Home
Kamerstukken
Kamervragen

Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag

36 579 Wijzigingen van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerking te verstevigen en enkele andere wijzigingen (Verzamelwet gegevensverwerking VWS II.a)

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 6 november 2024

Inhoudsopgave

blz.

Introductie

Leeswijzer

Inleiding

Hoofdlijnen van het voorstel

2.1

Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C)

2.2

Formeel handhavingsinstrumentarium

2.3

Inzagerecht VN-Subcomité en het Europese Comité tegen foltering (Artikel II, V en VI)

2.4

Vektis (Artikel III en VII)

2.5

Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV)

Verhouding hoger recht

3.1

Mensenrechtelijke bescherming

3.2

Vektis (Artikel III en VII)

3.3

Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV)

Regeldruk

Advies en consultatie

Overige

Introductie

Met belangstelling heb ik kennisgenomen van het verslag van de vaste commissie voor
Volksgezondheid, Welzijn en Sport over het voorstel houdende wijziging van een aantal
wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om
de grondslagen voor gegevensverwerkingen te verstevigen (Verzamelwet gegevensverwerking
VWS II.a). Er zijn door de leden van de fracties van de PVV, GroenLinks-PvdA, VVD,
NSC, D66, BBB en SP vragen gesteld en opmerkingen gemaakt. Ik hoop met de beantwoording
van de gestelde vragen de nog bestaande onduidelijkheden te kunnen wegnemen.

Leeswijzer

In deze nota naar aanleiding van het verslag wordt de volgorde van de hoofdstukken
van het verslag aangehouden.

1. Inleiding

De leden van de PVV-fractie begrijpen dat een tweetal wetsonderdelen van het wetsvoorstel
een spoedeisend karakter hebben. De leden van de PVV-fractie vragen waarom er niet
gekozen is om alleen de twee spoedeisende delen te behandelen, namelijk het onderdeel
dat ziet op het inzagerecht voor de comités tegen foltering en het onderdeel dat ziet
op gegevensverwerking door Vektis, in plaats van vijf wetsonderdelen. Daarnaast vragen
genoemde leden waarom de eerder genoemde wetsonderdelen plotseling met spoed behandeld
dienen te worden. Was dit niet voorzien of spelen hier andere factoren?

De samenstelling van onderhavig wetsvoorstel is met zorg gekozen. Zoals in het nader
rapport is aangegeven hebben twee wetsonderdelen (hierboven in de vraag benoemd) een
dringend karakter. Deze wetsonderdelen krijgen voorrang in het wetgevingsproces. Daarnaast
is gekeken naar de meest beleidsarme en juridisch onbesproken wetsonderdelen uit het
wetgevingstraject van de Verzamelwet gegevensverwerking VWS II. Vervolgens is besloten
om deze wetsonderdelen mee te laten lopen met de wetsonderdelen Vektis en comités
tegen foltering, omdat ze naar verwachting geen vertraging opleveren voor de twee
dringende wetsonderdelen. De genoemde wetsonderdelen zijn samengebracht in het voorliggende
wetsvoorstel Verzamelwet gegevensverwerking VWS II.a.

De (geanonimiseerde) beleidsinformatie waarin Vektis, als verwerker namens de zorgverzekeraars
en Wlz-uitvoerders in voorziet, is van zwaarwegend algemeen belang. Het gaat hierbij
namelijk om het te voeren beleid van het Ministerie van VWS, zoals beleidsontwikkeling
en -verantwoording, waaronder aan uw Kamer. Betrokken partijen kwamen gezamenlijk
tot de conclusie dat er voor Vektis een expliciete wettelijke grondslag nodig is voor
het verwerken van persoonsgegevens – waaronder gegevens over gezondheid – voor het
genereren van anonieme informatie voor het te voeren beleid van het Ministerie van
VWS. Gezien het bovenstaande wordt voor het wetsonderdeel «Vektis» ingezet op een
zo spoedig mogelijke invoering van die wettelijke grondslag. In afwachting van de
wettelijke grondslag heeft Vektis de verwerking voor de productie van anonieme beleidsinformatie
voor het Ministerie van VWS stopgezet.1

Ten aanzien van het wetsonderdeel dat ziet op de comités tegen foltering wordt het
volgende opgemerkt. Het Europese Comité tegen foltering (CPT) heeft eerder bezwaar
gemaakt tegen de houding van Nederland, omdat men in de huidige situatie in sommige
gevallen geen inzage krijgt in medische dossiers. In het eindrapport over het bezoek
van het CPT aan Nederland in 2022, merkte het CPT op ernstig te zijn gehinderd in
zijn taakuitoefening door geen inzage te krijgen in de medische dossiers, zonder instemming
van de betrokken gedetineerde. Het CPT riep wederom op onvoorwaardelijk toegang te
krijgen tot de medische dossiers van alle personen die van hun vrijheid zijn beroofd.
Deze dringende oproep deed het CPT ook al na de bezoeken in 2002, 2007, 2011 en 2016.

De spoedige behandeling van de twee genoemde wetsonderdelen (met een dringend karakter)
is noodzakelijk gebleken, omdat deze wetsonderdelen tijdens het wetgevingstraject,
intern, complexe vragen opriepen. Hierdoor is de noodzaak ontstaan om deze specifieke
wetsonderdelen versneld af te ronden. Dit was niet volledig voorzien, maar grotendeels
voortgekomen uit signalen vanuit de praktijk. Overigens heeft de gemaakte knip (II.a
en II.b) mijns inziens meerdere voordelen. Zo kunnen de wetsonderdelen uit de Verzamelwet
gegevensverwerking VWS II.a al aan uw Kamer worden aangeboden én mogelijk voorspoedig
worden behandeld in de Staten-Generaal. Dit gaf mij eveneens de tijd om de adviezen
die zijn uitgebracht op de resterende onderdelen, die zijn ondergebracht in de thans
genoemde Verzamelwet gegevensverwerking VWS II.b, nader te bestuderen. Dit heeft ertoe
geleid dat de toelichting van dit laatste wetsvoorstel nader kon worden onderbouwd,
zonder dat de wetsonderdelen uit het wetsvoorstel Verzamelwet gegevensverwerking VWS II.a
daar tijdsgerelateerde hinder van zouden ondervinden.

Verder vragen de leden van de PVV-fractie waarom nog steeds een overkoepelende visie
en samenhangende aanpak van de problemen rondom grondslagen voor gegevensverwerking
ontbreekt. Is de regering nog van plan hiermee te komen of blijft het bij ad-hoc wijzigingen
middels verzamelwetten?

In dit antwoord zal ik eerst ingaan op het nut en de noodzaak van het instrument van
(verzamel)wetgeving. Vervolgens zal ik de lopende trajecten rondom grondslagen voor
primaire, secundaire en organisatorische processen (binnen VWS) bespreken.

Allereerst het nut en de noodzaak achter de Verzamelwet gegevensverwerking VWS. Wet-
en regelgeving over grondslagen voor gegevensverwerking is belangrijk om burgers het
vertrouwen te geven dat hun medische gegevens veilig zijn en blijven. De Verzamelwet
gegevensverwerking VWS II.a bevat afgebakende, apolitieke en niet-complexe wetgevingsonderdelen
die zien op gegevensverwerking. Deze onderdelen zijn dermate klein, dat het juridisch
en beleidsmatig niet te rechtvaardigen is om voor ieder onderdeel een separaat wetgevingstraject
te doorlopen. Daarom is beoogd om, naast de grotere beleidstrajecten die zien op gegevensverwerking,
ook regelmatig verzamelwetten gegevensverwerking VWS te blijven voorbereiden.

Als het gaat om een overkoepelende visie en samenhangende aanpak ten aanzien van problemen
rondom grondslagen wil ik de volgende drie fundamentele trajecten die op grondslagen
voor gegevensuitwisseling zien kort bespreken.

Eén van die trajecten is «Heroriëntatie grondslagen voor primair gebruik» (dit ziet
op zorgprofessionals onderling). Over de stand van zaken rondom dat traject en de
stappen die daarbij worden genomen is de Tweede Kamer bij brief van april 2023 en
2024 geïnformeerd.2 Zoals in genoemde brieven is geduid, wordt er door het Ministerie van VWS ingezet
op een goede borging van zeggenschap in de regelgeving, ter implementatie van de European
Health Data Space (EHDS).

Een ander grondslagentraject ziet op secundair gebruik van gegevens. Voor grondslagen
voor gegevensuitwisseling ten behoeve van secundair datagebruik wordt – overeenkomstig
de toezegging in de Kamerbrief van april 2024 – de komende tijd een beleidsstandpunt
over de nationale invulling van zeggenschap en toestemmingsmodaliteiten uitgewerkt.
Gezien de recente ontwikkelingen op Europees niveau is het begrijpelijk dat er tot
op heden nog geen grootschalige nationale aanpak is geïmplementeerd.3 Bij het uit te werken beleidsstandpunt ten aanzien van secundair gebruik wordt bezien
of, en zo ja hoe, het mogelijk is te differentiëren op gebruiksdoel, gegevensverwerker
of gegevenscategorie. Het genoemde beleidsstandpunt zal de komende maanden worden
opgesteld en vervolgens breed in de maatschappij worden getoetst.

Tot slot wordt, voor knelpunten ten aanzien van grondslagen voor gegevensuitwisseling
ten behoeve van het Ministerie van VWS zelf, interbestuurlijk nagedacht over een structurele
oplossing. Dit is overheidsbreed een aandachtspunt, en ook het Netwerk Publieke Dienstverlening
(NPD) en de Interbestuurlijke Datastrategie (IBDS) werken hieraan. Het uitgangspunt
is dat wij als Ministerie van VWS handelen conform privacy wet- en regelgeving en
daarmee verantwoordelijk en transparant omgaan met gegevensverwerking.

De leden van de D66-fractie hebben nog enkele vragen bij het wetsvoorstel. Allereerst
vragen de genoemde leden of er kan worden toegelicht welke redenen er ten grondslag
liggen aan het opknippen van de Verzamelwet gegevensverwerking VWS II in onderdeel a
en b? Voorts vragen genoemde leden wat er gebeurt als dit wetsvoorstel vertraging
oploopt, specifiek in internationaal verband en het inzagerecht door de verschillende
internationale comités.

Gezien het dringende karakter van de onderdelen «Vektis» en «Comités tegen foltering»,
is ervoor gekozen om deze wetsonderdelen voorrang te geven in het wetgevingsproces.
Daarnaast is gekeken naar de meest beleidsarme en juridisch onbesproken wetsonderdelen
uit het wetgevingstraject van de Verzamelwet gegevensverwerking VWS II. Vervolgens
is besloten om deze wetsonderdelen mee te laten lopen met de wetsonderdelen Vektis
en comités tegen foltering, omdat ze naar verwachting geen vertraging opleveren voor
de twee dringende wetsonderdelen. De genoemde wetsonderdelen zijn samengebracht in
het voorliggende wetsvoorstel Verzamelwet gegevensverwerking VWS II.a. Ten aanzien
van het onderdeel Vektis kwamen betrokken partijen (die samenwerken met Vektis) in
de loop van de tijd tot de conclusie dat er een expliciete wettelijke grondslag nodig
is voor het verwerken van persoonsgegevens – waaronder gegevens over gezondheid –
voor het produceren van anonieme informatie die wordt gebruikt voor het maken van
beleidsinformatie voor het te voeren beleid van het Ministerie van VWS, daar waar
er eerder nog vanuit werd gegaan dat dit reeds geregeld was in de Zvw. Zonder deze
grondslag kunnen essentiële gegevens die noodzakelijk zijn voor het te voeren van
VWS-beleid niet langer worden verwerkt. Er is immers geen rechtmatige verwerkingsgrondslag.
Dit kan ertoe leiden dat essentiële zorggelden mogelijk niet effectief worden ingezet.
Gezien het bovenstaande wordt voor het wetsonderdeel «Vektis» ingezet op een zo spoedig
mogelijke invoering van die wettelijke grondslag. In afwachting van de wettelijke
grondslag heeft Vektis de verwerking voor de productie van anonieme beleidsinformatie
voor het Ministerie van VWS stopgezet.4

Bij het onderdeel dat ziet op de comités tegen foltering waren er andere beweegredenen.
Zo heeft het CPT in 2002, 2007, 2011 en 2016 bezwaar gemaakt bij Nederland, omdat
men in de huidige situatie in sommige gevallen geen inzage krijgt in medische dossiers.
In het eindrapport over het bezoek van het CPT aan Nederland in 2022, merkte het CPT
op ernstig te zijn gehinderd in zijn taakuitoefening door geen inzage te krijgen in
de medische dossiers, zonder instemming van de betrokken gedetineerde. Nederland dient
zich te houden aan de internationale rechtsorde en heeft zich bovendien gebonden aan
verdragen tegen foltering. Om tegemoet te komen aan de wensen van de CPT, bestaat
een brede beleidswens om genoemd wetsonderdeel zo spoedig mogelijk in werking te laten
treden.

Overigens heeft de gemaakte knip mijns inziens meerdere voordelen. Zo kunnen de wetsonderdelen
uit de Verzamelwet gegevensverwerking VWS II.a al aan uw Kamer worden aangeboden en
mogelijk voorspoedig worden behandeld in de Staten-Generaal. Dit gaf mij eveneens
de tijd om de adviezen die zijn uitgebracht op de resterende onderdelen, die zijn
ondergebracht in de thans genoemde Verzamelwet gegevensverwerking VWS II.b, nader
te bestuderen. Dit heeft ertoe geleid dat de toelichting van dit laatste wetsvoorstel
nader kon worden onderbouwd, zonder dat de onderdelen uit het wetsvoorstel Verzamelwet
gegevensverwerking VWS II.a daar tijdsgerelateerde hinder van zouden ondervinden.

De leden van de SP-fractie merken op dat de bevoegdheid voor de GGD-GHOR om meldingen
van onverzekerden te verwerken niet wordt geregeld in dit wetsvoorstel. Eerder bleek
dat deze grondslag ontbrak, waardoor deze meldingen niet meer konden worden verwerkt
en onverzekerden minder makkelijk aan een zorgverzekering konden worden geholpen.
In reactie op vragen vanuit de SP-fractie kondigde de Minister van VWS aan daar een
grondslag voor te zullen creëren.5 Waarom is deze nog niet opgenomen in dit wetsvoorstel? Zou dit alsnog kunnen worden
geregeld? Zo nee, wanneer wordt deze grondslag dan gecreëerd?

Het is juist dat in voorliggend wetsvoorstel geen onderdeel is opgenomen dat de zorg
aan onverzekerden regelt. Dit onderdeel is wel opgenomen in de Verzamelwet gegevensverwerking
VWS II.b, die inmiddels bij uw Kamer is ingediend.6 Er is gekozen om dit onderdeel niet in de Verzamelwet gegevensverwerking VWS II.a
op te nemen, vanwege het urgente karakter van een tweetal andere onderdelen. Het in
dit wetsvoorstel opnemen van het onderdeel dat ziet op zorg aan onverzekerden kan
er – gezien de opmerkingen van de Afdeling Advisering van de Raad van State (hierna:
de Afdeling) – mogelijk toe leiden dat de behandeling van dít wetsvoorstel vertraging
op zou lopen.

2. Hoofdlijnen van het voorstel

2.1 Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C)

De leden van de PVV-fractie lezen dat het wenselijk is dat de Inspectie Gezondheidszorg
en Jeugd (IGJ) in het kader van toezicht de expliciete bevoegdheid heeft ook wanneer
er geen directe relatie is tot de kwaliteit van geleverde zorg. Kan dit verduidelijkt
worden met een aantal voorbeelden en hoe vaak komen deze situaties voor?

De IGJ heeft op dit moment reeds een toezichthoudende taak in de Wet aanvullende bepalingen
verwerking persoonsgegevens in de zorg (Wabvpz) als het gaat om informatiebeveiliging.
Echter, tot op heden is het toezicht door de IGJ op de Wavbpz vormgegeven in relatie
tot het begrip «goede zorg» uit artikel 2 van de Wet kwaliteit, klachten en geschillen
zorg (hierna: Wkkgz). Dit betekent dat de IGJ alleen handhavend kan optreden – het
inzetten van formele instrumenten – bij overtreding van de Wabvpz, als hieruit eveneens
een overtreding van artikel 2 Wkkgz volgt. Maar dit is niet altijd het geval of is
dit niet altijd duidelijk. Hieronder wordt dit verduidelijkt met een voorbeeld.

De IGJ houdt toezicht naar aanleiding van incidenten, zoals een ransomware-aanval,
en voert daarnaast ook risicogestuurd toezicht uit. Dit toezicht omvat onder andere
het controleren van de naleving van de NEN 7510 door zorgaanbieders. Wanneer de IGJ
constateert dat een zorgaanbieder niet voldoet aan de NEN 7510, hoeft dit niet te
betekenen dat deze zorgaanbieder kwalitatief slechte zorg levert. Sterker nog, bij
haar toezicht kan haar eindoordeel zijn dat de zorg an sich op dat moment goed wordt
geleverd. Bij niet-naleving van de wettelijk verplichte informatiebeveiligingsnormen,
ontstaat een risico voor de kwaliteit van zorg, maar dit risico hoeft zich dus niet
onmiddellijk te manifesteren. Een concreet voorbeeld: het niet op orde hebben van
de informatiebeveiliging betekent niet dat er direct een ransomware-incident plaatsvindt,
waardoor de informatiesystemen niet meer werken en de voortgang van de zorg problemen
ondervindt. Dit kan ook jaren later plaatsvinden, mogelijk zelfs nooit.

Echter, bij het houden van toezicht van de IGJ op de Wavbpz wil ik alle mogelijke
onduidelijkheid in de bevoegdheid van de IGJ om handhavend op te mogen treden wegnemen.
Zelfs al is er bij een niet-naleven van bijvoorbeeld NEN 7510 mogelijk ook een gevaar
voor de kwaliteit van zorg, niet in alle gevallen is dat even helder. Dit grijze gebied
zorgt voor onduidelijkheid en dat is onwenselijk. Middels onderhavige wetswijziging
wordt expliciet gemaakt dat de IGJ ook al kan optreden voordat risico’s daadwerkelijk
tot gevolgen leiden, en niet per geval eerst de relatie met kwaliteit van zorg nadrukkelijk
moet worden onderbouwd.

Tot slot wil ik benadrukken dat in tijden van steeds verdergaande digitalisering,
de naleving van en handhaving op de informatiebeveiligingsnormen essentieel is. Voornoemde
draagt bij aan de verbetering van informatiebeveiliging en het tijdig en adequaat
aanpakken van dreigingen op dit gebied. Hierdoor wordt de kwaliteit van zorg beter
geborgd.7

Verder benadrukken de leden van de PVV-fractie dat patiënten en zorgverleners er op
dienen te kunnen vertrouwen dat toegankelijkheid, continuïteit, en betrouwbaarheid
van de informatievoorziening gegarandeerd is, maar ze dienen er ook op te kunnen vertrouwen
dat bescherming van de privacy en het medisch beroepsgeheim worden gegarandeerd. Zijn
deze zaken nog wel in balans of slaat de balans door richting informatievoorziening?

Er is begrip voor de vragen en zorgen rondom privacy en het medisch beroepsgeheim.
Er vindt bij het maken van beleid, een continue afweging plaats ten aanzien van het
vinden van de juiste balans tussen genoemde aspecten. Dit was ook het geval bij onderhavige
wetswijziging, waarbij enerzijds de privacyrechten van de patiënt en het medisch beroepsgeheim
centraal staan, en anderzijds de noodzaak voor de IGJ om adequaat toezicht te kunnen
houden op de naleving van informatiebeveiligingsnormen. Het is – zeker in tijden van
verdergaande digitalisering – essentieel om informatieveiligheid te borgen en de kwaliteit
en continuïteit van zorg te bevorderen. Daarom heb ik, na de genoemde afweging, besloten
onderhavige wetswijziging door te voeren.

De leden van de GroenLinks/PvdA-fractie lezen dat in 2025 aanvullende wettelijke eisen
gaan gelden voor zorgaanbieders, die zijn vastgelegd in de Cyberbeveiligingswet. De
rechten en plichten (zoals de meld- en zorgplicht) gelden voor zorgaanbieders (vallend
onder de Wkkgz) van >50 FTE of met een jaarbalans of jaaromzet van meer dan 10 miljoen euro.
Gelden er geen aanvullende eisen voor zorgaanbieders die buiten deze criteria vallen?
Op welke manier voldoen deze organisaties aan de juiste cyberbeveiliging?

De aanvullende wettelijke eisen voor zorgaanbieders onder de Cyberbeveiligingswet
(Cbw), gelden alleen voor de zorgaanbieders die zijn gecategoriseerd als «belangrijke»
of «essentiële» entiteiten. Hieruit volgt dat zorgaanbieders aan de Cbw dienen te
voldoen, wanneer zij minimaal 50 fte in dienst hebben. Indien dit niet het geval is,
valt een zorgaanbieder onder de Cbw, als zowel de jaaromzet, als het balanstotaal
meer dan 10 miljoen euro bedragen. Deze ondergrens wordt ook wel de «size cap» genoemd.

Verder heeft het Ministerie van VWS de mogelijkheid om individuele zorgaanbieders
aan te wijzen, ook wanneer zij niet onder de genoemde «size cap» vallen. Zorgaanbieders
die door het Ministerie van VWS zijn aangewezen onder de Wet weerbaarheid kritieke
entiteiten (Wwke), vallen automatisch ook onder de Cbw vanwege hun kritieke rol in
de samenleving.

Zorgaanbieders die niet onder de Cbw vallen, dienen nog steeds te voldoen aan de wettelijke
eisen op het gebied van informatiebeveiliging. Het is verplicht voor zorgaanbieders
om aantoonbaar te voldoen aan de NEN 7510, die gebaseerd is op de internationale standaarden
ISO 27001, ISO 27002 en de ISO 27799. De NEN 7510 stelt eisen aan een managementsysteem
voor informatiebeveiliging (NEN 7510-1) en biedt beheersmaatregelen (NEN 7510-2 en
ISO 27799) om de beschikbaarheid, vertrouwelijkheid en integriteit van persoonlijke
gezondheidsinformatie te waarborgen. Dit normenkader blijft van toepassing, ongeacht
of de zorgaanbieder onder de Cbw valt.

De leden van de GroenLinks-PvdA-fractie lezen dat de IGJ bij inspecties bij zorgaanbieders
geregeld constateert dat de naleving van de belangrijkste norm voor informatiebeveiliging
(NEN 7510) te wensen overlaat. Genoemde leden zijn benieuwd hoe vaak dit wordt geconstateerd?
Op welke manieren laat het te wensen over? Kan de regering hier voorbeelden van geven?
Hoe vaak treedt de IGJ handhavend hiertegen op? Neemt dat toe of af?

Zoals eerder aangegeven voldoen niet alle zorgaanbieders aantoonbaar aan de NEN 7510.8 Er zijn meerdere factoren waarop de naleving tekortschiet. Ten eerste ten aanzien
van het creëren van voldoende bewustzijn op het onderwerp informatiebeveiliging. Ten
tweede kan het zijn dat er onvoldoende middelen (tijd, geld, expertise) voor het onderwerp
beschikbaar zijn. Ten derde is het mogelijk dat er onvoldoende aandacht is voor borging
van het onderwerp binnen de organisatie; denk hierbij aan een niet-werkende PDCA-cyclus.9 Tot slot gaat bovenstaande vaak gepaard met het ontbreken van een Information Security
Management System (ISMS). De IGJ ziet daarbij vaak een combinatie van verschillende
oorzaken/manieren waar de naleving tekort schiet.

De vormen van handhaving die de IGJ inzet bij gebrekkige naleving van de NEN 7510
zijn informele interventies. Denk hierbij aan het aanspreken van de raad van bestuur
op tekortkomingen en het opvragen van verbeterplannen met termijnen. De IGJ past deze
vormen van handhaving toe bij zorgaanbieders die na inspectiebezoeken niet aantoonbaar
voldoen aan de NEN 7510. Door middel van informele interventies probeert de IGJ te
bereiken dat zorgaanbieders zelf actie ondernemen. Met de toename van het aantal risicogestuurde
bezoeken en incidentmeldingen sinds 2018 is ook het gebruik van deze informele handhavingsmaatregelen
toegenomen.

Voorts zijn de leden van de GroenLinks/PvdA-fractie benieuwd of de regering verwacht
dat de IGJ, na invoering van onderliggend wetsvoorstel, vaker handhavend zal optreden?

Ja. Op basis van het toezicht en de mate waarin zorgaanbieders nu aan de NEN 7510
voldoen, is de verwachting dat er in de toekomst meer opgetreden zal worden tegen
zorgaanbieders. De IGJ houdt op grond van de Wavbpz reeds toezicht en kan (op grond
van de Wkkgz) al handhaven als de kwaliteit van zorg in het geding is. Echter, bij
het houden van toezicht van de IGJ op de Wavbpz wil ik alle mogelijke onduidelijkheid
in de bevoegdheid van de IGJ om handhavend op te mogen treden wegnemen. Zelfs al is
er bij een niet-naleven van bijvoorbeeld NEN 7510 mogelijk ook een gevaar voor de
kwaliteit van zorg, niet in alle gevallen is dat even helder. Dit grijze gebied zorgt
voor onduidelijkheid en dat is onwenselijk dat de IGJ moet wachten, totdat een dergelijk
risico zich daadwerkelijk voordoet. Middels onderhavige wetswijziging wordt expliciet
gemaakt dat de IGJ ook al kan optreden voordat risico’s daadwerkelijk tot gevolgen
leiden, en niet per geval eerst de relatie met kwaliteit van zorg nadrukkelijk moet
worden onderbouwd. Kortom, middels onderhavige wetswijziging kan de IGJ adequater
en met een preventief karakter optreden.

De leden van de GroenLinks-PvdA-fractie constateren dat er drie handhavingsinstrumenten
zijn opgenomen: schriftelijke aanwijzing, schriftelijk bevel en last onder dwangsom.
Kan de regering bij alle drie de instrumenten voorbeelden geven bij welk soort overtreding
welk instrument wordt ingezet?

De in de vraag genoemde instrumenten kunnen worden gezien als herstelsancties. Dit
soort sancties zijn bedoeld om een overtreding geheel of gedeeltelijk ongedaan te
maken, herhaling te voorkomen, of de gevolgen ervan te beperken.

De schriftelijke aanwijzing is een van de mildste instrumenten en wordt gebruikt voor
lichtere overtredingen of situaties waar correctie nodig is, maar geen onmiddellijke
dreiging bestaat. Een schriftelijk bevel wordt ingezet bij ernstiger overtredingen
of situaties die sneller ingrijpen vereisen. De last onder dwangsom is het zwaarste
instrument en wordt gebruikt bij hardnekkige overtredingen of situaties waar financiële
prikkels nodig zijn om naleving van de gestelde regels af te dwingen. Het ligt dus
in de rede dat de IGJ begint met mildere sancties, zoals een schriftelijke aanwijzing
of bevel, maar bij blijvend niet-naleven (van bijvoorbeeld informatiebeveiligingsnormen)
een last onder dwangsom oplegt.

Voorts vragen de leden van de GroenLinks-PvdA-fractie hoe vaak de verschillende instrumenten
worden ingezet? Neemt dit toe of af?

De IGJ heeft informele en formele instrumenten tot haar beschikking. De in dit wetsvoorstel
genoemde instrumenten zijn formele instrumenten. Op dit moment worden geen van de
drie formele handhavingsinstrumenten ingezet, wanneer er sprake is van een gebrekkige
naleving van de NEN 7510. De IGJ volgt hierbij haar interventiebeleid, waarbij eerst
informele interventies worden ingezet als eerste stap (op een escalatieladder) naar
betere naleving. Bij het blijvend niet-naleven van (bijvoorbeeld) informatiebeveiligingsnormen,
kan de IGJ – middels dit wetsvoorstel – grijpen naar formele instrumenten.

De reden dat genoemde instrumenten (nog) niet worden ingezet is dus tweeledig. Enerzijds,
is de inzet niet altijd nodig, omdat zorgaanbieders in beweging kunnen worden gebracht
met informele interventies. Anderzijds kan de IGJ op dit moment bij niet naleving
van de NEN 7510 slechts informele interventiemogelijkheden inzetten, tenzij er een
direct verband is met de kwaliteit van zorg (Wkkgz). Dankzij dit wetsvoorstel krijgt
de IGJ de mogelijkheid om handhavend op te treden bij het niet naleven van de Wabvpz.

De leden van de VVD-fractie lezen dat de IGJ bij inspecties geregeld constateert dat
de naleving van de NEN 7510 te wensen overlaat. Kan dit nader worden toegelicht? De
leden van de VVD-fractie willen graag weten waaraan zij moeten denken wanneer de naleving
te wensen overlaat en wat zijn de (mogelijke) gevolgen van het niet of niet volledig
naleven van de norm?

Het toezicht op informatieveiligheid van zorgaanbieders is reeds belegd bij de IGJ.
De toetsingseisen die de IGJ hanteert staan beschreven in het E-health toetsingskader.10 Dit kader is gebaseerd op bestaande wet- en regelgeving en veldnormen zoals de NEN 7510.
Uit de toezichtsresultaten op de website van de IGJ blijkt dat niet alle zorgaanbieders
die zij hebben bezocht, aantoonbaar voldoen aan de NEN 7510. De ziekenhuizen hebben
overigens een stevige inhaalslag gemaakt. Uit publicaties (eind 2023) van de IGJ blijkt
dat bijna alle ziekenhuizen aantoonbaar voldoen aan de NEN 7510.

Voorbeelden van het niet voldoen aan de NEN 7510 zijn onder meer het niet volledig
inrichten van een managementsysteem voor informatiebeveiliging, het niet nemen van
technische beheersmaatregelen, het niet investeren in bewustzijn bij medewerkers en
het niet onafhankelijk/deskundig laten toetsen van de mate waarin men werkt volgens
de genoemde norm.

Wanneer het aankomt op de mogelijke gevolgen van het niet naleven van informatiebeveiligingsnormen,
wil ik allereerst benadrukken dat het inregelen van informatiebeveiliging, de eigen
verantwoordelijkheid van de zorgaanbieder is. Wanneer een zorgaanbieder de informatiebeveiliging
niet op orde heeft, kan het zo zijn dat een zorgaanbieder «makkelijker» getroffen
wordt door bijvoorbeeld een ransomware-aanval. Dit heeft tot gevolg dat de informatiesystemen
niet meer werken en de voortgang van de zorg problemen ondervindt. Kortom, een direct
gevolg voor de kwaliteit van zorg. Wanneer de naleving van informatiebeveiligingsnormen
te wensen overlaat, kan de IGJ op dit moment reeds informele interventies inzetten,
zoals het aanspreken van de raad van bestuur op tekortkomingen en het opvragen van
verbeterplannen met termijnen. Formele interventies zijn op dit moment alleen mogelijk
op het moment dat de kwaliteit van zorg, overeenkomstig (Wkkgz) in het geding is.
Dit zorgt in de praktijk voor onduidelijkheden. Middels onderhavige wetswijziging
maak ik het mogelijk dat de IGJ ook de noodzakelijke, formele interventies kan plegen,
voordat risico’s daadwerkelijk tot gevolgen leiden, en niet per geval eerst de relatie
met kwaliteit van zorg nadrukkelijk moet worden onderbouwd.

Verder willen de leden van de VVD-fractie weten wat er wordt gedaan om te zorgen dat
de naleving van de NEN 7510 wordt vereenvoudigd.

Zorgaanbieders zijn primair zelf verantwoordelijk voor het aantoonbaar naleven van
de wettelijk verplichte informatiebeveiligingsnormen.11

Ondanks deze eigen verantwoordelijkheid worden momenteel implementatie- en beheertools
ontwikkeld. De implementatietools van NEN hebben als doel gebruikers (zoals zorgaanbieders)
van de NEN 7510 te ondersteunen in het proces van implementatie van deze NEN-norm.
De implementatiehandvatten zullen kosteloos ter beschikking worden gesteld en in 2025
worden geïntroduceerd. De tools worden ontwikkeld voor zowel organisaties die voor
het eerst NEN 7510 implementeren, alsmede organisaties die NEN 7510 al hebben geïmplementeerd
en moeten overstappen op de nieuwe versie van de genoemde norm. De genoemde tools
zijn ontwikkeld in overleg met verschillende zorgkoepels en vertegenwoordigers uit
het (zorg)veld.

De leden van de NSC-fractie willen weten hoe vaak de IGJ in de afgelopen jaren heeft
geconstateerd dat de naleving van de NEN 7510 bij zorgaanbieders te wensen overlaat?
Daarnaast vragen de genoemde leden ook een reflectie van de regering over het feit
dat bij veel zorgaanbieders de informatiebeveiliging te wensen overlaat.

Sinds 2018 houdt de IGJ toezicht op de inzet van digitale zorg door zorgaanbieders,
gebaseerd op een toetsingskader. Onder dit kader vallen thema's zoals informatiebeveiliging
en de naleving van de NEN 7510 door zorgaanbieders.

Genoemd toezicht omvat onder andere 100 inspectiebezoeken (vanaf 2018) gericht op
e-health en digitale zorg, evenals gerichter toezicht binnen diverse sectoren, waaronder
ziekenhuizen, particuliere klinieken en huisartsenposten.12 Bij een meerderheid van deze themabezoeken bleek dat niet alle zorgaanbieders aantoonbaar
voldeden aan de NEN 7510.13

Zorgaanbieders zijn primair zelf verantwoordelijk voor het op orde hebben van informatiebeveiliging
binnen de eigen organisatie. Echter, ondersteun ik het (zorg)veld wel op verschillende
manieren, omdat ik informatiebeveiliging een essentieel onderdeel vind voor het verlenen
van goede zorg. Bewustwording van risico’s en het belang van zorgvuldig handelen door
eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Daarom
wordt allereerst ingezet op het stimuleren van informatieveilig gedrag van zorgprofessionals.
Daarvoor is in 2019 het project «informatieveilig gedrag» gestart. Via dit project
werk ik aan een gestructureerde methode voor gedragsverandering op het gebied van
informatieveiligheid, toegespitst op de Nederlandse zorgsector. Ook stimuleer ik,
op basis van een risico gebaseerde aansluitstrategie, dat steeds meer zorgaanbieders
lid worden van expertisecentrum Z-CERT. Dit is een computer emergency respons team,
speciaal gericht op de zorgsector. Op dit moment zijn ruim 300 instellingen uit verschillende
sub-sectoren aangesloten bij Z-CERT. Ik blijf me inzetten om de dienstverlening van
Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Tot slot
blijf ik, samen met het (zorg)veld, de NEN-normen voor informatiebeveiliging (door)ontwikkelen.
Bovendien worden deze normen actief onder de aandacht gebracht bij zorgaanbieders.
Zo heeft de NEN in 2022 de opdracht gekregen om een herziening van de NEN 7510 te
coördineren. De definitieve herziening zal naar alle waarschijnlijkheid eind 2024
worden gepubliceerd.

Verder willen de leden van de NSC-fractie weten of de regering een beeld heeft van
de gevolgen die een mogelijk datalek bij een zorgaanbieder kan hebben voor een patiënt/cliënt.
Voorts zijn genoemde leden benieuwd of de regering bereid is om hierover in gesprek
te gaan met privacy-experts en ervaringsdeskundigen die te maken hebben gehad met
(ernstige) datalekken.

De gevolgen van een datalek kunnen ernstig zijn. Denk hierbij aan financiële schade
voor betrokkenen, ontstaan vanuit identiteitsfraude en oplichting. Daarnaast kan een
betrokkene als gevolg van een datalek immateriële schade lijden, wanneer gevoelige
informatie over (mentale) gezondheid of problemen in de thuissituatie zijn gelekt.

Daarom zet ik stappen om zorgaanbieders te helpen datalekken te voorkomen. Het computer
emergency respons team voor de zorg en expertisecentrum (Z-CERT) heeft bijvoorbeeld
een factsheet gemaakt over hoe om te gaan met een datalek. Onderdeel van deze factsheet
is het voorkomen van een volgend datalek door te evalueren en verbeterpunten te implementeren.

Daarnaast hebben zorgverleners op grond van de Algemene verordening gegevensbescherming
(AVG) de verplichting om persoonsgegevens die ze verwerken, goed te beveiligen. Wanneer
gezondheidsgegevens worden verwerkt moeten zorgverleners voldoen aan extra beveiligingseisen.
Ondanks die strenge eisen kunnen er datalekken ontstaan bij zorgverleners. De Autoriteit
Persoonsgegevens (AP) laat in haar ambtsbericht weten dat er in het geval van grote
datalekken overleg tussen de IGJ en AP plaats kan vinden. Zo is bij een ransomware-aanval
de continuïteit van zorg én de privacy van patiënten in acuut gevaar. Onder de nieuwe
Cbw gaat de AP intensiever samenwerken met sectorale toezichthouders, zoals de IGJ.

De leden van de NSC-fractie vragen ook naar de rol van de AP in het toezicht op de
informatiebeveiliging bij zorgaanbieders.

In haar ambtsbericht laat de AP weten dat zorgaanbieders wettelijk verplicht zijn
om te voldoen aan de eisen in de AVG. Artikel 32 AVG verplicht zowel de verwerkingsverantwoordelijke
als de verwerker, om «passende technische en organisatorische maatregelen te nemen
om een beveiligingsniveau te garanderen dat is afgestemd op het risico». Het toezicht
hierop is een van de kerntaken van de AP. De AP richt zich met name op situaties,
signalen en meldingen waarbij de verwerking van persoonsgegevens centraal staat. In
het toezicht van de AP ligt de focus dus op de controle of er door zorgaanbieders
de vereiste technische en organisatorische maatregelen zijn getroffen en of die passend
zijn om een op het risico afgestemd beveiligingsniveau te (kunnen) waarborgen. De
taak van de AP, voortvloeiend uit de AVG, omvat echter niet alle aspecten die in NEN 7510
zijn vastgelegd.

En daaropvolgend wordt de vraag gesteld of de IGJ contact heeft gehad met de AP in
gevallen waarin informatiebeveiliging (NEN 7510) tekortschiet en welke acties de AP
hierop heeft ondernomen?

De AP geeft in haar ambtsbericht aan dat contact met de IGJ aan de orde is wanneer
de IGJ situaties tegenkomt waarbij de beveiligingseis van artikel 32 AVG niet wordt
nageleefd. In zo’n geval neemt een zorgaanbieder geen passende technische en organisatorische
maatregelen om een risico gebaseerd beveiligingsniveau te waarborgen en derhalve de
bescherming van persoonsgegevens voldoende te borgen. Tot nu toe is er geen contact
geweest tussen IGJ en AP over zulke situaties. In de samenwerkingsafspraken tussen
IGJ en AP is wel in dergelijk contact voorzien. In het houden van toezicht kan het
zo zijn dat men op zaken stuit die niets met persoonsgegevens te maken hebben. In
dat geval valt een kwestie duidelijk buiten het toezichtsveld van de AP en binnen
het toezichtsveld van de IGJ.

Vervolgens vragen de leden van de NSC-fractie of de regering het verstandig vindt
om gegevensverwerking en -uitwisseling verder op te schalen als de basisinformatiebeveiliging
nog niet overal op orde is?

Elektronische gegevensuitwisseling en databeschikbaarheid (wat de Wegiz en EHDS allebei
beogen) zijn cruciale pijlers onder mijn huidige beleid bij het Ministerie van VWS.
Deze elementen dragen in de eerste plaats bij aan het verminderen van administratieve
lasten voor zorgverleners, verhogen het werkplezier door bijvoorbeeld overtypen te
voorkomen, geven patiënten meer regie, bieden meer inzicht in nieuwe behandelmethoden
en leiden tot betere en veiligere zorg.

Hoewel deze voordelen zwaar wegen, kan elektronische gegevensuitwisseling en databeschikbaarheid
alleen plaatsvinden wanneer privacy en beveiliging goed zijn geregeld. Dit is voornamelijk
van belang omdat het hierbij vaak gaat om de verwerking van bijzondere persoonsgegevens.

Hieruit volgt dat er een voortdurende noodzaak bestaat om aandacht te besteden aan
informatiebeveiliging, ook in een tijd waarin elektronische gegevensuitwisseling steeds
meer wordt verplicht. Normering (ten aanzien van informatiebeveiliging) en toezicht
op de naleving daarvan zijn essentieel.

Gezien de noodzakelijke, elektronische gegevensuitwisseling in de zorg en de toenemende
digitale dreigingen die daarmee samenhangen, is het tevens noodzakelijk om de digitale
en fysieke weerbaarheid van zorgaanbieders te versterken. Daarom zet ik in op een
tijdige implementatie van de NIS II en CER richtlijnen. Verder maak ik het dus mogelijk
voor de IGJ om formele handhavingsinstrumenten in te zetten, teneinde een versterkte
naleving van de NEN-normen te bewerkstelligen. De focus ligt hierbij op de NEN 7510,
NEN 7512 en NEN 7513 (de informatiebeveiligingsnormen).

De leden van de NSC-fractie hebben ook vragen over de implementatie van de NIS2-richtlijn.
Hoever zijn zorgaanbieders met de implementatie van de NIS2-richtlijn, die vanaf 2025
zal gaan gelden? Welke instantie houdt toezicht op de implementatie van genoemde richtlijn?
En tot slot wordt gevraagd hoe de regering ervoor gaat zorgen dat ook zorgaanbieders
die niet onder de wettelijke verplichtingen van NIS2-richtlijn vallen, hun cliënten
kunnen verzekeren van adequate informatiebeveiliging.

Zorgaanbieders moeten aan de Cbw voldoen als zij minimaal 50 fte in dienst hebben.
Indien dit niet het geval is, valt een zorgaanbieder onder de genoemde wet, als zowel
de jaaromzet, als het balanstotaal hoger zijn dan 10 miljoen euro. Deze ondergrens
wordt ook wel de «size cap» genoemd.

De omzetting van de NIS2-richtlijn naar de nationale Cbw is in volle gang en het streven
is dat de Cbw in het derde kwartaal van 2025 in werking treedt. Tot die tijd hoeven
zorgaanbieders die onder de Cbw zullen vallen, niet te voldoen aan aanvullende wettelijke
eisen. Daarom zijn er momenteel geen cijfers beschikbaar over de implementatie van
de NIS2-richtlijn binnen de zorgsector. Relevante ontwikkelingen rond de Cbw voor
de zorgsector worden gecommuniceerd via de website www.datavoorgezondheid.nl, waar zorgaanbieders ook blijvend worden aangemoedigd om aan de NEN 7510 te voldoen.
Het voldoen aan NEN 7510 is momenteel al verplicht voor zorgaanbieders en dekt een
aantal verplichtingen voortvloeiend uit de NIS2-richtlijn en de Cbw. Dit maakt het
een goede eerste

stap voor zorgaanbieders ter voorbereiding op de invoering van de Cbw. De IGJ zal
toezicht gaan houden op de naleving van de Cbw en houdt momenteel al toezicht op de
NEN 7510.

2.2 Formeel handhavingscriterium

De leden van de NSC-fractie constateren verder dat de AP heeft aangegeven dat de Wabvpz
niet expliciet hoeft voor te schrijven welke toezichthouder toeziet op de artikelen
uit de Wabvpz. Is het niet beter om de rollen van de IGJ en de AP gescheiden te houden,
gezien het verschil in expertise tussen toezicht op zorgkwaliteit en toezicht op de
AVG en cyberveiligheid? De leden van genoemde fractie stellen vervolgens nog een vraag
die hier verband mee houdt, namelijk waarom de regering ervoor kiest de verantwoordelijkheid
voor cyberveiligheid (gedeeltelijk) bij de IGJ te beleggen, in plaats van deze volledig
bij de AP te laten. Zou intensivering van de samenwerking tussen IGJ en AP, vastgelegd
in een samenwerkingsprotocol, een beter alternatief zijn? Kan de regering hierop reflecteren?

De IGJ heeft op dit moment op grond van de Wavbpz reeds een toezichthoudende taak
op het terrein van informatiebeveiliging, namelijk ten aanzien van de naleving van
de informatiebeveiligingsnormen. Er vindt met dit wetsvoorstel geen verschuiving van
de toezichthoudende taak van de AP naar de IGJ plaats.

Wat momenteel echter ontbreekt is een adequaat handhavingsinstrumentarium voor de
IGJ. Handhaving moet op dit moment over de band van artikel 2 Wkkgz gebeuren, waardoor
altijd een direct verband met de kwaliteit van zorg moet worden aangetoond, voordat
een formeel handhavingsinstrument kan worden ingezet. Het wetsonderdeel ten aanzien
van het formeel handhavingscriterium voor de IGJ in de Wabvpz leidt dus uitdrukkelijk
niet tot dubbele handhaving, maar vereenvoudigt de bestaande handhavingsbevoegdheid
van de IGJ op grond van de Wabvpz. Onderhavig wetsvoorstel regelt namelijk dat niet
langer de koppeling met artikel 2 Wkkgz moet worden gemaakt, zodat de IGJ direct kan
handhaven als de Wabvpz niet wordt nageleefd. Overigens is de memorie van toelichting
aangepast naar aanleiding van de reactie van de AP, waarbij het belang van het expliciteren
van het IGJ-instrumentarium in de Wabvpz is verduidelijkt.

Daarnaast wordt in het verlengde van bovenstaande de vraag gesteld waarom de verantwoordelijkheid
voor cyberveiligheid gedeeltelijk bij de IGJ wordt belegd, in plaats van volledig
bij de AP te laten. Dit is uitdrukkelijk niet het geval. De IGJ laat in haar handhaving
(de praktijk) de koppeling met de kwaliteit van zorg niet los. Waar het om gaat is
dat bij niet-naleving van de informatiebeveiligingsnormen, er een risico bestaat voor
de kwaliteit van zorg. Dit risico hoeft zich niet direct te manifesteren. Echter,
wil ik ten aanzien van toezicht niet dat de IGJ alle mogelijke onduidelijkheid wegnemen.
Waar het hier om gaat is dat expliciet wordt gemaakt dat de IGJ ook al kan optreden
voordat risico’s daadwerkelijk tot gevolgen leiden, en niet per geval in de handhaving
eerst de relatie met kwaliteit van zorg nadrukkelijk moet onderbouwen.

Een herijking van (bestaande) verantwoordelijkheden tussen de AP en de IGJ is niet
aan de orde, er is reeds een Samenwerkingsprotocol tussen de AP en IGJ opgesteld.
De voorgestelde wetswijziging geeft geen aanleiding tot een wijziging hierin. De rolverdeling
en daarmee het Samenwerkingsprotocol tussen de IGJ en de AP blijven onveranderd.

Hoe verhouden de voorgestelde handhavingsmogelijkheden voor de IGJ zich tot de bestaande
handhavingsmogelijkheden van de AP in vergelijkbare situaties?

De AP laat in haar ambtsbericht weten dat het handhavingsrepertoire van de AVG, en
dus ook van de AP, steviger en gevarieerder is. De voorgestelde handhavingsmogelijkheden
van de IGJ in de Wabvpz beperken die niet. En daar waar de IGJ overtredingen constateert
die ook vallen binnen de beschermende werking van de AVG, is de IGJ gebonden aan het
in artikel 4, lid 3 Verdrag betreffende de Europese Unie (VEU) neergelegde beginsel
van (het actief zoeken naar) loyale samenwerking met de AP. Ik ben blij te melden
dat de samenwerking tussen de IGJ en de goed is.

Heeft de uitbreiding van handhavingsmogelijkheden voor de IGJ ook personele gevolgen?
Zijn er extra personeelsleden nodig, en vereist dit aanvullende expertise?

De IGJ heeft de afgelopen jaren het aantal inspecteurs op het gebied van digitale
zorg en informatiebeveiliging uitgebreid. Aanvullende expertise die wordt gezocht
betreft onder meer gedragskundige kennis van informatiebeveiliging. De IGJ verwacht
dat vanaf 2025–2026 extra personeel nodig is.

2.3 Inzagerecht VN-Subcomité en het Europese Comité tegen foltering

De leden van de PVV-fractie vragen aan de regering waarom de comités inzage in het
medisch dossier krijgen als er sprake is van «vrijwillige» zorg? Waarom is het geven
van toestemming in die gevallen opeens geen rechtmatige verwerkingsgrondslag meer?

Het geven van toestemming blijft een rechtmatige verwerkingsgrondslag, echter deze
grondslag volstaat niet in het geval van de werkzaamheden van de comités.

Nederland heeft zich verbonden aan de naleving van het Facultatief Protocol bij het
Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of
bestraffing (Trb. 2005, 243) en het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende
behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107). Deze verdragen regelen het bestaan en de werkwijze van de twee verschillende comités
die toezicht houden op de naleving van de verplichtingen die in deze verdragen zijn
opgenomen. Deze comités zien er op toe dat personen die (door de overheid) van hun
vrijheid zijn beroofd, niet worden onderworpen aan folteringen of onmenselijke of
vernederende behandelingen of bestraffingen.

bevatten dat er sprake is van bijvoorbeeld foltering. Daarbij mag geen onderscheid
worden gemaakt tussen gedwongen zorg en vrijwillige zorg, zoals in de huidige situatie
wel het geval is.

Gedwongen zorg mag, ook ten aanzien van een persoon wiens vrijheid door de overheid
is ontnomen, alleen verleend worden als daarvoor een grondslag in een wet (de Wet
zorg en dwang of de Wet verplichte geestelijke gezondheidszorg) is opgenomen (bijvoorbeeld
het toedienen van medicatie aan een persoon, tegen diens wil).

Het belang van het onderscheid tussen vrijwillige en gedwongen zorg in verband met
het wetsvoorstel dat bij u voorligt, kan worden geïllustreerd met twee voorbeelden:

1. Wanneer een gedetineerde een arm breekt, dan krijgt de gedetineerde in de regel vrijwillige
zorg. Deze zorg wordt (normaliter) niet verleend tegen de wil van de gedetineerde.
Echter, in het theoretische geval van foltering binnen een instelling kan een gebroken
arm een aanwijzing zijn voor dergelijke praktijken, vooral als meerdere gedetineerden
dit overkomt. Het comité kan echter moeilijk achterhalen of er sprake is van foltering
als het nodig is om toestemming van elke gedetineerde te vragen voor inzage in hun
medische dossiers. In zo'n situatie kan een kwaadwillende instelling gedetineerden
onder druk zetten om deze toestemming te weigeren. Daarom mag inzage in de medische
dossiers ten eerste niet beperkt blijven tot gedwongen zorg en mag ten tweede deze
ook niet afhankelijk zijn van toestemming van een persoon wiens vrijheid door de overheid
is ontnomen.

2. Een ander voorbeeld is de situatie van iemand die, bijvoorbeeld vanwege een psychische
stoornis, op last van de rechter gedwongen is opgenomen. In de instelling waar deze
persoon verblijft, kan een deel van de zorg toch op vrijwillige basis zijn. Dit kan,
net als in het eerdere voorbeeld, betrekking hebben op zorg na een gebroken arm. Het
is cruciaal dat de commissies kunnen onderzoeken of er in deze instelling een patroon
van foltering of onmenselijke of vernederende behandeling is. Daarbij is het goed
mogelijk dat de persoon in kwestie wilsonbekwaam is en daardoor geen toestemming kan
geven voor inzage in zijn dossier.

In de huidige wetgeving is alleen geregeld dat inzage mogelijk is als er gedwongen
zorg wordt verleend, waardoor in het geval van vrijwillige zorg, met toestemming moet
worden gewerkt. Zoals hierboven toegelicht is dat te beperkt om aan de verplichtingen
op grond van de verdragen te voldoen. Het wetsvoorstel behelst dus een correctie van
een eerdere te beperkte implementatie van internationale verplichtingen.

De leden van de GroenLinks-PvdA fractie vragen of de regeling een lijst kan geven
van locaties waar de comités toegang toe heeft, waar zorg wordt verleend en waar de
bevoegdheid tot inzage in de medische dossiers bestaat ten aanzien van

personen van wie de vrijheid door de overheid is ontnomen. Ook vragen zij hoe vaak
deze comités Nederland bezoeken en zij locaties onderzoeken en hoe vaak medische dossiers
bekeken worden.

De comités hebben op grond van de twee verdragen toegang tot locaties waar personen
verblijven die van hun vrijheid zijn beroofd.

De comités krijgen toegang tot iedere locatie waar een persoon verblijft die van zijn
vrijheid is beroofd, dit kan, zowel op strafrechtelijke of vreemdelingrechtelijke
titel als op een zorgtitel zijn. Als dit een locatie betreft waar ook zorg wordt geboden,
dan hebben de comités daar toegang tot de medische dossiers.

Dit betreft alle inrichtingen binnen het strafrecht waar zorg wordt geboden. Dat zijn
in totaal 54 locaties.

Daarnaast betreft dit alle zorgaanbieders die gedwongen zorg verlenen op grond van
de Wet verplichte geestelijke gezondheidszorg of de Wet zorg en dwang, als zij accommodatie
hebben waarin personen gedwongen zijn opgenomen. In genoemde wetgeving is voor hen
de verplichting opgenomen dat zij hun locatie moeten hebben geregistreerd in het openbare
locatieregister. Rijksinstellingen voor het verlenen van forensische zorg zijn van
deze registratieverplichting uitgezonderd, zij hoeven niet in het openbaar locatieregister
te staan.

De comités hebben geen vast bezoekpatroon. Gemiddeld brengen de comités eens per vier
tot vijf jaar een bezoek aan een lidstaat. Tijdens een bezoek bezoeken de comités
diverse locaties, maar niet alle locaties waar personen verblijven die van hun vrijheid
zijn beroofd.

Het departement wordt niet per individueel geval op de hoogte gesteld van inzageverzoeken.
Over het algemeen kan ervan uit worden gegaan dat de comités bij ieder bezoek vragen
om medische dossiers in te zien.

Verder vragen de leden van de GroenLinks/PvdA-fractie waarom er eerder een onderscheid
was tussen onvrijwillige zorg en vrijwillige zorg in de toegang tot medische gegevens
van personen die door de overheid van hun vrijheid zijn beroofd? En in hoeverre heeft
dit onderscheid voor problemen gezorgd?

Het onderscheid leidde er in 2022 toe dat de comités in sommige gevallen geen inzage
kregen in medische dossiers. In het eindrapport over het bezoek van het CPT aan Nederland
in 2022, merkte het CPT op ernstig te zijn gehinderd in zijn taakuitoefening door
geen inzage te krijgen in de medische dossiers tenzij de betrokken gedetineerde uitdrukkelijk
toestemming verleende. Het CPT riep wederom op onvoorwaardelijk toegang te krijgen
tot de medische dossiers van alle personen die van hun vrijheid zijn beroofd. Deze
dringende oproep deed het CPT ook na de bezoeken in 2002, 2007, 2011 en 2016.

Na de oproep van het CPT uit 2016, zijn destijds de Wet zorg en dwang, de Jeugdwet,
en de Wet verplichte geestelijke gezondheidszorg gewijzigd. Bij genoemde wijzigingen
is uitgegaan van de veronderstelling dat inzage voor de comités alleen zou moeten
zien op de gedwongen zorg. Destijds is niet onderkend dat personen die van hun vrijheid
zijn beroofd ook niet gedwongen zorg ontvangen, zoals bijvoorbeeld de zorgverlening
nadat een arm is gebroken (eerder als voorbeeld genoemd). Deze omissie wordt nu hersteld.

Tot slot constateren de leden van de GroenLinks/PvdA-fractie dat tot op heden de cliënt
die vrijwillige zorg ontving, toestemming moest geven voor inzage. De leden vragen
de regering nog iets uitgebreider stil te staan waarom zij deze grondslag verder wil
verbreden? Deze leden begrijpen de risico’s die worden geschetst, maar zijn ook van
mening dat het hier om gevoelige medische gegevens gaat, dus vragen daarom om een
extra motivatie.

Allereerst is het in het belang van personen van wie de vrijheid door de overheid
is ontnomen, dat voortdurend wordt bewaakt dat zij niet worden onderworpen aan foltering
of onmenselijke of vernederende behandeling.

Nederland heeft daartoe een tweetal verdragen ondertekend en geratificeerd en zich
daarmee verbonden om de inhoud daarvan na te leven.

Om hun taak te kunnen uitoefenen is in de genoemde verdragen vastgelegd dat de comités
niet alleen toegang moeten hebben tot elke locatie waar personen verblijven van wie
de vrijheid is ontnomen, maar ook dat de comités alle inlichtingen verkrijgen die
noodzakelijk zijn voor de comités om hun taken te vervullen. Medische dossiers horen
daar ook bij, omdat zij aanwijzingen kunnen bevatten dat er sprake is van bijvoorbeeld
foltering. Daarbij mag geen onderscheid worden gemaakt tussen gedwongen zorg en vrijwillige
zorg, zoals in de huidige situatie wel het geval is.

Met «vrijwillige zorg» wordt in het verband van dit wetsvoorstel gedoeld op alle zorg
die wordt verleend op verzoek of met instemming van een persoon, van wie de overheid
de vrijheid heeft ontnomen. Deze term wordt hier gebruikt in tegenstelling tot «gedwongen
zorg». Gedwongen zorg mag, ook ten aanzien van een persoon wiens vrijheid door de
overheid is ontnomen, alleen verleend worden als daarvoor een grondslag in een wet
(de Wet zorg en dwang of de Wet verplichte geestelijke gezondheidszorg) is opgenomen
(bijvoorbeeld het toedienen van medicatie aan een persoon tegen diens wil).

Het belang van het onderscheid tussen vrijwillige en gedwongen zorg in verband met
het wetsvoorstel dat bij u voorligt, kan worden geïllustreerd met twee voorbeelden:

Dit kan, net als in het eerdere voorbeeld, betrekking hebben op zorg na een gebroken
arm. Het is cruciaal dat de commissies kunnen onderzoeken of er in deze instelling
een patroon van foltering of onmenselijke of vernederende behandeling is. Daarbij
is het goed mogelijk dat de persoon in kwestie wilsonbekwaam is en daardoor geen toestemming
kan geven voor inzage in zijn dossier.

Het huidige voorstel is verder een correctie van een eerdere, (niet onderkende) te
beperkte implementatie van verdragsverplichtingen. In de huidige wetgeving is alleen
geregeld dat inzage mogelijk is als er gedwongen zorg wordt verleend, waardoor in
het geval van vrijwillige zorg met toestemming moet worden gewerkt. Zoals hierboven
toegelicht is toestemming te beperkt om aan de verplichtingen op grond van de verdragen
te voldoen.

Het Europese comité ter preventie van foltering en onmenselijke en vernederende behandeling
heeft in haar laatste rapport Nederland verzocht om de verdragsverplichting correct
na te komen.

Geregeld is dat de leden van deze comités slechts van hun bevoegdheden gebruik mogen
maken voor zover dit redelijkerwijs noodzakelijk is voor de uitoefening van hun taken.
In de verdragen zijn voorts eisen gesteld aan het karakter en de achtergrond van de
leden van de comités en aan hun onpartijdigheid en onafhankelijkheid. De leden van
het Comité worden gekozen uit personen met een hoogstaand zedelijk karakter, die bekend
zijn wegens hun bekwaamheid op het gebied van de rechten van de mens of met beroepservaring
op de gebieden vallende onder dit verdrag en zij zijn onafhankelijk en onpartijdig
(zie artikel 4 Europees Verdrag ter voorkoming van foltering en onmenselijke of vernederende
behandeling en artikel 5 van het Facultatief Protocol bij het Verdrag tegen foltering
en andere wrede, onmenselijke of onterende behandeling of bestraffing). Vanuit het
verdrag is dus ook oog voor de gevoeligheid van het werk van deze leden.

Dit alles rechtvaardigt volgens de regering de genoemde inbreuk op het medische beroepsgeheim.

De leden van de VVD-fractie vragen aan de regering wat er wordt verstaan onder «redelijkerwijs»
in het kader van de bevoegdheid van comités om inzage te krijgen in medische dossiers
en toegang te hebben tot locaties waar personen gedwongen zijn opgenomen. De leden
willen weten wie het uiteindelijke besluit neemt of inzage redelijkerwijs nodig is.

De comités besluiten zelf wanneer redelijkerwijs inzage noodzakelijk is. Per comité
is de grondslag daarvoor verschillend.

Het Subcomité is ingesteld door het Facultatief Protocol bij het Verdrag tegen foltering
en andere wrede, onmenselijke on onterende behandeling of bestraffing. Artikel 14
van het Protocol stelt dat de verdragspartijen het Subcomité onbeperkt toegang dienen
te geven tot alle informatie met betrekking tot de behandeling van die personen aan
wie de vrijheid is ontnomen en hun omstandigheden van die plaatsen. Het Subcomité
dient dus zelf te kunnen kiezen welke informatie zij nodig hebben.

Het andere comité, het CPT, is ingesteld door de «European Convention for the Prevention
of Torture and Inhuman or Degrading Treatment or Punishment».

Artikel 8 van de genoemde conventie stelt dezelfde verplichting als artikel 14 van
het Protocol.

Voorts constateren de leden van de VVD-fractie dat in de brief over het CPT1 wordt
aangegeven dat het werk van de delegatie ernstig werd belemmerd doordat toegang tot
medische dossiers afhankelijk was van individuele schriftelijke toestemming. De leden
willen van de regering uitsluitsel hebben of het hier gaat om het proces van toestemming
vragen of om het weigeren van toestemming door de betrokken personen?

In voorgaande bezoeken heeft het CPT zowel hinder ervaren in het tijdig krijgen van
toestemming tot het inzien van medische gegevens als het niet geven van toestemming
tot inzage door de betrokkene.

Tot slot stellen de leden van de VVD-fractie op dit onderwerp de vraag, in hoeverre
de hierboven genoemde toegang anders is voor het Comité dan voor de Inspectie Gezondheidszorg
en Jeugd? Welke verschillen in bevoegdheden zijn er tussen het Comité en de IGJ en
wat wordt beoogd?

Op grond van verschillende wetten heeft de IGJ verschillende taken en bevoegdheden,
ook op terreinen die voor de werkzaamheden van de comités niet van belang zijn, zoals
bijvoorbeeld de Geneesmiddelenwetgeving. Omdat deze bevoegdheden niet van belang zijn
bij dit wetsvoorstel ga ik daar verder niet op in.

Waar het gaat om inzage in medische dossiers van personen van wie de vrijheid is ontnomen,
heeft de IGJ bevoegdheden die grotendeels vergelijkbaar zijn met de leden van de comités.
In het wetsvoorstel Verzamelwet gegevensverwerking VWS I, die onlangs door de Tweede
Kamer is aangenomen, is verduidelijkt dat de IGJ ook de bevoegdheid heeft om kopieën
te maken van medische dossiers en om medische dossiers korte tijd mee te nemen als
het maken van kopieën niet ter plaatse kan geschieden. Deze bevoegdheid is voor leden
van de comités niet nodig geacht. Daarom is voor leden van de comités volstaan met
de bevoegdheid tot louter inzage in de medische dossiers.

De leden van de NSC-fractie constateren dat eenieder wordt verplicht om leden van
de comités inzage te geven in medische dossiers en te faciliteren dat deze comités
hun bevoegdheden kunnen uitoefenen. Is deze doorbreking van het beroepsgeheim in dergelijke
situaties gerechtvaardigd?

Deze doorbreking van het medische beroepsgeheim wordt gerechtvaardigd geacht. Het
voorkomen van folteringen en onmenselijke of vernederende behandelingen of bestraffingen
is te kwalificeren als een zwaarwegend algemeen belang. De comités kunnen middels
hun werk knelpunten en problemen in een inrichting aan de kaak stellen. Een inrichting
die hier niet aan mee wil werken kan het beroepsgeheim «misbruiken» en bij de justitiabelen/patiënten
afdwingen dat zij geen informatie delen met de comités. Dat zou de justitiabelen/patiënten
in een moeilijke positie brengen. Om toezicht te kunnen houden, hebben de comités
dus inzage nodig in de medische dossiers van personen van wie de vrijheid door de
overheid is ontnomen. Alleen op die wijze kan effectief worden nagegaan of er geen
sprake is van praktijken die strijdig zijn met de genoemde verdragen. Zouden de leden
van de comités geen inzage hebben in de medische dossiers, dan kunnen belangrijke
aanwijzingen over foltering of een onmenselijke of vernederende behandeling niet worden
opgespoord of worden geverifieerd.

Het realiseren van inzage voor de comités betreft bovendien de nakoming van internationale
verplichtingen. Immers, Nederland heeft het Facultatief Protocol bij het Verdrag tegen
foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing (Trb. 2005, 243) en het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende
behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107) ondertekend en geratificeerd.

Daarmee heeft Nederland zich verplicht om ervoor te zorgen dat leden van de comités
die op grond van deze verdragen zijn opgericht, in Nederland toezicht kunnen houden
op de naleving van de verdragsbepalingen. Deze comités zien er op toe dat personen
die (door de overheid) van hun vrijheid zijn beroofd, niet worden onderworpen aan
folteringen of onmenselijke of vernederende behandelingen of bestraffingen. De comités
hebben daartoe het recht om alle informatie te krijgen die noodzakelijk is om hun
taak uit te oefenen. De leden van het Comité zijn personen met een hoogstaand zedelijk
karakter, die bekend zijn wegens hun bekwaamheid op het gebied van de rechten van
de mens of met beroepservaring op de gebieden vallende onder dit verdrag. Verder zijn
de genoemde leden onafhankelijk en onpartijdig (zie artikel 4 Europees Verdrag ter
voorkoming van foltering en onmenselijke of vernederende behandeling en artikel 5
van het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke
of onterende behandeling of bestraffing). Zij kunnen van hun bevoegdheden slechts
gebruik maken voor zover dit redelijkerwijs nodig is voor hun uit het verdrag voortvloeiende
taak.

De naleving van de genoemde verdragen en het toezicht wat daarop wordt gehouden, draagt
bij aan een permanente alertheid op een humane en menswaardige behandeling van personen
van wie de vrijheid door de overheid is ontnomen. Het is daarom belangrijk dat de
comités effectief toezicht kunnen houden op de naleving van verdragsverplichtingen
door Nederland.

Vervolgens constateren de leden van de NSC-fractie dat het wetsvoorstel stelt dat
de comités alleen recht op inzage hebben, maar ook dat zij gegevens over gezondheid
en mogelijk van strafrechtelijke aard verwerken. Kan de regering toelichten wat er
met «verwerken» wordt bedoeld in dit geval? Wordt deze verwerking anoniem gedaan of
zijn de gegevens herleidbaar naar een persoon?

Onder verwerken wordt in dit geval bedoeld dat de leden van de Comités inzage krijgen
in de medische dossiers van personen van wie de vrijheid door de overheid is ontnomen.
Zij raadplegen dan deze gegevens, hetgeen op grond van de AVG als «verwerken» wordt
beschouwd. Omdat deze inzage op dossierniveau plaatsvindt, betreft het naar een persoon
herleidbare informatie.

De verwerking ten behoeve van hun rapportages wordt verder anoniem gedaan. De comités
gaan in hun rapporten niet in op individuele zaken.

Daarnaast willen de leden van de NSC-fractie weten wie precies onder de verplichting
valt om medewerking te verlenen. Wat zijn concrete voorbeelden van «anderen» die de
comités kunnen helpen hun bevoegdheden uit te oefenen?

Het gaat om het verschaffen van toegang tot locaties waar gedwongen zorg wordt verleend
zoals omschreven in het voorgestelde artikel 24a, eerste lid onder c of d («gedwongen
opnames») en het meewerken aan het recht op inzage door het ter beschikking stellen
van medische dossiers van personen van wie de vrijheid is ontnomen.

Het wetsvoorstel schrijft voor dat «een ieder» verplicht is om medewerking te verlenen.
Naast de zorgaanbieder, die de locaties en de dossiers beheert, kan dit gaan om zorgverleners
onder wie het medisch dossier berust of om personen die de leden van de comités toegang
kunnen geven tot de locaties waar personen verblijven die gedwongen zijn opgenomen.
Toegang tot de penitentiaire inrichtingen is reeds geregeld in de Wet forensische
zorg en valt daarmee niet onder dit wetsvoorstel.

De leden van de NSC-fractie stellen een vraag over de grens tussen vrijwillige en
onvrijwillige zorg. Ze willen weten of de bevoegdheid van de comités, zoals vastgelegd
in de verdragen, uitsluitend van toepassing is op personen die gedwongen zijn opgenomen
vanwege hun (psychische) gezondheid en de zorglocatie niet mogen verlaten, en niet
op personen die vrijwillige zorg ontvangen. Kan de regering dit bevestigen?

De verdragen zien op alle personen van wie de vrijheid door de overheid is ontnomen.
In de verdragen wordt geen onderscheid gemaakt tussen bijvoorbeeld gedetineerden,
personen die in vreemdelingenbewaring zijn genomen of personen die onvrijwillig zijn
opgenomen vanwege een psychische of een psychogeriatrische beperking of een verstandelijke
handicap.

De werkzaamheden van de comités zien dus niet op personen, van wie de vrijheid niet
is ontnomen door de overheid. Voor zover aan hen zorg wordt verleend zonder vrijheidsbeneming
(of dit nu gedwongen zorg is of vrijwillige zorg), vallen zij niet onder de werkingssfeer
van de verdragen en hebben de comités ook geen bevoegdheid om medische dossiers in
te zien.

Tot slot vraagt de NSC-fractie of de regering van mening is dat de verwerkingsgrondslag
toestemming geen redelijk alternatief is voor personen die vrijwillige zorg krijgen.
Is er in dit kader ook met ervaringsdeskundigen gesproken over de vraag of toestemming
al dan niet mogelijk is en zo niet, is de regering bereidt om een gesprek hierover
met ervaringsdeskundigen te laten plaatsvinden?

Omdat het hier gaat om de naleving van verdragsverplichtingen, heeft er geen raadpleging
van ervaringsdeskundigen plaatsgevonden. Een gesprek met ervaringsdeskundigen kan
ook niets afdoen aan de internationale verplichtingen waaraan Nederland zich heeft
verbonden en waar dit wetsvoorstel een uitvloeisel is.

Zoals eerder benoemd heeft Nederland zich verbonden aan de naleving van het Facultatief
Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende
behandeling of bestraffing (Trb. 2005, 243) en het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende
behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107). Deze verdragen regelen het bestaan en de werkwijze van de twee verschillende comités
die toezicht houden op de naleving van de verplichtingen die in deze verdragen zijn
opgenomen.

Deze comités zien er op toe dat personen die (door de overheid) van hun vrijheid zijn
beroofd, niet worden onderworpen aan folteringen of onmenselijke of vernederende behandelingen
of bestraffingen.

Met «vrijwillige zorg» wordt in dit verband gedoeld op alle zorg die wordt verleend
op verzoek of met instemming van een persoon van wie de overheid de vrijheid heeft
ontnomen. Deze term wordt hier gebruikt in tegenstelling tot «gedwongen zorg». Gedwongen
zorg mag, ook ten aanzien van een persoon wiens vrijheid door de overheid is ontnomen,
alleen verleend worden als daarvoor een grondslag in een wet (de Wet Zorg en Dwang
of de Wet verplichte geestelijke gezondheidszorg) is opgenomen (bijvoorbeeld het toedienen
van medicatie aan een persoon tegen diens wil).

Het belang van het onderscheid tussen vrijwillige en gedwongen zorg in verband met
het wetsvoorstel dat bij u voorligt, kan worden geïllustreerd met twee voorbeelden:

In het eindrapport over het bezoek van het CPT aan Nederland in 2022, merkte het CPT
op ernstig te zijn gehinderd in zijn taakuitoefening door geen inzage te krijgen in
de medische dossiers zonder instemming, tenzij de betrokken gedetineerde uitdrukkelijk
toestemming verleende.

Het CPT riep wederom op onvoorwaardelijk toegang te krijgen tot de medische dossiers
van alle personen die van hun vrijheid zijn beroofd. Deze dringende oproep deed het
CPT ook al na bezoeken in 2002, 2007, 2011 en 2016.

2.4 Vektis

De leden van de PVV-fractie vragen hoe de verwerking van persoons- en gezondheidsgegevens
door Vektis ten behoeve van beleidsontwikkeling bij het Ministerie van VWS tot nu
toe was geregeld? Waarom voldoet de bestaande regeling niet meer?

Aanvankelijk voorzag Vektis in anonieme beleidsinformatie ten behoeve van het Ministerie
van VWS, dat deze anonieme beleidsinformatie nodig heeft voor het beheer van het Nederlandse
gezondheidszorgstelsel. De AVG staat verwerking van (bijzondere) persoonsgegevens
voor dit doel toe, mits daarvoor een wettelijke grondslag bestaat.14 Anonieme gegevens gelden evenwel niet als persoonsgegevens in de zin van de AVG;
het Ministerie van VWS verwerkt dan ook geen persoonsgegevens en heeft zodoende geen
wettelijke grondslag nodig voor het gebruik van anonieme beleidsinformatie.

De betrokken partijen (het Ministerie van VWS, zorgverzekeraars en Wlz-uitvoerders)
kwamen echter gezamenlijk tot de conclusie dat een expliciete wettelijke grondslag
alsnog nodig is, omdat de zorgverzekeraars en Wlz-uitvoerders de verzekerden- en declaratiedata
(waaronder ook gegevens over gezondheid) die zij reeds hebben verwerkt voor de uitvoering
van hun wettelijke taken, verder verwerken voor de productie van deze anonieme beleidsinformatie.
Voor deze verwerking ontbreekt nu dus een grondslag.

De verwerking van persoonsgegevens geschiedt door Vektis als verwerker van de zorgverzekeraars
en Wlz-uitvoerders. De verdere verwerking bestaat in de eerste plaats uit het pseudonimiseren
van de persoonsgegevens zodat die niet meer herleidbaar zijn tot individuele verzekerden
met gebruik van een pseudo-burgerservicenummer (pseudo-BSN). Dat maakt het mogelijk
om vast te stellen dat verschillende data betrekking hebben op eenzelfde persoon zonder
diens identiteit te kennen. Dat is essentieel voor het kunnen leggen van verbanden.
De verdere verwerking door Vektis bestaat in de tweede plaats uit het doen van onderzoek
waaronder het uitvoeren van analyses en het aggregeren van informatie. De verdere
verwerkingen door Vektis bestaan in derde plaats uit de productie en verstrekking
van anonieme beleidsinformatie aan het Ministerie van VWS.

Het wetsvoorstel voorziet in een wettelijke grondslag voor deze verwerking door de
zorgverzekeraars en Wlz-uitvoerders via Vektis. In afwachting van de wettelijke grondslag
heeft Vektis de verwerking voor de productie van anonieme beleidsinformatie voor het
Ministerie van VWS stopgezet.

Tot slot stellen de leden van de PVV-fractie dat het verbeteren van beleidsontwikkeling
geen rechtvaardige reden is om persoons- en gezondheidsgegevens zonder toestemming
uit te wisselen. Deelt de regering deze mening?

De regering deelt die mening niet en heeft daarom de voorgestelde regelingen in dit
wetsvoorstel opgenomen.

Expliciete toestemming van de betrokkene is op grond van de AVG één van de geldige
grondslagen voor de verwerking van persoonsgegevens, waaronder gegevens over gezondheid.
De AVG vereist daarvoor geen wettelijke grondslag. Maar het vragen van expliciete
toestemming is gezien het aantal betrokkenen praktisch onmogelijk, levert een flinke
toename van administratieve lasten op en kost de zorgverzekeraars en Wlz-uitvoerders
onevenredige inspanning. Het gebruik van de expliciete toestemming als verwerkingsgrondslag
doet bovendien ernstig afbreuk aan de kwaliteit en representativiteit van de anonieme
beleidsinformatie, omdat naar verwachting niet alle verzekerden expliciete toestemming
zullen geven. De verwerking van de beschikbare verzekerden- en declaratiedata is echter
wel noodzakelijk voor de kwaliteit, representativiteit en volledigheid van de anonieme
beleidsinformatie.

Het Ministerie van VWS gebruikt deze anonieme beleidsinformatie voor het beheer van
het Nederlandse gezondheidszorgstelsel. De AVG staat dat verwerkingsdoel toe, mits
daarvoor een wettelijke grondslag bestaat.15 Het wetsvoorstel voorziet daarom in een expliciete grondslag voor de verdere verwerking
van (bijzondere) persoonsgegevens door zorgverzekeraars en Wlz-uitvoerders via Vektis.
Vektis hanteert de nodige voorwaarden bij de verwerkingen voor het Ministerie van
VWS ter bescherming van persoonsgegevens. Zo gebruikt Vektis alleen verzekerden- en
declaratiedata die het al voor de uitvoering van de wettelijke taken van zorgverzekeraars
en Wlz-uitvoerders heeft verwerkt. Vektis verwerkt geen extra persoonsgegevens en
vraagt ook geen extra gegevens op. Vektis pseudonimiseert eerst de verzekerden- en
declaratiedata, zodat die niet meer herleidbaar zijn tot individuele verzekerden voordat
zij onderzoek doet, waaronder het uitvoeren van analyses, en de informatie aggregeert.
Het eindproduct bestaat slechts uit anonieme beleidsinformatie die wordt verstrekt
aan het Ministerie van VWS.

De leden van de GroenLinks/PvdA-fractie benadrukken dat de gegevens die Vektis verwerkt
voor beleidsinformatie geaggregeerd moeten zijn en niet herleidbaar tot individuele
verzekerden. Dit moet – volgende de genoemde leden – niet verder worden opgerekt,
zoals dit bijvoorbeeld wel is gedaan bij de verzamelde HoNos+ data door de Nederlandse
Zorgautoriteit (NZa). Genoemde leden zijn benieuwd hoe het staat met de uitvoering
van de aangenomen motie Joseph c.s. (Kamerstuk 25 424, nr. 697) die ervoor zorgt dat de NZa de nu al verzamelde HoNoS+ data vernietigt en voortaan
slechts gebruikmaakt van geaggregeerde data?

Vektis pseudonimiseert eerst de betrokken verzekerden- en declaratiedata zodat die
niet meer herleidbaar zijn tot individuele verzekerden. Het pseudonimiseren door Vektis
is een verwerkingshandeling ter bescherming van persoonsgegevens. Vektis kan met de
gepseudonimiseerde data op basis van een pseudo-BSN wel vaststellen dat verschillende
data betrekking hebben op eenzelfde persoon zonder diens identiteit te kennen. Dat
is essentieel voor het kunnen leggen van verbanden. Vektis doet vervolgens met de
gepseudonimiseerde data onderzoek, waaronder het uitvoeren van analyses, en aggregeert
informatie. Het aan het Ministerie van VWS te verstrekken eindproduct bestaat louter
uit anonieme beleidsinformatie.

Mijn ambtsvoorganger heeft bij Kamerbrief van 24 juni 202416 de acties in verband met de uitvoering van de motie Joseph c.s. toegelicht.17 Het Ministerie van VWS voert gesprekken met de NZa over het gebruik van de HoNOS+
gegevens. Ik heb bovendien de Adviescommissie zorgvraagtypering gevraagd naar reflectie
op de motie.18 Die commissie houdt zich op verzoek van de NZa namens de partijen in de GGZ-sector
bezig met de doorontwikkeling van de zorgvraagtypering. De zorgvraagtypering heeft
tot doel een verband te leggen tussen zorgvraag en de inzet van zorg. Dit is relevant
voor een adequate inkoop en bekostiging van GGZ-aanbieders en daarmee voor de continuïteit
van zorg aan patiënten, met name voor patiënten met een hoge zorgvraag. Uw Kamer wordt
dit najaar geïnformeerd over de laatste stand van zaken.

De leden van de VVD-fractie stellen op het wetsonderdeel «Vektis» twee vragen. Allereerst
constateren de genoemde leden dat in het wetsvoorstel het «zwaarwegend algemeen belang»
beperkt lijkt tot beleidsontwikkeling en begrotingsonderbouwing van het Ministerie
van VWS. Klopt deze beperking, en betekent dit dat de gecombineerde Vektis gegevens
alleen voor dit doel geanonimiseerd beschikbaar gesteld kunnen worden?

De in het wetsvoorstel opgenomen wettelijke verwerkingsgrondslag ziet op de productie
van anonieme informatie ten behoeve van het te voeren volksgezondheidsbeleid door
VWS-bewindspersonen. Het gaat om het onderbouwing en verantwoording van beleid, zoals
de inhoud en omvang van de verzekerde pakketten, de kwaliteit en toegankelijkheid
van zorg en het financieel beheer van de collectief verzekerde zorg. De beschikbaarstelling
van gecombineerde Vektis-data voor ándere doelen dan beleidsvorming zou een aanvullende
verwerkingsgrondslag in de Zvw en Wlz vergen.

Ten tweede constateren de leden van de VVD-fractie dat voor het gebruik van Vektis
data, voor de verbetering van kwaliteit van zorg door zorgprofessionals en door wetenschappelijk
onderzoekers, elke compliance officer van elke betrokken zorgverzekeraar toestemming
moet geven, wat tot enorme bureaucratie en vertraging leidt. Wat vindt de regering
van deze belemmeringen en de mogelijke nadelen die dat heeft? Wordt deze belemmering
met dit wetsvoorstel verminderd?

De regeling voor het gebruik van Vektis-data in dit wetsvoorstel ziet op anonieme
beleidsinformatie, ten behoeve van het Ministerie van VWS en diens agentschappen.
Het gebruik van de gezondheidsgegevens voor wetenschappelijk onderzoek valt dus buiten
de scope van dit wetsvoorstel. Voor de verwerking van gegevens over gezondheid voor
(wetenschappelijk) onderzoek bestaan slechts de algemene kaders van de AVG en de Uitvoeringswet
Algemene verordening gegevensbescherming (UAVG).19 De zorgverzekeraars en Wlz-uitvoerders moeten als verwerkingsverantwoordelijken bij
een aanvraag voor (wetenschappelijk) onderzoek aan die algemene kaders toetsen. De
EHDS bevat een specifieke regeling voor wetenschappelijk onderzoek en innovatie in
de zorg. De onderzoekers die data willen gebruiken en daarvoor een vergunning hebben
gekregen van de nog op te richten Health Data Access Body (HDAB) kunnen de onderzoeksgegevens
opvragen bij datahouders zoals zorgverzekeraars en Wlz-uitvoerders.

De regering zet in op het vergroten van de databeschikbaarheid voor secundair gebruik
(wetenschappelijk onderzoek, beleid en innovatie). Databeschikbaarheid is dan ook
een belangrijke pijler van de Nationale visie en strategie gezondheidsinformatiestelsel.20 De uitvoering daarvan leidt, indien dit noodzakelijk blijkt, tot wetsvoorstellen
met aanvullende verwerkingsgrondslagen voor secundair datagebruik, zoals voor Vektis-data.

De leden van de NSC-fractie vragen de regering te benoemen welke specifieke agentschappen
onder de verantwoordelijkheid van het Ministerie van VWS vallen (aanvullende) rapportages
nodig hebben voor beleid?

De agentschappen die vallen onder het Ministerie van VWS zijn het College ter Beoordeling
van Geneesmiddelen (CBG), het Centraal Informatiepunt Beroepen Gezondheidszorg (CBIG)
en het Rijksinstituut voor Volksgezondheid en Milieu (RIVM). De verwerkingsgrondslagen
die met dit wetsvoorstel worden geregeld, gelden ook voor deze organisaties. Vektis
kan dan ook ten behoeve van deze agentschappen namens de zorgverzekeraars en Wlz-uitvoerders
(bijzondere) persoonsgegevens verwerken tot anonieme beleidsinformatie.

Daarnaast willen genoemde leden weten wat de noodzaak is van extra beleidsinformatie
en welke concrete voorbeelden heeft de regering hiervan in gedachten?

Dit wetsvoorstel voorziet in wettelijke grondslagen voor verwerkingen ten behoeve
van een bestaande informatiebehoefte, waarin Vektis als verwerker namens de zorgverzekeraars
en de Wlz-uitvoerders momenteel niet kan voorzien vanwege het ontbreken van wettelijke
grondslagen. Voorbeelden van de noodzakelijke verwerkingen zijn de monitoring van
niet gecontracteerde wijkverpleging en GGZ, het onderzoek voor het macrokader GGZ
en de analyse van Wlz-zorg in natura. Overigens dragen de vragen vanuit uw Kamer ook
bij aan die informatiebehoefte.

De leden van de NSC-fractie vragen waarom niet eerst wordt gefocust op het optimaal
benutten van de reeds beschikbare data. Voorts vragen zij welke stappen er worden
genomen om bestaande gegevens beter te benutten en de beveiliging daarvan te verbeteren
voordat nieuwe regelgeving voor bredere dataverwerking en data uitwisseling wordt
geïmplementeerd.

De in het wetsvoorstel voorgestelde regelingen voor de verwerking van Vektis-data
houden de optimale benutting van bestaande data in. Het gaat om secundair gebruik
van reeds verwerkte verzekerden- en declaratiedata. De voorgestelde regelingen leiden
niet tot extra informatie-uitvragen bij zorgaanbieders of burgers. Verzekerden- en
declaratie die Vektis reeds heeft verwerkt als verwerker van de zorgverzekeraars en
Wlz-uitvoerders ter uitvoering van hun wettelijke taken op grond van de Zvw en Wlz,
verwerkt Vektis verder ten behoeve van anonieme beleidsinformatie voor het Ministerie
van VWS. De verdere verwerking bestaat uit het pseudonimiseren, onderzoeken waaronder
analyseren, en aggregeren van de gepseudonimiseerde data en ten slotte de productie
en verstrekking van anonieme beleidsinformatie. Het wetsvoorstel maakt deze verdere
verwerking derhalve op een veilige wijze mogelijk.

De leden van de D66-fractie stellen de volgende vragen. Kan de regering de proportionaliteit
en noodzakelijkheid van elke grondslag in het wetsvoorstel (voor het wetsonderdeel
«Vektis») verder motiveren? En kan de regering hierbij ook aangeven of er alternatieven
mogelijk zijn, en zo ja, welke?

Momenteel kan Vektis reeds verwerkte verzekerden- en declaratiedata niet verder verwerken
voor de verstrekking van anonieme beleidsinformatie aan het Ministerie van VWS. Het
gaat om noodzakelijke verwerkingen voor het beheer van het Nederlandse gezondheidszorgstelsel,
een in de AVG toegestaan verwerkingsdoel voor gegevens over gezondheid.21 Concreet gaat het om de onderbouwing en verantwoording van beleid, zoals de inhoud
en omvang van de verzekerde pakketten, de kwaliteit en toegankelijkheid van zorg en
het financieel beheer van de collectief verzekerde zorg. Vektis hanteert de nodige
voorwaarden bij de verwerkingen van persoonsgegevens voor het Ministerie van VWS ter
bescherming van persoonsgegevens. Zo gebruikt Vektis alleen verzekerden- en declaratiedata
die het al voor de uitvoering van de wettelijke taken van zorgverzekeraars en Wlz-uitvoerders
heeft verwerkt. Vektis verwerkt geen extra persoonsgegevens. Vektis pseudonimiseert
eerst de verzekerden- en declaratiedata zodat die niet meer herleidbaar zijn tot individuele
verzekerden voordat zij onderzoek doet, waaronder het uitvoeren van analyses, en de
informatie aggregeert. Het eindproduct bestaat slechts uit anonieme beleidsinformatie.
De door Vektis gehanteerde voorwaarden waarborgen de proportionaliteit. Vektis beschikt
als enige partij in hoedanigheid van verwerker voor de zorgverzekeraars en de Wlz-uitvoerders
over de verzekerden- en declaratiedata. Dit betekent dat er geen alternatieven mogelijk
zijn.

De leden van de SP-fractie willen weten of de regering helder kan formuleren wat momenteel
de wettelijke bevoegdheden van Vektis zijn? Wat zou dit wetsvoorstel veranderen aan
de huidige wettelijke bevoegdheden van Vektis?

Vektis treedt op als verwerker namens de zorgverzekeraars en Wlz-uitvoerders. Dit
wetsvoorstel wijzigt deze positie van Vektis niet, maar voorziet in een wettelijke
grondslag, zodat Vektis reeds verwerkte verzekerden- en declaratiedata verder kan
verwerken ten behoeve van anonieme beleidsinformatie voor het Ministerie van VWS.
De verdere verwerkingen door Vektis bestaan in de eerste plaats uit het pseudonimiseren
van de persoonsgegevens zodat die niet meer herleidbaar zijn tot individuele verzekerden.
De verdere verwerkingen door Vektis bestaan in de tweede plaats uit het doen van onderzoek
met deze gepseudonimiseerde gegevens, waaronder het uitvoeren van analyses, en het
aggregeren van deze informatie tot anonieme gegevens. De verdere verwerkingen door
Vektis bestaan in derde plaats uit de productie en verstrekking van anonieme beleidsinformatie.

2.5 Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten

De leden van de GroenLinks/PvdA-fractie zouden graag zien dat mensen met een levenslange
en levensbrede beperking niet steeds opnieuw een herindicatie moeten aanvragen, maar
dat dit voor een lange termijn wordt afgegeven. Als dit wetsonderdeel in de toekomst
beleid wordt, hoe zal het dan gaan met de bewaartermijn van gegevens? Kunnen de gegevens
van genoemde cliënten dan wel langer worden bewaard of gooit dit wetsvoorstel hier
de deur voor dicht?

Wanneer een gemeente een beschikking afgeeft die langer geldt dan 7 jaar, ontstaan
er met dit wetsvoorstel geen problemen met het bewaren van de gegevens. De bewaartermijn
van 7 jaar geldt telkens vanaf het moment van de laatst vastgelegde wijziging van
de persoonsgegevens. Het CAK geeft aan dat gedurende de periode dat iemand ondersteuning
ontvangt, er wijzigingen in het dossier plaatsvinden, bijvoorbeeld door het sturen
van een jaarbeschikking met daarin de eigen bijdrage die betaald moet worden. In de
praktijk betekent dit dat de bewaartermijn pas kan aflopen wanneer iemand geen ondersteuning
meer ontvangt en dat het dus niet afhankelijk is van het afgeven of de duur van de
beschikking.

3. Verhouding hoger recht

3.1 Mensenrechtelijke bescherming

De leden van de NSC-fractie vragen waarom het nodig is dat zorgverzekeraars en Wlz-uitvoerders
een wettelijke grondslag nodig hebben om gegevens te verwerken en te anonimiseren,
als deze gegevens al niet-anoniem naar Vektis gaan en daar worden verwerkt? Waarom
blijft de uitvoering van gegevensverwerking niet beperkt tot verwerking bij Vektis?
Vervolgens vragen genoemde leden of de regering kan aangeven waarom het nodig is dat
een Wlz uitvoerder (art 89a) gegevens aan een zorgverzekeraar zou moeten verstrekken
en dit niet rechtstreeks via Vektis gaat?

Het kan noodzakelijk zijn dat een Wlz-uitvoerder gegevens verstrekt aan een zorgverzekeraar,
ten behoeve van de afstemming van Wlz- en Zvw-zorg aan een verzekerde. Dit betreft
primaire verwerkingen van gegevens voor de uitvoering van wettelijke taken. De ontwikkelingen
op het gebied van de Wlz kunnen echter in een aantal gevallen doorwerken in de ontwikkelingen
op het gebied van de Zvw. Zodoende kan de gevraagde beleidsinformatie de verwerking
van Wlz-informatie en Zvw-informatie noodzakelijk maken. Vektis is verwerker voor
zowel de zorgverzekeraars als de Wlz-uitvoerders. De daadwerkelijke verdere verwerking
van de Wlz-informatie tot anonieme beleidsinformatie voor het Ministerie van VWS gaat
dan ook rechtstreeks via Vektis.

Verder willen de leden van de NSC-fractie weten hoe het staat met de informatiebeveiliging
in de zorguitwisseling tussen zorgverzekeraars, Wlz-uitvoerders en Vektis?
Zij vragen of de regering ook privacy bevorderende maatregelen, zoals multi-party
computation (MPC), heeft overwogen als manier om tot beleidsinformatie te komen, met
minder gevaren voor de privacy van personen.

De voorgestelde verwerkingsgrondslagen betreffen verdere verwerkingen van reeds door
Vektis verwerkte persoonsgegevens ter uitvoering van de wettelijke taken van de zorgverzekeraars
en Wlz-uitvoerders. Vektis past de bestaande beveiligingsmaatregelen ter bescherming
van de persoonsgegevens voor de primaire verwerkingen ook ten volle toe bij de verdere
verwerkingen.

De bestaande beveiligingsmaatregelen bieden gezien de grote hoeveelheid verwerkte
gegevens over gezondheid bij de primaire verwerkingen door Vektis als verwerker voor
de zorgverzekeraars en de Wlz-uitvoerders een hoog beschermingsniveau en moeten dat
op grond van de AVG ook doen.

De verdere verwerkingen door Vektis bestaan uit het pseudonimiseren van verzekerden-
en declaratiedata, het onderzoeken, waaronder het uitvoeren van analyses van de gepseudonimiseerde
data, het aggregeren van informatie en de productie en verstrekking van anonieme beleidsinformatie
aan het Ministerie van VWS.

In het kader van de verwerking door Vektis, ten behoeve van het beleid van het Ministerie
van VWS, is Vektis primair de aangewezen partij om te zorgen voor een gedegen gegevensverwerking.
Dit impliceert nadrukkelijk niet dat de Rijksoverheid geen voorstander is van het
gebruik van MPC, noch dat er geen onderzoek wordt gedaan naar MPC. Ik overweeg om
zogenoemde privacy enhancing techniques (PET’s), zoals MPC, toe te passen wanneer
het inzichten uit gegevens wil verkrijgen. Het Ministerie van VWS werkt volgens het
principe van privacy-by-design. Onder andere is bij verwerkingen binnen VWS het in
kaart brengen van de risico’s, en vervolgens ook het nemen van maatregelen (in een
DPIA), verplicht. In dit proces kan ook de toepassing van PET’s worden besproken.
Op dit moment signaleer twee nadelen bij het gebruik van MPC. Ten eerste zijn er nog
geen goede standaarden, wat brede adoptie door de industrie lastig maakt. Daarnaast
kan in sommige gevallen niet worden gecontroleerd of de juiste actie is uitgevoerd,
door een gebrek aan transparantie. Dit vraagt om verder onderzoek voordat MPC breed
toepasbaar kan zijn.

3.2 Vektis

De leden van de VVD-fractie constateren dat om beleid te kunnen ontwikkelen, maar
ook om kwaliteit van zorg te verbeteren, veel data nodig zijn. Ziet de regering mogelijkheden
voor versoepelingen of andere vereenvoudigingen vanuit de AVG die het makkelijker
maken om gegevens te delen die de kwaliteit van zorg in zowel de zorgplannen als wetenschappelijk
onderzoek kunnen bevorderen?

De regeling voor het gebruik van Vektis-data in dit wetsvoorstel ziet op anonieme
beleidsinformatie ten behoeve van het Ministerie van VWS en diens agentschappen. Het
gebruik van de gezondheidsgegevens voor wetenschappelijk onderzoek valt dus buiten
de scope van dit wetsvoorstel. De toekomstige EU-verordening voor de EHDS bevat een
specifieke regeling voor wetenschappelijk onderzoek en innovatie. De onderzoekers
die data willen gebruiken en daarvoor een vergunning hebben gekregen van de nog op
te richten HDAB kunnen de onderzoeksgegevens opvragen bij datahouders zoals zorgverzekeraars
en Wlz-uitvoerders. De regering zet in op het vergroten van de databeschikbaarheid
voor secundair gebruik (wetenschappelijk onderzoek, beleid en innovatie). Databeschikbaarheid
is dan ook een belangrijke pijler van de Nationale visie en strategie gezondheidsinformatiestelsel.22 De uitvoering daarvan leidt zo nodig tot wetsvoorstellen met aanvullende verwerkingsgrondslagen
voor secundair datagebruik zoals voor Vektis-data.

3.3 Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten

De leden van de NSC-fractie willen weten in welke situaties het noodzakelijk is dat
het CAK en de SVB gegevens langer dan zeven jaar bewaren. Kan deze toevoeging uit
het conceptwetsvoorstel worden geschrapt?

Er kunnen zich situaties voordoen waarin het voor een zorgvuldige uitvoering van de
taken op grond van de Wmo 2015 toch noodzakelijk is een bewaartermijn te hanteren
die langer is dan 7 jaar, te rekenen vanaf de laatst vastgelegde wijziging. Het CAK
kan bijvoorbeeld te maken krijgen met een vordering die is gestuit, waardoor deze
niet binnen vijf jaar (art. 4:104 BW) verjaart. Zonder de toevoeging «of zoveel langer
als redelijkerwijs in verband met een zorgvuldige uitvoering van taken op grond van
deze wet noodzakelijk is» zou het voor kunnen komen dat het CAK deze vordering dan
niet langer kan innen. Het CAK geeft daarom aan, dat het belangrijk is om deze toevoeging
te behouden. Uiteraard kan enkel op grond van deze toevoeging worden geacteerd als
dat noodzakelijk is in verband met de uitvoering van taken op grond van deze wet.
Zoals bovengenoemd voorbeeld ook aangeeft zal dit zich slechts in uitzonderlijke situaties
voordoen.

4. Regeldruk

De leden van de VVD-fractie hebben vragen gesteld met betrekking tot de regeldruk.
Allereerst vragen de genoemde leden of de regering concreet kan maken welke handelingen
en administratieve lasten niet meer nodig zijn na implementatie van de Verzamelwet
gegevensverwerking VWS II.a?

Het wetsvoorstel Verzamelwet gegevensverwerking VWS II is, zoals te doen gebruikelijk,
voorgelegd aan het Adviescollege toetsing regeldruk (ATR). De ATR laat weten dat de
wetswijzigingen de regeldruk beperken, omdat handelingsverlegenheid onder uitvoerenden
en discussies over de juridische houdbaarheid van de gegevensverwerkingen en verstrekkingen
daarmee tot het verleden gaan behoren. Het voorkomt ook dat een toevlucht moet worden
genomen tot (het vragen van) toestemming van cliënten om rechtmatig te kunnen handelen.

Verder leiden de wetswijzigingen tot minder (ervaren) regeldruk voor zorgaanbieders,
patiënten en cliënten. Overigens dient wel benadrukt te worden dat met het wetsvoorstel
wordt beoogd de grondslagen bij bestaande taken aan te vullen of te verduidelijken.
De uitvoering van bestaande taken worden door deze wetswijzigingen vereenvoudigd,
dit levert – zoals gezegd – in potentie een verlichting van de regeldruk op. Echter,
de specifieke gevolgen hiervan zijn lastig te kwantificeren. In ieder geval worden
geen negatieve regeldrukgevolgen verwacht.

Vervolgens constateren de leden van de VVD-fractie dat de omvang van deze verlichting
beperkt is (zo schrijft ook de ATR). Op welke manier kan verdere verlichting worden
ingezet?

De afgelopen jaren is duidelijk geworden dat de regeldruk een hardnekkig en ingewikkeld
probleem is, dat alleen kan worden aangepakt met gezamenlijke inspanningen op meerdere
niveaus. Daarom zijn er verschillende (sub)thema’s opgenomen in het regeerprogramma,
denk hierbij aan: 1) het afwenden van een onbeheersbaar arbeidsmarkttekort; 2) halveren
van de administratietijd in 2030, en; 3) het vergroten van vakmanschap en werkplezier.
Aan de hand van de genoemde thema’s wordt onder andere ingezet op het stimuleren van
het gebruik van kunstmatige intelligentie (AI) in de zorg. Daarnaast zal wet- en regelgeving
welke tot onnodige administratietijd leidt, worden geschrapt. Verder wordt toegewerkt
naar meer databeschikbaarheid (gegevensuitwisseling in de zorg), uiteraard met oog
voor bescherming van bijzondere persoonsgegevens.

5. Advies en consultatie

De Raad van State geeft aan dat een «betere» uitvoering van een wettelijke taak op
zichzelf geen rechtvaardiging is, zeker nu in de huidige situatie gewerkt wordt met
expliciete toestemming. Volgens de toelichting is het vragen van toestemming echter
geen werkbare en wenselijke optie. Met betrekking tot bevolkingsonderzoeken en screenings
zou het onthouden van toestemming kunnen leiden tot een vertekend beeld. Hoe kijkt
de regering naar dit advies van de Raad van State?

De hierboven gestelde vraag richt zich op het onderwerp dat een verwerkingsgrondslag
regelt tussen zorgverleners en het RIVM en wordt besproken in het advies van de Afdeling.
In het voorliggend wetsvoorstel is voornoemde verwerkingsgrondslag niet opgenomen.
Het onderdeel dat die grondslag regelt, is opgenomen in de Verzamelwet gegevensverwerking
VWS II.b. De reactie op de opmerkingen van de Afdeling over dat onderdeel, is in het
bijbehorende nader rapport van de Verzamelwet gegevensverwerking VWS II.b opgenomen.
Voor een antwoord op deze vraag verwijs ik de leden van de VVD-fractie daarom naar
het nader rapport, zoals dat onlangs met het genoemde wetsvoorstel bij Uw Kamer aanhangig
is gemaakt.23

Is de regering bereid het wetsvoorstel aan te passen zodat het medisch beroepsgeheim
gewaarborgd blijft, gezien de opmerkingen van de Raad van State over gegevensverwerkingen
in bevolkingsonderzoeken, screenings en vaccinaties?

Allereerst moet worden benadrukt dat deze vraag niet gaat over het onderhavige wetsvoorstel,
maar over de Verzamelwet gegevensverwerking VWS II.b. Desalniettemin is naar aanleiding
van het advies van de Afdeling de toelichting op de Verzamelwet gegevensverwerking
VWS II.b en het wetsvoorstel aangepast.

6. Overig

De leden van de BBB-fractie merken op dat een bezwaarsysteem in de praktijk niet minder
hoeft te vergen van zorgverleners dan een toestemmingssysteem. Hoe ziet de regering
de situatie waarin privacy alleen gewaarborgd wordt als er bezwaar wordt gemaakt,
in plaats van dat dit de uitgangssituatie is? Indien de regering het met de BBB eens
is, wat is dan volgens de regering de noodzaak van deze wetswijziging?

De hierboven gestelde vraag richt zich op het onderwerp dat een verwerkingsgrondslag
regelt tussen zorgverleners en het RIVM en wordt besproken in het advies van de Afdeling.
Het voorliggend wetsvoorstel ziet echter niet op de genoemde verwerkingsgrondslag.
Het onderdeel dat die grondslag regelt is opgenomen in de Verzamelwet gegevensverwerking
VWS II.b. De reactie op de opmerkingen van de Afdeling over dat onderdeel, is in het
bijbehorende nader rapport van de Verzamelwet gegevensverwerking VWS II.b opgenomen.

Voor een antwoord op deze vraag verwijs ik de leden van de BBB-fractie naar het nader
rapport, zoals dat onlangs met het wetsvoorstel bij Uw Kamer aanhangig is gemaakt.24

De Minister van Volksgezondheid, Welzijn en Sport, M. Agema

Download

Ondertekenaars

Eerste ondertekenaar
M. Agema, minister van Volksgezondheid, Welzijn en Sport

Bijlagen

Bijlage Download bestand: Aanbiedingsbrief (DOCX)
Bijlage Download bestand: Beslisnota bij 36579 Nota naar aanleiding van het verslag inzake Verzamelwet gegevensverwerking VWS II.a (PDF)

Datum:5 november 2024
Nummer:36579-6
Nota n.a.v. het (nader/tweede nader/enz.) verslag

Activiteiten

20 nov 2024

Procedurevergadering VWS

20 november 2024

Procedurevergadering
Tijd activiteit: 10:15