke situatie zal er sprake zijn van een Wet elektronische gegevensuitwisseling
in de zorg, een Besluit elektronische gegevensuitwisseling in de zorg, en een Regeling
elektronische gegevensuitwisseling in de zorg. Wanneer het Besluit elektronische gegevensuitwisseling
in de zorg in het Staatsblad wordt gepubliceerd, zal deze bestaan uit een algemeen
hoofdstuk, en één of enkele aangewezen gegevensuitwisselingen. Door middel van wijzigingsAMvB’s
zullen vervolgens gegevensuitwisselingen die op de MJA Wegiz staan – na toetsing –
toegevoegd gaan worden aan het Besluit elektronische gegevensuitwisseling in de zorg.
Zowel het Besluit elektronische gegevensuitwisseling in de zorg als elk wijzigingsbesluit
zal steeds via een voorhangprocedure voorgelegd worden aan beide Kamers der Staten-Generaal.

De leden van de VVD-fractie vragen hoe patiënten en cliënten worden betrokken bij
het opstellen van de lagere regelgeving?

Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is in de eerste plaats een
kwaliteitsstandaard nodig waarin is opgenomen welke gegevens met het oog op het verlenen
van goede zorg moeten worden uitgewisseld. Het opstellen of wijzigingen van een kwaliteitsstandaard
geschiedt tripartiet, dat wil zeggen door organisaties van cliënten, zorgaanbieders
of zorgverleners en zorgverzekeraars of Wlz-uitvoerders. Wanneer een gegevensuitwisseling
op de MJA Wegiz is geplaatst en de uitkomsten van de MKBA en volwassenheidscan positief
zijn wordt gestart met de ontwikkeling van een NEN-norm. NEN nodigt belanghebbenden
bij een norm, dus zeker ook (vertegenwoordigers van) cliënten, uit om deel te nemen
aan de werkgroep die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare
commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder
zich erover kan uitspreken. Ook cliënten die nog niet eerder betrokken waren in het
proces kunnen dan alsnog hun inbreng leveren.

De leden van de VVD-fractie vragen hoe de zorgverleners worden betrokken bij het opstellen
van de lagere regelgeving?

Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is in de eerste plaats een
kwaliteitsstandaard nodig waarin is opgenomen welke gegevens met het oog op het verlenen
van goede zorg moeten worden uitgewisseld. Het opstellen of wijzigen van een kwaliteitsstandaard
geschiedt tripartiet, dat wil zeggen door zorgaanbieders of zorgverleners, organisaties
van cliënten, en zorgverzekeraars of Wlz-uitvoerders. Wanneer een gegevensuitwisseling
op de MJA Wegiz is geplaatst en de uitkomsten van de MKBA en volwassenheidscan positief
zijn, wordt gestart met de ontwikkeling van een NEN-norm. NEN nodigt belanghebbenden
bij een norm, waaronder zorgverleners, uit om deel te nemen aan de werkgroep die de
norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht
en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken.
Ook zorgverleners die nog niet eerder betrokken waren in het proces kunnen dan alsnog
hun inbreng leveren.

2.1 Probleembeschrijving

De leden van de VVD-fractie willen van de regering weten hoe de gegevensuitwisseling
tussen zorgverleners nu is geregeld en welke regelgeving daar nu voor is.

Zorgaanbieders maken op dit moment gebruik van verschillende manieren van uitwisseling
van gegevens die vaak niet op elkaar aansluiten. Uitwisseling van gegevens gebeurt
soms nog via de analoge fax, papier, per post, DVD, of ontbreekt zelfs volledig waardoor
actuele informatie niet (op tijd) voor de zorgverlener beschikbaar kan zijn. Daar
waar gegevensuitwisseling al wel elektronisch plaatsvindt, verloopt deze vaak niet
zonder problemen aangezien er op dit moment een gebrek is aan eenduidigheid in taal
en techniek. Op deze vormen van gegevensuitwisseling zijn (mogelijk) de AVG, de Wgbo
en de Wabvpz van toepassing.

De leden van de D66-fractie lezen in de toelichting dat als binnen het bestaande wettelijke
kader geen grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens,
deze niet kan plaatsvinden. Deze leden vragen derhalve op basis van welk wettelijk
kader digitale gegevens nu, met toestemming van de patiënt, worden uitgewisseld tussen
zorgaanbieders.

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving
inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd
voldaan moet worden aan de eisen die uit die bestaande kaders volgt. Dit betekent
dat er bijvoorbeeld niet uitgewisseld kan worden als er geen verwerkingsgrondslag
is of doorbrekingsgrond voor het medisch beroepsgeheim.

Een belangrijke uitzondering hierop vormt uitwisseling via een elektronisch uitwisselingssysteem
(zoals het LSP). In de Wabvpz is geborgd dat gegevens enkel via een elektronisch uitwisselingssysteem
beschikbaar worden gesteld als de cliënt daartoe uitdrukkelijk toestemming heeft verleend.
Deze uitdrukkelijke toestemming is opgenomen, omdat via een elektronisch uitwisselingssysteem
gegevens kunnen worden gedeeld die vooraf beschikbaar zijn gesteld voor later onbekend
gebruik. Het voorliggende wetsvoorstel brengt geen wijzigingen aan in de eis dat hiervoor
toestemming vereist is.

In relatie tot het voorliggend wetsvoorstel betekent dit dat de wetgeving (dat wil
zeggen de NEN-norm die voor een gegevensuitwisseling verplicht wordt gesteld) niet
zal bepalen dat verplichte elektronische gegevensuitwisseling slechts via een elektronisch
uitwisselingssysteem kan. De zorgverlener die gegevens uitwisselt (binnen de wettelijke
kaders) kan dit dan immers niet in alle gevallen doen op de wijze zoals voorgeschreven
in onderhavig wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke toestemming
heeft gegeven.

De regering geeft aan dat een van de problemen een gebrek aan eenduidigheid in taal,
techniek en een integrale aanpak is. De leden van de CDA-fractie missen ook een gebrek
aan een eenduidige wijze van vastleggen. Van verpleegkundigen horen deze leden bijvoorbeeld
dat informatie wel digitaal is opgeslagen maar dat je eerst vele pdf’s moet openen
in plaats van dat de informatie in het daarvoor bestemde vakje is ingevuld? Herkent
de regering dit? Op welke wijze wordt dit probleem met dit wetsvoorstel aangepakt?

Ik herken het probleem zeker. Ik kan als voorbeeld om de omvang van de huidige problemen
te schetsen aangeven dat er jaarlijks meer dan 460.000 verpleegkundige overdrachten
plaatsvinden tussen zorgverleners. Een verpleegkundige overdracht kan nu in totaal
4 uur tijd kosten omdat er tot 8 keer dezelfde informatie moet worden overgetypt.

Met het onder het wetsvoorstel aanwijzen van een gegevensuitwisseling in spoor 2 waarin
volledige interoperabiliteit ten aanzien van taal en techniek bereikt wordt zal dit
niet meer voorkomen. Er is sprake van interoperabiliteit als de zender en ontvanger
onder de uitgewisselde gegevens hetzelfde verstaan en hun informatietechnologiesystemen
met elkaar kunnen communiceren. Met het wetsvoorstel wordt in spoor 2 afgedwongen
dat een zorgaanbieder niet meer een pdf (met daarin verstopt de data) toestuurt of
beschikbaar stelt aan een andere zorgaanbieder. De zorgaanbieder dient namelijk een
gespecificeerde set aan data-elementen toe te sturen of beschikbaar te stellen. Die
set aan data-elementen kan worden ingezien, of zonder handmatige handelingen, worden
overgenomen door de andere zorgaanbieder.

De regering geeft, als voorbeeld om de omvang van de huidige problemen te schetsen,
aan dat er jaarlijks meer dan 460.000 verpleegkundige overdrachten plaatsvinden tussen
zorgaanbieders. Een verpleegkundige overdracht kan nu in totaal vier uur kosten omdat
er tot acht keer dezelfde informatie moet worden overgetypt. De leden van de CDA-fractie
vragen of de regering een inschatting kan maken hoeveel fte er voor andere taken vrij
komt te vallen als er volledige interoperabiliteit is als gevolg van dit wetsvoorstel.

De leden van de CDA-fractie vragen of alle 460.000 verpleegkundige overdrachten onder
de prioritaire gegevensuitwisseling Verpleegkundige overdracht vallen? Zo niet, hoeveel
gegevensuitwisselingen moeten aangewezen worden voordat alle 460.000 verpleegkundige
overdrachten hieronder vallen?

In de eerste plaats wordt de reikwijdte van een gegevensuitwisseling bepaald door
de kwaliteitsstandaard (of de wet- en regelgeving) waarin bepaald wordt welke zorgverleners,
welke gegevens, in welke situaties moeten uitwisselen. Als de kwaliteitsstandaard
zich richt op alle verpleegkundige overdrachten, dan geldt het uitgangspunt dat de
kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij de professionele
autonomie en eigen verantwoordelijkheid van de zorgverlener zich daar – na afweging
– tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens
uit te wisselen.

Bij het aanwijzen van de gegevensuitwisseling Verpleegkundige overdracht kan volledig
worden aangesloten bij de reikwijdte van de kwaliteitsstandaard waarin de verpleegkundige
overdracht is opgenomen. Het kan echter zijn dat in eerste instantie de AMvB onder
dit wetsvoorstel een beperktere reikwijdte zal hebben, door bijvoorbeeld te bepalen
dat alleen zorgaanbieders met een bepaalde schaalgrootte, of bijvoorbeeld in een bepaalde
sector, er voor zorg dienen te dragen dat onder hen ressorterende zorgverleners elektronisch
uitwisselen. In dat geval zal de verpleegkundige overdracht gedeeltelijk elektronisch
plaatsvinden en gedeeltelijk op andere wijze, die overigens natuurlijk ook elektronisch
kan zijn. Het is alleen in dat laatste geval geen verplichte elektronische uitwisseling.

Bij de vaccinatie tegen het coronavirus is ervoor gekozen om vaccinatiegegevens primair
te registreren in lokale systemen van huisartsen, GGD-en en ziekenhuizen. Met het
Rijksinstituut voor Volksgezondheid en Milieu (RIVM) worden enkel gegevens gedeeld
om de vaccinatiegraad en bijwerkingen in de gaten te houden. Voor apothekers en andere
zorgverleners is het ook van belang om op de hoogte te worden gesteld als hun patiënten
zijn gevaccineerd. De leden van de CDA-fractie vragen in hoeverre dit wetsvoorstel
in dergelijke gevallen uitkomst kan bieden. En zo niet, hoe wordt dit dan wel geregeld?

Ik bepaal met dit wetsvoorstel niet welke gegevens worden uitgewisseld, maar alleen
hoe deze gegevens worden uitgewisseld. Waar vaccinatiegegevens onderdeel zijn van
een aangewezen prioritaire gegevensuitwisseling zullen deze ook onderdeel worden van
voorliggend wetsvoorstel. Hoewel dit in eerste instantie aan het zorgveld is om te
bepalen, komt mij voor dat dit zeker het geval zal kunnen zijn. Ik denk dan bijvoorbeeld
aan uitwisseling van de BgZ.

2.2 Doelstelling en noodzaak wetgeving

De leden van de VVD-fractie lezen dat zodra het veld daartoe gereed is, onder regie
van de regering gezamenlijk een traject wordt gestart om in een Stichting Koninklijk
Nederlands Normalisatie (NEN)-norm tot normalisatie te komen van de eisen aan taal
en techniek. Dat klinkt nogal vaag en vrijblijvend, volgens deze leden. In hoeverre
wil het veld tempo maken? In hoeverre is er draagvlak voor de wet?

De leden van de VVD-fractie willen weten hoe elektronische gegevensuitwisseling in
andere vergelijkbare landen is geregeld en in hoeverre Nederland daarbij aansluit
met dit voorstel of daarvan afwijkt. Zijn er landen met een vergelijkbaar systeem
als nu in de voorliggende wet wordt geregeld? Zo ja, welke en wat zijn daar de ervaringen?

De leden van de D66-fractie constateren dat in het hoofdlijnenakkoord Medische Specialistische
Zorg 2019–2022 opgenomen is dat partijen afgesproken standaarden van elektronische
gegevensuitwisseling implementeren. Kan de regering per genoemde standaard binnen
dit hoofdlijnenakkoord een stand van zaken geven? Beoogd dit wetsvoorstel deze processen
te versnellen?

In het hoofdlijnenakkoord (hierna: HLA) Medisch specialistische Zorg is afgesproken
dat standaarden, waaronder de BgZ, MedMij-standaarden en de Informatiestandaard Medicatieproces
worden geïmplementeerd.

Zowel de BgZ als Digitaal voorschrijven en ter hand stellen, als onderdeel van medicatieproces,
is een prioritaire gegevensuitwisseling onder het wetsvoorstel.

Zoals afgesproken in het HLA wordt de implementatie van zowel de MedMij-standaarden
als de BgZ geïmplementeerd via het versnellingsprogramma informatie-uitwisseling patiënt
en professional voor instellingen voor medisch specialistische zorg (VIPP 5). In september
2022 moeten de instellingen voor medisch specialistische zorg die deelnemen aan de
regeling aantonen dat zij voldoen aan de MedMij-standaarden en halverwege 2023 moet
de uitwisseling van de BgZ tussen instellingen onderling, aangetoond worden.

Het aanwijzen van de gegevensuitwisseling BgZ in een AMvB onder dit wetsvoorstel kan
gezien worden als sluitstuk om elektronische gegevensuitwisseling van deze basisgegevens
te bewerkstelligen.

De leden van de D66-fractie lezen over de wisselwerking van dit wetsvoorstel met de
persoonlijke gezondheidsomgeving (PGO). Is overwogen om de PGO als basis te gebruiken
in de communicatie tussen zorgaanbieders? Dus dat gegevens via de patiënt van de ene
zorgverlener naar de andere zorgverlener gaat en de patiënt in beheer is van zijn
eigen dossier? Zo nee, waarom niet? En klopt het dat dit wetsvoorstel derhalve volledig
los staat van de ontwikkelingen rondom het PGO?

Uitwisseling via het MedMij Afsprakenstelsel tussen zorgverleners en de PGO’s van
cliënten biedt op zich mogelijkheden om de gezondheidsgegevens over de cliënt van
de ene zorgverlener ook met een andere zorgverlener te laten delen. Ik heb bewust
gekozen om dit niet als basis te gebruiken voor uitwisseling tussen zorgverleners
onderling, omdat dit in dat geval altijd een handeling van de cliënt vraagt (ophalen
van gegevens bij de ene zorgverlener en verzenden naar de andere zorgverlener), ook
daar waar dat op dat moment in het kader van de behandeling niet vereist is. Voor
de uitwisseling tussen zorgverleners zou dit tot vertraging of onnodige belasting
van cliënten leiden. Dit laat onverlet dat het wetsvoorstel positieve effecten kan
hebben op de gegevensuitwisseling met de cliënt. Doordat gegevens met behulp van een
elektronische infrastructuur beschikbaar worden en tussen zorgverleners op die wijze
worden uitgewisseld, kunnen deze logischerwijs ook makkelijker uitgewisseld worden
met de cliënten. Dit positieve effect wordt nog eens versterkt doordat bij de ontwikkeling
van een NEN-norm rekening zal worden gehouden met het MedMij- afsprakenstelsel. Dit
wordt geborgd doordat bij de opdrachtverlening als richtinggevend kader zal worden
meegeven dat de norm zoveel mogelijk rekening dient te houden met bestaande afsprakenstelsels,
zoals het afsprakenstelsel van MedMij.

De leden van de D66-fractie lezen dat alsnog grote stappen gezet moeten worden, ervoor
gekozen kan worden dat voor een gegevensuitwisseling eerst de eis geldt dat de aangewezen
gegevens elektronisch moeten worden uitgewisseld (spoor 1). Volledige interoperabiliteit
wordt in spoor 1 nog niet afgedwongen, want daarvoor is het noodzakelijk dat het uitwisselen
van gegevens plaatsvindt aan de hand van verplicht gestelde genormaliseerde eisen
voor taal en techniek (spoor 2). Kan de regering een scenario schetsen of voorbeeld
geven waarin er wel sprake is van spoor 1 maar dat er nog geen sprake is van spoor
2. En wat is de toegevoegde waarde om wel reeds spoor 1 ingang te zetten maar nog
te wachten met spoor 2?

Een voorbeeld van omstandigheden waarin een spoor 1 aanwijzing denkbaar zou zijn is
wanneer bepaalde gegevens momenteel landelijk zowel analoog als elektronisch worden
uitgewisseld (dus bijvoorbeeld per fax en via veilige mail) en na aanwijzing in spoor
1 voortaan alleen nog elektronisch mogen worden uitgewisseld. Hierdoor zijn de betreffende
gegevens voortaan voor zorgverleners digitaal beschikbaar en uitwisselbaar. Spoor
1 maakt het mogelijk om nadere eisen aan deze gegevensuitwisselingen te verbinden.
Doordat op deze manier de eerste stap wordt gezet voor het elektronisch uitwisselen
van gegevens, wordt verwacht dat hieruit ook van onderop initiatieven en innovatie
uit het zorgveld ontstaan, waardoor de vervolgstap naar een spoor 2-aanwijzing wordt
verkleind.

Zoals vermeld in de brief die ik tegelijk met de aanbieding van het wetsvoorstel aan
uw Kamer heb toegezonden (Kamerstukken II 2020/21, 27 529, nr. 263) is momenteel voor de gegevensuitwisseling Digitaal voorschrijven en ter hand stellen
(voorheen: Digitaal Receptenverkeer) een spoor 1 aanwijzing in ontwikkeling.

De leden van de PVV-fractie hebben twijfels bij de bewering dat het wetsvoorstel binnen
de bestaande wettelijke kaders blijft. De Autoriteit Persoonsgegevens (AP) had immers
bezwaren die niet allemaal zijn overgenomen door de regering. De AP wijst met name
op het risico dat zorgaanbieders in de praktijk gedwongen worden hun beroepsgeheim
te doorbreken. Kan de regering nogmaals toelichten waarom ze niet aan alle bezwaren
van de AP tegemoet gekomen is? Wat zijn hiervan de consequenties? Welke risico’s blijven
hierdoor bestaan?

Het advies van de AP is aanleiding geweest om de memorie van toelichting op meerdere
punten aan te passen en nader te motiveren. Hiermee is voor een belangrijk deel aan
de bezwaren van de AP tegemoet gekomen. Echter gezien dit eerdere advies en de vragen
die gesteld zijn door leden van verschillende fracties, heb ik bij deze nota naar
aanleiding van het verslag een nota van wijziging gevoegd waarin ik verduidelijk dat
bij of krachtens dit wetsvoorstel geen verplichting tot het uitwisselen van gegevens
kan worden opgelegd aan zorgverleners.

De AP heeft in de eerste plaats gewezen op het risico dat de zorgverlener in een feitelijke
dwangpositie komt die zijn beroepsgeheim kan aantasten en geadviseerd dit risico te
adresseren. Met de nota van wijziging wordt dit risico weggenomen. Onderhavig wetsvoorstel
leidt in geen enkel geval tot de situatie dat de zorgverlener in een positie gedwongen
wordt om gegevens uit te wisselen. Ik hecht eraan daarnaast te benadrukken dat dit
wetsvoorstel niets verandert aan de bestaande werkwijze. Waar nu een zorgprofessional
bepaalde gegevens niet wil overdragen op bijvoorbeeld DVD of papier, hoeft dat straks
ook niet elektronisch te gebeuren. Welke gegevens nodig zijn als onderdeel van de
goede zorg wordt namelijk bepaald door de zorgprofessionals en zullen zijn neergelegd
in kwaliteitsstandaarden of in wet- en regelgeving. Op grond van de Wet kwaliteit,
klachten en geschillen zorg (hierna: Wkkgz) handelen zorgverleners overeenkomstig
deze kwaliteitsstandaarden. Dat laat onverlet dat in het concrete geval de zorgverlener
altijd nog zelf een afweging dient te maken welke gegevens noodzakelijk zijn in het
kader van de behandeling. Dat betekent dat pas wanneer de zorgverlener over wil gaan
tot gegevensuitwisseling, het voorliggend wetsvoorstel in beeld komt. Het wetsvoorstel
ziet namelijk enkel op hoe gegevens uitgewisseld moeten worden.

De AP heeft in de tweede plaats geadviseerd om uit oogpunt van kenbaarheid, samenhang
en eenduidigheid alle beveiligingseisen te concentreren in één wettelijke regeling.
Met de AP ben ik van mening dat eenduidigheid van wettelijke beveiligingsnormen belangrijk
is. In het wetsvoorstel is de keuze gemaakt om alle eisen rondom «hoe uit te wisselen»
onder onderhavig wetsvoorstel te regelen. Hiermee wordt voorkomen dat er op meerdere
plekken in de wetgeving eisen worden gesteld over het «hoe uitwisselen van gegevens».
Op deze wijze zijn alle eisen zoveel mogelijk geconcentreerd in één regeling. Dit
geldt dus ook voor de beveiligingsnormen. Dit laat onverlet dat in beginsel aangesloten
wordt bij generieke eisen zoals die nu ook al gelden voor zorgaanbieders, zoals de
NEN 7510, 7512 en 7513. De inhoud verandert daarmee niet, alleen de grondslag van
de verplichting.

Tot slot heeft de AP geadviseerd de delegatie van regelgevende bevoegdheid in artikel
1.4 concreter en nauwkeuriger te begrenzen. De begrenzing tot het doel als omschreven
in artikel 1.2, eerste lid: «goede zorg als bedoeld in artikel 2, tweede lid, van
de Wet kwaliteit, klachten en geschillen zorg» acht de AP onvoldoende concreet en
nauwkeurig. Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats
omdat het wetsvoorstel en de onderliggende AMvB geen afzonderlijke grondslagen zullen
creëren voor de verwerking van persoonsgegevens en niet leidt tot een verplichting
tot het uitwisselen van gegevens, wat ik verduidelijk met de bij deze nota naar aanleiding
van het verslag gevoegde nota van wijziging. In de tweede plaats omdat wat onder goede
zorg moet worden verstaan is omschreven in artikel 2 Wkkgz. Voor zover dit geen concrete
en nauwkeurige begrenzing biedt, vindt deze plaats in de kwaliteitsstandaarden die
door de tripartiete partijen worden opgesteld. In deze standaarden wordt immers vastgelegd
welke (bijzondere) persoonsgegevens in het kader van goede zorg nodig zijn.

In het Informatieberaad Zorg wordt samen met veldpartijen gewerkt aan een duurzaam
informatiestelsel. De leden van de CDA-fractie vragen of de regering kan aangeven
wat het Informatieberaad tot nog toe heeft opgeleverd.

Het Informatieberaad Zorg heeft zich de afgelopen jaren beziggehouden met doelstellingen
voor het duurzaam informatiestelsel, prioritaire gegevensuitwisselingen, focusprogramma’s
en de basisinfrastructuur. Hieruit zijn bijvoorbeeld het stelsel van zorginformatiebouwstenen,
de basisgegevensset zorg en het gedeelde woordenboek van de zorg (eenheid van taal)
voortgekomen. Recent zijn er nog doelstellingen voor een aantal gemeenschappelijke
voorzieningen vastgesteld. Deze doelstellingen zijn in te zien op informatieberaad.nl.

De regering stelt dat voor een gegevensuitwisseling waarvoor de eis geldt om elektronisch
uit te wisselen altijd de ambitie bestaat om volledige interoperabiliteit na te streven.
De leden van de CDA-fractie vragen de regering bij wie die ambitie bestaat.

Dit zie ik als een gezamenlijke ambitie van het zorgveld, de Kamer en de regering.
Op dit moment zijn zorgverleners veel tijd kwijt aan vermijdbare administratieve taken
en worden soms vermijdbare fouten gemaakt, bijvoorbeeld door het overschrijven van
gezondheidsgegevens. De laatste jaren is de roep om als regering bij te dragen aan
het interoperabel uitwisselen van zorggegevens steeds luider gaan klinken. De Tweede
Kamer heeft mij en mijn voorgangers op meerdere momenten gevraagd om meer regie te
nemen om te komen tot elektronische gegevensuitwisseling tussen zorgverleners4. De vraag om meer regie is ook gesteld vanuit de zorgpartijen, verenigd in het Informatieberaad
Zorg. Het regelen hoe gegevens moeten worden uitgewisseld, vormt een randvoorwaarde
voor het verlenen van goede zorg. Mijn inzet is dat het wetsvoorstel gaat leiden tot
een versnelling in het interoperabel uitwisselen van gegevens in de zorg. Een spoor
1 aanwijzing om een aan te wijzengegevensuitwisseling verplicht elektronisch te laten
verlopen, kan snel gaan. In dat geval hoeft er niet gewacht te worden op een normtraject.
Bestaande normen, zoals ten aanzien van informatiebeveiliging, kunnen opgenomen worden
in spoor 1. Doordat op deze manier de eerste stap wordt gezet voor het elektronisch
uitwisselen van gegevens, wordt verwacht dat hieruit ook van onderop initiatieven
en innovatie uit het zorgveld ontstaan, waardoor de vervolgstap naar een spoor 2-aanwijzing
wordt verkleind.

De regering stelt immers ook dat belangen van verschillende partijen in de praktijk
zo ver uit elkaar kunnen liggen dat ze er onderling niet uitkomen. De leden van de
CDA-fractie vragen waarom de regering niet duidelijker is in het stellen van doelen
en tijdspaden en laat zij niet eerder het Zorginstituut doorzettingsmacht gebruiken?

De verantwoordelijkheid voor het leveren van goede zorg en het elektronisch uitwisselen
van gegevens dat daar randvoorwaardelijk voor is, ligt bij zorgpartijen. Op het gebied
van elektronische gegevensuitwisseling heeft de overheid de afgelopen jaren afspraken
gemaakt met het zorgveld en hen hierbij op verschillende manieren ondersteund. Het
risico bij deze aanpak is dat dit te lang gaat duren door de complexiteit van de problematiek
en de verschillende belangen van betrokken partijen. Met dit wetsvoorstel kan de overheid
de gewenste regie nemen, duidelijke doelen stellen en betrokken partijen wettelijk
verplichten te voldoen aan de vereisten voor een interoperabele gegevensuitwisseling.
De verantwoordelijkheid voor de kwaliteit van zorg blijft daarbij bij het zorgveld.

De regering stelt dat aanbieders van informatietechnologieproducten aangeven dat ze
vooral graag investeren in landelijk schaalbare oplossingen. De leden van de CDA-fractie
vragen of de regering deze opmerking nader kan toelichten, want de bewering staat
haaks op de ervaringen die zij horen in het veld en wat die leveranciers de afgelopen
jaren hebben gedaan. Immers, het is bekend dat leverancier Chipsoft 60% van de ziekenhuizen
bedient en meer dan 40% winst maakt omdat ze op iedere locatie voor een gelijksoortige
aanpassing weer opnieuw een rekening zendt. En beide Amsterdamse UMC’s hadden Epic
aangeschaft maar toen ze samen gingen konden de systemen niet met elkaar spreken,
zo begrijpen deze leden. Er moest apart betaald worden om dat te realiseren, terwijl
de leverancier in beide gevallen vanaf de eerste dag een eenduidig product had kunnen
aanleveren.

Met «landelijk schaalbare oplossingen» wordt bedoeld dat leveranciers graag eenmalig
een informatietechnologieproduct of -dienst willen ontwikkelen voor een aangewezen
gegevensuitwisselingen. Het is mogelijk dat implementatie- en ontwikkelkosten vervolgens
aan zorgaanbieders doorberekend worden. Met de uitwerking van AMvB’s onder het wetsvoorstel
kan blijken dat met de implementatie de kosten- en batenverdeling tussen de zorgaanbieders
onderling kan verschuiven. Hier zal per gegevensuitwisseling goed gekeken worden of
het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al verschillende
versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een aantal gegevensuitwisselingen
te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden
tot overheidsingrijpen, indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek)
noodzakelijk blijkt. Met dit wetsvoorstel wordt het mogelijk om gegevensuitwisseling
aan te wijzen en daarvoor een norm verplicht te stellen waarin eisen worden opgenomen
voor informatietechnologieproducten of -diensten die leiden tot interoperabiliteit.
Hiermee wordt het voor aanbieders van informatietechnologieproducten of -diensten
eenvoudiger om hun product of dienst zonder aanpassingen te doen inpassen bij meerdere
zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor
dus ruimer en afhankelijkheid van een leverancier wordt tegengegaan. Dit bevordert
de concurrentie in de leveranciersmarkt.

Daarnaast monitor ik de markt voor informatietechnologiesystemen en -diensten die
in de zorg gebruikt worden in het kader van de ontwikkeling van het Duurzaam Informatie
Stelsel. Mocht blijken dat leveranciers misbruik maken van hun positie dan is allereerst
de Autoriteit Consument en Markt (hierna: ACM), als onafhankelijke toezichthouder
in de zorgmarkt, hiervoor de waakhond. Zorgpartijen, ICT- leveranciers en andere belanghebbenden
kunnen bij ervaren misbruik van marktmacht hiervan melding maken. Recent heeft ook
de ACM een onderzoek ingesteld naar de EPD-leveranciers in de ziekenhuissector. Zodra
de uitkomsten van dit onderzoek bekend zijn zal ik uw Kamer informeren welke gevolgen
ik zie voor de zorgmarkt.

De leden van de CDA-fractie vragen daarnaast of de regering ook iets gaat doen aan
de prijszetting. Immers, ook de ICT-leveranciers worden betaald uit publieke geld
dat is opgebracht door belastingen en premies. Zo horen deze leden uit het veld dat
in 2021 de prijs voor gebruik van platform Zorgdomein met 50% is verhoogd. Daarmee
is in twee jaar het bedrag verdubbeld. ICT in de zorg dient wat de leden van de CDA-fractie
betreft een nutsvoorziening te worden. Deze leden ontvangen hierop graag reflectie
daarop van de regering.

Zoals ik schreef in mijn brief van december 2020 (Kamerstukken II 2020/21, 27 529, nr. 202) is de zorg ICT-markt nu onvoldoende transparant en onvoldoende competitief. Onafhankelijke
kosten- en prestatievergelijkingen van ICT-systemen zijn nodig om zorgaanbieders inzicht
te kunnen bieden in reële marktprijzen voor vergelijkbare functionaliteiten. Signalen
over hoge winsten van ICT-leveranciers neem ik serieus, en in de hiervoor genoemde
brief heb ik aangegeven te verkennen of we meer dwingende maatregelen kunnen hanteren
tegen de «commerciële en technische strategieën» die ICT-leveranciers kunnen hanteren
om concurrentie te beperken. De Autoriteit Consument en Markt (hierna: ACM) doet een
sectoronderzoek naar mogelijke marktproblemen op het gebied van informatiesystemen
van ziekenhuizen en gegevensuitwisseling in de zorg. Het is de rol van de ACM om te
oordelen over of ingrijpen in eventueel verstoorde markten noodzakelijk is. Ik wacht
de resultaten van het onderzoek af. Zodra de uitkomsten van dit onderzoek bekend zijn
zal ik uw Kamer informeren welke gevolgen ik zie voor de zorgmarkt.

De leden van de GroenLinks-fractie lezen dat bij toetsing van kwaliteitsstandaarden
het door Zorginstituut niet een extra eis over gegevensuitwisseling wordt toegevoegd.
Waarom niet? Gegevensuitwisseling hangt immers sterk samen kwaliteit van zorg en het
vermijden van vermijdbare fouten. Als gegevensuitwisseling daar zo’n sterk onderdeel
van is, zou het Zorginstituut daar dan niet ook op moeten toetsen?

In het nieuwe Toetsingskader kwaliteitsstandaarden en meetinstrumenten versie 3.0
van het Zorginstituut Nederland, dat per 1 juli 2021 in werking is getreden, is aangegeven
dat kwaliteitsstandaarden waarin een zorgproces staat beschreven, voortaan een informatieparagraaf
moeten bevatten. Daarin staat welke gegevens uitgewisseld moeten worden ten behoeve
van de goede zorg of met het oog daarop. Hoe die gegevens vervolgens worden uitgewisseld,
wordt geregeld met het voorliggende wetsvoorstel.

De leden van de PvdD-fractie lezen dat de regering meermaals stelt dat het wetsvoorstel
niet verplicht tot het uitwisselen van gegevens, maar wanneer er wordt uitgewisseld,
dat dit op elektronische wijze gebeurd. Waarom wordt dit verplicht?

Met het verplichten van zorgaanbieders om interoperabel elektronisch uit te wisselen
kunnen zorgverleners zich meer bezighouden met het verlenen van zorg, en kunnen cliënten
beter en sneller geholpen worden. Doordat gegevens op dit moment veelal niet goed
doorkomen of handmatig moeten worden overgetypt, ontstaan er negatieve effecten op
de zorgverlening. Zowel voor de zorgverlener als aan de kant van de cliënt. Het niet
goed doorkomen van gegevens heeft voor cliënten tot gevolg dat zij soms onnodige onderzoeken
moeten ondergaan. Ook bestaat er een vergroot risico op vermijdbare fouten in de zorgverlening
(bijvoorbeeld verkeerd gestelde diagnoses en niet passende behandelingen).

Verder kan gedacht worden aan vermijdbare medicatiefouten, doordat gegevens over medicatie,
allergieën, intoleranties en contra-indicaties onvolledig, onjuist of in het geheel
niet uitgewisseld worden. Zorgverleners verliezen veel tijd met (extra) administratieve
handelingen rondom de gegevensuitwisseling, zoals door het overtypen, het fysiek moeten
overdragen, of door het achterhalen van ontbrekende gegevens. Dit is tijd die ten
koste gaat van de zorgverlening aan de cliënt.

Dat interoperabiliteit wordt nagestreefd bij het uitwisselen van gegevens vinden deze
leden in het kader van medische veiligheid en duidelijke communicatie te begrijpen.
De leden van de PvdD-fractie zijn echter niet tevreden met het feit dat er gedwongen
elektronisch gewerkt moet worden bij het uitwisselen van gegevens. Dit is een inperking
van de uitoefening van het medische beroep en dwang richting de patiënt om medische
gegevens digitaal te laten vastleggen. Deze leden vragen de regering daarom een toelichting
van de regering waarom er wordt gekozen tot het verplicht elektronisch werken en er
niet gekozen wordt voor het nastreven van interoperabiliteit via verschillende kanalen,
zoals brief, elektronisch, en andere mogelijke (zowel elektronische als niet elektronische)
communicatiemiddelen die in de zorg gebruikt worden.

Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen verlenen
is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt op
de juiste plek op het juiste moment. Door het tijdig elektronisch uitwisselen van
de juiste gegevens op een eenduidige manier kan goede zorgverlening worden bevorderd.
Als er gekozen wordt voor verschillende kanalen van communicatie zoals voorgesteld
door de leden van de Partij voor de Dieren blijft de huidige situatie voortbestaan
waarin zorgaanbieders gebruik maken van verschillende manieren van uitwisselen van
gegevens die vaak niet op elkaar aansluiten. Uitwisseling van gegevens gebeurt vaak
nog via de analoge fax, papier, per post, DVD, of ontbreekt zelfs volledig waardoor
actuele informatie niet (op tijd) voor de zorgverlener beschikbaar kan zijn. Door
in de zorg gebruik te maken van het elektronisch uitwisselen van gegevens aan de hand
van eenduidige eisen aan taal en techniek, kunnen de juiste gegevens op een eenduidige
manier tijdig worden uitgewisseld. Interoperabiliteit betekent dat producten, systemen
of organisaties zonder beperkingen samen kunnen werken wat niet bereikt kan worden
als partijen zelf hun communicatiekanalen kunnen kiezen die onderling niet operabel
zijn. Het staat zorgverleners uiteraard vrij om naast de verplichte uitwisseling van
gegevens door middel van een elektronische infrastructuur ook op een andere wijze
met elkaar die gegevens uit te wisselen, bijvoorbeeld telefonisch.

De leden van de PvdD-fractie lezen dat op termijn interoperabiliteit verplicht wordt.
Waarom is dit niet al opgenomen in het wetsvoorstel?

Ik streef (net als mijn ambtsvoorganger5) ernaar dat zorgproces voor zorgproces wordt gedigitaliseerd op basis van verplichte,
eenduidige afspraken over taal – dat wil zeggen iedereen dezelfde taal spreekt – en
techniek. Mijn inzet is dat het wetsvoorstel gaat leiden tot een versnelling in het
interoperabel uitwisselen van gegevens in de zorg. Aangezien voor bepaalde gegevensuitwisselingen
soms nog grote stappen gezet moeten worden om tot volledige interoperabiliteit te
komen, is gekozen voor een stapsgewijze aanpak. In de stapsgewijze aanpak is verplichte
elektronische uitwisseling volgens de eisen voor taal en techniek – met als doel interoperabiliteit
– het sluitstuk van een traject dat samen met zorgpartijen en aanbieders van informatietechnologieproducten
en -diensten in de zorg wordt doorlopen. Een spoor 1 aanwijzing om een aangewezen
gegevensuitwisseling verplicht elektronisch te laten verlopen, kan snel gaan. In dat
geval hoeft er niet gewacht te worden op een normtraject. Bestaande normen, zoals
ten aanzien van informatiebeveiliging, kunnen opgenomen worden in spoor 1. Doordat
op deze manier de eerste stap wordt gezet voor het elektronisch uitwisselen van gegevens,
wordt verwacht dat hieruit ook van onderop initiatieven en innovatie uit het zorgveld
ontstaan, waardoor de vervolgstap naar een spoor 2-aanwijzing wordt verkleind.

Ik verwacht dat het wetsvoorstel eraan bijdraagt dat met het oog op een komende wettelijke
verplichting ook initiatieven ontstaan voor het komen tot gezamenlijk gedragen standaarden,
afspraken en eisen die breder toepasbaar zijn. Het wetsvoorstel werpt nu al zijn schaduw
vooruit. Dit is te zien bij implementatietrajecten zoals eOverdracht en Medicatieoverdracht,
waarvoor een wettelijke verplichting als sluitstuk beoogd is. Deze trajecten zijn
al gestart en maken het mogelijk om na inwerkingtreding van het wetsvoorstel bij AMvB
aangewezen te worden als een gegevensuitwisseling in spoor 1 of 2. Daarnaast hebben
leveranciers al voorstellen gedaan voor technische afspraken voor de uitwisseling
van de Basisgegevensset Zorg (hierna: BgZ) en beelduitwisseling, wat ook twee van
de vier gegevensuitwisselingen zijn die op dit moment worden uitgewerkt. Ik vind het
bemoedigend om te zien dat er al concrete stappen worden gezet voorafgaand aan de
wetsbehandeling door uw Kamer.

Bovendien is de inzet dat het met iedere gegevensuitwisseling makkelijker wordt om
deze te digitaliseren. Door zoveel mogelijk gebruik te maken van eerdere trajecten
met bijbehorende standaarden, normen, andere afspraken en ICT-infrastructuur ben ik
optimistisch dat al doende interoperabiliteit wordt gerealiseerd.

De leden van de SGP-fractie maken uit het voorstel van wet en de toelichting op het
wetsvoorstel niet verplicht tot het uitwisselen van gegevens. De verplichting ziet
daarmee alleen op het hoe van de uitwisseling, namelijk op elektronische wijze. Als
binnen het bestaande wettelijke kader, dan wel de kwaliteitskaders geen grondslag
bestaat voor de uitwisseling van (bijzondere) persoonsgegevens, kan deze niet plaatsvinden.

Het voorliggend wetsvoorstel leidt volgens de regering niet tot de verplichting van
het gebruik van één landelijke structuur of een verplichting van het gebruik van een
specifiek systeem binnen een gegevensuitwisseling. De leden van de SGP-fractie steunen
deze lijn, ook gegeven het feit dat een eerder voorstel hiertoe in 2011 door de Eerste
Kamer unaniem is verworpen (Elektronisch Patiëntendossier). Zij kunnen zich echter
wel voorstellen dat de regering samen met het zorgveld werkt aan een landelijke digitale
infrastructuur (c.q. stelsel van samenhangende, interoperabele zorginfrastructuren)
en de wettelijke verplichting voor zorgverleners om hierop aan gesloten te zijn. Deelt
de regering deze visie? In hoeverre draagt dit wetsvoorstel bij aan realisatie van
een dergelijke landelijke, digitale infrastructuur en de wettelijke verplichting van
het gebruik hiervan?

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken
te verplichten voor taal en techniek.

De leden van de SGP-fractie vragen of er op dit moment in enige wet (of regeling)
een verplichting is opgenomen voor zorgaanbieders om gegevens langs elektronische
weg uit te wisselen. Zo ja, kan de regering een overzicht geven van de wetten die
het betreft? En zo nee, is de regering voornemens om wetswijzigingen voor te bereiden
met dat doel?

Er is een aantal wetten waarin zorgaanbieders verplicht worden gesteld om gegevens
langs elektronische weg uit te wisselen. Gedacht kan worden aan de verplichting in
artikel 8:24 van de Wet verplichte geestelijke gezondheidszorg, dat zorgaanbieders
verplicht om ervoor te zorgen dat bepaalde gegevens digitaal beschikbaar zijn ten
behoeve van de uitvoering van die wet en het toezicht daarop door de IGJ en artikel
17 van de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten,
dat bepaalt dat zorgaanbieders aan de IGJ een digitaal overzicht van bepaalde gegevens
moet verstrekken. Daarnaast wordt met het voorliggende wetsvoorstel uiteraard ook
-stap voor stap- een verplichting voor zorgaanbieders opgenomen om gegevens langs
elektronische weg uit te wisselen.

2.3 Reikwijdte wetsvoorstel

De leden van de VVD-fractie begrijpen dat het onderhavige wetsvoorstel geldt voor
zorg uit de Zorgverzekeringswet (Zvw), Wet langdurige zorg (Wlz) en andere zorg (zoals
handelingen op het gebied van de individuele gezondheidszorg als bedoeld in artikel
1 van de Wet BIG). Kan de regering nogmaals duidelijk aangeven wat wel onder de wet
valt, en ook wat nadrukkelijk wat er niet onder valt en waarom niet?

Zoals deze leden terecht opmerken geldt dit wetsvoorstel voor:

– zorg of dienst als omschreven bij of krachtens de Zorgverzekeringswet (Zvw-zorg);

– zorg of dienst als omschreven bij of krachtens de Wet langdurige zorg (Wlz-zorg);
en

– handelingen op het gebied van de individuele gezondheidszorg als bedoeld in artikel
1 van de Wet op de beroepen in de individuele gezondheidszorg, niet zijnde Zvw-zorg
of Wlz-zorg, en handelingen met een ander doel dan het bevorderen of bewaken van de
gezondheid van de cliënt (andere zorg).

Hiermee is aangesloten bij de reikwijdte van de Wkkgz.

In verband met de uitvoerbaarheid, is er niet voor gekozen om het wetsvoorstel ook
te laten zien op uitwisseling van gegevens in of met de jeugdhulp en de maatschappelijke
ondersteuning. Beoogd is evenwel om op een later moment deze (dan vastgestelde) wet
daartoe te verbreden middels een wetswijziging.

Daarnaast ziet dit wetsvoorstel niet op het elektronische wijze uitwisselen van gegevens
tussen de zorgverlener en de cliënt. Voor deze informatie-uitwisseling is immers reeds
het Medmij-afsprakenkader ingericht.

De leden van de VVD-fractie vragen wat wordt bedoeld met «handelingen met een ander
doel dan het bevorderen of bewaken van de gezondheid van de cliënt»? Valt de Wpg (Wet
publieke gezondheid) onder deze wet? Valt de GGD onder deze wet? Valt de Jeugdzorg
onder deze wet? Valt de Wet maatschappelijke ondersteuning (Wmo) onder deze wet? Valt
de geestelijke gezondheidszorg (ggz) onder deze wet?

De reikwijdte van het wetsvoorstel is overeenkomstig de reikwijdte van de Wkkgz. Uit
de parlementaire geschiedenis bij de Wkkgz volgt dat met «handelingen met een ander
doel dan het bevorderen of bewaken van de gezondheid van de cliënt» met name werd
gedacht aan persoonlijke verzorging, zoals verrichtingen op cosmetisch gebied, die
niet onder de Wet BIG vallen. Er is nadere duiding gegeven over de reikwijdte van
de Wkkgz in de folder «Val ik onder de Wet kwaliteit, klachten en geschillen in de
zorg?» die gepubliceerd is op rijksoverheid.nl.

Zorg als bedoeld in de Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz)
en de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten
(hierna: Wzd) valt in beginsel onder de reikwijdte van de Wkkgz en dus dit wetsvoorstel.
Echter, in bepaalde gevallen moet zorg als bedoeld in de Wvggz en Wzd gekwalificeerd
worden als jeugdhulp in de zin van de Jeugdwet of maatschappelijke ondersteuning als
bedoeld in de Wet maatschappelijke ondersteuning 2015 (hierna: Wmo 2015). Daarop is
de Wkkgz en dus het voorliggende wetsvoorstel niet van toepassing.

Zorg als bedoeld in de Wet publieke gezondheid (hierna: Wpg) kan ook onder de reikwijdte
vallen. Dat geldt in ieder geval voor de jeugdgezondheidszorg. Maar voorlichtingscampagnes
en behoefte-inventarisaties vallen bijvoorbeeld niet onder de definitie van «zorg»
in de Wkkgz en het voorliggende wetsvoorstel. Dit betekent dat niet alle taken van
de GGD’s onder de reikwijdte van dit wetsvoorstel vallen.

Jeugdhulp als bedoeld in de Jeugdwet en maatschappelijke ondersteuning als bedoeld
in de Wmo 2015 vallen niet binnen de reikwijdte van dit wetsvoorstel. Zoals in het
antwoord op de vorige vraag van deze leden aangegeven, is beoogd om op een later moment
deze (dan vastgestelde) wet daartoe te verbreden middels een wetswijziging.

De leden van de VVD-fractie lezen dat de wet niet toeziet op de uitwisseling van gegevens
tussen de zorgverlener en de cliënt. Hoe gebeurt dat nu wel? Waarom is dit niet ook
opgenomen in de voorliggende wet? En hoe kan deze wet toch ook bijdragen aan die uitwisseling?
En kan de cliënt achteraf wel zien welke gegevens uitgewisseld zijn?

Deze leden merken terecht op dat dit wetsvoorstel niet ziet op het elektronische wijze
uitwisselen van gegevens tussen de zorgverlener en de cliënt. Voor deze informatie-uitwisseling
is immers reeds het Medmij-afsprakenkader ingericht. MedMij is de Nederlandse standaard
voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de cliënt,
bijvoorbeeld in een persoonlijke gezondheidsomgeving.

Dit laat onverlet dat het wetsvoorstel positieve effecten kan hebben op de gegevensuitwisseling
met de cliënt. Doordat gegevens met behulp van een elektronische infrastructuur beschikbaar
worden en tussen zorgverleners op die wijze worden uitgewisseld, kunnen deze logischerwijs
ook makkelijker uitgewisseld worden met de cliënten. Dit positieve effect wordt nog
eens versterkt doordat bij de ontwikkeling van een NEN-norm rekening zal worden gehouden
met het MedMij- afsprakenstelsel. Dit wordt geborgd doordat de Minister bij de opdrachtverlening
als richtinggevend kader zal meegeven dat de norm zoveel mogelijk rekening dient te
houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij.

Wat zijn tot op heden de ervaringen met MedMij en PGO? Deze leden lezen dat de norm
voor elektronische gegevensuitwisseling zoveel mogelijk rekening dient te houden met
het bestaande afsprakenstelsel, zoals MedMij. Wat wordt bedoeld met «zoveel mogelijk»?
Wanneer zou er geen rekening mee moeten worden gehouden?

Het MedMij Afsprakenstelsel is gericht op communicatie tussen cliënt en zorgverlener,
het voorliggende wetsvoorstel is gericht op de uitwisseling tussen systemen van zorgaanbieders.
Daar dit andere techniek, en soms andere inhoud betreft kan er in uitzonderlijke gevallen
van afgeweken worden.

Genoemde leden snappen dat gekozen is voor een stapsgewijze aanpak, en dat het uitwisselen
van gegevens buiten de zorgdomeinen niet onder deze wet vallen. Dat kan op een later
moment nog wel gebeuren. Kan de regering een planning of tijdpad aangeven van de verschillende
stappen in deze wet en de daarbuiten vallende onderdelen? Waaraan wordt gedacht «buiten
de zorgdomeinen»? Kan een indicatie worden gegeven wanneer de elektronische gegevensuitwisseling
in de zorg «afgerond» kan zijn? Zo nee, waarom niet?

In verband met de uitvoerbaarheid, is er niet voor gekozen om het wetsvoorstel ook
te laten zien op uitwisseling van gegevens in of met de jeugdhulp als bedoeld in de
Jeugdwet en de maatschappelijke ondersteuning als bedoeld in de Wmo 2015. Beoogd is
evenwel om op een later moment deze (dan vastgestelde) wet daartoe te verbreden middels
een wetswijziging. Wanneer dit plaats zal vinden, kan ik op dit moment nog niet beantwoorden.
De keuze om een gegevensuitwisseling alleen aan te wijzen voor zover de afspraken
over welke gegevens moeten worden uitgewisseld zijn opgenomen in een kwaliteitsstandaard
dan wel in wet- of regelgeving, maakt bijvoorbeeld dat het wetsvoorstel niet «zomaar»
is uit te breiden tot andere domeinen. Ook wil ik graag eerst bezien hoe dit wetsvoorstel
bijdraagt aan de digitalisering van de zorg, voordat ik verdere (kostbare) stappen
zet.

Overigens is de verwachting dat het wetsvoorstel een indirect positief effect zal
hebben buiten de zorgdomeinen.

Genoemde leden lezen dat het wetsvoorstel niet toeziet op de uitwisseling via fysieke
gegevensdragers, zoals een papieren fax, Cd-rom of USB-stick. In hoeverre is het voor
deze gegevens ook niet belangrijk dat er bijvoorbeeld een eenduidig taalgebruik, ook
weer afgestemd op de elektronische gegevens, is? Want zowel Cd-rom of USB-stick kunnen
input leveren voor de elektronische gegevensuitwisseling.

Ook in de huidige situatie in de zorg worden inderdaad gegevens uitgewisseld, waaronder
via Cd-rom en USB-stick. Het probleem echter is dat Cd-roms en USB-sticks kunnen kwijtraken
of onleesbaar kunnen worden. Ook is het zo dat als gegevens op papier of via cd-rom
pas met de cliënt meekomen, het medische behandelteam zich niet altijd tijdig kan
voorbereiden. Dit kan onnodig tijdverlies en risico’s voor de behandeling opleveren.
Door het tijdig elektronisch uitwisselen van de juiste gegevens op een eenduidige
manier kan goede zorgverlening worden bevorderd. Ik heb er daarom met dit wetsvoorstel
voor gekozen elektronische uitwisseling via een elektronische infrastructuur verplicht
te stellen voor aangewezen gegevensuitwisselingen.

De leden zien dat er 13 (concept)gegevensuitwisselingen zijn geïdentificeerd. In welke
mate dekt dit de totale elektronische gegevensuitwisseling in de zorg? Welke ontbreken
er dan nog?

Op de MJA Wegiz (voorheen Roadmap) zijn, samen met het zorgveld, dertien gegevensuitwisselingen
geprioriteerd voor het traject naar wettelijke verplichting. Deze 13 gegevensuitwisselingen
dekken niet de totale gegevensuitwisseling in de zorg, maar brengen juist focus aan.
Zo weet het zorgveld en de leveranciers waar de komende jaren aan gewerkt wordt.

Bij de volledige actualisaties van de MJA Wegiz, die periodiek worden uitgevoerd,
wordt stap voor stap gekeken welke uitwisselingen voldoen aan de gestelde criteria.
Op die manier kan met focus worden gewerkt aan de geleidelijke weg naar interoperabiliteit
in de zorg. Samen met het zorgveld bepaal ik op deze manier ook de toekomstige prioritering.

De leden van de VVD-fractie lezen dat als het gaat om de gegevens die uitgewisseld
kunnen worden, in paragraaf 2.3.3 een paar voorbeelden staan genoemd waaraan gedacht
kan worden, zoals medicatievoorschriften, uitkomsten bloedonderzoeken of gegevens
hartbewaking. Kunnen daarvan nog meer voorbeelden worden genoemd? Kan het bijvoorbeeld
ook gaan om uitwisseling van röntgenfoto’s?

De genoemde voorbeelden zijn ter illustratie van gegevensuitwisselingen maar zeker
niet uitputtend. Aanvullende voorbeelden zijn labuitslagen, verslagen, overdrachtsgegevens
en pathologieonderzoeken. Eén van de vier prioritaire gegevensuitwisselingen die ik
verplicht wil stellen betreft ook medische beelden met bijbehorende verslagen. Voorbeelden
hiervan zijn CT-scans, MRI onderzoeken en ook de door u genoemde röntgenfoto’s.

De leden van de VVD-fractie lezen dat bij de duiding van de zorgaanbieders in het
kader van de elektronische gegevensuitwisseling allerlei criteria worden toegepast,
zoals de grootte van de zorgaanbieder. Betekent dit dat het uitmaakt of je straks
bij een grote of kleine zorgaanbieder terecht komt voor de elektronische gegevensuitwisseling?
Het zou een patiënt toch niet moeten uitmaken waar hij wordt behandeld?

In de eerste plaats wordt de reikwijdte van een gegevensuitwisseling bepaald door
de kwaliteitsstandaard (of de wet- en regelgeving) waarin bepaald wordt welke zorgverleners,
welke gegevens, in welke situaties moeten uitwisselen. Wanneer bijvoorbeeld de kwaliteitsstandaard
Verpleegkundige overdracht zich richt op alle verpleegkundige overdrachten, dan geldt
het uitgangspunt dat de kwaliteitsstandaard door de zorgverlener wordt toegepast,
tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener
zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het
noodzakelijk is gegevens uit te wisselen.

Bij het aanwijzen van de gegevensuitwisseling Verpleegkundige overdracht bij AMvB
onder dit wetsvoorstel kan volledig worden aangesloten bij de reikwijdte van de kwaliteitsstandaard.
Het kan echter zijn dat in eerste instantie de AMvB onder dit wetsvoorstel een beperktere
reikwijdte zal hebben, door bijvoorbeeld te bepalen dat alleen zorgaanbieders met
een bepaalde schaalgrootte er voor zorg dienen te dragen dat onder hen ressorterende
zorgverleners elektronisch uitwisselen. In dat geval zal de verpleegkundige overdracht
gedeeltelijk elektronisch plaatsvinden en gedeeltelijk op andere wijze, die overigens
natuurlijk ook elektronisch kan zijn. Bij de MKBA zal dit aspect meegenomen worden,
waarbij onderzocht hoe de kosten/baten verhouding is ten opzichte van de grootte van
een zorgaanbieder.

De leden van de VVD-fractie vragen in hoeverre vaccinatiegegevens ook onder de reikwijdte
van het voorliggende wetsvoorstel vallen? Vaccinatiegegevens worden primair geregistreerd
in lokale systemen van huisartsen, GGD-en en ziekenhuizen. Met het RIVM worden enkel
gegevens gedeeld om de vaccinatiegraad en bijwerkingen in de gaten te houden. In hoeverre
vindt de regering het ook van belang dat zorgverleners op de hoogte zijn van vaccinatie
van de patiënt? In hoeverre is het straks mogelijk dat ook de set van vaccinatiegegevens
verplicht moet worden uitgewisseld tussen zorgverleners? In hoeverre heeft dit prioriteit?
En in hoeverre kunnen vaccinatiegegevens met toestemming van de patiënt uitgewisseld
worden via het landelijk schakelpunt?

Ik bepaal met dit wetsvoorstel niet welke gegevens worden uitgewisseld, maar alleen
hoe deze gegevens worden uitgewisseld. Bij deze nota naar aanleiding van het verslag
heb ik ook een nota van wijziging gevoegd, waarmee verduidelijkt wordt dat het wetsvoorstel
niet verplicht tot het uitwisselen van gegevens.

Waar vaccinatiegegevens onderdeel zijn van een prioritaire gegevensuitwisseling zullen
deze ook onderdeel worden van voorliggend wetsvoorstel. Hoewel dit in eerste instantie
aan het zorgveld is om te bepalen, komt mij voor dat dit zeker het geval zal kunnen
zijn. Ik denk dan bijvoorbeeld aan uitwisseling van de BGZ. Daarbij kan het LSP waarschijnlijk
worden gebruikt. Gebruik van het LSP zal echter niet als verplichting opgelegd worden.
De NEN-norm mag er namelijk niet toe leiden dat het uitwisselen van gegevens enkel
kan via een elektronisch uitwisselingssysteem. Ik geef dit mee in de opdrachtverlening
aan de NEN. Bij het vooraf ter beschikking stellen van gegevens via een elektronisch
uitwisselingssysteem, zoals het LSP, is en blijft uitdrukkelijke toestemming vereist
op grond van de Wabvpz.

Overigens kunnen onder het huidige recht, op grond van de Wabvpz, indien de cliënt
uitdrukkelijk toestemming heeft verleend, gegevens uit een dossier van de cliënt zoals
vaccinatie gegevens, reeds beschikbaar worden gesteld via een elektronisch uitwisselingssysteem
als het LSP.

De leden van de VVD-fractie willen graag weten of er een verplichte koppeling tussen
kwaliteitsstandaard en informatiestandaard is. Wat zijn daarvan de voor- en nadelen?
Deze leden ontvangen graag uitgebreide toelichting op dit punt.

Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen verlenen
is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt op
de juiste plek op het juiste moment. De eerste stap die hiervoor nodig is, is dat
er duidelijke afspraken komen over welke gegevens tussen welke zorgverleners in welke
situatie worden uitgewisseld.

Wanneer deze afspraken worden vastgelegd in een kwaliteitsstandaard, is verzekerd
dat deze afspraken kenbaar zijn, want goed toegankelijk via het register van het Zorginstituut,
en is geborgd dat alle partijen die een belang hebben betrokken zijn. Het uitgangspunt
van een kwaliteitsstandaard is dat de kwaliteitsstandaard door de zorgverlener wordt
toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de
zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de
vraag of het noodzakelijk is gegevens uit te wisselen. Gezien deze voordelen is er
in dit wetsvoorstel voor gekozen dat alleen eisen worden gesteld aan hoe gegevens
moeten worden uitgewisseld, als in een kwaliteitsstandaard (of wet- en regelgeving)
duidelijk staat welke gegevens uitgewisseld moeten worden.

In bestaande kwaliteitsstandaarden wordt in bepaalde gevallen nu nog naar een informatiestandaard
verwezen. Voor nieuwe kwaliteitsstandaarden of wijzigingen van kwaliteitsstandaarden
zal echter niet meer naar een informatiestandaard worden verwezen.

Sinds 1 juli 2021 dienen kwaliteitsstandaarden die voorgedragen worden om ingeschreven
te worden in het openbaar register van het Zorginstituut te beschikken over een informatieparagraaf.
Daarin staat welke gegevens uitgewisseld moeten worden ten behoeve van de goede zorg
of met het oog daarop.

Het onderhavig wetsvoorstel regelt alleen een verplichting hoe gegevens worden uitgewisseld.

De vraag of een zorgverlener in een concreet geval in het kader van goede zorg gegevens
moet uitwisselen, is een vraag over de kwaliteit van zorg. Over kwaliteit van zorg
gaat de Wkkgz.

De leden van de D66-fractie vragen in hoeverre dit wetsvoorstel ook geldt voor de
Jeugdwet en waarom deze niet is toegevoegd aan de opsomming on punt 2.3.1. van de
toelichting of dat het valt onder «overige zorg». Met name vanwege de specialistische
jeugdzorg.

De leden van de D66-fractie vragen of de regering kan bevestigen dat het punt «ggz-overdracht
van een basisgegevensset» op de meerjarenagenda Wegiz ook betrekking heeft op de Jeugd-ggz?
Zo nee, waarom niet? Deze leden achten dit van belang omdat een kind dat wordt behandeld
door een jeugdpsychiater, later kan worden behandeld door een volwassenpsychiater
als hij of zij 18 jaar wordt. Onder andere de Inspectie voor Gezondheidszorg en Jeugd
(IGJ) heeft aangegeven dat er nog veel verbeteringen nodig zijn binnen de ICT van
jeugdzorgaanbieders.

Voor de GGZ is er één gegevensset, daarbij wordt geen onderscheid gemaakt tussen jeugd
en volwassenen. Ik ben nog met de Nederlandse GGZ in gesprek over de exacte verdere
uitwerking van het punt «GGZ-overdracht van een basisgegevensset» op de MJA Wegiz.

De leden van de D66-fractie lezen dat de regering verwacht dat het wetsvoorstel een
indirect effect buiten de zorgdomeinen zal hebben. Dat als de zorg genormaliseerd
is en daarmee onafhankelijk van een specifieke elektronische infrastructuur gegevens
uitwisselt, dan volgen mogelijk andere domeinen op vrijwillige basis. Op basis van
welke argumenten is deze uitspraak berust? Deze leden denken immers dat het ook mogelijk
is dat deze zorgaanbieders juist de voorkeur blijven hebben voor de traditionele manier
van gegevens uitwisselen zoals ze dat altijd al deden.

De leden van de D66-fractie stellen terecht dat de verwachting is dat het wetsvoorstel
een indirect effect heeft op (gestandaardiseerde) elektronische uitwisseling van gegevens
buiten de zorgdomeinen.

In de eerste plaats, omdat uitwisseling niet alleen plaatsvindt binnen domeinen, maar
ook tussen domeinen. Bijvoorbeeld uitwisseling tussen een huisarts en een jeugdhulpverlener.
Wanneer het binnen het zorgdomein genormaliseerd is om (gestandaardiseerd) elektronisch
uit te wisselen, is de verwachting dat er vanuit het veld zelf een opdruk ontstaat
richting de andere domeinen.

In de tweede plaats, omdat de verwachting is dat de normen die naar aanleiding van
dit wetsvoorstel worden ontwikkeld op onderdelen ook meer generiek van toepassing
kunnen zijn op gegevensuitwisselingen buiten het zorgdomein.

In de derde plaats, omdat de verwachting is dat de positieve gevolgen van het (gestandaardiseerd)
elektronisch uitwisselen motiverend werkt in andere domeinen.

De leden van de D66-fractie vragen de regering hoe het zit met e-mail omdat dit een
vorm van digitale gegevens overdracht is. Is er een scenario denkbaar dat men via
e-mail, al dan niet met bijlagen, communiceert omdat de wet voorschrijft dat digitale
gegevensuitwisseling vereist is? Deze leden vragen dit vooral in het geval dat spoor
2 bij een gegevensuitwisseling nog ontbreekt. Hoe komt dergelijke uitwisseling de
privacy ten goede?

Wanneer een gegevensuitwisseling wordt aangewezen in spoor 1 volgt op grond van het
wetsvoorstel alleen de eis dat ten minste de gegevens uitgewisseld worden via een
elektronische infrastructuur. Dat daarbij gebruikt wordt gemaakt van e-mail is inderdaad
denkbaar.

De zorgaanbieder moet bij het uitwisselen van gegevens ten alle tijden voldoen aan
de AVG en de eisen die daaruit voortvloeien ten aanzien van informatiebeveiliging
en vertrouwelijk omgaan met gegevens. De NTA 7516 is een veldnorm die kwalificeert
als een «passende technische en/of organisatorische maatregel om een op het risico
afgestemd beveiligingsniveau te waarborgen» in de zin van artikel 32 van de AVG. De
zorgverlener is niet verplicht om de NTA 7516 te volgen maar als een zorgaanbieder
de NTA 7516 volgt, is hij zeker dat hij AVG-proof mailt. Omdat deze norm is opgesteld
is samenspraak met het zorgveld, mag worden verwacht dat zorgaanbieders zich in de
praktijk ook houden aan deze norm.

Naast eisen op grond van de AVG kunnen in spoor 1 eveneens andere aanvullende eisen
worden gesteld aan een gegevensuitwisseling, mits deze niet leiden tot volledige interoperabiliteit.

De leden van de D66-fractie hebben tijdens de coronacrisis gezien hoe snel de ontwikkeling
is gegaan ten aanzien van gegevensuitwisseling van de beschikbaarheid van klinische
bedden. Zo zijn in snel tempo applicaties ontstaan waarmee ziekenhuizen onderling
met elkaar kunnen communiceren wat hun beschikbaarheid is. Valt dit type gegevensuitwisseling
ook binnen de reikwijdte van dit wetsvoorstel?

De reikwijdte van het wetsvoorstel richt zich op uitwisselen van gegevens over een
cliënt tussen zorgverleners voor het verlenen van goede zorg. Het type gegevensuitwisseling
dat door de leden van de D66-fractie wordt aangehaald lijkt hier niet op te zien,
omdat het niet zozeer gaat over de zorg aan een specifieke cliënt, maar in algemene
zin over beschikbaarheid van klinische bedden. Het voorliggende wetsvoorstel richt
zich op de gegevensuitwisseling in een zorgrelatie ten aanzien van een specifieke
cliënt. Als het door de leden van de D66-fractie aangehaalde gegevens zien op de organisatie
van het ziekenhuis en eigenlijk een gegevensuitwisseling betreft tussen zorgaanbieders,
ziet dit wetsvoorstel daarom niet op deze gegevensuitwisseling.

Wat zijn de plannen van de regering om nu versneld beddenbeschikbaarheid te realiseren
zodat meerdere zorgaanbieders, waaronder ook ambulancepersoneel, snel kunnen zien
waar er nog (acute) bedden beschikbaar zijn? Wordt dit type gegevensuitwisseling toegevoegd
aan de meerjarenagenda?

Gelet op de snelheid die gemoeid gaat bij het bestrijden van de coronacrisis, wordt
op een andere wijze gewerkt aan de informatievoorziening over de benodigde beddenbeschikbaarheid.

De reikwijdte van het wetsvoorstel richt zich op uitwisselen van gegevens over een
cliënt tussen zorgverleners voor het verlenen van goede zorg. Het type gegevensuitwisseling
dat door de leden van de D66-fractie wordt aangehaald lijkt hier niet op te zien,
omdat het niet zozeer gaat over de zorg aan een specifieke cliënt, maar in algemene
zin over beschikbaarheid van klinische bedden. Als de door de leden van de D66-fractie
aangehaalde gegevens zien op de organisatie van het ziekenhuis en eigenlijk een gegevensuitwisseling
betreft tussen zorgaanbieders, ziet dit wetsvoorstel daarom niet op deze gegevensuitwisseling.

De leden van de D66-fractie onderschrijven het in algemeen het belang van kwaliteitsstandaarden
in de zorg. Zij zouden echter iets meer informatie willen omtrent de kwaliteitsstandaarden
bij dit wetsvoorstel. Wat zou er gebeuren als deze standaarden niet voor gegevensuitwisseling
worden ingezet of deze wet niet zou verwijzen naar deze kwaliteitsstandaarden? Is
het de bedoeling dat deze per gegevenswisseling wordt opgesteld? Zo ja, wat als er
meerdere gegevens uit verschillende gegevensuitwisselingen moeten worden gedeeld,
maar bij enkele kwaliteitsstandaarden ontbreken. Bijvoorbeeld als voor uitwisseling
van beelden van een hartinfarct er een kwaliteitsstandaard is, maar dat de kwaliteitsstandaard
voor acute ambulanceoverdracht ontbreekt. Hoe zit deze wisselwerking wanneer er sprake
is van meerdere kwaliteitsstandaarden?

Om een gegevensuitwisseling aan te melden voor de MJA Wegiz, is het noodzakelijk dat
er een kwaliteitsstandaard is of nagenoeg gerealiseerd is (of wet- en regelgeving)
waarin bepaald wordt welke gegevens tussen welke zorgverlener in welke situatie worden
uitgewisseld. Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen
verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de
cliënt op de juiste plek op het juiste moment. De eerste stap die hiervoor nodig is,
is dat er duidelijke afspraken komen over welke gegevens tussen welke zorgverleners
in welke situatie worden uitgewisseld. Wanneer deze afspraken worden vastgelegd in
een kwaliteitsstandaard, is verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk
via het register van het Zorginstituut, en is geborgd dat alle partijen die een belang
hebben betrokken zijn. Het uitgangspunt van een kwaliteitsstandaard is dat de kwaliteitsstandaard
door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid
van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook
voor de vraag of het noodzakelijk is gegevens uit te wisselen. Ik merk echter dat
de praktijk nog niet aansluit bij het gekozen stelsel. Daarom is, om de snelheid te
houden voor de huidige gegevensuitwisselingstrajecten gekozen voor een overgangsperiode
van vijf jaar voor de nu geprioriteerde uitwisselingen in de voorloper van de MJA
Wegiz (Roadmap).

Voor de door de leden van D66-fractie beschreven voorbeelden van verschillende kwaliteitsstandaarden
zal dus een «overkoepelde» kwaliteitsstandaard of meerdere kwaliteitsstandaarden van
toepassing kunnen worden. Zo richt de gegevensuitwisseling BgZ zich op de uitwisseling
van basisgegevens van een cliënt, bijvoorbeeld in het geval een cliënt doorverwezen
wordt van het ene ziekenhuis naar het andere. Wanneer er ook beelden van deze cliënt
zijn gemaakt in de eerdere behandeling en de cliënt wordt doorverwezen voor een second
opinion, dan zal deze beelduitwisseling vallen onder de aangewezen gegevensuitwisseling
Beelduitwisseling met bijbehorend verslag. Deze uitwisseling van gegevens staat daarmee
los van de vraag of iemand doorverwezen wordt na een hartinfarct of voor nader oncologisch
onderzoek.

De leden van de D66-fractie vragen de regering of alleen het benoemen van informatiestandaarden
die eenheid van taal en techniek mogelijk maken voldoende was geweest in plaats van
ook kwaliteitsstandaarden.

Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen verlenen
is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt op
de juiste plek op het juiste moment. De eerste stap die hiervoor nodig is, is dat
er duidelijke afspraken komen over welke gegevens tussen welke zorgverleners in welke
situatie worden uitgewisseld. Wanneer deze afspraken worden vastgelegd in een kwaliteitsstandaard,
is verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk via het register
van het Zorginstituut, en is geborgd dat alle partijen die een belang hebben betrokken
zijn. Het uitgangspunt van een kwaliteitsstandaard is dat de kwaliteitsstandaard door
de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid
van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook
voor de vraag of het noodzakelijk is gegevens uit te wisselen.

Anders dan hierboven is beschreven voor kwaliteitsstandaarden, geldt voor informatiestandaarden
niet of in mindere mate een (wettelijk) geborgd proces (tripartiet tot stand gekomen,
voldoende kenbaar, en geborgd dat de afspraken ook daadwerkelijke worden toegepast),
waardoor niet verzekerd kan worden dat gegevens daadwerkelijk in het kader van goede
zorg worden uitgewisseld. Het onderhavig wetsvoorstel regelt alleen een verplichting
hoe gegevens worden uitgewisseld.

De vraag of een zorgverlener in een concreet geval in het kader van goede zorg gegevens
moet uitwisselen, is een vraag over de kwaliteit van zorg. Over kwaliteit van zorg
gaat de Wkkgz.

De leden van de D66-fractie vragen hoe lang het gemiddeld duurt om een kwaliteitsstandaard
tripartiet op te stellen en of deze termijn wenselijk is bij dit wetsvoorstel.

Hoe lang het gemiddeld duurt om een kwaliteitsstandaard tripartiet te ontwikkelen
en op te stellen is onder andere afhankelijk van de omvang en complexiteit van het
onderwerp. De ontwikkeling van een richtlijn duurt veelal één tot twee jaar, maar
het kan overigens ook korter duren maar ook langer. Met zorgpartijen en ook het Zorginstituut
wordt wel onderzocht hoe het proces van het ontwikkelen en opstellen van kwaliteitsstandaarden
kan worden geoptimaliseerd en versneld, bijvoorbeeld door activiteiten parallel te
laten verlopen en modulair onderhoud toe te passen waardoor kwaliteitsstandaarden
efficiënter kunnen worden herzien.

De leden van D66-fractie willen waken voor scenario’s waarbij kwaliteitsstandaarden
gegevensuitwisseling limiteren in plaats van verrijken of dat er louter sprake zal
zijn van een papieren exercitie. Het is goed dat professionele autonomie mogelijk
blijft om extra of juist minder gegevens uit te wisselen maar wat is straks het exacte
gevolg voor een zorgverlener als hij of zij meer (of minder) gegevens uitwisselt dan
de kwaliteitsstandaard voorschrijft?

Een kwaliteitsstandaard is een richtlijn, module, norm, zorgstandaard of organisatiebeschrijving,
die betrekking heeft op een zorgproces en vastlegt wat noodzakelijk is om vanuit het
perspectief van de cliënt goede zorg te verlenen. Kwaliteitsstandaarden worden opgesteld
door tripartiete partijen (zorgverleners, zorgaanbieders en zorgverzekeraars/ uitvoerders
van de Wlz). Op grond van de Wkkgz handelen zorgverleners in overeenstemming met de
kwaliteitsstandaarden. In sommige gevallen maakt de zorgverlener zelf de afweging
of en welke gegevens moeten worden uitgewisseld voor het leveren van goede zorg, passend
bij de situatie en de behoeften van de individuele cliënt.

Is overwogen om te verwijzen naar de wet BIG indien een zorgverlener te veel (overbodige)
of te weinig informatie uitwisselt? Met andere woorden dat een beroep kan worden gedaan
op goed hulpverlenerschap binnen bestaande wetgeving zoals de Wet op de Beroepen in
de individuele gezondheidszorg (Wet BIG) of de Wet op de geneeskundige behandelovereenkomst
(WGBO)?

Het voorliggende wetsvoorstel gaat niet in op de vraag welke gegevens wanneer uitgewisseld
kunnen of moeten worden, maar ziet enkel op de vraag hoe de uitwisseling van gegevens
plaats moet vinden, namelijk op elektronische wijze. Bij deze nota naar aanleiding
van het verslag heb ik ook een nota van wijziging gevoegd, waarmee verduidelijkt wordt
dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens.

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving
inzake gegevensbescherming, zoals de AVG, de Wgbo en de Wet BIG. Dat betekent dat
bij het uitwisselen van gegevens altijd voldaan moet worden aan de eisen die uit die
bestaande kaders volgt.

Als binnen het bestaande wettelijke kader uitwisseling van (bijzondere) persoonsgegevens
niet is toegestaan, kan deze niet plaatsvinden. Het specifiek verwijzen naar de Wet
BIG of de Wgbo is niet aan de orde, aangezien de Wet BIG en de Wgbo onverminderd van
toepassing blijven.

De leden van de D66-fractie vragen tot slot over kwaliteitsstandaarden of deze niet
indirect al voldoende aangeven welke gegevens minimaal noodzakelijk zijn. Zo zou het
bijvoorbeeld bij een acuut herseninfarct vreemd zijn om geen beeldvorming mee te sturen
van de uitgevoerde scans. Is het derhalve nog nodig om in kwaliteitsstandaarden te
expliciteren welke beeldvorming uitgewisseld dient te worden?

Een belangrijke randvoorwaarde voor zorgverleners om goede zorg te kunnen verlenen
is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt op
de juiste plek op het juiste moment. De eerste stap die hiervoor nodig is, is dat
er duidelijke afspraken komen over welke gegevens tussen welke zorgverleners in welke
situatie worden uitgewisseld. Wanneer deze afspraken worden vastgelegd in een kwaliteitsstandaard,
is verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk via het register
van het Zorginstituut, en is geborgd dat alle partijen die een belang hebben betrokken
zijn.

De huidige kwaliteitsstandaarden zijn niet altijd volledig als het gaat om de beschrijving
welke gegevens nodig zijn voor goede zorg. Dit betekent dat in de huidige kwaliteitsstandaarden
mogelijk niet altijd ingegaan wordt op welke gegevens nodig zijn als onderdeel van
de goede zorg. Bovendien zijn er nog niet veel sector overstijgende kwaliteitsstandaarden.
Sommige sectoren werken nog zeer beperkt met kwaliteitsstandaarden. Dit betekent dat
een aanvullings- of actualisatieslag nodig kan zijn op de kwaliteitsstandaarden voordat
bij AMvB een gegevensuitwisseling in spoor 1 dan wel spoor 2 aangewezen wordt. Daarom
heb ik het Zorginstituut Nederland gevraagd een actieve bijdrage te leveren aan ondersteuning
van het zorgveld bij de realisatie van kwaliteitsstandaarden. De komende jaren moet
er maximaal ingezet worden om de relevante kwaliteitsstandaarden een stap verder te
brengen, en in gesprek met het Zorginstituut en het zorgveld worden gekeken op welke
wijze ik daarbij kan ondersteunen.

Dat kwaliteitsstandaarden op dit moment niet altijd een (volledige) beschrijving omvatten
van welke gegevens nodig zijn voor de goede zorg betekent evenwel niet dat belangrijke
gegevens op dit moment niet wordt uitgewisseld. Het kan namelijk ook zijn dat gegevens
worden uitgewisseld omdat ze onderdeel zijn van de professionele standaard. Onderdelen
van de professionele standaard lenen zich echter niet goed als bron waarnaar in de
bij AMvB te stellen eisen kan worden verwezen als het gaat om welke gegevens nodig
zijn voor goede zorg en moeten worden uitgewisseld, aangezien deze juridisch vormvrij
zijn en er geen juridische criteria worden gesteld aan de manier waarop de standaard
kenbaar wordt gemaakt. Soms is een onderdeel van de professionele standaard niet meer
dan «bestaande praktijk» en niet schriftelijk vastgelegd. Er is daarom in dit wetsvoorstel
gekozen om de gegevensuitwisseling te koppelen aan kwaliteitsstandaarden.

De leden van de D66-fractie vragen waarom in de AMvB de grootte van de zorgaanbieder
in termen van omzet, personeelsbezetting of cliënten kan worden gespecificeerd. De
leden vragen in hoeverre is het wenselijk of juist onwenselijk is dat direct alle
zorgaanbieders bij een type gegevensuitwisseling verplicht zouden worden om gegevens
uit te wisselen?

De reden waarom in de AMvB onder dit wetsvoorstel de grootte van de zorgaanbieder
kan worden gespecificeerd heeft te maken met het volgende. In de eerste plaats wordt
de reikwijdte van een gegevensuitwisseling bepaald door de kwaliteitsstandaard (of
de wet- en regelgeving) waarin bepaald wordt welke zorgverleners, welke gegevens,
in welke situaties moeten uitwisselen. Wanneer bijvoorbeeld de kwaliteitsstandaard
Verpleegkundige overdracht zich richt op alle verpleegkundige overdrachten, dan geldt
het uitgangspunt dat de kwaliteitsstandaard door de zorgverlener wordt toegepast,
tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener
zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het
noodzakelijk is gegevens uit te wisselen.

Dit wetsvoorstel ziet niet op het uitwisselen van gegevens met bijvoorbeeld jeugdhulp
of maatschappelijke ondersteuning, vanwege de uitvoerbaarheid van het wetsvoorstel.
Beoogd is wel om op een later moment deze (dan vastgestelde) wet daartoe te verbreden
middels een wetswijziging. De leden van de CDA-fractie vragen wat er in de domeinen
van jeugdhulp en maatschappelijke ondersteuning nodig is om op termijn wel aan te
kunnen sluiten bij deze wet. Op welke termijn denkt de regering dat het mogelijk zou
kunnen zijn voor deze domeinen om aan te sluiten?

Dit kan ik op dit moment nog niet beantwoorden. De in het wetsvoorstel gemaakte keuze
om de jeugdhulp als bedoeld in de Jeugdwet en maatschappelijke ondersteuning als bedoeld
in de Wmo 2015 nog niet mee te nemen, heeft te maken met de uitvoerbaarheid van het
wetsvoorstel binnen die domeinen. De keuze om een gegevensuitwisseling alleen aan
te wijzen voor zover de afspraken over welke gegevens moeten worden uitgewisseld zijn
opgenomen in een kwaliteitsstandaard dan wel in wet- of regelgeving, maakt bijvoorbeeld
dat het wetsvoorstel niet «zomaar» is uit te breiden tot andere domeinen. Ook wil
ik graag eerst bezien hoe dit wetsvoorstel bijdraagt aan de digitalisering van de
zorg, voordat ik verdere (kostbare) stappen zet.

Overigens is de verwachting dat het wetsvoorstel een indirect positief effect zal
hebben buiten de zorgdomeinen.

De regering stelt dat het wetsvoorstel niet toeziet op het uitwisselen van gegevens
buiten de zorgdomeinen zoals data voor RIVM of voor onderzoek. Maar is dat nu niet
een gemiste kans, zo vragen de leden van de CDA-fractie. Kwaliteitsregistraties zijn
immers essentieel om tot een lerende cultuur te komen maar de structurele inrichting
wordt gehinderd omdat data veelal opnieuw ingeklokt moet worden. Ook voor wetenschappelijk
onderzoek kan het uitwisselen van geanonimiseerde data meerwaarde hebben. Waarom neemt
de regering dat niet mee?

De in het wetsvoorstel gemaakte keuze om gegevensuitwisseling ten behoeve van onderzoek
(secundaire data) en met het RIVM zowel binnen het Rijksvaccinatieprogramma als binnen
de verschillende bevolkingsonderzoeken nog niet mee te nemen, heeft te maken met de
uitvoerbaarheid van het wetsvoorstel binnen die domeinen. De keuze om een gegevensuitwisseling
alleen aan te wijzen voor zover de afspraken over welke gegevens moeten worden uitgewisseld
zijn opgenomen in een kwaliteitsstandaard dan wel in wet- of regelgeving, maakt bijvoorbeeld
dat het wetsvoorstel niet «zomaar» is uit te breiden tot andere domeinen. Ook wil
ik graag eerst bezien hoe dit wetsvoorstel bijdraagt aan de digitalisering van de
zorg, voordat ik verdere (kostbare) stappen zet.

Overigens is de verwachting dat het wetsvoorstel een indirect positief effect zal
hebben buiten de zorgdomeinen.

Dit laat onverlet dat gegevensuitwisseling ten behoeve van onderzoek mijn aandacht
heeft. Ik ben bezig met een wetsvoorstel inzake kwaliteitsregistraties, dat nu in
internetconsultatie is.

De regering schrijft dat sommige sectoren nog zeer beperkt met kwaliteitsstandaarden
werken, waardoor een aanvullings- of actualisatieslag nodig kan zijn op de kwaliteitsstandaarden
voordat bij AMvB een gegevensuitwisseling aangewezen wordt. De leden van de CDA-fractie
vragen of de regering voorbeelden kan geven van dergelijke sectoren, en welke acties
er ondernomen worden voor de benodigde aanvullings- of actualisatieslag.

Kwaliteitsstandaarden zijn nu vaak gericht op zorginhoudelijke ziektebeelden binnen
een sector, maar niet op de inhoudelijke zorg met een overdrachtskarakter. Zorg met
overdracht tussen curatieve en langdurige zorg (bijvoorbeeld de verpleegkundige overdracht)
zijn voorbeelden van sectoroverstijgende gegevensuitwisseling.

Ik heb gemerkt dat de praktijk nog niet aansluit bij het gekozen stelsel. Daarom heb
ik het Zorginstituut Nederland gevraagd een actieve bijdrage te leveren aan ondersteuning
van het zorgveld bij de realisatie van kwaliteitsstandaarden. De komende jaren moet
er maximaal ingezet worden om de relevante kwaliteitsstandaarden een stap verder te
brengen, en in gesprek met het Zorginstituut en het zorgveld worden gekeken op welke
wijze ik daarbij kan ondersteunen.

De regering geeft aan dat de jeugdgezondheidszorg als gegevensuitwisseling kan worden
aangewezen bij AMvB onder dit wetsvoorstel, aangezien in wet- en regelgeving is bepaald
wat goede zorg is en welke gegevens noodzakelijk zijn voor het verlenen van goede
zorg of met het oog daarop. De leden van de CDA-fractie vragen de regering of er een
voornemen is om daadwerkelijk jeugdgezondheidszorg als gegevensuitwisseling aan te
wijzen, en zo ja, op welke termijn dat dan zal gebeuren en in welk spoor deze gegevensuitwisseling
aangewezen kan worden.

De jeugdgezondheidszorg valt onder de reikwijdte van het wetsvoorstel. De gegevensuitwisseling
in de jeugdgezondheidszorg kan dus inderdaad bij AMvB onder dit wetsvoorstel aangewezen
worden. Op dit moment is hiervoor echter geen concreet voornemen. In beginsel is het
aan zorgpartijen zelf om een gegevensuitwisselingen aan te dragen die in aanmerking
komt voor aanwijzing onder het wetsvoorstel. Dit geldt ook voor de gegevensuitwisseling
in de jeugdgezondheidszorg.

In de jeugdgezondheidszorg worden al een aantal jaar gegevens binnen de jeugdgezondheidszorg
elektronisch uitgewisseld. Bepalingen in de Wpg en bijbehorende Regeling software
maken dit mogelijk. Zo wordt in de jeugdgezondheidszorg reeds gebruik gemaakt van
een landelijke informatiestandaard (basisdataset JGZ) die de basis vormt voor het
digitale dossier jeugdgezondheidszorg, en wordt gebruik gemaakt van de infrastructuur
van het LSP voor uitwisseling binnen de jeugdgezondheidszorg. Wanneer de sector deze
gegevensuitwisseling aandraagt voor aanwijzing onder het wetsvoorstel, is hiermee
een basis aanwezig om op voort te bouwen.

De leden van de CDA-fractie vragen de regering welke andere gevallen als gegevensuitwisseling
aangewezen kunnen worden op basis van het feit dat in wet- en regelgeving bepaald
is wat goede zorg is en welke gegevens noodzakelijk zijn voor het verlenen van goede
zorg of met het oog daarop.

In bepaalde gevallen wordt in wet- en regelgeving bepaald welke gegevens noodzakelijk
zijn voor het verlenen van goede zorg of met het oog daarop. De jeugdgezondheidszorg
is hier een goed voorbeeld van. In de Wpg en in het Besluit publieke gezondheid worden
de kaders geformuleerd en wordt het basistakenpakket JGZ vastgelegd. De concrete uitwerking
is echter -met het oog op de professionele autonomie – bepaald door de zorgprofessionals
in de vorm van professionele richtlijnen jeugdgezondheidszorg.

Er is op dit moment geen andere wet- en regelgeving waarin is bepaald welke gegevens
noodzakelijk zijn voor het verlenen van goede zorg (of met het oog daarop).

Het wetsvoorstel betreft het uitwisselen van gegevens over de cliënt, maar niet de
uitwisseling van gegevens met de cliënt. Patiëntenfederatie Nederland heeft in de
consultatieronde verzocht om ook gegevensuitwisseling van de zorgverlener met de patiënt/cliënt
binnen de reikwijdte van het wetsvoorstel te brengen. De patiënt/cliënt kan immers
informatie bezitten die zorgverleners niet altijd hebben, en die relevant kan zijn
voor het verlenen van goede en veilige zorg. De leden van de CDA-fractie vragen of
de regering kan toelichten waarom dit niet is opgenomen in het wetsvoorstel. Ziet
de regering meerwaarde om de doelstelling en reikwijdte van het wetsvoorstel uit te
breiden naar gegevensuitwisseling tussen zorgverleners én met patiënten/cliënten?
Zo nee, waarom niet? Zo ja, welke mogelijkheden ziet ze daartoe?

Dit laat onverlet dat het wetsvoorstel positieve effecten kan hebben op de gegevensuitwisseling
met de cliënt. Wanneer gegevens in een aangewezen gegevensuitwisseling genormaliseerd
uitwisselbaar zijn, kunnen deze in beginsel gemakkelijker worden ontsloten naar PGO’s.
En vice versa, wanneer cliënten gegevens delen met een zorgverlener via het PGO, kunnen
deze gegevens ook gedeeld worden met andere zorgverleners onderling. Hiermee versterkt
dit wetsvoorstel het gebruik van PGO’s.

Dit positieve effect wordt nog eens versterkt doordat bij de ontwikkeling van een
NEN-norm rekening zal worden gehouden met het MedMij- afsprakenstelsel. Dit wordt
geborgd doordat de Minister bij de opdrachtverlening als richtinggevend kader zal
meegeven dat de norm zoveel mogelijk rekening dient te houden met bestaande afsprakenstelsels,
zoals het afsprakenstelsel van MedMij.

Het wetsvoorstel richt zich primair op de verzekerde zorg. Er ontstaat intussen echter
ook een nieuwe consumentenmarkt met leefstijl- en gezondheidsgerelateerde apps en
digitale diensten. Combineren van deze data met medische data zou kunnen bijdragen
aan meer gezondheid (en wordt in andere landen ook mogelijk gemaakt, soms met aanvullende
regelgeving). De leden van de CDA-fractie vragen wat er volgens de regering nodig
zou zijn om dat mogelijk te maken en de gezondheidspotentie te realiseren. Hoe verhoudt
dat zich tot dit wetsvoorstel? Hoe wordt de veiligheid en betrouwbaarheid van de informatie
geborgd die gegenereerd worden met dergelijke apps?

Het voorliggende wetsvoorstel richt zich op een verplichting voor zorgaanbieders om
gegevens op een elektronische wijze – al dan niet genormaliseerd – uit te laten wisselen
door zorgverleners met het oog op het verlenen van goede zorg en heeft dus geen direct
verband met gezondheidsgegevens die een burger zelf verzamelt in apps en digitale
diensten. Dit laat onverlet dat ik aandacht heb voor de digitalisering in de zorg
in brede zin.

Digitalisering heeft tot gevolg dat mensen steeds vaker buiten de zorgcontext de beschikking
krijgen over hun eigen gezondheidsgegevens via het gebruik van allerlei gezondheidsapps,
draagbare technologie (wearables) en persoonlijke gezondheidsomgevingen (PGO’s). Via
met name PGO’s krijgen mensen meer inzicht in en controle over hun gezondheid omdat
PGO’s mensen in staat stellen om via een website of app alle relevante gezondheidsgegevens,
die verspreid liggen opgeslagen bij bijvoorbeeld huisartsen, ziekenhuizen of apotheken
in te zien en aan te vullen met zelf gegenereerde (meet)gegevens van bijvoorbeeld
een stappenteller of glucosemeter. Met een PGO kan iemand daarom meer regie krijgen
over zijn gezondheid en zijn gezondheidsgegevens. Mijn ambtsvoorganger heeft in de
brief aan uw Kamer inzake verwerking en bescherming van persoonsgegevens (Kamerstukken
II 2019/20, 32 761, nr. 190) aangegeven hier een groot voorstander van te zijn, net als een groot aantal branchepartijen
in de zorg. Ik deel die opvatting. Ik stimuleer dan ook de ontwikkeling van PGO’s
door marktpartijen door deelname aan MedMij. Ook stimuleer ik het gebruik van PGO’s
met een MedMij keurmerk via een aankomende tijdelijke financieringsregeling zodat
iedere Nederlander die dat wil kosteloos een PGO kan kiezen en gebruiken. Via de VIPP-programma’s
stimuleer ik bovendien de implementatie van de MedMij-standaarden in diverse sectoren,
waaronder de huisartsenzorg, ziekenhuiszorg, GGZ, langdurige zorg en geboortezorg.

De ontwikkeling dat mensen steeds meer de beschikking krijgen over hun eigen gezondheidsgegevens
versterkt hun positie en maakt dat zij meer grip kunnen krijgen op hun gezondheid.
Dit brengt echter ook nieuwe vraagstukken met zich, bijvoorbeeld op het terrein van
privacy, waaronder ook veiligheid en betrouwbaarheid van de apps en digitale diensten
vallen. In de brief aan uw Kamer inzake verwerking en bescherming van persoonsgegevens
(Kamerstukken II 2019/20, 32 761, nr. 190) is uitgebreid ingegaan op de bescherming van deze gegevens. De gegevens in gezondheidsapps
en digitale diensten worden beschermd door met name de AVG. In het geval van PGO’s
is dit aangevuld met het Afsprakenkader MedMij en voor zover het gaat om gegevens
die tot stand zijn gebracht in het kader van de vertrouwelijke relatie tussen arts
en patiënt, via het afgeleid verschoningsrecht.

In Europees Verband wordt door CEN (de Europese Standaardenorganisatie) gewerkt aan
de formulering van standaarden waaraan aan gezondheid en welzijn gerelateerde eHealth
toepassingen moeten voldoen. Daarin wordt vanuit Nederland onder andere geparticipeerd
vanuit het National eHealth Living Lab (NeLL). In opdracht van het Ministerie van
VWS wordt door NeLL tevens gewerkt aan een Nederlandse versie van een toetsingskader,
en wordt de mogelijk betekenis van de toetsingsorganisatie ORCHA voor de Nederlandse
situatie onderzocht.

De regering geeft aan dat uitwisseling van een pdf-bestand via computerverbinding
wordt beschouwd als elektronische gegevensuitwisseling. Is de regering het met de
leden van de CDA-fractie eens dat spoor 1 zeer kort zou moeten duren omdat data op
deze wijze niet makkelijk te ordenen zijn en het een grote bak met Pdf’s wordt in
plaats van een papieren bak?

De aanwijzing van een gegevensuitwisseling in spoor 1 heeft meerwaarde voor het zorgveld.
Niet alleen op het niveau van zorgprocessen, waarin door een spoor 1-aanwijzing elektronisch
zal worden uitgewisseld in plaats van analoog, maar ook om van onderop innovatie te
stimuleren. Door elektronische uitwisseling van gegevens te verplichten in spoor 1
kan het zorgveld in de juiste richting worden gestimuleerd om te komen tot afspraken.
De ambitie met dit wetsvoorstel is om voor iedere gegevensuitwisseling te komen tot
een spoor 2-aanwijzing. En dus tot genormaliseerde uitwisseling van gegevens. Als
ik voor een bepaalde gegevensuitwisseling de ambitie heb om tot een spoor 2-aanwijzing
te komen is de tijd tussen het realiseren van een spoor 1 en een spoor 2-aanwijzing
mede afhankelijk van de verandercapaciteit bij zorgaanbieders en ICT-leveranciers.
En van de veranderingen die moeten worden doorgevoerd om een gegevensuitwisseling
te realiseren. Het zal daarom niet in alle gevallen mogelijk zijn om een gegevensuitwisseling
in spoor 1 zeer kort te laten duren.

En is de regering het met de leden van de CDA-fractie eens dat indien er mondelinge
of telefonische data-uitwisseling plaatsvindt daarvan een digitale aantekening gemaakt
moet worden zodat traceerbaar is welke data met welke zorgverleners zijn gedeeld,
ook in het belang van de patiënt?

Als het gaat om mondelinge of telefonische data-uitwisseling die ziet op gegevens
die vallen onder een aangewezen gegevensuitwisseling is een digitale aantekening niet
nodig. De gegevens zullen dan immers op grond van het wetsvoorstel ten minste ook
al uitgewisseld zijn via een elektronische infrastructuur. Alle gegevens die voor
het verlenen van zorg aan die cliënt benodigd zijn, zullen al bij de opvolgende zorgverlener
aanwezig zijn.

Daarnaast geldt dat dit wetsvoorstel uitgaat van en past binnen de internationale
en nationale wetgeving inzake gegevensbescherming. Dat betekent dat de eisen uit onder
meer de Wgbo en de AVG onverkort van toepassing zijn. Op grond van de Wgbo moeten
hulpverleners voldoen aan onder meer de dossierplicht, de bewaarplicht en de geheimhoudingsplicht.
Daarnaast heeft een cliënt op grond van zowel de Wgbo als de AVG verschillende rechten
aanzien van het medisch dossier die kunnen worden geeffectueerd. Zoals het recht op
inzage, rectificatie of gegevenswissing en het mogelijk maken dat onjuist ingevoerde
gegevens (met terugwerkende kracht) gewijzigd kunnen worden. Deze regels inzake gegevensbescherming
gelden onafhankelijk van de manier waarop de gegevens kunnen worden uitgewisseld,
dus ook bij mondelinge of telefonische-data.

De leden van de CDA-fractie vragen waarom de regering een ruimte van vijf jaar hanteert
als overgangsperiode om kwaliteitsstandaarden aan te passen. Waarom geen drie jaar,
want vijf jaar betekent dat de eerste echte effecten pas tegen 2030 waarneembaar zijn.

Het wetsvoorstel schrijft voor dat de afspraken over welke gegevens tussen welke zorgverleners
in welke situatie worden uitgewisseld moeten worden neergelegd in een kwaliteitsstandaard
(of in wet- en regelgeving). Wanneer deze afspraken worden vastgelegd in een kwaliteitsstandaard,
is namelijk verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk via
het register van het Zorginstituut, en is geborgd dat alle partijen die een belang
hebben betrokken zijn. Het uitgangspunt van een kwaliteitsstandaard is dat de kwaliteitsstandaard
door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid
van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook
voor de vraag of het noodzakelijk is gegevens uit te wisselen.

In de overgangsperiode kan voor een beperkte periode de afspraken over het uitwisselen
van gegevens in de AMvB worden neergelegd, bijvoorbeeld indien de afspraken in een
informatiestandaard zijn neergelegd in plaats van in een kwaliteitsstandaard. Hiermee
wordt juist voorkomen dat het aanwijzen van gegevensuitwisselingen pas kan plaatsvinden
als de afspraken over het uitwisselen van gegevens op de juiste wijze is vastgelegd.

De leden van de PvdD-fractie hebben enkele vragen met betrekking tot de reikwijdte
van het wetsvoorstel. Deze leden vragen de regering bijvoorbeeld of deze wet ook gaat
gelden voor natuurgeneeskundige- of antroposofische zorgverleners, en zo ja, verwacht
de regering dat daar draagvlak is voor het verplicht elektronisch werken.

Voor zover de natuurgeneeskundige- of antroposofische zorgverleners zorg verlenen
als bedoeld in het wetsvoorstel, is het mogelijk gegevensuitwisselingen op dit terrein
aan te wijzen. De gegevensuitwisseling moet dan wel eerst worden voorgedragen voor
plaatsing op de MJA Wegiz. Bij het aanmelden van een gegevensuitwisseling voor de
MJA Wegiz, wordt er getoetst op de criteria draagvlak, toegevoegde waarde realiseerbaarheid
en of er een kwaliteitsstandaard is. Op deze manier wordt er per gegevensuitwisseling
onderzocht in hoeverre het zorgveld tempo wil en kan maken voor het elektronisch genormaliseerd
uitwisselen van gezondheidsgegevens. Op basis daarvan wordt de prioriteit bezien van
die gegevensuitwisseling binnen de natuurgeneeskundige- of antroposofische zorg om
te komen tot een mogelijke aanwijzing bij AMvB.

De leden van de PvdD-fractie vragen hoe rekening gehouden gaat worden met mensen die
principiële bezwaren hebben tegen het verplicht elektronisch werken met of verwerken
van persoonsgegevens? Of mensen die het risico willen vermijden om opgenomen te worden
in een Landelijk Schakel Punt? Herkent de regering deze mogelijke bezwaren, en wat
gaat zij voor deze burgers doen?

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving
inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van gegevens altijd
voldaan moet worden aan de eisen die uit die bestaande kaders volgt. Zo kunnen gegevens
bijvoorbeeld niet uitgewisseld worden als er geen verwerkingsgrondslag is of doorbrekingsgrond
voor het medisch beroepsgeheim.

Echter, nadat geconcludeerd is dat uitwisseling is toegestaan, heeft een cliënt geen
directe zeggenschap over de manier waarop de gegevens worden uitgewisseld. Dit is
onder de huidige kaders al zo: ook op dit moment bepalen zorgaanbieders zelf of gegevens
worden uitgewisseld via papier, de fax, of elektronisch, zoals via e-mail. Het wordt
niet opportuun geacht om met dit wetsvoorstel de cliënt alsnog direct zeggenschap
te geven over de manier waarop de gegevens worden uitgewisseld. Het doel van dit wetsvoorstel
is immers, op verzoek van het veld en de Tweede Kamer, om (gestandaardiseerd) elektronische
gegevensuitwisseling te stimuleren.

In de Wabvpz is geborgd dat gegevens enkel via een elektronisch uitwisselingssysteem
beschikbaar worden gesteld als de cliënt daartoe uitdrukkelijk toestemming heeft verleend.
Deze uitdrukkelijke toestemming is opgenomen, omdat via een elektronisch uitwisselingssysteem gegevens kunnen
worden gedeeld die vooraf beschikbaar zijn gesteld voor later onbekend gebruik. Het
voorliggende wetsvoorstel brengt geen wijzigingen aan in de eis dat hiervoor toestemming
vereist is.

De leden van de SGP-fractie vragen de regering naar aanleiding van de toelichting
in paragraaf 2.3.1 of deze wet ook gaat gelden voor zorg die wordt geleverd onder
verantwoordelijkheid van gemeenten, zoals maatschappelijke ondersteuning en jeugdhulp.
Valt dit onder «andere zorg» waarover de toelichting spreekt?

In verband met de uitvoerbaarheid is er niet voor gekozen om het wetsvoorstel ook
te laten zien op uitwisseling van gegevens in of met de jeugdhulp als bedoeld in de
Jeugdwet en de maatschappelijke ondersteuning als bedoeld in de Wmo 2015. Beoogd is
evenwel om op een later moment deze (dan vastgestelde) wet daartoe te verbreden middels
een wetswijziging.

De leden van de SGP-fractie vragen in hoeverre dit wetsvoorstel ook betrekking heeft
op gegevensuitwisseling tussen overheden (waaronder gemeenten) en zorgaanbieders?

Dit wetsvoorstel kan overheden zoals gemeenten betreffen voor zover zij gezien kunnen
worden als zorgaanbieder. Dit kan zich bijvoorbeeld voordoen in de jeugdgezondheidszorg.

De leden van de SGP-fractie lezen dat het zorgverleners vrijstaat om naast de verplichte
uitwisseling van gegevens door middel van een elektronische infrastructuur ook op
een andere wijze met elkaar gegevens uit te wisselen. Zorgverleners kunnen eventueel
parallel ook gegevens telefonisch of mondeling delen. Dit geldt ook voor de verplicht
uit te wisselen gegevens van bij AMvB aangewezen gegevensuitwisselingen. De leden
van de SGP-fractie begrijpen dit, maar vragen de regering tegelijkertijd in hoeverre
de administratieve lastendruk hiermee verlicht wordt. Hoe wordt voorkomen dat zorgverleners
te veel vasthouden aan ingesleten gewoonten om informatie te delen?

Dit is inderdaad een aandachtspunt bij de implementatie van een gegevensuitwisseling,
maar het staat zorgverleners uiteraard vrij om naast de verplichte elektronische uitwisseling
van gegevens ook op een andere wijze met elkaar gegevens uit te wisselen. Ervaring
leert dat als zorgverleners merken dat het elektronisch uitwisselen van gegevens tijdswinst
oplevert, zij hiervan meer gebruik gaan maken.

De leden van de SGP-fractie lezen dat met het begrip ««zorgaanbieder»» wordt gedoeld
op ««de bestuurder»». Een zorgaanbieder kan een instelling zijn, maar ook een solistisch
werkende zorgverlener, in zijn rol als bestuurder. De leden van de SGP-fractie vragen
de regering af wat dit wetsvoorstel gaat betekenen voor zelfstandigen en heel kleine
zorgorganisaties. Kan redelijkerwijs hetzelfde worden verwacht van een ZZP’er als
van een groot ziekenhuis? Hoe wordt hiermee rekening gehouden bij het opstellen van
regels in de AMvB?

Het uitgangspunt is dat alle zorgaanbieders – voor zover zij gegevens uitwisselen
die vallen onder een aangewezen gegevensuitwisseling – gaan voldoen aan de eisen die
worden gesteld in een AMvB. Indien nodig is het echter mogelijk om te differentiëren
in welke zorgaanbieder wanneer aan de AMvB moet voldoen. Een zelfstandige zonder personeel
in dienst die slechts een paar cliënten bedient met thuiszorg kan misschien wat meer
tijd krijgen.

De leden van de SGP-fractie vragen de regering te reageren op de kritiek van de Federatie
Medisch Specialisten (FMS) dat kwaliteitsstandaarden een onjuiste basis bieden voor
gegevensuitwisseling.

Een kwaliteitsstandaard is een richtlijn, module, norm, zorgstandaard of organisatiebeschrijving,
die betrekking heeft op een zorgproces, vastlegt wat noodzakelijk is om vanuit het
perspectief van de cliënt goede zorg te verlenen. Een belangrijke randvoorwaarde voor
zorgverleners om goede zorg te kunnen verlenen is dat zij beschikken over adequate,
actuele en uniforme gegevens over de cliënt op de juiste plek op het juiste moment.
De eerste stap die hiervoor nodig is, is dat er duidelijke afspraken komen over welke
gegevens tussen welke zorgverleners in welke situatie worden uitgewisseld. Wanneer
deze afspraken worden vastgelegd in een kwaliteitsstandaard, is verzekerd dat deze
afspraken kenbaar zijn, want goed toegankelijk via het register van het Zorginstituut,
en is geborgd dat alle partijen die een belang hebben betrokken zijn. Het uitgangspunt
van een kwaliteitsstandaard is dat de kwaliteitsstandaard door de zorgverlener wordt
toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de
zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de
vraag of het noodzakelijk is gegevens uit te wisselen.

Het onderhavig wetsvoorstel regelt alleen een verplichting hoe gegevens worden uitgewisseld.

De vraag of een zorgverlener in een concreet geval in het kader van goede zorg gegevens
moet uitwisselen, is een vraag over de kwaliteit van zorg. Over kwaliteit van zorg
gaat de Wkkgz.

Ik merk echter dat de praktijk nog niet aansluit bij het gekozen stelsel. Daarom is,
om de snelheid te houden voor de huidige gegevensuitwisselingstrajecten gekozen voor
een overgangsperiode van vijf jaar voor de nu geprioriteerde uitwisselingen.

3. NADERE TOELICHTING STRUCTUUR WETSVOORSTEL

3.1 Inleiding

De leden van de VVD-fractie lezen dat de regering ter waarborging van de continuïteit
van het stelsel zelf certificaten kan verstrekken. In hoeverre gebeurt dit in andere
sectoren ook dat de regering certificaten verstrekt? In hoeverre is dit praktisch
uitvoerbaar? Is het ministerie voor Volksgezondheid, Welzijn en Sport daarvoor gereed
en geëquipeerd om dat op te pakken? Zo ja, hoe?

Deze mogelijkheid is als noodvoorziening opgenomen en de verwachting is dat hiervan
geen gebruik zal hoeven te worden gemaakt. Een soortgelijke voorziening is bijvoorbeeld
opgenomen in de Arbeidsomstandighedenwet. In die wet is geregeld dat de Minister of
de door hem aangewezen certificerende instelling certificaten kan verstrekken. Uit
de wetsgeschiedenis bij artikel 20 van de Arbeidsomstandighedenwet blijkt dat, omdat
het om een vrijwillig en privaat systeem gaat, de overheid afhankelijk is van de bereidheid
van potentiële certificerende instellingen. In het uiterste geval dat er geen certificerende
instelling worden gevonden, zal de Minister zelf certificaten moeten verstrekken.
Dit wordt niet als wenselijk beschouwd, maar is als juridische mogelijkheid ingebouwd
om het stelsel in geval van nood te kunnen continueren. Op mijn departement is in
beginsel de expertise niet aanwezig, maar indien nodig zal deze expertise worden aangetrokken
wanneer de certificaten onder mijn verantwoordelijkheid worden verstrekt.

De leden van de SP-fractie vragen de regering waarom geen gebruik wordt gemaakt van
een open Application Programming Interfaces (API) strategie om de interoperabiliteit
van patiëntgegevenssystemen te bevorderen. Kan hier een toelichting op worden gegeven?

Open API’s maken het mogelijk dat data in informatietechnologieproducten kan worden
benaderd, zowel om op te vragen als om wijzigingen aan te brengen. Hoewel ook voor
API’s standaarden gelden, bestaat er niet zoiets als een universele API. In de AMvB
kunnen (via normen) eisen worden gesteld aan de functionele, technische of organisatorische
wijze waarop het uitwisselen van gegevens tussen zorgverleners bij een aangewezen
gegevensuitwisseling moet plaatsvinden. Zo kunnen API’s onder dit wetsvoorstel voor
aangewezen gegevensuitwisselingen worden verplicht. Dat leidt naar verwachting tot
een breder gebruik van API’s, ook voor andere (niet onder het wetsvoorstel aangewezen)
gegevensuitwisselingen. Ik zie toegevoegde waarde in het gebruik van open API’s, zoals
ik eerder al heb geschreven in mijn brief over open standaarden en open architectuur
in december 2020 (Kamerstukken II 2020/21, 27 529, nr. 202). Ik heb Nictiz gevraagd advies aan mij uit te brengen ten aanzien van een open API
strategie en hierbij voorbeelden uit binnen- en buitenland te betrekken. Ik informeer
u uiterlijk in de eerste helft van 2022 over de voortgang.

3.2 Aan te wijzen gegevensuitwisselingen

De leden van VVD-fractie lezen dat de toetsing binnen een jaar wordt afgerond om te
bekijken of een aanwijzing in spoor 2 (op afzienbare termijn) haalbaar is of dat eerst
spoor 1 gewenst is. Waarom moet dat maar liefst een jaar duren? In hoeverre kan dat
sneller?

Evenals de leden van de VVD-fractie zie ik graag dat de aanwijzing bij AMvB van een
gegevensuitwisseling die op de MJA Wegiz staat zo snel mogelijk wordt gerealiseerd.
Voordat definitief kan worden beoordeeld of een aanwijzing onder het wetsvoorstel
voor een bepaalde gegevensuitwisseling kan worden gerealiseerd, moet voor iedere gegevensuitwisseling
op de MJA Wegiz een diepgaander toets worden uitgevoerd door middel van een volwassenheidsscan
en een MKBA. Deze instrumenten bieden het inzicht wat noodzakelijk is op de invalshoeken
toegevoegde waarde, draagvlak en realiseerbaarheid om tot een weloverwogen besluit
te komen over het aanwijzen van een gegevensuitwisseling in spoor 1 dan wel in spoor
2. Daarnaast dient het uitvoeren van deze toetsen meteen als voorbereiding op het
nader uitwerken van de bekostiging en de NEN-norm verderop in het proces. De ervaring
leert dat een volwassenheidsscan en MKBA binnen een jaar uitgevoerd kunnen worden.
Dat kan soms sneller, maar de doorlooptijd wordt in belangrijke mate bepaald door
factoren als het aantal, de soort en de omvang van zorgpartijen die bij de toets betrokken
zijn en door de complexiteit van de gegevensuitwisseling.

Er wordt periodiek een nieuwe Meerjarenagenda Wegiz opgesteld. De leden van VVD-fractie
vragen wat wordt bedoeld met «periodiek»?

Met «periodiek» wordt bedoeld de frequentie waarmee de MJA Wegiz zal worden geactualiseerd
en ik de Kamer daarover informeer. Deze wordt onder meer bepaald door mijn beleidsprioriteiten
op het gebied van gegevensuitwisseling, maar ook door de snelheid waarmee de huidige
gegevensuitwisselingen op de MJA Wegiz worden gerealiseerd, of nieuwe gegevensuitwisselingen
door het zorgveld voor plaatsing op de MJA Wegiz worden aangedragen.

De leden van de D66-fractie vragen hoeveel jaar het volgens de regering gaat duren
om de huidige Meerjarenagenda van de Wegiz (de dertien punten) volledig gereed te
hebben.

Zoals beschreven in de geactualiseerde Meerjarenagenda Wegiz die uw Kamer gelijktijdig
met de aanbieding van de nota naar aanleiding van het verslag heeft ontvangen zijn
de indicatieve inwerkingtredingsdata als volgt:

– Verpleegkundige Overdracht: het stimuleringsprogramma InZicht loopt tot eind 2022.
Naar verwachting kan eind 2022 ook een goede inschatting worden gemaakt van wat er
aanvullend moet gebeuren om de Verpleegkundige overdracht breed te implementeren door
middel van een spoor 2-aanwijzing. In afstemming met het veld onderzoek ik momenteel
of een spoor 1-aanwijzing voorafgaand aan een spoor 2-aanwijzing een reële mogelijkheid
is. Naar verwachting is hier eind 2021 meer over bekend;

– Digitaal voorschrijven en ter hand stellen: een spoor 2 aanwijzing kan naar verwachting
in 2026 of 2027 in werking treden. De spoor 1 aanwijzing die momenteel in voorbereiding
is kan naar verwachting in 2023 in werking treden, althans gelijk met of kort na de
inwerkingtreding van het wetsvoorstel;

– Beelduitwisseling voor medisch-specialistische zorg: de spoor 2 aanwijzing die momenteel
in voorbereiding is kan naar verwachting begin 2024 in werking treden;

– Basisgegevensset Zorg voor instellingen voor medisch-specialistische zorg: de spoor
2 aanwijzing die momenteel in voorbereiding is kan naar verwachting begin 2024 in
werking treden.

Voor de overige gegevensuitwisselingen op de MJA Wegiz zal eerst in de voorbereidingsfase
een MKBA en een volwassenheidsscan worden uitgevoerd. Pas na het uitvoeren hiervan
kan een goed onderbouwde uitspraak worden gedaan over de termijn waarop de gegevensuitwisselingen
gerealiseerd kunnen worden.

De leden van de D66-fractie vragen welke van de genoemde eisen van de toelichting,
zoals een tijdige een kwaliteitsstandaard, hierin voor de meeste vertraging zorgen?

Met het wetsvoorstel beoog ik een bespoediging van elektronische gegevensuitwisseling
in de zorg. Wanneer er echter randvoorwaarden ontbreken, zoals bijvoorbeeld draagvlak
of een kwaliteitsstandaard, dan kan dat vertraging opleveren. De impact op de doorlooptijd
van dergelijke vertraging is daarbij afhankelijk van de situatie rondom de specifieke
gegevensuitwisseling.

De leden van de D66-fractie lezen dat voordat gegevensuitwisselingen op de Meerjarenagenda
Wegiz worden geplaatst, ze op een verzamellijst worden gezet. Voor elke aangeleverde
gegevensuitwisseling op de verzamellijst wordt beoordeeld wat de verwachting is over
drie voorwaarden (toegevoegde waarde, realiseerbaarheid, draagvlak). In welke mate
voldoen de gegevensuitwisselingen die op dit moment al op de Meerjarenagenda Wegiz
staan aan deze voorwaarden? Partijen in de zorg geven aan dat vooral aan het technische
aspect nog niet wordt voldaan. Kan de regering hierop reflecteren?

In 2019 is na advies van het Informatieberaad Zorg de MJA Wegiz (voorheen: Roadmap)
opgesteld. Bij de uitwerking van de vier prioritaire gegevensuitwisselingen zijn voor
deze gegevensuitwisselingen beperkingen gebleken. Naar aanleiding daarvan zijn in
een lerende aanpak de toetsingscriteria en -instrumenten aangescherpt. Dit voorjaar
is een actualisatie uitgevoerd van de MJA Wegiz. Hierbij zijn de gegevensuitwisselingen
op de MJA Wegiz opnieuw beoordeeld om te toetsen of ze voldoen aan de criteria toegevoegde
waarde, draagvlak en realiseerbaarheid. Uw Kamer heeft de geactualiseerde MJA Wegiz
gelijktijdig met de aanbieding van de nota naar aanleiding van het verslag ontvangen.

De Meerjarenagenda Wegiz betreft een lijst van gegevensuitwisselingen waarvan de regering
van oordeel is dat ze prioritair zijn. Het kan gaan om gegevensuitwisselingen die
door het zorgveld zijn aangedragen als prioritair, of de regering zelf prioritair
acht. De leden van de CDA-fractie vragen of de regering bij een voorstel vanuit het
zorgveld om een bepaalde gegevensuitwisseling prioritair te maken in alle gevallen
een effectenverkenning zal uitvoeren. Of kunnen er ook redenen zijn om een dergelijk
voorstel niet over te nemen? Zo ja, kan de regering daar voorbeelden van geven? Kan
de regering toelichten waarom professionele standaarden niet voldoende zijn, in plaats
van voorgestelde kwaliteitsstandaarden?

Als een gegevensuitwisseling door het zorgveld wordt aangedragen voor plaatsing op
de MJA Wegiz wordt een gegevensuitwisseling eerst door het zorgveld zelf beoordeeld
aan de hand van een vast format op de criteria toegevoegde waarde, draagvlak en realiseerbaarheid.
Na het aandragen van een gegevensuitwisseling door zorgveld wordt de gegevensuitwisseling
op een verzamellijst geplaatst en beoordeeld op dezelfde criteria. Overwegingen die
kunnen leiden tot het laten afvallen van een gegevensuitwisseling in deze fase zijn
een zeer lage score op de drie genoemde criteria, het ontbreken van een passende kwaliteitsstandaard
of wettelijke basis waarin is geduid welke gegevens uitgewisseld moeten worden met
het oog op de goede zorg, of het niet voldoen aan andere wettelijke vereisten. Ook
als een gegevensuitwisseling niet valt binnen het doel van het wetsvoorstel – namelijk
de uitwisseling van gegevens voor het verlenen van goede zorg, voor zover het gaat
om het uitwisselen van gegevens over een cliënt tussen zorgverleners – zal een gegevensuitwisseling
afvallen. Voorbeelden van voorstellen voor gegevensuitwisselingen die in het verleden
zijn afgevallen voor opname op de Roadmap (voorloper van de MJA Wegiz) zijn gegevensuitwisselingen
die zagen op het gebruik van een specifieke applicatie of op uitwisseling met de cliënt.

Wat betreft de vraag over de keuze voor kwaliteitsstandaarden, het volgende. Het onderhavig
wetsvoorstel regelt alleen een verplichting hoe gegevens worden uitgewisseld. Het is aan het zorgveld om te bepalen welke gegevens
uitgewisseld moeten worden voor het verlenen van goede zorg. Wanneer deze afspraken
in een kwaliteitsstandaard zijn vastgelegd, is verzekerd dat deze afspraken kenbaar
zijn, want goed toegankelijk via het register van het Zorginstituut, en is geborgd
dat alle partijen die een belang hebben betrokken zijn. Dit is geregeld in de Zorgverzekeringswet
en met ingang van 1 juli 2021 in de Wkkgz. Voor onderdelen van de professionele standaard
opgenomen in informatiestandaarden ontbreekt dit juridische kader, waardoor niet verzekerd
kan worden dat gegevens daadwerkelijk in het kader van goede zorg worden uitgewisseld.

In paragraaf 3.2 van de toelichting wordt aangegeven dat gegevensuitwisselingen pas
op de Meerjarenagenda Wegiz worden geplaatst, zodra «het technisch mogelijk is dat
de gegevens worden uitgewisseld, bijvoorbeeld door landelijke dekking van onderling
verbonden infrastructuren.» Klopt het dat de gegevensuitwisselingen die op dit moment
al op de Meerjarenagenda Wegiz staan, nog niet voldoen aan deze voorwaarde? De leden
van de CDA-fractie vragen de regering op welke termijn voor deze gegevensuitwisselingen
wel aan de voorwaarden voldaan zal zijn.

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken
te verplichten voor taal en techniek.

Voorafgaande aan het bij AMvB aanwijzen van een gegevensuitwisseling toetst de regering
de geprioriteerde gegevensuitwisselingen onder andere met een maatschappelijke kosten
-en batenanalyse (MKBA) en een volwassenheidscan. Het streven is daarbij om deze toetsing
binnen een jaar af te ronden. De leden van de CDA-fractie vragen waarom de regering
niet vastlegt dat dergelijke toetsingen binnen een bepaalde termijn afgerond dienen
te worden, eventueel met een bijbehorende mogelijkheid voor een (goed onderbouwde)
mogelijkheid tot uitstel.

Evenals de leden van de CDA-fractie zie ik graag dat de aanwijzing bij AMvB van een
gegevensuitwisseling die op de MJA Wegiz staat zo snel mogelijk wordt gerealiseerd.
Voordat definitief kan worden beoordeeld of een aanwijzing onder het wetsvoorstel
voor een bepaalde gegevensuitwisseling kan worden gerealiseerd, moet voor iedere gegevensuitwisseling
op de MJA Wegiz een diepgaander toets worden uitgevoerd door middel van een volwassenheidsscan
en een MKBA. Deze instrumenten bieden het inzicht wat noodzakelijk is op de invalshoeken
toegevoegde waarde, draagvlak en realiseerbaarheid om tot een weloverwogen besluit
te komen over het aanwijzen van een gegevensuitwisseling in spoor 1 dan wel in spoor
2. Daarnaast dient het uitvoeren van deze toetsen meteen als voorbereiding op het
nader uitwerken van de bekostiging en de NEN-norm verderop in het proces. De ervaring
leert dat een volwassenheidsscan en MKBA binnen een jaar uitgevoerd kunnen worden.
Dat kan soms sneller, maar de doorlooptijd wordt in belangrijke mate bepaald door
factoren als het aantal, de soort en de omvang van zorgpartijen die bij de toets betrokken
zijn en door de complexiteit van de gegevensuitwisseling.

De leden van de CDA-fractie vragen of het ook mogelijk is dat de gegevensset van (corona)vaccinatiegegevens
op korte termijn verplicht moet worden uitgewisseld tussen zorgverleners. Ziet de
regering dit – bovenop bijvoorbeeld digitaal receptenverkeer – als een extra geprioriteerde
gegevensuitwisseling?

Gelet op de snelheid die gemoeid is bij het bestrijden van de coronacrisis, lijkt
het mij opportuun om op een andere wijze te werken aan de uitwisseling van vaccinatiegegevens.

De leden van de SP-fractie vragen de regering op welke termijn zij verwacht dat voor
de eerste terreinen een verplichting tot elektronische gegevensuitwisseling wordt
ingevoerd.

Als het wetsvoorstel wordt aangenomen, zal naar verwachting in 2023 de eerste AMvB
in werking kunnen treden. Het gaat om een spoor 1 aanwijzing voor de gegevensuitwisseling
Digitaal voorschrijven en ter hand stellen (voorheen: Digitaal receptenverkeer). De
exacte datum van inwerkingtreding is mede afhankelijk van de datum van inwerkingtreding
van het wetsvoorstel.

De leden van de SP-fractie vragen wanneer voor de eerste terreinen genormaliseerde
eisen voor taal en techniek verplicht gesteld zullen worden?

Naar verwachting kunnen de eerste spoor 2-aanwijzingen, waarin genormaliseerde eisen
worden gesteld aan taal en techniek, begin 2024 aangewezen worden. Het gaat dan om
de gegevensuitwisselingen Beelduitwisseling medisch-specialistisch zorg en BgZ voor
instellingen voor medisch-specialistische zorg. In de brief die ik uw Kamer heb toegezonden
tegelijkertijd met de aanbieding van het wetsvoorstel (Kamerstukken II 2020/21, 27 529, nr. 263), ben ik hier nader op ingegaan.

De leden van de GroenLinks-fractie hebben een vraag over de meerjarenagenda en de
beoordeling van de gezondheidswinst. Er wordt beoordeeld wat de gezondheidswinst is
als een gegevens op de meerjarenagenda wordt geplaatst. Binnen dit domein van de zorg
is er altijd een dilemma tussen het beschermen van de privacy en het delen van gegevens
ten behoeve van de kwaliteit van zorg. De leden van de GroenLinks-fractie vragen de
regering waarom dan ook niet wordt beoordeeld wat het effect is op de privacy, zodat
ook een afweging gemaakt kan worden tussen de potentiële gezondheidswinst/efficiëntie
en mogelijke effecten op privacy. Kan de AP hierbij worden betrokken?

Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving
inzake gegevensbescherming, zoals neergelegd in het EVRM, de Grondwet, de AVG, de
UAVG, de Wgbo, de wet BIG en de Wabvpz. Dat betekent dat bij het uitwisselen van gegevens
altijd voldaan moet worden aan de eisen die uit die bestaande kaders volgen. Gegevens
worden dus – ook na inwerkingtreding van dit wetsvoorstel – niet uitgewisseld als
er bijvoorbeeld geen verwerkingsgrondslag is of als er geen doorbrekingsgrond voor
het medisch beroepsgeheim is. Het onderhavig wetsvoorstel regelt alleen een verplichting
hoe gegevens worden uitgewisseld. Bij deze nota naar aanleiding van het verslag ontvangt
heb ik een nota van wijziging gevoegd, waarmee verduidelijkt wordt dat het wetsvoorstel
niet verplicht tot het uitwisselen van gegevens. Het is aan het zorgveld om te bepalen
welke gegevens uitgewisseld moeten worden voor het verlenen van goede zorg.

Elke concept-AMvB waarin een gegevensuitwisseling wordt aangewezen, wordt voor een
uitvoeringstoets voorgelegd aan de AP.

De leden van de SGP-fractie vragen de regering wat precies de bedoeling is van het
voorgestelde artikel 1.3 (Meerjarenagenda Wegiz). Hoe verhoudt de lijst waarover in
1.3, eerste lid wordt gesproken zich tot de AMvB waarover wordt gesproken in artikel
1.4, eerste lid. Waarom is voor deze constructie gekozen?

De reden dat ik in het wetsvoorstel de MJA Wegiz heb opgenomen, is omdat er al veel
gebeurt in het voortraject. Voordat overgegaan kan worden tot het aanwijzen van een
gegevensuitwisseling bij AMvB dient er in de eerste plaats een kwaliteitsstandaard
aangepast of ontwikkeld te worden (met uitzondering van de overgangsperiode). Om een
volgende stap te kunnen zetten zal onderzocht moeten worden of er draagvlak is (voor
het opstellen van de benodigde NEN-norm is betrokkenheid van het zorgveld nodig),
en is het voor de implementatietermijn noodzakelijk om te bezien hoe ver het zorgveld
al is met de digitalisering van de gegevensuitwisseling. Wanneer de uitkomst van de
toetsing die hiervoor is ontwikkeld, namelijk de volwassenheidscan en MKBA, positief
is, zal ik in het geval van een beoogde spoor 2 aanwijzing aan de NEN een opdracht
geven tot het opstellen van een NEN-norm.

Het opnemen van een gegevensuitwisseling op de MJA Wegiz leidt niet per definitie
tot een wettelijke verplichting door het opnemen van die gegevensuitwisseling in een
AMvB. Dit heeft te maken met de toetsing die nog gedaan wordt nadat een gegevensuitwisseling
is opgenomen op de MJA Wegiz. Omgekeerd is het wel zo dat er geen gegevensuitwisseling
wordt aangewezen alvorens deze is opgenomen op de MJA Wegiz.

De leden van de SGP-fractie vragen waarom het nodig is om het bestaan van een dergelijke
lijst wettelijk te verankeren? Zijn er andere wetten waarbij dit op een vergelijkbare
wijze is geregeld?

Door het wettelijk verankeren van de lijst wordt voorkomen dat «uit het niets» een
gegevensuitwisseling kan worden aangewezen. Dit biedt het (brede) zorgveld, maar ook
leveranciers, en andere belanghebbenden comfort dat niets gebeurt waar ze niet van
op de hoogte zijn. Er zijn geen wetten waarin het op vergelijkbare wijze geregeld
is maar er zijn wel overeenkomsten met bijvoorbeeld wetgeving waarin (beleids)plannen
een wettelijke basis hebben, zoals de Nationale Omgevingsvisie.

De leden van de SGP-fractie vragen of de Kamer een vorm van inspraak heeft bij samenstelling
van de lijst? Waarom is er niet voor gekozen om de criteria die in artikel 1.3, tweede
lid worden genoemd, samen te voegen met de criteria die gelden voor het aanwijzen
van gegevensuitwisselingen bij of krachtens AMvB?

De samenstelling van de lijst komt in eerste instantie tot stand door gegevensuitwisselingen
die worden voorgedragen door het zorgveld. Het is echter ook mogelijk dat vanuit mij
gegevensuitwisselingen worden voorgedragen om op de MJA Wegiz geplaatst te worden.
Uw Kamer kan hierin een rol spelen door na ontvangst van de lijst mij voorstellen
te doen. De criteria die genoemd zijn in artikel 1.3, tweede lid, zijn geen harde
criteria, maar aspecten die relevant zijn om een goed besluit te kunnen nemen over
het al dan niet verplichten tot het elektronisch uitwisselen van gegevens, en de vraag
of dit via een spoor 2-aanwijzing kan, dan wel in eerste instantie gekozen wordt voor
een spoor 1-aanwijzing.

De leden van de SGP-fractie vragen of het zo kan zijn dat een gegevensuitwisseling
wel op de lijst uit artikel 1.3, eerste lid is geplaatst, maar (voor een bepaalde
periode) niet in een AMvB wordt vastgelegd?

Ja, dit is mogelijk. Na plaatsing op de MJA Wegiz worden de geprioriteerde gegevensuitwisselingen
getoetst, onder andere met een MKBA en een volwassenheidscan. De uitkomst kan zijn
dat bijvoorbeeld op dat moment de kosten de baten nog niet te boven gaan, of het zorgveld
nog aan het begin staat van digitaliseren en dat een AMvB op korte termijn nog niet
realistisch is voor die gegevensuitwisseling.

De leden van de SGP-fractie lezen dat de regering de lijst samenstelt aan de hand
van een effectenverkenning en daarbij behorende eenduidige, vooraf aan het veld gecommuniceerde,
criteria. Kan de regering nader toelichten hoe zo’n effectenverkenning eruitziet?
Kan de regering verduidelijken welke criteria hierin worden opgenomen?

Om te beoordelen of een gegevensuitwisseling in aanmerking komt voor plaatsing op
de MJA Wegiz worden gegevensuitwisselingen getoetst aan de hand van de een aantal
toetsingscriteria. Er wordt getoetst op toegevoegde waarde, draagvlak en realiseerbaarheid.
Deze criteria zijn ook opgenomen in het wetsvoorstel; dit betekent dat gegevensuitwisselingen
die op de MJA Wegiz komen te staan hieraan moeten voldoen.

Door het uitvoeren van een effectenverkenning kan een onderbouwd oordeel worden gegeven
over het voldoen van de betreffende gegevensuitwisseling aan de gestelde criteria.
Dit gebeurt op basis van informatie waarover de relevante betrokkenen uit het zorgveld
(kunnen) beschikken.

Om de benodigde informatie te verzamelen wordt met de betrokkenen vanuit het zorgveld
twee bijeenkomsten georganiseerd. Op basis van de informatie die tijdens deze bijeenkomsten
wordt opgehaald wordt een score toegekend per criterium. De uitkomsten van de effectenverkenningen
(inclusief scores) zijn vervolgens de basis voor het bepalen van de geschiktheid van
een kandidaat-gegevensuitwisseling voor plaatsing op de MJA Wegiz.

De leden van de SGP-fractie begrijpen dat de Meerjarenagenda Wegiz «periodiek» wordt
opgesteld. Kan de regering aangeven wat zij verstaat onder «periodiek»?

De leden van de SGP-fractie lezen dat gegevensuitwisselingen pas op de Meerjarenagenda
Wegiz worden geplaatst, zodra «het technisch mogelijk is dat de gegevens worden uitgewisseld,
bijvoorbeeld door landelijke dekking van onderling verbonden infrastructuren.» Deze
leden begrijpen dat dat de dertien gegevensuitwisselingen die op dit moment al op
de Meerjarenagenda Wegiz staan nog niet aan deze voorwaarde voldoen. Zij vragen de
regering wat zij eraan gaat doen om ervoor te zorgen dat er een landelijk dekkend
stelsel van onderling verbonden infrastructuren komt. En hoe wordt bewerkstelligd
dat zorgaanbieders hier ook daadwerkelijk gebruik van gaan maken?

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken
te verplichten voor taal en techniek.

3.3 Verplichtingen voor zorgaanbieders en eisen aan informatie- en technologieproducten

De leden van de D66-fractie vragen de regering of voor elke gegevensuitwisseling een
apart certificaat nodig is voor degene die voor het uitwisselen van gegevens in een
aangewezen gegevensuitwisseling informatietechnologieproducten of -diensten aanbiedt
aan een zorgaanbieder (bijvoorbeeld een leverancier van een EPD).

Voor iedere gegevensuitwisseling is inderdaad een apart certificaat nodig. Per gegevensuitwisseling
wordt een norm gesteld waarin worden opgenomen waaraan een informatietechnologieproduct
of -dienst moet voldoen. Een zorgaanbieder wil vervolgens per gegevensuitwisseling
kunnen zien of een informatietechnologieproduct of -dienst is gecertificeerd voor
die norm voor die bij AMvB aangewezen gegevensuitwisseling. Indien een leveranciers
informatietechnologieproducten of -diensten aanbiedt die worden ingezet voor meerdere
verplicht gestelde gegevensuitwisselingen, dan dient de leverancier te beschikken
over meerdere certificaten.

De leden van de D66-fractie merken op dat enkele leveranciers van elektronische patiëntendossiers
aanzienlijke marktmacht hebben. Signalen uit de praktijk zijn onder andere dat innovatie
of dienstverlening door deze partijen stokt omdat hier in mindere mate (extra) geld
aan is te verdienen. Op welke wijze heeft dit wetsvoorstel invloed op de marktpositie
van deze leveranciers?

Als gevolg van de keuze voor normering wordt verzekerd dat de norm, die gaat gelden
voor de informatietechnologieproducten of -diensten en die leidt tot interoperabiliteit,
het effect heeft dat het voor aanbieders van informatietechnologieproducten of -diensten
eenvoudiger wordt om hun product of dienst zonder aanpassingen te doen inpassen bij
meerdere zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt
wordt hierdoor dus ruimer en afhankelijkheid van een leverancier wordt tegengegaan.
Dit bevordert de concurrentie in de leveranciersmarkt. Dit wetsvoorstel heeft als
bijkomend positief effect dat de afhankelijkheid van dominante aanbieders wordt beperkt.
Het stellen van eisen aan informatietechnologieproducten of -diensten beperkt naar
verwachting de afhankelijkheid van klanten van hun leverancier voor deze producten
en diensten, omdat ze beter in staat zijn om van leverancier te veranderen zonder
substantiële omschakelingskosten of ongemak. Ook leidt het stellen van eisen ertoe
dat producten en diensten volledig interoperabel worden. Dit alles maakt het voor
leveranciers makkelijker om toe te treden tot de zorgmarkt. Ik zie ook risico’s voor
leveranciers. Hoewel in de normen zoveel mogelijk gebruik wordt gemaakt van (internationale)
open standaarden, kan dit wetsvoorstel ervoor zorgen dat aanbieders van informatietechnologieproducten
of -diensten maatwerkoplossingen zullen moeten ontwikkelen voor de Nederlandse markt.
Dit kan tot gevolg hebben dat aanbieders van informatietechnologieproducten of -diensten
ervoor kiezen om hun producten niet (langer) op de Nederlandse markt aan te bieden,
omdat ze liever willen investeren in schaalbare oplossingen.

Kleine aanbieders van informatietechnologieproducten of -diensten kunnen de kosten
die zij moeten maken voor certificering en het aanpassen van hun producten of diensten
over minder klanten spreiden en zullen daarom op prijs niet gemakkelijk kunnen concurreren
met grote aanbieders. Dit kan ertoe leiden dat deze kleine aanbieders niet meer mee
kunnen doen op de markt.

Daarom monitor ik de markt voor informatietechnologiesystemen en -diensten die in
de zorg gebruikt worden in het kader van de ontwikkeling van het Duurzaam Informatie
Stelsel. De ACM als onafhankelijke toezichthouder in de zorgmarkt, waakt erover dat
leveranciers geen misbruik maken van hun positie. Zorgpartijen, ICT- leveranciers
en andere belanghebbenden kunnen bij ervaren misbruik van marktmacht hiervan melding
maken. Recent heeft ook de ACM een onderzoek ingesteld naar de EPD-leveranciers in
de ziekenhuissector. Zodra de uitkomsten van dit onderzoek bekend zijn zal ik uw Kamer
informeren welke gevolgen ik zie voor de zorgmarkt.

De leden van de D66-fractie vragen hoe de regering aankijkt tegen het voorstel om
het gebruik van een landelijk dekkend stelsel van zorginfrastructuren toe te voegen
aan dit wetsvoorstel, zodat meer regie ook van toepassing is op de infrastructuur?

Wanneer de zorgaanbieder een product of dienst zonder certificaat gebruikt en de dienstverlening
aan dat product of dienst wordt voortgezet door middel van technische ondersteuning
zoals software updates, dan kan een boete worden opgelegd aan degene die deze ondersteuning
van het product of dienst biedt. De leden van de CDA-fractie vragen hoe en door wie
op deze verplichting wordt toegezien en wat de (maximale) boete hierbij is.

De door de Minister aangewezen toezichthouder, de IGJ, houdt toezicht op de aanwezigheid
van een certificaat. Dit doet de IGJ onder meer door schriftelijke vragen te stellen,
of documentatie of inspectiebezoeken op te vragen, waarbij wordt gecontroleerd of
door zorgaanbieders of leveranciers van informatietechnologieproducten of -diensten,
aan wetgeving voldoen. Op basis van een risicoschatting bepaalt de IGJ welke marktdeelnemers,
productgroepen of processen hierbij (extra) onder aandacht staan. Ook voert de IGJ
– wanneer daartoe aanleiding is – nader onderzoek uit op basis van meldingen die zij
ontvangen.

De bestuurlijke boete is ten hoogste het bedrag van de geldboete van de zesde categorie
van artikel 23, vierde lid, van het Wetboek van Strafrecht of, als dat meer is, ten
hoogste 10% van de omzet van de onderneming, onderscheidenlijk, als de overtreding
door een ondernemersvereniging is begaan, van de gezamenlijke omzet van de ondernemingen
die van de vereniging deel uitmaken, in het boekjaar voorafgaande aan de beschikking
waarin de bestuurlijke boete wordt opgelegd.

De leden van de SP-fractie vragen de regering hoe ervoor zal worden gezorgd dat informatietechnologieproducten
voor het uitwisselen van patiëntgegevens goed aansluiten op het zorgproces, zodat
zij ook daadwerkelijk leiden tot tijdswinst voor zorgverleners en betere zorg voor
patiënten.

De eisen aan informatietechnologieproducten- en diensten worden in de NEN-norm opgenomen,
die vervolgens verplicht wordt gesteld bij AMvB. NEN nodigt alle belanghebbenden bij
een norm, dus zeker ook belanghebbende zorgaanbieders en (vertegenwoordigers van)
zorgverleners en cliënten, uit om deel te nemen aan de werkgroep die de norm ontwikkelt.
Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB
in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook zorgaanbieders,
zorgverleners en cliënten die nog niet eerder betrokken waren in het proces kunnen
dan alsnog hun inbreng leveren. Zo kunnen zij borgen dat de informatietechnologieproducten
en -diensten goed aansluiten op het zorgproces. Daarnaast laat ik voorafgaand aan
de aanwijzingen van een gegevensuitwisseling bij AMvB een MKBA uitvoeren. In deze
analyse wordt ook onderzocht welke tijds- en kwaliteitswinst kan worden behaald door
te verplichten tot elektronische uitwisseling (volgens vastgestelde eisen voor taal
en techniek).

Hoe wordt voorkomen dat zorginstellingen afhankelijk worden van dure informatietechnologieproducten
of -diensten van één of weinig aanbieders?

De leden van de SGP-fractie lezen dat de bij AMvB gestelde eisen over de manier waarop
het elektronisch uitwisselen van gegevens moet plaatsvinden, zodanig zullen zijn dat
zorgaanbieders vrij blijven in de keuze voor informatietechnologieproducten of -diensten.
Daarmee wordt zo min mogelijk getreden in de bedrijfsvoering van de zorgaanbieder.
Kan de regering verduidelijken hoe zij dit precies in de AMvB wil vastleggen?

Om goede gegevensuitwisseling via een AMvB te realiseren, is het cruciaal dat nauw
wordt samengewerkt met het zorgveld. De leden van de SGP-fractie vragen de regering
hoe zorgpartijen in de komende periode inhoudelijk betrokken bij de totstandkoming
van deze AMvB(«s). Hoe ziet het vervolgtraject eruit nadat het wetsvoorstel wordt
aangenomen?

Nadat een gegevensuitwisseling op de MJA Wegiz is geplaatst, zal gestart worden met
een MKBA en een volwassenheidscan. Het zorgveld wordt bij deze toetsing betrokken.
Naar aanleiding van deze toets zal in de eerste plaats bezien worden of overgegaan
wordt tot een aanwijzing in spoor 2 die zal leiden tot volledige interoperabiliteit
of dat in eerste instantie gekozen wordt voor een spoor 1 aanwijzing.

In het eerste geval zal -indien de uitkomsten van de MKBA en volwassenheidscan positief
zijn – ik opdracht geven aan de NEN voor het opstellen van een NEN-norm voor de beoogde
verplichte gegevensuitwisseling. Alle belanghebbende zorgpartijen zullen worden uitgenodigd
om deel te nemen aan de in te stellen werkgroep waarin de NEN-norm wordt ontwikkeld.
Als blijkt dat er al een geschikte norm is die leidt tot een interoperabele gegevensuitwisseling,
zal van die norm gebruik worden gemaakt. Bij de vraag of er een geschikte norm is
worden ook alle zorgpartijen betrokken. Wanneer de NEN-norm wordt ontwikkeld zal gelijktijdig
gestart worden met de concept-AMvB.

Nadat de NEN-norm in concept gereed is zal deze via een openbare commentaarronde uitgezet
worden. Alle zorgpartijen hebben dan gelegenheid in te spreken op de norm.

Tegelijkertijd zal een concept van de AMvB waarin aangegeven wordt welke gegevens
worden uitgewisseld (vastgelegd in een kwaliteitsstandaard of in wet- en regelgeving,
met uitzondering van de overgangsperiode), en hoe de gegevens moeten worden uitgewisseld
(vastgelegd in de (concept)(NEN)-norm) in internetconsultatie worden gebracht. Ook
met de internetconsultatie wordt beoogd dat eenieder – dus ook alle zorgpartijen –
de gelegenheid te geven zich uit te spreken over de beoogde verplichte elektronische
gegevensuitwisseling. Wanneer een gegevensuitwisseling in eerste instantie zal worden
aangewezen in spoor 1, wordt het zorgveld in ieder geval via internetconsultatie betrokken
bij de gegevensuitwisseling.

De leden van de SGP-fractie vragen de regering te verduidelijken wat bedoeld wordt
met de eisen die bij AMvB worden gesteld zodat het uitwisselen van gegevens tussen
zorgverleners bij een aangewezen gegevensuitwisseling plaatsvindt ««op een functionele,
technische of organisatorische wijze.»» De leden van de SGP-fractie menen dat deze
begrippen breed opgevat kunnen worden. Kan de regering concrete voorbeelden geven
van de eisen die zij wil gaan stellen? Biedt deze bepaling ruimte om verplichtingen
op te leggen met betrekking tot te gebruiken infrastructuren en gemeenschappelijke
voorzieningen?

Mijn inzet is dat het wetsvoorstel gaat leiden tot een versnelling in het interoperabel
uitwisselen van gegevens in de zorg. Een spoor 1-aanwijzing om een gegevensuitwisseling
verplicht elektronisch te laten verlopen, kan snel gaan. In dat geval hoeft er niet
gewacht te worden op een normtraject. In spoor 1 kunnen bestaande overkoepelende eisen
gesteld worden die interoperabiliteit bevorderen, zoals eisen inzake identificatie
van de zorgaanbieder, authenticatie, berichtstandaard, beveiliging of transport. Dat
zijn functionele, technische of organisatorische eisen die gesteld kunnen worden.
Doordat op deze manier de eerste stap wordt gezet voor het elektronisch uitwisselen
van gegevens, wordt verwacht dat hieruit ook van onderop initiatieven en innovatie
uit het zorgveld ontstaan, waardoor de vervolgstap naar een spoor 2-aanwijzing wordt
verkleind. Overigens is de formulering overeenkomstig de formulering in artikel 15j
Wabvpz.

De leden van de SGP-fractie vragen hoe wordt voorkomen dat zorgaanbieders straks systemen
hanteren die allemaal voldoen aan de gestelde normen, maar onderling nog steeds niet
interoperabel zijn waardoor landelijke gegevensuitwisseling nog steeds niet van de
grond komt?

Interoperabiliteit is het doel bij de ontwikkeling van normen. Certificerende instellingen
zullen vervolgens toetsen of een informatietechnologieproduct of -dienst ook daadwerkelijk
interoperabel is met andere betrokken informatietechnologieproducten of -diensten.
De IGJ ziet erop toe dat zorgverleners op de juiste wijze de gegevens in een aangewezen
gegevensuitwisseling uitwisselen, gebruik makend van de gecertificeerde informatietechnologieproduct
of -diensten. Wanneer de IGJ constateert dat, ondanks de aanwezigheid van gecertificeerde
informatietechnologieproduct of -diensten er geen interoperabele gegevensuitwisseling
plaatsvindt, dan geeft de IGJ hierover een signaal af aan de certificerende instelling,
aan de Raad voor Accreditatie of aan mij, waarna wordt bepaald welke vervolgstappen
worden gezet.

3.4 Verplichting om gegevens elektronisch uit te wisselen

De leden van de D66-fractie vragen de regering of het zetten van normen binnen dit
wetsvoorstel voldoende is om uitwisseling van gegevens sneller van de grond te krijgen.
Partijen in de zorg geven aan dat er met dit wetsvoorstel wel afspraken worden gemaakt
over het verplicht digitaal uitwisselen met van informatiestandaarden, maar dat geen
afspraken worden gemaakt over het gebruik van zogeheten open API. Waarom is hier niet
voor gekozen?

Open API’s maken het mogelijk dat data in informatietechnologieproducten kan worden
benaderd, zowel om op te vragen als om wijzigingen aan te brengen. Hoewel ook voor
API’s standaarden gelden, bestaat er niet zoiets als een universele API. Het wetsvoorstel
ondersteunt het gebruik van (open) API’s. In de AMvB kunnen (via normen) eisen worden
gesteld aan de functionele, technische of organisatorische wijze waarop het uitwisselen
van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling moet plaatsvinden.
Zo kunnen API’s onder dit wetsvoorstel voor aangewezen gegevensuitwisselingen worden
verplicht. Dat leidt naar verwachting tot een breder gebruik van API’s, ook voor andere
(niet onder het wetsvoorstel aangewezen) gegevensuitwisselingen. Ik zie toegevoegde
waarde in het gebruik van open API’s, zoals ik eerder al heb geschreven in mijn brief
over open standaarden en open architectuur in december 2020 (Kamerstukken II 2020/21,
27 529, nr. 202). Ik heb Nictiz gevraagd advies aan mij uit te brengen ten aanzien van een open API
strategie en hierbij voorbeelden uit binnen- en buitenland te betrekken. Ik informeer
u uiterlijk in de eerste helft van 2022 over de voortgang.

Hoe verhoudt dit zich met de aangenomen motie van het lid Hijink, waarin de regering
wordt verzocht te bewerkstelligen dat systemen van zorgaanbieders gebruikmaken van
open standaarden en koppelingen voor gegevensuitwisseling?

De leden van de D66-fractie lezen in het nieuwsbericht van dit wetsvoorstel dat deze
wet wordt vergeleken met een wereldstekker die verbinding mogelijk maakt met andersoortige
stopcontacten. Echter geven zorgpartijen liever de voorkeur te hebben voor één type
stekker die op elke stekkerdoos past. Zij stellen: «als iedereen zijn eigen stekker
(API) maakt, past deze niet altijd in elke stekkerdoos. Partijen moeten elkaar opzoeken
om specificaties van elkaars systeem te onderzoeken en onderlinge afspraken maken
om de juiste verbinding te maken». Deze leden vragen de regering of er is gekeken
naar andere sectoren waar verschillende bronnen en ontvangers met elkaar communiceren
en waar gebruik wordt gemaakt van universele API’s. Zo ja, kan de regering enkele
voorbeelden noemen? En is overwogen om deze techniek ook toe te passen in de zorg?
Is er bewust gekozen om hier bij leveranciers van EPD’s niet op te sturen? Indien
dit wel onderdeel kan worden dit wetsvoorstel, hoe is dit dan mogelijk?

De leden van de D66-fractie vragen of Spoor 2, welke ingaat op de technische aspecten
van de uitwisseling, in voldoende mate ervoor kan zorgen dat softwareleveranciers
verplicht worden om hun systemen zo aan te passen dat uitwisseling gemakkelijker gaat
of betreft het slechts uitgangsposities die omschreven zijn in de normen.

Binnen spoor 2 worden normen voor aan te wijzen gegevensuitwisselingen ontwikkeld
en vervolgens wordt het toepassen van de norm dwingend en exclusief voorgeschreven.
De zorgaanbieder is gehouden uit te wisselen overeenkomstig de norm, tenzij het gaat
om eisen die gesteld worden aan het gebruik van informatietechnologieproducten of
-diensten. Die informatietechnologieproducten of -diensten kunnen alleen gebruikt
worden als ze voorzien zijn van een certificaat voor de gegevensuitwisseling. Een
norm voor een gegevensuitwisseling kan alleen worden aangewezen als met de norm interoperabiliteit
wordt bereikt. Een certificaat wordt alleen verstrekt als het informatietechnologieproduct
of -dienst voldoet aan de eisen van de norm.

Wat wordt bedoeld met deze passage onder paragraaf 3.5.1 van de toelichting: «door
genormaliseerde eisen te stellen, zien deze eisen niet op een specifieke elektronische
infrastructuur of informatietechnologieproduct of -dienst.»

In normen worden eisen gesteld aan informatietechnologieproducten of -diensten. Alle
producten en diensten die aan deze eisen voldoen, komen voor certificering in aanmerking.
Bij het ontwikkelen van normen onder het wetsvoorstel is het niet toegestaan om naar
een specifieke elektronische infrastructuur of informatietechnologieproduct of -dienst
van één leverancier te verwijzen. Zo wordt gedwongen winkelnering en monopolievorming
voorkomen.

De leden van de CDA-fractie vragen de regering waar de verwachting op gebaseerd is
dat aanwijzing in spoor 1 het veld focus en motivatie biedt om de stap te zetten om
te komen tot normalisatie op het gebied van de eisen aan taal en techniek.

Een spoor-1 aanwijzing om een aan te wijzen gegevensuitwisseling verplicht elektronisch
te laten verlopen, kan snel gaan. In dat geval hoeft er niet gewacht te worden op
een normtraject. Bestaande normen, zoals ten aanzien van informatiebeveiliging, kunnen
opgenomen worden in spoor 1. Doordat op deze manier de eerste stap wordt gezet voor
het elektronisch uitwisselen van gegevens, wordt verwacht dat hieruit ook van onderop
initiatieven en innovatie uit het zorgveld ontstaan, waardoor de vervolgstap naar
een spoor 2-aanwijzing wordt verkleind.

Het wetsvoorstel werpt nu al zijn schaduw vooruit. Dit is te zien bij implementatietrajecten
zoals eOverdracht en Medicatieoverdracht, waarvoor een wettelijke verplichting als
sluitstuk beoogd is. Deze trajecten zijn al gestart en maken het mogelijk om na inwerkingtreding
van het wetsvoorstel bij AMvB aangewezen te worden als een gegevensuitwisseling in
spoor 1 of 2. Daarnaast hebben leveranciers al voorstellen gedaan voor technische
afspraken voor de uitwisseling van de Basisgegevensset Zorg (hierna: BgZ) en beelduitwisseling,
wat ook twee van de vier gegevensuitwisselingen zijn die op dit moment worden uitgewerkt.
Ik vind het bemoedigend om te zien dat er al concrete stappen worden gezet voorafgaand
aan de wetsbehandeling door uw Kamer.

De leden van de SP-fractie vragen de regering of er ook een verplichting komt om bepaalde
patiëntgegevens te delen. Zo ja, om welke gegevens gaat het en hoe verhoudt dit zich
tot andere wetgeving op het gebied van de bescherming van patiëntgegevens?

Het wetsvoorstel verplicht niet tot het uitwisselen van gezondheidsgegevens. Bij deze
nota naar aanleiding van het verslag heb ik een nota van wijziging gevoegd, waarmee
verduidelijkt wordt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens.

De verplichting in dit wetsvoorstel ziet alleen op de vraag hoe de uitwisseling van
gegevens plaats moet vinden, namelijk op elektronische wijze. Als binnen het bestaande
wettelijke kader voor de uitwisseling van gezondheidsgegevens geen verwerkingsgrondslag
bestaat, geen uitzonderingsgrond op het verbod om bijzondere persoonsgegevens en geen
doorbrekingsgrond voor het medisch beroepsgeheim, dan kan deze niet plaatsvinden.

De leden van de SP-fractie vragen de regering hoe binnen het huidige wetsvoorstel
gegarandeerd wordt dat de privacy op orde is bij de elektronische uitwisseling van
patiëntgegevens.

Welke gegevens zouden precies allemaal verplicht kunnen worden om elektronisch te
delen? Verschilt dit per terrein waarop gegevensuitwisseling plaatsvindt? Zo ja, welke
gegevens zouden bij ten minste één terrein verplicht kunnen worden om hierin mee te
nemen?

Met persoonsgegevens, waaronder bijzondere persoonsgegevens zoals gezondheidsgegevens,
moet zorgvuldig worden omgegaan. Recht op bescherming van persoonsgegevens is van
belang met het oog op privacy en toegang tot de zorg en is daarom in internationale
en nationale wetgeving geregeld (in onder meer het EVRM, de Grondwet, de AVG, de UAVG,
de Wgbo, de Wet BIG en de Wabvpz). Dit wetsvoorstel gaat uit van en past binnen deze
internationale en nationale wetgeving inzake gegevensbescherming. Hiermee is gegarandeerd
dat de privacy op orde is.

Met dit wetsvoorstel wordt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen
te bepalen hoe gegevens uitgewisseld moeten worden. Welke gegevens uitgewisseld moeten
worden ten behoeve van de goede zorg of met het oog daarop wordt in beginsel bepaald
door het veld. Dit kan per gegevensuitwisseling verschillen. In het geval van gegevensuitwisseling
«beeld» worden bijvoorbeeld andere gegevens van belang geacht dan bij «digitaal voorschrijven
en ter hand stellen» of «verpleegkundige overdracht». Als voorbeeld van gegevens waarvan
het veld van oordeel is dat deze uitgewisseld moeten worden ten behoeve van de goede
zorg of met het oog daarop, is de basisset medicatiegegevens. Dit zijn gegevens zoals
afspraken per geneesmiddel, gestopte of gewijzigde medicatie, geneesmiddelovergevoeligheden
en afwijkende nierfunctiewaarden.

Met dit wetsvoorstel wordt geregeld dat een gegevensuitwisseling pas kan worden aangewezen
bij AMvB als in een kwaliteitsstandaard of in wet- en regelgeving is vastgelegd welke
gegevens uitgewisseld moeten worden (met uitzondering van de overgangsperiode).

De leden van de SP-fractie vragen of er terreinen zijn waarop er nu al gezegd kan
worden dat elektronische uitwisseling van patiëntgegevens niet verplicht zal worden?

Nee.

3.5 Normalisatie

De leden van de VVD-fractie willen graag een nadere uitleg over «geen wederzijdse
erkenning», aangezien wat er nu staat niet duidelijk is voor deze leden. Wat zou nut
en noodzaak van wederzijdse erkenning kunnen zijn? Wat zijn daarvan de voor- en nadelen?

Er is in het wetsvoorstel een keuze gemaakt om geen materiële eisen in het voorstel
zelf op de nemen. De keuze is gemaakt om de gewenste interoperabiliteit van een gegevensuitwisseling
te bereiken door het voorschrijven van een norm waarmee die interoperabiliteit behaald
moet worden. Interoperabiliteit is geen vast begrip, maar wordt steeds door elke norm
ingevuld. Dit is anders dan bijvoorbeeld een eis als «een dak is waterdicht». Er zou
een norm kunnen worden ontwikkeld die bepaald hoe je komt tot het vereiste resultaat,
namelijk een waterdicht dak. Maar je kan ook bepalen dat je ook via andere normen
hetzelfde resultaat mag bereiken (wederzijdse erkenning). De uitkomst is namelijk
dan in alle gevallen hetzelfde resultaat, namelijk een waterdicht dak. Maar als je
een wederzijdse erkenning opneemt voor «interoperabiliteit», kan de ene norm ertoe
leiden dat er interoperabel wordt uitgewisseld met een USB-stick en de andere norm
die bepaald dat de gegevens interoperabel via een elektronische infrastructuur worden
uitgewisseld. Het resultaat is dan echter niet wat je wilt bereiken met het wetsvoorstel,
namelijk interoperabiliteit in de totale gegevensuitwisseling. De interoperabiliteit
kan daarmee alleen voor die gegevensuitwisseling daadwerkelijk behaald worden, als
de invulling daarvan in de norm dwingend en exclusief wordt voorgeschreven. Dit gaat
bijvoorbeeld ook op voor het Besluit elektronische gegevensverwerking door zorgaanbieders
(hierna: Begz) waarin dwingend en exclusief naar de NEN 7510 wordt verwezen, omdat
die normen van belang zijn voor de standaardisatie en samenwerking tussen instellingen
en bevorderen de mogelijkheden om goed toezicht te houden op een «passende beveiliging»
van de gegevensverwerkingen. Door het dwingend en exclusief voorschrijven van de norm,
kan er geen wederzijdse erkenning worden opgenomen.

De licentiekosten die verbonden zijn aan het gebruik van NEN-normen zal de overheid
afkopen. De leden van de VVD-fractie vragen welke kosten daar gemiddeld mee zijn gemoeid?

Om ervoor te zorgen dat ontwikkelde normen vrij beschikbaar zijn voor de zorg, heb
ik besloten om de kosten voor het gebruik en het beheer van de normen af te kopen.
Hiermee is een jaarlijks bedrag gemoeid. De hoogte van het bedrag hangt af van het
aantal normen dat formeel is gepubliceerd.

Verderop lezen de leden van de VVD-fractie dat de kosten worden meegenomen bij de
AMvB. Maar hoe wordt dit dan verwerkt in de begroting van het Ministerie van Volksgezondheid,
Welzijn en Sport? In hoeverre wordt daar in de toekomst rekening gehouden met deze
kosten?

Samen met het zorgveld werk ik aan een toekomstbestendige gegevensuitwisseling in
de gezondheidszorg met als uitgangspunten dat systemen met elkaar kunnen communiceren
(interoperabiliteit), de keuzevrijheid voor zorgaanbieders bij het kiezen van een
ICT-systeem geborgd blijft en dit tegen acceptabele maatschappelijke kosten gebeurt.

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen
leidt tot implementatiekosten en nalevingskosten. Met de uitwerking van AMvB’s onder
het wetsvoorstel kan blijken dat met de implementatie de kosten- en batenverdeling
tussen de zorgaanbieders onderling kan verschuiven. Hier zal per gegevensuitwisseling
goed gekeken worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie
lopen er al verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie
van een aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder
dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane
onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij hou ik
per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van
academische ziekenhuizen tot solistisch werkende zorgverleners.

Mocht dit gevolgen hebben voor de begroting van het ministerie dan verwerk ik dat
middels de reguliere begrotingscyclus in de begroting, hiermee heeft de Kamer de mogelijkheid
om hierop te sturen.

De NEN-normen komen tot stand na consensus onder de leden van de normcommissie. De
leden van de VVD-fractie vragen hoe besluitvorming daar plaatsvindt? Wie zitten in
de normcommissie? En wat wordt bedoeld met «consensus»? Hoe worden patiënten, cliënten
en zorgverleners daarbij betrokken?

Juist door het ontwikkelen van normen onder auspiciën van NEN borg ik dat normen tot
stand komen via een onafhankelijk en transparant proces. Bij aanvang van een normontwikkeling
wordt in kaart gebracht wie de belanghebbenden zijn, worden zij geïnformeerd en vervolgens
uitgenodigd tot deelname aan de werkgroep. De inhoud van de norm wordt getoetst door
een normcommissie, die bestaat uit een evenwichtige vertegenwoordiging van belanghebbende
partijen ten aanzien van het onderwerp waar de norm over gaat. Deze commissie toetst
of een voorgestelde norm via een zorgvuldig proces tot stand is gekomen en toetst
de samenhang met al bestaande normen. Binnen de commissie dient hierover consensus
te worden bereikt, waarbij van belang is dat er geen onoverkomelijk bezwaar leeft
bij een of meer betrokken partijen. Zo nodig kent NEN diverse formele escalatiemechanismen
om toch tot consensus te komen en de norm vast te kunnen stellen, mocht de gewenste
consensus niet direct tot stand komen. Indien het ernaar uitziet dat het bereiken
van consensus lastig is, gaat NEN in gesprek met de betreffende partijen om achterliggende
redenen in beeld te brengen en de verschillende belangen tot elkaar te brengen. De
ervaring leert dat deze benadering bijna altijd tot consensus leidt, zoals dit ook
het geval was bij de totstandkoming van de norm voor veilig mailen en chatten in de
zorg, NTA 7516. Als (vertegenwoordigers van) cliënten en zorgverleners belang bij
en expertise over het onderwerp van de norm hebben, dan worden zij uitgenodigd om
deel te nemen aan de normcommissie.

De leden van de VVD-fractie vinden dat medische informatie veilig moet zijn. In hoeverre
wordt informatiebeveiliging meegenomen in de NEN-normen?

Ik onderschrijf volledig dat medische informatie veilig moet zijn. Het beveiligingsregime
in de zorg is reeds genormaliseerd (NEN 7510, NEN 7512 en NEN 7513). Deze normen sluiten
aan bij de algemene eisen rondom beveiliging uit de AVG. De AMvB onder het wetsvoorstel
zal verwijzen naar deze bestaande normen.

De leden van de VVD-fractie vragen hoe er voor kan worden gezorgd dat de zorgaanbieders
aantoonbaar voldoen aan de basisnormen van informatiebeveiliging?

In het Begz is bepaald dat een zorgaanbieder overeenkomst het bepaalde in NEN 7510
(norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging
in de zorg) en NEN 7512 (nadere invulling van NEN 7510 betreffende de veiligheid van
gegevensuitwisseling tussen partijen in de zorg) zorg moet dragen voor een veilig
en zorgvuldig gebruik van het zorginformatiesysteem en een veilig en zorgvuldig gebruik
van het elektronisch uitwisselingssysteem waarop hij is aangesloten. De AP en de IGJ
houden toezicht op de naleving van deze verplichtingen, aan de hand van het Samenwerkingsprotocol
AP- IGJ io, Autoriteit Persoonsgegevens (Staatscourant 2018, nr. 702). Het toezicht van de AP zich richt op privacyaspecten van informatiebeveiliging.
De IGJ ziet toe dat zorgaanbieders voldoen aan de juiste randvoorwaarden voor de inzet
van ICT, zodat de kwaliteit en veiligheid van de zorg daardoor niet in het geding
komen. Het onderwerp informatiebeveiliging is onderdeel van het toetsingskader van
de IGJ, voor zover dit invloed heeft op de continuïteit van de informatiesystemen.

De leden van de D66-fractie vragen hoe lang het duurt om vanaf de opdracht voor een
NEN-norm te komen tot een daadwerkelijke NEN-norm. Is het volgens de regering voor
dit doeleinde het juiste instrumentarium.

Van het moment dat ik opdracht geef voor het ontwikkelen van een NEN-norm tot de publicatie
ervan neemt gemiddeld genomen zo’n anderhalf jaar in beslag. Deze tijd is enerzijds
nodig om tot zorgvuldige afspraken te komen en biedt anderzijds zorgaanbieders en
leveranciers de mogelijkheid om zich voor te bereiden op de komst van een nieuwe NEN-norm
en dus toe te werken naar het inbouwen van de afspraken en informatiestandaarden die
daar onderdeel van zijn.

NEN-normen acht ik zeker het juiste instrumentarium. Naast het feit dat normen onder
auspiciën van NEN tot stand komen via een onafhankelijk en transparant proces, waarin
alle belanghebbenden betrokken worden gericht op het bereiken van consensus, bieden
NEN-normen de mogelijkheid om deze ook wettelijk te verplichten. Het NEN-stelsel geeft
invulling aan EU-afspraken over normering.

De leden van de D66-fractie vragen welke alternatieven voor de NEN-norm zijn overwogen?

Om gegevensuitwisselingen interoperabel te kunnen is het nodig hierover afspraken
te maken. Er zijn drie varianten onderzocht hoe dit het beste kan, waarvan er twee
zijn overgebleven in het wetsvoorstel.

Eén mogelijkheid is om een spoor 1 aanwijzing te doen: daarbij geldt een verplichting
ten aanzien van elektronische gegevensuitwisseling, zonder dat in een NEN-norm beschreven
is hoe dat precies moet. Dit staat nu in het wetsvoorstel.

Daarnaast is overwogen om afspraken en standaarden direct (zonder tussenkomst van
NEN-normen) in het wetsvoorstel op te nemen. De benodigde kennis en expertise ligt
echter bij het zorg- en ICT-veld. Door de afspraken en standaarden direct in wet-
en regelgeving vast te leggen bestaat het risico dat de wetgever eisen stelt aan een
gegevensuitwisseling waaraan niet kan worden voldaan of die innovatie in de weg staat
die juist gewenst is. Wat de beste eisen zijn om te komen tot interoperabiliteit op
het moment van aanwijzen van een gegevensuitwisseling kunnen het zorg- en ICT-veld
het beste zelf bepalen. Om deze redenen is dit alternatief afgevallen.

Daarom is de keuze uiteindelijk gevallen op verplicht gestelde NEN-normen. De getrapte
verwijzing vanuit het wetsvoorstel via de AMvB, naar normen en vervolgens open standaarden,
zorgt voor flexibiliteit en compacte wetgeving. Het biedt ook de mogelijkheid om de
benodigde set aan standaarden te toetsen en samenhangend te verbinden in een norm.
NEN is bovendien onderdeel van een semi-publiek (EU) stelsel. NEN is onafhankelijk
en heeft een uitsluitend faciliterende rol; het heeft geen belang bij de inhoud van
de normen, zoals dit voor de standaardisatieorganisatie soms wel het geval is. In
haar faciliterende rol is NEN goed in staat om het veld in haar volle breedte tot
inhoudelijke afspraken te laten komen.

Omdat de regering aangeeft dat er op dit moment nog geen Europese of internationale
normen zijn, vragen de leden van de D66-fractie hoe andere landen dan eisen stellen
aan gegevensuitwisseling tussen zorgaanbieders.

Daarnaast vragen leden van de D66-fractie of andere sectoren (buiten de zorg, zoals
de logistiek, uitvoeringsorganisaties, banken) ook werken met dergelijke normen of
dat zij hier andere methoden voor hebben om uitwisseling te waarborgen.

Ook in andere sectoren dan de zorg, zoals de financiële wereld en de bouw, wordt veelvuldig
gewerkt met normen. Maar er zijn uiteraard ook andere manieren om binnen een sector
tot gezamenlijke afspraken en standaardisatie te komen. In de zorgsector is het afgelopen
decennia echter niet gelukt om zelf tot dergelijke afspraken te komen. Daarom is mij
gevraagd om regie te nemen. Dat doe ik door samen met het veld afspraken te maken,
die afspraken vast te leggen in normen en deze normen wettelijk te verplichten.

De leden van de D66-fractie vragen de regering een uitsplitsing te geven van de kosten
die gepaard kunnen gaan bij het opstellen en het voldoen aan NEN-normen bij zorgaanbieders.

Op voorhand kan ik hier geen uitspraak over doen. Deze kosten verschillen namelijk
per norm. Wel zeg ik u toe dat ik voorafgaand aan het besluit om gegevensuitwisseling
aan te wijzen in spoor en daarvoor dus een norm laat ontwikkelen, ik een MKBA laat
uitvoeren. In deze MKBA worden ook de kosten van normontwikkeling en certificering
meegenomen.

De kosten van NEN voor normontwikkeling en -revisies komen voor rekening van het Ministerie
van VWS. Kosten voor certificering worden gedragen door de IT-leveranciers die de
certificering aanvragen.

Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met implementatie
de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Per
gegevensuitwisseling zal goed gekeken worden of het nodig is hiervoor te compenseren.
Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s),
gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per
gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen,
indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk
blijkt. Hierbij houd ik per gegevensuitwisseling rekening met de grote diversiteit
binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

Het wetsvoorstel voorziet in normalisatietrajecten. De leden van de CDA-fractie vragen
hoe de regering borgt dat, ook gelet op de ervaringen met het vaststellen van kwaliteitsnormen,
er voldoende voortgang wordt geboekt c.q. wie kan de knoop doorhakken of krijgt doorzettingsmacht.
Welke instrumenten zijn daar volgens de regering voor nodig en hoe beoordeelt de regering
deze?

NEN-normen komen tot stand na consensus onder de leden van de normcommissie. In principe
komen normwerkgroepen zelf tot vaststelling van de norm, na openbare consultatie (openbare
kritiekronde van het normontwerp). Zo nodig kent NEN diverse formele escalatiemechanismen
om toch tot consensus te komen en de norm vast te kunnen stellen, mocht de gewenste
consensus niet direct tot stand komen. Indien het ernaar uitziet dat het bereiken
van consensus lastig is, gaat NEN in gesprek met de betreffende partijen om achterliggende
redenen in beeld te brengen en de verschillende belangen tot elkaar te brengen. De
ervaring leert dat deze benadering bijna altijd tot consensus leidt, zoals dit ook
het geval was bij de totstandkoming van de norm voor veilig mailen en chatten in de
zorg, NTA 7516.

Mocht dit niet tot consensus leiden, dan wordt de door NEN ingestelde Programmaraad
Egiz om advies gevraagd. Het advies van deze raad wordt voorgelegd aan de verantwoordelijke
normcommissie en vervolgens de verantwoordelijke beleidscommissie.

Als ondanks deze mechanismen een norm niet tot stand komt, is alleen een aanwijzing
in spoor 1 mogelijk met eventueel minimale te stellen eisen.

Voorafgaande aan de ontwikkeling van een NEN-norm voor een specifieke gegevensuitwisseling
benadert NEN alle belanghebbenden en roept hen op om deel te namen aan de werkgroep
die de normontwikkeling uitvoert. Deelt de regering de verwachting van de Patiëntenfederatie
Nederland dat de normalisatiewerkzaamheden door dit wetsvoorstel sterk zullen toenemen,
zo vragen de leden van de CDA-fractie.

Ik deel de verwachting van de Patiëntenfederatie dat normalisatiewerkzaamheden door
dit wetsvoorstel zullen toenemen. De verwachting is dat vooral de eerste normen extra
inspanning zullen vragen en dat op een gegeven moment generieke onderdelen van normen
kunnen worden hergebruikt. Voorafgaand aan het ontwikkelen van een norm voor een gegevensuitwisseling
waarvoor beoogd is die bij AMvB aan te wijzen, wordt sowieso een MKBA uitgevoerd.
In de MKBA worden ook de kosten van normontwikkeling en certificering meegenomen.

De leden van de CDA-fractie vragen wat de reactie van de regering is op de stelling
van de Patiëntenfederatie dat daardoor zonder extra financiële ondersteuning inbreng
van het patiëntperspectief in de voorgestelde normontwikkeling niet mogelijk is?

Het normtraject is een onafhankelijk proces gestuurd door NEN. In de standaardwerkwijze
zit opgenomen dat er een representatieve groep belanghebbenden wordt meegenomen in
het proces om tot een norm te komen. Mogelijk leidt dit tot een toename van normalisatiewerkzaamheden
voor deze organisaties. Hierbij zullen vooral de eerste normen extra inspanning vragen
en zal niet iedere gegevensuitwisseling worden genormeerd. Op een gegeven moment kunnen
ook generieke eisen worden hergebruikt.

Voorafgaand aan het besluit om voor een specifieke gegevensuitwisseling een norm te
ontwikkelen zal sowieso een MKBA worden uitgevoerd. In deze analyse worden ook de
inzet voor en kosten van normontwikkeling en certificering meegenomen. Daardoor kan
er gericht gekeken worden in hoeverre bepaalde organisaties overvraagd worden en in
gesprek moet worden gegaan over een passende oplossing.

De leden van de CDA-fractie vragen hoe de regering de inbreng van het patiëntenperspectief
in normontwikkeling die voortkomt uit dit wetsvoorstel borgt en faciliteert?

NEN nodigt alle belanghebbenden bij een norm, dus zeker ook (vertegenwoordigers van)
cliënten, uit om deel te nemen aan de werkgroep die de norm ontwikkelt. Vervolgens
wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie
gedaan, zodat eenieder zich erover kan uitspreken. Ook cliënten die nog niet eerder
betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

NEN-normen voor bepaalde generieke functies, zoals identificatie, authenticatie en
vindbaarheid worden in opdracht van de regering ontwikkeld. De leden van de CDA-fractie
vragen de regering wat hiervan de stand van zaken is. Wanneer zullen deze normen gereed
zijn?

De leden van de CDA-fractie vragen hoe de ontwikkeling van NEN-normen voor generieke
functies zich verhoudt tot de ontwikkeling van gemeenschappelijke voorzieningen die
in deze functies voorzien.

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken
te verplichten voor taal en techniek.

De leden van de CDA-fractie vragen hoe wordt voorkomen dat er generieke normen worden
ontwikkeld voor generieke functies die zich lenen voor het onderbrengen in een gemeenschappelijke
voorziening?

Ik constateer dat er rond gemeenschappelijke en mogelijk publieke voorzieningen momenteel
veel beweging is, ook in het verlengde van de moties Van den Berg/Kerstens (Kamerstukken
II 2020/21, 27 529, nrs. 222 en 223). Bij het uitwisselen van gegevens in de zorg treffen we diverse functies aan die
in veel uitwisselingen terugkomen, zogenaamde generieke functies. Voorbeelden van
dergelijke generieke functies zijn identificatie, autorisatie van de zorgverlener
en registratie van toestemming van de patiënt. Voor het bereiken van interoperabiliteit
is het noodzakelijk om voor generieke functies eenduidige afspraken vast te leggen.
Normering van deze afspraken is hierbij wenselijk. Normen zorgen voor consistente
en breed gedragen eisen aan deze functies. Zo kan er bijvoorbeeld ook bij de uitwerking
van specifieke gegevensuitwisselingen vanuit het wetsvoorstel eenduidig verwezen worden
naar deze normen.

Ik heb de NEN gevraagd een werkgroep te starten die voor generieke functies een plan
van aanpak te ontwikkelen. Onder andere zal worden bepaald over welke functies met
voorrang afspraken moeten worden gemaakt. De generieke functies zoals deze zijn vastgesteld
in het Informatieberaad vormen hierbij het uitgangspunt. Het is denkbaar dat voor
sommige generieke functies ook voorzieningen worden aangewezen, te denken valt aan
de functie toestemming. Of dat een of meerdere (onderdelen) van normen voor generieke
functies uiteindelijk opgenomen worden ter verplichting.

Er wordt geen Nederlandse norm ontwikkeld als er al een Europese of internationale
norm beschikbaar is, die zonder wijzigingen in Nederland kan worden geïmplementeerd
en ook voldoet aan de door de regering meegegeven richtinggevende kaders. Tegelijk
geeft de regering echter ook aan dat het voor Europese en internationale normen niet
mogelijk is deze openbaar en kosteloos beschikbaar te stellen, terwijl de licentiekosten
voor NEN-normen wel openbaar en kosteloos beschikbaar worden gesteld. Het gebruik
van deze normen afkopen wordt ook niet gedaan als de prijs van die norm onredelijk
hoog is. De leden van de CDA-fractie vragen of in het geval van onredelijke hoge prijzen
toch wordt afgezien van het gebruik van Europese of internationale normen, ook al
voldoen die voor de rest wel. Wat ziet de regering als een onredelijke hoge prijs
voor een norm? Als een Europese of internationale norm wordt gehanteerd, maar de regering
koopt het gebruik van deze norm niet af vanwege een onredelijk hoge prijs, bij wie
komen de kosten dan wel te liggen?

Hoe de bekostigingsstructuur er precies in dat geval uit komt te zien, is nog niet
op voorhand te zeggen, omdat zoals ook door mij is aangegeven in de memorie van toelichting,
er voorlopig nog geen Europese normen gebruikt kunnen worden onder het wetsvoorstel.
Wanneer blijkt dat voor een aan te wijzen gegevensuitwisseling bij AMvB gebruik zal
gaan worden van een Europese norm en deze verplichtend kan worden aangewezen omdat
de kosten niet onredelijk hoog zijn, dan zal – evenals gebruikelijk voor alle andere
kosten die samenhangen met de AMvB, zoals implementatie- en structurele kosten, in
de nota van toelichting ingegaan worden op de financiële gevolgen voor zorgaanbieders,
overheid en andere betrokken, zoals leveranciers van ICT-systemen. Deze AMvB wordt
ook voorgehangen bij uw Kamer.

Sinds 2018 is het werken volgens en voldoen aan bepaalde NEN-normen uit het Besluit
Elektronische Gegevensverwerking Zorgaanbieders verplicht. Deze normen vormen de basis
voor goede en betrouwbare omgang met digitale patiëntgegevens. Certificering voor
de basisnormen is echter niet verplicht, en dat wordt het ook niet met onderhavig
wetsvoorstel. De leden van de CDA-fractie vragen of de regering meerwaarde ziet in
het voorstel van de Patiëntenfederatie Nederland om certificering voor de verplichte
basisnormen uit het Besluit Elektronische Gegevensverwerking Zorgaanbieders op te
nemen in dit wetsvoorstel, om te borgen dat zorginstellingen aantoonbaar de basis
van informatiebeveiliging op orde hebben. Zo nee, waarom niet? Zo ja, is de regering
bereid dit in onderhavig wetsvoorstel op te nemen?

Het belang van het op orde hebben van de informatiebeveiliging onderschrijf ik. Het
huidige Begz verplicht zorgaanbieders nu al om te voldoen aan NEN 7510 en aanverwante
normen. Deze normen zullen ook wanneer een gegevensuitwisseling onder het wetsvoorstel
in spoor 2 wordt aangewezen, verplicht blijven en eventueel worden aangevuld. In het
kader van de NEN-normen zal per gegevensuitwisseling worden bezien of dit nuttig en
noodzakelijk is. Hierbij neem ik ook de administratieve lasten mee in overweging.

Ik zet mij in op het verkleinen van de risico’s en impact van die risico’s door te
zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets
gebeurt. Ook heb ik samen met ICTU en vereniging Brancheorganisaties Zorg het Actieplan
informatieveilig gedrag opgezet en werk ik samen met Z-CERT aan een risico gestuurde
aanpak. Met de aanbieding van de nota naar aanleiding van het verslag ontvangt u een
brief over de voortgang op elektronische gegevensuitwisseling in de zorg waarin onder
andere ook de voortgang op deze projecten gemeld wordt.

De leden van de CDA-fractie vragen de regering hoe wordt voorkomen dat door de hoeveelheid
normerings- en certificeringstrajecten het onbedoelde effect optreedt van vertraging
in lopende programma’s en innovaties.

Dit effect is niet waarschijnlijk. Ik verwacht eerder dat het wetsvoorstel eraan bijdraagt
dat met het oog op een komende wettelijke verplichting ook initiatieven ontstaan voor
het komen tot gezamenlijk gedragen standaarden, afspraken en eisen die breder toepasbaar
zijn. Het wetsvoorstel werpt nu al zijn schaduw vooruit en versnelt daarmee nu al
de digitalisering. Dit is te zien bij implementatietrajecten zoals eOverdracht en
Medicatieoverdracht, waarvoor een wettelijke verplichting als sluitstuk beoogd is.
Deze trajecten zijn al gestart en maken het mogelijk om na inwerkingtreding van het
wetsvoorstel bij AMvB aangewezen te worden als een gegevensuitwisseling in spoor 1
of 2. Daarnaast hebben leveranciers al voorstellen gedaan voor technische afspraken
voor de uitwisseling van de Basisgegevensset Zorg (hierna: BgZ) en beelduitwisseling,
wat ook twee van de vier gegevensuitwisselingen zijn die op dit moment worden uitgewerkt.
Ik vind het bemoedigend om te zien dat er al concrete stappen worden gezet voorafgaand
aan de wetsbehandeling door uw Kamer.

NEN-normen moeten minimaal eens in de vijf jaar worden geëvalueerd, of zoveel eerder
als belanghebbende partijen dat nodig achten. De leden van de CDA-fractie vragen de
regering in hoeverre het veld elke vijf jaar zelf expliciet kan beoordelen of een
norm aan herziening toe is. Kan ook de bewuste keuze worden gemaakt dit niet te doen?

Volgens de spelregels van NEN worden normen minimaal eens in de 5 jaar gereviseerd.
NEN bespreekt daartoe met het veld wat de ervaringen met de norm zijn en welke wijzigingen
zijn gewenst. De mate waarin dit resulteert in daadwerkelijke revisie van de norm
is afhankelijk van de (omvang van de) wijzigingsvoorstellen uit het veld.

De leden van de CDA-fractie vragen of de kosten voor de herziening van de norm wederom
door de overheid betaald worden, of moeten partijen die hier aan deel willen nemen
dan – zoals gebruikelijk – zelf de kosten van deelname voor hun rekening nemen?

De afspraak is dat mijn ministerie de eerste jaren de kosten voor deze revisies op
zich neemt. Verzoeken voor wijzigingen van normen kunnen door belanghebbenden op elk
moment worden ingebracht. Dit is ook een kracht van normalisatie: meegaan met innovaties
en nieuwe inzichten en de inspraak van experts.

Deze leden vragen tevens of een NEN-norm met betrekking tot digitalisering eigenlijk
niet veel eerder verouderd is dan na vijf jaar.

De leden van de CDA-fractie vragen hoe wordt voorkomen dat er een NEN-norm wordt opgeleverd
die vooral een papieren tijger is en het veld deze vervolgens nog werkend moet zien
te krijgen in de praktijk. Is hier een testproces voor voorzien vanuit NEN?

Het onder het wetsvoorstel verplichten van een norm dient als sluitstuk om te komen
tot interoperabiliteit. Er lopen bijvoorbeeld al verschillende versnellingsprogramma’s
(VIPP’s) waarin wordt gewerkt aan de implementatie van een aantal gegevensuitwisselingen.
Hierbij zorgt aanwijzing van deze gegevensuitwisseling in een AMvB hangend onder dit
wetsvoorstel uiteindelijk ervoor dat de afspraken afdwingbaar worden, ook voor aanbieders
van informatietechnologie producten in de zorg.

Binnen deze normeringstrajecten worden alle belanghebbenden betrokken, waarbij voornamelijk
gekeken wordt welke gemaakte afspraken in het veld formeel kunnen worden vastgelegd.
De eisen aan taal en techniek die leiden tot interoperabiliteit en die aanbieders
van informatietechnologieproducten of -diensten in andere trajecten hebben doorgevoerd,
kunnen ook worden benut in andere producten van deze aanbieders.

De AMvB waarin een NEN wordt aangewezen zal pas in de formele procedure gebracht als
de NEN-norm is gepubliceerd. Dit betekent dat in de praktijk al gewerkt zal worden
met de norm alvorens de wettelijke verplichting van kracht wordt, waardoor beproefd
kan worden hoe de norm in de praktijk werkt.

Onder regie van NEN zullen, op basis van de NEN-normen, certificatieschema’s worden
opgesteld in speciale certificeringscommissies. In het certificatieschema worden de
spelregels opgenomen voor het certificeren van informatietechnologieproducten en -diensten.

Is de regering het met de leden van de CDA-fractie eens dat alle zorgaanbieders minimaal
gebruiken moeten maken van een beveiligd email-systeem met beveiligde login?

Voor e-mail is een norm ontwikkeld. De NTA 7516 is een veldnorm die kwalificeert als
een «passende technische en/of organisatorische maatregel om een op het risico afgestemd
beveiligingsniveau te waarborgen» in de zin van artikel 32 van de AVG. De zorgverlener
is niet verplicht om de NTA 7516 te volgen maar als een zorgaanbieder de NTA 7516
volgt, is hij zeker dat hij AVG-proof mailt. Omdat deze norm is opgesteld is samenspraak
met het zorgveld, mag worden verwacht dat zorgaanbieders zich in de praktijk ook houden
aan deze norm

De leden van de CDA-fractie lezen op bladzijde 21 van de toelichting dat daarvoor
een NEN-norm is. Maar hoe is gecontroleerd dat alle zorgaanbieders die NEN-norm ook
toepassen?

De norm die is ontwikkeld voor veilig mailen en chatten in de zorg, NTA 7516, betreft
een zogenaamde veldnorm. Het veld is de afspraken in deze norm gezamenlijk overeengekomen.
Het toepassen ervan is echter geen wettelijke verplichting en wordt dan ook niet gecontroleerd.
De NTA 7516 is een veldnorm die kwalificeert als een «passende technische en/of organisatorische
maatregel om een op het risico afgestemd beveiligingsniveau te waarborgen» in de zin
van artikel 32 van de AVG. De zorgverlener is niet verplicht om de NTA 7516 te volgen
maar als een zorgaanbieder de NTA 7516 volgt, is hij zeker dat hij AVG-proof mailt.
Omdat deze norm is opgesteld is samenspraak met het zorgveld, mag worden verwacht
dat zorgaanbieders zich in de praktijk ook houden aan deze norm.

De leden van de SP-fractie vragen in hoeverre de invoering van algemene regels over
welke gegevens moeten worden gedeeld, een belemmering vormen voor het toepassen van
maatwerk voor in welke mate het medisch beroepsgeheim doorbroken wordt. Hoe wordt
voorkomen dat deze regels ervoor zorgen dat een zorgverlener alleen nog de keuze heeft
tussen het delen van alle voorgeschreven gegevens en helemaal geen gegevens delen?

Dit wetsvoorstel verplicht niet tot het uitwisselen van gegevens. Om dit te verduidelijken
heb ik bij deze nota naar aanleiding van het verslag een nota van wijziging gevoegd
waarin staat dat onderhavig wetsvoorstel niet leidt tot een verplichting tot het uitwisselen
van gegevens.

Met persoonsgegevens, waaronder bijzondere persoonsgegevens zoals gezondheidsgegevens,
moet zorgvuldig worden omgegaan. Recht op bescherming van gezondheidsgegevens is van
belang met het oog op privacy en toegang tot de zorg7 en is daarom in internationale en nationale wetgeving geregeld (in onder meer het
EVRM, de Grondwet, de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz).

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving
inzake gegevensbescherming. Dat betekent dat bij het uitwisselen van een gegeven altijd
voldaan moet worden aan de eisen die uit die bestaande kaders volgt. Dit betekent
concreet dat – ook na inwerkingtreding van dit wetsvoorstel – een gegeven niet worden uitgewisseld als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond
voor het medisch beroepsgeheim is. Dit kan per gegeven verschillen.

Pas wanneer de vraag óf een gegeven uitgewisseld mogen worden positief beantwoord
is en de zorgverlener over wil gaan tot gegevensuitwisseling, komt dit wetsvoorstel
in beeld. Het wetsvoorstel ziet namelijk enkel op hoe gegevens uitgewisseld moeten worden.

De leden van de GroenLinks-fractie hebben ook nog een vraag over wat de rol is van
zorgverleners en zorgaanbieders binnen het normalisatietraject. Hoe wordt omgegaan
met verschillende wensen van zorgaanbieders rondom de standaardisatie en wie hakt
de knoop door als verschillende partijen er niet uitkomen?

Zorgverleners en zorgaanbieders zijn belanghebbenden bij het ontwikkelen van normen.
Ik vind betrokkenheid van hun kant dan ook erg belangrijk. In het normalisatietraject
is geborgd dat zij worden uitgenodigd om deel te nemen aan de normontwikkeling. Vervolgens
wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB in internetconsultatie
gedaan, zodat eenieder zich erover kan uitspreken. Ook zorgverleners en zorgaanbieders
die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

Bij normontwikkeling onder auspiciën van NEN is alles erop gericht om consensus te
bereiken. Dit is één van de redenen waarom ik het verplicht stellen van elektronische
gegevensuitwisseling laat verlopen via NEN. Het normalisatieproces van NEN is zodanig
ingericht dat de werkgroep altijd tot consensus komt. Zo nodig kent NEN ook diverse
formele escalatiemechanismen om toch tot consensus te komen en een norm toch vast
te kunnen stellen, mocht de gewenste consensus niet direct tot stand komen. Indien
het ernaar uitziet dat het bereiken van consensus lastig is, gaat NEN in gesprek met
de betreffende partijen om achterliggende redenen in beeld te brengen en de verschillende
belangen tot elkaar te brengen. Mochten ook deze gesprekken niet tot consensus leiden,
dan wordt de door NEN ingestelde Programmaraad Egiz om advies gevraagd. Het advies
van deze raad wordt voorgelegd aan de verantwoordelijke normcommissie en vervolgens
de verantwoordelijke beleidscommissie.

Indien ondanks deze mechanismen een norm niet tot stand komt is alleen een aanwijzing
in spoor 1 mogelijk met eventueel minimale eisen.

Met betrekking tot de licentiekosten en het afkopen daarvan hebben de leden van de
fractie van GroenLinks ook nog een vraag. De overheid heeft als doel de licentiekosten
af te kopen om deze kosteloos beschikbaar te stellen. Hoe gaat dat precies in zijn
werk en hoeveel gaat dat kosten? En zijn dat eenmalige kosten of keren deze mogelijkerwijs
terug?

Om ervoor te zorgen dat ontwikkelde normen vrij beschikbaar zijn voor de zorg, moeten
de kosten voor het beheer en de overdracht van auteursrechten van de normen worden
afgekocht. Hiermee is een jaarlijks bedrag gemoeid. De hoogte van het bedrag hangt
af van het aantal normen dat formeel is gepubliceerd.

De leden van de PvdD-fractie lezen dat het ontwikkelen van de normen wordt overgelaten
aan NEN. Daar wordt in zogeheten normcommissies samengewerkt, maar daar zitten ook
veel commerciële partijen in. Daarom willen deze leden het volgende weten: wie vertegenwoordigd
daar het privacybelang? Is dat een deelnemer van de overheid? Of moet iemand namens
een patiëntenvereniging dat doen?

Ik erken het belang van privacy als het gaat om medische informatie. NEN-normen moeten
voldoen aan de internationale en nationale wetgeving inzake de bescherming van gegevens
en aan andere relevante NEN-normen. De NEN-normcommissie bewaakt dit: een kandidaat-norm
die niet voldoet aan bijvoorbeeld de AVG, wordt teruggestuurd naar de normwerkgroep.
Bij het ontwikkelen van normen betrekt NEN bovendien alle belanghebbenden, dus ook
partijen die het privacybelang vertegenwoordigen. Daarbovenop zal ik zal bij de opdrachtverlening
voor de ontwikkeling van een NEN-norm voor een aan te wijzen gegevensuitwisseling
onder andere in het richtinggevende kader meegeven dat de norm dient te verzekeren
dat een cliënt zijn rechten onder de AVG kan effectueren – zoals het recht op inzage,
rectificatie of gegevenswissing – en het mogelijk maken dat onjuist ingevoerde gegevens
(met terugwerkende kracht) gewijzigd kunnen worden en dat de norm dient te verzekeren
dat een informatietechnologieproduct- of dienst voldoet aan de eisen die de AVG stelt
en het mogelijk maakt dat een zorgaanbieder of zorgverlener aan zijn verplichtingen
uit de AVG kan voldoen.

Een NEN-norm die niet voldoet aan de internationale en nationale wetgeving inzake
de bescherming van gegevens zal bovendien niet bij AMvB kunnen worden aangewezen.

De leden van de GroenLinks-fractie vragen of de regering de mening deelt dat hier
een onafhankelijke privacy waakhond bij hoort, die geen belangen heeft in de zorg
of NEN?

Elke concept-AMvB waarin een gegevensuitwisseling wordt aangewezen wordt voor een
uitvoeringstoets voorgelegd aan de AP die hierover vervolgens adviseert.

Verder vragen de leden van de GroenLinks-fractie het volgende: hoe borgt en faciliteert
de regering de inbreng van het patiëntenperspectief in normontwikkeling die voortkomt
uit dit wetsvoorstel?

NEN nodigt alle belanghebbenden bij de ontwikkeling van een norm, dus zeker ook (vertegenwoordigers
van) patiënten en cliënten, uit om deel te nemen aan de werkgroep die de norm ontwikkelt.
Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht en de ontwerpAMvB
in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken. Ook cliënten
die nog niet eerder betrokken waren in het proces kunnen dan alsnog hun inbreng leveren.

De leden van de GroenLinks-fractie vragen of de regering bereid is om de toenemende
inzet van patiënten- en cliëntenorganisaties bij de normontwikkeling financieel te
faciliteren?

Het normtraject is een onafhankelijk proces gestuurd door het NEN. In de standaardwerkwijze
zit opgenomen dat er een representatieve groep belanghebbenden wordt meegenomen in
het proces om tot een norm te komen. Mogelijk leidt dit tot een toename van normalisatiewerkzaamheden
voor deze organisaties. Hierbij zullen vooral de eerste NEN-normen extra inspanning
vragen. Niet elke gegevensuitwisseling zal echter (op korte termijn) in aanmerking
komen voor een normalisatietraject Daarbij komt dat op een gegeven moment generieke
eisen kunnen worden hergebruikt, wat de lasten voor deelname aan de normalisatiewerkzaamheden
verlicht.

Voorafgaand aan het besluit om voor een aan te wijzen gegevensuitwisseling een norm
te ontwikkelen laat ik sowieso een MKBA uitvoeren. In deze analyse worden ook de inzet
voor en kosten van normontwikkeling en certificering meegenomen. Daardoor kan er gericht
gekeken worden in hoeverre bepaalde organisaties overvraagd worden en in gesprek moet
worden gegaan over een passende oplossing.

3.6 Initiatiefmogelijkheden door de Minister

De leden van de SGP-fractie lezen dat de regierol van de Minister niet beperkt is
tot de wettelijk vastgelegde taken en bevoegdheden. De Minister kan ook initiatief
nemen door bijvoorbeeld te sturen op een prominente plek van gestandaardiseerde elektronische
gegevensuitwisseling in convenanten zoals Hoofdlijnenakkoorden en versnellingsprogramma’s.
Kan de regering ingaan op hoe zij de rol van de Minister precies ziet?

De leden van de SGP-fractie vragen hoe ambitieus de regering is om gegevensuitwisseling
een plek te geven in Hoofdlijnenakkoorden en eventueel wetgeving en wat gaat zij daarvoor
doen?

Dit is aan het nieuwe kabinet. Op dit moment zijn in de Hoofdlijnenakkoorden Medisch
Specialistische Zorg, Huisartsenzorg, Paramedische zorg en GGZ afspraken gemaakt over
gegevensuitwisseling.

3.7 Certificatie van informatietechnologieproducten en -diensten

De leden van de VVD-fractie begrijpen dat er verschillende manieren zijn om te borgen
dat informatietechnologische producten en – diensten en zorgaanbieders voldoen aan
de normen. Er zijn lichte middelen, zoals zelfbeoordeling door aanbieders, tot zwaardere
middelen, zoals certificering door een geaccrediteerde certificerende instelling.
Wat zijn de voor- en nadelen van de verschillende manieren?

Het is juist dat er op verschillende manieren kan worden omgegaan met naleving van
private normen. Private normen zijn immers afspraken tussen marktpartijen, ze kunnen
dus zelf afspreken hoe ze hier mee om willen gaan. Zo kan afgesproken worden dat:

– iedere partij vrij is om zelf te bepalen of de norm wordt toegepast. Als er bij de
totstandkoming van een norm breed draagvlak is, dan is de doelgroep veelal bereid
om de norm te implementeren;

– uitgegaan wordt van een (schriftelijke) zelfbeoordeling. Bij een dergelijke aanpak
ontstaan er vaak grote verschillen in de kwaliteit van de beoordeling; of

– uitgegaan wordt van aantoonbare beoordeling door een onafhankelijke partij, zoals
dit momenteel het geval is bij de beoordeling van informatiebeveiligingsnorm NEN 7510.

In dit wetsvoorstel is er evenwel voor gekozen om naleving van private normen verplicht
te stellen. Om volledige interoperabiliteit te bereiken moeten alle partijen uitgaan
van dezelfde eisen inzake taal en techniek. Met vrijblijvendheid wordt volledige interoperabiliteit
niet bereikt.

Het wetsvoorstel gaat verder uit van certificering van informatietechnologieproducten-
en diensten door een geaccrediteerde onafhankelijke certificerende instelling. Dit
volgt echter niet uit de norm, maar uit het wetsvoorstel zelf. Hiervoor is gekozen
met het oog op de uitvoerbaarheid. Dit zorgt namelijk voor een kwalitatief goede en
transparante toetsing, zodat gebruikers en aanbieders van en toezichthouders op informatietechnologieproducten
of -diensten zekerheid wordt geboden over de mate waarin aan (delen van) de norm wordt
voldaan. Het wetsvoorstel bepaalt daarbij dat zorgaanbieders alleen gebruik mogen
maken van gecertificeerde producten of diensten.

Ook zorgaanbieders moeten aan de norm voldoen (tenzij het eisen betreffen die zien
op informatietechnologieproducten of -diensten), maar hiervoor zet ik geen certificering
in. In spoor 2 houdt de IGJ toezicht op de verplichtingen die rusten op de zorgaanbieders
en aanbieders van informatietechnologieproducten of -diensten. Dit betekent dat erop
wordt toegezien dat zorgverleners de norm naleven, zorgverleners enkel gebruik maken
van gecertificeerde informatietechnologieproducten of -diensten en aanbieders van
informatietechnologieproducten of -diensten deze producten en diensten alleen aanbieden
met een certificaat. Het toezicht van de IGJ zal ook in spoor 2 in praktijk vooral
bestaan uit het opvragen van stukken en het vorderen van informatie (bevragen) van
zorgaanbieders waaruit blijkt dat is geborgd dat zorgverleners conform de norm handelen.
Het toezicht van de IGJ heeft daarmee nadrukkelijk geen betrekking op eisen aan informatietechnologieproducten
en – diensten waarvoor een certificaat is afgegeven.

Om de regering de mogelijkheid te geven stelseltoezicht te houden, wordt voorgesteld
dat naast het vereiste van accreditatie, certificerende instellingen aangewezen moeten
worden door de regering. De leden van de CDA-fractie vragen welke voorwaarden aan
een dergelijke aanwijzing zullen worden gesteld.

De voorwaarden die ik voornemens ben te gaan stellen richten zich op een aantal voorwaarden,
zoals dat de certificerende instelling:

– rechtspersoonlijkheid heeft;

– een onafhankelijke positie heeft ten aanzien van de door haar beoordeelde informatietechnologieproducten
of -diensten;

– beschikt over voldoende kennis, deskundigheid en toerusting om de uitvoering van de
taken naar behoren te vervullen;

– beschikt over een behoorlijke administratie waarin de gegevens die samenhangen met
en betrekking hebben op de uitvoering van haar taken, op een systematische wijze zijn
vastgelegd;

– verzekerd is tegen wettelijke aansprakelijkheid voor risico’s die voortvloeien uit
de uitoefening van haar taken;

– beschikt over een adequate klachtenregeling;

– in staat is te beslissen op bezwaar;

– in staat is te voldoen aan informatieverplichtingen; en

– in staat is te beoordelen of een aanvraag voor een certificaat voldoet aan de eisen
die worden gesteld in de aangewezen norm.

De leden van de CDA-fractie vragen de regering of de mogelijkheid bestaat om voor
het hernieuwen van de certificering een verkort traject te doorlopen.

Ja, deze mogelijkheid bestaat. Certificering gebeurt op basis van certificatieschema’s
die samen met zorgpartijen, leveranciers en certificerende instellingen worden opgesteld.
In een dergelijk schema kan ook worden vastgelegd dat bij hernieuwen van de certificatie
een verkort traject wordt doorlopen.

De leden van de CDA-fractie vragen de regering welke kosten er in zijn algemeenheid
gepaard gaan met een verplicht certificeringsproces en de hiertoe ingerichte normenraad,
normcommissie en werkgroepen.

Deze kosten verschillen per norm en de reikwijdte van de gegevensuitwisseling die
de norm beslaat. Voorafgaand aan het besluit om voor een specifieke gegevensuitwisseling
een norm te ontwikkelen zal daarom een MKBA worden uitgevoerd. In deze analyse worden
ook de kosten van normontwikkeling en certificering meegenomen.

De kosten van NEN voor normontwikkeling en -revisies komen voor rekening van het Ministerie
van VWS. Kosten voor certificering worden gedragen door de ICT-leveranciers die de
certificering aanvragen.

De leden van de CDA-fractie vragen de regering hoe wordt omgegaan met de situatie
dat een eerder gecertificeerd product opeens niet meer aan de eisen voldoet (al dan
niet na aanpassing van de normen). De gevolgen hiervan kunnen immers zeer groot zijn.

Het wetsvoorstel beoogt de zorgaanbieder te steunen in het werken met interoperabele
systemen. Daarbij is het natuurlijk niet de bedoeling om een zorgaanbieder te benadelen,
wanneer de leverancier niet voldoet aan de eisen om gecertificeerd te worden. Binnen
elk certificeringstraject wordt een redelijk termijn gesteld en gecommuniceerd wanneer
de implementatie van de nieuwe eisen gereed moet zijn. Wanneer blijkt (uit onder meer
de informatie die de IGJ verstrekt) dat het gestelde termijn onredelijk kort is, kan
ik de termijn voor het voortgezette gebruik van het informatietechnologieproduct of
de -dienst verlengen.

De leden van de SP-fractie vragen de regering welke eisen er door certificerende instellingen
worden gesteld aan informatietechnologieproducten of -diensten voordat er een certificaat
aan verstrekt wordt.

Dat is op voorhand niet te zeggen. Per aangewezen gegevensuitwisseling zal in het
geval van een spoor 2-aanwijzing een norm worden aangewezen. De eisen zullen per norm
verschillen. Certificerende instellingen toetsen aan de hand van een schema dat bij
de norm hoort of informatietechnologieproducten of -diensten voldoen aan de norm.
In het schema wordt ook afgesproken hoe er getoetst dient te worden.

De leden van de SP-fractie vragen hoeveel informatietechnologieproducten of -diensten
bestaan er op dit moment die in aanmerking zouden kunnen komen voor certificering?

Dit verschilt per gegevensuitwisseling. Voor de gegevensuitwisseling Digitaal voorschrijven
en ter handstellen (voorheen: Digitaal receptenverkeer) is er sprake van meerdere
informatietechnologieproducten of -diensten van evenveel ICT-leveranciers die in aanmerking
zouden kunnen komen voor certificering. Denk hierbij aan de verschillende dossiersystemen
en uitwisselinfrastructuren.

De leden van de SP-fractie willen daarnaast weten hoe lang het naar verwachting duurt
om de certificering van een informatietechnologieproduct of -dienst te regelen?

Een leverancier van een informatietechnologieproduct of -dienst vraagt een certificerende
instelling om te toetsen of een product of dienst voldoet aan een norm. De doorlooptijd
tussen aanvraag en het verstrekken van het certificaat wordt sterk beïnvloed door
het aantal beschikbare certificerende instellingen. De bereidheid onder certificerende
instellingen om deel te nemen heb ik daarom begin van dit jaar laten toetsen. Hieruit
is gebleken dat de bereidheid groot is. Op basis hiervan verwacht ik dat na aanvraag
een certificaat binnen maximaal zes maanden zal zijn verstrekt. Een leverancier hoeft
echter niet te wachten met het aanvragen van een certificaat totdat zijn informatietechnologieproduct
of -dienst volledig is gerealiseerd of aangepast. Hierdoor kan de toetsing door de
certificerende instelling veelal kort na de realisering of het gereed komen van de
aanpassingen plaatsvinden.

De leden van de SP-fractie vragen of er meerdere informatietechnologieproducten of
-diensten kunnen worden voorzien van een certificaat voor de gegevensuitwisseling
op hetzelfde terrein?

Ja, dit kan. Het is juist de bedoeling dat er meerdere gecertificeerde informatietechnologieproducten
en -diensten beschikbaar komen. Niet de technologie is bepalend, maar of een informatietechnologieproduct
of -dienst voldoet aan de norm. Zo hebben zorgaanbieders keuze uit meerdere producten
en diensten.

De leden van de GroenLinks-fractie hebben een aantal vragen over de certificatie.
Hoe gaan zorgaanbieders om met systemen die zij nu hebben als die niet worden gecertificeerd?
Kunnen ze daar zomaar vanaf? Moeten er dan contracten afgekocht worden?

Het is gebruikelijk om in contracten met leveranciers op te nemen dat de afgenomen
producten of diensten ook in de toekomst blijven voldoen aan wettelijke verplichtingen,
zoals dit ook is opgenomen in de Algemene Inkoopvoorwaarden Gezondheidszorg. Niet
voldoen aan een wettelijke verplichting -in dit geval ontbreken van een certificaat-
is dan een grond voor ontbinding van het contract zonder dat er sprake is van een
afkoopsom. Daarnaast zit er geruime tijd tussen het moment dat gestart wordt met een
traject om een gegevensuitwisseling aan te wijzen bij AMvB en het moment van publicatie
van een AMvB in het Staatsblad. Na publicatie duurt het ook nog geruime tijd voordat
de AMvB in werking treedt. Zorgaanbieders en hun leveranciers hebben daarmee de tijd
om zich voor te bereiden op de wettelijke verplichting. Een zorgaanbieder kan bij
een nieuw af te sluiten contract dan ook een clausule opnemen over de te behalen certificaten
door de leverancier.

De leden van de fractie van GroenLinks vragen of aanbieders gecompenseerd worden voor
de extra kosten die ze moeten maken voor de nieuwe systemen en zo ja, door wie?

De kosten voor het voldoen aan de normen vallen onder de bedrijfsvoeringskosten van
zorgaanbieders. Daar gelden de reguliere bekostigingsafspraken voor. De kosten zullen
door de aanbieders ingepast worden in hun reguliere investerings- en vervangingscyclus.
Ik houd in de aanpak rekening met implementatietermijnen. Onder andere door een zogenaamde
volwassenheidsscan uit te voeren, bekijk ik per verplichting wat een reële implementatietermijn
is. Daardoor krijgen zorgaanbieders de tijd om eventuele extra kosten in de bestedingscyclus
van hun reguliere bedrijfsvoeringskosten in te plannen.

Met de uitwerking van de AMvB’s onder het wetsvoorstel kan blijken dat met implementatie
de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Per
gegevensuitwisseling zal goed gekeken worden of het nodig is hiervoor te compenseren.
Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s),
gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per
gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen,
indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk
blijkt. Hierbij houd ik per gegevensuitwisseling rekening met de grote diversiteit
binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

Over de certificerende partijen hebben de leden van de fractie van GroenLinks ook
nog een aantal vragen. Welke instellingen zijn er momenteel die een certificerende
rol op zich kunnen nemen? Is er al een voorkeur?

Er zijn meer dan tien certificerende instellingen die in principe voor accreditatie
in aanmerking komen. De bereidheid onder deze instellingen om deel te nemen heb ik
begin van dit jaar laten toetsen. Hieruit is gebleken dat de bereidheid groot is.
De Raad voor Accreditatie accrediteert de instellingen en ik wijs deze vervolgens
aan. Ik streef ernaar om meerdere certificerende instellingen aan te wijzen. Dit komt
de kwaliteit van certificeren ten goede en zal de kosten voor het certificaat vanwege
marktwerking naar beneden drukken.

De leden van de fractie van GroenLinks ook vragen of dat dat per se een private partij
moet zijn of kan dat ook door een van de Nederlandse toezichthouders gebeuren? Dan
is namelijk ook duidelijk wie er verantwoordelijk is en is er ook geen risico dat
een marktpartij zich terugtrekt of failliet gaat.

Ik heb gekozen voor private certificerende instellingen om verschillende redenen.
Zij zijn in dit werk gespecialiseerd. Binnen de overheid is deze kennis nauwelijks
aanwezig. Ook sluit de inzet van private partijen goed aan bij de normalisatie door
NEN, waarin de inzet van private partijen gebruikelijk is. NEN ondersteunt en coördineert
hun activiteiten.

De leden van de fractie van GroenLinks willen weten hoe deze voordelen opwegen tegen
de nadelen van een marktpartij als certificerende instelling?

Ik streef ernaar om niet één maar meerdere certificerende instellingen aan te wijzen.
Dit komt de kwaliteit van certificeren ten goede en zal de kosten voor het certificaat
vanwege marktwerking naar beneden drukken. Wanneer een certificerende instelling haar
werk niet naar behoren uitvoert, zal de Raad voor Accreditatie corrigerende maatregelen
nemen. Mocht dit onvoldoende soelaas bieden, dan kan ik de aanwijzing van een certificerende
instelling intrekken.

De nadelen kunnen zien op dat wanneer er weinig certificerende instellingen zijn,
de kosten hoger kunnen uitvallen door het gebrek aan concurrentie tussen instellingen.
Ook kan de situatie voorkomen dat er geen certificerende instellingen meer zijn, bijvoorbeeld
door intrekken accreditatie of faillissement. In dat laatste geval kan ik in het uiterste
geval zelf de certificaten (laten) verstrekken. Er is recentelijk een marktverkenning
uitgevoerd naar de bereidheid van certificerende instellingen en die was zeer positief,
er bleken veel instellingen bereid om zich te laten accrediteren.

In de toelichting lezen deze leden dat certificerende instellingen marktpartijen zijn,
die niet uit de Rijksbegroting betaald hoeven te worden. Dat doen de zorgaanbieders
zelf bij het aanvragen van een certificaat. Deze aanbieders worden echter ook uit
publieke middelen betaald, dus wat is dan het daadwerkelijk het verschil?

ICT-leveranciers vragen voor hun informatietechnologie producten of -diensten een
certificaat aan bij een certificerende instelling en betalen voor de dienstverlening
van de certificerende instelling. Indien de leveranciers deze kosten doorberekenen
aan zorgaanbieders, beschouw ik deze kosten voor certificering als kosten voor bedrijfsvoering
die uit de daarvoor bestemde middelen moeten worden voldaan

En wat als er geen concurrentie plaatsvindt tussen certificerende instellingen en
er de facto maar één marktpartij is die dit kan doen? Hoe wordt dan voorkomen dat
de prijs hiervoor niet te hoog wordt?

De bereidheid onder certificerende instellingen om deel te nemen heb ik begin van
dit jaar laten toetsen. Hieruit is gebleken dat de bereidheid groot is. Er zijn meerdere
certificerende instellingen die in principe voor accreditatie in aanmerking komen.
De kans op het ontbreken van concurrentie is hierdoor klein.

De leden van de SGP-fractie hebben de nodige vragen over het normerings- en certificatietraject
dat dit wetsvoorstel wil creëren. Zij vragen of er op dit moment al vrijwillig gebruik
wordt gemaakt van certificatie of normering van informatietechnologie in de zorg.

Ja, dat gebeurt. Steeds meer zorginstellingen laten zich vrijwillig certificeren,
onder andere voor de informatiebeveiligingsnorm NEN 7510. Daarnaast laten ook leveranciers
van informatietechnologieproducten- en diensten deze producten en diensten vrijwillig
certificeren, omdat zij hiermee concurrentievoordeel verwachten te behalen.

De leden van de SGP-fractie hoe wordt voorkomen dat er een stapeling van certificering
plaatsvindt, wat de administratieve lastendruk alleen maar vergroot?

Ik herken uw zorg. Ik heb daarom NEN gevraagd om samen met (vertegenwoordigers van)
certificerende instellingen en leveranciers van informatietechnologieproducten en
-diensten te komen tot een samenhangend certificatiestelsel. Dit stelsel moet ervoor
zorgen dat de lasten voor certificering behapbaar blijven en de voordelen van certificeren
niet tenietdoen.

De leden van de SGP-fractie vragen hoe wordt voorkomen dat er een NEN-norm wordt gemaakt
die er op papier mooi uitziet, maar vervolgens nog jarenlang duurt om in de praktijk
uitgevoerd te krijgen.

De leden van de SGP-fractie lezen dat het bij certificering gaat om een vrijwillig
en privaat stelsel. De regering is voor het realiseren van dit stelsel afhankelijk
van de bereidheid van certificerende instellingen om hieraan deel te nemen. Kan de
regering aangeven hoe groot het risico is dat deze bereidheid laag of afwezig is?
In hoeverre spelen ook de kosten van deelname hierbij een rol?

De bereidheid onder certificerende instellingen om deel te nemen heb ik begin van
dit jaar laten toetsen. Hieruit is gebleken dat de bereidheid groot is. Uiteraard
spelen de kosten van de deelname door certificerende instellingen een rol bij het
besluit om accreditatie aan te vragen. Met de Raad voor Accreditatie ben ik in overleg
om de kosten voor certificerende instellingen in kaart te brengen.

De leden van de SGP-fractie lezen dat er bij een gegevensuitwisseling wordt gekozen
om tot volledige interoperabiliteit te komen, er een opdracht tot de ontwikkeling
van een NEN-norm wordt gegeven. Aan deze NEN-norm moet een kwaliteitsstandaard ten
grondslag liggen (dan wel nog worden ontwikkeld). Na ontwikkeling van de norm moet
er nog een certificatieschema worden ontwikkeld en moeten concrete producten en diensten
worden gecertificeerd. Dit proces dient elke vijf jaar opnieuw te worden doorlopen.

De leden van de SGP-fractie begrijpen uit de brief van de zorgpartijen, die op 27 mei
jl. naar de vaste Kamercommissie VWS is gestuurd, dat dat het komen tot een NEN-norm
voor alle partijen veel inspanning, doorlooptijd en geld kost en dat het vaak ook
nog tijd kost voordat een reeds vastgestelde norm daadwerkelijk kan worden toegepast
in de praktijk. De leden van de SGP-fractie vragen de regering te reflecteren op deze
normeringstrajecten. Zouden deze onbedoeld een vertragende werking hebben op lopende
initiatieven en zorgen voor (nog) minder focus op de versnelling van de benodigde
digitale communicatie in de zorg?

Voor zover ik kan beoordelen is er geen sprake van onbedoelde vertragende werking
door normeringstrajecten. Door samen met het zorgveld vast te stellen welke gegevensuitwisselingen
in aanmerking komen voor verplichte (gestandaardiseerde) elektronische uitwisseling,
breng ik juist focus aan. Het maken van afspraken en het vastleggen van deze afspraken
in NEN-normen zorgt er verder voor dat elektronische communicatie tussen informatietechnologieproducten
en -diensten mogelijk wordt en gegevens in de zorg kunnen gaan stromen tussen zorgaanbieders.
Bij de ontwikkeling van normen brengt NEN alle belanghebbenden aan tafel, zodat gedragen
normen ontstaan. Dit is de basis voor het tot stand brengen van de tot nu toe nog
ontbrekende interoperabiliteit.

Ook vragen de leden van de SGP-fractie in hoeverre er ruimte bestaat bij de vijfjaarlijkse
beoordeling een bewuste keuze te maken om de norm niet te herzien. Bestaat de mogelijkheid
om voor het hernieuwen van de NEN-norm een verkort traject te doorlopen?

Volgens de spelregels van NEN worden normen minimaal eens in de 5 jaar gereviseerd.
NEN bespreekt daartoe met het veld wat de ervaringen met de norm zijn en welke wijzigingen
zijn gewenst. Of dit resulteert in een daadwerkelijke revisie van de norm is afhankelijk
van de wijzigingsvoorstellen uit het veld. Dit geldt ook voor de mogelijkheid tot
het doorlopen van een verkort traject.

3.8 Kaderwet zelfstandige bestuursorganen

De leden van de VVD-fractie willen graag van de regering weten of het vaker gebeurt
dat een instelling deels een zelfstandig bestuursorgaan is en deels een privaatrechtelijk
orgaan. Zijn daar voorbeelden van te geven?

Van sommige publieke taken vind ik dat ze beter door de particuliere sector kunnen
worden uitgevoerd. Bij of krachtens de wet wordt dan aan organen uit de particuliere
sector een publieke taak opgedragen waarbij het orgaan «openbaar gezag» krijgt om
die taak te kunnen uitvoeren. Een bekend voorbeeld zijn garages die een Apk-keuring
verrichten.

De verwachting is dat aanbieders van informatietechnologieproducten en – diensten
de kosten (deels) zullen doorberekenen aan zorgaanbieders. De leden van de VVD-fractie
vragen of hiervan een schatting of raming worden gegeven?

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen
leidt tot implementatiekosten en nalevingskosten. Met de uitwerking van AMvB’s onder
het wetsvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen
de zorgaanbieders onderling kan verschuiven. Per gegevensuitwisseling zal goed gekeken
worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al
verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een
aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel
zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken
(o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij houd ik per gegevensuitwisseling
rekening met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen
tot solistisch werkende zorgverleners.

De leden van de SGP-fractie lezen dat ervaring in vergelijkbare Europese trajecten
is dat er te weinig auditoren zijn om de certificeringstrajecten van alle aanbieders
van producten en diensten te begeleiden. Zij maken zich hierover zorgen. Voldoende
capaciteit is een randvoorwaarde om tijdig certificaten te kunnen verstrekken, zodat
concurrentie tussen certificerende instellingen wordt bevorderd. Kan de regering nader
op dit risico voor de uitvoering van het wetsvoorstel ingaan? Hoe wordt dit ondervangen?

De bereidheid onder certificerende instellingen om deel te nemen heb ik begin van
dit jaar laten toetsen. Hieruit is gebleken dat de bereidheid groot is. Sommige instellingen
maken zich wel zorg over de beschikbare deskundigheid om alle verwachte certificeringen
uit te voeren. De beschikbare deskundigheid hangt vooral af van de eisen die aan deze
deskundigheid worden gesteld. Ik ben met certificerende instellingen en de Raad voor
Accreditatie in gesprek om ervoor te zorg dat de deskundigheidseisen passen bij het
soort certificering, zonder dat daarbij wordt overvraagd.

4. VERHOUDING TOT HOGER RECHT

De leden van de VVD-fractie willen graag weten wat de relatie van het voorliggende
wetsvoorstel is tot de in februari 2019 door de Europese Commissie gedane aanbeveling
voor een Europees uitwisselingsformaat voor elektronische patiëntendossiers (Aanbeveling
2019/243). Eenheid van taal en daarbij horende informatiestandaarden zijn belangrijke
aspecten van deze aanbeveling. In hoeverre rijmen de twee met elkaar?

De Aanbeveling voor een Europees Uitwisselingsformaat voor elektronische patiëntendossiers
(Aanbeveling 2019/243) heeft geen wetgevende kracht. Het stelt de Europese lidstaten
in staat om met financiële steun van de Europese Commissie samen te werken aan afspraken
over eenheid van taal en techniek voor geharmoniseerde grensoverschrijdende Europese
uitwisseling van gezondheidsgegevens. Die samenwerking richt zich op de in de Aanbeveling
2019/243 genoemde uitwisselingen, patiëntsamenvattingen, elektronisch receptenverkeer,
medische beelden, laboratoriumuitslagen en -rapporten en ontslagbrieven van ziekenhuis
naar huisarts.

Ik participeer actief in dat samenwerkingsproject, om ook op die manier te borgen
dat de Nederlandse genormaliseerde uitwisselingen onderdeel worden van de Europese
afspraken. Op die wijze versterken de Europese afspraken de Eenheid van taal in Nederland.

Verder wordt in de loop van 2021 een Europees wetgevend voorstel gedaan voor de Europese
ruimte voor gezondheidsdata. De leden van de VVD-fractie willen graag weten wat de
stand van zaken is van dit voorstel? Wat staat er naar verwachting in het voorstel?
In hoeverre is er in de voorliggende wet al rekening gehouden met dit voorstel? In
hoeverre raakt het Europese voorstel aan het voorliggende wetsvoorstel?

4.1 Verhouding met regels over cyberveiligheid

Binnen het kader van de Cyberbeveiligingsverordening wordt een mechanisme ontwikkeld
voor het Europese cybersecuritycertificatieschema. Een dergelijk schema ziet in het
bijzonder op beveiligingsvoorschriften en bevat daartoe een aantal minimumvereisten.
De leden van de CDA-fractie vragen wanneer dit certificatieschema klaar zal zijn.

Versie 1.1.1 is op 25 mei 2021 gepubliceerd op de website van het Europees Agentschap
voor netwerk- en informatiebeveiliging (ENISA).

De leden van de CDA-fractie willen daarnaast weten of de regering al inzicht heeft
in welke normen uit dit schema meegenomen zullen moeten worden in de op te stellen
AMvB?

Nee. De NEN-normen zullen door NEN samen met het zorgveld opgesteld worden. Hierbij
worden alle bestaande Europese normen, zoals normen uit het Europese cybersecurity
certificatieschema, betrokken. De NEN-norm mag daar niet mee in conflict zijn.

De leden van de SP-fractie vragen de regering welke eisen zullen worden vastgelegd
in de normen voor patiëntgegevensuitwisseling op het gebied van privacy (waaronder
de AVG), cyberveiligheid en informatieveiligheid.

Welke eisen in de NEN-norm worden vastgelegd worden tijdens het normalisatietraject
besloten. Ten behoeve van de ontwikkeling NEN-norm nodigt NEN alle belanghebbenden
uit. Ik vind het van groot belang dat er aandacht is voor het zorgvuldig omgaan met
(bijzondere) persoonsgegevens. Ik zal daarom bij de opdrachtverlening voor de ontwikkeling
van een NEN-norm voor een aan te wijzen gegevensuitwisseling onder andere in het richtinggevende
kader meegeven dat de norm dient te verzekeren dat een cliënt zijn rechten onder de
AVG kan effectueren – zoals het recht op inzage, rectificatie of gegevenswissing -en
het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd
kunnen worden en dat de norm dient te verzekeren dat een informatietechnologieproduct-
of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder
of zorgverlener aan zijn verplichtingen uit de AVG kan voldoen.

De leden van de SP-fractie vragen daarnaast hoe gegarandeerd kan worden dat de patiëntgegevens
veilig elektronisch gedeeld kunnen worden, zonder dat er een risico is op datalekken?

Zorgaanbieders zijn primair zelf verantwoordelijk voor eigen informatiebeveiliging.
Volgens het Begz moeten zorgaanbieders nu al voldoen aan de NEN 7510 en aanverwante
normen. Deze normen zullen ook wanneer een gegevensuitwisseling onder het wetsvoorstel
in spoor 2 wordt aangewezen, verplicht blijven en eventueel worden aangevuld. Datalekken
kunnen evenwel nooit helemaal worden voorkomen. Ik zet me in op het verkleinen van
de risico’s en impact ervan door te zorgen voor meer bewustwording, voor meer kennis
en voor snelle hulp als er toch iets gebeurt. Zo heb ik samen met ICTU en vereniging
Brancheorganisaties Zorg het Actieplan informatieveilig gedrag opgezet en werk ik
samen met Z-CERT aan een risico gestuurde aanpak. Met de aanbieding van de nota naar
aanleiding van het verslag ontvangt u een brief over de voortgang op elektronische
gegevensuitwisseling in de zorg waarin onder andere ook de voortgang op deze projecten
gemeld wordt.

De leden van de SP-fractie willen ook weten hoe vaak er momenteel datalekken voorkomen
in de zorg?

In 2020 ontving de AP 23.976 datalekmeldingen. Dertig procent van deze meldingen kwamen
uit de sector gezondheid en welzijn (7.193).

De leden van de SP-fractie vragen de regering hoeveel zorginstellingen momenteel niet
voldoen aan de basisnormen voor informatiebeveiliging.

De basisnormen voor informatiebeveiliging zijn NEN 7510, NEN 7512 en NEN 7513. Zorgaanbieders
zijn primair zelf verantwoordelijk voor eigen informatiebeveiliging. Het is mij niet
bekend hoeveel zorginstellingen momenteel niet voldoen aan deze basisnormen. Hierover
zijn geen recente onderzoeksgegevens bekend op landelijke schaal. Vanwege het grote
aantal zorgaanbieders in Nederland en de grote variatie in soort en omvang van zorgaanbieders
is dit niet eenvoudig objectief vast te stellen. Ook is het niet haalbaar om alle
zorginstellingen hierop te toetsen.

Er zijn twee toezichthouders betrokken bij het toezicht op informatiebeveiliging in
de zorg. De AP houdt hierop toezicht vanuit het perspectief van privacy en gegevensbescherming,
de IGJ vanuit het perspectief van continuïteit van zorg. Het toezicht vanuit de IGJ
vindt steekproefsgewijs plaats in het kader van het toezicht op e-health bij zorgaanbieders.
Het is niet mogelijk de resultaten hiervan te extrapoleren naar het gehele zorgveld.
Indien bij inspectiebezoeken blijkt dat de zorgaanbieder niet voldoet aan de NEN 7510,
vraagt de IGJ om een verbeterplan en monitort de uitvoering hiervan.

De leden van de SP-fractie vragen of de regering bereid is om maatregelen te treffen
in deze wet om ervoor te zorgen dat alle zorginstellingen hieraan gaan voldoen?

In het kader van de NEN-normen zal per gegevensuitwisseling worden bezien of dit nuttig
en noodzakelijk is. Hierbij neem ik ook de administratieve lasten mee in overweging.

Verder zet ik me in op het verkleinen van de risico’s en impact ervan door te zorgen
voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets gebeurt.
Zo heb ik samen met ICTU en vereniging Brancheorganisaties Zorg het Actieplan informatieveilig
gedrag opgezet en werk ik samen met Z-CERT aan een risico gestuurde aanpak.

4.2 Verhouding tot vrij verkeer van diensten

De leden van de D66 fractie lezen dat in de loop van 2021 een Europees wetgevend voorstel
volgt voor de Europese ruimte voor gezondheidsdata. Kan de regering aangeven of er
bij het opstellen van dit wetsvoorstel in overweging is genomen wat de mogelijke consequenties
zijn van deze Europese wetgeving voor het voorliggende wetsvoorstel?

In voorbereiding op het wetgevend voorstel voor de Europese ruime voor gezondheidsgegevens
is in februari 2021 een Joint Action gestart Towards a European Health Data Space
(TEHDAS JA), waar mijn ministerie ook actief in participeert. In deze Joint Action
worden onder anderen richtlijnen opgesteld voor genormaliseerde gezondheidsgegevens,
met nadruk op eenheid van taal, zoals SNOMED CT en de FAIR-data principes (Findable
(vindbaar), Accessible (toegankelijk), Interoperable (uitwisselbaar) en Reusable (herbuikbaar)).
Ik ben vanaf het begin actief betrokken bij het opstellen van deze richtlijnen, en
borg zo dat de toekomstige Europese wetgeving zo goed mogelijk aansluit bij de Nederlandse
situatie en andersom.

De leden van de D66 fractie wil weten waarom de keuze is gemaakt om nu al met het
voorliggend wetsvoorstel te komen, terwijl er nog een Europees wetsvoorstel komt dat
mogelijk raakt aan het voorliggende wetsvoorstel?

De leden van de D66 fractie vragen of grensoverschrijdende zorgaanbieders, bijvoorbeeld
in Duitsland, meegenomen zijn in dit wetsvoorstel. Is het mogelijk voor deze aanbieders
om straks ook gegevens uit te wisselen met Nederlandse zorgaanbieders? Zo ja, hoe
is dit wettelijk geregeld? Zo nee, waarom niet?

Nee, deze zijn niet meegenomen in het wetsvoorstel. Het is niet mogelijk om verplichtingen
op te leggen aan buitenlandse aanbieders vanuit Nederlandse wetgeving. Echter, bij
het bepalen van de norm wordt ook rekening gehouden met wat de internationaal gangbare
en gebruikte manier is om gestandaardiseerd elektronisch gezondheidsgegevens uit te
wisselen. Waar mogelijk wordt daar gebruik van gemaakt.

In BeNeLux-verband en met Duitsland zijn afspraken gemaakt om op basis van de internationale
afspraken over eenheid van taal en techniek gezondheidsgegevens uit te wisselen. Zo
worden er tussen Maastricht en Aachen geen DVD’s met medische beelden met patiënten
meegestuurd, maar verloopt de communicatie tussen beide ziekenhuizen digitaal en gestandaardiseerd.

Tevens worden in het kader van de in februari 2019 door de Europese Commissie gedane
aanbeveling voor een Europees uitwisselingsformaat voor elektronische patiëntendossiers
(Aanbeveling 2019/243) afspraken gemaakt over het afstemmen van het gebruik van deze
standaarden, met het doel de grensoverschrijdende uitwisseling te versnellen en te
verbeteren.

In de loop van 2021 volgt een Europees wetgevend voorstel voor de Europese ruimte
voor gezondheidsdata. De leden van de CDA-fractie vragen of de regering kan aangeven
of er bij het opstellen van dit wetsvoorstel in overweging is genomen wat de mogelijke
consequenties zijn van deze Europese wetgeving voor het voorliggende wetsvoorstel.
Kan de regering aangeven waarom de keuze is gemaakt om nu al met het voorliggend wetsvoorstel
te komen, terwijl er nog een Europees wetsvoorstel komt dat mogelijk raakt aan het
voorliggende wetsvoorstel?

5. VERHOUDING TOT NATIONALE REGELGEVING

De leden van de GroenLinks-fractie lezen dat het onderliggende wetsvoorstel niks veranderd
aan de grondslag om gegevens uit te wisselen, de AVG en WGBO blijven van kracht. Het
lijkt daardoor alsof er geen extra waarborgen ingebouwd hoeven te worden om misbruik
te voorkomen. Tegelijkertijd, ook al blijven de bijzondere persoonsgegevens binnen
de WGBO en de AVG beschermd, dat betekent niet dat er in de praktijk geen misbruik
gemaakt zal worden. Sterker nog, ook al zijn deze wettelijke waarborgen ingebouwd,
doordat er meer mogelijkheden zijn om gegevens in te zien van anderen, ligt het in
de lijn der verwachtingen dat er ook vaker onrechtmatig gegevens worden in gezien.
Is de regering bereid om extra waarborgen in te bouwen om zo de persoonsgegevens te
beschermen?

De leden van de GroenLinks-fractie stellen dat ondanks bestaande wet- en regelgeving
er een risico is op misbruik van persoonsgegevens, en dat dit risico groter is als
meer gegevens worden uitgewisseld.

Met deze leden ben ik van mening dat het heel belangrijk is dat (gezondheids-)gegevens
goed worden beschermd. Recht op bescherming van persoonsgegevens is immers van belang
met het oog op privacy en toegang tot de zorg8. In de huidige internationale en nationale wet- en regelgeving is echter al veel
geregeld voor de bescherming van gezondheidsgegevens (denk aan het EVRM, de Grondwet,
de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz). Gelet hierop acht ik aanvullende
waarborgen vooralsnog niet nodig. Om de gezondheidsgegevens te beschermen, moet het
accent liggen op een goede toepassing van de al bestaande regels. Op grond van de
bestaande wet- en regelgeving zijn zorgaanbieders reeds verplicht om door logging
bij te houden wie er toegang hebben tot welke gegevens over cliënten. Hierdoor hebben
cliënten meer zicht op welke gegevens worden gedeeld met welke zorgverlener en kunnen
de IGJ en AP als toezichthouders beter toezicht houden op welke gegevens in het zorgproces
gedeeld worden.

De leden van de GroenLinks-fractie vragen of de AP meer capaciteit nodig heeft om
effectief controle uit kunnen oefenen?

Nee, vooralsnog geeft het wetsvoorstel geen reden om tot die conclusie te komen. Met
het wetsvoorstel heb ik nadrukkelijk ervoor gekozen dat informatietechnologieproducten
en -diensten gecertificeerd dienen te zijn. Met een certificaat toont de leverancier
aan dat het product of de dienst voldoet aan de NEN-norm die voor de specifieke gegevensuitwisseling
wordt opgesteld. Certificaten worden verleend door mij aangewezen certificerende instellingen,
die door de Raad voor Accreditatie geaccrediteerd dienen te zijn. Ik houd toezicht
op het stelsel van certificering, waarbij de IGJ een signalerende rol heeft. De AP
kan in aansluiting op dit stelsel toezicht houden op afstand, waarbij ik besef dat
de AP als onafhankelijk toezichthouder zelf bepaalt op welke wijze zij toezicht houdt
en hoe zij haar prioriteiten stelt. Dit wetsvoorstel gaat niet over of en wat wordt
uitgewisseld en biedt om die reden geen grondslag om (bijzondere) persoonsgegevens
te verwerken, maar bepaalt wel hoe uitgewisseld wordt, waarbij de in de AVG opgenomen
bepalingen over de rechten van betrokkenen, beveiliging en privacy by design dienen
te worden in acht genomen. In de NEN-norm per gegevensuitwisseling zal daaraan invulling
worden gegeven. Hierbij wordt de toezichtstaak van de AP niet vergroot. De AP houdt
immers al toezicht op de reeds bestaande uitwisseling van gezondheidsgegevens van
een cliënt tussen zorgverleners en de beveiliging van de gegevens die worden uitgewisseld.
Ondanks dat naar verwachting in algemene zin geen extra capaciteit nodig is, zal steeds
bij het opstellen van de AMvB’s per gegevensuitwisseling aandacht besteed worden aan
de verwachtte gevolgen voor de AP als toezichthouder. Daarbij zal rekening worden
gehouden met de motie van het lid Hijink c.s. (Kamerstukken II 2020/21, 27 529, nr. 240). In de nota van toelichting bij de (wijzigings-)AMvB’s zal steeds worden ingegaan
op de gevolgen voor de AP. Dit alles geschiedt in overleg met de toezichthouder.

En de leden van de GroenLinks-fractie willen weten hoe het aantal zorgverleners dat
toegang heeft wordt beperkt, waardoor zo veel mogelijk enkel zorgverleners die de
gegevens nodig hebben voor het verlenen van goede zorg toegang hebben tot deze gegevens?

5.1 Aanpassing wetten

De leden van de D66-fractie vragen hoe geborgd is dat zorgaanbieders hun informatiebeveiliging
voldoende op orde hebben en hoe dit zich verhoudt tot deze wet. Deze leden constateren
bijvoorbeeld dat er enkele datalekken hebben plaatsgevonden, waaronder in de jeugdzorg.
Sommige zorginstellingen zijn wel aangesloten bij Z-CERT terwijl anderen, met name
jeugdzorginstellingen, dit nog niet zijn. Met andere woorden, het zou spijtig zijn
als gegevensuitwisseling wettelijk verplicht is maar de basis ICT-systemen van de
zorgaanbieders nog niet op orde is. Hoe wordt dit voorkomen?

Zorgaanbieders zijn primair zelf verantwoordelijk voor eigen informatiebeveiliging.
Volgens het Begz – dat ook geldt voor de jeugdzorg – moeten zorgaanbieders nu al voldoen
aan de NEN 7510 en aanverwante normen. Deze normen zullen ook wanneer een gegevensuitwisseling
onder het wetsvoorstel in spoor 2 wordt aangewezen, verplicht blijven en eventueel
worden aangevuld.

Ik zet me in op het verkleinen van de risico’s en impact van die risico’s door te
zorgen voor meer bewustwording, voor meer kennis en voor snelle hulp als er toch iets
gebeurt. Zo heb ik samen met ICTU en vereniging Brancheorganisaties Zorg het Actieplan
informatieveilig gedrag opgezet en werk ik samen met Z-CERT aan een risico gestuurde
aanpak.

Z-CERT is momenteel bezig met de voorbereiding voor de aansluiting van Jeugdzorg.
Met de aanbieding van de nota naar aanleiding van het verslag ontvangt u een brief
over de voortgang op elektronische gegevensuitwisseling in de zorg waarin onder andere
ook de voortgang op deze projecten gemeld wordt.

De leden van de D66-fractie vragen daarnaast of het wenselijk is om ook hier basisnormen
voor op te stellen en zorgaanbieders hierop te toetsen?

De basisnormen waaraan gerefereerd wordt bestaan reeds. De vereisten op het gebied
van informatiebeveiliging waaraan zorgaanbieders moeten voldoen zijn neergelegd in
NEN 7510 «Informatiebeveiliging in de zorg», NEN 7512 Vertrouwensbasis voor gegevensuitwisseling
en NEN 7513 Logging. Zorgaanbieders zijn op grond van het Begz wettelijk verplicht
om aan de vereisten die in deze NEN-normen zijn neergelegd te voldoen. Deze normen
zullen ook wanneer een gegevensuitwisseling onder het wetsvoorstel in spoor 2 wordt
aangewezen, verplicht blijven en eventueel worden aangevuld.

5.2 Verhouding met de WGBO (medisch beroepsgeheim)

De leden van de VVD-fractie willen graag weten wanneer elektronische gegevensuitwisseling
in strijd is met het medisch beroepsgeheim. Wanneer is er wel een grondslag voor gegevensuitwisseling
en wanneer niet? Kunnen daarvan enkele concrete voorbeelden gegeven worden?

Het medisch beroepsgeheim houdt in dat een hulpverlener in beginsel moet zwijgen over
alles dat aan hem door de patiënt wordt toevertrouwd. Het medisch beroepsgeheim is
geregeld in artikel 457 van Boek 7 van de het Burgerlijk Wetboek en artikel 88 Wet
Big.

Het doorbreken van het medisch beroepsgeheim is toegestaan als de (vertegenwoordiger
van de) patiënt toestemming heeft verleend. Ook is doorbreking toegestaan als er een
wettelijke grondslag is. Gedacht kan worden aan artikel 11 Wkkgz inzake melding van
onder meer calamiteiten en geweld in een zorgrelatie en artikel 22 Wpg inzake de plicht
van een arts om de constatering van een tot een bepaalde een groep behorende infectieziekte
aan de GGD te melden. Daarnaast kan een hulpverlener onder voorwaarden bij een conflict
van plichten ervoor kiezen het medisch beroepsgeheim te doorbreken.

Wanneer en onder welke voorwaarden het medisch beroepsgeheim kan worden doorbroken
is ongeacht of de gegevensuitwisseling elektronisch of op een andere manier plaatsvindt.

Wanneer gezondheidsgegevens uitgewisseld worden is daarnaast ingevolge de AVG een
verwerkingsgrondslag nodig is om persoonsgegevens uit te wisselen9. Verder is op grond van de AVG ook een uitzonderingsgrond om het verbod om persoonsgegevens
van bijzondere aard te verwerken te doorbreken10.

Bij deze nota naar aanleiding van het verslag heb ik ook een nota van wijziging gevoegd,
waarmee verduidelijkt wordt dat het wetsvoorstel niet verplicht tot het uitwisselen
van gegevens. Onderhavig wetsvoorstel biedt daarmee geen grondslag om het beroepsgeheim
te doorbreken.

De leden van de GroenLinks-fractie hebben zorgen over de borging van de rechten van
patenten onder de WGBO. Zo heeft een patiënt bijvoorbeeld het recht op vernietiging.
Als een dossier op meerdere plekken staat, kan een patiënt dat recht dan nog effectief
uitoefenen? En kan de patiënt altijd het meest actuele dossier inzien?

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving
inzake gegevensbescherming. Het wetsvoorstel verandert dus niets aan de rechten van
de patiënten die voortvloeien uit de geldende wetgeving in het zorgdomein. Zo zijn
bijvoorbeeld de WGBO en AVG, met daarin het recht van een patiënt om gegevens uit
het medisch dossier te laten vernietigen, onverkort van toepassing.

Welke eisen in de NEN-norm worden vastgelegd worden tijdens het normalisatietraject
besloten. Ten behoeve van de ontwikkeling NEN-norm nodigt NEN alle belanghebbenden
uit. Ik vind het van groot belang dat er aandacht is voor het zorgvuldig omgaan met
(bijzondere) persoonsgegevens. Ik zal daarom bij de opdrachtverlening voor de ontwikkeling
van een NEN-norm voor een aan te wijzen gegevensuitwisseling onder andere in het richtinggevende
kader meegeven dat de norm dient te verzekeren dat een cliënt zijn rechten onder de
AVG kan effectueren – zoals het recht op inzage, rectificatie of gegevenswissing –
en het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd
kunnen worden en dat de norm dient te verzekeren dat een informatietechnologieproduct- of dienst voldoet aan de eisen die de AVG stelt en het mogelijk
maakt dat een zorgaanbieder of zorgverlener aan zijn verplichtingen uit de AVG kan
voldoen.

5.3 Verhouding met elektronisch uitwisselingssysteem (artikel 15a Wabvpz)

In deze paragraaf wordt gesproken over toestemming geven gegevens te delen en dat
daarmee het beroepsgeheim kan worden doorbroken, zo lezen de leden van de VVD-fractie.
Hoe werkt dit in spoedeisende gevallen of in het geval een cliënt niet in staat is
om toestemming te geven?

Als een cliënt uitdrukkelijke toestemming heeft verleend voor het beschikbaar stellen
van gegevens via een elektronisch uitwisselingssysteem in de zin van de Wabvpz, dan
heeft die cliënt daarmee ook bij voorbaat toestemming gegeven voor het verwerken van
bijzondere persoonsgegevens en voor doorbreking van het medisch beroepsgeheim.

Dat betekent dat als er vooraf toestemming is gegeven voor beschikbaarstelling ten
behoeve van elektronische uitwisseling van bepaalde gegevens in een bepaalde situatie,
bijvoorbeeld een spoedsituatie, met een bepaalde categorie zorgaanbieders (bv. SEH-artsen)
er dan op de SEH niet opnieuw ter plekke toestemming hoeft te worden gevraagd. De
SEH-arts mag die gegevens dan via het elektronisch uitwisselingssysteem raadplegen.

De verbetering van digitale gegevensuitwisseling in de spoedzorgketen heeft mijn volle
aandacht. In de kamerbrief van 30 april 2021 (Kamerstukken II 2020/21, 27 529, nr. 262) is uw Kamer over de voortgang van gegevensuitwisseling bij spoed geïnformeerd.

De leden van de GroenLinks-fractie lezen in de toelichting dat de patiënt altijd nadrukkelijk
toestemming moet geven voor het uitwisselen van gegevens. Het ligt wel in de lijn
der verwachting dat gegevens, vanwege het onderliggende wetsvoorstel, in de toekomst
vaker digitaal uitgewisseld zullen worden. Daarover hebben genoemde leden een aantal
vragen. Zo vragen deze leden de regering of er voor elke vorm van gegevensuitwisseling
binnen de dertien prioriteitsgebieden apart toestemming gevraagd moet worden.

Gezondheidsgegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als
bedoeld in artikel 6, eerste lid, AVG, een uitzonderingsgrond op het verbod om bijzondere
persoonsgegevens als bedoeld in artikel 9 AVG en doorbrekingsgrond van het medisch
beroepsgeheim als bedoeld in de Wgbo en de Wet BIG is. Dit kan (uitdrukkelijke) toestemming
zijn, maar ook een wettelijke grondslag. Dit betekent concreet dat – ook na inwerkingtreding
van dit wetsvoorstel – een gegeven niet mag worden uitgewisseld als er geen verwerkingsgrondslag is of als er geen doorbrekingsgrond
voor het medisch beroepsgeheim is.

Pas wanneer de vraag óf een gegeven uitgewisseld mag worden, positief beantwoord is
en de zorgverlener over wil gaan tot gegevensuitwisseling, komt het wetsvoorstel in
beeld. Het wetsvoorstel ziet namelijk enkel op hoe gegevens uitgewisseld moeten worden. Met de bij deze nota naar aanleiding van het
verslag gevoegde nota van wijziging, wordt verduidelijkt dat het wetsvoorstel niet
verplicht tot het uitwisselen van gegevens.

De leden van de GroenLinks-fractie vragen de regering ook welke middelen patiënten
in handen krijgen om te controleren welke gegevens er allemaal worden ingezien door
welke zorgverleners.

In het Begz is onder andere de NEN 7513 voor zorgaanbieders verplicht gesteld. De
NEN 7513 geeft zorgaanbieders en leveranciers van informatiesystemen aanwijzingen
over de manier waarop logging moet worden geregeld. Door middel van logging kan achteraf
worden gecontroleerd of er een (goede) reden was voor een medewerker om bijvoorbeeld
een bepaald patiëntendossier in te zien of gegevens in het dossier te wijzigen. Op
grond van (onder andere) het recht op inzage uit de AVG kan de patiënt de zorgaanbieder
verzoeken om inzage te geven in de loggegevens. In de Wabvpz is bepaald dat de cliënt
bij elektronische inzage of afschrift van zijn dossier kan verzoeken om een overzicht
van wie wanneer bepaalde informatie beschikbaar heeft gemaakt en wie wanneer bepaalde
informatie heeft ingezien.

De leden van de GroenLinks-fractie vragen zich de regering ook of het mogelijk is
om nog een extra waarborg in te bouwen bij de gegevensuitwisseling waarbij vooraf
toestemming moet worden verleend. Nu lijkt het of zorgverleners uit het hele land
die gegevens in kunnen zien wanneer zij het nodig achten. Kan het helpen, om de gegevens
beter te beschermen, dat deze zorgverleners daarvoor eerst toestemming moeten vragen
bij de dossierhouder? Voor de acute zorg is dit misschien niet optimaal en zou je
hiervan kunnen uitzonderen, maar is dit een mogelijkheid voor de uitwisseling van
gegevens binnen andere sectoren?

Uitwisseling van gegevens kan plaatsvinden via een elektronisch uitwisselingssysteem
als bedoeld in de Wabvpz. Dit is een systeem waarmee zorgaanbieders op elektronische
wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders
raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder,
voor het bijhouden van een elektronisch dossier. Met een elektronisch uitwisselingssysteem
kunnen gegevens worden gedeeld die vooraf beschikbaar zijn gesteld voor later onbekend
gebruik. De gegevens hoeven niet in het systeem zelf te staan, maar worden via het
systeem uitgewisseld. Om gegevens te kunnen uitwisselen via een elektronische uitwisselingssysteem,
is uitdrukkelijke toestemming nodig van de cliënt.

De leden van de GroenLinks-fractie stellen dat nadat toestemming is verleend zorgverleners
gegevens in kunnen zien wanneer zij dit wensen. Dit is echter niet het geval. De toestemmingsvraag
moet specifiek zijn. Dit betekent onder andere dat uit de toestemmingsvraag moet blijken
welke gegevens op welk moment met welke categorie zorgaanbieders uitgewisseld mogen
worden. Uit de AVG volgt bovendien dat gegevensverwerking niet verder mag gaan dan
voor de doeleinden noodzakelijk is. Bovendien mogen alleen gegevens geraadpleegd worden
als dat noodzakelijk is voor de behandeling. De AP houdt toezicht op de naleving van
de AVG. Bovendien bepaalt de Wabvpz dat de cliënt bij elektronische inzage of afschrift
van zijn dossier kan verzoeken om een overzicht van wie wanneer bepaalde informatie
beschikbaar heeft gemaakt en wie wanneer bepaalde informatie heeft ingezien (logging).

5.4 Verhouding ten aanzien van wetsvoorstel digitale overheid

De leden van de VVD-fractie lezen dat bij het opstellen van de NEN-normen in de AMvB
de Wet digitale overheid (Wdo) in acht genomen wordt. Hoe gebeurt dat? Met welke zaken
uit de Wdo gaat dan rekening gehouden worden? Waarom is dat niet al opgenomen in de
voorliggende wet zelf?

Het wetsvoorstel digitale overheid gaat onder meer gelden voor categorieën van zorgaanbieders
die vallen onder de Wabvpz in het kader van de taken waarvoor zij op grond van de
Wabvpz het BSN gebruiken. Dit betekent dat deze zorgaanbieders bij de uitwisseling
van gegevens zullen moeten voldoen aan de eisen en normen ten aanzien van veilig inloggen
uit nu nog het wetsvoorstel, zodat de identiteit van de zorgprofessional kan worden
vastgesteld.

Het wetsvoorstel digitale overheid is een kaderwet die algemene principes, verantwoordelijkheden
en procedures regelt. Het wetsvoorstel digitale overheid zal zorgaanbieders onder
meer verplichten tot het indelen van hun digitale diensten naar betrouwbaarheidsniveau
en het op orde hebben van hun informatiebeveiliging. Met deze aspecten zal tegen die
tijd bij het opstellen van de NEN-normen dan ook rekening moeten worden gehouden.

Het wetsvoorstel digitale overheid zal, indien het door de Eerste Kamer wordt aangenomen,
onverkort gelden naast het onderhavige wetsvoorstel, zodat daarin geen bepalingen
behoeven te worden opgenomen die al uit Wet digitale overheid zullen voortvloeien.

6. IMPLEMENTATIE EN UITVOERING

Er wordt gesproken van een transitieperiode, zo lezen de leden van de VVD-fractie.
Hoe lang gaat die transitieperiode duren?

Bij het bepalen van de duur van de transitieperiode zal bij de totstandkoming van
de AMvB nadrukkelijk aandacht worden besteed aan de werkzaamheden die voortvloeien
uit het opstellen van certificatieschema’s, het accrediteren van certificerende instellingen
en het certificeren van informatietechnologieproducten of -diensten.

De regering schrijft dat door middel van zelfevaluatie individuele zorgaanbieders
in staat zullen worden gesteld, om een inschatting te kunnen maken welke maatregelen
getroffen dienen te worden en de tijd en inspanning die dat vergt om uitvoering te
kunnen geven aan de AMvB. De leden van de CDA-fractie vragen de regering om een nadere
uitleg wat hiermee bedoeld wordt. Betekent dit dat individuele zorgaanbieders onbeperkt
de tijd mogen nemen om de aan hen opgelegde wettelijke plicht uit te voeren?

Bij het vaststellen van de ingangsdatum van de AMvB wordt rekening gehouden met de
implementatiegereedheid van het veld en de verwachting wanneer het merendeel van het
zorgveld hiervoor gereed zou kunnen zijn. Met zelfevaluatie wordt bedoeld dat ik het
zorgveld wil helpen bij de implementatie van de wettelijke verplichting door het door
individuele zorgaanbieders kunnen uitvoeren van een zelfevaluatie waarna duidelijk
wordt welke activiteiten de zorgaanbieder nog zal moeten uitvoeren om te voldoen aan
de AMvB.

7. TOEZICHT EN HANDHAVING

De leden van de GroenLinks-fractie lezen dat de IGJ en de AP samen toezicht gaan houden.
Is er met deze partijen overlegd over de capaciteit? Heeft de AP het idee dat e voldoende
middelen zijn om effectief toezicht te houden en te kunnen handhaven? Zo nee, hoeveel
extra mankracht en welke extra bevoegdheden heeft de AP nodig om effectief als toezichthouder
en handhaver op te treden?

Met dit wetsvoorstel wordt bij AMvB stap voor stap (gegevensuitwisseling na gegevensuitwisseling)
de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners
(gestandaardiseerd) elektronisch uitwisselen met gecertificeerd informatietechnologieproducten
of -diensten. De effecten voor de capaciteit voor de IGJ en de AP zullen per aangewezen
gegevensuitwisseling verschillend zijn. Met het wetsvoorstel heb ik ervoor gekozen
dat informatietechnologieproducten en -diensten gecertificeerd dienen te zijn. Met
een certificaat toont de leverancier aan dat het product of de dienst voldoet aan
de NEN-norm die voor de specifieke gegevensuitwisseling wordt opgesteld. Certificaten
worden verleend door mij aangewezen certificerende instellingen, die door de Raad
voor Accreditatie geaccrediteerd dienen te zijn. Ik houd toezicht op het stelsel van
certificering, waarbij de IGJ een signalerende rol heeft. De AP kan in aansluiting
op dit stelsel toezicht houden op afstand, waarbij ik besef dat de AP als onafhankelijk
toezichthouder zelf bepaalt op welke wijze zij toezicht houdt en hoe zij haar prioriteiten
stelt. Dit wetsvoorstel gaat niet over of en wat wordt uitgewisseld en biedt om die
reden geen grondslag om (bijzondere) persoonsgegevens te verwerken, maar bepaalt wel
hoe uitgewisseld wordt, waarbij de in de AVG opgenomen bepalingen over de rechten
van betrokkenen, beveiliging en privacy by design dienen te worden in acht genomen.
In de NEN-norm per gegevensuitwisseling zal daaraan invulling worden gegeven. Hierbij
wordt de toezichtstaak van de AP niet vergroot. De AP houdt immers al toezicht op
de reeds bestaande uitwisseling van gezondheidsgegevens van een cliënt tussen zorgverleners
en de beveiliging van de gegevens die worden uitgewisseld. Ondanks dat naar verwachting
in algemene zin geen extra capaciteit nodig is, zal steeds bij het opstellen van de
AMvB’s per gegevensuitwisseling aandacht besteed worden aan de verwachtte gevolgen
voor de AP als toezichthouder. De gevolgen van dit wetsvoorstel voor de IGJ en de
AP zijn daarmee vooral verbonden aan de verschillende (wijzigings-) AMvB’s waarin
gegevensuitwisselingen worden aangewezen. Of de IGJ of de AP meer capaciteit nodig
heeft, zal daarom nog nader moeten worden bezien bij het opstellen van de AMvB’s.
Daarbij zal rekening worden gehouden met de motie van het lid Hijink c.s. (Kamerstukken
II 2020/21, 27 529, nr. 240). In de nota van toelichting bij de (wijzigings-)AMvB’s zal steeds worden ingegaan
op de gevolgen voor de IGJ en de AP. Dit alles geschiedt in overleg met de IGJ en
de AP.

7.1 Toedeling van de taak tot bestuursrechtelijke handhaving

In de Inspectieraad zal worden besproken hoe de samenwerking op het vlak van gegevensuitwisselingen
tussen de IGJ en andere inspecties kan worden vormgegeven. De leden van de CDA-fractie
vragen of het noodzakelijk is dat deze samenwerking is geregeld voordat dit wetsvoorstel
in werking treedt.

7.2 Toezicht op aanwijzing in spoor 1 en aanwijzing in spoor 2

Het toezicht in spoor 1 ziet niet op de wijze en snelheid waarmee de betrokken (zorg)partijen
invulling geven aan de gezamenlijke ambitie van het veld om de gegevensuitwisseling
door middel van een elektronische infrastructuur van spoor 1 naar spoor 2 te brengen.
De leden van de CDA-fractie vragen de regering op welke wijze dan wel vinger aan de
pols wordt gehouden of benodigde inspanningen worden verricht om de gegevensuitwisseling
naar spoor 2 te brengen.

De keuze om een gegevensuitwisseling in spoor 1 of spoor 2 aan te wijzen, zal mede
gemaakt worden aan de hand van de volwassenheidsscan en de MKBA. Als op basis daarvan
een voorlopige keus voor spoor 1 volgt, zal door de toetsing een beter beeld ontstaan
welke stappen nog gezet moeten worden om en wanneer tot een spoor 2-aanwijzing te
komen. Dit kan per gegevensuitwisseling verschillen. Soms zullen er nog technische
ontwikkelingen nodig zijn, in andere gevallen is er bijvoorbeeld onvoldoende sprake
van digitalisering bij zorgaanbieders. Afhankelijk van de reden voor een aanwijzing
in spoor 1 zal dus bekeken moeten worden op welke wijze inspanningen nodig zijn en
door wie die inspanningen geleverd moeten worden. In de nota van toelichting bij de
aanwijzing van een gegevensuitwisseling in spoor 1 zal ingegaan worden hoe naar verwachting
en op welke termijn de gegevensuitwisseling naar een spoor 2-aanwijzing zal gaan.

8. EFFECTEN VAN HET WETSVOORSTEL

8.1 Financiële gevolgen

De leden van de VVD-fractie zijn van mening dat niet alleen naar de lasten voor zorgaanbieders
gekeken moet worden, maar ook naar de baten c.q. de opbrengsten. Kan uitgebreid op
de batenkant c.q. de opbrengsten van elektronische gegevensuitwisseling worden ingegaan?

Er zijn zeker kwalitatieve baten te noemen als opbrengst van het wetsvoorstel. Bijvoorbeeld
het niet meer handmatig overtypen van informatie of andere administratieve handelingen
nodig bij overdracht van informatie, geen onnodige onderzoek uitvoeren omdat de informatie
niet op tijd aanwezig en minder vermijdbare fouten in zorgverlening.

Volgens de aanpak die ik voorsta zal voorafgaand aan de keuze om een gegevensuitwisseling
te realiseren een MKBA worden uitgevoerd. De baten die door de aanwijzing van een
bepaalde gegevensuitwisseling zullen worden gerealiseerd kunnen pas goed onderbouwd
worden zodra de MKBA is uitgevoerd.

Uiteraard zal ik de baten die naar verwachting gerealiseerd zullen worden meenemen
in de besluitvorming over het al dan niet uitwerken van een gegevensuitwisseling tot
een aanwijzing onder het wetsvoorstel. De uitkomsten van de MKBA voor een bepaalde
gegevensuitwisseling zullen bij het doorlopen van de voorhangprocedure met uw Kamer
worden gedeeld.

Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met de implementatie
de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Hier
zal per gegevensuitwisseling goed gekeken worden of het nodig is hiervoor te compenseren.
Vanuit mijn ministerie lopen er al verschillende versnellingsprogramma’s (VIPP’s),
gericht om de implementatie van een aantal gegevensuitwisselingen te stimuleren. Per
gegevensuitwisseling onder dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen,
indien dit uit de gedane onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk
blijkt. Hierbij hou ik per gegevensuitwisseling rekening met de grote diversiteit
binnen het zorgveld, van academische ziekenhuizen tot solistisch werkende zorgverleners.

Er is een pilot in de regio Amsterdam gedaan. De leden van de VVD-fractie vragen of
de hoofdlijnen van de overige resultaten van die pilot kunnen worden gedeeld met de
Kamer?

De proeftuinen zijn in de zomer 2020 afgerond en geëvalueerd. De resultaten van de
proeftuin Amsterdam inclusief de andere 15 proeftuinen zijn te vinden via het publieksvriendelijke
boekje: «Geef InZicht door. Kennis en kansen voor de langdurige zorg» De proeftuinen zijn een goede basis geweest om de subsidieregeling InZicht in te
richten en inmiddels nemen vrijwel alle proeftuinen verdere stappen via de subsidieregeling
om elektronische gegevensuitwisseling verder te implementeren.

Er is berekend dat er ruim twee uur tijdsbesparing per overdracht kan opleveren. De
leden van de VVD-fractie vragen wat dit betekent in financiële zin? Kan dat gekwantificeerd
worden? En kan ook aangegeven worden wat dat cumulatief kan betekenen voor de zorg
in financiële zin?

In de MvT werd een voorbeeld genoemd uit de regio Amsterdam. In de MKBA die is uitgevoerd
voor de verpleegkundige overdracht kwam een vergelijkbare tijdsbesparing naar voren.

Uitgaande van een gemiddeld jaarsalaris van een verpleegkundige van 38.000 euro, is
in de uitgevoerde MKBA gerekend met een gemiddelde totale kosten van 40 euro per contractuur
(exclusief btw). De totale tijdwinst per overdracht is geraamd op circa 1,5 uur per
overdracht van ziekenhuis naar VVT-instelling en circa 0,6 uur per overdracht van
VVT-instelling naar ziekenhuis. Op basis van een gedetailleerde analyse van Vektis
gegevens is vastgesteld dat er jaarlijks ruim 460.000 verpleegkundige overdrachten
plaatsvinden. Iets meer dan de helft hiervan (235.000) betreft een verpleegkundige
overdracht van ziekenhuis naar VVT-instelling. In iets minder dan de helft van de
overdrachten (227.000) betreft de overdracht een opname in een ziekenhuis vanuit een
VVT-instelling. De totale besparing van tijd omgerekend naar kosten kwam in de MKBA uit
op een totaal van € 19.548.000.

Volgens de toelichting zijn er geen lasten voor de cliënt. Ook niet als het gaat om
toestemming voor uitwisseling van gegevens, zo vragen de leden van de VVD-fractie
aan de regering.

Het wetsvoorstel noch de lagere regelgeving onder het wetsvoorstel zullen invloed
hebben op de lasten van cliënten als het gaat over toestemming voor uitwisseling van
gegevens. Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale
wetgeving inzake gegevensbescherming (AVG, Wgbo, Wabvpz, e.d.). Er worden hierin geen
wijzigingen doorgevoerd. Dat betekent dat pas wanneer de vraag óf gegevens uitgewisseld
mogen worden, positief beantwoord is en de zorgverlener over wil gaan tot gegevensuitwisseling,
het wetsvoorstel in beeld komt. Het wetsvoorstel ziet namelijk enkel op hoe gegevens uitgewisseld moeten worden.

Er zijn signalen uit de praktijk dat er problemen worden ervaren rondom de grondslagen
voor gegevensuitwisseling, waaronder het toestemmingsvereiste valt. Daarom worden
de grondslagen voor gegevensuitwisseling, waaronder ook het toestemmingsvereiste voor
het delen van gezondheidsgegevens via een elektronisch uitwisselingssysteem valt,
geanalyseerd. U ontvangt rond de jaarwisseling een brief hierover.

De leden van de D66-fractie hebben enkele vragen over de financiële gevolgen voor
met name zorgaanbieders en de premiebetaler. Deze leden constateren dat aanpassingen
van ICT-systemen bij zorgaanbieders soms forse investeringen vragen. In de overgang
van papier naar een EPD ziet men dat er extra geld nodig, mogelijk zelfs vanuit ofwel
de zorgverzekeraar ofwel de bank. Dit omdat het veelal een miljoenen investering betreft.
Er zijn zelfs zorginstellingen die een zeer beperkt een EPD hebben, omdat het vanwege
financiële redenen niet mogelijk is te investeren in een nieuw ICT-systeem. De leden
vragen de regering waar uiteindelijk de rekening van zorgaanbieders komt te liggen
indien zij willen voldoen aan de verplichtingen in dit wetsvoorstel.

De kosten en baten zullen per te verplichten gegevensuitwisseling en per organisatie
verschillen. Ik toets voorafgaande aan het bij AMvB aanwijzen van een (prioritaire)
gegevensuitwisseling, of de aanwijzing toegevoegde waarde heeft hoe de kosten en baten
verdeeld zijn tussen de verschillende sectoren. Dit doe ik door middel van een MKBA,
waarin de kosten en baten voor de gehele maatschappij beschouwd worden. Met de uitwerking
van AMvB’s onder het wetsvoorstel kan blijken dat met implementatie de kosten- en
batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Hier zal per gegevensuitwisseling
goed gekeken worden of het nodig is hiervoor te compenseren. Voor de concept AMvB
vinden allerlei uitvoeringstoetsen plaats waaronder een door de NZa over onder meer
de eventuele effecten op de bekostiging.

Daarnaast ben ik bezig met het opstellen van een financierings- en bekostigingsproces
om vroegtijdig te kunnen reageren op de te verwachten transitie-kosten en de structurele
kosten en baten bij betrokken partijen.

Ook de Raad van State benoemt in haar advies dat de kosten ten laste zullen komen
van de bedrijfsvoering van zorgaanbieders. De leden van de D66-fractie vragen de regering
hierbij te reflecteren in welke mate de extra eisen voor softwareleveranciers direct
worden gefactureerd aan zorgaanbieders.

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen
leidt tot implementatie- en nalevingskosten. Met de uitwerking van AMvB’s onder het
wetsvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen
de zorgaanbieders onderling kan verschuiven. Per gegevensuitwisseling zal goed gekeken
worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen er al
verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie van een
aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder dit wetsvoorstel
zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane onderzoeken
(o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij houd ik per gegevensuitwisseling rekening
met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch
werkende zorgverleners.

Gezien er slechts een beperkt aantal leveranciers zijn en dat het overstappen naar
een andere leverancier veelal onbegonnen werk is, vragen De leden van de D66-fractie
de regering in welke mate er gecontroleerd wordt op aanzienlijke marktmacht van deze
partijen.

Ik monitor de markt voor zorg ICT systemen en -diensten in het kader van de ontwikkeling
van het Duurzaam Informatie Stelsel voortdurend. De ACM, als onafhankelijke toezichthouder
in de zorgmarkt, waakt erover dat leveranciers geen misbruik maken van hun positie.
Zorgpartijen, ICT- leveranciers en andere belanghebbenden kunnen bij ervaren misbruik
van marktmacht hiervan melding maken. Recent heeft de ACM een onderzoek ingesteld
naar de EPD-leveranciers in de ziekenhuissector. Zodra de uitkomsten van dit onderzoek
bekend zijn zal ik uw Kamer hierover informeren en welke gevolgen ik zie voor de zorgmarkt.

Het wetsvoorstel verplicht leveranciers interoperabele oplossingen te leveren voor
aangewezen gegevensuitwisselingen. Het wetsvoorstel richt zich daarmee op de koppelvlakken
van informatietechnologieproducten- en diensten. Een dergelijk koppelvlak per specifieke
gegevensuitwisseling vormt dus slechts een klein deel van een compleet EPD of ECD.
De in het wetsvoorstel opgenomen normalisatie en certificering maakt het voor inkopende
zorgpartijen bovendien gemakkelijker na te gaan welke leverancier voldoet aan de wettelijke
verplichtingen en daarmee interoperabiliteit borgt.

De leden van de D66-fractie vragen de regering in welke mate het de taak is van inkopende
partijen binnen de zorg zoals gemeenten, zorgkantoren en zorgverzekeraars om de financiële
gevolgen van dit wetsvoorstel te voorkomen.

Ik voorzie geen taak voor inkopende partijen om de financiële gevolgen van dit wetsvoorstel
te voorkomen.

Het beoogd effect van elektronische gegevensuitwisseling (en een eventuele wettelijke
verplichting) is dat de kwaliteit van de zorg verbetert en dat de financiële gevolgen
daarom op de lange termijn positief zullen zijn. Aan het begin, bij de eerste gegevensuitwisselingen,
zullen de investeringskosten naar verwachting hoger liggen dan de te verwachten baten.
De kosten gaan immers voor de baat uit. Maar bij daaropvolgende wettelijke verplichte
elektronische gegevensuitwisselingen zal meer en meer geprofiteerd worden van eerder
gedane investeringen bijvoorbeeld op het gebied van verlaging van administratieve
lasten, infrastructuur, ICT-systemen, toegenomen digitale vaardigheden.

De leden van de PVV-fractie vragen de regering hoeveel tijd en geld er gaat zitten
in het opstellen van normen en eisen. Genoemde leden voorzien een bureaucratische
chaos die enorm vertragend gaat werken. Graag ontvangen de leden een tijdstraject
en een overzicht van de kosten van het normerings- en certificeringstraject en wie
voor deze kosten opdraait.

Het opstellen van NEN-normen gebeurt volgens een zorgvuldig, efficiënt en transparant
proces. Voor een kwalitatief goed en door het veld gedragen resultaat is het essentieel
dat dit proces doorlopen wordt en de betrokken partijen consensus bereiken. Dit proces
duurt gemiddeld genomen anderhalf jaar. De kosten voor het opstellen van NEN-normen
en overige kosten binnen het certificeringstraject verschillen per norm. Op voorhand
kan ik daarom geen uitspraak over de kosten van normontwikkeling en certificering
doen. Wel zal ik voorafgaand aan het besluit om voor een gegevensuitwisseling waarvoor
aanwijzing is beoogd een norm te ontwikkelen een MKBA uit laten voeren. In deze analyse
worden ook de kosten van normontwikkeling en certificering meegenomen.

De kosten van NEN voor normontwikkeling en -revisies komen voor rekening van het Ministerie
van VWS. Kosten voor certificering worden gedragen door de IT-leveranciers die de
certificering aanvragen.

Op basis van de MKBA voor een aan te wijzen gegevensuitwisseling zal worden beoordeeld
of het noodzakelijk is om, bijvoorbeeld, te komen tot vereffening van kosten en baten
dan wel een oplossing voor de transitiekosten. De leden van de CDA-fractie vragen
of de regering dit nader kan toelichten. Betekent dit dat mogelijk vanuit het Rijk
financieel zal worden bijgedragen, ondanks dat het uitgangspunt is dat de (investerings)kosten
voor de implementatie van de wettelijk verplichte gegevensuitwisseling worden opgebracht
uit de middelen van de zorgaanbieders?

Ik toets voorafgaande aan het bij AMvB aanwijzen van een (prioritaire) gegevensuitwisseling,
of de aanwijzing toegevoegde waarde heeft. In dat kader wordt een MKBA uitgevoerd.
Bij een MKBA worden de kosten en baten voor de gehele maatschappij beschouwd. Uit
deze analyse zullen onder meer de transitie-kosten blijken en de structurele kosten
en baten bij betrokken partijen. Deze zullen per gegevensuitwisseling verschillen.

Met de uitwerking van AMvB’s onder het wetsvoorstel kan blijken dat met implementatie
de kosten- en batenverdeling tussen de zorgaanbieders onderling kan verschuiven. Hier
zal per gegevensuitwisseling goed gekeken worden of het nodig is hiervoor te compenseren.

De verwachting is dat een MKBA positieve uitpakt voor de maatschappij. Is dat niet
het geval dan kan ik besluiten om de gegevensuitwisseling niet bij AMvB aan te wijzen,
waardoor er geen wettelijke verplichting gaat gelden.

Op basis van de MKBA voor een aan te wijzen gegevensuitwisseling zal worden beoordeeld
of het noodzakelijk is om, bijvoorbeeld, te komen tot vereffening van kosten en baten
dan wel een oplossing voor de transitie-kosten. Om dit in goede banen te leiden ben
ik bezig met het opstellen van een financierings- en bekostigingsproces. Hierbij is
wel het uitgangspunt dat de (investerings)kosten voor de implementatie van de wettelijk
verplichte gegevensuitwisseling worden opgebracht uit de bedrijfsvoeringsmiddelen
van de zorgaanbieders.

De leden van de CDA-fractie vragen of de regering nader kan toelichten wat de lasten
voor de overheid zijn. Waar is de voorlopige inschatting van 1,5 miljoen euro per
jaar op gebaseerd? Wat is de inschatting van de regering met betrekking tot hoe hoog
de totale lasten voor de overheid kunnen oplopen als de gehele zorg tot interoperabiliteit
komt?

De regering geeft aan dat dit wetsvoorstel niet van toepassing is op Caribisch Nederland.
De leden van de CDA-fractie vragen waarom niet in ieder geval de eis voor spoor 1
wel voor Caribisch Nederland gaat gelden, zodat minimaal digitaal gegevens uitgewisseld
moeten worden door middel van beveiligde e-mail, temeer daar men vaak naar andere
grote landen moet voor een operatie.

Naast dat – zoals aangegeven is in de memorie van toelichting – een zekere schaalgrootte
nodig is om de voordelen van een verplichte elektronische uitwisseling mogelijk te
maken, speelt ook mee dat dit wetsvoorstel aansluit bij de bestaande systematiek van
de Wkkgz. Deze wet is alleen van toepassing voor Europese deel van Nederland.

De leden van de SP-fractie vragen hoe de kosten die veroorzaakt worden door de normalisering
precies worden gedragen. Wordt dit volledig vergoed door aanvullende middelen ter
beschikking te stellen aan zorginstellingen vanuit de begroting van het ministerie
of gaat dit ten koste van financiële middelen voor andere taken van zorginstellingen?
Hoe wordt dit budgettair geregeld?

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen
leidt tot implementatie- en nalevingskosten. Met de uitwerking van AMvB’s onder het
wetvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen
de zorgaanbieders onderling kan verschuiven. Hier zal per gegevensuitwisseling goed
gekeken worden of het nodig is hiervoor te compenseren. Vanuit mijn ministerie lopen
er al verschillende versnellingsprogramma’s (VIPP’s), gericht om de implementatie
van een aantal gegevensuitwisselingen te stimuleren. Per gegevensuitwisseling onder
dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane
onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij hou ik per gegevensuitwisseling rekening
met de grote diversiteit binnen het zorgveld, van academische ziekenhuizen tot solistisch
werkende zorgverleners.

Mijn inschatting is dat hoe meer gegevensuitwisselingstrajecten zijn afgerond, des
te lager de implementatiekosten per uitwisseling komen te liggen. De eisen aan techniek
die leiden tot interoperabiliteit en die aanbieders van informatietechnologieproducten
of -diensten in andere trajecten hebben doorgevoerd, zullen ook worden benut in andere
producten van deze aanbieders door hergebruik. Een voorbeeld hiervan is het eventueel
verplichten van open API’s, die kunnen worden hergebruikt in andere producten en diensten.

De leden van de SGP-fractie vragen naar de financiële gevolgen voor decentrale overheden.
Dit wetsvoorstel ziet op zorgaanbieders en leveranciers van informatie-technologieproducten
of -diensten. Decentrale overheden kunnen zorgaanbieders zijn in de zin van dit wetsvoorstel,
zoals in het geval van jeugdgezondheidszorg. Het voorstel zal dus voor hen ook financiële
consequenties hebben. Kan de regering inschatten hoe groot deze zijn?

Het klopt dat decentrale overheden zorgverlener kunnen zijn, dat is bijvoorbeeld bij
de jeugdgezondheidszorg het geval (vanuit Wpgd) wanneer ze de uitvoering van de jeugdgezondheidszorg
beleggen binnen de gemeentelijke organisatie (de wijze van organiseren bepaalt dus
of het college van B&W formeel zorgverlener is).

Mijn inschatting is gezien de huidige (concept) MJA Wegiz dat decentrale overheden
de komende jaren niet geraakt worden door het wetsvoorstel en dus niet te maken krijgen
met financiële consequenties als gevolg van het wetsvoorstel. Samen met het zorgveld
werk ik aan een toekomstbestendige gegevensuitwisseling in de gezondheidszorg met
als uitgangspunten dat systemen met elkaar kunnen communiceren (interoperabiliteit),
de keuzevrijheid voor zorgaanbieders bij het kiezen van een ICT-systeem geborgd blijft
en dit tegen acceptabele maatschappelijke kosten gebeurt.

De verplichting voor zorgaanbieders om elektronisch gegevens te laten uitwisselen
leidt tot implementatie- en nalevingskosten. Met de uitwerking van AMvB’s onder het
wetsvoorstel kan blijken dat met implementatie de kosten- en batenverdeling tussen
de zorgaanbieders onderling kan verschuiven. Hier zal per gegevensuitwisseling goed
gekeken worden of het nodig is hiervoor te compenseren. Per gegevensuitwisseling onder
dit wetsvoorstel zou dit kunnen leiden tot overheidsingrijpen, indien dit uit de gedane
onderzoeken (o.a. MKBA, bekostigingsonderzoek) noodzakelijk blijkt. Hierbij hou ik
per gegevensuitwisseling rekening met de grote diversiteit binnen het zorgveld, van
academische ziekenhuizen tot solistisch werkende zorgverleners.

De leden van de SGP-fractie vragen de regering welke kosten er gepaard gaan met het
opstellen van de normen en het verplichte certificeringsproces. Denk aan de kosten
voor certificerende instellingen, ontwikkelaars van producten en aanvragende zorgaanbieders,
maar ook de vijfjaarlijkse herijking.

Deze kosten verschillen per norm. Voorafgaand aan het besluit om voor een specifieke
gegevensuitwisseling een norm te ontwikkelen zal daarom een MKBA worden uitgevoerd.
In deze analyse worden ook de kosten van normontwikkeling en certificering meegenomen.

De kosten van NEN voor normontwikkeling en -revisies komen voor rekening van het Ministerie
van VWS. Kosten voor certificering worden gedragen door de IT-leveranciers die de
certificering aanvragen.

8.2 Effecten op de markt en innovatie

In de brief van 15 december geeft de regering aan volledig juridisch advies te willen
over mogelijkheden die het Nederlands en Europees recht geven om excessen in de zorg-ICT
te voorkomen. De leden van de CDA-fractie vragen of de regering de Kamer wil informeren
over de opties die er zijn en hoe de regering deze beoordeelt.

Het juridisch adviestraject loopt nog. Zoals ik in debrief aan uw Kamer van 15 december
2020 reeds melde, wil ik bezien of we met wetgeving excessen in de zorg-ICT kunnen
voorkomen en hiermee ondoelmatige besteding van zorggelden kunnen tegengaan. Ik noemde
toen twee mogelijke voorbeelden, namelijk de wijze waarop we in Nederland «dure geneesmiddelen»
beoordelen op toegevoegde waarde en kosteneffectiviteit en een maximering van winsten
in de zorg ICT. Daarbij wil ik laten onderzoeken welke mogelijkheden er zijn om kosteneffectiviteit
zeker te stellen zonder daarbij innovatieprikkels bovenmatig te schaden. Zo wil ik
volledig juridisch advies over de huidige en toekomstige mogelijkheden die ons Nederlandse
en Europese recht biedt. Uiteraard in goed overleg met de Staatssecretaris van EZK
en de Europese Commissie. Ik informeer uw Kamer, zoals toegezegd, voor het eind van
het jaar over het verloop van dit onderzoek, de opties die er zijn en mijn beoordeling
daarvan.

De leden van de CDA-fractie willen weten of de regering bereid is om de Autoriteit
Consument & Markt (ACM) te vragen om een advies over de voorwaarden voor een concurrerende
markt voor ICT in de gehele zorg (breder dan ziekenhuizenzorg), ook gelet op nieuwe
en disruptieve spelers die de zorg efficiënter organiseren voor patiënten?

De ACM is bezig met de afronding van de marktverkenning naar informatiesystemen en
gegevensuitwisseling in de ziekenhuiszorg. Daarnaast heeft de ACM mij laten weten
binnenkort met een update te komen over haar markttoezicht op informatie-uitwisseling
en gegevensuitwisseling in de zorg. Ik wil deze publicaties afwachten en bezien welke
lessen hieruit te trekken zijn.

De leden van de CDA-fractie vragen of het mogelijk is dat, vergelijkbaar met de monitor
Zorgverzekeringsmarkt van de Nederlandse Zorgautoriteit (NZa), er een jaarlijks overzicht
wordt gemaakt van de ICT-zorg (zowel over de marktsituatie als de voortgang op onderlinge
gegevensuitwisseling ten behoeve van patiënten en zorgverleners)? Kan de regering
daar ook de prijszetting en prijsontwikkeling van de afgelopen vijf jaar in meenemen?

De NZa heeft op basis van de Wet marktordening gezondheidszorg (Wmg) de opdracht goed
werkende markten voor zorgverlening, zorginkoop en ziektekostenverzekeringen te maken
(reguleren) en te bewaken (toezicht). De taken van de NZa zijn omschreven in de Wmg.
Een jaarlijks monitor omtrent de ICT in de zorg valt niet onder de wettelijke taken
van de NZa.

Als gegevensuitwisseling in de zorg wordt verbeterd (voor zorgprofessionals en patiënten),
wordt het per definitie gemakkelijker om wetenschappelijk onderzoek te doen. Het Nationaal
Groeifonds heeft een claim gehonoreerd gekregen voor Health RI. De leden van de CDA-fractie
vragen hoe de regering aankijkt tegen deze ontwikkeling en wat nodig is om dubbele
data-infrastructuren te voorkomen.

Health-RI is een bestaande alliantie van gerenommeerde organisaties die nationaal
en internationaal wetenschappelijk onderzoek doen op basis van zorgdata. Hun voorstel
dat door het Groeifonds is gehonoreerd beoogt een versnelling van de veilige en betrouwbare
ontsluiting van medische data voor wetenschappelijk onderzoek en innovatie, met inzet
van privacybeschermende en -respecterende technologieën. Health-RI werkt daarbij volgens
de FAIR-data principes: Findable (vindbaar), Accessible (toegankelijk), Interoperable
(uitwisselbaar) en Reusable (herbruikbaar). Deze principes sluiten aan bij die van
het wetsvoorstel, waarbij de genormaliseerde uitwisseling van gezondheidsgegevens
bijdraagt aan de vindbaarheid en vooral de uitwisselbaarheid. Juist door gegevens
vanaf het begin gestructureerd en genormaliseerd vast te leggen, wordt de herbruikbaarheid
van die gegevens voor wetenschappelijk onderzoek, innovatie maar ook toezicht en beleid,
vergroot.

De beoordelingscommissie van het Groeifonds heeft Health-RI als voorwaarde meegegeven
goed af te stemmen met mijn ministerie om synergie te benutten en dubbel werk te voorkomen.
Over de concrete invulling hiervan ben ik met Health-RI in gesprek en ik heb er alle
vertrouwen in dat we hier samen goede afspraken over maken.

De leden van de CDA-fractie vragen wat de stand van zaken is van het onderzoek van
de ACM naar de aanmerkelijke marktmacht van ICT-leveranciers in de zorg. Wanneer kan
de Kamer de resultaten hiervan verwachten?

ACM heeft de marktverkenning naar informatiesystemen en gegevensuitwisseling in en
met de ziekenhuissector afgerond. De ACM is bezig met de voorbereidingen voor publicatie.
De publicatie hiervan wordt binnenkort verwacht.

8.3 Effecten op de gegevensbescherming

De leden van de D66-fractie constateren dat gegevensbescherming een belangrijk onderdeel
is van dit wetsvoorstel. Temeer omdat gevoelige gegevens van patiënten worden uitgewisseld
tussen zorgaanbieders. Het is voor deze leden vooralsnog onduidelijk of toestemmingsverklaringen
voor uitwisselingen nodig blijft binnen deze wet. Zo ja, op welke momenten vindt dit
plaats en hoe wordt hier uitvoering aan gegeven?

Het wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving
inzake gegevensbescherming en verandert dus niets aan de huidige waarborgen rondom
zeggenschap. Het wetsvoorstel beschrijft immers alleen hoe en niet of er uitgewisseld kan of moet worden. Bij deze nota naar aanleiding van het verslag
heb ik ook een nota van wijziging gevoegd, waarmee verduidelijkt wordt dat het wetsvoorstel
niet verplicht tot het uitwisselen van gegevens.

Dit kan toestemming zijn, maar ook een wettelijke grondslag. De AVG vereist dat detoestemming
uitdrukkelijk moet zijn.Verder bepaalt de Wabvpz dat uitdrukkelijke toestemming gegeven
moet wordenindien patiëntgegevens vooraf beschikbaar worden gesteld in een elektronisch
uitwisselingssysteem voor later onbekend gebruik.

De huidige wijze van het uitvragen en registreren van toestemmingen wordt evenmin
met de komst van dit wetsvoorstel anders. Toestemmingen kunnen nu geregistreerd worden
bij de zorgaanbieder of mensen kunnen zelf hun toestemming geven voor uitwisseling
via het LSP via volgjezorg.nl. Er is een factsheet beschikbaar waarin uitleg gegeven
wordt over het geven van toestemming voor het uitwisselen van medische gegevens tussen
zorgverleners.11

De leden van de D66-fractie vragen de regering of er ook conflicterende wetgeving
is, zoals de Wet aanvullende bepalingen verwerking persoonsgegevens, die onbedoeld
ervoor kan zorgen dat snelle gegevensuitwisseling wordt belemmerd. Zo ja, wanneer
kan dit spelen?

Vanwege de signalen uit de praktijk worden op dit moment de mogelijke problemen rondom
de grondslagen voor gegevensuitwisseling, waaronder het toestemmingsvereiste valt,
geanalyseerd. U ontvangt rond de jaarwisseling een brief hierover.

De leden van de PvdD-fractie achten privacy en gegevensbescherming een van de belangrijkste
onderdelen van dit wetsvoorstel, en zoals eerder vermeld, vinden deze leden dat de
wet valt of staat bij een decentrale infrastructuur. Deze leden vinden dat er gebruik
gemaakt moet worden van decentrale technieken bij het elektronisch werken met privacygevoelige
informatie. Door het werken met dergelijke decentrale technieken, wanneer er elektronisch
met privacygevoelige informatie gewerkt wordt, kan er volgens deze leden geen single-point
of failure ontstaan, zoals bij het Landelijk Schakel Punt. Daarom willen deze leden
de regering herinneren aan de Eerste Kamermotie-Teunissen c.s. die de regering opdraagt
dat toegang tot het medisch dossier decentraal via bij de zorgaanbieder vastgelegde
toestemmingen en autorisaties mogelijk moet blijven, en de met algemene stemmen aangenomen
motie van de leden Van Kooten-Arissen en Hijink die aanstuurde op het interoperabel
maken van decentrale systemen. Herkent de regering het Landelijk Schakel Punt als
single-point of failure? Zo niet, waarom niet? Deelt de regering dat een single-point
of failure binnen de gegevensuitwisseling in de zorg een enorme vertrouwensdeuk zou
opleveren bij patiënten?

Ik deel de mening dat een single-point of failure binnen de gegevensuitwisseling zoveel
mogelijk moet worden vermeden vanwege de ook door de PvdD gestelde risico’s ten aanzien
van gegevensbescherming maar ook beschikbaarheid. Daarom onderschrijf ik de noodzaak
om te komen tot een landelijk dekkend stelsel van onderling verbonden infrastructuren
waarin de keuzevrijheid voor het netwerk en systeem van de individuele zorgaanbieder
een belangrijk criterium is, conform motie Van Kooten-Arissen en Hijink (Kamerstuk
II 2019/2020, 29 515, nr. 431).

Het voorliggende wetsvoorstel zet een belangrijke stap door het verplicht stellen
van het elektronisch uitwisselen van gegevens, waarbij de genormaliseerde eisen aan
taal en techniek onafhankelijk zijn van een specifieke elektronische infrastructuur.
Daarmee wordt voorkomen dat niet slechts één systeem voor een specifieke gegevensuitwisseling
gaat gelden. Het wetsvoorstel leidt daarmee niet tot de introductie van het gebruik
van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem
binnen een gegevensuitwisseling. Conform de motie van de Teunissen c.s. (Kamerstukken
I 2016/17, 33 509, T) gaat het wetsvoorstel uit van, en past binnen de internationale en nationale wetgeving
inzake gegevensbescherming en verandert dus niets aan de huidige waarborgen rondom
zeggenschap. Het wetsvoorstel beschrijft immers alleen hoe en niet of er uitgewisseld
kan of moet worden.

Daarnaast vragen de leden van de PvdD-fractie of er al een analyse is uitgevoerd naar
wat de effecten zouden zijn als er een single-point of failure ontstaat in de werkwijze
die onder spoor 2 valt. Is het met het oog op de medische- en privacy risico’s van
een dergelijke fout niet wenselijk om vooraf digitale infrastructuur die uitgaat van
een gecentraliseerde werking uit te sluiten?

Ik deel de mening dat een single-point of failure binnen de gegevensuitwisseling zoveel
mogelijk moet worden vermeden vanwege de ook door de leden van de PvdD-fractie gestelde
risico’s ten aanzien van gegevensbescherming maar ook beschikbaarheid. Daarom onderschrijf
ik de noodzaak om te komen tot een landelijk dekkend stelsel van onderling verbonden
infrastructuren waarin de keuzevrijheid voor het netwerk en systeem van de individuele
zorgaanbieder een belangrijk criterium is, conform motie Van Kooten-Arissen en Hijink
(Kamerstukken II 2019/20, 29 515, nr. 431).

Het voorliggende wetsvoorstel zet een belangrijke stap door het verplicht stellen
van het elektronisch uitwisselen van gegevens, waarbij de genormaliseerde eisen aan
taal en techniek onafhankelijk zijn van een specifieke elektronische infrastructuur.
Daarmee wordt voorkomen dat niet slechts één systeem voor een specifieke gegevensuitwisseling
gaat gelden. Het wetsvoorstel leidt daarmee niet tot de introductie van het gebruik
van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem
binnen een gegevensuitwisseling. Conform de motie van Teunissen c.s. (Kamerstukken
I 2016/17, 33 509, T), worden er met dit wetsvoorstel ook geen grondslagen wat betreft toestemming of
autorisatie veranderd.

Naast zorgen over een mogelijke single-point of failure zijn er nog andere privacy
technische zorgen bij de leden van de PvdD-fractie. De wet verplicht dat er voldaan
moet worden aan de AVG, maar in het verleden zijn daar in de zorg al meerdere keren
grote problemen mee geweest. Genoemde leden constateren dat in de afgelopen jaren
veel datalekken zijn geweest in de zorg, onder andere bij de GGD, in de ggz, in de
jeugdzorg, en bij verschillende ziekenhuizen. Daarbij werd altijd gezegd dat deze
instellingen, met name ziekenhuizen, conform de AVG zelf verantwoordelijk zijn voor
het bewaken van die data. De verschillende datalekken tonen dat zij daar zelfstandig
niet toe in staat zijn. Daarom vragen deze leden of de regering met deze wet, die
dus partijen verplicht hoe ze gegevens moeten uitwisselen, ook iets gaat regelen over
de mate van beveiliging van die gegevens, zodat datalekken niet meer voor kunnen komen.

Zorgaanbieders zijn primair zelf verantwoordelijk voor eigen informatiebeveiliging.
Volgens het Begz moeten zorgaanbieders voldoen aan de NEN 7510 en aanverwante normen.
Deze normen zullen ook wanneer een gegevensuitwisseling onder het wetsvoorstel in
spoor 2 wordt aangewezen, verplicht blijven en eventueel worden aangevuld. Over de
nadere invulling omtrent informatiebeveiliging ga ik nog in gesprek met het veld.
De uitkomst kan per gegevensuitwisseling verschillen.

De leden van de PvdD-fractie vragen of de regering mogelijkheden ziet om privacy by
design sterker te verankeren in de wet zelf? Daarnaast willen deze leden de regering
herinneren aan de met algemene stemmen aangenomen motie van het lid Van Kooten-Arissen,
en nogmaals de oproep delen dat er binnen de zorg alleen end-to-end encryptie gebruikt
zou moeten worden, vanwege de hoge mate van privacygevoelige informatie.

Dit wetsvoorstel gaat uit van en past binnen de internationale en nationale wetgeving
inzake gegevensbescherming, zoals onder meer opgenomen in de AVG en de UAVG. Dat betekent
dat bij het uitwisselen van een gegeven altijd voldaan moet worden aan de eisen die
uit die bestaande kaders volgen. Ik zie dan ook geen reden om privacy by design sterker
te verankeren in dit wetsvoorstel zelf. Daarbij neem ik in aanmerking dat de AVG voorziet
in een heldere definitie wat dit beginsel inhoudt, de concrete invulling daarvan per
gegevensuitwisseling anders kan zijn en in de loop van de tijd kan wijzigen. Wel geef
ik bij de ontwikkeling van de NEN-norm per aan te wijzen gegevensuitwisseling als
richtinggevend kader mee dat aan de AVG dient te worden voldaan. Hierdoor wordt bijvoorbeeld
verzekerd dat de leverancier zich bij het ontwikkelen van technologieproducten en
-diensten zich houdt aan de verplichting om volgens de beginselen uit de AVG, zoals
van privacy by design te werken.

De leden van de PvdD-fractie vragen of de regering end-to-end encryptie gaat vastleggen
in deze wet en verplicht stellen voor het versturen van medische gegevens?

Gezien de systematiek van dit wetsvoorstel wordt end-to-end encryptie niet in het
wetsvoorstel zelf verplicht gesteld. Wel kan een dergelijke verplichting in de NEN-norm
per gegevensuitwisseling worden opgenomen en verder worden uitgewerkt, zoals bijvoorbeeld
welke algoritmen en sleutellengtes dienen te worden gebruikt.

De leden van de PvdD-fractie vinden dat patiënten eigenaar moeten zijn van hun eigen
medische gegevens. Momenteel lijken patiënten buitenspel te staan als deze wet wordt
geïmplementeerd, behalve dat zij akkoord of niet akkoord moeten geven op het delen
van hun persoonlijke medische gegevens en recht op inzage hebben. Deze leden vragen
de regering daarom hoe eigenaarschap van medische gegevens voor patiënten versterkt
kan worden.

Met deze leden vind ik het van groot belang dat cliënten een grote rol spelen wanneer
het gaat over de uitwisseling van gezondheidsgegevens. Dat is ook geborgd.

Daarnaast deel ik met deze leden het belang van de bescherming van de rechten van
cliënten omtrent hun gezondheidsgegevens. Dit wetvoorstel gaat uit van en past binnen
de internationale en nationale wetgeving inzake gegevensbescherming (zoals de AVG,
de UAVG, de WGBO, de wet BIG en de Wabvpz). Daarbij merk ik op dat onder het Nederlandse
recht eigendomsrechten kunnen alleen rusten op voor menselijke beheersing vatbare
stoffelijke objecten.12 Aangezien gezondheidsgegevens onstoffelijk zijn, kan er geen sprake kan zijn van
eigendom van de gezondheidsgegevens. Dit betekent echter niet dat gegevens vogelvrij
zijn en cliënten geen zeggenschap over hun gegevens hebben. In het bestaande juridische
kader is deze zeggenschap namelijk geregeld. Naast de regels over grondslagen voor
verwerking en doorbreking van het medisch beroepsgeheim, kan daarbij ook gedacht worden
aan het recht op inzage, rectificatie of gegevenswissing en het wijzigen mogelijk
maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen
worden.

De leden van de PvdD-fractie willen weten of de regering kan toelichten waarom in
deze wet niet is opgenomen dat als er informatie gedeeld wordt patiënten dan op de
hoogte worden gesteld van welke informatie en met wie deze gedeeld wordt?

Dit wetsvoorstel gaat uit van en past binnen deze internationale en nationale wetgeving
inzake gegevensbescherming (zoals de AVG, de UAVG, de Wgbo, de wet BIG en de Wabvpz).
De regels omtrent het op de hoogte houden van cliënten over wat er gebeurt met hun
medische informatieplicht is daarin geborgd. Zo zijn in de AVG informatieplichten
opgelegd aan degene die gegevens verwerkt en kan de cliënt op grond van (onder andere)
het recht op inzage verzoeken om inzage te geven in de loggegevens. In de Wabvpz is
bepaald dat de cliënt bij elektronische inzage of afschrift van zijn dossier kan verzoeken
om een overzicht van wie wanneer bepaalde informatie beschikbaar heeft gemaakt en
wie wanneer bepaalde informatie heeft ingezien.

De leden van de PvdD-fractie vragen of de regering bereid is om de doelstelling en
reikwijdte van het wetsvoorstel uit te breiden naar gegevensuitwisseling tussen zorgverleners
én met patiënten/cliënten?

Voor het op elektronische wijze uitwisselen van gegevens tussen de zorgverlener en
de cliënt is reeds het Medmij-afsprakenkader ingericht. MedMij is de Nederlandse standaard
voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de cliënt,
bijvoorbeeld in een persoonlijke gezondheidsomgeving. Een (uitbreiding van de reikwijdte
van dit) wetsvoorstel wordt daarom niet noodzakelijk geacht.

Dit laat onverlet dat het voorliggende wetsvoorstel positieve effecten kan hebben
op de gegevensuitwisseling met de cliënt. Doordat gegevens met behulp van een elektronische
infrastructuur beschikbaar worden en tussen zorgverleners op die wijze worden uitgewisseld,
kunnen deze logischerwijs ook makkelijker uitgewisseld worden met de cliënten. Dit
positieve effect wordt nog eens versterkt doordat bij de ontwikkeling van een NEN-norm
rekening zal worden gehouden met het MedMij- afsprakenstelsel.

Daarnaast willen de leden van de PvdD-fractie weten hoe de regering gaat zorgen voor
het minimaliseren van de gegevensuitwisseling (oftewel geen gegevens uitwisselen die
niet uitgewisseld hoeven worden)? Ter illustratie: er kan gedacht worden een kwaliteitsstandaard
voor de eerste hulp waarin gegevens A, B, C, en D opgenomen zijn. Stel een patiënt
breekt zijn of haar been, en wordt na een bezoek aan de eerste hulp doorgestuurd naar
een fysiotherapeut. Deze behandelaar zou bij wijze van spreken gegevens B en D nodig
hebben. Worden dan ook alleen gegevens B en D doorgestuurd, of krijgt de behandelaar
dan alle gegevens? En hoe zit dit als de eerdergenoemde fysiotherapeut de patiënt
doorverwijst naar een revalidatiecentrum? Krijgt deze dan van de fysiotherapeut alleen
gegevens B en D of het hele pakket? Hoe zou deze situatie uitpakken, als het revalidatiecentrum
ook gegeven C nodig blijkt te hebben. Kan deze dan zonder tussenbericht van de eerdergenoemde
fysiotherapeut opgevraagd worden aan de eerste hulp?

Welke gegevens uitgewisseld moeten worden ten behoeve van de goede zorg of met het
oog daarop, wordt in beginsel bepaald door het veld. Dit wordt tripartiet vastgesteld
in een kwaliteitsstandaard. Zorgaanbieders moeten ervoor zorgen dat verleners overeenkomstig
deze kwaliteitsstandaarden handelen. De zorgverlener maakt in een concreet geval zelf
nog de afweging of en welke gegevens moeten worden uitgewisseld voor het leveren van
goede zorg.

Uit de AVG volgt dat gegevensverwerking niet verder mag gaan dan voor de doeleinden
noodzakelijk is. Bovendien mogen alleen gegevens geraadpleegd worden als dat noodzakelijk
is voor de behandeling.

Daarbij is ook relevant dat de toestemmingsvraag voor het delen van gegevens specifiek
moet zijn. Dit betekent dat indien gebruik wordt gemaakt van een elektronisch uitwisselingssysteem
onder andere uit de toestemmingsvraag moet blijken welke gegevens op welk moment met
welke categorie zorgaanbieders uitgewisseld mogen worden. Er is een factsheet beschikbaar
waarin uitleg gegeven wordt over het geven van toestemming voor het uitwisselen van
medische gegevens tussen zorgverleners.13

9. ADVIES EN CONSULTATIE

De vaste Kamercommissie VWS heeft op 27 mei 2021 van een groot aantal organisaties
een gezamenlijke brief gekregen over de voorliggende wet, zo constateren de leden
van de VVD-fractie. In hoeverre zijn deze organisaties betrokken geweest bij de totstandkoming
van deze wet? In hoeverre hebben zij meegedaan aan de consultatieronde en wat hebben
ze daar ingebracht? Kan de regering reageren op de punten in de brief en de daarin
opgenomen vragen beantwoorden?

Tussen 10 maart en 10 juni van vorig jaar – welke termijn verlengd was ten gevolge
van de coronacrisis – heeft eenieder die dat wil de mogelijkheid gehad mee te denken
en te reflecteren op het conceptwetsvoorstel via internetconsultatie.nl. Hierop zijn
66 openbare reacties en 33 niet openbare reacties binnengekomen, welke elk in een
zorgvuldig proces zijn afgewogen. Welke punten ik precies heb meegenomen uit de verschillende
consultaties is te lezen in het consultatieverslag dat is gepubliceerd op internetconsultatie.nl14. Ook is er meerdere malen in het Informatieberaad Zorg stil is gestaan bij de werking
van het wetsvoorstel, de MJA Wegiz en het proces. Aanvullend zijn verschillende sessies
met veldpartijen, waaronder zorgverleners, geweest om het wetsvoorstel te verduidelijken
en is de mogelijkheid geboden vragen te stellen en input te leveren.

Veel van de gemaakte punten van de genoemde instantie zijn relevant voor de AMvB’s
waarin gegevensuitwisselingen worden aangewezen. Immers, pas bij aanwijzing van de
gegevensuitwisselingen zullen de verplichtingen uit dit wetsvoorstel gaan gelden en
zullen de gevolgen concreet worden. De gemaakte punten in de consultatie, de input
van het zorgveld (onder andere via het InformatieBeraad Zorg) en in de onafhankelijke
totstandkoming van een norm, zullen bij de ontwikkeling van de AMvB’s dan ook zeker
meegenomen worden.

Uiteraard kan ik reflecteren op de vragen in de genoemde brief, en zal de beantwoording
hieronder integraal opnemen:

I. Herkent de Minister het risico dat gecertificeerde systemen de verplicht gestelde
gegevensuitwisseling via een informatiestandaard kunnen ondersteunen, terwijl zorgaanbieders
bij gebrek aan onderling verbonden infrastructuren alsnog niet in staat worden gesteld
om onderling gegevens uit te wisselen?

De verplichting onder het wetsvoorstel is één van de puzzelstukjes op weg naar volledige
interoperabiliteit, maar staat niet op zichzelf om daar te komen. Naast afspraken
over hoe er dient te worden uitgewisseld, moet dit in de praktijk ook kunnen via samenhangende
infrastructuren. Op het vlak van verbinden van infrastructuren en mogelijke noodzakelijke
voorzieningen (zoals een digitaal adresboek). Vanuit dat perspectief en in lijn met
de eerder genoemde moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) onderzoek ik hoe ik meer publieke sturing en regie kan nemen op de landelijke infrastructuur,
generieke functies en aanpalende ICT-voorzieningen. Hierover zal ik uw Kamer voor
het einde van het jaar informeren.

II. Onderschrijft de Minister de noodzaak te komen tot een landelijke digitale infrastructuur
(c.q. stelsel van samenhangende, interoperabele zorginfrastructuren) in Nederland
en wettelijke verplichting van het gebruik hiervan, om dit probleem te ondervangen?

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken
te verplichten voor taal en techniek.

III. Welke mogelijkheden ziet de Minister om de Wegiz uit te breiden met afspraken
over te gebruiken infrastructuren en gemeenschappelijke voorzieningen, dan wel wat
zijn de argumenten om dit niet te doen?

Zoals ik hierboven schreef, is er naast het wetsvoorstel nog meer nodig om te komen
tot volledige interoperabiliteit dan alleen afspraken voor taal en techniek en overweeg
ik publieke regie op noodzakelijke voorzieningen te nemen. Uiteraard moet ik dit zorgvuldig
afgewogen en beargumenteerd doen. Momenteel werk ik daarom aan een afwegingskader
om te bezien of er voorzieningen onder publieke sturing gebracht kunnen worden. Ik
zal uw Kamer voor het einde van het jaar informeren of, en zo ja op welke wijze, dergelijke
voorzieningen verplicht dienen te zijn.

IV. Wat gaat de Minister doen om ervoor te zorgen dat er een landelijk dekkend stelsel
van onderling verbonden infrastructuren komt?

Regie op gegevensuitwisseling vraagt meer dan alleen een wetsvoorstel om afspraken
te verplichten voor taal en techniek.

V. Daaraan gerelateerd de vraag hoe de Minister ervoor gaat zorgen dat hier ook daadwerkelijk
gebruik van wordt gemaakt? Gezien de marktmacht van met name een aantal grote softwareleveranciers,
lijkt wettelijke verplichting de enige mogelijkheid om dit te realiseren.

Vanuit mijn verantwoordelijkheid voor een landelijk dekkende stelsel van zorginfrastructuren
zal ik aan de hand van het in ontwikkeling zijnde afwegingskader bepalen hoe tot een
landelijk dekkend stelsel van onderling verbonden infrastructuren en generieke voorzieningen
kan worden gekomen. Ik monitor daarnaast de markt voor zorg ICT systemen en -diensten
in het kader van de ontwikkeling van het Duurzaam Informatie Stelsel voortdurend.
De ACM als onafhankelijke toezichthouder in de zorgmarkt, waakt erover dat leveranciers
geen misbruik maken van hun positie. Zorgpartijen, ICT- leveranciers en andere belanghebbenden
kunnen bij ervaren misbruik van marktmacht hiervan melding maken. Recent heeft ook
de ACM een onderzoek ingesteld naar de EPD-leveranciers in de ziekenhuissector. Zodra
de uitkomsten van dit onderzoek bekend zijn zal ik uw Kamer hierover informeren en
welke gevolgen ik zie voor de zorgmarkt.

VI. Onderschrijft de Minister het nut en de noodzaak te komen tot een open API-strategie
in Nederland en wettelijke verplichting van het gebruik hiervan, zodat sneller en
goedkoper volledige interoperabiliteit kan worden bereikt?

De keuzes in het wetsvoorstel ondersteunen het gebruik van (open) API’s. Zowel in
normen (spoor 2) als in de AMvB (spoor 1) kunnen eisen worden gesteld aan de functionele,
technische of organisatorische wijze waarop het uitwisselen van gegevens tussen zorgverleners
bij een aangewezen gegevensuitwisseling moet plaatsvinden, dus kunnen API’s via deze
wegen onder dit wetsvoorstel voor specifieke gegevensuitwisselingen worden verplicht.
De verplichting middels specifieke gegevensuitwisselingen voor deze API’s (in feite
generieke stekkerdozen) leidt naar verwachting tot een breder gebruik hiervan, ook
voor andere (niet onder het wetsvoorstel verplichte) gegevensuitwisselingen. Ik heb
Nictiz gevraagd advies aan mij uit te brengen ten aanzien van een open API strategie
en hierbij voorbeelden uit binnen- en buitenland te betrekken. Ik informeer u uiterlijk
eind van het jaar over de voortgang.

VII. Wat zijn volgens de Minister de mogelijkheden om de Wegiz uit te breiden met
wettelijke verplichting van een open API-strategie, dan wel wat zijn de argumenten
om dit niet te doen?

De bestaande opzet van het wetsvoorstel biedt ruimte aan het gebruik van open standaarden
en open API’s. Het wetsvoorstel geeft het kader om te komen tot gezamenlijke afspraken,
om deze vervolgens desgewenst wettelijk verplicht te stellen en hierop te handhaven.
De eventuele verplichting om API’s (in feite generieke «stekkerdozen») te gebruiken
in aangewezen gegevensuitwisselingen leidt naar verwachting tot een breder gebruik
hiervan voor andere (niet aangewezen) gegevensuitwisselingen. Gedurende de implementatie
van het wetsvoorstel zal worden gemonitord of de verwachte inzet van API’s voldoende
op deze wijze tot stand komt of aanvullende actie noodzakelijk is.

VIII. Hoe wordt voorkomen dat door de hoeveelheid normerings- en certificeringstrajecten
het onbedoelde effect optreedt van vertraging in lopende programma’s en innovaties?

IX. In hoeverre kan het veld elke 5 jaar zelf expliciet beoordelen of een norm aan
herziening toe is en kan ook de bewuste keuze worden gemaakt dit niet te doen?

X. Worden de kosten voor de herziening van de norm wederom door de overheid betaald,
of moeten partijen die hier aan deel willen nemen dan – zoals gebruikelijk – zelf
de kosten van deelname voor hun rekening nemen?

De afspraak is dat mijn ministerie de eerste jaren de kosten voor deze revisies op
zich neemt. Verzoeken voor wijzigingen van normen kunnen door belanghebbenden op elk
moment worden ingebracht. Dit is ook een kracht van normalisatie: op deze wijze kan
mee worden gegaan met innovaties en nieuwe inzichten en de inspraak van experts.

XI. Bestaat de mogelijkheid om voor het hernieuwen van de certificering een verkort
traject te doorlopen?

XII. Welke kosten gaan er in zijn algemeenheid gepaard met een verplicht certificeringsproces
en de hiertoe ingerichte normenraad, normcommissie en werkgroepen? Wij zouden graag
inzicht krijgen in een integrale inschatting van alle kosten gepaard gaand met:

a. opstellen normen (niet alleen uitbreiding NEN-organisatie, maar ook capaciteit zorgverleners
en softwareleveranciers)

b. inrichting en instandhouding van een Normenraad

c. certificering (certificerende instellingen, kosten voor aanvragende partijen)

d. de voorziene vijfjaarlijkse herijking

e. toename beheerskosten zorgaanbieders

f. de beoogde financiële voordelen voor zorgaanbieders

Deze kosten verschillen per norm en de reikwijdte van de gegevensuitwisseling die
de norm beslaat. Daarom zal voorafgaand aan het besluit om voor een gegevensuitwisseling
een norm te ontwikkelen een MKBA worden uitgevoerd. In deze analyse worden ook de
kosten van normontwikkeling en certificering meegenomen.

De kosten van NEN voor normontwikkeling worden in beginsel gedragen door mijn ministerie.
De kosten voor revisies komen de komende jaren voor rekening van mijn ministerie.
De kosten voor certificering worden -zoals gebruikelijk- gedragen door de ICT-leveranciers
die de certificering aanvragen.

XIII. Hoe wordt voorkomen dat er een NEN-norm wordt opgeleverd die vooral een papieren
tijger is en het veld deze vervolgens nog werkend moet zien te krijgen in de praktijk?
Is hier een testproces voor voorzien vanuit NEN?

Het onder het wetsvoorstel verplichten van een norm dient als sluitstuk om te komen
tot interoperabiliteit. Er lopen bijvoorbeeld al verschillende versnellingsprogramma’s
(VIPP’s) waarin wordt gewerkt aan de implementatie van een aantal gegevensuitwisselingen.
Hierbij zorgt aanwijzing van deze gegevensuitwisseling in een AMvB onder dit wetsvoorstel
uiteindelijk ervoor dat de afspraken afdwingbaar worden, ook voor aanbieders van informatietechnologieproducten
en -diensten in de zorg.

XIV. Hoe wordt omgegaan met de situatie dat een eerder gecertificeerd product opeens
niet meer aan de eisen voldoet (al dan niet na aanpassing van de normen)? De gevolgen
hiervan zijn zeer groot (mogelijkheid om een forse boete opgelegd te krijgen, mogelijke
noodzaak om over te stappen naar een andere leverancier); dit kan zorgaanbieders voor
een groot dilemma stellen.

In het wetsvoorstel wordt er rekening mee gehouden dat een zorgaanbieder zo min mogelijk
wordt benadeeld als de leverancier niet voldoet aan de eisen om gecertificeerd te
worden. Binnen elk certificeringstraject wordt een redelijk termijn gesteld en gecommuniceerd
wanneer de implementatie van de nieuwe eisen gereed moet zijn. Wanneer blijkt (uit
onder meer de informatie die de IGJ verstrekt) dat het gestelde termijn onredelijk
kort is, kan ik de termijn voor het voortgezette gebruik van het informatietechnologieproduct
of de -dienst verlengen.

XV. In paragraaf 8.2 van de memorie van toelichting wordt gesteld dat «het van groot
belang is dat ook kleine aanbieders van informatietechnologieproducten of -diensten
en potentiële nieuwe toetreders worden betrokken bij de ontwikkeling van de normen,
om de positieve effecten op de marktwerking te kunnen realiseren». De verwachting
is dat kleine leveranciers hier helemaal geen capaciteit voor hebben. Is voldoende
rekening gehouden met de gevolgen die dit zal hebben op de marktwerking?

Eerdere normontwikkeling laat zien dat ook kleine zorgaanbieders van informatietechnologieproducten
of -diensten zeer goed in staat zijn om zelf mee te werken aan de ontwikkelen van
normen of zich hierbij te laten vertegenwoordigen. Een goed voorbeeld hiervan is de
NTA norm 7516 voor veilig mailen en chatten in de zorg. Aan de ontwikkeling van deze
norm hebben meerdere kleine aanbieders deelgenomen.

XVI. Hoe verhoudt de ontwikkeling van NEN-normen voor generieke functies zich tot
de ontwikkeling van gemeenschappelijke voorzieningen die in deze functies voorzien?
Hoe wordt voorkomen dat er generieke normen worden ontwikkeld voor generieke functies
die zich lenen voor het onderbrengen in een gemeenschappelijke voorziening?

Zoals ik eerder aan uw Kamer heb laten weten (Kamerstukken II 2020/21, 27 529, nr. 230), stel ik een afwegingskader op om mijn precieze rol, sturingsvorm en in te zetten
instrumentarium te bepalen om de benodigde ICT-infrastructuur in de zorg te realiseren.
Dit is in lijn met de moties Van den Berg/Kerstens (Kamerstukken II 2020/21, 27 529, nrs. 222 en 223) die mij verzoeken om meer publieke regie en sturing te nemen op ICT-infrastructuur
en aanpalende voorzieningen.

Bij het uitwisselen van gegevens in de zorg treffen we diverse functies aan die in
veel uitwisselingen terugkomen, zogenaamde generieke functies. Voorbeelden van dergelijke
generieke functies zijn identificatie, autorisatie van de zorgverlener en toestemming
van de patiënt. Voor het bereiken van interoperabiliteit is het noodzakelijk om voor
generieke functies eenduidige afspraken vast te leggen. Normering van deze afspraken
is hierbij wenselijk. Normen zorgen voor consistente en breed gedragen eisen aan deze
functies. Zo kan er bijvoorbeeld ook bij de uitwerking van de NEN-norm voor een aangewezen
gegevensuitwisselingen vanuit deze norm eenduidig verwezen worden naar deze normen
voor generieke functies.

Ik heb de NEN gevraagd om een werkgroep te starten die voor generieke functies een
plan van aanpak ontwikkelen. Onder andere zal worden bepaald over welke functies met
voorrang afspraken moeten worden gemaakt. De generieke functies, zoals deze zijn vastgesteld
in het informatieberaad, vormen hierbij het uitgangspunt.

Het is denkbaar dat voor sommige generieke functies ook voorzieningen worden aangewezen.
Of dat een of meerdere (onderdelen) van normen voor generieke functies uiteindelijk
opgenomen worden ter verplichting.

De leden van de SGP-fractie vragen de regering of ook advies en consultatie is gevraagd
aan mogelijke certificerende instellingen, aangezien deze organisaties een belangrijke
rol zullen spelen bij de uitvoering van het wetsvoorstel. Zo ja, waarom is dit niet
opgenomen in de toelichting? Zo nee, is de regering bereid om dit alsnog te doen?

In de voorbereiding van het wetsvoorstel hebben alle organisaties, dus ook certificerende
instellingen, via een openbare consultatie de gelegenheid gehad om in te spreken op
het wetsvoorstel. Daarnaast heb ik begin dit jaar de bereidheid onder certificerende
instellingen om deel te nemen laten toetsen. Hieruit is gebleken dat de bereidheid
groot is.

9.1 Toezicht- en handhaafbaarheidstoets IGJ

Het verzoek van de IGJ voor een ontheffing is niet overgenomen, zo lezen de leden
van de VVD-fractie. Waarom niet? Wat zouden de gevolgen en voor- en nadelen zijn van
een dergelijke ontheffing?

De IGJ heeft in zijn uitvoeringstoets aangegeven dat in de situatie dat een certificaat
bij een informatietechnologieproduct- of dienst wordt ingetrokken, de zorgaanbieder
in een situatie komt waarin hij moet overstappen op een ander product. Hierbij is
denkbaar dat zorgaanbieders belemmeringen zullen ervaren, waardoor dit redelijkerwijs
niet verlangd kan worden (bv. andere leveranciers kunnen niet snel genoeg in het gat
springen, andere belangrijke ontwikkelingen worden teveel vertraagd). Om te voorkomen
dat in dit geval onduidelijke gedoogsituaties ontstaan stelde de IGJ voor om een ontsnappingsmogelijkheid
op te nemen in het wetsvoorstel, in de vorm van een tijdelijke ontheffing die de Minister
kan verlenen, analoog aan een vergelijkbaar «noodmechanisme» in de Wet op de medische
hulpmiddelen.

In overeenstemming met IGJ is voor een andere constructie gekozen die dit probleem
ook adresseert. Op deze wijze worden (aanmerkelijke) administratieve lasten voorkomen
die aan de orde kunnen komen bij het verwerken en beoordelen van ontheffingsverzoeken.
Door de gekozen constructie wordt voorkomen dat er een gedoogsituatie ontstaat.

9.2 Uitvoering- en handhaafbaarheidstoets Nederlandse Zorgautoriteit (NZa)

De NZa maakt enkele opmerkingen over de mogelijke stijging van de zorgkosten, zo lezen
de leden van de VVD-fractie. Kan hier nader op worden ingegaan? Om welke kosten gaat
het dan? Hoe hoog zouden deze kosten kunnen zijn?

De NZa geeft aan dat of, en in welke omvang het wetsvoorstel tot kosten zal leiden,
afhangt van de betreffende gegevensuitwisseling en de bijbehorende verplichtingen
vanuit de AMvB. Er kan sprake zijn van meerkosten, maar ook van een verschuiving van
kosten tussen zorgaanbieders die in verschillende sectoren werkzaam zijn. Hier zal
per gegevensuitwisseling goed naar gekeken worden of het nodig is hiervoor te compenseren.

De NZa geeft aan dat als een kostendaling wordt verwacht ook in dat geval bekeken
moeten worden of dit aanleiding geeft om de tarieven (al dan niet op termijn) aan
te passen. Bijvoorbeeld als sprake is van verschuiving van kosten tussen verschillende
zorgaanbieders.

Overigens leiden gegevensuitwisselingen waarvan uit de MKBA blijkt dat de kosten niet
opwegen tegen de baten niet tot een verplichting onder dit wetsvoorstel.

De NZa maakt enkele opmerkingen over de mogelijke stijging van de zorgkosten, zo schrijft
de regering. De leden van de CDA-fractie vragen de regering wat deze opmerkingen waren
van de NZa. Kan de regering hierbij aangeven waarom de NZa er juist niet van uit gaat
dat de zorgkosten zullen dalen, omdat er van veel minder maatwerk sprake zal zijn?

De NZa geeft aan dat of, en in welke omvang het wetsvoorstel tot kosten zal leiden,
afhangt van de betreffende gegevensuitwisseling en de bijbehorende verplichtingen
vanuit de AMvB. Er kan sprake zijn van meerkosten, maar ook van een verschuiving van
kosten tussen zorgaanbieders die in verschillende sectoren werkzaam zijn. Hier zal
per gegevensuitwisseling goed gekeken worden of het nodig is hiervoor te compenseren.

Overigens leiden gegevensuitwisselingen waarvan uit de MKBA blijkt dat de kosten niet
opwegen tegen de baten niet tot een verplichting onder dit wetsvoorstel.

De leden van de SGP-fractie hechten eraan het belang te onderstrepen van de uitvoerings-
en handhaafbaarheidstoets van de NZa. Zij vragen de regering of er op basis van de
gesprekken die de regering in de voorbereiding op dit wetsvoorstel met de NZa heeft
gevoerd, al iets te melden valt over de vermoedelijke uitvoerbaarheid en handhaafbaarheid
van de AMvB’s.

Evenals de leden van de SGP-fractie hecht ook ik aan het belang van de uitvoerings-
en handhaafbaarheidstoets van de NZa. Daarom zijn er inderdaad in de voorbereiding
van dit wetsvoorstel meerdere gesprekken gevoerd met NZa.

De uitvoerbaarheid en handhaafbaarheid is een belangrijk aandachtspunt bij de ontwikkeling
van de AMvB’s. Daarom zijn de uitvoeringsorganisaties vanaf het begin bij de voorbereiding
betrokken. Op dit moment is er nog geen volledig beeld. Bovendien kan de uitkomst
per gegevensuitwisseling verschillen.

Elke AMvB waarin een of meer gegevensuitwisselingen worden aangewezen zal steeds getoetst
worden op alle onderdelen die van belang zijn voor de uitvoerbaarheid en handhaafbaarheid,
zoals benodigde toezicht capaciteit van de IGJ en AP, de financiële gevolgen van de
verplichtstelling, de gevolgen voor de zorgaanbieders en zorgverleners, de gevolgen
voor de rechtspraak, de gevolgen voor de regeldruk, en natuurlijk de gevolgen voor
de cliënt.

9.3 Toets Adviescollege toetsing regeldruk (ATR)

De leden van de D66-fractie vragen graag een extra reactie van de regering op het
feit dat meerdere partijen in de zorg aangeven dat er sprake is van omvangrijke bureaucratie
door het beoogde normalisatie- en certificatieproces van individuele gegevensuitwisselingen.
In de brief van meerdere brancheorganisaties wordt gesteld dat de normalisatietrajecten
afleiden van de door het Informatieberaad aangewezen focusprogramma’s en de noodzakelijke
versnelling in de ontwikkeling van een generieke, digitale infrastructuur. Hoe ziet
de regering dit?

9.4 Toets Vereniging Nederlandse Gemeenten (VNG)

De leden van de VVD-fractie lezen eigenlijk alleen bij de toets van de VNG over het
betreden van een woning zonder toestemming van de bewoner. Ook in de artikelsgewijze
toelichting en in de toelichting komt dit eigenlijk verder niet uitgebreid aan de
orde. Kan hier een uitgebreide toelichting op worden gegeven? Wat is nut en noodzaak
van een dergelijke bevoegdheid? Waarvoor is het nodig om een woning te kunnen betreden
in het kader van deze wet?

Artikel 4.1, tweede lid, is niet expliciet toegelicht in de artikelsgewijze toelichting,
omdat in afdeling 7.1 van het algemeen deel van de memorie hier al een toelichting
op is gegeven. Naar deze paragraaf wordt in de artikelsgewijze toelichting op artikel
4.1, tweede lid, verwezen. De toelichting op artikel 4.1, tweede lid, is naar aanleiding
van inbreng door de VNG en de Raad voor de Rechtspraak aangevuld in de paragrafen
9.5 en 9.8 van het algemeen deel van de memorie.

Elke bepaling is in het algemeen of artikelsgewijze deel van de memorie van toelichting
toegelicht, tenzij evident onnodig. Zo is het begripsomschrijving «Onze Minister»
niet nader toegelicht. De toezichts- en handhavingsbepalingen in het voorliggende
wetsvoorstel zijn overeenkomstig de toezichts- en handhavingsbepalingen van de Wkkgz.
Dit omdat het wetsvoorstel randvoorwaardelijk is voor het verlenen van goede zorg,
zoals dit is neergelegd in de Wkkgz. Bij de houden van toezicht en het handhaven waar
nodig door de IGJ, zal steeds gekeken worden of door de zorgaanbieder goede zorg wordt
verleend. Een onderdeel daarvan is of aan de randvoorwaarden wordt voldaan om goede
zorg te verlenen, zoals bijvoorbeeld de aanwezigheid van voldoende deskundig personeel,
middelen, en met de komst van onderhavig wetsvoorstel ook of gegevens worden uitgewisseld
op de juiste wijze. Er is vanwege de verwevenheid van de Wkkgz en dit wetsvoorstel
gekozen voor een overeenkomstig toezichts- en handhavingsregime. Een afwijkend regime
zou voor onduidelijkheid zorgen.

De bevoegdheid tot het betreden van een woning zonder toestemming van de bewoner voor
het toezicht op de regels, gesteld bij of krachtens het wetsvoorstel, kan noodzakelijk
zijn als bijvoorbeeld een deel van de administratie of het computersysteem in de woning
bij een huisartsenpraktijk is opgeslagen. De bevoegdheid voor de IGJ om zonder toestemming
van de bewoner binnen te treden is in het licht van de eerbiediging van het privéleven
(artikel 8 EVRM) ingrijpend. Daarom is de bevoegdheid beperkt tot woningen die deel
uitmaken van een bouwkundige voorziening voor het verlenen van zorg. Daarnaast is op het binnentreden van
een woning door de IGJ artikel 12 van de Grondwet van toepassing. Uit die bepaling
volgt dat voorafgaande legitimatie en mededeling van het doel van het binnentreden
is vereist en dat aan de bewoner een schriftelijk verslag van binnentreden wordt verstrekt.
Bovendien is de Algemene wet binnentreden van toepassing. Op grond van de Algemene
wet binnentreden is een machtiging vereist voor het betreden van de woning zonder
toestemming. Dit alles maakt dat de IGJ zeer terughoudend met deze bevoegdheid om
zal gaan.

De VNG wil graag nu al een integrale benadering (uitwisseling buiten de zorgdomeinen
zoals Wmo, jeugd, pleegzorg en mantelzorg) en denkt daar graag over mee als belangrijke
partner. De leden van de CDA-fractie vragen hoe de regering dit punt oppakt om tot
een integrale benadering te komen.

Ik ben blij te constateren dat veel partijen, waaronder de VNG, positief zijn over
het wetsvoorstel en hier bij betrokken willen zijn. Ik heb ervoor gekozen om met dit
wetsvoorstel in eerste instantie in te zetten op verbetering van de gegevensuitwisseling
in de zorgdomeinen, vanwege de uitvoerbaarheid. Daarom wil ik nu ook eerst met vier
gegevensuitwisselingen voldoende ervaring opdoen. Die ervaringen wil ik gebruiken
om de aanpak succesvol te verbreden. Ik zal daarbij ook zeker de VNG betrekken indien
het college van burgemeester en wethouders als zorgaanbieder wordt aangewezen.

De leden van de SGP-fractie delen de analyse van de VNG dat dit wetsvoorstel lijkt
te worden gedomineerd door de curatieve zorg. Kan de regering aangeven of zij van
mening is dat het wetsvoorstel voldoende is toegesneden op ander zorgdomeinen, zoals
de Wmo en de Jeugdzorg?

Het wetsvoorstel zoals het nu is vormgegeven is onvoldoende toegesneden op andere
domeinen dan zorgdomeinen, zoals de jeugdhulp als bedoeld in de Jeugdwet en maatschappelijke
ondersteuning als bedoeld in de Wmo 2015. De in het wetsvoorstel gemaakte keuze om
de jeugdhulp en maatschappelijke ondersteuning nog niet mee te nemen, heeft te maken
met de uitvoerbaarheid van het wetsvoorstel binnen die domeinen. De keuze om een gegevensuitwisseling
alleen aan te wijzen voor zover de afspraken hierover zijn opgenomen in een kwaliteitsstandaard
dan wel in wet- of regelgeving, maakt bijvoorbeeld dat het wetsvoorstel niet «zomaar»
is uit te breiden tot andere domeinen. Overigens is de verwachting dat het wetsvoorstel
een indirect positief effect zal hebben buiten de zorgdomeinen.

Volledigheidshalve merk ik dat de jeugdgezondheidszorg, bedoeld in de Wpg, wel onder
de reikwijdte van dit wetsvoorstel valt.

De leden van de SGP-fractie vragen de regering te reflecteren op de suggestie van
de VNG om meer aandacht te hebben voor het ««burgerperspectief»». Zij herinneren de
regering eveneens aan het advies van de Raad van State om nadrukkelijker in te gaan
op de gevolgen van dit wetsvoorstel voor burgers.

De suggestie van de VNG om meer aandacht te hebben voor het «burgerperspectief» neem
ik uiteraard ter harte. Als gevolg van de inbreng van de VNG en de Afdeling Advisering
van de Raad van State is in een extra ingevoegde paragraaf in het algemeen deel van
de memorie van toelichting bij het voorliggende wetsvoorstel (paragraaf 8.1.2) nader
ingegaan op de lasten voor cliënten te beschrijven.

Bovendien hebben burgers (cliënten) een belangrijke rol in de uitvoering van het wetsvoorstel.
Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is in de eerste plaats een
kwaliteitsstandaard nodig waarin is opgenomen welke gegevens met het oog op het verlenen
van goede zorg moeten worden uitgewisseld. Het opstellen of wijzigingen van een kwaliteitsstandaard
geschiedt tripartiet, dat wil zeggen door organisaties van cliënten samen met zorgaanbieders
of zorgverleners en zorgverzekeraars of Wlz-uitvoerders. Wanneer een gegevensuitwisseling
op de MJA Wegiz is geplaatst en de uitkomsten van de MKBA en volwassenheidscan positief
zijn wordt gestart met de ontwikkeling van een NEN-norm. NEN nodigt belanghebbenden
bij een norm, dus zeker ook (vertegenwoordigers van) cliënten, uit om deel te nemen
aan de werkgroep die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare
commentaarronde gebracht en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder
zich erover kan uitspreken. Ook cliënten die nog niet eerder betrokken waren in het
proces kunnen dan alsnog hun inbreng leveren.

Ik wil benadrukken dat dit wetsvoorstel uitgaat van en past binnen de internationale
en nationale wetgeving inzake gegevensbescherming. Dat betekent dat bij het uitwisselen
van gegevens altijd voldaan moet worden aan de eisen die uit die bestaande kaders
volgt. Dit betekent dat er bijvoorbeeld niet uitgewisseld kan worden als er geen verwerkingsgrondslag
is of doorbrekingsgrond voor het medisch beroepsgeheim. Bij de ontwikkeling van NEN-normen
zal ik gezien het belang van privacy ook nog eens als richtinggevend kader meegeven
dat de NEN-norm moet verzekeren dat een patiënt zijn rechten onder de AVG – bijv.
een verzoek van een patiënt om bepaalde gegevens te verwijderen – kan effectueren.
Hoe cliënten hun rechten onder de AVG kunnen effectueren zal concreet worden ingevuld
bij de uitwerking van een AMvB en het opstellen van de bijbehorende NEN-norm.

Voor het wetsvoorstel is de bewuste keuze gemaakt om te starten met uitwisseling binnen-
en tussen de zorgdomeinen om het beheersbaar te houden. De leden van de SGP-fractie
ondersteunen de opmerking van de VNG dat het van belang is om al op korte termijn
de afstemming te gaan zoeken met de VNG als het gaat om een integrale benadering,
aangezien het uitdrukkelijk de bedoeling is dat het wetsvoorstel in een later stadium
verder zal worden uitgebouwd. Kan de regering aangeven hoe het wetsvoorstel later
««uitgebouwd»» zou kunnen worden? Heeft de regering hier een visie op? Aan welke termijn
moet worden gedacht?

Dit kan ik op dit moment nog niet beantwoorden. De in het wetsvoorstel gemaakte keuze
om de jeugdhulp als bedoeld in de Jeugdwet en maatschappelijke ondersteuning als bedoeld
in de Wmo 2015 nog niet mee te nemen, heeft te maken met de uitvoerbaarheid van het
wetsvoorstel binnen die domeinen. De keuze om een gegevensuitwisseling alleen aan
te wijzen voor zover de afspraken hierover zijn opgenomen in een kwaliteitsstandaard
dan wel in wet- of regelgeving, maakt bijvoorbeeld dat het wetsvoorstel niet «zomaar»
is uit te breiden tot andere domeinen. Overigens is de verwachting dat het wetsvoorstel
een indirect positief effect zal hebben buiten de zorgdomeinen.

9.5 Toets Autoriteit Persoonsgegevens (AP)

De leden van de VVD-fractie vragen of ook overleg met de AP plaats heeft gevonden
over de wijzigingen die wel en niet zijn doorgevoerd op basis van de toets. Zo nee,
waarom niet? Wat was of is hun reactie op de niet overgenomen punten en eerdere bezwaren?

In aanloop naar de advisering door de AP heb ik met de AP overleg gehad. Tijdens dat
overleg heb ik de achtergronden van het wetsvoorstel toegelicht en vragen van de AP
beantwoord.

In het wetsvoorstel is de keuze gemaakt om alle eisen rondom «hoe uit te wisselen»
onder onderhavig wetsvoorstel te regelen. Hiermee wordt voorkomen dat er op meerdere
plekken in de wetgeving eisen worden gesteld over het «hoe uitwisselen van gegevens».
Op deze wijze zijn alle eisen zoveel mogelijk geconcentreerd in één regeling. Dit
geldt dus ook voor de beveiligingsnormen. Dit laat onverlet dat in beginsel aangesloten
wordt bij generieke eisen zoals die nu ook al gelden voor zorgaanbieders, zoals de
NEN 7510, 7512 en 7513. De inhoud verandert daarmee niet, alleen de grondslag van
de verplichting.

De leden van de D66-fractie lezen dat de AP bij de consultatie bezwaar heeft gemaakt
tegen het conceptwetsvoorstel en geadviseerd heeft om procedure voor het wetsvoorstel
te stoppen. Deze leden lezen dat de toelichting is aangepast op meerdere punten. Heeft
de AP nog gereageerd op de reactie van de regering, gezien de eerdergenoemde bezwaren
en enkele niet overgenomen punten? Zo nee, is de regering bereid die alsnog te vragen?

De AP heeft naar aanleiding van de reactie op haar advies niet naar mij toe gereageerd.
Dat is ook niet gebruikelijk. Gezien het eerdere advies van de AP en de vragen die
gesteld zijn door leden van verschillende fracties, heb ik bij deze nota naar aanleiding
van het verslag een nota van wijziging gevoegd waarin ik verduidelijk dat bij of krachtens
dit wetsvoorstel geen verplichting tot het uitwisselen van gegevens kan worden opgelegd
aan zorgverleners. Dit komt alsnog tegemoet aan een belangrijk bezwaar van de AP die
een risico signaleert dat de zorgverlener in een feitelijke dwangpositie komt die
zijn beroepsgeheim kan aantasten. Daarnaast zal de AP nog een belangrijke rol spelen
bij het aanwijzen van gegevensuitwisselingen, doordat de daadwerkelijke aanwijzing
van een gegevensuitwisseling plaatsvindt bij AMvB. De concept-AMvB zal ter advisering
aan de AP worden voorgelegd. Voordat ik dit doe, zal ik, waar opportuun, net als bij
de totstandkoming van dit wetsvoorstel, met de AP in overleg gaan over de inhoud van
de concept-AMvB in relatie tot het gegevensbeschermingsrecht.

Gelet op het vorenstaande zie ik geen aanleiding om, in afwijking van het reguliere
moment waarop advies wordt gevraagd, de AP nogmaals om advies te vragen.

De leden van de GroenLinks-fractie lezen dat de AP heeft geadviseerd om het wetgevingstraject
niet voort te zetten, maar ook dat de regering heeft geprobeerd tegemoet te komen
aan de bezwaren van de AP. De leden van de GroenLinks-fractie vragen de regering om
de AP nog een toets te laten doen, om zo te bezien of zij nog ernstige bezwaren hebben.
Genoemde leden hechten hier zeer veel waarde aan, omdat niet alle punten van de AP
zijn overgenomen.

Daarnaast zal de AP nog een belangrijke rol spelen bij het aanwijzen van gegevensuitwisselingen,
doordat de daadwerkelijke aanwijzing van een gegevensuitwisseling plaatsvindt bij
AMvB. De concept-AMvB zal ter advisering aan de AP worden voorgelegd. Voordat ik dit
doe, zal ik, waar opportuun, net als bij de totstandkoming van dit wetsvoorstel, met
de AP in overleg gaan over de inhoud van de concept-AMvB in relatie tot het gegevensbeschermingsrecht.

Gelet op het vorenstaande zie ik geen aanleiding om, in afwijking van het reguliere
moment waarop advies wordt gevraagd, de AP nogmaals om advies te vragen.

De leden van de PvdD-fractie begrijpen dat de AP stevige kritiek had op het conceptwetsvoorstel,
en dat een gedeelte hiervan vervolgens is meegenomen door de regering. Waarom heeft
de regering niet alle kritiek overgenomen? Kan de regering verduidelijken waarom zij
de kritiek niet herkende? Heeft de AP gereageerd op de reactie van de regering?

De AP heeft naar aanleiding van de reactie op haar advies niet naar mij toe gereageerd.
Dat is ook niet gebruikelijk.

De leden van de PvdD-fractie vragen aan de regering wat de verwachte extra werkdruk
gaat zijn voor de AP naar aanleiding van dit wetsvoorstel. Daarbij vragen deze leden
hoe hier rekening mee wordt gehouden bij de uitvoering van de motie Hijink c.s.?

Ik verwacht weinig tot geen extra werkdruk bij de AP. Met het wetsvoorstel heb ik
ervoor gekozen dat informatietechnologieproducten en -diensten gecertificeerd dienen
te zijn. Met een certificaat toont de leverancier aan dat het product of de dienst
voldoet aan de NEN-norm die voor de aangewezen gegevensuitwisseling wordt opgesteld.
Certificaten worden verleend door door mij aangewezen certificerende instellingen,
die door de Raad voor Accreditatie geaccrediteerd dienen te zijn. Ik houd toezicht
op het stelsel van certificering, waarbij de IGJ een signalerende rol heeft. De AP
kan in aansluiting op dit stelsel toezicht houden op afstand, waarbij ik besef dat
de AP als onafhankelijk toezichthouder zelf bepaalt op welke wijze zij toezicht houdt
en hoe zij haar prioriteiten stelt. Dit wetsvoorstel gaat niet over of en wat wordt
uitgewisseld en biedt om die reden geen grondslag om (bijzondere) persoonsgegevens
te verwerken, maar bepaalt wel hoe uitgewisseld wordt, waarbij de in de AVG opgenomen
bepalingen over de rechten van betrokkenen, beveiliging en privacy by design dienen
te worden in acht genomen. In de NEN-norm per gegevensuitwisseling zal daaraan invulling
worden gegeven. Hierbij wordt de toezichtstaak van de AP niet vergroot. De AP houdt
immers al toezicht op de reeds bestaande uitwisseling van gezondheidsgegevens van
een cliënt tussen zorgverleners en de beveiliging van de gegevens die worden uitgewisseld.
Ondanks dat naar verwachting in algemene zin geen extra capaciteit nodig is, zal steeds
bij het opstellen van de AMvB’s per gegevensuitwisseling aandacht besteed worden aan
de verwachtte gevolgen voor de AP als toezichthouder. Daarbij zal rekening worden
gehouden met de motie van het lid Hijink c.s. (Kamerstukken II 2020/21, 27 529, nr. 240). In de nota van toelichting bij de (wijzigings-)AMvB’s zal steeds worden ingegaan
op de gevolgen voor de AP. Dit alles geschiedt in overleg met de toezichthouder.

9.6 Raad voor Rechtsbijstand

In de uitvoeringstoets gaat de Raad voor de Rechtsbijstand in op de uitwisseling van
medische gegevens in het kader van piketmeldingen bij een crisismaatregel. In het
wetsvoorstel is geregeld dat artikel 8.22, tweede lid van de Wvggz en artikel 18c,
zesde lid van de Wzd niet van toepassing is voor zover het gaat om gegevens die worden
uitgewisseld bij een aangewezen elektronische gegevensuitwisseling. De leden van de
CDA-fractie vragen de regering om een nadere toelichting waarom de Wvggz en Wzd niet
onder het bereik van de Wegiz komen te vallen.

De reikwijdte van het wetsvoorstel is overeenkomstig de reikwijdte van de Wkkgz. Anders
dan de leden van de CDA-fractie stellen, valt zorg als bedoeld in de Wvggz en Wzd
in beginsel binnen de reikwijdte van de Wkkgz en dus dit wetsvoorstel. Echter, in
bepaalde gevallen moet zorg als bedoeld in de Wvggz en Wzd gekwalificeerd worden als
jeugdhulp in de zin van de Jeugdwet of maatschappelijke ondersteuning als bedoeld
in de Wmo 2015. Daarop is de Wkkgz en het voorliggende wetsvoorstel niet van toepassing.

9.7 Internetconsultatie

De leden van de VVD-fractie zijn altijd groot voorstander van innovatie in de zorg.
Een aantal respondenten heeft hun zorgt geuit dat normalisatie innovatie belemmert.
Kan hier een uitgebreide toelichting op gegeven worden? Wat betekent deze wet voor
innovatie in de zorg? Waardoor zouden belemmeringen kunnen ontstaan?

Dit wetsvoorstel kan mogelijk beperkende effecten hebben op de innovatie, doordat
zorgaanbieders worden verplicht om binnen de aangewezen gegevensuitwisselingen gebruik
te maken van gecertificeerde informatietechnologieproducten of -diensten en het certificaat
voor een product of dienst alleen wordt verleend als voldaan is aan de eisen die opgenomen
zijn in een aangewezen (Nederlandse) norm. Dit kan tot gevolg hebben dat aanbieders
van informatietechnologieproducten of -diensten ervoor kiezen om hun innovatieve producten
niet op de Nederlandse markt aan te bieden. Kleine aanbieders van innovatieve producten
of -diensten kunnen de kosten die zij moeten maken voor certificering en het aanpassen
van hun producten of diensten over minder klanten spreiden en zullen daarom op prijs
minder makkelijk kunnen concurreren met grote aanbieders. Dit kan ertoe leiden dat
deze kleine aanbieders niet meer mee kunnen doen op de markt. Wel is mijn verwachting
dat des te meer gegevensuitwisselingstrajecten zijn afgerond, des te lager gemiddeld
genomen de kosten worden voor aanbieders van ICT-producten om te voldoen aan de gestelde
eisen in de normen onder dit wetsvoorstel. De eisen aan techniek die leiden tot interoperabiliteit
en die aanbieders van informatietechnologieproducten of -diensten in andere trajecten
hebben doorgevoerd, zullen door hergebruik ook worden benut in andere producten van
deze aanbieders.

Anderzijds verwacht ik dat het wetsvoorstel ook positieve effecten heeft op innovatie.
Het stellen van eisen aan informatietechnologieproducten of -diensten beperkt naar
verwachting de afhankelijkheid van klanten van hun leverancier voor deze producten
en diensten, omdat ze met minder omschakelingskosten of ongemak in staat zijn om te
wisselen naar een leverancier die een innovatiever product of innovatievere dienst
levert. Ook leidt het stellen van eisen ertoe dat producten en diensten volledig interoperabel
worden. Dit maakt het voor aanbieders van innovatieve producten of diensten makkelijker
om toe te treden tot de zorgmarkt. Het wordt namelijk minder makkelijk om klanten
en data af te schermen voor andere aanbieders, zodat zorgaanbieders makkelijker over
kunnen stappen naar een ander product of een andere dienst. Ook zorgt dit ervoor dat
nieuwe innovatieve producten en diensten eenvoudiger aangesloten kunnen worden op
de bestaande informatietechnologieproducten en – diensten. Normalisatie is hierdoor
juist de motor voor innovatie.

Om de positieve effecten van het wetsvoorstel te kunnen realiseren, is het van groot
belang dat ook kleine aanbieders van informatietechnologieproducten of -diensten en
potentiële nieuwe toetreders worden betrokken bij de ontwikkeling van de normen. Dit
is geborgd door de werkwijze van NEN.

De leden van de D66-fractie vragen de regering te reageren op de stelling van de FMS
dat met het wetsvoorstel wordt bepaald «wat» verplicht moet worden vastgelegd en uitgewisseld,
maar dat over het «hoe» in de praktijk zijn geen afspraken gemaakt en dat zij het
een reëel risico achten dit wetsvoorstel de gegevensuitwisseling vooral op papier
realiseert.

Ik herken mij niet in het beeld zoals geschetst wordt. Met dit wetsvoorstel wordt
het mogelijk om bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens
uitgewisseld moeten worden. Dit betekent dat in de AMvB een duidelijke koppeling wordt
gemaakt tussen welke gegevens uitgewisseld moeten worden die noodzakelijk zijn voor
het leveren van goede zorg aan de cliënt en hoe die uitwisseling moet plaatsvinden.

In spoor 2 worden bij AMvB eisen gesteld die zien op de vraag hoe gegevens uitgewisseld
moeten worden. In de AMvB wordt verwezen naar een NEN-norm die alle eisen voor een
specifieke gegevensuitwisseling beschrijft. Normalisatie is al eerder succesvol ingezet
en een bekend instrument bij het zorgveld en de aanbieders van informatietechnologieproducten
of -diensten.

10. EVALUATIE, OVERGANGSRECHT EN INWERKINGTREDING

10.1 Evaluatie

De regering geeft aan dat zij de wet eens per vijf jaar wil evalueren. ICT-ontwikkelingen
gaan echter supersnel. De wetgever loopt snel achter op technologische ontwikkelingen.
De leden van de CDA-fractie vragen waarom niet een (tussen)evaluatie na bijvoorbeeld
twee jaar wordt uitgevoerd.

In het wetsvoorstel is voor een systematiek gekozen die los staat van technologische
ontwikkelingen. Er worden in het wetsvoorstel geen technische eisen gesteld, en ook
in de AMvB worden in spoor 2 geen technische eisen gesteld. De eisen aan de gegevensuitwisseling
worden in de van toepassing zijnde norm gesteld, waarnaar statisch zal worden verwezen.
In de norm zelf zal, waar nodig, wel dynamisch worden verwezen naar onderliggende
gedetailleerde standaarden, zoals bijvoorbeeld informatiestandaarden van Nictiz. Deze
standaarden worden meerdere malen per jaar aan de stand der techniek aangepast. Om
de rechtszekerheid te waarborgen geldt dat bij dergelijke ongedateerde verwijzingen
de laatste versie van het document (met inbegrip van wijzigingsbladen) waarnaar is
verwezen van toepassing is. Vervolgens zal in het certificeringsschema opgenomen worden
aan de hand van welke versie het certificaat getoetst wordt. Vanuit dit oogpunt acht
ik het daarom niet noodzakelijk al na twee jaar te evalueren.

10.2 Overgangsrecht

Het accreditatieproces zal naar verwachting achttien maanden in beslag nemen, zo schrijft
de regering. De leden van de CDA-fractie vragen wat dit betekent voor het tijdpad.
Waarom kan dit niet sneller?

In de eerste plaats merk ik op dat de 18 maanden het volledige accreditatieproces
is. Een certificerende instelling zal als onderdeel van het accreditatieproces ook
daadwerkelijk een of meerdere certificeringen moeten verrichten om aan te tonen dat
de instelling voldoende gekwalificeerd is. De inwerkingtreding van een AMvB waarin
een gegevensuitwisseling wordt aangewezen is daarmee niet afhankelijk van de duur
van het accreditatieproces. Ten tweede verwacht ik dat naarmate er meer gegevensuitwisselingen
zijn aangewezen, de duur van het accreditatieproces zal versnellen. Vaak zal immers
niet een volledig accreditatieproces meer hoeven te worden doorlopen, maar zal alleen
beoordeeld worden of de instelling die al voor één of meer gegevensuitwisselingen
is geaccrediteerd, voldoet aan de extra eisen voor een nieuwe gegevensuitwisseling.

10.3 Inwerkingtreding

De leden van de VVD-fractie lezen dat er momenteel dertien concept gegevensuitwisselingen
in beeld zijn. Daarvan worden momenteel vier nader uitgewerkt, te weten Digitaal receptenverkeer,
Ziekenhuizen BgZ, Verpleegkundige overdracht en Beeld-Ziekenhuizen. Bij twee van de
drie hebben deze leden wel een beeld, maar wat houden Ziekenhuizen BgZ en Beeld-Ziekenhuizen
precies in? Waarom is voor deze vier gekozen? Hoe is de selectie tot stand gekomen?
Hoe worden zorgverleners in de verschillende ketens betrokken bij de selectie en invulling?

Met Ziekenhuizen BgZ wordt bedoeld Basisgegevensset Zorg. De BgZ is een verzameling
zorginformatiebouwstenen (zibs) die bestaat uit gezondheidsgegevens waarvan het veld
aangeeft dat deze (bijna) altijd nodig zijn voor continuïteit van zorg. Beeld-Ziekenhuizen
omvat uitwisseling van medische beelden en bijbehorend verslag (meer specifiek radiologiebeelden
en verslagen).

Na advies van het Informatieberaad Zorg, zijn in 2019 dertien gegevensuitwisselingen
geselecteerd. Daarvan worden momenteel vier gegevensuitwisselingen nader uitgewerkt.

Bij de uitwerking van de vier gegevensuitwisselingen worden uiteraard de zorgverleners
betrokken. Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is in de eerste
plaats een kwaliteitsstandaard nodig waarin is opgenomen welke gegevens met het oog
op het verlenen van goede zorg moeten worden uitgewisseld. Het opstellen of wijzigen
van een kwaliteitsstandaard geschiedt tripartiet, dat wil zeggen door zorgaanbieders
of zorgverleners, organisaties van cliënten, en zorgverzekeraars of Wlz-uitvoerders.
Voor zover er een NEN-norm verplicht wordt gesteld, is relevant dat NEN alle belanghebbenden
bij een norm, waaronder zorgverleners, uitnodigt om deel te nemen aan de werkgroep
die de norm ontwikkelt. Vervolgens wordt de NEN-norm in openbare commentaarronde gebracht
en de ontwerpAMvB in internetconsultatie gedaan, zodat eenieder zich erover kan uitspreken.
Ook zorgverleners die nog niet eerder betrokken waren in het proces kunnen dan alsnog
hun inbreng leveren.

Voor de selectie van nieuwe prioritaire gegevensuitwisselingen die in de geactualiseerde
MJA Wegiz opgenomen kunnen worden, is inmiddels een proces vormgegeven.

De leden van de VVD-fractie zien vooral ook bij de spoedeisende zorg (ambulance, SEH)
voordelen van elektronische gegevensuitwisseling. Waarom is daar niet voor gekozen?
En dekt «ambulance-overdracht» de volledige spoedeisende zorg?

Ik deel de mening dat er ook bij de spoedeisende zorg voordelen zijn van elektronische
gegevensuitwisseling. Het veld deelt dit ook. Binnen het Programma Met spoed beschikbaar,
een samenwerking tussen veldpartijen en ook VWS, wordt daarom gewerkt aan elektronische
uitwisseling van gegevens in de acute zorg. Op dit moment heeft het de voorkeur om
eerst binnen dit programma verdere stappen te zetten. Een eventuele wettelijke verplichting
om (gestandaardiseerd) elektronisch gegevens uit te wisselen is immers bedoeld als
sluitstuk. Na het afronden van het programma zal samen met de organisaties opnieuw
gekeken worden naar het opnemen van de gegevensuitwisseling op de MJA Wegiz.

Ambulance-overdracht dekt niet de volledige spoedeisende zorg. Er zijn meerdere uitwisselingen
die onderdeel zijn hiervan, bijvoorbeeld gegevensuitwisselingen tussen de huisarts,
huisartsenpost, ambulancedienst en afdeling spoedeisende hulp. Deze uitwisselingen
zijn overigens ook onderdeel van het Programma Met spoed beschikbaar.

De leden van de VVD-fractie zien bovendien grote voordelen bij medicatie verstrekken
en toedienen. Deze is ook niet geselecteerd als een van de eerste vier. Waarom niet?

Laat ik vooropstellen dat ik de grote voordelen bij medicatie verstrekken en toedienen
ook zie, het zorgveld heeft voor nu echter andere gegevensuitwisselingen processen
geprioriteerd. Ik stimuleer wel het landelijke Programma Medicatieoverdracht. Het
programma Medicatieoverdracht werkt aan goede en complete elektronische overdracht
van medicatiegegevens.

De leden van de VVD-fractie vragen of er een indicatie gegeven kan worden van de meerjarenplanning
van de concept-gegevensuitwisselingen? En wat ontbreekt er na deze eerste dertien
nog voor een goede elektronische gegevensuitwisseling in de zorg?

– Beelduitwisseling voor medisch-specialistische zorg: de spoor 2 aanwijzing die momenteel
in voorbereiding is kan naar verwachting begin 2024 in werking treden;

– Basisgegevensset Zorg voor instellingen voor medisch-specialistische zorg: de spoor
2 aanwijzing die momenteel in voorbereiding is kan naar verwachting begin 2024 in
werking treden.

Voor de overige gegevensuitwisselingen op de MJA Wegiz zal eerst een MKBA en een volwassenheidsscan
worden uitgevoerd voordat een goed onderbouwde uitspraak worden gedaan over de termijn
waarop de gegevensuitwisselingen gerealiseerd kunnen worden.

Deze 13 gegevensuitwisselingen dekken niet de totale gegevensuitwisseling in de zorg.
Met de lijst van 13 geprioriteerde gegevensuitwisselingen is beoogd focus aan te brengen.
Zo weet het zorgveld en de leveranciers waar de komende jaren aan gewerkt wordt. Bij
de actualisaties van de MJA Wegiz, die periodiek worden uitgevoerd, kunnen nieuwe
gegevensuitwisselingen als prioritair worden aangewezen als ze voldoen aan de gestelde
criteria. Op die manier kan er met focus worden gewerkt aan de geleidelijke weg naar
interoperabiliteit in de zorg. Samen met het zorgveld bepaal ik op deze manier ook
de toekomstige prioritering.

De leden van de D66-fractie vragen de regering of zorgaanbieders en leveranciers van
software voldoende zijn voorbereid op de komst van deze wet. Of is de verwachting
dat na inwerkingtreding er voldoende tijd is voor partijen om zich alsnog voor te
bereiden voor de geldende verplichtingen? Zo ja, hoe lang zal het duren voordat de
eerste gegevensuitwisseling via deze wet echt van kracht is?

Als onderdeel van de voorbereiding van het wetsvoorstel heb ik zorgaanbieders en ICT-leveranciers
op verschillende momenten geïnformeerd over de inhoud van het wetsvoorstel (bijvoorbeeld
via online bijeenkomsten). Daarnaast hebben zorgaanbieders en leveranciers de gelegenheid
gekregen om via internetconsultatie te reageren op het wetsvoorstel.

De verplichtingen die uit het wetsvoorstel voortvloeien voor zorgaanbieders en leveranciers
zullen stap voor stap, gegevensuitwisseling per gegevensuitwisseling ingaan. Pas als
een gegevensuitwisseling bij AMvB is aangewezen en de AMvB inwerking is getreden,
gaan de verplichtingen gelden voor zover het om die betreffende gegevensuitwisseling
gaat. Bij de ontwikkeling van de AMvB en de NEN-norm – in het geval van een spoor
2-aanwijzing – wordt het veld betrokken. Om betrokken partijen voldoende tijd te geven
om zich voor te bereiden op en te voldoen aan de bij AMvB gestelde eisen, zal bovendien
tussen de publicatie van de AMvB en inwerkingtreding van die AMvB een dan nader te
bepalen termijn in acht worden genomen.

Zoals beschreven in de brief ik uw Kamer heb toegezonden in het kader van de aanbieding
van het wetsvoorstel (Kamerstukken II 2020/21, 27 529, nr. 263) zal de eerste gegevensuitwisseling, als het wetsvoorstel wordt aangenomen, naar
verwachting in 2023 in werking treden. Bij het bepalen van de exacte datum van inwerkingtreding
zal uiteraard rekening worden gehouden met de mogelijkheden voor zorgaanbieders en
leveranciers om zich op de inwerkingtreding van deze verplichting voor te bereiden.

Er zijn momenteel dertien (concept)gegevensuitwisselingen in beeld. Daarvan worden
momenteel vier nader uitgewerkt. Bij deze vier concept gegevensuitwisselingen zijn
er nog geen (passende) kwaliteitsstandaarden of is de kwaliteitsstandaard niet specifiek
genoeg als basis voor een wettelijke verplichting op grond van de dit wetsvoorstel.
De leden van de CDA-fractie vragen wat de planning hierbij is. Wanneer zouden deze
kwaliteitsstandaarden op zijn vroegst uitgewerkt kunnen zijn? In hoeverre worden zorgpartijen
meegenomen in het bepalen van deze tijdspaden?

De in het wetsvoorstel beschreven systematiek gaat uit van passende kwaliteitsstandaarden.
Het is aan namelijk aan het zorgveld om te bepalen welke gegevens uitgewisseld moeten
worden voor het verlenen van goede zorg. Een andere mogelijkheid die het wetsvoorstel
biedt is dat de afspraken worden neergelegd in wet- en regelgeving. Omdat voor de
vier reeds geprioriteerde gegevensuitwisselingen nog geen passende kwaliteitsstandaard
of wettelijke basis aanwezig is, wordt bij deze gegevensuitwisselingen voor de aanwezigheid
van een kwaliteitsstandaard een overgangstermijn gehanteerd van 5 jaar (door artikel
1.4, tweede lid, pas vijf jaar na inwerkingtreding van artikel 1.4, eerste lid, in
werking te laten treden). De kwaliteitsstandaarden moeten dus binnen deze termijn
worden gerealiseerd. Daarbij is relevant dat voor een aantal gegevensuitwisselingen
die momenteel uitgewerkt worden al afspraken zijn waarbij bepaald is welke gegevens
worden uitgewisseld. Voor Digitaal voorschrijven en ter hand stellen is dit de informatiestandaard
Medicatieproces 9.0 waarin staat welke gegevens door welke zorgverlener op welk moment
worden uitgewisseld. Voor Ziekenhuizen Bgz is ook een informatiestandaard ontwikkeld
die bepaalt welke gegevens ten minste van een patiënt beschikbaar moeten zijn.

Het opstellen of wijzigingen van een kwaliteitsstandaard geschiedt tripartiet, dat
wil zeggen door organisaties van cliënten, zorgaanbieders of zorgverleners en zorgverzekeraars
of Wlz-uitvoerders. Het is dus primair aan deze partijen om een planning te maken.

De leden van de CDA-fractie vragen op welke manieren zorgpartijen de komende periode
inhoudelijk worden betrokken bij de totstandkoming van de AMvB. Hoe ziet het vervolgtraject
eruit nadat het wetsvoorstel wordt aangenomen? Wordt dit traject vanuit de ministeries
bedacht, of worden zorgpartijen hierbij betrokken?

Nadat de NEN-norm in concept gereed is zal deze via een openbare commentaarronde uitgezet
worden. Alle zorgpartijen hebben dan gelegenheid in te spreken op de norm.

Tegelijkertijd zal een concept van de AMvB waarin een gegevensuitwisseling wordt aangewezen
in internetconsultatie worden gebracht. Ook met de internetconsultatie wordt beoogd
dat eenieder – dus ook alle zorgpartijen – de gelegenheid te geven zich uit te spreken
over de beoogde verplichte elektronische gegevensuitwisseling. Wanneer een gegevensuitwisseling
in eerste instantie zal worden aangewezen in spoor 1, wordt het zorgveld in ieder
geval via internetconsultatie betrokken bij de gegevensuitwisseling.

Zoals aangegeven in paragraaf 2.3.1 zijn er momenteel dertien concept-gegevensuitwisselingen
in beeld, zo lezen de leden van de SGP-fractie. Geen van de kwaliteitsstandaarden
op basis waarvan gegevensuitwisseling zou kunnen worden gebaseerd lijkt specifiek
genoeg als basis voor een wettelijke verplichting op grond van de dit wetsvoorstel.
Wanneer verwacht de regering dat de gegevensuitwisselingen gereed zijn om aan de lijst
toegevoegd te worden en de kwaliteitsstandaarden gereed zijn om als grondslag te dienen?
Heeft dit nog consequenties voor de datum van inwerkingtreding van de wet?

De gegevensuitwisselingen die in 2019 zijn opgenomen op de voorloper van de MJA Wegiz
zijn opgenomen na overleg met het Informatieberaad Zorg. Vier van deze gegevensuitwisselingen
worden momenteel tot een aanwijzing onder het wetsvoorstel uitgewerkt. De in het wetsvoorstel
beschreven systematiek gaat uit van passende kwaliteitsstandaarden. Het is aan namelijk
aan het zorgveld om te bepalen welke gegevens uitgewisseld moeten worden voor het
verlenen van goede zorg. Wanneer deze afspraken in een kwaliteitsstandaard zijn vastgelegd,
is verzekerd dat deze afspraken kenbaar zijn, want goed toegankelijk via het register
van het Zorginstituut, en is geborgd dat alle partijen die een belang hebben betrokken
zijn. Dit is geregeld in de Zorgverzekeringswet en met ingang van 1 juli 2021 in de
Wkkgz. Een andere mogelijkheid die het wetsvoorstel biedt is dat de afspraken worden
neergelegd in wet- en regelgeving. Omdat voor de vier reeds geprioriteerde gegevensuitwisselingen
nog geen passende kwaliteitsstandaard of wettelijke basis aanwezig is, wordt bij deze
gegevensuitwisselingen voor de aanwezigheid van een kwaliteitsstandaard een overgangstermijn
gehanteerd van 5 jaar (door artikel 1.4, tweede lid, pas vijf jaar na inwerkingtreding
van artikel 1.4, eerste lid, in werking te laten treden). Indien noodzakelijk kan
deze overgangstermijn ook worden gehanteerd voor de overige negen gegevensuitwisselingen
die op de MJA Wegiz staan. Voor de overige gegevensuitwisselingen geldt dat er plaatsing
van gegevensuitwisselingen op de MJA Wegiz een passende kwaliteitsstandaard of wettelijke
basis aanwezig moet zijn of in ontwikkeling moet zijn.

De indicatieve inwerkingtredingsdata zijn voor de vier geprioriteerde gegevensuitwisselingen
als volgt:

– Beelduitwisseling voor medisch-specialistische zorg: de spoor 2 aanwijzing die momenteel
in voorbereiding is kan naar verwachting begin 2024 in werking treden;

– Basisgegevensset Zorg voor instellingen voor medisch-specialistische zorg: de spoor
2 aanwijzing die momenteel in voorbereiding is kan naar verwachting begin 2024 in
werking treden.

De leden van de SGP-fractie lezen dat voor de dertien concept gegevensuitwisselingen
een overgangsperiode van vijf jaar gaat gelden waarin wat wordt uitgewisseld nog niet
neergelegd hoeft te zijn in een kwaliteitsstandaard of in wetgeving. Gedurende deze
periode kunnen de gegevensuitwisselingen wel aangewezen worden bij AMvB (artikel 1.4,
eerste lid), maar zullen parallel de benodigde kwaliteitsstandaarden opgesteld respectievelijk
aangepast moeten worden of eventueel in wet- of regelgeving moeten worden vastgelegd
(artikel 1.4, tweede lid). Kan de regering toelichten hoe zij dit proces precies voor
zich ziet?

Omdat voor de vier reeds geprioriteerde gegevensuitwisselingen nog geen passende kwaliteitsstandaard
of wettelijke basis aanwezig is, wordt bij deze gegevensuitwisselingen voor de aanwezigheid
van een kwaliteitsstandaard een overgangstermijn gehanteerd van 5 jaar (door artikel
1.4, tweede lid, pas vijf jaar na inwerkingtreding van artikel 1.4, eerste lid, in
werking te laten treden). De kwaliteitsstandaarden moeten dus binnen deze termijn
worden gerealiseerd. Tot inwerkingtreding van de verplichting dat een kwaliteitsstandaard
of wettelijke verplichting aanwezig moet zijn, zal in plaats van een verwijzing naar
kwaliteitsstandaarden of een wettelijke grondslag de gemaakte afspraken om gegevens
uit te wisselen worden benoemd in de AMvB. De AMvB zal voor deze gegevens niet gaan
bepalen dat ze moeten worden uitgewisseld, maar alleen dat als die benoemde gegevens
worden uitgewisseld, dat ze uitgewisseld moeten worden op de wijze zoals voorgeschreven
door het voorliggende wetsvoorstel. Het verdere proces verloopt op dezelfde wijze.
Zo wordt bijvoorbeeld de AMvB net als andere AMvB’s waarin een gegevensuitwisseling
wordt voorgehangen bij beide kamers der Staten-Generaal voorgehangen.

Voor een aantal van de vier gegevensuitwisselingen die momenteel uitgewerkt worden
geldt dat er al afspraken zijn waarbij bepaald is welke gegevens worden uitgewisseld.
Voor Digitaal voorschrijven en ter hand stellen is dit de informatiestandaard Medicatieproces
9.0 waarin staat welke gegevens door welke zorgverlener op welk moment worden uitgewisseld.
Voor Ziekenhuizen Bgz is ook een informatiestandaard ontwikkeld die bepaalt welke
gegevens ten minste van een patiënt beschikbaar moeten zijn.

De leden van de SGP-fractie merken overigens op dat er een evaluatiebepaling is opgenomen
in het wetsvoorstel waardoor eveneens binnen vijf jaar een evaluatie van de wet plaatsvindt.
Hoe verhouden evaluatie en overgangsperiode zich tot elkaar?

De termijnen zijn niet onlosmakelijk met elkaar verbonden, maar de duur van de overgangsperiode
is inderdaad mede gekozen met het oog op de evaluatie termijn. In de evaluatie zal
ook aandacht besteed worden aan het gekozen wettelijke stelsel, waaronder de rol van
de kwaliteitsstandaarden daarin.

11. Overig

De leden van de PvdD-fractie zien mogelijkheden voor een gefaseerde regionale uitrol
van het wetsvoorstel. Deze regionale uitrol zou mogelijk zijn wanneer er privacybestendig,
niet elektronisch verplicht, en er met een decentrale digitale infrastructuur gewerkt
gaat worden. Is de regering bereid, wanneer aan het voorgaande voldaan is, een regionale
proef op te starten? Zo ja, op welke termijn denkt de regering dit te kunnen doen?

Met de leden van de PvdD-fractie constateer ik dat regionale proeven bijdragen aan
het mogelijk maken van elektronische gegevensuitwisseling. Conform de amendementen
Van den Berg/Veldman (Kamerstuk II 2019/20, 35 300 XVI, nr. 28) en amendement Van den Berg c.s. (Kamerstuk II 2020/21, 35 570 XVI, nr. 61) stimuleer ik sinds 2020 pilots die gericht zijn op cross-sectorale gegevensuitwisseling
in de regio. Zo ben ik gestart met het ondersteunen van de ontwikkeling van een digitaal
regionaal zorgplatform in de provincie Zeeland en verken ik mogelijkheden voor pilots
in Limburg en de Achterhoek. Daarbij richt ik me op de randvoorwaarden die nodig zijn
om de gegevensuitwisseling op gang te brengen.

II. ARTIKELGEWIJZE TOELICHTING

Artikel I

De leden van de VVD-fractie lezen dat in artikel 1.5, eerste lid, dat het voor de
zorg die wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen
en Forensisch Psychiatrische Centra vanuit veiligheidsoverwegingen noodzakelijk kan
zijn dat op een andere wijze gegevens worden uitgewisseld en dat er een uitzondering
is opgenomen. Kan daarop een uitgebreide toelichting worden gegeven, want het lijkt
deze leden juist belangrijk dat er in die gevallen wel elektronische gegevensuitwisseling
kan plaats vinden, omdat dan meestal een totaal andere en nieuwe zorgverlener zal
zijn.

Zorg in strafrechtelijk kader vergt steeds een bijzondere afweging vanwege het veiligheidsaspect.
Dat geldt ook voor gegevensoverdracht in het kader van die zorg. Dat maakt dat de
gegevensoverdracht soms anders dient te verlopen dan in de reguliere zorg. Dit laat
echter onverlet dat ook bij zorg in strafrechtelijk kader elektronische uitwisseling
van gegevens – voor zover dat met het oog op de veiligheid verantwoord is – het uitgangspunt
is. Waar mogelijk zal steeds de in dit wetsvoorstel voorziene wijze van het uitwisselen
van gegevens worden gevolgd, zeker als het gaat om gegevensuitwisseling met zorgverleners
die onverkort onder het bereik van de wet vallen. Ook hier geldt immers dat elektronische
uitwisseling over het algemeen de veiligste manier is voor de uitwisseling van persoonsgegevens.
Er zullen echter altijd situaties zijn waar verplichte elektronische gegevensoverdracht
op de voorgeschreven wijze niet zal kunnen plaatsvinden omdat daardoor bijvoorbeeld
de verblijfplaats of mogelijke vervoersbewegingen van gedetineerden bekend zouden
kunnen worden, terwijl dat uitdrukkelijk niet de bedoeling is vanwege de risico’s
voor de veiligheid van bijvoorbeeld de gedetineerde of personeel van Dienst Justitiële
Inrichtingen (hierna: DJI). Dit betreffen dus veiligheidsoverwegingen die zijn verbonden
aan de tenuitvoerlegging van straffen en maatregelen.

De leden van de CDA-fractie vragen waarom deze wet niet van toepassing is op de zorg
in justitiële inrichtingen, forensische zorg en militaire gezondheidszorg. De regering
wijst in de toelichting op het artikel dat dit is vanwege veiligheidsoverwegingen.
Dat begrijpen de leden van de CDA-fractie niet, want de kern van de gegevensuitwisseling
is nu juist dat dit veilig moet gebeuren?

Zorg in strafrechtelijk kader vergt steeds een bijzondere afweging vanwege het veiligheidsaspect.
Dat geldt ook voor gegevensoverdracht in het kader van die zorg. Dat maakt dat de
gegevensoverdracht soms anders dient te verlopen dan in de reguliere zorg. Dit laat
echter onverlet dat ook bij zorg in strafrechtelijk kader elektronische uitwisseling
van gegevens – voor zover dat met het oog op de veiligheid verantwoord is – het uitgangspunt
is. Waar mogelijk zal steeds de in dit wetsvoorstel voorziene wijze van het uitwisselen
van gegevens worden gevolgd, zeker als het gaat om gegevensuitwisseling met zorgverleners
die onverkort onder het bereik van de wet vallen. Ook hier geldt immers dat elektronische
uitwisseling over het algemeen de veiligste manier is voor de uitwisseling van persoonsgegevens.
Er zullen echter altijd situaties zijn waar verplichte elektronische gegevensoverdracht
op de voorgeschreven wijze niet zal kunnen plaatsvinden omdat daardoor bijvoorbeeld
de verblijfplaats of mogelijke vervoersbewegingen van gedetineerden bekend zouden
kunnen worden, terwijl dat uitdrukkelijk niet de bedoeling is vanwege de risico’s
voor de veiligheid van bijvoorbeeld de gedetineerde of personeel van DJI. Dit betreffen
dus veiligheidsoverwegingen die zijn verbonden aan de tenuitvoerlegging van straffen
en maatregelen.

Waarom is ervoor gekozen om de wettelijke beveiligingsnormen in de zorg straks onder
te brengen in verschillende AMvB’s in plaats van in één wettelijke regeling, vragen
de leden van de SP-fractie aan de regering.

Op grond van het Begz moeten zorgaanbieders reeds onder het huidige recht voldoen
aan de NEN 7510 en aanverwante normen inzake informatiebeveiliging. Om zoveel mogelijk
te voorkomen dat zorgaanbieders in verschillende wet- en regelgeving moeten zoeken
naar de normen die voor hen gelden, is beoogd dat wanneer een gegevensuitwisseling
wordt aangewezen in de AMvB onder het voorliggende wetsvoorstel, de verplichting om
aan NEN 7510 en de aanverwante normen te voldoen over te nemen in de NEN-norm die
voor die gegevensuitwisseling verplicht wordt gesteld.

De leden van de PvdD-fractie lezen in de wetstekst dat er bij artikel 1.4 2a verwezen
wordt naar kwaliteitstandaard conform de Wkkgz. Echter wordt in dit artikel geen kwaliteitsstandaard
genoemd. Kan de regering dit toelichten?

Met ingang van 1 juli 2021 is de Wet van 9 september 2020 tot wijziging van de Wet
kwaliteit, klachten en geschillen zorg in verband met het creëren van een bevoegdheid
voor Onze Minister om een voorgedragen kwaliteitsstandaard vanwege financiële gevolgen
niet in het openbaar register op te nemen (financiële toetsing voorgedragen kwaliteitsstandaarden)
(Stb. 2020, nr. 346) in werking getreden (Stb. 2021, nr. 143). Met die wet is aan artikel 1, eerste lid, Wkkgz een begripsomschrijving van het
begrip kwaliteitsstandaard toegevoegd, zoals die eerst was opgenomen in de Zorgverzekeringswet.
De omschrijving van kwaliteitsstandaard is niet veranderd met deze wijziging. De verwijzing
in artikel 1.4, tweede lid, onder a, van voorliggend wetsvoorstel is daarmee – anders
dan op het moment waarop de leden van de SP-fractie de vraag stelden – correct.

Daarnaast willen de leden van de PvdD-fractie ook weten hoe de kwaliteitsstandaarden
bepaald gaat worden. Komt dit vanuit de zorgverleners zelf of vanuit de NEN? Of gaan
we hierbij wederom een verschuiving naar de zorgverzekeraars zien, met alle gevolgen
van dien?

Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen is een kwaliteitsstandaard
nodig waarin is opgenomen welke gegevens met het oog op het verlenen van goede zorg
moeten worden uitgewisseld. Het opstellen of wijzigingen van een kwaliteitsstandaard
geschiedt tripartiet, dat wil zeggen door organisaties van cliënten, zorgaanbieders
of zorgverleners en zorgverzekeraars of Wlz-uitvoerders. Dit is bestaand recht, het
voorliggende wetsvoorstel brengt hierin geen veranderingen aan. Zo kan tripartiet
bijvoorbeeld worden bepaald dat gegevens over bloeddruk nodig zijn voor goede zorg
en dus ook – bijvoorbeeld in het kader van overdracht – moeten worden uitgewisseld.

De leden van de PvdD-fractie vragen of het klopt dat, omdat het om een «kan-bepaling»
gaat, de lijst met gegevensuitwisselingen dus niet omgezet moet worden in AMvB’s?

Dit is juist. De MJA Wegiz betreft een lijst van gegevensuitwisselingen waarvan de
Minister van oordeel is dat ze prioritair zijn. Het kan gezien worden als een beleidsvoornemen
om bepaalde gegevensuitwisselingen aan te wijzen. Alvorens deze gegevensuitwisselingen
daadwerkelijk (kunnen) worden aangewezen toetst de Minister de geprioriteerde gegevensuitwisselingen
op toegevoegde waarde en realiseerbaarheid door middel van onder andere een MKBA en
een volwassenheidscan. De ontwerpAMvB, waarbij de uiteindelijke gegevensuitwisselingen
worden aangewezen, wordt voorgehangen. Bij geprioriteerde gegevensuitwisselingen waarvan
na toetsing blijkt dat een verplichting per AMvB niet wenselijk is, of in ieder geval
niet op korte termijn, verantwoordt de Minister zich in een kamerbrief.

De leden van de SGP-fractie vragen de regering of aan artikel 1.3 niet nog een zinsnede
of bepaling worden toegevoegd die verwijst naar de periodieke herziening van een lijst.

Periodiek zal een nieuwe MJA Wegiz worden opgesteld. Het wordt niet wenselijk geacht
dit vast te leggen in een wettelijke bepaling, omdat dit ertoe kan leiden dat niet
het beleid leidend is voor de actualisatie, maar de verplichting tot herziening. Het
is niet onwaarschijnlijk dat vooral in de eerste paar jaar een veelheid van gegevensuitwisselingen
door het veld worden aangemeld en de MJA Wegiz frequenter zal moeten worden geactualiseerd,
dan in de jaren daarna.

De leden van de SGP-fractie vragen over artikel 1.4, tweede lid, onderdeel b: zou
in deze bepaling niet explicieter moeten worden gemaakt dat het gaat om wet- of regelgeving
waarin de deling van gegevens verplicht wordt gesteld? Is ««welke gegevens noodzakelijk
zijn»» niet te algemeen?

Artikel 1.4, tweede lid, onderdeel b, moet steeds in samenhang met het doel van het
wetsvoorstel, bedoeld in artikel 1.2 worden bezien. Het gaat dus steeds om gegevens
die noodzakelijk zijn uit te wisselen over een cliënt tussen zorgverleners.

Artikel 1.4, derde lid: De leden van de SGP-fractie vragen of de regering voornemens
is één of meerdere AMvB’s op te stellen.

Onder het wetsvoorstel zal in beginsel één AMvB worden opgesteld die steeds gewijzigd
wordt middels wijziging-AMvB’s wanneer nieuwe gegevensuitwisselingen worden aangewezen.

Artikel II

In artikel 2.1, vierde lid, wordt geregeld dat de hoofdaannemer verantwoordelijk is
te voldoen aan de verplichting zoals opgenomen in het eerste tot en met het derde
lid, zo leden de leden van de VVD-fractie. Waarom is daarvoor gekozen? Is dit werkbaar
en uitvoerbaar?

Met het bepaalde in artikel 2.1, vierde lid, wordt aangesloten bij de verantwoordelijkheids-
en aansprakelijkheidsstructuur uit de Wkkgz. Daarmee wordt gewaarborgd dat de onderaannemer
zich houdt aan de op de zorgaanbieder rustende wettelijke verplichtingen, waaronder
die op grond van dit wetsvoorstel. Daartoe wordt een schriftelijke overeenkomst tussen
beide partijen gesloten. Doordat wordt aangesloten bij een bestaande werkwijze uit
de Wkkgz wordt artikel 2.1, vierde lid, in de praktijk werkbaar en uitvoerbaar geacht.
Bij de evaluatie zal moeten blijken wat de ervaringen zullen zijn en of eventuele
aanpassingen nodig zijn.

Mogen de leden van de CDA-fractie concluderen dat de gehele keten van zorgverleners
de verantwoordelijkheid is van de zorgaanbieder die hoofdaannemer is?

Dat is juist. Een zorgaanbieder is verantwoordelijk voor de onder hem ressorterende
zorgverleners. Dit geldt ook wanneer een instelling (zoals een medisch specialistisch
bedrijf) zorg verleent binnen een andere instelling (zoals een ziekenhuis). Een medisch
specialistisch bedrijf fungeert in dat geval niet als een zorgaanbieder in de zin
van de Wkkgz, maar als zorgverlener. Het ziekenhuis is in dit voorbeeld de zorgaanbieder
en daarmee verantwoordelijk voor het voldoen aan de verplichting in artikel 2.1 van
het wetsvoorstel.

Artikel III

In artikel 3.1, zevende lid, wordt in de toelichting aangegeven dat de bepaling noodzakelijkerwijs
ruim geformuleerd is, zo lezen de leden van de VVD-fractie. Waarom is dat nodig? In
hoeverre wordt dat in vergelijkbare gevallen ook ruim geformuleerd? En in hoeverre
is het niet te ruim?

In de toelichting op artikel 3.2 zevende lid, wordt verwezen naar een andere wet,
namelijk de Kaderwet Zbo’s. Het in die wet opgenomen artikel 23 is ruim geformuleerd.
In voorliggend wetsvoorstel is een soortgelijke bepaling opgenomen die juist beperkter
is geformuleerd.

In artikel 3.6, derde lid, is ervoor gekozen een standaardtermijn van zes maanden
te hanteren. De leden van de VVD-fractie vragen in hoeverre dit een redelijke termijn
is? Hoe is dit in vergelijkbare gevallen geregeld bij certificaten?

In artikel 3.6, derde lid, heb ik een lastige afweging gemaakt tussen voortgezet gebruik
van een informatietechnologieproduct of -dienst waarvoor geldt dat het niet meer voldoet
aan de vereiste om in aanmerking te komen voor een certificaat en de realiteit dat
de zorgaanbieder tijd nodig heeft om over te stappen op een product of dienst die
wel (weer) aan de eisen voldoet. In de meeste gevallen zal een termijn van zes maanden
hiervoor voldoende zijn.

Deze verlenging is ingekaderd door de eis dat de verlenging noodzakelijk moet zijn
met het oog op de continuïteit van het uitwisselen van gegevens. Voor bepaalde gegevensuitwisselingen
zal de implementatie van een nieuw informatietechnologieproduct of -dienst meer tijd
vergen dan voor andere gegevensuitwisselingen. Dan kan het dus noodzakelijk zijn de
termijn te verlengen. Hoe lang en hoe vaak is dus niet in algemene zin te zeggen,
omdat de omvang en implementatie verschilt per gegevensuitwisseling. Over de noodzakelijk
verlenging zal ik steeds in overleg treden met de IGJ, die zicht heeft op de concrete
situatie bij de zorgaanbieder. Een vergelijkbaar geval is wanneer een «aangemelde
instantie» haar aanwijzing kwijt raakt. In dat geval is er in artikel 46 van Verordening
(EU) 2017/745 van het Europees parlement en de Raad van 5 april 2017 betreffende medische
hulpmiddelen, tot wijziging van Richtlijn 2001/83/EG, Verordening (EG) nr. 178/2002
en (EG) nr. 1223/2009, en tot intrekking van Richtlijnen 90/385/EEG en 93/42/EEG van
de Raad (PbEU 2017, L 117) een regeling voor de weescertificaten. Onder voorwaarden
blijven certificaten nog 9 maanden geldig, met een verlengingsmogelijkheid van nog
3 maanden.

De leden van de CDA-fractie vragen waarom de regering kiest voor private certificerende
instellingen, zoals bij medische hulpmiddelen, en niet voor een publiek stelsel zoals
bij geneesmiddelen, gezien de ervaring met deze laatste positiever is.

Ik heb gekozen voor private certificerende instellingen om verschillende redenen.
In de eerste plaats heeft de private markt de kennis in huis die binnen de overheid
niet of nauwelijks aanwezig is. Ook sluit de inzet van private partijen goed aan bij
de normalisatie door NEN, waarin de inzet van private partijen gebruikelijk is. NEN
ondersteunt en coördineert hun activiteiten. Wel zal de keuze voor private certificerende
instellingen onderdeel zijn van de evaluatie.

De bevoegde instelling kan ook geaccrediteerd zijn door een ander Europees land. De
leden van de CDA-fractie begrijpen dat er nog geen Europese verordening is, zoals
dat wel het geval is bij Medical Devices. Het is deze leden niet duidelijk hoe dan
de kwaliteit van zo’n buitenlands notified body wordt geborgd. Kan de regering hierop
ingaan?

Alle lidstaten van de Europese Unie hebben de mogelijkheid om een nationale accreditatie-instantie
aan te wijzen. Dat is wettelijk vastgelegd in de Europese Verordening 765/2008. De
Raad voor Accreditatie (RvA) is door de overheid aangewezen om deze rol in Nederland
te vervullen.

Eens in de vier jaar onderwerpen nationale accreditatie-instanties elkaar aan een
intensieve beoordeling, de zogenoemde peer reviews. Een peer review wordt uitgevoerd
door collega’s van andere Europese accreditatie-instanties. Zij controleren of de
te beoordelen organisatie aan de gestelde criteria voldoet. De internationale norm
ISO/IEC 17011 en de Europese Verordening 765/2008 gelden hierbij als richtlijn. De
peer reviews dienen als waarborg voor de deskundigheid, onpartijdigheid en onafhankelijkheid
van nationale accreditatie-instanties. De RvA werkt elk jaar mee aan diverse peer
reviews in andere Europese landen. Begin 2014 is de RvA zelf beoordeeld.

Alle Europese accreditatie-instanties zijn aangesloten bij de European co-operation
for Accreditation (EA). De EA heeft tot taak de peer reviews te organiseren en de
harmonisatie tussen de leden te bevorderen. Door wederzijdse erkenning hebben alle
onder Europese accreditatie afgegeven conformiteitverklaringen dezelfde status.

Een accreditatie die gedaan wordt door een accreditatie-instantie uit een ander Europees
land moet wel de accreditatie verrichten aan de hand van eisen zoals die zijn opgenomen
in het wetsvoorstel en zoals die nader uitgewerkt zullen gaan worden bij AMvB.

Artikel IV

In artikel 4.1 tweede lid wordt geregeld dat ambtenaren bevoegd zijn een woning binnen
te treden zonder toestemming van de bewoner, zo lezen de leden van de VVD-fractie.
Waarom wordt dit in de artikelsgewijze toelichting in de toelichting niet toegelicht?
Kan aangegeven worden welke artikelen of delen van artikelen nog meer niet zijn toegelicht
in de toelichting (artikelsgewijs of anderszins)?

Elke bepaling is in het algemene deel dan wel het artikelsgewijze deel van de memorie
van toelichting toegelicht, tenzij evident onnodig. Zo is het begripsomschrijving
«Onze Minister» niet nader toegelicht.

De regering kan een last onder dwangsom opleggen. De leden van de CDA-fractie vragen
wat daarvan de maximale hoogte kan zijn aangezien de boete terecht een zesde categorie
boete kan zijn dan wel maximaal 10% van de omzet.

Op grond van artikel 5:32, derde lid, van de Algemene wet bestuursrecht moet het bedrag
in redelijke verhouding tot de zwaarte van het geschonden belang en tot de beoogde
werking van de dwangsom. Er is geen wettelijk maximaal te verbeuren bedrag noch zijn
er concrete regels voor het bepalen van de hoogte van een dwangsom.

Artikel VII

De leden van de VVD-fractie vragen welke gevolgen de aanpassing van de Wet aanvullende
bepalingen verwerking persoonsgegevens in de zorg in artikel 7.1 concreet heeft.

Deze wijziging heeft als gevolg dat wanneer bij AMvB onder het voorliggende wetsvoorstel
een gegevensuitwisseling wordt aangewezen, de regels die gesteld zijn op grond van
artikel 15j van de Wabvpz op het uitwisselen van die gegevens niet meer van toepassing
zijn. De regels inzake hoe de gegevens bij die gegevensuitwisseling uitgewisseld moeten
worden valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat
om een gegevensuitwisseling die nu onder de Wabvpz valt en overgaat naar het regime
van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Begz
en het Besluit vaststelling bewaartermijn logging (hierna: Bvbl) opgenomen worden.

Wanneer bijvoorbeeld de gegevensuitwisseling «Digitaal voorschrijven en ter hand stellen»
wordt aangewezen, zijn daarop niet langer de eisen uit de Begz en de Bvbl van toepassing.
De relevante eisen uit de Begz en de Bbvl zullen overgenomen worden in (de NEN-norm
in) de AMvB die voor die gegevensuitwisseling wordt opgesteld onder het wetsvoorstel.

De leden van de VVD-fractie vragen waarom in artikel 7.3 (Wpg) het zo wordt geformuleerd
dat de Wpg onder de reikwijdte van het wetsvoorstel valt en bij artikel 7.4 (Wvggz)
dat zorg die verleend onder de reikwijdte van de «kan» vallen? Vanwaar het verschil
in formulering?

Terecht wijzen deze leden op dit verschil in formulering. Dit verschil kan tot onbedoelde
onduidelijkheid leiden, die ik hier graag weg neem.

Zorg als bedoeld in de Wvggz valt in beginsel onder de reikwijdte van de Wkkgz en
dus dit wetsvoorstel. Echter, in bepaalde gevallen moet zorg als bedoeld in de Wvggz
en Wzd gekwalificeerd worden als jeugdhulp in de zin van de Jeugdwet of maatschappelijke
ondersteuning als bedoeld in de Wmo 2015. Daarop is de Wkkgz en dus het voorliggende
wetsvoorstel niet van toepassing. Dit geldt ook voor zorg als bedoeld in de Wzd.

Zorg als bedoeld in de Wpg kan ook onder de reikwijdte vallen. Dat geldt in ieder
geval voor de jeugdgezondheidszorg. Maar voorlichtingscampagnes en behoefte-inventarisaties
vallen bijvoorbeeld niet onder de definitie van «zorg» in de Wkkgz en het voorliggende
wetsvoorstel.

De Minister van Volksgezondheid, Welzijn en Sport,
H.M. de Jonge

Download

Indieners

Indiener
H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport

Bijlagen

Bijlage Download bestand: Beslisnota Wetsvoorstel elektronische gegevensuitwisseling in de zorg (PDF)
Bijlage Download bestand: Aanbiedingsbrief (DOCX)

Datum:19 oktober 2021
Nummer:35824-6
Nota n.a.v. het (nader/tweede nader/enz.) verslag

Activiteiten

4 nov 2021

Procedurevergadering VWS

4 november 2021

Procedurevergadering
Tijd activiteit: 11:30