Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over het ontwerpbesluit houdende uitvoering van de Wet bevorderen samenwerking en rechtmatige zorg (Besluit bevorderen samenwerking en rechtmatige zorg)(Kamerstuk 35515-27)

Nr. 28
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 24 oktober 2023

De vaste commissie voor Volksgezondheid, Welzijn en Sport heeft een aantal vragen
en opmerkingen voorgelegd aan de Minister van Volksgezondheid, Welzijn en Sport over
de brief van 3 oktober 2023 over het ontwerpbesluit houdende uitvoering van de Wet
bevorderen samenwerking en rechtmatige zorg (Besluit bevorderen samenwerking en rechtmatige
zorg) (Kamerstuk 35 515, nr. 27).

De vragen en opmerkingen zijn op 13 oktober 2023 aan de Minister van Volksgezondheid,
Welzijn en Sport voorgelegd. Bij brief van 23 oktober 2023 zijn de vragen beantwoord.

De voorzitter van de commissie, Smals

Adjunct-griffier van de commissie, Krijger

Inhoudsopgave

I.

Vragen en opmerkingen vanuit de fracties

2

 

Vragen en opmerkingen van de leden van de VVD-fractie

2

 

Vragen en opmerkingen van de leden van de D66-fractie

2

 

Vragen en opmerkingen van de leden van de CDA-fractie

3

 
 
 

II.

Reactie van de Minister

4

I. Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de VVD-fractie

De leden van de VVD-fractie hebben kennisgenomen van het ontwerpbesluit houdende de
uitvoering van de Wet bevorderen samenwerking en rechtmatige zorg. Genoemde leden
menen dat met deze wet en het ontwerpbesluit een belangrijke stap wordt gezet in het
aanpakken van fraude in de zorg. Zij hebben hierbij nog enkele vragen.

De leden van de VVD-fractie lezen dat de verstrekking van gegevens in het geval van
een gerechtvaardigde overtuiging van fraude in de zorg, techniekonafhankelijk is geregeld.
De wet noch dit besluit schrijft een systeem voor, maar betrokken instanties zijn
voornemens hiertoe het Waarschuwingsregister zorgfraude te gebruiken. Genoemde leden
vragen aan de Minister om een nadere duiding van deze passage te geven. Hoe wordt
geborgd dat het Waarschuwingsregister geen lege huls wordt en dat het daadwerkelijk
van toegevoegde waarde wordt als raadpleegbaar instrument voor gemeenten en ziektekostenverzekeraars?

Voorts vragen deze leden de Minister om extra alert te zijn op het risico op mogelijke
onjuistheden in gegevens en de risico’s van een te beperkte controle op de juistheid
van gegevens door het Informatie Knooppunt Zorgfraude (IKZ). Welke extra controlemechanismen
kunnen hier nog op gezet worden?

Vragen en opmerkingen van de D66-fractie

1. Bijzondere kadervormende aspecten

De leden van de D66 fractie hebben kennisgenomen van het Ontwerpbesluit. Deze leden
zouden specifiek aandacht willen besteden aan privacyaspecten in de wet. Hoe schat
de Minister het risico in op overmatige gegevensverzameling? Welke maatregelen worden
getroffen om datalekken te voorkomen, bijvoorbeeld bij het IKZ? Kan de Minister nogmaals
verhelderen wie toegang tot de persoonsgegevens moet kunnen hebben, volgens dit voorstel?

2. Gegevensverstrekking bij gerechtvaardigde overtuiging van fraude in de zorg

De leden van de D66 fractie lezen dat er via een ministeriele regeling een protocol
wordt vastgesteld. Wie worden penvoerder en dragen eindverantwoordelijkheid voor dat
protocol? Hoe wordt het zorgveld daarbij betrokken? Wat zijn de belangrijkste overwegingen
bij het bepalen van de bewaartermijnen voor persoonsgegevens in het kader van fraudebestrijding
in de zorg?

De leden van de D66-fractie vragen tevens op welke gronden gegevens eerder kunnen
worden verwijderd dan de maximale bewaartermijn van acht jaar. Hoe wordt de verdeling
van verantwoordelijkheden voor het faciliteren van de rechten van betrokkenen geregeld,
en wie fungeert als aanspreekpunt voor de betrokkenen? Kunnen enkele voorbeelden worden
gegeven van situaties waarin uitzonderingen op de informatieplicht voor gegevensverwerking
van toepassing zouden kunnen zijn? Hoe wordt bepaald of de termijn van acht jaar voor
gegevensbewaring nog steeds noodzakelijk is na het verstrijken van de eerste vier
jaar, en welke factoren spelen hierbij een rol?

3. Informatieknooppunt IKZ

De leden van de D66-fractie vragen voorts wat de criteria zijn waaraan een «aanleiding
tot een vermoeden van fraude in de zorg» moet voldoen voordat gegevens aan het IKZ
worden verstrekt. Hoe wordt de noodzaak voor gegevensverstrekking beoordeeld?

Hoe worden trends en beleidsinformatie met betrekking tot fraude in de zorg door het
IKZ vastgesteld en doorgegeven aan relevante instanties en aan de Minister voor Langdurige
Zorg en Sport? Wat is het doel van deze informatie voor de zorgsector en de beleidsvorming?

Wat zijn de belangrijkste elementen van gegevens die betrokken instanties in de zorgsector
moeten gebruiken om fraude te bestrijden? Hoe wordt bepaald welke trede van verrijking
moet worden toegepast bij een specifiek signaal van mogelijke fraude? Waarom is het
noodzakelijk om gevoelige gegevens, zoals politiegegevens, in een later stadium van
verrijking te verwerken?

Vragen en opmerkingen van de CDA-fractie

De leden van de CDA-fractie lezen dat de verstrekking van gegevens in het geval van
een gerechtvaardigde overtuiging van fraude in de zorg techniekonafhankelijk is geregeld.
De wet noch dit besluit schrijft een systeem voor, maar betrokken instanties zijn
voornemens hiertoe het Waarschuwingsregister zorgfraude te gebruiken. Hieruit begrijpen
genoemde leden dat de Minister er niet voor gekozen heeft een systeem voor te schrijven.
Waarom is hier niet voor gekozen? Zou het in het besluit opnemen van de vraag met
welk systeem gewerkt moet worden, de uitvoering en slagingskans van de Wet Bevorderen
samenwerking en rechtmatige zorg niet vergroten? Zou dit niet zorgen voor eenduidige
dataverzameling?

De leden van het CDA-fractie lezen voorts dat de gemeentelijke toezichthouder, of
de Nederlandse Zorgautoriteit (NZa), het onderzoek niet over doen, maar aan de hand
van het dossier onderzoeken of ze op basis van het gepresenteerde bewijs tot hetzelfde
oordeel komen. Wat gebeurt er als zij niet tot hetzelfde oordeel komen?

De Inspectie Gezondheidszorg en Jeugd (IGJ) stelt al sinds een aantal jaren vast dat
het gemeentelijk toezicht op de Wet maatschappelijke ondersteuning 2015 (Wmo 2015)
onder de maat is, niet op orde is. Genoemde leden vragen hoe de bewindspersonen zich
ervan vergewissen dat het gemeentelijk toezicht op orde is voor deze taak? Hoe zal
dat geborgd worden?

Kan de Minister uiteenzetten aan welke uitzonderlijke gevallen zij denkt om een termijn
van maximaal acht jaar toe te passen bij opname in het waarschuwingsregister, zo vragen
de leden van de CDA-fractie. Waarom geldt bij het IKZ een bewaartermijn van tien jaar?
Waarom is er dit verschil? Kan dat in praktijk niet tot onduidelijkheid leiden?

Wat betreft de uitvoeringstoetsen van verschillende partners die bij de uitvoering
van de wet betrokken zijn, achten de leden van de CDA-fractie de opmerkingen van de
VNG wat voorzichtig geformuleerd. Gemeenten kopen immers Wmo-zorg en/of ondersteuning
en jeugdzorg in en hebben er belang bij om zorgfraude aan te pakken. Delen de bewindspersonen
het standpunt van deze leden?

De leden van de CDA-fractie gaan voorts in op de uitwerking van de wet via het aangenomen
gewijzigd amendement van het lid Hijink c.s.1 De Minister heeft op 18 april jl. een brief 2 naar de Kamer gestuurd en daarin aangegeven dat indien genoemd amendement wordt aangenomen,
de Minister gezien haar standpunt over de uitvoerbaarheid ervan met deze betrokken
instanties in gesprek zal gaan over de uitvoering van de toets vooraf. Kan de Minister
aangeven wat de gesprekken hebben opgeleverd? Tenslotte vragen deze leden hoe de toets
vooraf wordt vormgegeven.

II. Reactie van de Minister

I. Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de VVD-fractie

De leden van de VVD-fractie hebben kennisgenomen van het ontwerpbesluit houdende de
uitvoering van de Wet bevorderen samenwerking en rechtmatige zorg. Genoemde leden
menen dat met deze wet en het ontwerpbesluit een belangrijke stap wordt gezet in het
aanpakken van fraude in de zorg. Zij hebben hierbij nog enkele vragen.

De leden van de VVD-fractie lezen dat de verstrekking van gegevens in het geval van
een gerechtvaardigde overtuiging van fraude in de zorg, techniekonafhankelijk is geregeld.
De wet noch dit besluit schrijft een systeem voor, maar betrokken instanties zijn
voornemens hiertoe het Waarschuwingsregister zorgfraude te gebruiken.

Genoemde leden vragen aan de Minister om een nadere duiding van deze passage te geven.
Hoe wordt geborgd dat het Waarschuwingsregister geen lege huls wordt en dat het daadwerkelijk
van toegevoegde waarde wordt als raadpleegbaar instrument voor gemeenten en ziektekostenverzekeraars?

Met de Wet bevorderen samenwerking en rechtmatige zorg (hierna: Wbsrz) is voorzien
in een wettelijke grondslag die bepaalde partijen verplicht om bepaalde (persoons)gegevens
onderling uit te wisselen. Met de grondslag die deze gegevensuitwisseling in het Waarschuwingsregister
zorgfraude voorschrijft, is tegemoetgekomen aan een wens van gemeenten en ziektekostenverzekeraars
en wordt een belangrijk knelpunt in de samenwerking bij de bestrijding van fraude
in de zorg weggenomen. Dus dat ze moeten uitwisselen is wettelijk verplicht voorgeschreven,
hoe ze dat – op een veilige manier – doen, is deels aan partijen zelf overgelaten.
Aan betrokken instanties is de ruimte gelaten het systeem voor de gegevensuitwisseling
te creëren en daar aanpassingen aan te doen die met het oog op ontwikkelingen in de
praktijk nodig blijken. Dat de term Waarschuwingsregister zorgfraude expliciet in
de memorie van toelichting bij de Wbsrz en de nota van toelichting bij het ontwerpbesluit
bevorderen samenwerking en rechtmatige zorg (hierna: Bbsrz) wordt gebruikt, is daarin
gelegen dat gemeenten en ziektekostenverzekeraars daarmee zelf al hebben aangegeven
welk systeem ze zullen gaan gebruiken. Er is dan ook geen risico op het ontstaan van
een lege huls.

Voorts vragen deze leden de Minister om extra alert te zijn op het risico op mogelijke
onjuistheden in gegevens en de risico’s van een te beperkte controle op de juistheid
van gegevens door het Informatie Knooppunt Zorgfraude (IKZ). Welke extra controlemechanismen
kunnen hier nog op gezet worden?

De voorwaarden waaronder de uitvoering van de Wbsrz plaatsvindt en de (rechts)bescherming
van betrokkenen is steeds een belangrijk aandachtspunt geweest bij de totstandkoming
van de wet en is dat nu ook bij de totstandkoming van de onderliggende regelgeving.
In de Wbsrz en de Bbsrz is met inachtneming van de Algemene Verordening Gegevensbescherming
(hierna: AVG) voorzien in een geheel van passende maatregelen en waarborgen ter bescherming
van de privacy van betrokkenen en een rechtmatige gegevensverwerking. Ten aanzien
van de juistheid van gegevens zijn er diverse momenten van controle. In de eerste
plaats maakt het onderdeel uit van een zorgvuldige en rechtmatige gegevensverwerking
door de instantie die gegevens aan het Informatieknooppunt zorgfraude (hierna: IKZ)
verstrekt. In de tweede plaats controleert het IKZ de gegevens bij ontvangst. Dit
is expliciet voorgeschreven in de Bbsrz (artikelen 3.15 en 3.16) en daartoe is ook
mogelijk gemaakt dat het IKZ de basisregistratie personen raadpleegt (zie artikel
4.2 waarin dit mogelijk wordt gemaakt). Ten derde is het inherent aan het proces van
verrijking van het signaal van fraude in de zorg, dat de juistheid van de gegevens
steeds wordt getoetst. De controle op de juistheid van gegevens is daarmee afdoende.
De Autoriteit persoonsgegevens (hierna: AP) heeft in het advies over de Bbsrz te kennen
gegeven geen opmerkingen te hebben.

Vragen en opmerkingen van de D66-fractie

1. Bijzondere kadervormende aspecten

De leden van de D66 fractie hebben kennisgenomen van het Ontwerpbesluit. Deze leden
zouden specifiek aandacht willen besteden aan privacyaspecten in de wet.

Hoe schat de Minister het risico in op overmatige gegevensverzameling?

De voorwaarden waaronder de uitvoering van de Wbsrz plaatsvindt en de (rechts)bescherming
van betrokkenen is steeds een belangrijk aandachtspunt geweest bij de totstandkoming
van de wet en is dat nu ook bij de totstandkoming van de onderliggende regelgeving.
In de Wbsrz en de Bbsrz is met inachtneming van de AVG voorzien in een geheel van
passende maatregelen en waarborgen ten behoeve van een hoge mate van (rechts)bescherming
van betrokkenen en die de inbreuk op privacy en de mogelijke gevolgen daarvan steeds
tot een minimum beperken. Conform artikel 5, eerste lid, onderdeel c, AVG, dat dataminimalisatie
voorschrijft, en met het oog op het beginsel van privacy by design, betreft de in
de Bbsrz aangewezen set aan gegevens een zo minimaal mogelijke gegevensset. Met de
verstrekking van minder gegevens zou de Wbsrz niet effectief en zorgvuldig kunnen
worden uitgevoerd. De gegevensset is tot stand gekomen in nauwe afstemming met betrokken
instanties en per gegeven is de noodzaak tot verwerking ervan onderbouwd. Bij de gegevensverstrekking
aan het IKZ moeten instanties nog weer per geval afwegen welke gegevens uit de gegevensset
in dat concrete geval noodzakelijk zijn. Hiervoor is onder andere in artikel 3.16
opgenomen dat, om te waarborgen dat het verrijkingsproces proportioneel, zorgvuldig
en rechtmatig verloopt, de verrijking volgens een getrapt proces verloopt. Dit houdt
in dat het IKZ bij het verrijken van een signaal niet direct een uitvraag doet naar
alle in dit besluit aangewezen gegevens van betrokken instanties, maar het verrijkingsproces
en daarmee ook de uitvraag waar mogelijk opdeelt in verschillende treden. Met betrekking
tot het deel van de Bbsrz dat ziet op het Waarschuwingsregister zorgfraude kan nog
worden opgemerkt, dat het alleen gegevens betreft op basis waarvan voor een raadplegende
instantie zorgvuldig is vast te stellen dat de registratie die betrokkene betreft.
Overigens is het waarborgen van privacy ook een belangrijk onderdeel van het protocol
dat gevolgd moet worden om over te kunnen gaan tot een registratie van een gerechtvaardigde
overtuiging van fraude in de zorg. Instanties verstrekken nooit meer of andere gegevens
dan die in het besluit zijn aangewezen. Het systeem dat door instanties wordt gebruikt
om de gegevens aan elkaar te verstrekken, moet ook zodanig zijn ingericht dat dit
onmogelijk is. Tot slot zijn regels gesteld met betrekking tot de termijnen voor het
verstrekken en bewaren van de gegevens en het verwijderen van gegevens.

De risico’s op overmatige gegevensverzameling zijn daarmee afdoende weggenomen of
ingeperkt. De AP heeft in het advies over de Bbsrz te kennen gegeven geen opmerkingen
te hebben.

Welke maatregelen worden getroffen om datalekken te voorkomen, bijvoorbeeld bij het
IKZ?

De verstrekking en verwerking van gegevens wordt beveiligd en moet op een bepaald
vertrouwelijkheidsniveau bestand zijn tegen incidentele gebeurtenissen of onrechtmatige
of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid
van opgeslagen of doorgegeven gegevens in het gedrang brengen. Teneinde vorenstaande
beveiligingsniveau te waarborgen en gelet op de publiek-private samenwerking, is het
voornemen bij ministeriële regeling de Baseline Informatiebeveiliging Overheid (BIO)
voor te schrijven als beveiligingsnorm. Dit geldt zowel voor het Waarschuwingsregister
zorgfraude als het IKZ. Informatiebeveiliging is een vakgebied dat zich snel ontwikkelt
en om informatie ook in de toekomst veilig te houden, is noodzakelijk dat de beveiligingsvoorschriften
met enige regelmaat worden bijgewerkt. Om die reden is gekozen voor verdere delegatie
naar een ministeriële regeling. Een ministeriële regeling kan immers sneller worden
aangepast dan een algemene maatregel van bestuur.

Het gaat bij de BIO om standaardnormeringen. In algemene zin betreft het onder andere
informatiebeveiligingsbeleid, het organiseren van informatiebeveiliging, personeelsbeleid,
het beheer van bedrijfsmiddelen, de toegangsbeveiliging, de fysieke beveiliging en
beveiliging van de omgeving en de beveiliging van bedrijfsvoering en communicatiebeveiliging.
In de praktijk komt dat bijvoorbeeld neer op versleuteling van de persoonsgegevens
(zoals pseudonimisering), het regelen van screening en opleiding van personeel, het
voeren van een autorisatiebeleid, het waarborgen van de geheimhoudingsplicht uit artikel
2.9 Wbsrz, het loggen van uitgevoerde acties en het classificeren, opslaan en verwijderen
van te verwerken gegevens.

Kan de Minister nogmaals verhelderen wie toegang tot de persoonsgegevens moet kunnen
hebben, volgens dit voorstel?

De verschillende bevoegdheden die er zijn binnen het gebruik van het Waarschuwingsregister
zorgfraude, moeten bij verschillende afdelingen of personen binnen de betrokken instanties
worden belegd. Er moet dus onderscheid gemaakt worden tussen de verstrekking en het
raadplegen van gegevens. Zo kan voor de verstrekkende instanties worden geregeld dat
de registratie van gegevens alleen gedaan kan worden door specifiek daartoe bevoegde
medewerkers, het wijzigen alleen door andere medewerkers en het verwijderen door weer
andere medewerkers. In aansluiting op het vastleggen van procedurevoorschriften omtrent
de mogelijkheid tot het registreren in het Waarschuwingsregister zorgfraude, te weten
in het geval dat dat noodzakelijk is in het kader van bestrijding van fraude in de
zorg, dient ook vastgelegd te zijn welke medewerkers het register kunnen raadplegen.
Dit kunnen alleen medewerkers zijn voor wie het raadplegen van het Waarschuwingsregister
zorgfraude noodzakelijk is voor de uitvoering van hun taak, bijvoorbeeld bij de inkoop
van zorg.

Ook binnen het IKZ zal gedifferentieerd worden in autorisatieniveaus van medewerkers.
Ook betrokken instanties moeten bij de inrichting van processen werken met differentiatie
in autorisatieniveaus.

2. Gegevensverstrekking bij gerechtvaardigde overtuiging van fraude in de zorg

De leden van de D66 fractie lezen dat er via een ministeriele regeling een protocol
wordt vastgesteld.

Wie worden penvoerder en dragen eindverantwoordelijkheid voor dat protocol? Hoe wordt
het zorgveld daarbij betrokken?

Ten gevolge van het aangenomen amendement van de leden Werner en van der Staaij3 is in de Wbsrz bepaald dat het protocol, waarvoor de eisen en voorwaarden in het
Bbsrz zijn vastgelegd, wordt opgenomen in een ministeriële regeling. De verantwoordelijkheid
tot opstellen en vaststellen daarvan ligt vanzelfsprekend bij mij en nu dit amendement
is aangenomen hebben partijen zich daartoe te verhouden. De inhoud van het protocol
wordt echter zoveel mogelijk uitgewerkt in afstemming met ziektekostenverzekeraars
en gemeenten, omdat deze instanties, gezien de ervaring met onder andere het externe
verwijzingenregister (EVR) van financiële instellingen, beschikken over de kennis
en ervaring om het protocol op de praktijk te laten aansluiten. Ik laat mij verder
tussentijds bij de invoeringstoets informeren over de eventuele knelpunten in de uitvoering.

Wat zijn de belangrijkste overwegingen bij het bepalen van de bewaartermijnen voor
persoonsgegevens in het kader van fraudebestrijding in de zorg?

De termijnen voor het verstrekken van gegevens in het Waarschuwingsregister zorgfraude
of het bewaren van gegevens door het IKZ, zijn bepaald in nauwe afstemming met betrokken
instanties. Zij beschikken over de kennis en ervaring uit de praktijk en hebben inzicht
in de tijd die processen kosten. Bij het bepalen van de termijnen is een afweging
gemaakt tussen de met de verwerking van gegevens te bereiken doelen, de inbreuk die
met die verwerking wordt gemaakt op de privacy van betrokkene en de mogelijke gevolgen
daarvan voor die betrokkene.

De leden van de D66-fractie vragen tevens op welke gronden gegevens eerder kunnen
worden verwijderd dan de maximale bewaartermijn van acht jaar.

De vraag ziet op de termijn van verstrekking van gegevens in het Waarschuwingsregister
zorgfraude. De standaard is dat gegevens vanaf het moment van verstrekking gedurende
een termijn van vier jaar raadpleegbaar zijn. In uitzonderlijke gevallen, omdat zwaarwegende
omstandigheden dat noodzakelijk maken, kan een termijn van maximaal acht jaar worden
toegepast. In dat geval wordt na het verstrijken van de eerste vier jaar steeds beoordeeld
of het toepassen van de termijn van acht jaar noodzakelijk is of dat met een kortere
termijn dan acht jaar kan worden volstaan. In het protocol zal op grond van artikel
2.2, eerste lid, onderdeel e, en tweede lid, onderdeel l, Bbsrz aandacht worden besteed
aan het bewaren van de gegevens en de duur ervan. De ministeriële regeling met daarin
het protocol wordt alvorens deze vast te stellen nog aan uw Kamer en de Eerste Kamer
voorgelegd.

Hoe wordt de verdeling van verantwoordelijkheden voor het faciliteren van de rechten
van betrokkenen geregeld, en wie fungeert als aanspreekpunt voor de betrokkenen?

Op grond van de AVG is een belangrijke rol weggelegd voor de functionaris gegevensbescherming
(hierna: FG) van de betreffende betrokken instantie of het IKZ. Uit de AVG volgt onder
andere dat een betrokkene zich tot de FG van een verwerkingsverantwoordelijke instantie
kan wenden voor alle aangelegenheden die verband houden met de verwerking van zijn
persoonsgegevens en met de uitoefening van zijn rechten uit hoofde van de AVG.

Instanties en het IKZ moeten zorgdragen voor een vergelijkbaar niveau van bescherming
als het om andere gegevens dan persoonsgegevens gaat, bijvoorbeeld gegevens van een
rechtspersoon. De processen hieromtrent moeten kenbaar zijn en daarover moet gecommuniceerd
worden.

Daarnaast geldt dat de AP ingevolge de Uitvoeringswet AVG formeel toezichthouder is
op de verwerking van persoonsgegevens. Een betrokkene wiens persoonsgegevens worden
verwerkt kan daar op grond van artikel 77 AVG een klacht indienen, bijvoorbeeld ten
aanzien van de uitoefening van zijn rechten op grond van de AVG.

Kunnen enkele voorbeelden worden gegeven van situaties waarin uitzonderingen op de
informatieplicht voor gegevensverwerking van toepassing zouden kunnen zijn?

Van het informeren kan in uitzonderingsgevallen worden afgezien, indien sprake is
van een situatie als bedoeld in artikel 14, vijfde lid, van de AVG. Het gaat bijvoorbeeld
om situaties waarin met het niet-informeren wordt voorkomen dat strafbare feiten plaatsvinden
of dat het informeren negatieve gevolgen voor opsporing of vervolging zou hebben.
Specifieker kan het gaan om de situatie dat de bedoelde verplichting de verwezenlijking
van de doeleinden van die verwerking, te weten bestrijding van fraude in de zorg,
onmogelijk dreigt te maken.

Hoe wordt bepaald of de termijn van acht jaar voor gegevensbewaring nog steeds noodzakelijk
is na het verstrijken van de eerste vier jaar, en welke factoren spelen hierbij een
rol?

De vraag ziet op de termijn van verstrekking van gegevens in het Waarschuwingsregister
zorgfraude. Of de termijn van maximaal acht jaar in een bepaald geval kan worden toegepast,
moet door de verstrekkende instantie worden bepaald op basis van het in het bij ministeriële
regeling vast te stellen protocol opgenomen criterium. Noodzakelijkheid en proportionaliteit
zijn belangrijke aspecten. Betrokken worden aspecten zoals financieel belang en verzwarende
dan wel verzachtende omstandigheden. Verzwarende omstandigheden kunnen bijvoorbeeld
zijn recidive, voortgezette handeling, bedreiging, stelselmatigheid, mate van georganiseerdheid,
samenspanning. Daarnaast kan gedacht worden aan omstandigheden als het aantal gemeenten,
zorgverzekeraars of zorgbehoevenden dat door de fraude is geraakt, of de gezondheid
van zorgbehoevenden in gevaar gekomen is en of sprake is van een schending van de
beroepsintegriteit. Bij verzachtende omstandigheden kan bijvoorbeeld een rol spelen
dat de fraude plaatsvond onder druk van derden. Ook het direct bekennen van (betrokkenheid
bij) fraude in de zorg en het meewerken aan het fraudeonderzoek kunnen hierbij in
overweging genomen worden.

3. Informatieknooppunt IKZ

De leden van de D66-fractie vragen voorts wat de criteria zijn waaraan een «aanleiding
tot een vermoeden van fraude in de zorg» moet voldoen voordat gegevens aan het IKZ
worden verstrekt.

Met die aanduiding wordt de situatie bedoeld dat er feiten en omstandigheden zijn
die erop kunnen wijzen dat fraude in de zorg is of wordt gepleegd. Het kan bijvoorbeeld
gaan om declaratiegedrag van een partij, het door een partij behaalde resultaat (dat
bijvoorbeeld opvallend hoog is) of de wijze waarop het zorggeld door een partij is
besteed. Deze gegevens kunnen blijken uit een enkele factuur, jaarrekening of melding.
Deze gegevens zijn op zichzelf echter onvoldoende om conclusies aan te kunnen verbinden.
Of daadwerkelijk sprake is van een vermoeden van fraude in de zorg, hetgeen nog een
stap verder is dan de aanleiding tot dat vermoeden, is dan nog onduidelijk. Laat staan
dat vastgesteld kan worden dat sprake is van fraude in de zorg. Afgewogen moet zijn
of de beschikbare gegevens voldoende duidelijk en geloofwaardig zijn en of die daadwerkelijk
een aanleiding tot een vermoeden van fraude in de zorg vormen. Daarbij moeten worden
meegenomen de elementen van fraude in de zorg, zoals opzet, misleidend handelen binnen
het zorgdomein en dat met eigen of andermans gewin als oogmerk.

Hoe wordt de noodzaak voor gegevensverstrekking beoordeeld?

Er is sprake van een noodzaak als de bestrijding van de fraude in de zorg zonder de
gegevensverstrekking aan het IKZ niet dan wel onvoldoende efficiënt, zorgvuldig en
op de praktijk gericht kan plaatsvinden. Om de noodzaak te kunnen beoordelen, moeten
instanties inzicht hebben in voor wie van de betrokken instanties, wanneer, welke
gegevens uit de in dit ontwerpbesluit aangewezen gegevens noodzakelijk zijn. Dat is
ook nodig omdat moet worden afgewogen of een signaal kan worden verstrekt zonder of
met minder gegevens.

Hoe worden trends en beleidsinformatie met betrekking tot fraude in de zorg door het
IKZ vastgesteld en doorgegeven aan relevante instanties en aan de Minister voor Langdurige
Zorg en Sport?

Het gaat het om het inzichtelijk maken van ontwikkelingslijnen en neigingen die zich
(gedurende een langere termijn) voordoen op het gebied van fraude in de zorg en in
welke richting dat gebeurt. De uitkomsten van onderzoek en analyse zijn nooit herleidbaar
tot individuele (rechts)personen of signalen. Het IKZ maakt vooraf in het jaarplan
inzichtelijk welke onderzoeken en analyses het voornemens is het betreffende jaar
uit te voeren. Hierbij moet de mogelijkheid open worden gelaten dat op actuele ontwikkelingen
kan worden ingespeeld. Ik moet dat jaarplan goedkeuren. Bij ministeriële regeling
kunnen regels worden gesteld over de termijn waarbinnen en de wijze waarop de verstrekking
aan Onze Minister plaatsvindt. Deze ministeriële regeling wordt alvorens deze vast
te stellen nog aan uw Kamer en de Eerste Kamer voorgelegd. Met betrekking tot de verstrekking
aan betrokken instanties kunnen tussen het IKZ en instanties afspraken worden gemaakt.

Wat is het doel van deze informatie voor de zorgsector en de beleidsvorming?

Bij het ontwikkelen van statistische informatie en beleidsinformatie gaat het om het
inzichtelijk maken van ontwikkelingen die zich (gedurende een langere termijn) voordoen
op het gebied van fraude in de zorg en in welke richting dat gebeurt. Het IKZ stelt
instanties met deze gegevens in de gelegenheid hun toezichthoudende, handhavende en
opsporende taken beter uit te voeren. Op het moment dat ontwikkelingen zichtbaar worden,
kunnen de instanties zelf doelgerichter onderzoek doen of maatregelen treffen. Bovendien
verstevigt deze kennis de mogelijkheden voor instanties om te anticiperen op de gesignaleerde
ontwikkelingen. De Minister voor Langdurige Zorg en Sport kan de ontvangen informatie
gebruiken in het kader van beleidsvorming en eventuele daaruit volgende aanpassingen
van wet- en regelgeving initiëren.

Wat zijn de belangrijkste elementen van gegevens die betrokken instanties in de zorgsector
moeten gebruiken om fraude te bestrijden?

De verschillende betrokken instanties hebben in de bestrijding van fraude in de zorg
elk eigen functies, taken, doelen en instrumenten. Het verschilt dan ook per instantie
welke gegevens zij bij de uitvoering nodig hebben. Elk gegeven uit de in het Bbsrz
aangewezen gegevensset kan noodzakelijk zijn voor de bestrijding van fraude in de
zorg. In de nota van toelichting bij het ontwerpbesluit wordt per gegeven toegelicht
waarvoor het nodig is. Hoewel de aangewezen gegevensset limitatief is wat betreft
de uitvoering van de Wbsrz, kunnen instanties op grond van andere wet- en regelgeving
(ook) andere gegevens gebruiken bij de uitoefening van hun rol en taak in de bestrijding
van fraude in de zorg.

Hoe wordt bepaald welke trede van verrijking moet worden toegepast bij een specifiek
signaal van mogelijke fraude?

Om nader te waarborgen dat in het kader van verrijking van signalen van fraude in
de zorg door het IKZ, gegevens niet of niet verder worden verwerkt indien dit niet
noodzakelijk is, is in het Bbsrz een aantal treden van verrijking voorgeschreven.
De voorgeschreven treden waarborgen een zorgvuldig verrijkingsproces en moeten volgordelijk
worden doorlopen. Uit de beschrijving van de trede volgt wat nodig is om naar de volgende
trede te gaan. Het gaat om de basis, zoals de juistheid van gegevens en de reikwijdte
van het signaal. Inhoudelijk gaat het om de beoordeling van de feiten en omstandigheden
die erop (kunnen) wijzen dat fraude in de zorg is of wordt gepleegd. Afgewogen moet
zijn of de beschikbare gegevens voldoende duidelijk en geloofwaardig zijn en of die
daadwerkelijk een aanleiding tot een vermoeden van fraude in de zorg vormen. Daarbij
moeten de elementen van fraude in de zorg worden meegenomen, zoals opzet, misleidend
handelen binnen het zorgdomein en dat met eigen of andermans gewin als oogmerk.

Waarom is het noodzakelijk om gevoelige gegevens, zoals politiegegevens, in een later
stadium van verrijking te verwerken?

Dit is een van de waarborgen in de Wbsrz en het Bbsrz ter bescherming van de (gegevens
van een) betrokkene. Er wordt gewaarborgd dat deze gegevens, gelet op hun aard, niet
worden verwerkt in een te vroeg stadium van verrijking. Het is een onderdeel van dataminimalisatie
en privacy by design. Als in een eerder stadium van verrijking blijkt dat verdere
verrijking niet noodzakelijk en proportioneel is, dan is voorkomen dat gegevens over
gezondheid of persoonsgegevens van strafrechtelijke aard zijn verwerkt.

Vragen en opmerkingen van de CDA-fractie

De leden van de CDA-fractie lezen dat de verstrekking van gegevens in het geval van
een gerechtvaardigde overtuiging van fraude in de zorg techniekonafhankelijk is geregeld.
De wet noch dit besluit schrijft een systeem voor, maar betrokken instanties zijn
voornemens hiertoe het Waarschuwingsregister zorgfraude te gebruiken. Hieruit begrijpen
genoemde leden dat de Minister er niet voor gekozen heeft een systeem voor te schrijven.
Waarom is hier niet voor gekozen? Zou het in het besluit opnemen van de vraag met
welk systeem gewerkt moet worden, de uitvoering en slagingskans van de Wet Bevorderen
samenwerking en rechtmatige zorg niet vergroten? Zou dit niet zorgen voor eenduidige
dataverzameling?

Met de Wbsrz is voorzien in een wettelijke grondslag die bepaalde partijen verplicht
om bepaalde (persoons)gegevens onderling uit te wisselen. Met de grondslag die deze
gegevensuitwisseling in het Waarschuwingsregister zorgfraude voorschrijft, is tegemoetgekomen
aan een wens van gemeenten en ziektekostenverzekeraars en wordt een belangrijk knelpunt
in de samenwerking bij de bestrijding van fraude in de zorg weggenomen. Dus dat ze
moeten uitwisselen is wettelijk verplicht voorgeschreven, hoe ze dat – op een veilige
manier – doen, is deels aan partijen zelf overgelaten. Aan betrokken instanties is
de ruimte gelaten het systeem voor de gegevensuitwisseling te creëren en daar aanpassingen
aan te doen die met het oog op ontwikkelingen in de praktijk nodig blijken. Dat het
Waarschuwingsregister zorgfraude expliciet in de memorie van toelichting bij de Wbsrz
en de nota van toelichting bij het Bbsrz wordt genoemd, is daarin gelegen dat gemeenten
en ziektekostenverzekeraars daarmee zelf al aanduiden welk systeem ze zullen gaan
gebruiken. In aanvulling daarop wordt ten aanzien van de vraag over de eenduidige
dataverzameling opgemerkt dat de gegevens die op grond van de Wbsrz worden gedeeld
in het kader van dit onderdeel, limitatief zijn aangewezen in het Bbsrz. De gegevens
die worden gedeeld zijn, ongeacht het systeem dat wordt gebruikt, in elk geval gelijk.

De leden van het CDA-fractie lezen voorts dat de gemeentelijke toezichthouder, of
de Nederlandse Zorgautoriteit (NZa), het onderzoek niet over doen, maar aan de hand
van het dossier onderzoeken of ze op basis van het gepresenteerde bewijs tot hetzelfde
oordeel komen. Wat gebeurt er als zij niet tot hetzelfde oordeel komen?

Op grond van artikel 2.2, eerste lid, onderdeel d, Wbsrz zal in het bij ministeriële
regeling vast te stellen protocol dat door instanties gehanteerd wordt om tot een
rechtvaardige overtuiging te komen, ook de procedure worden opgenomen ten aanzien
van het onderzoek dat wordt uitgevoerd door de gemeentelijk toezichthouder respectievelijk
de Nederlandse Zorgautoriteit (NZa). Hierbij zal ook aandacht besteed worden wat de
gevolgen zijn als de uitkomst verschillend is. Indien er geen sprake is van tekortkomingen
in de beoordeling die (kunnen) worden hersteld, maar sprake blijft van een inhoudelijk
verschil van oordeel, zal in geen geval verstrekking van de gegevens plaatsvinden.

Voornoemde ministeriële regeling wordt alvorens deze wordt vastgesteld voorgehangen
bij uw Kamer en de Eerste Kamer.

De Inspectie Gezondheidszorg en Jeugd (IGJ) stelt al sinds een aantal jaren vast dat
het gemeentelijk toezicht op de Wet maatschappelijke ondersteuning 2015 (Wmo 2015)
onder de maat is, niet op orde is.
Genoemde leden vragen hoe de bewindspersonen zich ervan vergewissen dat het gemeentelijk
toezicht op orde is voor deze taak? Hoe zal dat geborgd worden?

De Inspectie Gezondheidszorg en Jeugd (IGJ) heeft ten aanzien van het Wmo-toezicht
een belangrijke opdracht om jaarlijks te rapporteren aan de Minister van Volksgezondheid,
Welzijn en Sport over de stand van zaken en de ontwikkelingen in dit domein. Daarnaast
adviseert de IGJ de gemeenten bij vragen omtrent de inrichting en de uitvoering van
het Wmo-toezicht. Uit signalen uit de praktijk, diverse jaarrapportages van de IGJ
en een rapport van Significant in opdracht van het Ministerie van VWS blijkt dat het
kwaliteitstoezicht op de Wmo 2015 niet in alle gemeenten voldoende is en dat het toezicht
divers is in inrichting en organisatie en in volwassenheid. Naar aanleiding daarvan
heeft de Staatssecretaris van VWS met het veld verbetermaatregelen voor het kwaliteitstoezicht
op de Wmo 2015 verkend. Dit heeft geresulteerd in een beleidskader dat met het veld
(de IGJ, de VNG, GGD-GHOR en Toezicht Sociaal Domein (TSD)) is opgesteld. In zijn
brief van 8 mei jl. heeft de Staatssecretaris van Volksgezondheid, Welzijn en Sport
dit beleidskader met de Kamer gedeeld en heeft hij de voorgenomen maatregelen om het
Wmo-toezicht te verbeteren in zijn brief uiteengezet (Kamerstuk 29 538, nr. 350).

Daarnaast wordt momenteel een aanbesteding voorbereid voor het uitvoeren van een stimuleringsprogramma
Wmo-toezicht, waarmee gemeenten en toezichthouders worden toegerust al stappen te
zetten om het toezicht naar een goed niveau te brengen. Het rechtmatigheidstoezicht
hangt nauw samen met het kwaliteitstoezicht en zal ook onderdeel uitmaken van deze
acties.

Kan de Minister uiteenzetten aan welke uitzonderlijke gevallen zij denkt om een termijn
van maximaal acht jaar toe te passen bij opname in het waarschuwingsregister, zo vragen
de leden van de CDA-fractie.

Of de termijn van maximaal acht jaar in een bepaald geval kan worden toegepast, moet
door de verstrekkende instantie worden bepaald op basis van het in het bij ministeriële
regeling vast te stellen protocol opgenomen criterium. Noodzakelijkheid en proportionaliteit
zijn belangrijke aspecten. Betrokken worden aspecten zoals financieel belang en verzwarende
dan wel verzachtende omstandigheden. Verzwarende omstandigheden kunnen bijvoorbeeld
zijn recidive, voortgezette handeling, bedreiging, stelselmatigheid, mate van georganiseerdheid,
samenspanning. Ook het blijven ontkennen en het niet meewerken kunnen verzwarende
omstandigheden vormen. Daarnaast kan gedacht worden aan omstandigheden als het aantal
gemeenten, zorgverzekeraars of zorgbehoevenden dat door de fraude is geraakt, of de
gezondheid van zorgbehoevenden in gevaar gekomen is en of sprake is van een schending
van de beroepsintegriteit.

Waarom geldt bij het IKZ een bewaartermijn van tien jaar? Waarom is er dit verschil?
Kan dat in praktijk niet tot onduidelijkheid leiden?

De mogelijkheden tot het gebruik van het Waarschuwingsregister zorgfraude en het IKZ
en de daarbij te verwerken gegevens zijn, mede gelet op de te onderscheiden werking
en doelen, afzonderlijk van elkaar geregeld en voorzien van eigen voorwaarden en waarborgen.
Het zijn twee afzonderlijk van elkaar werkende instrumenten en onduidelijkheid over
de verschillende termijnen wordt derhalve niet verwacht. De termijnen voor het verstrekken
van gegevens in het Waarschuwingsregister zorgfraude of het bewaren van gegevens door
het IKZ, zijn bepaald in nauwe afstemming met betrokken instanties. Zij beschikken
over de kennis en ervaring uit de praktijk en hebben inzicht in de tijd die processen
kosten. Bij het bepalen van de termijnen is aan afweging gemaakt tussen de met de
verwerking van gegevens te bereiken doelen, de inbreuk die met die verwerking wordt
gemaakt op de privacy van betrokkene en de mogelijke gevolgen daarvan voor die betrokkene.

Wat betreft de uitvoeringstoetsen van verschillende partners die bij de uitvoering
van de wet betrokken zijn, achten de leden van de CDA-fractie de opmerkingen van de
VNG wat voorzichtig geformuleerd. Gemeenten kopen immers Wmo-zorg en/of ondersteuning
en jeugdzorg in en hebben er belang bij om zorgfraude aan te pakken. Delen de bewindspersonen
het standpunt van deze leden?

Dat standpunt wordt niet gedeeld. De VNG concludeert in de uitvoeringstoets dat het
Bbsrz goed uitvoerbaar is voor gemeenten. Wel geeft de VNG aan dat voor een goede
uitvoering aan enkele randvoorwaarden moet worden voldaan. De VNG geeft aan dat de
capaciteit bij gemeenten om onderzoek te doen naar misstanden bij zorgaanbieders beperkt
is. Een andere randvoorwaarde is dat naast onderzoek naar kwaliteit van zorg, meer
onderzoek moet worden gedaan naar fraude in de zorg. Zoals in de nota van toelichting
bij de Bbsrz is opgenomen, kunnen het Waarschuwingsregister zorgfraude en het IKZ
gemeenten juist helpen bij een efficiëntere inzet van de capaciteit en het onderzoek
naar fraude in de zorg. Tot slot verwijs ik naar het antwoord hiervoor, waarbij is
toegelicht welke stappen worden gezet in het versterken van de uitvoeringspraktijk
van gemeenten.

De leden van de CDA-fractie gaan voorts in op de uitwerking van de wet via het aangenomen
amendement Hijink c.s.
4
De Minister heeft op 18 april jl. een brief
5
naar de Kamer gestuurd en daarin aangegeven dat indien genoemd amendement wordt aangenomen,
de Minister gezien haar standpunt over de uitvoerbaarheid ervan met deze betrokken
instanties in gesprek zal gaan over de uitvoering van de toets vooraf. Kan de Minister
aangeven wat de gesprekken hebben opgeleverd?

Bij brief aan uw Kamer van 30 maart 20236 heb ik uw Kamer geïnformeerd dat de NZa de toets vooraf onwenselijk en onuitvoerbaar
acht. De taak past niet bij de rol van de NZa en het toetsen van dossiers levert (extra)
werk op en dat kost capaciteit en geld. Ook is de verwachting dat de implementatie
veel tijd zal kosten. In de gesprekken heeft NZa er nog op gewezen dat als een dossier
anoniem wordt aangeleverd, de NZa na de uitvoering van de toets geen melding kan doen
bij de IGJ. Dit is een tekortkoming in het betreffende artikel, aldus NZa. Ziektekostenverzekeraars
achten de Wbsrz op dit onderdeel onuitvoerbaar en een aantasting van de slagkracht.
Het anonimiseren van dossiers voor een toets door de NZa kost veel (extra) werk, capaciteit
en geld. Ook kost het anonimiseren én vervolgens toetsen door NZa (meer) tijd. De
doorlooptijd van een dossier, de tijd die het kost voordat registratie in het Waarschuwingsregister
zorgfraude kan plaatsvinden, wordt hoger en dat heeft negatieve gevolgen voor de effectiviteit.
Gemeenten voorzien met de extra toets geen uitvoeringsproblemen, maar ook voor gemeenten
heeft het anonimiseren van dossiers gevolgen voor de inzet van capaciteit en de doorlooptijd
van dossiers. Indien de participatie van ziektekostenverzekeraars achterblijft, voorzien
gemeenten negatieve gevolgen voor de effectiviteit van het Waarschuwingsregister zorgfraude.
De VNG heeft uw Kamer bij brief van 12 maart jl. al te kennen gegeven dat elke extra
eis de gemeentelijke uitvoeringspraktijk bemoeilijkt en afbreuk doet aan de slagkracht.
Bij het opstellen van het protocol zijn en blijven we met de betrokken partijen zoals
de NZa, VNG en Zorgverzekeraars Nederland in gesprek om dit op een juiste manier vorm
te geven en de zorgen zoveel mogelijk weg te nemen.

Tenslotte vragen deze leden hoe de toets vooraf wordt vormgegeven.

Het onderzoek en de bewijsstukken moeten inzicht geven in de elementen van fraude
in de zorg, zoals opzet, misleidend handelen binnen het zorgdomein en dat met eigen
of andermans gewin als oogmerk. De gemeentelijk toezichthouder respectievelijk de
NZa moeten op basis van dat onderzoek eveneens tot de conclusie komen dat sprake is
van een gerechtvaardigde overtuiging van fraude in de zorg. Zoals hiervoor aangegeven
zal op grond van artikel 2.2, eerste lid, onderdeel d, Bbsrz in het bij ministeriële
regeling vast te stellen protocol dat door instanties gehanteerd wordt om tot een
rechtvaardige overtuiging te komen, ook de procedure worden opgenomen ten aanzien
van het onderzoek dat wordt uitgevoerd door de gemeentelijk toezichthouder respectievelijk
de NZa. Hierbij zal ook aandacht besteed worden wat de gevolgen zijn als de uitkomst
verschillend is. Voornoemde ministeriële regeling wordt alvorens deze wordt vastgesteld
voorgehangen bij uw Kamer en de Eerste Kamer.