Verslag (initiatief)wetsvoorstel (nader) : Verslag
36 702 Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorg
Nr. 5
VERSLAG
Vastgesteld 17 april 2025
De vaste commissie voor Volksgezondheid, Welzijn en Sport, belast met het voorbereidend
onderzoek van voorliggend wetsvoorstel, heeft de eer als volgt verslag uit te brengen
van haar bevindingen.
Onder het voorbehoud dat de in het verslag opgenomen vragen en opmerkingen afdoende
door de regering worden beantwoord, acht de commissie de openbare behandeling van
het wetsvoorstel voldoende voorbereid.
Inhoudsopgave
I.
Algemeen deel
2
1.
Inleiding
2
1.1
Het wetsvoorstel in het kort
4
1.2
Digitalisering in de zorg en het belang van identificatie en authenticatie
4
1.3
Het huidige UZI-register en de inlogmiddelen
5
2.
Hoofdlijnen van het voorstel
5
2.1
Probleembeschrijving
5
2.2
Doelstelling en noodzaak wetgeving
6
2.3
Identificatie en authenticatie voor toegang tot cliëntgegevens
7
2.4
Medewerkers registeren in het Dezi-register
8
2.5
Inlogmiddelen met het betrouwbaarheidsniveau hoog
9
2.5.1
Wdo erkende inlogmiddelen
10
2.5.2
Zorgspecifieke inlogmiddelen (gecertificeerd op basis van de NEN 7518)
11
2.5.3
PKI-o-certificaten
11
2.5.4
Onder de eIDAS-verordening genotificeerde inlogmiddelen
11
3.
Verhouding tot hoger recht
11
3.1
eIDAS-verordening
11
3.2
Verhouding tot het vrij verkeer van goederen en diensten
12
4.
Verhouding tot nationale wetgeving
12
4.1
Aanpassing Wabvpz en Jeugdwet
12
4.2
Verhouding met de Wdo
12
4.3
Verhouding met de Wegiz
12
5.
Toezicht en handhaving
12
6.
Gegevensbeschermingseffectbeoordeling
13
6.1
Authenticatieverklaringen CIBG
14
6.2
Verwerken van het BSN door de middelenuitgever zorgspecifieke middelen
14
6.3
Vergelijkbaar met de Wdo
14
6.4
BSN verwerkingsgrondslag bij de zorgaanbieder
14
6.5
Koppeling HR-systeem aan Dezi-register
15
6.6
De koppeling met DUO om diploma’s te verifiëren om de jeugd- en zorgmedewerkers te
ontlasten
15
6.7
De koppeling met het BIG-register om het registratieproces efficiënter en gebruikersvriendelijk
te maken voor de jeugd- en zorgmedewerkers
15
6.8
Geïnventariseerde risico’s: het uitlenen van inlogmiddelen en gebruik privételefoon
16
7.
Gevolgen (m.u.v. financiële gevolgen)
17
7.1
Overheid
17
7.2
Zorg- en jeugdveld
17
7.3
Bedrijven
17
7.4
Burgers
18
8.
Uitvoering
18
9.
Regeldruk
19
9.1
Werkbare invoering in de praktijk
19
9.2
Inloggen met Wdo middelen
19
9.3
Inloggen met zorgspecifieke middelen
20
9.4
De identiteit van een medewerker in het Dezi-register
20
10.
Financiële gevolgen
20
10.1
Eenmalige kosten
20
10.2
Structurele kosten
20
11.
Advies en consultatie
21
11.1
Internetconsultatie
21
11.1.1
Scope wetsvoorstel
21
11.1.2
Verplichting wetsvoorstel
21
11.1.3
Gekwalificeerde elektronische handtekening
21
11.1.4
Goedkeuren inlogmiddelen
21
11.1.5
eIDAS herziening (EDI-wallet)
21
11.1.6
Zorgspecifieke middelen NEN 7518
22
11.1.7
Zorgmedewerker en het register
22
11.1.8
Acceptatieplicht inlogmiddelen
22
11.1.9
Gebruiksvriendelijkheid
22
11.1.10
Implementatie en financiële gevolgen
22
11.2
Uitvoeringstoets CIBG
22
11.3
Toezicht- en Handhaafbaarheidstoets IGJ
23
11.4
Advies Adviescollege toetsing regeldruk (ATR)
23
11.5
Advies Autoriteit Persoonsgegevens (AP)
23
II.
Artikelsgewijze toelichting
23
I Algemeen deel
1. Inleiding
De leden van de PVV-fractie hebben de stukken met belangstelling gelezen en hebben hierover nog enkele vragen
en opmerkingen.
De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van het wetsvoorstel en de aanhangige stukken. In algemene zin
onderstrepen zij het belang van een veilige en gestandaardiseerde methode voor identificatie
en authenticatie in de zorg. Wel hebben deze leden vragen en opmerkingen, die zij
in de volgorde van de memorie van toelichting van het wetsvoorstel uiteen zullen zetten.
De leden van de GroenLinks-PvdA-fractie bedanken de regering en de betrokken ambtenaren
voorhands voor de beantwoording.
De leden van de GroenLinks-PvdA-fractie onderstrepen het belang van een veilige identificatie
en authenticatie in de zorg. Generieke functies die breed van toepassing zijn, horen
gecoördineerd te worden door de overheid. Deze leden vragen wat de coördinerende taak
van de Minister van VWS precies inhoudt en welke mogelijkheden zij heeft om naleving
van de wet af te dwingen. In het digitale domein zien de leden van de GroenLinks-PvdA-fractie
dat standaarden, ook binnen de rijksoverheid, nog niet voldoende worden nageleefd.
Waarom zal dit nu wel het geval zijn? Zijn de Staatssecretaris voor Digitalisering
en de CIO Rijk betrokken bij de totstandkoming van het wetsvoorstel en zo ja, wat
is precies hun rol?
De leden van de VVD-fractie hebben met interesse kennisgenomen van de wijziging van de Wet aanvullende bepalingen
verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie
en authenticatie in de zorg. Genoemde leden zien gegevensuitwisseling als essentieel
onderdeel van goede zorg. Dit moet echter wel op een veilige manier gebeuren, zeker
met het oog op de toename van cybercrime en (diploma)fraude in de zorg. Zij zien deze
wijziging als een stap in de goede richting maar hebben hier nog enkele vragen bij.
De leden van de NSC-fractie hebben kennisgenomen van de wijziging van de Wet aanvullende bepalingen verwerking
persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en
authenticatie in de zorg. Deze leden waarderen de inzet van de regering om de digitale
infrastructuur in de zorg te verbeteren en zich hier hard voor te maken. Tevens is
voor genoemde leden de beveiliging van gevoelige persoonsgegevens cruciaal. Dit is
niet alleen voor de veiligheid van onze meest gevoelige data maar ook om de link tussen
het vertrouwen in verantwoord datagebruik en databeschikbaarheid die ook al in de
technische briefings is besproken te behouden. De leden van de NSC-fractie hebben
daarom een aantal vragen over de wijziging van de wet.
De leden van de BBB-fractie hebben kennisgenomen van de wijziging van de Wet aanvullende bepalingen verwerking
persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en
authenticatie in de zorg. Deze leden hebben geen vragen aan de regering.
De leden van de CDA-fractie hebben met interesse kennisgenomen van het wetsvoorstel en hebben hierover nog enkele
vragen. Genoemde leden delen het grote belang van verbeterde gegevensuitwisseling
in de zorg. Voor deze leden geldt hierbij als uitgangspunt dat er, zeker in het licht
van de toenemende digitale dreigingen en het toenemende belang van strategische autonomie,
een belangrijke taak voor de overheid ligt om de veiligheid van patiëntgegevens en
gegevens van zorgverleners te waarborgen en hierover de regie te nemen. Genoemde leden
vragen of de regering dit uitgangspunt deelt, mede in het licht van de geopolitieke
ontwikkelingen. Deze leden vragen ook of de regering deelt dat voorkomen moet worden
dat Nederland voor wat betreft inlogmiddelen in de zorg afhankelijk is van (statelijke)
actoren van buiten de Europese Unie.
De leden van de SP-fractie hebben kennisgenomen van het wetsvoorstel hebben hier nog een aantal vragen en opmerkingen
over.
De leden van de SGP-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Zij delen de ambitie
van de regering om elektronische gegevensuitwisseling in de zorg meer te standaardiseren.
Het belang van uniforme, veilige en hoog betrouwbare digitale toegang tot cliëntgegevens
is groot en zal in belang toenemen.
De leden van de SGP-fractie constateren dat de regering op advies van de Afdeling
advisering van de Raad van State (hierna: de Afdeling) het wetsvoorstel en de toelichting
heeft aangepast. De regering volgt het advies van de Afdeling om authenticatie via
het zogenaamde Dezi-register (Dezi: De Zorgidentiteit) en een goedgekeurd inlogmiddel
verplicht te stellen in de Wet aanvullende bepaling en verwerking persoonsgegevens
in de zorg en in de Jeugdwet voor toegang tot zorginformatiesystemen en elektronische
uitwisselingssystemen. Hiermee wordt verzekerd dat interoperabiliteit tussen de verschillende
systemen op termijn tot stand komt. De leden van de SGP-fractie steunen deze aanscherping.
Zij vinden het verstandig dat in het voorstel de mogelijkheid is opgenomen om bij
of krachtens algemene maatregel van bestuur te bepalen op welk moment de verplichtstelling
aanvangt per afzonderlijk elektronisch uitwisselingssysteem of zorginformatiesysteem
of categorieën daarvan. Deze differentiatie maakt maatwerk mogelijk.
De leden van de SGP-fractie hebben op dit moment geen aanvullende vragen over het
wetsvoorstel en wachten met belangstelling de beantwoording de eventuele opmerkingen
vragen van andere fracties af.
1.1 Het wetsvoorstel in het kort
De leden van de PVV-fractie vragen aan de regering in hoeverre dit wetsvoorstel aansluit bij eerdere beleidsdoelstellingen
voor digitale zorg. Welke bredere maatschappelijke of technologische ontwikkelingen
maken deze wijziging nu urgent?
De leden van de GroenLinks-PvdA-fractie lezen dat door het gebruiken van De Zorgidentiteit (Dezi) en het bijbehorende register,
inloggen makkelijker, flexibeler en goedkoper wordt. Zij vragen de regering om uit
te leggen hoe dit met zekerheid kan worden gezegd, als de inlogmiddelen nog niet zijn
ontwikkeld. Hoe weet de regering zeker dat wetgeving deze verbeteringen daadwerkelijk
realiseert?
De leden van de VVD-fractie lezen dat de in het register ingeschrevenen gemakshalve aangeduid worden als zorg-
en jeugdhulpaanbieders en hun medewerkers. Wat de indruk wekt dat het voorstel geldt
voor alle medewerkers van een zorgaanbieder, ook de medewerkers die niet in direct
contact staan met de patiënten. Deze leden vragen of dit klopt en zo nee, of het begrip
medewerker nader gedefinieerd kan worden.
De leden van de SP-fractie vragen of de regering uitgebreider kan toelichten tot welke gegevens zorgverleners
toegang kunnen krijgen via de beoogde toepassingen voor identificatie en authenticatie.
Gaat het hier uitsluitend om het toegang krijgen tot het burgerservicenummer (hierna:
BSN) of gaat het hierbij om een bredere set aan persoonsgegevens?
1.2 Digitalisering in de zorg en het belang van identificatie en authenticatie
De leden van de GroenLinks-PvdA-fractie missen in de toelichting het belang van de patiënt. Zij vragen om te onderbouwen
wat de voordelen van de nieuwe wetgeving is voor patiënten, en hoe de regering zorgt
dat de nieuwe inlogmiddelen bijdragen aan het vertrouwen dat patiënten hebben in de
digitaliserende zorg.
De leden van de GroenLinks-PvdA-fractie zijn bovendien benieuwd tot welke patiëntgegevens
zorgverleners toegang krijgen nadat zij veilig zijn ingelogd. Kan een overzicht worden
gegeven van de soorten gegevens die alleen met het gebruik van inlogmiddelen voor
zorgverleners te raadplegen zijn?
1.3 Het huidige UZI-register en de inlogmiddelen
De leden van de GroenLinks-PvdA-fractie vinden het bittere noodzaak dat alle sectoren werken aan hun cyberveiligheid. Wel
vragen zij om de analyse dat het huidige UZI-register onveilig is nader te onderbouwen.
Welke reële cyberveiligheidsrisico’s bestaan / ontstaan er door dit register in gebruik
te houden? Hoe vaak hebben er datalekkages plaatsgevonden in het (gebruik van het)
Unieke Zorgverlener Identificatie register (UZI-register) en door de bijbehorende
inlogmiddelen?
De leden van de GroenLinks-PvdA-fractie begrijpen de verwijzing naar de Europese eIDAS-Verordening
(eIDAS-verordening). Zij vragen de regering om helder uit te leggen wat de technische
eisen zijn van een «hoog» betrouwbaarheidsniveau. Ook zijn ze benieuwd naar de toekomstbestendigheid
van de verordening. Gezien de snelheid van digitalisering, is het van belang dat digitale
wetgeving flexibel genoeg is om mee te bewegen met nieuwe technische mogelijkheden.
Hoe anticipeert de regering met deze wet op nieuwe en veiligere standaarden? Zodra
er nieuwe mogelijkheden zijn, geeft het wetsvoorstel digitale identificatie en authenticatie
in de zorg (DIAZ-wetgeving) de regering dan de mogelijkheid om de standaarden voor
loginmiddelen aan te scherpen?
2. Hoofdlijnen van het voorstel
2.1 Probleembeschrijving
De leden van de PVV-fractie vragen welke concrete problemen met dit voorstel worden opgelost, en zijn er alternatieve
oplossingen overwogen.
De leden van de GroenLinks-PvdA-fractie (h)erkennen de problemen die worden geschetst rondom de huidige identificatie en
authenticatie. Zij vragen de regering om met cijfers te onderbouwen welk aandeel van
de zorg- en jeugdhulpsector momenteel met het hoogste betrouwbaarheidsniveau zichzelf
identificeert. Kan bovendien worden geschetst hoe het komt dat identificatie en authenticatie
momenteel zo gefragmenteerd is? Hoe kan het dat er zo’n lappendeken aan inlogmiddelen
is ontstaan dat dit de kwaliteit van de zorg belemmert?
De leden van de GroenLinks-PvdA-fractie waarderen de inzet op de interoperabiliteit
van systemen. Zij pleiten ervoor om interoperabiliteit op zo veel mogelijk plekken
in de digitaliserende zorg als standaard te hanteren. Welke andere mogelijkheden ziet
de regering hiertoe, ook in bestaande en aanstaande wetgeving?
De leden van de GroenLinks-PvdA-fractie onderstrepen het probleem met de betaalbaarheid
van UZI-passen (Unieke Zorgverlener Identificatie). Terwijl de (jeugd)zorg financieel
onder druk staat, moeten zorgverleners zich niet bekommeren om de prijs van inlogmiddelen.
Wanneer zijn de kosten voor dergelijke inlogmiddelen volgens de regering acceptabel?
Wie zou deze kosten moeten betalen? Ook zijn deze leden benieuwd of en hoe vaak het
voorkomt dat medewerkers UZI-passen onderling uitlenen. Waarop baseert de regering
deze aanname? Hoe vaak komt dit naar schatting voor?
De leden van de NSC-fractie lezen in de notitie dat het nieuwe Dezi-register alleen verplicht zal worden gesteld
voor de Sectorale Berichten Voorziening in de Zorg (SBV-Z). Tegelijkertijd oordeelde
de Raad van State dat met een beperkte mate van verplichting het nieuwe register ook
beperkt effect zal hebben. Genoemde leden vragen de regering waarom er is gekozen
voor vrijwillige deelname aan het register behalve voor de SBV-Z. Hoe wordt voorkomen
dat zorgorganisaties oude en veelal minder veilige inlogsystemen behouden?
2.2 Doelstelling en noodzaak wetgeving
De leden van de PVV-fractie vragen waarom wetgeving noodzakelijk is, in plaats van bijvoorbeeld brancheafspraken.
De leden van de GroenLinks-PvdA-fractie herkennen nogmaals de probleemstelling over het niet van de grond komen van generieke
functies. Echter is het stellen van de juiste standaarden nog geen garantie dat deze
worden nageleefd, zolang ze geen dwingend karakter hebben. Zij verwijzen naar de overheid
die massaal de eigen toegankelijkheidseisen voor websites en digitale formulieren
niet naleeft. Waarom is wetgeving volgens de regering nu wel effectief om te komen
tot landelijke standaarden voor generieke functies?
De leden van de GroenLinks-PvdA-fractie begrijpen waarom er andere middelen moeten
komen voor veilige identificatie en authenticatie. Echter vragen zij om nader uit
te leggen waarom het niet wenselijk is dat inlogmiddelen door de Minister van VWS
(via het CIBG) worden uitgegeven. Waarom is er niet voor gekozen om, naast de mogelijkheid
te bieden voor nieuwe betrouwbare inlogmiddelen, ook een eigen (open source) inlogmiddel
van een hoog betrouwbaarheidsniveau te ontwikkelen als terugvaloptie? Lekt er door
de verschuiving naar externe inlogmiddelen geen technische expertise weg uit het Ministerie
van VWS?
De leden van de VVD-fractie lezen dat door het niet langer vanuit de overheid aanbieden van middelen er ruimte
ontstaat voor verschillende partijen om diverse inlogmiddelen te ontwikkelen. Genoemde
leden vragen of de regering partijen zal aanwijzen of dat partijen zich hiervoor kunnen
inschrijven. Daarnaast de vraag of aan een maximumaantal partijen wordt gedacht.
Daarnaast lezen de leden van de VVD-fractie dat de gekozen oplossingsrichting is afgestemd
met het zorgveld en zij vragen in hoeverre de eindgebruikers, dus de zorgprofessionals,
onderdeel zijn geweest van deze afstemming. In hoeverre is de paramedische sector
betrokken bij de afstemming?
Tot slot op dit punt, de leden van de VVD-fractie vragen naar het gebruik van DigiD.
Vorige maand was DigiD tijdelijk onbereikbaar door een Ddos-aanval1 (distributed denial-of-service) en dit gebeurt helaas vaker. Op welke wijze wordt
het onbereikbaar zijn van inlogmiddelen door dergelijke aanvallen opgevangen?
De leden van de NSC-fractie achten het van groot belang dat de werkvloer voldoende betrokken is bij het ontwerp
van het nieuwe stelsel. Op welke wijze zijn zorgprofessionals meegenomen in het ontwerp
van het nieuwe register en de keuze voor de inlogmiddelen? Wat was de feedback van
zorgprofessionals op het ontwerp?
De leden van de NSC-fractie lezen in het advies van de Raad van State dat zonder een
harde einddatum voor het verplicht overstappen naar het Dezi-register, het nieuwe
stelsel wederom beperkt effect zal hebben. Waarom is er geen harde einddatum voor
verplichte aansluiting op het Dezi-register voor de andere zorginstellingen? Is dit
bewust gedaan en zo ja, waarom?
De leden van de NSC-fractie zijn van mening dat de grootste verbetering in de digitale
infrastructuur in de zorg teweeg kan worden gebracht als het nieuwe systeem maximaal
benut wordt. Wat zou er volgens de regering nodig zijn om volledige deelname van alle
systemen aan het Dezi-register te stimuleren?
De leden van de CDA-fractie lezen dat de regering voorstelt om alleen inlogmiddelen toe te staan die voldoen
aan het betrouwbaarheidsniveau «hoog». Voor deze leden is niet helemaal duidelijk
of deze keuze dwingend voortvloeit uit een wettelijke verplichting, of dat dit een
beleidsmatige keuze betreft. Deze leden vragen hierop een reflectie.
De leden van de CDA-fractie kunnen de keuze voor het betrouwbaarheidsniveau «hoog»
in principe volgen, maar vragen wel of de regering wil toelichten waarom het betrouwbaarheidsniveau
«substantieel» niet zou voldoen en wat daarin precies het verschil is met het niveau
«hoog». Deze leden vragen waarom het bijvoorbeeld bij het inloggen bij MijnOverheid.nl wel toegestaan is (en voorlopig blijft) om in te loggen op het niveau
«substantieel».
2.3 Identificatie en authenticatie voor toegang tot cliëntgegevens
De leden van de PVV-fractie vragen, voor welk platform is gekozen om de gegevensdeling van cliënten mogelijk
te maken. De leden van de PVV-fractie constateren dat er verschillende platformen
beschikbaar zijn voor de gewenste inrichting, maar dat deze niet allemaal (volledig)
met elkaar kunnen communiceren. Wat is hierover de visie van de regering?
De leden van de GroenLinks-PvdA-fractie zijn nogmaals benieuwd naar de onderbouwing dat zorggegevens momenteel onvoldoende
beschermd zijn. Op welke manier monitort de regering de oneigenlijke toegang tot zorggegevens?
Hoe vaak komt dit voor dankzij de gebrekkige beveiliging van UZI-middelen?
De leden van de GroenLinks-PvdA-fractie vragen om te onderbouwen waarom tot 1 januari
2029 nog het gebruik van UZI-middelen is toegestaan. Met de kennis dat deze middelen
onveilig zijn, alternatieven voorhanden zijn, en het zorgveld al heeft kunnen experimenteren
met DigiD als inlogmiddel, vragen deze leden waarom deze datum is verkozen in plaats
van 1 januari 2027 of 1 januari 2028. Hoe verenigt de regering deze deadline met de
grote urgentie om zorggegevens beter te beschermen?
De leden van de GroenLinks-PvdA-fractie onderstrepen het belang van centrale regie
om digitalisering in de zorg in goede banen te leiden. Zij volgen de analyse dat,
zonder overheidsinterventie, de nodige ontwikkelingen niet van de grond komen. Echter
vragen zij waarom de zorgsector deze ontwikkeling niet zelf zou toepassen, zonder
interventie van de overheid. Waarom is de zorgsector er tot dusver niet in geslaagd
om goede afspraken met elkaar te maken? Waarom grijpt wordt er nu pas ingegrepen om
landelijke standaarden af te dwingen? Ziet de regering een soortgelijke noodzaak op
andere dossiers op het gebied van digitalisering in de zorg?
De leden van de GroenLinks-PvdA-fractie vragen de regering om toe te lichten hoe zij
de overstap naar Dezi-middelen gaat stimuleren, monitoren en evalueren.
De leden van de GroenLinks-PvdA-fractie delen de zorgen rondom een «vendor lock-in».
Zij vragen de regering toe te lichten wanneer er volgens haar sprake is van een gezonde
concurrentie tussen leveranciers van inlogmiddelen. Hoe voorkomt de regering dat slechts
één of enkele partijen naar boven drijven als hoofdleverancier? Vindt de regering
het net als deze leden een voorwaarde dat er uitsluitend (of in ieder geval zo veel
mogelijk) gebruik gemaakt wordt van Nederlandse en Europese inlogmiddelen, zodat de
continuïteit in de zorg in geen enkel geval afhankelijk wordt van niet-Europese tech-leveranciers?
Hoe wordt afgedwongen dat de infrastructuur van het Dezi-register ook niet voor een
deel afhankelijk wordt van de infrastructuur van niet-Europese tech-leveranciers?
Erken de regering het belang van strategische autonomie in de digitale zorg in de
huidige geopolitieke context? Hoe waarborgt de regering dit binnen deze wetgeving?
De leden van de VVD-fractie zien dat in het wetsvoorstel regelmatig wordt verwezen naar de NEN-norm 7510. In
2023 liet de Inspectie Gezondheidszorg en Jeugd (IGJ) weten dat bijna alle ziekenhuizen
voldoen aan deze norm maar een aantal nog niet2. Geldt dit nog steeds of voldoen inmiddels alle ziekenhuizen aan de norm?
Daarnaast vragen de leden van de VVD-fractie hoe de monitoring en evaluatie van de
overstap wordt vormgegeven.
De leden van de NSC-fractie willen de administratie lasten in de zorg de komende tijd terugdringen. Een belangrijke
voorwaarde hiervoor is dat de digitale zorgsystemen met elkaar kunnen samenwerken.
Deze leden vragen de regering in welke mate het Dezi-register interoperabel is met
de andere zorgsystemen. Hoe kan dit in de toekomst worden verbeterd?
De leden van de CDA-fractie steunen het voornemen van de regering, onder andere naar aanleiding van het advies
van de Raad van State en de Autoriteit Persoonsgegevens (AP), om het gebruik van het
Dezi-register en de bijbehorende middelen verplicht te stellen. Deze leden lezen dat
de regering dit stapsgewijs wil doen en vragen wat dit precies betekent. Deze leden
vragen of het klopt dat de overgangstermijn loopt tot 1 januari 2029 en zo ja, dan
vragen zij waarom precies voor deze datum gekozen is. Genoemde leden vragen of de
regering heeft overwogen deze datum naar voren te halen. Deze leden verwijzen naar
het inloggen met DigiD bij MijnOverheid.nl, waarbij de keuze is gemaakt om het «lage»
betrouwbaarheidsniveau volledig uit te faseren per 1 juli 2028. Zij vragen waarom
hier niet bij wordt aangesloten.
De leden van de SP-fractie constateren dat er met dit wetsvoorstel voor wordt gekozen om private ict-aanbieders
een grotere rol te geven bij het aanbieden van toepassingen voor identificatie en
authenticatie, hoewel er met DigiD ook nog een publieke optie blijft bestaan. Welke
waarborgen zijn er ingebouwd om buitensporige winsten hiermee en vendor lock-ins te
voorkomen? In hoeverre is de optie om een volledig publiek systeem te behouden onderzocht?
2.4 Medewerkers registeren in het Dezi-register
Naar aanleiding van paragraaf 2.4 stellen de leden van de PVV-fractie de volgende vragen. In artikel 14, lid 2 wordt gesteld «Het Dezi-register wordt ingesteld
en beheerd door Onze Minister». Voorheen werd dit nog aangevuld met «of een door Onze
Minister aangewezen instelling.» Bij artikel 14a, lid 2, sub d wordt gerefereerd aan
«de inspectie». Houdt dit hiermee verband? Kan dit worden toegelicht? Artikelen 14
en 15 worden verder geheel herschreven. Wat eerder krachtens een algemene maatregel
van bestuur werd geregeld, wordt nu keihard verankerd. Bijvoorbeeld artikel 15, lid 2
wordt artikel 14, lid 3, waarom is voor deze weg gekozen?
De leden van de GroenLinks-PvdA-fractie hebben zorgen over de schaal van het Dezi-register. Eén centraal register, waarin
Dezi-nummers, gekoppeld aan het BSN, van alle zorgmedewerkers geregistreerd staan,
is mogelijk een aantrekkelijk doelwit voor cyberaanvallen. Welke gegevens van zorgpersoneel
worden precies opgeslagen in het Dezi-register? Wie heeft de «sleutel» tot deze gegevens
in handen? Hoe wordt het principe van dataminimalisatie toegepast in de inrichting
van het Dezi-register? Welke maatregelen heeft de regering genomen om de cyberveiligheid
van deze gegevens te waarborgen? Wordt het Dezi-register opgeslagen op Nederlands
grondgebied en valt deze geheel onder het Nederlands recht? Zo nee, welke externen
hebben (mogelijk) toegang tot het Dezi-register en heeft de regering de nodige veiligheidsanalyse
(DPIA) en een exit-strategie opgesteld?
De leden van de GroenLinks-PvdA-fractie zijn tevens benieuwd hoe medewerkers die geen
Nederlandse identiteit hebben, en dus geen BSN, ook gebruik kunnen maken van het Dezi-register.
Hoe kunnen zorgverleners zonder BSN veilig toegang verkrijgen tot zorggegevens? Zijn
eIDAS-genotificeerde middelen hiervoor een oplossing?
De leden van de GroenLinks-PvdA-fractie vragen de regering om toe te lichten wat de
status van stagiairs is binnen het nieuwe Dezi-register. Hoe worden stagiairs en zorgverleners-in-opleiding
meegenomen in dit wetsvoorstel, zodat leertrajecten niet worden gehinderd door de
nieuwe wetgeving?
Het verbaast de leden van de VVD-fractie enigszins dat het wenselijk wordt geacht dat medewerkers ingeschreven blijven staan
omdat het dan niet nodig is dat de medewerker zich telkens opnieuw inschrijft als
de medewerker van baan wisselt of even niet werkzaam is in de zorg. Wat is de reden
dat een medewerker ingeschreven zou moeten blijven staan als diegene niet meer werkzaam
is in de zorg? In hoeverre zou het dan voor deze medewerker mogelijk zijn om toegang
te krijgen tot cliënt- en patiëntgegevens?
De leden van de CDA-fractie vragen hoe het uitschrijven uit het nieuwe Dezi-register zal plaatsvinden als iemand
niet meer in de zorg werkt. Deze leden vragen wie daarvoor verantwoordelijk is, de
medewerker of de zorgaanbieder, en hoe dat precies in de praktijk verloopt.
2.5 Inlogmiddelen met het betrouwbaarheidsniveau hoog
De leden van de PVV-fractie stellen de volgende vraag bij artikel 14a, sub. d; «Het aan Onze Minister of de Inspectie
verstrekken van gegevens die nodig zijn om te beoordelen of het betreffende goedgekeurde
inlogmiddel op dat moment voldoet aan het betrouwbaarheidsniveau hoog, door:». Wordt
met «inspectie» de IGJ bedoeld?
De leden van de GroenLinks-PvdA-fractie pleiten voor een zorgvuldig proces om vast te stellen dat nieuwe inlogmiddelen voldoen
aan de gestelde eisen. Zij vragen om een uitleg hoe het goedkeuringsproces er precies
uitziet en hoe het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG) de benodigde
bewijsmiddelen zal controleren. Kan de regering toezeggen goedkeuringen van nieuwe
middelen zo transparant mogelijk aan de Kamer te doen toekomen en te publiceren, zodat
de documentatie over deze middelen vindbaar en verifieerbaar is?
De leden van de NSC-fractie zijn erg voorzichtig met het gebruik van algoritmes op gevoelige persoonsgegevens.
Bij de Toeslagenaffaire hebben deze leden met eigen ogen gezien wat voor desastreuze
gevolgen onzorgvuldig gebruik van algoritmes tot gevolg kunnen hebben. Mag de data
in het Dezi-register ook voor andere doeleinden worden gebruikt? Zo ja, voor welke
doeleinden en welke algoritmes worden op deze data toegepast?
De leden van de CDA-fractie lezen dat de regering kiest voor het uitgangspunt van keuzevrijheid voor inlogmiddelen.
Deze leden zetten hier vraagtekens bij. Zij vragen of deze keuze zich wel verhoudt
tot de doelstelling om te komen tot meer standaardisatie en het terugdringen van fragmentatie.
Deze leden vragen of de regering hierop wil reageren. Deze leden vragen ook of het
niet veel wenselijker is dat zoveel mogelijk zorgaanbieders en zorgverleners gebruik
maken van één (of slechts enkele) inlogmiddel(en), vanuit het oogpunt van eenvoud,
overzicht en het verminderen van fragmentatie. Genoemde leden zijn ook van mening
dat zo’n keuze administratieve lasten kan verminderen, omdat minder inlogmiddelen
hoeven worden gecertificeerd en geaccrediteerd. Deze leden vragen of de regering deze
mening deelt.
De leden van de CDA-fractie vragen waarom de regering er niet voor kiest om inloggen
via het systeem van DigiD en/of eHerkenning als uitgangspunt te nemen, eventueel een
aangepaste versie hiervan specifiek voor de zorg, indien nodig aangevuld met enkele
zorgspecifieke inlogmiddelen. Deze leden vragen of dit mogelijk is, en of de regering
hiervan de voor- en nadelen wil schetsen en de haalbaarheid hiervan wil verkennen.
Zij vragen ook of dit uiteindelijk niet leidt tot lagere kosten vanwege schaalvoordelen,
en daarmee het voorkomen van het weglekken van (te veel) geld uit de zorg naar private
aanbieders van inlogmiddelen.
De leden van de CDA-fractie vragen of de regering hierbij specifiek wil ingaan op
het systeem van eHerkenning, waarbij de rijksoverheid samenwerkt met enkele erkende
leveranciers. Deze leden vragen in hoeverre dit systeem verschilt van het voorgestelde
systeem in dit wetsvoorstel en in hoeverre zo’n systematiek ook in de zorg gebruikt
kan worden.
De leden van de CDA-fractie begrijpen dat er praktijksituaties zijn die andere vormen
van inlogmiddelen vereisen (zoals in de OK of bij een MRI-scanner), maar vragen of
de regering kan schetsen hoe vaak dit voorkomt. Deze leden vragen of niet in het overgrote
deel van de gevallen gebruik gemaakt wordt of kan worden van computer/PC, tablet of
smartphone, en daarmee dus ook van één of enkele digitale inlogmiddelen zoals DigiD.
De leden van de CDA-fractie lezen dat de regering beargumenteert dat via keuzevrijheid
een «vendor lock-in» kan worden voorkomen, in die zin dat zorgaanbieders niet afhankelijk
zijn van één leverancier. Deze leden delen het belang van back-ups, maar zien juist
ook voordelen van een uniforme aanpak, net als die we bij DigiD kennen, omdat daar
het probleem van «vendor lock-in» ook niet speelt. Deze leden vragen of dit klopt
en of de regering op dit argument wil ingaan.
Nog belangrijker voor deze leden is het belang van het verminderen van afhankelijkheden
van (statelijke) actoren van buiten de Europese Unie. Deze leden zien bijvoorbeeld
het risico dat we te afhankelijk worden van inlogmiddelen die bijvoorbeeld zijn ontwikkeld
door Amerikaanse of Chinese techbedrijven, en dat dit juist een risico kan vormen
voor de veiligheid van patiëntgegevens en gegevens van zorgverleners. Deze leden vragen
of de regering deelt dat het niet veel verstandiger is om alleen gebruik te maken
van bestaande door de overheid ontwikkelde inlogmiddelen zoals DigiD of mogelijke
nieuwe inlogmiddelen die worden ontwikkeld door of binnen de EU. Deze leden vragen
of het via dit wetsvoorstel, al dan niet bij of krachtens algemene maatregel van bestuur,
mogelijk is om nadere eisen te stellen aan inlogmiddelen met het oog op de nationale
veiligheid en de strategische autonomie. Genoemde leden vragen ook of het mogelijk
is om bijvoorbeeld via algemene maatregel van bestuur mogelijk is om een maximumaantal
inlogmiddelen vast te leggen.
2.5.1 Wdo erkende inlogmiddelen
De leden van de GroenLinks-PvdA-fractie vragen of de regering het ontwikkelen van Wdo erkende inlogmiddelen (Wet digitale
overheid, hierna: Wdo) wil stimuleren, en zo ja, hoe. Geldt dit ook voor inlogmiddelen
die breder inzetbaar zijn dan alleen de zorg? Werkt het Ministerie van Volksgezondheid,
Welzijn en Sport hierin samen met de Ministeries van Economische Zaken en Binnenlandse
Zaken, om te komen tot betrouwbare Nederlands-Europese alternatieve inlogmiddelen?
Kan de regering een praktisch beeld schetsen van hoe zorgmedewerkers Wdo erkende inlogmiddelen
gebruiken in hun dagelijkse werk? Wat merken patiënten hiervan?
2.5.2 Zorgspecifieke inlogmiddelen (gecertificeerd op basis van de NEN 7518)
De leden van de GroenLinks-PvdA-fractie willen weten welk aandeel van de (jeugd)zorgsector momenteel gebruik maakt van zorgspecifieke
inlogmiddelen. Hoewel het begrijpelijk is dat zorgspecifieke middelen in gebruik zullen
blijven, vragen deze leden hoe wordt toegezien dat, los van het certificeren, deze
wel met spoed aan de nieuwe wettelijke standaarden voldoen. Is dit een taak van de
Minister van VWS, de NEN-werkgroep, de Raad voor Accreditatie, certificerende instellingen
of zorgaanbieders zelf? Genoemde leden wijzen erop dat snelle adoptie van betere beveiliging
nodig is.
De leden van de NSC-fractie willen de regering vragen hoe het wetsvoorstel zich verhoudt tot de NEN 7518 en NEN 7510
normen.
De leden van de SP-fractie lezen dat zorgaanbieders voor het uitgifteproces van inlogmiddelen ook gecertificeerd
moeten worden. Kan de regering een inschatting maken van de regeldrukeffecten die
dit met zich mee zal brengen?
2.5.3 PKI-o-certificaten
Geen opmerkingen of vragen van de fracties.
2.5.4 Onder de eIDAS-verordening genotificeerde inlogmiddelen
De leden van de GroenLinks-PvdA-fractie horen graag op welke termijn naar verwachting de eIDAS-genotificeerde inlogmiddelen
beschikbaar zullen zijn en wanneer deze in de zorg ingezet kunnen worden. In welke
gevallen kan een PersonIdentifier worden omgezet tot BSN dat bruikbaar is voor authenticatie
via het Dezi-register?
3. Verhouding tot hoger recht
3.1 eIDAS-verordening
De leden van de PVV-fractie willen graag weten hoe deze wet zich verhoudt tot bestaande Europese wetgeving, zoals
de eIDAS-verordening? eIDAS is ontwikkeld om digitale grenzen tussen landen uit de
Europese Economische Ruimte (EER) weg te nemen. Wat is het doel om de zorg compatibel
te maken met deze Europese richtlijn? Kan de regering toezeggen dat dit geen opmaat
is naar een Europese digitale identiteit? Het UZI voldeed, echter schiet UZI tekort
voor grootschalig en breed gebruik in de zorg, waarom is niet gekozen voor doorontwikkeling?
«Met de eIDAS-verordening wordt beoogd te regelen dat burgers en bedrijven met hun
nationale elektronische identificatiesystemen, zoals in Nederland DigiD, kunnen inloggen
bij diensten van openbare instanties in andere lidstaten». Gaan we dan grensoverschrijdend
werken? Ligt dat hieraan ten grondslag?
3.2 Verhouding tot het vrij verkeer van goederen en diensten
De leden van de GroenLinks-PvdA-fractie erkennen het belang van veilige uitwisseling van data in de zorg. Houdt de regering
er rekening mee dat de definitie van «passend beveiligd,» zoals de algemene verordening
gegevensbescherming (AVG) voorschrijft, in de toekomst kan veranderen? Houdt de regering
bijvoorbeeld rekening met het toepassen van kwantumcryptografie als veiligheidsmaatregel
in de toekomst? Verder zijn deze leden benieuwd wat wordt bedoeld met «de afkomst»
van een inlogmiddel. Doelt de regering hierop op het land van afkomst? Deelt de regering
de mening dat de voorkeur uit moet gaan naar inlogmiddelen van Nederlandse en Europese
leveranciers, om de strategische afhankelijkheden van niet-Europese grootmachten in
vitale sectoren te verminderen?
4. Verhouding tot nationale wetgeving
4.1 Aanpassing Wabvpz en Jeugdwet
De leden van de PVV-fractie hebben naar aanleiding van paragraaf 4.1 de volgende vraag. Wordt er voldoende rekening
gehouden met bestaande nationale wetgeving, zoals de AVG?
De leden van de GroenLinks-PvdA-fractie vragen de regering om beter te duiden wat er praktisch verandert doordat «in vervolg
ook zorgmedewerkers die werkzaam zijn voor een zorgaanbieder zich in het register
[kunnen] laten inschrijven.» Hoe is dit anders dan de huidige situatie, en waarom
is dit een verbetering? Hoeveel meer mensen kunnen door deze aanpassingen toegevoegd
worden aan het Dezi-register en krijgen daarmee ook toegang tot de zorggegevens van
patiënten?
De leden van de GroenLinks-PvdA-fractie vragen of er, naast de genoemde Besluiten
en Regeling, ook wijzigingen in andere delen van de sectorale wetgeving zijn overwogen.
Hoe is de regering tot de conclusie gekomen dat alleen de voorgestelde wijzigingen
noodzakelijk zijn?
4.2 Verhouding met de Wdo
De leden van de GroenLinks-PvdA-fractie vragen de regering om duidelijk te maken welke inlogmiddelen de voorkeur hebben voor
gebruik in de zorg. Ziet de regering voordelen en nadelen aan het gebruik van Wdo-middelen
ten opzichte van andere toegestane middelen? Zo ja, hoe stimuleert regering het gebruik
van middelen die volgens haar de meeste voordelen bieden?
4.3 Verhouding met de Wegiz
De leden van de GroenLinks-PvdA-fractie vragen om een onderbouwing dat het voldoen aan de NEN-norm voor identificatiemiddelen
niet noodzakelijk is. Heeft de regering dit wel overwogen? Hoe beperkt het ook toestaan
van inlogmiddelen onder de Wdo of het PKI-overheidsstelsel administratieve lasten?
5. Toezicht en handhaving
Welke instantie is verantwoordelijk voor het toezicht op de implementatie van de digitale
identificatie, zo vragen de leden van de PVV-fractie. Hoe wordt gewaarborgd dat zorgaanbieders ook daadwerkelijk tijdig voldoen aan de
eisen?
De leden van de GroenLinks-PvdA-fractie hebben vragen over het instrumentarium van de IGJ. Door dit wetsvoorstel wordt het
takenpakket en de bevoegdheden van de IGJ uitgebreid, met een bijzondere nadruk op
digitale zaken. Dit vraagt om de juiste expertise en kennis. Kunt u onderbouwen dat
er genoeg middelen aan de IGJ worden toebedeeld om de wet uit te voeren? Heeft de
IGJ bevestigd dat zij adequaat zijn ondersteund om toe te zien en waar nodig te handhaven
op het gebruik van de juiste inlogmiddelen?
De leden van de GroenLinks-PvdA-fractie delen de zorgen over het scenario dat, door
het intrekken van goedkeuring van inlogmiddelen of het blijven gebruiken van UZI-middelen
nadat de wettelijk toegestane termijn is verstreken, de kwaliteit van zorg in gevaar
komt. Zij vragen de regering om beter uit te leggen wat zij van de IGJ verwacht in
het geval dit dreigt te gebeuren. Hoe kan de IGJ zorgaanbieders dwingen om hun inlogmiddelen
te vervangen? Wat is de precieze definitie van de «ondersteunende rol» die de regering
van de IGJ verwacht? Staat voor de regering het waarborgen van de continuïteit van
zorgverlening voorop, en zo ja, wat wordt gedaan als een zorgaanbieder niet tijdig
overstapt naar een gecertificeerd inlogmiddel en een geforceerde overstap de zorgverlening
tijdelijk zou belemmeren?
De leden van de GroenLinks-PvdA-fractie hebben zorgen over de mogelijkheid voor zorgaanbieders
om tijdig over te stappen op nieuwe inlogmiddelen. De werkdruk is al hoog en de technische
kennis is niet altijd in huis om gemakkelijk aanpassingen in de ICT-systemen te maken.
Waar kunnen zorgaanbieders zich melden met vragen over deze overstap, en waar kunnen
zij terecht voor ondersteuning? Wat is de onderbouwing van de verwachting dat dit
amper voor zal komen?
De leden van de VVD-fractie lezen dat de Minister van VWS over kan gaan tot intrekking van de goedkeuring van
een middel indien het middel onveilig blijkt. Zij vragen op welke manier de veiligheid
van middelen wordt beoordeeld. In hoeverre zijn gesimuleerde hacks onderdeel van dit
proces zoals dit in de financiële sector gebeurt?
De leden van de NSC-fractie hechten grote waarde aan de rol die de AP speelt in het toezien op de wettelijke
regels van het beschermen van persoonsgegevens. Welke rol speelt de AP concreet in
de handhaving van het beschermen van persoonsgegevens bij dit voorstel? De leden van
de NSC-fractie erkennen dat in de praktijk nog wel eens complicaties kunnen optreden
bij het gebruik van het nieuwe register. Wat zijn de mogelijke gevolgen van verlies
of misbruik van het inlogmiddel?
De leden van de CDA-fractie lezen dat bij of krachtens algemene maatregel van bestuur regels kunnen worden gesteld
aan het intrekken van goedkeuring voor een inlogmiddel. Deze leden vragen of de verantwoordelijkheid
hiervoor bij de Minister ligt of bij de Inspectie en wie hierin precies welke rol
heeft. Genoemde leden vragen of de regering voornemens is zulke nadere regels in een
algemene maatregel van bestuur vast te leggen en zo ja, aan welke nadere regels de
regering denkt. Deze leden vragen ook of de regering overweegt om regels te stellen
op het gebied van het borgen van de nationale veiligheid of de strategische autonomie.
6. Gegevensbeschermingseffectbeoordeling
Voor de leden van de NSC-fractie is het van groot belang dat bij gevoelige persoonsgegevens data zoveel mogelijk lokaal
wordt opgeslagen. Is de dataopslag van het Dezi-register lokaal geregeld? Zo nee,
hoe is de dataopslag dan georganiseerd?
6.1 Authenticatieverklaringen CIBG
De leden van de GroenLinks-PvdA-fractie ontvangen graag meer informatie over de versleuteling die plaatsvindt in het ophalen
van de BSN. Is data te allen tijde end-to-end versleuteld? Op welke momenten in het
proces worden gegevens ontsleuteld? Kan nader worden toegelicht hoe de informatiehuishouding
en databeveiliging van het CIBG zijn ingericht? Welke privacy bevorderende standaarden
vallen onder het betrouwbaarheidsniveau hoog? Is overwogen om aanvullende privacy
bevorderende technieken toe te passen? Bovendien zijn deze leden benieuwd hoe de regering
het principe van dataminimalisatie, dat volgt uit de AVG, heeft toegepast in de inrichting
van dit systeem.
De leden van de GroenLinks-PvdA-fractie benadrukken dat de grote hoeveelheid gegevens
dat in het beheer van het CIBG en in het Dezi-register terechtkomt, dwingt tot het
stellen van strenge voorwaarden aan de mate van beveiliging. Dit geldt niet alleen
voor de inlogmiddelen maar ook de data-opslag zelf. Genoemde leden zijn benieuwd hoe
en waar de «logging»-gegevens worden opgeslagen, en hoe wordt toegezien op de bewaartermijnen
die hiervoor gelden? Onder welke voorwaarden kunnen logging-gegevens worden opgevraagd,
en door wie? Na welke bewaartermijn dienen zij te worden verwijderd?
6.2 Verwerken van het BSN door de middelenuitgever zorgspecifieke middelen
De leden van de GroenLinks-PvdA-fractie vragen waarom enkel het BSN voldoet als geschikt persoonsgegeven om een Dezi-nummer
te koppelen aan een persoon. Zijn er andere mogelijkheden overwogen? Zo ja, waarom
zijn deze niet gebruikt? Op welke wijze wordt het BSN na de eenmalige werking gepseudonimiseerd,
en kan de regering onderbouwen dat deze in geen enkel geval herleidbaar is naar een
persoon? Genoemde leden benadrukken de gevoeligheid van het BSN en vragen om maximale
beveiliging van dit gegeven. Zij vragen daarom ook om een nadere onderbouwing van
de analyse dat een koppeling gemaakt door de zorgmedewerker zelf geen werkbare oplossing
is. In hoeverre heeft de regering deze oplossing overwogen?
De leden van de NSC-fractie zien veel mogelijkheden in het veld om persoonsgegevens beveiligd uit te wisselen.
Deze leden vragen de regering of Privacy Enhancing Techniques (PET’s) worden toegepast
binnen de standaarden van deze wetswijziging. Zo nee, is de regering dan alsnog bereid
deze PET’s binnen de standaarden van de wetswijziging toe te voegen?
6.3 Vergelijkbaar met de Wdo
De leden van de GroenLinks-PvdA-fractie vragen hoe de regering ervoor zorgt dat een BSN-verwerking daadwerkelijk eenmalig
plaatsvindt. Is het technisch onmogelijk om één BSN meermaals te verwerken? Is na
de eerste koppeling van een BSN aan een Dezi-nummer, datzelfde Dezi-nummer voorgoed
gekoppeld aan die ene medewerker? Hoe wordt voorzien in de mogelijkheid om een nieuwe
koppeling te genereren indien er een fout optreedt of als dit wegens veiligheidsredenen
nodig is?
6.4 BSN verwerkingsgrondslag bij de zorgaanbieder
De leden van de GroenLinks-PvdA-fractie vragen de regering om meer uitleg te geven over het soort contract dat middelenuitgever
en zorgaanbieder met elkaar moeten aangaan, als de uitgifte van middelen niet via
de zorgaanbieder verloopt. Wordt er een modelcontract beschikbaar gesteld voor deze
afspraken? Wie ziet erop toe dat deze contracten voldoen aan alle eisen en dat zij
rechtmatig zijn?
6.5 Koppeling HR-systeem aan Dezi-register
De leden van de GroenLinks-PvdA-fractie vragen de regering hoe realistisch het is dat HR-systemen automatisch gekoppeld kunnen
worden aan het Dezi-register. Zij willen weten of en hoe de regering stimuleert dat
HR-systemen hiertoe worden uitgerust. Is het mogelijk om een Application Programming
Interface (API) te ontwikkelen, als een soort standaardcomponent om met het Dezi-register
te communiceren, wat makkelijk geïntegreerd kan worden in een HR-systeem? Wiens verantwoordelijkheid
is het om HR-systemen dusdanig uit te rusten dat de koppeling mogelijk is?
6.6 De koppeling met DUO om diploma’s te verifiëren om de jeugd- en zorgmedewerkers
te ontlasten
De leden van de GroenLinks-PvdA-fractie begrijpen de koppeling met de Dienst Uitvoering Onderwijs (DUO). Echter vragen zij
de regering om zorg te dragen dat er alternatieve methodes blijven bestaan om een
diploma, indien nodig, te verifiëren. Indien de dienstverlening vanuit DUO onverhoopt
stil komt te liggen, dient er nog altijd de mogelijkheid te zijn om diploma's te verifiëren
in het Dezi-register. Is een soortgelijke koppeling mogelijk met niet-Nederlandse
diplomaverstrekkers, indien medewerkers hun diploma elders hebben behaald?
Fraude in de zorg, waaronder diplomafraude, zorgt voor woede bij de leden van de VVD-fractie zoals ze regelmatig kenbaar maken.3, 4 Genoemde leden vinden het onvoorstelbaar dat fraudeurs doelbewust misbruik maken
van ons zorgstelsel en daarmee de kwaliteit van zorg en patiëntveiligheid in gevaar
brengen. De koppeling met DUO om diploma’s te verifiëren zien deze leden daarom als
zeer positief. Er wordt echter gesproken over de mogelijkheid hiertoe en de leden
van de VVD-fractie vragen waarom is gekozen voor een vrijblijvend karakter en niet
een verplichtend karakter. In hoeverre verhoudt deze vrijblijvende mogelijkheid zich
tot de zin «registratie zou alleen mogelijk moeten zijn met een opleiding in de zorg»
zoals aangegeven in paragraaf 11.1.7 in de memorie van toelichting?
6.7 De koppeling met het BIG-register om het registratieproces efficiënter en gebruikersvriendelijk
te maken voor de jeugd- en zorgmedewerkers
De leden van de GroenLinks-PvdA-fractie vragen de regering om ervoor te zorgen dat de koppeling met het BIG-register altijd
een actieve keuze van de medewerker in kwestie blijft, en niet zonder toestemming
kruisverbanden te leggen met een mogelijke BIG-registratie bij iedere aanmelding in
het Dezi-register.
6.8 Geïnventariseerde risico’s: het uitlenen van inlogmiddelen en gebruik privételefoon
De leden van de PVV-fractie vragen hoe wordt gegarandeerd dat de nieuwe identificatiemiddelen voldoen aan de
strengste normen voor gegevensbescherming. Zijn er risico's verbonden aan het gebruik
van persoonlijke apparaten voor digitale identificatie, en hoe worden deze risico’s
zoveel mogelijk vermeden?
De leden van de GroenLinks-PvdA-fractie vragen de regering om de uitgevoerde data protection impact assessment (DPIA), indien
uit veiligheidsoverwegingen noodzakelijk slechts op hoofdlijnen, aan de Kamer te doen
toekomen. Dit stelt deze leden in staat om de door de regering opgetekende analyse
van de risico’s te controleren. Genoemde leden hebben zorgen over de risico's die
de regering noemt, deze zorgen zijn naar de mening van deze leden nog niet voldoende
weggenomen. Zij vragen de regering in overweging te nemen dat het uitwisselen van
inlogmiddelen niet moet worden toegestaan, om te voorkomen dat de zorgvuldige veiligheidsmaatregelen
en privacy waarborgen (onbedoeld) worden omzeild. Daarmee verliest de wet haar functie.
Kan de regering nader ingaan op het opnemen in de wet van een bepaling die uitlenen
van inlogmiddelen verbiedt, al dan niet het technisch onmogelijk maakt? Welke preventieve
maatregelen kunnen verder nog worden genomen om er maximaal voor te zorgen dat inlogmiddelen
niet worden uitgeleend of in het geval van diefstal niet te gebruiken zijn?
De leden van de GroenLinks-PvdA-fractie hebben bezwaren bij het gebruiken van inlogmiddelen
op de privételefoon. Niet alleen is het gezond om personeel in een professionele setting
indien mogelijk te voorzien van een werktelefoon, het biedt ook de noodzakelijke veiligheidswaarborgen.
Genoemde leden vragen in overweging te nemen om afspraken over het beheren van privételefoons
niet over te laten aan zorgaanbieders en hun personeel. Hierdoor kan namelijk de situatie
ontstaan dat medewerkers (impliciete) dwang ervaren om hun privételefoon onder beheer van hun werkgever te plaatsen. Erkent de regering dat deze situatie
onwenselijk is? Hoe wordt voorkomen dat zorgaanbieders hun medewerkers (impliciet)
dwingen om hun privételefoon in beheer van de werkgever te plaatsen? Deelt de regering
de mening dat dit mogelijk kan leiden tot een inbreuk op de privacy van medewerkers?
Indien een werktelefoon wordt gebruikt, dient deze over de best beschikbare beveiliging
te beschikken, op last van de werkgever. Ziet de regering de mogelijkheid om zorgaanbieders
een zorgplicht te geven om ervoor te zorgen dat, in het geval er telefonische inlogmiddelen
worden gebruikt, de gebruikte (werk)telefoons maximaal beveiligd zijn?
De leden van de GroenLinks-PvdA-fractie vragen de regering om wegens de bovengenoemde
zorgen in overweging te nemen om het uitlenen van inlogmiddelen en het gebruik van
privételefoons per wet te verbieden, of om aanvullende maatregelen te treffen om beide
risico's weg te nemen. Zij vragen de regering om beide risico's blijvend te monitoren
nadat de wet in werking treedt, en zorgaanbieders hierop te wijzen. Is de regering
ook bereid om in contact met zorgaanbieders te wijzen op de noodzaak om werktelefoons
of alternatieve apparatuur aan medewerkers te bieden die voor hun dagelijkse werk
worden geacht om inlogmiddelen te gebruiken? Is de regering bereid om zorgaanbieders
hierin financieel te ondersteunen, indien dit een drempel blijkt?
De leden van de NSC-fractie hebben een technische vraag over de beveiliging van het systeem. Hoe wordt veiligheid
van inlogmiddelen technisch bewaakt?
De leden van de NSC-fractie hebben een vraag over het bestaan van standaardprotocollen
in het geval van complicaties bij gebruik van het nieuwe systeem. Hoe werkt bijvoorbeeld
de misbruikdetectie en herstel bij het inloggen in het systeem door een onbevoegd
persoon? Zijn er ook standaardprotocollen voor andere typen complicaties?
De leden van de NSC-fractie zijn bezorgd over de gevoeligheid van het nieuwe register
voor spionagesoftware en andere malware. Hoe is het Dezi-register beschermd tegen
het binnendringen van spionagesoftware zoals Pegasus, Predator of andere malware?
Hoe zorgt de regering dat deze bescherming ook in de toekomst up to date blijft?
7. Gevolgen (m.u.v. financiële gevolgen)
7.1 Overheid
De leden van de PVV-fractie vragen wie de financiële effecten dragen voor de uitrol van de beoogde effecten van
deze wet. Is dit volledig budgettair belast bij het Ministerie van VWS en in welke
mate worden zorgorganisaties zelf belast?
De leden van de GroenLinks-PvdA-fractie vragen om een nadere toelichting voor het aanvullende takenpakket van het CIBG. Het
nieuwe instrumentarium en de afschaling van bestaande taken vraagt om een nieuwe inrichting
van de organisatie. Genoemde leden vragen de regering om in een tijdspad uiteen te
zetten hoe het CIBG toegroeit / afschaalt naar de gewenste vorm. Wat is het huidige
aantal fte en tot welk aantal zal het CIBG groeien / afschalen?
7.2 Zorg- en jeugdveld
De leden van de GroenLinks-PvdA-fractie willen meer weten over de gekozen overstaptermijn tussen de UZI-pas en middelen die
gekoppeld zijn aan het nieuwe Dezi-register. Hoe maakt de regering de inschatting
dat de overgangsperiode lang genoeg is? Waarom is er niet gekozen voor een beperktere
tijd omdat de noodzaak voor veilige en makkelijke gegevensuitwisseling hoog is? Zullen
zorgaanbieders in alle gevallen in staat zijn om samen met de ICT- en middelenleveranciers
tijdig de overstap te maken? Wat doet de Minister van VWS (of het CIBG) in het geval
dat dit moeizaam verloopt? Hoe wordt daarin de werkdruk op de zorgaanbieders geminimaliseerd?
De leden van de NSC-fractie willen graag weten hoe dit voorstel het hele zorgveld beïnvloedt. Wat betekent deze
wet concreet voor kleine zorgaanbieders?
7.3 Bedrijven
Hoe snel kunnen zorgaanbieders zich aanpassen zonder negatieve impact op de patiëntenzorg,
zo vragen de leden van de PVV-fractie.
De leden van GroenLinks-PvdA-fractie vragen om een toelichting of en hoe het Ministerie van VWS bedrijven helpt met het
maken van de nodige technische aanpassingen in hun systemen. Is de regering bereid
om een open source oplossing te ontwikkelen die bedrijven makkelijk in hun systemen
kunnen integreren? Biedt de regering ontwikkelaars handvaten door middel van toegankelijke
informatievoorziening over hoe zij kunnen voldoen aan de nieuwe wetgeving?
7.4 Burgers
De leden van de PVV-fractie zijn nieuwsgierig welke gevolgen de wetswijziging heeft voor patiënten en cliënten
met beperkte digitale vaardigheden?
De leden van de GroenLinks-PvdA-fractie zijn van mening dat het wetsvoorstel relatief weinig aandacht heeft voor het belang
van burgers. Zij menen dat burgers het volste recht hebben om te weten door wie, wanneer,
en met welke reden hun zorggegevens worden geraadpleegd. Kunt duidelijker worden toegelicht
wat wordt bedoeld met de stelling dat het transparanter wordt wie welke zorggegevens
heeft ingezien als identiteiten uit het Dezi-register breed worden gebruikt? Worden
burgers proactief geïnformeerd als zorgverleners hun gegevens inzien, of kunnen burgers
op aanvraag een overzicht ontvangen van hoe hun gegevens zijn opgevraagd en / of verwerkt?
Deelt de regering de mening dat burgers zelf de baas zijn over hun data, en te allen
tijde inzage verdienen in hoe hun gegevens worden verwerkt? Hoe draagt deze wet daaraan
bij? Ziet de regering mogelijkheden om dit recht op inzage voor burgers verder te
verstevigen in de wet?
8. Uitvoering
De leden van de GroenLinks-PvdA-fractie lezen met interesse over de uitvoerbaarheid van de wet. Zij vragen om een nadere
uitleg over hoe het CIBG haar taak dient uit te voeren om middelen en inschrijvingen
in het UZI-register en het Dezi-register in te trekken of te weigeren. Betekent dit
dat het CIBG periodiek de middelen controleert op naleving van de standaarden? Volgens
welke methodiek voeren zij deze evaluatie uit? Kan het CIBG technische inzage eisen
in reeds toegestane middelen ten behoeve van zo'n evaluatie?
De leden van de GroenLinks-PvdA-fractie vragen te onderbouwen dat een besluit in het
huidige stelsel onredelijk zwaar kan uitvallen. Om welke besluiten gaat dit, wordt
hiermee bedoeld op het intrekken of weigeren van een inlogmiddel? Hoe vaak is dit
in het huidige stelsel voorgekomen? Wat kan de regering doen om onvoorziene (hoge)
kosten in deze situaties te dempen? Kan bovendien worden uitgelegd hoe het bredere
gebruik van een middel dan alleen voor de toegang tot de SBV-Z als gevolg kan hebben
dat ook andere werkzaamheden worden verstoord? Kunnen er voorbeelden worden genoemd
van systemen die op zo'n manier voor meerdere doeleinden worden gebruikt bij zorgaanbieders?
Hoe stimuleert de regering zorgaanbieders om niet geheel afhankelijk te worden van
slechts één of enkele middelen of aanbieders, om zulke verstoringen in de zorgverlening
te voorkomen?
De leden van de GroenLinks-PvdA-fractie vragen ook om nader toe te lichten wat zorgaanbieders
en individuele zorgmedewerkers in de praktijk gaan merken van het wetsvoorstel. Kan
de regering dit beeldend maken?
Het is voor de leden van de NSC-fractie, in lijn met het advies van de Raad van State noodzakelijk dat zoveel mogelijk zorgverleners
gebruik kunnen maken van het nieuwe systeem voor een maximale verbetering van de digitale
infrastructuur in de zorg. Het nieuwe systeem moet dit echter wel aankunnen. Is het
Dezi-register technisch robuust genoeg voor een landelijke schaal mochten alle 1,5 miljoen
zorgverleners gebruik gaan maken van dit systeem?
9. Regeldruk
9.1 Werkbare invoering in de praktijk
De leden van de PVV-fractie willen graag weten in hoeverre deze wetswijziging zorgt voor een verhoging van administratieve
lasten voor zorginstellingen? Zijn er voldoende middelen en ondersteuning beschikbaar
om zorgorganisaties en zorgverleners te helpen met de overgang naar de nieuwe digitale
identificatiemiddelen? Hoe wordt omgegaan met situaties waarin zorgaanbieders of jeugdhulpverleners
nog niet klaar zijn om de nieuwe digitale identificatie verplicht te implementeren?
De leden van de GroenLinks-PvdA-fractie lezen dat enkele zorgaanbieders en zorgketens naar verwachting snel zullen overgaan
tot de nieuwe inlogmiddelen. Kan de regering haar verwachting voor snelle implementatie
van de nieuwe inlogmiddelen uiteenzetten in de tijd? Welk aandeel van zorgaanbieders
moet per 1 januari 2027 en per 1 januari 2028 zijn overgestapt voor de sector als
geheel om op schema te liggen? Ook zijn deze leden benieuwd hoe implementatie per
keten binnen de zorgsector zal verschillen. Zijn er bepaalde ketens in het zorgveld
waarvan verwacht wordt dat implementatie relatief moeizamer verloopt en meer tijd
kost? Wat doet de regering om deze aanbieders specifiek te ondersteunen om ook over
te stappen?
De leden van de GroenLinks-PvdA-fractie dringen aan op een goede implementatie van
deze wet. Hoe blijft de regering in gesprek met het zorgveld om de succesvolle implementatie
te monitoren en waar nodig (gericht) hulp te bieden? Hoe zorgt de regering ervoor
dat de implementatie samenhangt met andere relevante wetgeving, zoals de Wet elektronische
gegevensuitwisseling in de zorg (hierna: Wegiz)?
De leden van de GroenLinks-PvdA-fractie benadrukken het belang om ook Caribisch Nederland
te betrekken in het wetsvoorstel. Hoe gaat deze wet vorm krijgen in heel het Koninkrijk?
Wat is het tijdspad voor implementatie op de BES-eilanden en de CAS-eilanden?
De leden van de NSC-fractie willen zich hard maken voor de kleinere zorginstellingen die regeldruk van nieuwe
voorstellen moeilijker kunnen opvangen dan hun grotere collega’s. Hoe werkbaar is
het nieuwe register voor kleine praktijken en zzp’ers en hoe realistisch is het scenario
dat zij de verbetering in interoperabiliteit door dit nieuwe register ook daadwerkelijk
kunnen benutten?
9.2 Inloggen met Wdo middelen
De leden van de GroenLinks-PvdA-fractie steunen de kostenverlaging als gevolg van deze wet. Zij erkennen dat het aanvragen
van een UZI-pas duur is en verwelkomen goedkopere en gebruiksvriendelijke alternatieven.
Hoe faciliteert en stimuleert de regering Nederlandse ondernemers om concurrerende
inlogmiddelen te ontwikkelen? Wat is volgens haar een acceptabele prijs voor deze
middelen? Welke rol heeft de Minister van VWS, of collega-bewindspersoon van Economische
Zaken, om het Nederlandse ICT-veld en het zorgveld dichter bij elkaar te brengen om
kwalitatieve inlogmiddelen te ontwikkelen? Hoe voorkomt de regering dat er marktdominantie
plaats zal vinden van slechts één of enkele partijen?
De leden van de GroenLinks-PvdA-fractie vragen om de verdeling van de financiële lasten
nader toe te lichten. Voor wiens rekening zijn de verwachte kosten van inlogmiddelen
en de bijdrage aan het Dezi-register? Hoe zorgt de regering ervoor dat medewerkers
zelf hier maximaal in worden ontzien?
9.3 Inloggen met zorgspecifieke middelen
De leden van de GroenLinks-PvdA-fractie vragen om toe te lichten hoe zorgaanbieders die zorgspecifieke middelen willen laten
goedkeuren worden ondersteund. Zij benadrukken dat het begrijpelijk moet zijn hoe
aan standaarden voldaan kan worden en welke informatie moet worden aangeleverd om
gecertificeerd te worden.
9.4 De identiteit van een medewerker in het Dezi-register
De leden van de GroenLinks-PvdA-fractie vragen de regering om het gigantische verschil tussen UZI-registraties (90.000) en
het potentiële aantal Dezi-registraties (1.500.000) te duiden. Waarop is de aanname
gebaseerd dat er elk jaar zo'n 100.000 nieuwe registraties bij zullen komen? Welke
andere groeiscenario's heeft de regering uitgedacht? Kunnen deze berekeningen worden
gedeeld? Wordt er rekening gehouden met het waarschijnlijke groeiaantal in de financiële
gevolgen van de wet?
10. Financiële gevolgen
10.1 Eenmalige kosten
De leden van de GroenLinks-PvdA-fractie vragen toe te lichten hoe de bouw aan het nieuwe stelsel en uitfasering van het oude
stelsel binnen het Ministerie van VWS worden belegd. Wordt hierin gebruik gemaakt
van interne expertise? Op basis van welke indicatoren komt de regering tot de raming
van 14 miljoen euro? Bestaat het ICT-team ter beschikking van het Ministerie van VWS
voor de Proof of Concept/PoC's en pilots ook volledig uit intern personeel? Hoe zorgt
de regering ervoor dat het ICT-gerelateerde werk zo veel mogelijk intern belegd wordt zodat kennis binnenshuis wordt
opgebouwd en behouden?
10.2 Structurele kosten
De leden van de PVV-fractie vragen welke extra financiële lasten de wetswijziging met zich mee brengt voor zorgaanbieders,
en hoe realistisch het is dat deze kosten worden gecompenseerd. Hoe wordt de continuïteit
van digitale toegang gewaarborgd bij technische of financiële belemmeringen, denk
daarbij aan storingen of digitale aanvallen van buitenaf die steeds meer toenemen?
De leden van de PVV-fractie constateren dat er landelijk geld wordt geïnvesteerd in
digitalisering in de richting van het delen van clientgegevens, maar ook dat er regionaal
financiële middelen beschikbaar worden gesteld voor zorgorganisaties om hiermee aan
de slag te gaan. Kan de regering aangeven wat hierin de visie is, waarbij een regionale
zorgorganisatie ervoor kan kiezen met een methode te werken die niet in staat is om
te delen met de gekozen landelijke methode? Zou het niet een prioriteit moeten zijn
om er aan de voorkant voor te zorgen dat de methode aansluitend is in het geheel?
Deze leden zien belemmeringen omdat door deze twee aparte financiële stromingen het
geheel moeilijker tot stand zal komen.
De leden van de GroenLinks-PvdA-fractie vragen de inschatting van 6 miljoen euro als structurele beheerkosten te onderbouwen.
Op basis van welke indicatoren is tot deze inschatting gekomen? Genoemde leden vragen
uit hoeveel fte het team bestaat van VWS-medewerkers dat het stelsel beheert en of
hier maximaal ingezet wordt op interne krachten.
De leden van de GroenLinks-PvdA-fractie vragen om de prijs van 11 cent per DigiD-inlog
te duiden.
De leden van de VVD-fractie vragen wanneer er duidelijkheid wordt verwacht over de financiering voor (aankomende)
private middelen onder de Wdo. Daarnaast lezen de leden van de VVD-fractie dat VWS
voornemens is de gebruikskosten voor de komende jaren te financiering maar dat veel
afhankelijk is van onder andere hoe snel en breed digitale wallets in de zorg beschikbaar
komen. Op welke wijze wordt met deze onzekerheden, en dus de benodigde middelen, rekening
gehouden in de begroting? Tevens zijn de leden van de VVD-fractie benieuwd naar het
verschil tussen de lagere kosten per gebruiker en de stijging van structurele kosten
door de overstap naar Dezi?
De leden van de CDA-fractie lezen dat de kosten voor authenticatie kunnen afhangen van de geldigheidsduur van
een zorgidentiteit (bijvoorbeeld een dag of een week). Deze leden vragen of zij goed
begrijpen dat dit wetsvoorstel niet voorziet in regels met betrekking tot de geldigheidsduur
van een identificatie in relatie tot de kosten. Genoemde leden vragen of dit klopt,
en waarom dit wel of niet aan de orde is.
11. Advies en consultatie
11.1 Internetconsultatie
Geen opmerkingen of vragen van de fracties.
11.1.1 Scope wetsvoorstel
De leden van de GroenLinks-PvdA-fractie herkennen de onduidelijkheid over de scope van het wetsvoorstel. Zij lezen dat het
gebruiken van authenticatie voor interne raadpleging van informatie bijna als toevalligheid
een voordeel is geworden van deze wet. Volgens genoemde leden is het gepast om expliciet
te maken dat het gebruiken van een veilige methode voor identificatie en authenticatie
een doel is van de wet, om zo het uniforme gebruik van de nieuwe inlogmiddelen breed
te stimuleren.
11.1.2 Verplichting wetsvoorstel
De leden van de GroenLinks-PvdA-fractie dringen er eveneens op aan om zo snel mogelijk heldere ambities over de overgangstermijn
en implementatie op te stellen. Zij menen dat de overheid een rol heeft als marktmeester,
en dat een uitgesproken ambitie voor de uitfasering van UZI-middelen als gevolg heeft
dat de urgentie en business case voor leveranciers van nieuwe inlogmiddelen groeit.
Kan de regering reflecteren op de rol van het Ministerie van VWS als marktmeester
en aanjager van technische innovatie op het gebied van inlogmiddelen door het stellen
van een heldere overgangstermijn?
De leden van de NSC-fractie merken op dat de Raad van State twee punten van kritiek aanstipt in hun reactie op
het voorstel, namelijk het beperken van verplicht gebruik van het nieuwe register
tot de SBV-Z en het ontbreken van een harde deadline voor het verplicht gebruik van
goedgekeurde inlogmiddelen voor alle systemen in de zorg. Kan de regering op elk van
deze twee punten van advies separaat ingaan?
11.1.3 Gekwalificeerde elektronische handtekening
Geen opmerkingen of vragen van de fracties.
11.1.4 Goedkeuren inlogmiddelen
Geen opmerkingen of vragen van de fracties.
11.1.5 eIDAS herziening (EDI-wallet)
Geen opmerkingen of vragen van de fracties.
11.1.6 Zorgspecifieke middelen NEN 7518
De leden van de GroenLinks-PvdA-fractie onderstrepen de zorgen over het hanteren van een nog niet bestaande NEN-norm en vragen
de regering om bij de publicatie van de norm een korte terugkoppeling te geven aan
de Kamer met een zienswijze, en een reactie op wat voor gevolgen dit (mogelijk) heeft
voor de implementatie van de wet.
11.1.7 Zorgmedewerker en het register
De leden van de GroenLinks-PvdA-fractie vragen om een nadere toelichting over hoe zorgmedewerkers worden geïnstrueerd en
geïnformeerd over de zorgvuldige omgang met zorggegevens verkregen via een Dezi-nummer.
Ook willen zij meer weten over de manier waarop burgers toegang kunnen krijgen in
het overzicht van zorgmedewerkers die hun gegevens hebben geraadpleegd of verwerkt.
11.1.8 Acceptatieplicht inlogmiddelen
Geen opmerkingen of vragen van de fracties.
11.1.9 Gebruiksvriendelijkheid
Geen opmerkingen of vragen van de fracties.
11.1.10 Implementatie en financiële gevolgen
De leden van de GroenLinks-PvdA-fractie hebben twijfels bij de volgorde om eerst het wetsvoorstel te laten aannemen, voordat
er duidelijkheid is over wanneer de UZI-middelen worden uitgefaseerd. Zij zien een
duidelijke deadline voor het uitfaseren van UZI-middelen als manier om de urgentie
te creëren die nodig is om het ontwikkelen van inlogmiddelen door marktpartijen aan
te jagen. Zijn er gesprekken geweest met (mogelijke) leveranciers van de nieuwe inlogmiddelen
over de meest effectieve uitfasering en gewenste overgangstijd? Zo nee, kunnen zij
worden betrokken bij de gesprekken die het Ministerie van VWS heeft met het zorgveld
op dit punt? Hoe kan de regering volgens deze (mogelijke) leveranciers het beste de
concurrentie aanjagen en ondernemers in staat stellen om zo snel mogelijke goede inlogmiddelen
te bouwen? Wordt hierbij ook de bewindspersoon van Economische Zaken betrokken?
De leden van de NSC-fractie delen de zorg van experts in het veld dat binnen een aantal jaar quantum computers
in staat zullen zijn de huidige vormen van encryptie te verbreken en zo bij gevoelige
persoonsgegevens zouden kunnen komen. De leden van de NSC-fractie vragen hoe toekomstbestendig
de beveiliging van persoonsgegevens onder het stelsel van de wetswijziging is. Is
het Dezi-register quantumveilig? Zo nee, welke stappen is regering van plan te nemen
om de beveiliging van de persoonsgegevens ook toekomstbestendig te houden?
11.2 Uitvoeringstoets CIBG
De leden van de GroenLinks-PvdA-fractie lezen met interesse over de zorgen van het CIBG. Als uitvoerende organisatie weegt
haar analyse zwaar. Kan concreet worden gemaakt hoe de regering de zorgen over de
uitdagingen rondom de nog te ontwikkelen regelgeving heeft weggenomen? Hoe gaat de
regering de uitdagingen naar haar zeggen «uitvoerbaar» maken? Kan het CIBG bevestigen
dat er voldoende is tegemoetgekomen aan haar zorgen?
De leden van de GroenLinks-PvdA-fractie vragen om de afbakening van de taken binnen
het nieuwe Dezi-afsprakenstelsel met spoed vast te leggen en aan de Kamer te doen
toekomen.
11.3 Toezicht- en Handhaafbaarheidstoets IGJ
De leden van de GroenLinks-PvdA-fractie vragen te bevestigen dat er naar wens is tegemoetgekomen aan de zorgen van de IGJ.
Zijn de processen en definitiebepalingen nu voldoende duidelijk voor IGJ? Kan de regering
de ondersteunende rol die het IGJ «mogelijk» zal spelen duidelijker definiëren?
11.4 Advies Adviescollege toetsing regeldruk (ATR)
Geen opmerkingen of vragen van de fracties.
11.5 Advies Autoriteit Persoonsgegevens (AP)
Tot slot hebben de leden van de PVV-fractie nog de volgende twee vragen. In hoeverre zijn de zorgen en aanbevelingen van de Autoriteit
Persoonsgegevens en andere stakeholders meegenomen in de uiteindelijke opmaak van
de wet? Is er ruimte voor uitzonderingen of maatwerk in specifieke situaties, bijvoorbeeld
bij kleinschalige zorgaanbieders of kwetsbare groepen?
De leden van de GroenLinks-PvdA-fractie vragen de regering om te bevestigen dat de zorgen van de Autoriteit Persoonsgegevens
naar wens zijn overgenomen. Genoemde leden zijn van mening dat het enkel beschrijven
van de risico's genoemd door de AP, zoals gedaan in paragraaf 6.8, onvoldoende duidelijkheid
geeft over hoe deze risico's gemitigeerd dienen te worden. Zij vragen om samen met
de AP te verkennen hoe de regering deze risico's daadwerkelijk kan mitigeren.
II. Artikelsgewijze toelichting
Artikel I: Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens
in de zorg
De leden van de PVV-fractie hebben naar aanleiding van artikel 1 de volgende vraag. Bij artikel 10.2 wordt een
lid toegevoegd, onder punt 5: Hier wordt de datum, 1 januari 2028 genoemd voor de
toepassing op de uitgegeven middelen. Echter bij het nieuwe artikel 18 van de Wet
aanvullende bepalingen verwerking persoonsgegevens in de zorg staat 1 januari 2029
als datum vermeld. Waarom wordt hier een andere datum vermeld?
Onderdeel A – Artikel 1 (begripsbepaling)
De leden van de GroenLinks-PvdA-fractie hebben vragen over de definitiebepalingen. Zij vragen om toe te lichten of en hoe
de definities achteraf nog nader ingevuld kunnen worden, bijvoorbeeld door een definitie
te verbreden, te versmallen, of te nuanceren.
Onderdeel B – Artikel 14 – Het register van zorgaanbieders, zorgmedewerkers, indicatieorganen
en zorgverzekeraars
De leden van de GroenLinks-PvdA-fractie vragen of in dit artikel de mogelijkheid is opgenomen om een bepaling toe te voegen
die voorschrijft om in het verwerken van persoonsgegevens een zo zorgvuldig mogelijke
verwerking middels de best beschikbare technieken te betrachten. Heeft een dergelijke
wettelijke bepaling volgens de regering meerwaarde?
Onderdeel B – Artikel 14a – Goedkeuring inlogmiddelen
De leden van de GroenLinks-PvdA-fractie wijzen erop dat de uitwerking via algemene maatregelen voor bestuur de precieze uitvoering
van het wetsvoorstel moeilijk controleerbaar maakt. Zij vragen om zo snel als mogelijk
duidelijkheid te bieden of contouren te delen van de nadere uitwerking. Op welke termijn
na de invoering van de wet wordt de algemene maatregelen van bestuur aan de Kamer
verzonden?
De leden van de GroenLinks-PvdA-fractie vragen naar de overweging om geen papieren
/ analoge mogelijkheden per wet toe te staan. Is het beschikbaar stellen van analoge
alternatieven niet een noodzakelijke terugvaloptie, mocht er sprake zijn van een brede
storing? Acht de regering het niet noodzakelijk om de mogelijkheid voor analoge alternatieven
per wet toe te staan, om de continuïteit van zorgverlening in het geval van een storing
te waarborgen? Hoe draagt deze wet bij aan het cyberweerbaar maken van Nederland?
Onderdeel D – Artikel 18 (overgangsrecht)
De leden van de GroenLinks-PvdA-fractie vragen of er alternatieve termijnen voor de overgangsperiode zijn overwogen. Graag
een toelichting wat de gevolgen zijn van een kortere of langere overgangsperiode?
Artikel III: Overgangsrecht
De leden van de CDA-fractie vragen waarom ervoor gekozen is om het precieze moment waarop de verplichting om
gebruik te maken van inlogmiddelen met betrouwbaarheidsniveau «hoog» vast te leggen
in een algemene maatregel van bestuur en niet in de wet zelf.
De voorzitter van de commissie, Mohandis
Adjunct-griffier van de commissie, Sjerp
Ondertekenaars
-
Eerste ondertekenaar
M. Mohandis, voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en Sport -
Mede ondertekenaar
E.M. Sjerp, adjunct-griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.