Memorie van toelichting : Memorie van toelichting

Nr. 3 MEMORIE VAN TOELICHTING

Inhoudsopgave

blz.

 
 
 
 
 

1.

Inleiding

3

 

1.1

Aanleiding wetsvoorstel

3

 

1.2

Categorieën van gezondheidsinformatie

4

 

1.3

Doel wetsvoorstel

6

2.

Implementatiewetgeving

6

 

2.1

European Health Data Space

7

3.

Hoofdlijnen van het wetsvoorstel

7

 

3.1

Probleemomschrijving

7

 

3.2

Oplossingsrichting

9

 
 

3.2.1

Werking MyHealth@EU

9

 
 

3.2.2

Scenario A. Opvragen gezondheidsinformatie door zorgaanbieder in een andere lidstaat

10

 
 

3.2.3

Scenario B. Opvragen gezondheidsinformatie voor cliënt uit andere lidstaat door Nederlandse
zorgaanbieder

12

 
 

3.2.4

Toestemming

13

 
 

3.2.5

Waarborgen

13

 

3.3

Instrumentkeuze

15

 
 

3.3.1

Wettelijke taak en grondslag verwerking van (bijzondere) persoonsgegevens door het
NCPeH-NL

15

 
 

3.3.2

Een grondslag voor het ontvangen en verstrekken van het BSN over de grens (aan NCPeH’s
in andere EER-landen)

17

 
 

3.3.3

Structuur van de wet

17

 

3.4

Reikwijdte wetsvoorstel

17

4.

Verhouding tot hoger recht

18

 

4.1

Bescherming persoonlijke levenssfeer en gegevensbescherming

18

 

4.2

EVRM

19

 

4.3

Grondwet (Gw)

21

 

4.4

EHDS-verordening

21

 
 

4.4.1

Grondslagen in de EHDS

22

 
 

4.4.2

Afweging om wetsvoorstel doorgang te laten vinden

23

5.

Verhouding tot nationale regelgeving

23

 

5.1

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)

23

 

5.2

Wet op de geneeskundige behandelingsovereenkomst (WGBO) en Wet op de beroepen in de
individuele gezondheidszorg (Wet BIG)

24

 

5.3

Wet aanvullende bepalingen Burgerservicenummer (Wabb)

25

 

5.4

Wet elektronische gegevensuitwisseling in de zorg (Wegiz)

25

 

5.5

Verhouding met andere nationale programma’s en initiatieven

25

 
 

5.5.1

Landelijk dekkend netwerk van infrastructuren en Landelijk Vertrouwensstelsel

25

 
 

5.5.2

Meerjarenagenda Wegiz

26

6.

Effecten van het Wetsvoorstel

26

 

6.1

Gevolgen voor zorgaanbieders en zorgverleners

26

 

6.2

Gevolgen voor burgers

27

 

6.3

Gevolgen voor IT-leveranciers en -dienstverleners

27

 

6.4

Gevolgen voor de overheid

27

 
 

6.4.1

Gevolgen toezicht en handhaving

27

 
 

6.4.2

Gevolgen voor Caribisch Nederland

28

 

6.5

Gevolgen voor de gegevensbescherming (DPIA)

28

 

6.6

Effecten op de arbeidsmarkt

30

 

6.7

Fraude

30

7.

Financiële gevolgen en regeldruk

31

 

7.1

Overheid

31

 

7.2

Zorgaanbieders

31

 

7.3

Cliënten

31

 

7.4

Effecten regeldruk

32

8.

Uitvoering

32

9.

Toezicht en handhaving

33

10.

Advies en consultatie

34

 

10.1

Internetconsultatie

34

 
 

10.1.1

Ophelderen probleemstelling

35

 
 

10.1.2

Zorgen over misbruik

35

 
 

10.1.3

Elektronisch uitwisselingssysteem als bedoeld onder de Wabvpz

36

 
 

10.1.4

Toestemming

36

 
 

10.1.5

Koppeling persoonlijk gezondheidsdossier van de cliënt

38

 
 

10.1.6

Relatie tot andere initiatieven

39

 
 

10.1.7

Rol van de overheid

39

 

10.2

Uitvoeringstoets CIBG

39

 
 

10.2.1

Bevoegdhedenverdeling binnen het stelsel

39

 
 

10.2.2

Lagere wet- en regelgeving

39

 
 

10.2.3

Bevoegdheid om aanvragen te weigeren en in te trekken

40

 

10.3

Toets Autoriteit Persoonsgegevens

40

 
 

10.3.1

Uitwisseling met derde partijen

41

 
 

10.3.2

Aanwezigheid van geregistreerde toestemming

41

 
 

10.3.3

Verwerkingsgrondslag Minister dubbelop

41

 
 

10.3.4

Kwalificatie NCPeH-NL en MyHealth@EU in Nederlands en Europees recht

42

 
 

10.3.5

Gegevens cliënt opvragen uit eigen land bij een andere lidstaat

43

 

10.4

Toets Adviescollege toetsing regeldruk (ATR)

43

ALGEMEEN DEEL

1. Inleiding

1.1 Aanleiding wetsvoorstel

Toenemende mobiliteit van burgers tussen landen in de Europese Unie (EU) maakt dat
steeds meer mensen een beroep doen op zorg buiten hun eigen regio of land. Veel Nederlanders
gaan voor vakantie of werk naar een ander land en maken daarbij gebruik van zorg.
Dit kan variëren van spoedeisende hulp tijdens het verblijf tot geplande medische
behandelingen. Zo waren de totale kosten van grensoverschrijdende zorg in 2023 op
basis van de zorgverzekeringswet meer dan € 500 miljoen, aldus Zorginstituut Nederland.1 Tegelijkertijd komen er burgers uit andere Europese landen naar Nederland en kan
voor deze burgers een zorgbehoefte optreden. Grensoverschrijdende zorg neemt daarmee
een steeds belangrijkere plaats in binnen de EU. Als een burger zich in een andere
lidstaat (met lidstaat wordt in dit wetsvoorstel en toelichting bedoeld: een staat
die lid is van de Europese Unie of een andere staat die partij is bij de Overeenkomst
betreffende de Europese Economische Ruimte) bevindt en zorg nodig heeft, is het van
belang dat de onder de zorgaanbieder ressorterende zorgverlener in die lidstaat kan
beschikken over de relevante gezondheidsgegevens. Zowel uit het oogpunt van patiëntveiligheid
en het welzijn van de cliënt als uit kostenoverwegingen, is het onwenselijk dat zorgaanbieders
over de grens onbekend zijn met de gezondheidssituatie van een cliënt. Als er geen
gegevens kunnen worden uitgewisseld, kan dit namelijk leiden tot een verkeerde inschatting
van de urgentie waarmee iemand behandeld moet worden (triage), verkeerde diagnoses
en niet passende of later ingezette behandelingen. Iedere lidstaat heeft een eigen
zorginformatiesysteem met eigen unieke kenmerken en hanteert daarbij eigen informatiestandaarden,
waardoor de zorginformatiesystemen van de lidstaten niet interoperabel zijn. Het gebrek
aan interoperabiliteit tussen lidstaten vormt in de huidige situatie een obstakel
voor het digitaal uitwisselen van gezondheidsgegevens tussen zorgaanbieders.

De toenemende grensoverschrijdende zorgverlening wordt gefaciliteerd door bestaande
Europese regelgeving die de coördinatie rondom de levering van grensoverschrijdende
zorg regelt, te weten de Richtlijn (EU) 2011/24 van het Europees Parlement en de Raad
van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende
gezondheidszorg.2 Deze richtlijn beoogt de vaststelling van voorschriften om de toegang tot veilige
en hoogwaardige grensoverschrijdende geplande en ongeplande gezondheidszorg in de
Unie te bevorderen en de mobiliteit van patiënten, overeenkomstig de door het Hof
van Justitie vastgelegde beginselen, te waarborgen. Om de rechten van patiënten bij
grensoverschrijdende zorg te faciliteren, voorziet Richtlijn (EU) 2011/24 in artikel 14
in het bewerkstelligen van de interoperabiliteit van elektronische gezondheidszorgoplossingen
(e-gezondheid of eHealth) zodat gezondheidsgegevens elektronisch grensoverschrijdend
kunnen worden uitgewisseld.

Daartoe voorziet de Richtlijn (EU) 2011/24 in de oprichting van het Europese eHealth
Netwerk waar alle lidstaten vrijwillig samenwerken om de digitale uitwisseling van
gezondheidsgegevens te bevorderen door de grensoverschrijdende interoperabiliteit
van zorginformatiesystemen te stimuleren en het daarmee technisch mogelijk te maken
om gezondheidsgegevens uit te wisselen.

Om de interoperabiliteit tussen zorginformatiesystemen van lidstaten te vergroten
en te zorgen dat zorgaanbieders over de grens over de benodigde gezondheidsgegevens
kunnen beschikken, werkt het Europese eHealth Netwerk al sinds de oprichting in 2012
samen met de Europese Commissie (EC) aan een digitale infrastructuur, genaamd MyHealth@EU
(voorheen: The eHealth Digital Service Infrastructure, eHDSI). MyHealth@EU is een federatief digitaal netwerk van zogenoemde nationale
contactpunten voor digitale gezondheid (National Contactpoint for Digital Health; NCPeH). Lidstaten kunnen vrijwillig kiezen om het nationale zorginformatiestelsel
aan te sluiten op MyHealth@EU middels een NCPeH. Ieder NCPeH volgt dezelfde afspraken
over gegevensuitwisseling op het terrein van semantiek, diagnosestelsels, technische
standaarden en beveiliging. Op deze wijze worden de nationale zorginformatiestelsels
zoveel mogelijk ongemoeid gelaten, maar biedt het de mogelijkheid om ondanks het gebrek
aan technische en semantische interoperabiliteit tussen de nationale zorgstelsels
gezondheidsgegevens grensoverschrijdend beschikbaar te maken voor zorgaanbieders.

Een NCPeH is dus een door een lidstaat op te richten nationale toegangspoort die als
communicatiepoort fungeert tussen het nationale informatiestelsel en de NCPeH’s van
andere lidstaten. De inrichting van een NCPeH gebeurt conform de Europese richtlijnen
die in het eHealth Netwerk zijn afgesproken en zien op wetgeving, techniek, organisatie
en semantiek. Voordat een NCPeH wordt aangesloten op het MyHealth@EU-netwerk wordt
uitgebreid getoetst door de Europese Commissie op naleving van de vereisten.3 De verantwoordelijkheid voor het naleven van de vereisten ligt bij de overheid van
de betreffende lidstaat. De publieke taak voor een NCPeH en de grondslagen die nodig
zijn voor het verwerken van gezondheidsgegevens door de beheerder van het NCPeH moeten
worden vastgelegd in nationale wetgeving.4 De Minister van Volksgezondheid, Welzijn en Sport (VWS) heeft medio 2018 besloten
om voorbereidingen te treffen voor de aansluiting op MyHealth@EU.5 De implementatie van het Nederlandse NCPeH is eind 2018 van start gegaan en is op
8 februari 2022 voltooid. Sindsdien is het Nederlandse NCPeH technisch operationeel.
Het Nederlandse NCPeH wordt namens de Minister beheerd door het CIBG6 onder de naam Nationaal Contactpunt voor eHealth Nederland (hierna: NCPeH-NL). Met
dit wetsvoorstel wordt de benodigde juridische basis geregeld.

1.2 Categorieën van gezondheidsinformatie

Via het MyHealth@EU-netwerk kunnen categorieën van gezondheidsinformatie (Crossborder eHealth Information Services, CBeHIS) tussen zorgaanbieders uit toegelaten lidstaten worden uitgewisseld. Categorieën
van gezondheidsinformatie bevatten een vastgestelde set persoonlijke (gezondheids-)gegevens
op basis van een Europees uitwisselformaat. Op dit moment kunnen er twee categorieën
van gezondheidsinformatie worden uitgewisseld via het MyHealth@EU-netwerk: ePrescriptions/eDispensation (elektronische recepten en elektronische verstrekkingen) en Patient Summaries (patiëntsamenvattingen).7 Het elektronisch recept is een digitaal recept waarmee burgers in een andere lidstaat
medicijnen kunnen ophalen. Een elektronische verstrekking is een digitaal afgiftebewijs
dat wordt teruggezonden naar het thuisland wanneer een burger in een andere lidstaat
medicijnen ophaalt. De patiëntsamenvatting bevat gegevens over onder andere medische
aandoeningen, medicatiegebruik en allergieën en is daarmee van waarde in het geval
van bijvoorbeeld spoedzorg, medicatieverstrekking en doorverwijzing. De technische
en semantische specificatie van de elektronische recepten, elektronische verstrekkingen
en de patiëntsamenvatting zijn op Europees niveau vastgesteld in richtlijnen (meest
actuele versies: versie 3.4 van november 2024). De categorieën van gezondheidsinformatie
kunnen in twee richtingen worden uitgewisseld:

A. Het versturen van gegevens van Nederlandse cliënten naar een zorgaanbieder in een
andere lidstaat (in deze situatie is Nederland het A-land);

B. Het ophalen van gegevens van cliënten uit andere lidstaten op verzoek van een zorgaanbieder
in Nederland (in deze situatie is Nederland het B-land).

In 2022 is het NCPeH-NL gestart met de patiëntsamenvatting B (PS-B). Het is momenteel
dus alleen mogelijk om een patiëntsamenvatting van een cliënt uit een andere lidstaat
op te vragen door een onder de zorgaanbieder ressorterende zorgverlener in Nederland
die toegang heeft tot het NCPeH-NL. De verwerkingen door het NCPeH-NL bij deze uitwisseling
van patiëntgegevens vindt tijdelijk plaats op basis van de grondslag uitdrukkelijke
toestemming van de cliënt, maar een wettelijke grondslag voor het NCPeH-NL is gewenst.8

Daarnaast is in 2023 gestart met de voorbereidingen voor de implementatie van de patiëntsamenvatting
A (PS-A). Hiermee wordt het mogelijk gemaakt dat de patiëntsamenvatting van Nederlandse
cliënten naar een zorgaanbieder in een andere lidstaat kan worden gestuurd indien
de cliënt daar onder behandeling is. Het streven is dat deze uitwisseling in 2026
operationeel is. Ook voor de uitwisseling van persoonsgegevens in het kader van de
patiëntsamenvatting A dient voor het NCPeH-NL een wettelijke grondslag te worden gecreëerd.

Op termijn zal de reeks categorieën van gezondheidsinformatie die door zorgaanbieders
kan worden opgevraagd via het NCPeH-NL nog verder worden uitgebreid.

ePrescription/eDispensation is door verschillende lidstaten al geïmplementeerd en behoort in de toekomst ook
tot de mogelijkheden voor uitwisseling via het NCPeH-NL. De verwerking van (bijzondere)
persoonsgegevens door het NCPeH-NL in het kader van deze categorieën van gezondheidsinformatie
vraagt eveneens om een wettelijke grondslag.

1.3 Doel wetsvoorstel

Voor het elektronisch grensoverschrijdend uitwisselen van gezondheidsgegevens verwerkt
het NCPeH-NL (bijzondere) persoonsgegevens. Zoals eerder benoemd, moet voor het NCPeH-NL
worden voorzien in wettelijke grondslagen voor het uitvoeren van een publieke taak
en het verwerken van de daarvoor noodzakelijke persoonsgegevens. Dit wetsvoorstel
beoogt te voorzien in de wettelijke grondslagen voor de beheerder van het NCPeH-NL
voor het uitvoeren van een publieke taak en het verwerken van (bijzondere) persoonsgegevens
bij het uitwisselen van informatie over cliënten met andere NCPeH’s. Met dit wetsvoorstel
wordt een stap gezet richting databeschikbaarheid en kan data uitgewisseld worden
naar de plek waar ze nodig zijn voor goede zorg. Dit wetstraject brengt geen wijzigingen
aan in de grondslagen voor verwerking van (bijzondere) persoonsgegevens door zorgverleners/zorgaanbieders
en de doorbreking van het beroepsgeheim door Nederlandse zorgverleners. Zorgaanbieders
krijgen, indien zij voldoen aan de voorwaarden, van rechtswege toegang tot het NCPeH-NL.
De scope van de voorgestelde wetgeving beperkt zich tot de borging van de wettelijke
taak en de grondslag voor een rechtmatige verwerking door de beheerder van het NCPeH-NL.

2. Implementatiewetgeving

Zoals in hoofdstuk 1 is aangegeven steunt en bevordert de EU de samenwerking en de
digitale uitwisseling van gezondheidsgegevens tussen de lidstaten in het Europese
eHealth Netwerk. In dit netwerk worden door de lidstaten aangewezen nationale autoriteiten,
die verantwoordelijk zijn voor gezondheid, met elkaar verbonden. Dit is bepaald in
artikel 14, eerste lid, van Richtlijn (EU) 2011/24. Het eHealth Netwerk voorziet erin
dat lidstaten door middel van NCPeH’s op een veilige, efficiënte en interoperabele
wijze gezondheidsgegevens met elkaar kunnen uitwisselen, zodat Europese burgers ook
op goede gezondheidszorg kunnen rekenen als zij naar een andere lidstaat reizen.

Uitvoeringsbesluit (EU) 2019/1765 van 22 oktober 2019 van de Europese Commissie betreffende
Voorschriften voor de oprichting, het beheer en de werking van het netwerk van nationale
autoriteiten die verantwoordelijk zijn voor e-gezondheid9, bevat voorschriften voor de oprichting, het beheer en de werking van het digitaal
federatief netwerk MyHealth@EU. Deelname aan het vrijwillige MyHealth@EU vindt plaats
op basis van een tussen de lidstaten gesloten overeenkomst. De Europese Commissie
stelt subsidiegelden beschikbaar ten behoeve van het oprichten van een NCPeH en het
uitbreiden van de dienstverlening.

Nederland heeft gebruik gemaakt van deze mogelijkheid en een subsidieovereenkomst
gesloten voor het oprichten van een NCPeH en het implementeren van zorgdienst PS-B.10 Sinds 8 februari 2022 is het NCPeH-NL technisch operationeel en daarmee is Nederland
op MyHealth@EU aangesloten. De dienstverlening door het NCPeH-NL is op dit moment
beperkt. Ten tijde van dit wetsvoorstel wordt gewerkt aan een uitbreiding van de dienstverlening
door het NCPeH-NL, waarvoor eveneens een subsidieovereenkomst is gesloten.11

Dit wetsvoorstel regelt de wettelijke taken en grondslagen voor verwerking van (bijzondere)
persoonsgegevens voor de uit de richtlijn voortgekomen activiteiten, als het gaat
om inrichting en het beheer van een NCPeH en de (vrijwillige) deelname aan het MyHealth@EU-netwerk.

2.1 European Health Data Space

Op 26 maart 2025 is de verordening van het Europees Parlement en de Raad betreffende
de Europese ruimte voor gezondheidsgegevens (European Health Data Space, hierna: EHDS) in werking getreden.

Het doel van de EHDS is om op een veilige, transparante en verantwoorde wijze gezondheidsgegevens
beschikbaar te stellen voor de levering van zorg (primair gebruik) en wetenschappelijk
onderzoek, innovatie en beleid (secundair gebruik). Hierbij staat centraal dat burgers
meer rechten krijgen in het voeren van de regie op de gezondheidsgegevens die over
hen zijn vastgelegd en daarin worden gefaciliteerd. Onder de EHDS-verordening wordt
het inrichten van een NCPeH en het aansluiten op het MyHealth@EU-netwerk, ten behoeve
van de bevordering van gegevensuitwisseling voor primair gebruik, verplicht. De EHDS-verordening
wijst een aantal prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens
aan die verplicht via het NCPeH-NL uitgewisseld moeten kunnen worden:

1. Essentiële patiëntgegevens (Patiëntsamenvattingen)

2. Elektronische recepten

3. Elektronische verstrekkingen

4. Medische beeldvormingsdiagnostiek en de bijbehorende beeldverslagen

5. Resultaten van medische tests, met inbegrip van laboratoriumresultaten en andere diagnostische
resultaten en daarmee verband houdende verslagen

6. Ontslagverslagen

Twee jaar na inwerkingtreding van de EHDS moet iedere lidstaat een NCPeH hebben aangewezen.
Vier jaar na inwerkingtreding moet het NCPeH operationeel zijn en de patiëntsamenvattingen,
elektronische recepten en elektronische verstrekkingen kunnen uitwisselen. Zes jaar
na inwerkingtreding moeten de overige drie gegevensuitwisselingen operationeel zijn.
Dit wetsvoorstel loopt vooruit op enkele verplichtingen die onder de EHDS-verordening
zullen volgen. Nederland heeft zich onder de richtlijn (EU) 2011/24 gecommitteerd
aan de vrijwillige aansluiting op het MyHealth@EU-netwerk en het inrichten van een
nationaal NCPeH. In paragraaf 4.4 wordt een nadere toelichting gegeven op de juridische
verhouding van dit wetsvoorstel tot de EHDS-verordening.

3. Hoofdlijnen van het wetsvoorstel

3.1 Probleemomschrijving

Nederlanders maken regelmatig gebruik van zorg over de grens, bijvoorbeeld tijdens
een vakantie, het werken in het buitenland of als grensarbeider. In 2022 werkten ruim
600.000 Nederlandse burgers in een andere lidstaat, dat is 3.6% van alle Nederlanders.12 Voor deze groepen is het van groot belang om de grensoverschrijdende uitwisseling
van gezondheidsgegevens goed te regelen. De meest recente gegevens dateren uit 2014,
waarin 1% van de Nederlanders behoefte had aan geplande zorg over de grens en 2% aan
ongeplande zorg.13 Daarnaast publiceert het Zorginstituut Nederland jaarlijks cijfers over de (gedeclareerde)
zorgkosten bij grensoverschrijdende zorg op grond van de Zorgverzekeringswet (Zvw).
In 2023 ging het om een bedrag van € 500 miljoen voor gemaakte kosten bij buitenlandse
zorgaanbieders door personen die Zvw-verzekeringsplichtig waren in Nederland en € 309 miljoen
voor verdragsgerechtigden, zoals gepensioneerden.

Het hebben van de juiste gegevens op de juiste plek en op het juiste moment is onderdeel
van het verlenen van kwalitatief goede zorg en elektronische gegevensuitwisseling
kan hieraan bijdragen. Informatie over medische aandoeningen, medicatiegebruik of
contra-indicaties kunnen relevant en soms zelfs essentieel zijn voor de gestelde diagnose
en de gekozen behandelinzet. Door het ontbreken van gegevens over de cliënt ontstaat
dus een groter risico op fouten in de zorgverlening. Daarnaast kan het ertoe leiden
dat zorgaanbieders overbodige, soms kostbare, onderzoeken (over) moeten doen. Hierdoor
lopen zorgkosten onnodig op.

In de huidige situatie is het in de meeste gevallen niet mogelijk om relevante gezondheidsgegevens
over een cliënt elektronisch uit te wisselen met een zorgaanbieder in andere lidstaat,
waar die cliënt onder behandeling is. Door gebrek aan interoperabiliteit tussen zorginformatiesystemen
van verschillende lidstaten, is het vaak niet mogelijk om gezondheidsgegevens tussen
twee zorgaanbieders uit te wisselen. De behandelende zorgverleners verliezen tijd
met (extra) administratieve handelingen, bijvoorbeeld omdat ze moeten wachten totdat
een zorgaanbieder in het land van herkomst de gegevens verstrekt.

Dit is tijd die ten koste gaat van de zorgverlening aan de cliënt. Bovendien spreken
zorgverlener en cliënt in het kader van grensoverschrijdende zorg vaak niet dezelfde
taal. Het is daardoor voor de cliënt, indien bij bewustzijn, moeilijker om de medische
voorgeschiedenis met de behandelend zorgverlener te bespreken. Ook bij de wijze waarop
zorgverleners uit andere landen gezondheidsgegevens in het medisch dossier noteren
gebruiken landen andere semantische standaarden. Dit bemoeilijkt het lezen en begrijpen
van de informatie, zelfs al is de informatie beschikbaar.

Het probleem laat zich verder illustreren met een aantal voorbeelden uit de praktijk:

– Als iemand een verminderde nierfunctie heeft, is dat een contra-indicatie voor het
voorschrijven van bepaalde medicijnen. Als een Nederlander in het buitenland zorg
nodig heeft en onbekend is dat de cliënt deze contra-indicatie heeft, dan kan dit
ernstige gevolgen hebben. Doordat er niet elektronisch uitgewisseld kan worden tussen
het ziekenhuis in het buitenland en de Nederlandse arts, kan de behandelend zorgverlener
in het buitenland geen inzicht krijgen in de medische voorgeschiedenis. Stel dat de
cliënt vocht afdrijvende medicijnen (diuretica) toegediend krijgt vanwege hartfalen
of antibiotica bij een urineweginfectie, dan kan deze cliënt als gevolg daarvan een
ernstige en levensbedreigende vermindering van de nierfunctie ontwikkelen.

– Een vrouw uit Portugal komt tijdens haar vakantie in Nederland bij de huisartsenpost
en heeft pijn op de borst. Zij beheerst de Nederlandse taal niet. Op grond van haar
klachten zou er een probleem kunnen zijn met haar hart. In dat geval zou de vrouw
zo snel mogelijk met de ambulance naar het ziekenhuis vervoerd moeten worden. Door
de taalbarrière is communicatie met haar niet goed mogelijk en kan de behandelend
zorgverlener geen aanvullende informatie inwinnen. Ook haar echtgenoot kan de situatie
niet toelichten. De behandelend zorgverlener maakt een elektrocardiogram (ECG) waarop
geen indicaties voor hartproblemen zichtbaar zijn. Door via het NCPeH-NL een patiëntsamenvatting
van het medisch dossier te raadplegen kan de behandelend zorgverlener aanvullende
informatie inwinnen over de voorgeschiedenis van de cliënt. De vrouw is bekend met
refluxklachten. Aan de hand van de klachten, het ECG en de geraadpleegde gegevens
uit de patiëntsamenvatting kan worden uitgesloten dat er een probleem is met haar
hart. De vrouw kan na overleg met de behandelend zorgverlener in de huisartsenpost
terecht. Ze hoeft niet naar het ziekenhuis.

3.2 Oplossingsrichting

3.2.1 Werking MyHealth@EU

Het gebrek aan technische en semantische interoperabiliteit tussen zorginformatiestelsels
van lidstaten is een probleem voor het werkelijk digitaal delen van gezondheidsgegevens.
Daarom werken de lidstaten samen met de Europese Commissie aan het federatieve digitale
netwerk MyHealth@EU. Aansluiting op het MyHealth@EU gebeurt door middel van een NCPeH.
Een NCPeH is een nationale toegangspoort dat als communicatiepoort fungeert tussen
de zorginformatiestelsels van lidstaten en daarmee de benodigde gezondheidsgegevens
digitaal doorgeeft ten behoeve van uitwisseling tussen zorgaanbieders. In Nederland
wordt het zorginformatiestelsel onder andere vormgegeven door het landelijk dekkend
netwerk van infrastructuren.14 Het NCPeH-NL zal als toepassing aansluiten op het landelijk dekkend netwerk. Een
nadere toelichting over de samenhang met het landelijk dekkend netwerk staat beschreven
in paragraaf 5.5.

Het berichtenverkeer tussen het NCPeH-NL en de andere Europese NCPeH’s verloopt via
het beveiligd netwerk TESTA, dat is opgezet en wordt beheerd door de EC en in Nederland
door Stichting RINIS.

Waar deze infrastructuur aan moet voldoen is vastgelegd in «MyHealth@EU, EHealth Digital Service Infrastructure, System Architecture Specifications,
versie 7.0.0, 19-07-2023»15.

Door de introductie van de infrastructuur op Europees niveau kunnen de verschillen
tussen nationale zorginformatiestelsels worden overbrugd en kunnen gezondheidsgegevens
alsnog grensoverschrijdend worden uitgewisseld met de zorgaanbieder waar de cliënt
onder behandeling is. Hierdoor zijn er geen aanpassingen nodig aan de nationale zorginformatiestelsels,
maar is het wel mogelijk gezondheidsgegevens grensoverschrijdend beschikbaar te maken
voor de behandelaar van de cliënt.

Om gezondheidsgegevens over een specifieke persoon op te vragen, moet de identiteit
van de cliënt worden vastgesteld. Om een uniek persoon te identificeren, zijn identificatiegegevens
nodig. Deze identificatiegegevens bestaan uit een subset van de demografische gegevens
over de cliënt. Lidstaten bepalen, specifiek voor het land, welke vereiste gegevens
nodig zijn om een unieke cliënt te identificeren. Hierin is minimaal een wettelijk
identificatienummer, zoals het Burgerservicenummer (BSN), vereist. Er kunnen aanvullende
gegevens worden gevraagd, zoals de geboortedatum of postcode, als extra waarborg tegen
typfouten. Voor opvragingen voor burgers uit Nederland door zorgaanbieders in het
buitenland bestaan de identificatiegegevens uit het BSN en de geboortedatum. De geboortedatum
wordt uitgevraagd om te voorkomen dat door een fout bij het invullen van het BSN de
persoonsgegevens van een ander dan de beoogde cliënt worden verstrekt. Er kunnen dus
alleen gezondheidsgegevens uit een land worden opgevraagd als de cliënt over het wettelijk
identificatienummer beschikt dat het land vereist voor identificatie. Een zorgaanbieder
uit een andere lidstaat kan alleen gegevens opvragen die in Nederland zijn vastgelegd
als de betreffende cliënt een BSN heeft. Andersom kan een Nederlandse zorgaanbieder
alleen gegevens over een cliënt uit Nederland in andere lidstaten opvragen, wanneer
de cliënt een wettelijk identificatienummer van dat land heeft. Dit kan bijvoorbeeld
het geval zijn als iemand een tijd in het buitenland heeft gewoond of gewerkt. Het
wetsvoorstel sluit dit niet uit. Hieronder worden de mogelijke scenario’s geschetst
bij een opvraging bij het NCPeH-NL.

3.2.2 Scenario A. Opvragen gezondheidsinformatie door zorgaanbieder in een andere
lidstaat

Als een Nederlandse burger zich meldt bij een zorgaanbieder in een andere lidstaat
(B-land) die is aangesloten op MyHealth@EU, verloopt het proces als volgt. De onder
de zorgaanbieder ressorterende zorgverlener in het B-land beoordeelt of het voor de
behandeling nodig is om gezondheidsgegevens van de cliënt op te vragen. Wanneer tot
opvragen besloten wordt, zal eerst de cliënt hierover geïnformeerd worden als de cliënt
bij bewustzijn is. Elk land heeft daartoe een patient information notice (PIN) opgesteld. Dit is een standaardformulier en is in alle Europese talen beschikbaar.
In het formulier wordt toegelicht hoe de gegevens en informatie van de cliënt worden
verwerkt en welke regels daarvoor gelden in het betreffende B-land.

De cliënt krijgt het PIN-formulier uitgereikt of wordt verwezen naar een website waar
het formulier staat. Afhankelijk van de wetgeving in het land van behandeling is mogelijk
instemming van de cliënt vereist voor opvraging van de gegevens.16 Als de behandelende zorgverlener wil nagaan of een categorie van gezondheidsinformatie,
bijvoorbeeld een patiëntsamenvatting, van deze Nederlandse cliënt kan worden opgevraagd
bij zorgaanbieders in Nederland, dan logt de behandelende zorgverlener in via het
portaal van het eigen NCPeH met een inlogmiddel. De behandelende zorgverlener in het
B-land controleert het identiteitsbewijs van de cliënt zodat de identiteit van de
cliënt kan worden vastgesteld. De behandelende zorgverlener voert in het NCPeH portaal
van het B-land in dat de cliënt uit Nederland komt en voert de voor Nederland unieke
identificatiegegevens – het BSN en de geboortedatum – in.

Het NCPeH-NL ontvangt het BSN en de geboortedatum van de Nederlandse cliënt via het
NCPeH van het B-land. Voordat gezondheidsgegevens worden opgevraagd bij de bron en
uitgewisseld mogen worden, moet de identiteit van de Nederlandse cliënt worden vastgesteld.17 Het NCPeH-NL verstrekt het BSN van de Nederlandse cliënt aan de Rijksdienst voor
Identiteitsgegevens (RvIG) via de Beheervoorziening BSN. De RvIG levert aanvullende
persoonsgegevens die horen bij het opgegeven BSN aan het NCPeH-NL.

Het NCPeH-NL controleert of het BSN en de geboortedatum, die zijn aangeleverd door
het NCPeH van het B-land, bij elkaar horen. Indien de controle uitwijst dat de gegevens
niet kloppen stopt het proces en wordt dit via het NCPeH van het B-land teruggekoppeld
aan de zorgaanbieder in het B-land. Indien de gegevens wel juist zijn, verstrekt het
NCPeH-NL aanvullende identificatiegegevens (zoals de naam of geboorteplaats van de
cliënt) over de cliënt via het NCPeH van het B-land aan de zorgaanbieder in het B-land.
Alle verwerkingen vinden automatisch plaats en nemen enkele seconden in beslag. De
behandelende zorgverlener controleert met behulp van de aanvullende gegevens de identiteit
van de cliënt door deze te vergelijken met de persoonsgegevens op het identiteitsbewijs
van de cliënt. Het NCPeH in het B-land toont welke categorieën van gezondheidsinformatie
over de betreffende cliënt opgevraagd kunnen worden. De onder de zorgaanbieder ressorterende
zorgverlener in het B-land geeft aan in het NCPeH van het B-land welke gezondheidsinformatie
moet worden opgevraagd.

Het NCPeH-NL ontvangt de aanvraag voor de gezondheidsinformatie van het NCPeH van
het B-land. De uitwisseling kan alleen plaatsvinden als de cliënt toestemming heeft
gegeven voor verstrekking aan het NCPeH-NL ten behoeve van uitwisseling met zorgaanbieders
in andere lidstaten. In de architectuur is voorzien dat het NCPeH-NL controleert of
toestemming is gegeven via een online toestemmingsvoorziening (OTV) of een elektronisch
uitwisselingssysteem (EUS).

Als er geen toestemming is, wordt dit teruggekoppeld. Als er wél toestemming is geregistreerd
door de Nederlandse cliënt, worden de bronsystemen bevraagd en wordt de categorie
van gezondheidsinformatie samengesteld. Het NCPeH-NL voegt de ontvangen gegevens samen
en converteert deze naar het afgesproken formaat. Hierbij worden de gezondheidsgegevens
vertaald naar Europese coderingen. Het NCPeH-NL verstrekt de gezondheidsinformatie
aan het NCPeH van het B-land via het MyHealth@EU-netwerk. Het NCPeH verwerkt daarmee
(bijzondere) persoonsgegevens, maar de gegevens uit de patiëntsamenvatting of andere
categorie van gezondheidsinformatie worden niet opgeslagen door het NCPeH-NL. De verwerking
neemt enkele seconden in beslag en vervolgens worden de gegevens verwijderd. Alleen
de voor logging noodzakelijke gegevens worden bewaard, zowel ten behoeve van de onweerlegbaarheid
van gegevensuitwisseling als voor beveiligingsdoeleinden (zoals het voorkomen en opsporen
van misbruik). Het NCPeH van het B-land vertaalt de Europese coderingen naar de codes
en taal van het betreffende land en stuurt deze naar de onder de zorgaanbieder ressorterende
zorgverlener. Tevens kan de behandelende zorgverlener een Nederlandse versie van de
patiëntsamenvatting opvragen die aan de cliënt kan worden uitgereikt, zodat overleg
met de behandelend zorgverlener in de andere lidstaat makkelijker kan plaatsvinden.
In onderstaand figuur wordt het bovenstaande proces weergegeven.

3.2.3 Scenario B. Opvragen gezondheidsinformatie voor cliënt uit andere lidstaat door
Nederlandse zorgaanbieder

Als een burger uit een andere lidstaat zich meldt bij een Nederlandse zorgaanbieder
die toegang heeft tot het NCPeH-NL, verloopt het proces als volgt. De behandelend
zorgverlener beoordeelt of het voor de behandeling nodig is om gezondheidsgegevens
van de cliënt op te vragen. Wanneer tot opvragen besloten wordt, zal eerst de cliënt
hierover geïnformeerd worden als de cliënt bij bewustzijn is. De cliënt krijgt het
PIN-formulier uitgereikt. De behandelende zorgverlener in Nederland wil nagaan of
van deze cliënt gezondheidsinformatie kan worden opgevraagd bij zorgaanbieders in
het woonland.

Als eerste logt de behandelende zorgverlener in door gebruikmaking van het portaal
van het NCPeH-NL. Dan geeft de behandelende zorgverlener aan uit welk lidstaat de
cliënt komt. Vervolgens vult de behandelende zorgverlener de voor het lidstaat vereiste
unieke identificatiegegevens van de cliënt in.

Zoals al eerder vermeld kunnen de gegevens die nodig zijn bij deze stap per lidstaat
verschillen. Vervolgens zal de zorgaanbieder deze persoonsgegevens verstrekken aan
het NCPeH-NL. Het NCPeH-NL zet de aanvraag door naar het NCPeH van het B-land. Het
NCPeH in het B-land doet de identiteitsverificatie. Bij een unieke match verstuurt
het NCPeH in het B-land aanvullende identificatiegegevens naar het NCPeH-NL en worden
deze gedeeld met de Nederlandse zorgaanbieder. De behandelende zorgverlener in Nederland
controleert met behulp van de aanvullende gegevens de identiteit van de cliënt door
deze te vergelijken met de persoonsgegevens op het identiteitsbewijs. Het NCPeH-NL
toont welke gezondheidsinformatie over de betreffende cliënt opgevraagd kan worden.
Nadat de behandelende zorgverlener de keuze voor een categorie van gezondheidsinformatie
heeft gemaakt, wordt de vraag door het NCPeH-NL naar het NCPeH van het B-land gestuurd.
Het NCPeH in het B-land verwerkt de aanvraag. Het NCPeH-NL ontvangt, indien beschikbaar,
de betreffende gezondheidsinformatie uit de andere lidstaat waarbij twee versies kunnen
worden opgevraagd: een gestructureerd XML-document met Europese codes en/of een PDF-document
met de gezondheidsinformatie in de taal van de betreffende lidstaat. De behandelende
zorgverlener kiest welk bestand wordt opgevraagd. Het NCPeH-NL vertaalt de Europese
codes naar de Nederlandse codes en zorgt dat de gezondheidsinformatie beschikbaar
is voor de onder de zorgaanbieder ressorterende zorgverlener die de cliënt onder behandeling
heeft.

3.2.4 Toestemming

Zoals in hoofdstuk 1 staat beschreven is het NCPeH-NL sinds 2022 technisch operationeel.
De dienstverlening van het NCPeH-NL beperkt zich op dit moment tot één categorie gezondheidsinformatie:
patiëntsamenvatting B (PS-B). Momenteel vindt de verwerking door het NCPeH-NL voor
scenario PS-B plaats op basis van toestemming, dan wel uitdrukkelijke toestemming
van de cliënt uit een andere lidstaat als bedoeld in artikel 6, eerste lid, respectievelijk
artikel 9, tweede lid, onder a, van de Algemene verordening gegevensbescherming (AVG).
Deze toestemming dient te worden gegeven aan de behandelend zorgverlener op het moment
van aanvang van de behandeling. Dit is echter een tijdelijke oplossing in afwachting
van een wettelijke grondslag in het nationale recht, omdat (uitdrukkelijke) toestemming
geen ideale grondslag wordt geacht. Aanvankelijk voorzag de Verzamelwet gegevensverwerking
VWS II in de wettelijke basis voor specifiek de verwerkingen die plaatsvinden in het
kader van de categorie gezondheidsinformatie PS-B. Na een advies van de Autoriteit
Persoonsgegevens van oktober 2023 op de Verzamelwet gegevensverwerking VWS II en de
beleidskeuze om de dienstverlening van het NCPeH-NL verder uit te breiden is echter
besloten dit onderwerp uit die verzamelwet te halen en een apart wetsvoorstel te maken.
Er wordt op dit moment gewerkt aan het technisch implementeren van een tweede categorie
gezondheidsinformatie: PS-A. Een voorwaarde voor implementatie is dat de grondslagen
voor verwerking van de persoonsgegevens in de PS-A zijn opgenomen in nationale wetgeving.
Met dit wetsvoorstel worden de wettelijke grondslagen gecreëerd.

Indien een onder de zorgaanbieder ressorterende zorgverlener in Nederland in de huidige
situatie een aanvraag via het NCPeH-NL wil doen, moet de cliënt uit de andere lidstaat
schriftelijk toestemming geven aan de onder de zorgaanbieder ressorterende zorgverlener.

De zorgaanbieder moet zorgen dat de uitdrukkelijke toestemming naar het NCPeH-NL wordt
gestuurd zodat deze kan voldoen aan de verantwoordingsplicht onder de AVG. Dit wordt
als omslachtig en een beveiligingsrisico gezien. Bovendien gaat het hier om toestemming
rechtstreeks aan de overheid, waarbij zich al gauw de vraag aandient of de toestemming
wel in volledige vrijheid is gegeven, gezien de afhankelijke positie waarin een burger
ten opzichte van de overheid verkeert. Verder biedt de grondslag uitdrukkelijke toestemming
geen duurzame oplossing voor de uitwisseling van de categorie gezondheidsinformatie
PS-A en uitwisseling van andere toekomstige categorieën gezondheidsinformatie. Een
wettelijke grondslag is daarom gewenst.

3.2.5 Waarborgen

Vanwege de gevoeligheid van persoonlijke elektronische gezondheidsgegevens is het
van belang om voldoende waarborgen te bieden, zowel op het niveau van de Europese
Unie als op nationaal niveau, om een hoge mate van gegevensbescherming, beveiliging,
vertrouwelijkheid en ethisch gebruik te garanderen. Alle deelnemende lidstaten zijn
via een NCPeH aangesloten op het MyHealth@EU-netwerk en het bijbehorende afsprakenstelsel.

Alle NCPeH’s zijn gebonden aan dezelfde Europese eisen als het gaat om uitwisseling
van gegevens op het terrein van semantiek, technische standaarden, gegevensbescherming
en beveiliging. In dit afsprakenstelsel, ook wel een «circle of trust» genoemd, zitten
diverse procesmatige- en technische waarborgen om ervoor te zorgen dat Europese zorgaanbieders
niet op onrechtmatige wijze gegevens van Europese burgers kunnen opvragen.

Voordat een lidstaat met het NCPeH mag aansluiten op het MyHealth@EU-netwerk, dient
het NCPeH een zelfbeoordelingstoets uit te voeren.18 Vervolgens wordt door een Europese compliance check, die wordt uitgevoerd door een
gecertificeerde onafhankelijke partij, getoetst of er wordt voldaan aan de strenge
Europese eisen die gelden voor een NCPeH. Bij de implementatie van iedere nieuwe categorie
van gezondheidsinformatie wordt hier op getoetst en daarnaast vinden periodieke audits
plaats. Deze controles zorgen ervoor dat alle NCPeH’s aan de gestelde interoperabiliteits-
en veiligheidseisen voldoen. Nadat een NCPeH is aangesloten, wordt de naleving van
de vereisten structureel door de EC gemonitord om de integriteit van MyHealth@EU te
waarborgen. Wanneer een NCPeH niet voldoet kan de EC overgaan tot (tijdelijke) opschorting
van de dienstverlening van het NCPeH via MyHealth@EU.

Zorgaanbieders die gebruik willen maken van de diensten van het NCPeH in de betreffende
lidstaat moeten eveneens voldoen aan Europees gestelde eisen. Een Nederlandse zorgaanbieder
die een opvraging wil doen, heeft alleen toegang tot het NCPeH-NL wanneer hij een
zogenoemd aangewezen beroep uitoefent en beschikt over een Europees erkend identificatie-
en autorisatiemiddel met het betrouwbaarheidsniveau hoog. Deze eisen zullen bij of
krachtens algemene maatregel van bestuur (AMvB) worden uitgewerkt. Een zorgaanbieder
mag alleen als er sprake is van een behandelrelatie een opvraging doen bij het NCPeH.

De behandelrelatie bij het opvragen van gegevens worden bevestigd door middel van
een cryptografische ondertekening. Beide NCPeH’s die bij de uitwisseling betrokken
zijn, zijn verantwoordelijk voor de verificatie van de attestatie, welke zowel bij
het verzenden als bij het ontvangen van de aanvraag wordt gecontroleerd. Om volledige
verantwoording af te kunnen leggen over de reis die gegevens hebben afgelegd, wordt
een aantal gegevens door het NCPeH-NL gelogd. Deze logging bevat een specifiek identificatienummer
van de opvragende onder de zorgaanbieder ressorterende zorgverlener, auditgegevens
over het bestaan van een behandelrelatie, de rolcode van de onder de zorgaanbieder
ressorterende zorgverlener en het BSN van de cliënt. Indien onrechtmatig wordt opgevraagd
kan door middel van de logging (net zoals bij uitwisseling tussen zorgaanbieders in
Nederland plaatsvindt) worden achterhaald door wie de opvraging is gedaan. De functioneel
beheerders kunnen via het beheerportaal de audit logs inzien en de technisch beheerders
hebben toegang tot de systemen, logbestanden, en audittrail database.

De inhoud van de gezondheidsinformatie wordt niet opgeslagen. Het NCPeH-NL is een
nationaal knooppunt dat als communicatiepoort fungeert tussen de zorginformatiestelsels
van lidstaten en daarmee de benodigde medische gegevens digitaal doorgeeft ten behoeve
van uitwisseling tussen zorgaanbieders.

Ieder NCPeH is verplicht te monitoren op mogelijk oneigenlijk gebruik. Binnen het
MyHealth@EU-afsprakenstelsel zijn afspraken gemaakt over deze monitoring, zo worden
er meldingen afgegeven wanneer vanuit een specifieke zorgverlener, zorgaanbieder of
een specifiek land binnen een bepaalde tijd meerdere pogingen worden gedaan om gegevens
op te vragen.

3.3 Instrumentkeuze

Goede gezondheidszorg is een publiek belang. Het treffen van maatregelen ter bevordering
van de volksgezondheid is een verantwoordelijkheid van de overheid en is neergelegd
in artikel 22 van de Grondwet (hierna: Gw). Zoals in hoofdstuk 1 geduid, is het voor
de kwaliteit van grensoverschrijdende zorg van belang dat gezondheidsgegevens beschikbaar
zijn. Vastgesteld kan worden dat de uitwisseling van gezondheidsinformatie – zoals
de in de patiëntsamenvatting opgenomen gezondheidsgegevens – noodzakelijk is om de
binnen Europa gestelde doelen te bereiken. Zonder deze uitwisseling kunnen deze doelen
niet, althans niet op een voor de privacy van de betrokkene minder ingrijpende wijze,
worden bereikt. Deze verwerking dient primair het belang van de betrokkene, omdat
deze gericht is op een optimale informatievoorziening met het oog op de uitvoering
van een (urgente) medische behandeling.

Tegelijkertijd heeft de overheid een belangrijke rol om ervoor te zorgen dat er zorgvuldig
met gezondheidsgegevens wordt omgegaan, met het oog op de vrije toegang voor de zorg
voor iedereen en met het oog op de privacy.

Er zijn meerdere internationale verdragen die het recht op de bescherming van persoonsgegevens
regelen, zoals het Verdrag tot bescherming van de rechten van de mens en de fundamentele
vrijheden19 (hierna: EVRM) en het Handvest van de grondrechten van de Europese Unie20 (hierna: EU-Handvest). Daarnaast worden persoonsgegevens beschermd als een onderdeel
van de persoonlijke levenssfeer in de zin van artikel 10 Gw en als onderdeel van het
privéleven. Het is bij uitstek de overheid die de samenhang tussen deze verschillende
belangen moet bewaken.

In paragraaf 3.1 is uitgebreid toegelicht dat de verscheidenheid in de informatiesystemen
en semantiek van lidstaten een obstakel is voor het digitaal delen van gezondheidsgegevens.
Daarom wordt er gezamenlijk gewerkt aan de infrastructuur MyHealth@EU, waarbij het
NCPeH de toegangspoort is tot de informatiesystemen van andere lidstaten. Voor het
verwerken van (bijzondere) persoonsgegevens door de beheerder van het NCPeH-NL zijn
grondslagen vereist. Dit kan alleen door middel van wet- en regelgeving. De conclusie
is daarmee dat overheidsinterventie gerechtvaardigd is en wetgeving noodzakelijk.
Dit wetsvoorstel laat de rechten van betrokkenen op grond van de AVG onaangetast.
Het wetsvoorstel bevat aanvullingen van de Wet aanvullende bepalingen verwerking persoonsgegevens
in de zorg (Wabvpz), die hieronder zullen worden toegelicht.

3.3.1 Wettelijke taak en grondslag verwerking van (bijzondere) persoonsgegevens door
het NCPeH-NL

In de kern komt de taak van het NCPeH-NL neer op het uitwisselen van persoonsgegevens,
waaronder gegevens over de gezondheid. Daarbij functioneert het NCPeH-NL als een communicatiepoort
waarbij de categorieën van gezondheidsinformatie worden omgezet in Europese formats.
Dit wetsvoorstel regelt de wettelijke taak voor de Minister voor de inrichting, beschikbaarstelling,
instandhouding, werking, beveiliging en het beheer van het NCPeH-NL. Tevens moeten
de benodigde grondslagen voor het verwerken van (bijzondere) persoonsgegevens voor
het uitvoeren van deze taak worden geregeld.

In het Uitvoeringsbesluit (EU) 2019/1765 van de Europese Commissie met betrekking
tot de vaststelling van de voorschriften voor de oprichting, het beheer en de werking
van het netwerk van nationale autoriteiten die verantwoordelijk zijn voor e-gezondheid,
en tot intrekking van Uitvoeringsbesluit 2011/890/EU is in artikel 7, eerste lid,
vastgesteld dat NCPeH’s worden gezien als verwerkingsverantwoordelijken als het gaat
om de verwerking van persoonsgegevens via MyHealth@EU. De Minister van VWS is onder
dit wetsvoorstel verantwoordelijk voor de inrichting, beschikbaarstelling, instandhouding,
werking, beveiliging en het beheer van het NCPeH-NL en daarmee verwerkingsverantwoordelijke.

De basis voor het inrichten van een NCPeH is de Richtlijn (EU) 2011/24. Op basis van
hoofdstuk IV, artikelen 11 en 14 van deze richtlijn is er ook een overeenkomst die
door de deelnemende lidstaten moet worden ondertekend; de «Agreement between National Authorities or National Organisations responsible for
National Contact Points for eHealth on the Criteria required for the participation
in CBeHIS. Deze overeenkomst is op vrijwillige basis en de maatregelen die zijn ontwikkeld
door de lidstaten en Europese Commissie met betrekking tot de interoperabiliteit zijn
niet juridisch bindend. De Richtlijn (EU) 2011/24 in combinatie met de «Overeenkomst»
vormt onvoldoende basis voor de grondslag van het NCPeH. Er moet ook sprake zijn van
een specifieke wettelijke grondslag voor een NCPeH in het nationale recht, in overeenstemming
met artikel 9, tweede lid, van de AVG voor het verwerken van gezondheidsgegevens.
Dit wordt ook onderschreven door een advies van de European Data Protection Board (voorheen artikel 29 WP).21 Er is dus een noodzaak om te voorzien in een nationale wettelijke grondslag voor
verwerking van persoonsgegevens door het NCPeH-NL.

Voor het uitvoeren van de wettelijke taak is het noodzakelijk dat het NCPeH-NL persoonsgegevens
verwerkt. De grondslag voor deze verwerking is daarmee artikel 6, eerste lid, onderdeel e,
AVG «noodzakelijk voor de vervulling van een taak van algemeen belang die aan de verwerkingsverantwoordelijke
is opgedragen.» De rechtsgrond voor de in het eerste lid, onderdeel e, bedoelde verwerking
moet worden vastgesteld bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke
van toepassing is.

De verwerkingen die door de Minister van VWS worden gedaan ten behoeve van de beheertaak
van het NCPeH-NL bevatten tevens bijzondere persoonsgegevens, als bedoeld in artikel 9,
eerste lid, AVG aangezien ze betrekking hebben op de gezondheid van de persoon. De
zogenoemde gezondheidsgegevens. Voor het verwerken van bijzondere persoonsgegevens
geldt een verwerkingsverbod, tenzij aan een van de voorwaarden uit artikel 9, tweede
lid AVG is voldaan.

Voor deze voorgenomen verwerking is sprake van een uitzonderingsgrond als bedoeld
in artikel 9, tweede lid, onderdeel h, AVG: de verwerking is noodzakelijk voor het
beheren van gezondheidszorgstelsels en -diensten of voor het verstrekken van gezondheidszorg
op grond van Unierecht of lidstatelijk recht. Er moet dus sprake zijn van een wettelijke
taak waarbij het voor de uitvoering van die taak noodzakelijk is om bijzondere persoonsgegevens
(namelijk gezondheidsgegevens) te verwerken. Om te voldoen aan de voorwaarden zoals
gesteld in art. 9, derde lid van de AVG, moeten de personen die de gegevens verwerken
gehouden zijn aan geheimhouding door krachtens Unierecht of lidstatelijk recht of
krachtens nationale bevoegde instanties vastgestelde regels. In het wetsvoorstel is
in artikel 15o, derde lid, een geheimhoudingsplicht voor werknemers van het NCPeH-NL
opgenomen.

3.3.2 Een grondslag voor het ontvangen en verstrekken van het BSN over de grens (aan
NCPeH’s in andere EER-landen).

Op basis van artikel 10 Wet aanvullende bepalingen Burgerservicenummer (Wabb) kunnen
overheidsorganen bij het verwerken van persoonsgegevens in het kader van de uitvoering
van hun taak gebruik maken van het BSN. Indien de beheertaak voor het NCPeH is vastgelegd
in de wet en wordt belegd bij een bestuursorgaan, kan voor deze taak het BSN worden
verwerkt. Voor de grensoverschrijdende uitwisseling van het BSN met de nationale contactpunten
voor eHealth in andere EU-lidstaten zal een basis moeten worden gecreëerd (dat volgt
niet uit de Wabb). Voor de grensoverschrijdende uitwisseling van het BSN met andere
EU-landen geldt het regime dat is neergelegd in artikel 46 Uitvoeringswet algemene
verordening gegevensbescherming (UAVG), waaruit volgt dat de verwerking van het BSN
bij wet in formele zin dient te zijn vastgelegd.

Voor de (eventuele) verwerking van een nationaal identificatienummer van cliënten
uit andere lidstaten hoeft er niets te worden geregeld. Iedere lidstaat heeft op basis
van de AVG een mogelijkheid om bij lidstatelijk recht specifiek voorwaarden te stellen
aan de verwerking van een nationaal identificatienummer of enig andere identificator
van algemene aard. Voor die identificatienummers geldt het eventuele nationale recht
ten aanzien van het nummer uit het land van herkomst.

3.3.3 Structuur van de wet

Dit wetsvoorstel regelt de wettelijke taak voor de Minister van VWS voor de inrichting,
beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL
en tevens de benodigde grondslagen voor het verwerken van (bijzondere) persoonsgegevens
voor het uitvoeren van deze taak via het NCPeH-NL.

In het wetsvoorstel is in artikel 15o, vierde lid, opgenomen dat bij AMvB nadere regels
worden gesteld met betrekking tot welke gegevens uitgewisseld kunnen worden ten behoeve
van aangewezen categorieën van gezondheidsinformatie. Momenteel wordt alleen gezondheidsinformatie
voor PS-B uitgewisseld en is een programma gestart om PS-A te ontwikkelen en uit te
kunnen wisselen. Verbreding van het aantal categorieën gezondheidsinformatie is zeer
waarschijnlijk. Zoals eerder beschreven is nu reeds de categorie gezondheidsinformatie
ePrescription/eDispensation beschikbaar en wordt onder de EHDS de beschikbaarstelling van meerdere categorieën
van gezondheidsinformatie verplicht. In de AMvB wordt een nadere uitwerking gegeven
van de verwerkingen en bijbehorende persoonsgegevens voor die specifieke categorie
gezondheidsinformatie. Voor elke categorie wordt tevens een Data Protection Impact Assessment (DPIA) uitgevoerd.

3.4 Reikwijdte wetsvoorstel

Van belang is te benadrukken dat de scope van de voorgestelde wetgeving zich beperkt
tot de borging van de wettelijke taak en de grondslag voor een rechtmatige verwerking
van gegevens. De verwerkingen die plaatsvinden via het NCPeH-NL zijn alléén ten behoeve
van uitwisseling van gezondheidsgegevens tussen zorgaanbieders die zich in verschillende lidstaten bevinden en waarbij sprake is van een behandelrelatie
met de cliënt. Uitwisseling kan alleen plaatsvinden op verzoek van de zorgaanbieder
die de cliënt onder behandeling heeft en wanneer de cliënt daar toestemming voor heeft
gegeven.

Dit wetsvoorstel wijzigt daarmee dus niet de grondslag voor de Nederlandse onder de zorgaanbieder ressorterende zorgverleners
om het medisch beroepsgeheim te doorbreken en de benodigde gezondheidsgegevens te
verstrekken. De kaders en regels rondom grondslagen voor gegevensverwerking (in onder
meer de AVG en de UAVG) en het (doorbreken van) het medisch beroepsgeheim zijn onverminderd
van kracht. Voor het beschikbaar stellen van de gegevens, benodigd voor het samenstellen
van de te verstrekken gezondheidsinformatie en het delen van deze gegevens met een
zorgaanbieder binnen een andere lidstaat, blijft uitdrukkelijke toestemming van de
Nederlandse cliënt nodig. Indien een cliënt geen uitdrukkelijke toestemming heeft
geregistreerd kunnen de gegevens niet worden uitgewisseld. Naar aanleiding van het
advies van de Autoriteit Persoonsgegevens is in artikel 15r als extra waarborg opgenomen
dat het NCPeH-NL slechts gegevens kan ontvangen van de zorgaanbieders indien de toestemming
van de cliënt voor het delen van de gegevens ten behoeve van zorg in een andere lidstaat
is vastgesteld.

4. Verhouding tot hoger recht

4.1 Bescherming persoonlijke levenssfeer en gegevensbescherming

Dit wetsvoorstel beoogt een wettelijke grondslag te creëren voor het verwerken van
(bijzondere) persoonsgegevens over cliënten uit Nederland en andere lidstaten door
de beheerder van het NCPeH-NL. Dit is ten behoeve van het grensoverschrijdend uitwisselen
van cliëntgegevens die noodzakelijk zijn voor goede zorg, ongeacht in welke lidstaat
die zorg verleend wordt en raakt daarmee de persoonlijke levenssfeer van burgers.
Verschillende internationale verdragen en (nationale) regelingen, waaronder de Gw,
bevatten uitdrukkelijke voorschriften en waarborgen ter bescherming van de persoonlijke
levenssfeer of van natuurlijke personen ten aanzien van persoonsgegevens. In dit verband
kan worden gewezen op de volgende voorschriften:

– In artikel 8 van het EVRM en artikel 17 van het Internationaal verdrag inzake burgerlijke
en politieke rechten is het recht op bescherming van de persoonlijke levenssfeer gewaarborgd.

– In artikel 7 van het Handvest van de grondrechten van de Europese Unie (2016/C 202/02,
hierna: het Handvest) is het recht op eerbiediging van het privéleven opgenomen. In
artikel 8 van het Handvest is het recht vastgelegd van eenieder op bescherming van
persoonsgegevens.

– Artikel 16, tweede lid, van het Verdrag betreffende de werking van de Europese Unie
(hierna: VWEU) bevat een rechtsgrondslag voor het stellen van voorschriften betreffende
de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens
door de instellingen, organen en instanties van de Unie, alsook door de lidstaten,
bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht
van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die
gegevens. Ter uitvoering van deze opdracht is in 2012 een voorstel ingediend voor
de AVG, welke verordening uiteindelijk op 24 mei 2016 in werking is getreden.

– Artikel 10, eerste lid, van de Gw erkent het recht op eerbiediging van de persoonlijke
levenssfeer.

Hieronder wordt uiteengezet op welke wijze in dit wetsvoorstel rekening is gehouden
met de bovenstaande rechten.

4.2 EVRM

Het recht op bescherming van persoonsgegevens is niet als zelfstandig recht vastgelegd
in het EVRM. Volgens de rechtspraak van het Europees Hof voor de Rechten van de Mens
(EHRM) is het recht op bescherming van persoonsgegevens, bedoeld in artikel 8 van
het EVRM, in algemene zin van fundamentele betekenis voor het recht op eerbiediging
van de persoonlijke levenssfeer. Aangezien de onderwerpen uit het wetsvoorstel voorschriften
over de verwerking van persoonsgegevens bevat, raken deze aan het recht op eerbiediging
van het privéleven en zal moeten worden beoordeeld of sprake is van een gerechtvaardigde
inmenging. De cumulatieve voorwaarden waaronder inmenging kan worden gerechtvaardigd
op grond van artikel 8, tweede lid, EVRM zijn: wanneer het bij wet is voorzien én
het noodzakelijk is in een democratische samenleving in het belang van een of meer
van de in het tweede lid genoemde doeleinden (nationale veiligheid, de openbare veiligheid
of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare
feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming
van de rechten en vrijheden van anderen).

Om te bepalen of in een concreet geval sprake is van een gerechtvaardigde beperking
van een van de in de artikelen 8 tot en met 11 EVRM neergelegde mensenrechten, heeft
het EVRM in zijn rechtspraak een bepaalde systematiek ontwikkeld. Uit deze systematiek
kan een toetsingskader worden afgeleid waarbij drie met elkaar samenhangende vragen
kunnen worden onderscheiden. Deze vragen luiden achtereenvolgens als volgt:

1. Is de beperking bij wet voorzien?

– Berust de inmenging op een naar behoren bekend gemaakt wettelijk voorschrift?

– Kunnen burgers daaruit met voldoende precisie opmaken welke op zijn privéleven betrekking
hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen
worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel
kunnen worden bewerkt, bewaard en gebruikt?

2. Dient de beperking tot bescherming van een legitieme doelstelling (legitimate aim), namelijk één of meer van de in het tweede lid van artikel 8 EVRM opgesomde rechtsbelangen?

3. Is de beperking noodzakelijk in een democratische samenleving (necessary in a democratic society)?

– Is de beperking ingegeven door een dringende maatschappelijke behoefte (pressing social need)?

– Bestaat er een redelijke verhouding (proportionality) tussen de zwaarte van de beperking en het gewicht van het belang dat met de inbreuk
wordt gediend?

De eerste vraag, of de voorgestelde beperking bij wet is voorzien, kan zonder meer
bevestigend worden beantwoord. Het wetsvoorstel voorziet nu juist in een beschrijving
van de taak en het doel van de verwerkingen door de Minister middels het NCPeH-NL.

Gekozen is voor de systematiek waarbij voor de verschillende (mogelijke) categorieën
van gezondheidsinformatie bij AMvB een nadere uitwerking wordt gegeven van de verwerkingen
en bijbehorende persoonsgegevens, voor welk doel en welke partijen een rol spelen
bij die specifieke categorie gezondheidsinformatie. Hiermee krijgt de burger voldoende
inzicht in welke op zijn privéleven betrekking hebbende gegevens met het oog op de
vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en
onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en
gebruikt.

Ook de tweede vraag kan bevestigend beantwoord worden. Zoals in hoofdstuk 3 is aangegeven,
beoogt dit wetsvoorstel ertoe te leiden dat: cliëntgegevens die noodzakelijk zijn
voor goede zorg, ongeacht in welke lidstaat die zorg verleend wordt, beschikbaar zijn
voor de onder de zorgaanbieder ressorterende zorgverlener die de cliënt onder behandeling
heeft. Dit geldt zowel voor een burger uit een andere lidstaat die zorg nodig heeft
in Nederland als voor de Nederlandse burger die onder behandeling is van een zorgverlener
in een andere lidstaat (bescherming van de gezondheid).

De derde vraag – of de voorgestelde beperking noodzakelijk is in een democratische
samenleving – wordt eveneens bevestigend beantwoord. Zoals geschetst in paragraaf
3.3 zijn de beoogde grondslagen voor gegevensverwerking nodig om de verscheidene taken
uit te kunnen voeren. Het is belangrijk dat gegevens over een cliënt toegankelijk
worden, óók als de cliënt zich in een andere lidstaat bevindt. De toegang tot gegevens
is namelijk randvoorwaardelijk voor de kwaliteit van zorg, de continuïteit van zorg
en de kwaliteit van leven ook bij het vrije verkeer van personen.

Dit speelt in het bijzonder bij spoedeisende situaties (ongeplande zorg): dan is de
toegang tot de benodigde informatie van wezenlijk of zelfs levensbelang. Het kan immers
gaan om levensbedreigende situaties waarin weinig tijd of mogelijkheid is om op het
moment van de zorgvraag nog telefonisch of via andere wegen, informatie op te vragen
die nodig is voor het verlenen van goede zorg. Deze informatie kan van invloed zijn
op het bepalen van de medische urgentie, de diagnose en de behandeling. Het wetsvoorstel
voorziet in een redelijke verhouding tussen de zwaarte van de beperking en het gewicht
van het belang dat met de beperking wordt gediend. De eventuele inbreuk op de privacy
van burgers gaat zodoende niet verder dan noodzakelijk is voor het doel.

Wat betreft de subsidiariteit geldt dat niet kan worden volstaan met lichtere, mindere
ingrijpende maatregelen. Momenteel is tussen de zorgaanbieders van verschillende lidstaten
geen sprake van technische of semantische interoperabiliteit. Dit betekent dat gezondheidsinformatie
zoals een patiëntsamenvatting niet rechtstreeks kan worden uitgewisseld. Vooralsnog
zijn nationale contactpunten die bijdragen aan de technische en semantische interoperabiliteit
de snelste en meest effectieve wijze om dit gestalte te geven. Los van de technische
interoperabiliteit, vindt bij het NCPeH-NL een mapping en zo nodig transcodering plaats
van de aangeleverde data uit de Nederlandse bron naar het Europees vastgestelde formaat
van de betreffende categorie gezondheidsinformatie.

In het B-land vindt door het NCPeH van het betreffende land de vertaling plaats vanuit
de internationale coderingen naar de eigen taal c.q. coderingen. Dit is in de huidige
situatie alleen mogelijk met behulp van de NCPeH’s die deze rol vervullen. Via de
MyHealth@EU-infrastructuur kan technisch uitgewisseld worden met een andere lidstaat
waarbij het NCPeH van de betreffende lidstaat zorgdraagt dat uitwisseling met de zorgaanbieder
waar de Nederlandse cliënt zicht bevindt kan plaatsvinden. Uiteraard blijft het voor
de zorgaanbieder in de andere lidstaat mogelijk om rechtstreeks contact op te nemen
(telefonisch) met de huisarts van de Nederlandse cliënt waarbij informatie kan worden
uitgewisseld. Daarbij kan echter geen patiëntsamenvatting of andere categorie van
gezondheidsinformatie worden verstrekt in een gestandaardiseerde vertaling zoals bovenstaand
beschreven.

Het doel om voor Nederlandse cliënten in andere lidstaten kwalitatief betere zorg
te verlenen, kan alleen worden bereikt door het uitwisselen van (bijzondere) persoonsgegevens.
Door het gebrek aan interoperabiliteit tussen zorginformatiesystemen in verschillende
lidstaten is als oplossing gekozen voor het uitwisselen via nationale contactpunten.
Voor het uitwisselen van (bijzondere) persoonsgegevens door het NCPeH-NL zijn wettelijke
grondslagen vereist. Zoals eerder beschreven is de grondslag toestemming voor uitwisseling
van (bijzondere) persoonsgegevens door het NCPeH-NL geen alternatieve oplossing.

4.3 Grondwet (Gw)

De Gw geeft in artikel 10, eerste lid, eenieder, behoudens bij of krachtens de wet
te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. De
woorden «behoudens bij of krachtens de wet te stellen beperkingen» in artikel 10 van
de Gw brengen mee dat beperkingen op het recht op eerbiediging van de persoonlijke
levenssfeer slechts kunnen worden gerechtvaardigd door of krachtens een wet in formele
zin.22 De beperkingen op het grondrecht moeten op het niveau van de formele wet worden gespecificeerd
en, in elk geval op hoofdlijnen, dient een belangenafweging plaats te vinden in het
licht van artikel 10 van de Gw. De hoofdelementen die in algemene zin in ieder geval
in de formele wet moeten worden neergelegd zijn de reikwijdte en de structurele elementen
van een regeling.23 In dit wetsvoorstel worden de hoofdelementen zoals vereist neergelegd. De partijen
met wie het NCPeH-NL uitwisselt, worden benoemd in het wetsvoorstel, te weten het
NCPeH van een andere lidstaat en de Nederlandse zorgaanbieders en elektronische uitwisselingssystemen.
Verder is duidelijk voor welk doel er wordt uitgewisseld, namelijk ten behoeve van
het verlenen van zorg aan een cliënt uit een andere lidstaat die in Nederland wordt
behandeld door een Nederlandse zorgaanbieder (artikel 15o, tweede lid, jo. artikel 15q)
dan wel het verlenen van zorg aan een Nederlandse cliënt die wordt behandeld door
een zorgaanbieder in een andere lidstaat (artikel 15o, tweede lid, jo. artikel 15r).

Tevens is geregeld dat de Minister van VWS ten behoeve van het uitvoeren van de taak
van het NCPeH-NL (bijzondere) persoonsgegevens verwerkt. De hierboven geschetste lijn
ter rechtvaardiging van de inbreuk op het recht op respect voor het privéleven in
artikel 8 van het EVRM, geldt evenzeer ter onderbouwing van de belangenafweging in
het licht van artikel 10 van de Grondwet.

4.4 EHDS-verordening

Op 26 maart 2025 is de EHDS-verordening in werking getreden. De komst van de EHDS
heeft impact op de uitwisseling middels het NCPeH en de in dit wetsvoorstel gecreëerde
grondslagen. In paragraaf 4.4.1 wordt beschreven welke impact de EHDS heeft op het
NCPeH en de Europese grondslagen die straks rechtstreeks werken. Daarbij wordt ook
ingegaan op het recht op opt-out en wat dit betekent voor uitwisseling in het NCpeH.
In paragraaf 4.4.2 wordt vervolgens toegelicht waarom gekozen is om door te gaan met
dit wetsvoorstel en wat de komst van de EHDS straks voor deze wetgeving betekent.

4.4.1 Grondslagen in de EHDS

De EHDS-verordening stelt op termijn aansluiting op het NCPeH verplicht en bepaalt
dat zes prioritaire categorieën gezondheidsinformatie moeten kunnen worden uitgewisseld
via het NCPeH.24 Twee jaar na inwerkingtreding van de EHDS (maart 2027) moet iedere lidstaat een NCPeH
hebben aangewezen. Vier jaar na inwerkingtreding (maart 2029) moet het NCPeH operationeel
zijn en de patiëntsamenvattingen, elektronische recepten en elektronische verstrekkingen
kunnen uitwisselen. Zes jaar na inwerkingtreding (maart 2031) moeten de overige drie
gegevensuitwisselingen operationeel zijn.

De EHDS verandert het juridische kader voor de uitwisseling van elektronische gezondheidsgegevens
die binnen de reikwijdte van de EHDS vallen. Zoals beschreven in paragraaf 3.4 is
op dit moment toestemming van de betrokkene vereist voor het verstrekken van elektronische
gezondheidsgegevens van een betrokkene aan een zorgaanbieder in een andere lidstaat.
Wanneer de regels voor primair gebruik van gezondheidsgegevens uit de EHDS per maart
2029 (voor patiëntsamenvattingen, elektronische recepten en elektronische verstrekkingen)
en maart 2031 (voor medische testen, medische beelden en ontslagverslagen) van toepassing
worden, veranderen ook de regels omtrent zeggenschap. Zorgaanbieders hebben dan in
beginsel het recht op toegang tot de elektronische gezondheidsgegevens van patiënten
die onder hun behandeling staan, tenzij de patiënt gebruik heeft gemaakt van de mogelijkheid
tot opt-out op de beschikbaarheid van gegevens of een beperking op de toegang (inzage)
door de zorgaanbieder. Lidstaten hebben op grond van de verordening de mogelijkheid
om het opt-out recht in nationale wetgeving te regelen. Nederland kiest ervoor om
hier gebruik van te maken, dit wordt in de tweede tranche ter implementatie van de
EHDS uitgewerkt.25

Met de implementatie van de EHDS-verplichtingen is er voor het opvragen van categorieën
van gezondheidsinformatie van de patiënt via het NCPeH-NL door de behandelende zorgverleners
in andere EU-landen in de toekomst geen toestemming meer vereist.

Wel dient er te worden geverifieerd of de cliënt gebruik heeft gemaakt van de mogelijkheid
tot opt-out. In de EHDS is aangegeven dat wanneer een cliënt het opt-out recht heeft
ingeroepen, gegevens vanuit de bron niet meer beschikbaar worden gesteld aan de zogenoemde
toegangsdienst(en) voor gezondheidswerkers. Deze toegangsdienst voor gezondheidswerkers is bedoeld om zorgverleners te faciliteren
in het verkrijgen van toegang tot de gegevens van de cliënt. Lidstaten zijn vrij om
zelf invulling te geven aan wat een toegangsdienst voor gezondheidswerkers inhoudt.
Doordat ook het NCPeH-NL wordt gevoed door deze toegangsdienst, en de gegevens daar
niet meer toegankelijk (beschikbaar) zijn, kan er ook geen opvraging worden gedaan
door behandelende zorgverleners in andere EU-landen. Bij de implementatie en de uitvoeringswetgeving
voor de EHDS zal worden uitgewerkt hoe wordt gewaarborgd dat enkel gegevens via het
NCPeH-NL worden uitgewisseld waarop geen opt-out is toegepast en hoe de benodigde
grondslagen worden aangepast. Het parlement zal hierover verder worden geïnformeerd
bij de implementatie van de EHDS.

Bij de implementatie van de EHDS verandert ook het toezichtregime en wordt nader uitgewerkt
hoe de aansturing van het NCPeH-NL en het toezicht op het NCPeH-NL wordt vormgegeven.

De autoriteit voor digitale gezondheid krijgt op basis van artikel 19, tweede lid
onder f, van de EHDS de taak om toe te zien op het NCPeH en bij te dragen aan de ontwikkeling
van MyHealth@EU. Zie paragraaf 9 voor nadere toelichting. In de uitvoeringswetgeving
van de EHDS zal nadere invulling worden gegeven aan de Autoriteit digitale gezondheid
en nader worden uitgewerkt hoe het toezichtregime verandert en wat de verhouding tussen
de betrokken toezichthouders zal zijn.

4.4.2 Afweging om wetsvoorstel doorgang te laten vinden

Ondanks de aanstaande ontwikkelingen in het kader van de implementatie van de EHDS,
is besloten dat dit wetsvoorstel doorgang dient te krijgen. Voor het grensoverschrijdend
uitwisselen van categorieën van gezondheidsinformatie onder de EHDS zal gebruik worden
gemaakt van de MyHealth@EU infrastructuur. Het is van belang klaar te zijn met het
inrichten van het NCPeH als bedoeld in dit wetsvoorstel, voordat de verplichtingen
uit de EHDS van kracht worden. Rekening houdend met de implementatietermijn van de
uitwisseling van een nieuwe categorie gezondheidsinformatie via het NCPeH-NL, hetgeen
meerdere jaren in beslag kan nemen, dienen nu al keuzes worden gemaakt en stappen
worden gezet in het mogelijk maken van de uitwisseling van gezondheidsinformatie via
het NCPeH-NL. De techniek die nu ontwikkeld wordt voor het NCPeH-NL vormt de basis
om te voldoen aan de verplichtingen uit de EHDS. Reeds nu zullen de nodige technische
aanpassingen worden gedaan om te voldoen aan het nieuwe juridische kader, zoals de
overgang naar opt-out. De huidige techniek vormt hiervoor geen belemmering. Het is
daarom noodzakelijk de benodigde grondslagen voor grensoverschrijdende gegevensuitwisseling
via het NCPeH-NL nu op te nemen in nationale wetgeving voor een rechtmatige verwerking.
Bij de uitvoeringswetgeving van de EHDS zullen de nu gecreëerde grondslagen verder
in lijn worden gebracht met de EHDS.

Via dit wetsvoorstel krijgen veldpartijen tevens nu alvast de mogelijkheid om ervaring
op te doen met grensoverschrijdende gegevensuitwisseling via het NCPeH-NL, voordat
aansluiting op het NCPeH-NL via de EHDS verplicht wordt gesteld. Een correcte toepassing
van dit wetsvoorstel zal zodoende leiden tot een gemakkelijkere implementatie van
de EHDS.

De Europese Commissie heeft voorts financieel bijgedragen aan de totstandkoming van
het Nederlandse NCPeH. Om aanspraak te kunnen maken op deze financiële middelen moet
reeds vóór de inwerkingtreding van de verplichtingen uit de EHDS worden voldaan aan
specifieke (contractuele) verplichtingen rondom interoperabiliteit en de dienstverlening
van het NCPeH-NL.

5. Verhouding tot nationale regelgeving

5.1 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)

Op grond van artikel 1, onder j, van de Wabvpz wordt een Elektronisch uitwisselingssysteem
(EUS) gedefinieerd als een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van
dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen
maken, waaronder niet begrepen een systeem binnen een zorgaanbieder.

Om als EUS gekwalificeerd te worden is het ingevolge de definitie van artikel 1, onder j,
van de Wabvpz onder meer van belang dat het een systeem betreft waarmee zorgaanbieders
op elektronische wijze gedeelten van dossiers of gegevens uit dossiers voor andere
zorgaanbieders raadpleegbaar kunnen maken. De Wabvpz gaat daarbij uit van een zorgaanbieder
in de zin van artikel 1, onder c, van de Wet kwaliteit, klachten en geschillen zorg
(Wkkgz). Een zorgaanbieder in de zin van de Wkkgz is een instelling, dan wel een solistisch
werkende zorgverlener die bedrijfsmatig of beroepsmatig zorg verlenen. Waarbij in
de Wkkgz wordt bepaald dat onder zorg, Wlz-zorg, Zvw-zorg en andere zorg, moet worden
verstaan. De zorgaanbieder in de andere lidstaat waarmee het NCPeH-NL uitwisselt valt
echter niet onder de kwalificatie van zorgaanbieder in de zin van de Wkkgz, nu de
Wkkgz niet op deze zorgaanbieder van toepassing is aangezien deze geen zorg verleent
zoals bedoeld in de Wkkgz. Het NCPeH-NL kan daarom niet worden gekwalificeerd als
een EUS in de zin van artikel 1, onder j, van de Wabpvz.

In reacties op de internetconsultatie voor het wetsvoorstel Nationaal Contactpunt
is de vraag naar voren gekomen in hoeverre het niet zijn van een EUS van invloed is
op de rechten van cliënten zoals opgenomen in de Wabvpz. De rechten voor cliënten
zoals opgenomen in de Wabvpz zijn met name verplichtingen die van toepassing zijn
op de zorgaanbieder.

Hier wordt door het wetsvoorstel niets aan gewijzigd. De verplichtingen vanuit de
Wabvpz die wel van toepassing zijn op een EUS, zijn grotendeels in lijn met verplichtingen
die al gelden voor verwerkingsverantwoordelijken onder de AVG. Deze zijn daarmee tevens
van toepassing op het NCPeH-NL.

Het feit dat het NCPeH-NL geen EUS is heeft wel tot gevolg dat verplichte toepassing
van de NEN-normen 7510, 7512 en 7513, zoals opgenomen in het Besluit elektronische
gegevensverwerking door zorgaanbieders, niet van toepassing is op het NCPeH-NL. Dit
heeft echter geen grote gevolgen, omdat het NCPeH-NL wordt beheerd door het CIBG,
dat ressorteert onder de Minister van VWS, waarvoor het basisnormenkader voor informatiebeveiliging
voor de overheid (Baseline Informatiebeveiliging Overheid, ook wel BIO genoemd) geldt.
Ook gelden op basis van het MyHealth@EU-afsprakenstelsel Europese standaarden en afspraken,
waaronder afspraken op het gebied van logging. Wat betreft de logging, moet worden
opgemerkt dat de NEN 7513 niet geschreven is voor internationale uitwisseling. Er
wordt onderzocht hoe gezamenlijk in de keten toch kan worden voldaan aan de vereisten
uit de NEN 7513.

5.2 Wet op de geneeskundige behandelingsovereenkomst (WGBO) en Wet op de beroepen
in de individuele gezondheidszorg (Wet BIG)

Met dit wetstraject wordt geen wettelijke verplichting tot doorbreking van het beroepsgeheim
van Nederlandse zorgverleners geregeld. Zoals beschreven in paragraaf 3.4 is er geen
sprake van wijziging in de grondslagen voor doorbreking van het medisch beroepsgeheim
zoals geregeld in de WGBO en Wet BIG en gelden gewoon de toestemmingsvereisten zoals
daar geregeld.

5.3 Wet aanvullende bepalingen Burgerservicenummer (Wabb)

Op basis van artikel 10 Wabb kunnen overheidsorganen bij het verwerken van persoonsgegevens
in het kader van de uitvoering van hun taak gebruik maken van het BSN. Indien de beheertaak
voor het NCPeH bij een overheidsorgaan, zoals Onze Minister, is vastgelegd in de wet,
kan voor deze taak het BSN worden verwerkt. Voor de grensoverschrijdende uitwisseling
van het BSN met de nationale contactpunten voor eHealth in andere EU-lidstaten moet
een basis worden gecreëerd (hiervoor is namelijk geen grondslag opgenomen in de Wabb).
Voor de grensoverschrijdende uitwisseling van het BSN met andere EU-landen geldt het
regime dat is neergelegd in artikel 46 UAVG, waaruit volgt dat de verwerking van het
BSN bij wet in formele zin dient te zijn vastgelegd. Daar voorziet dit wetsvoorstel
in.

5.4 Wet elektronische gegevensuitwisseling in de zorg (Wegiz)

Zoals in paragraaf 1.1 al is toegelicht, heeft dit wetsvoorstel enkel als doel om
te voorzien in de wettelijke grondslagen voor het uitvoeren van een publieke taak
en het verwerken van (bijzondere) persoonsgegevens in het kader van grensoverschrijdende
uitwisseling van gezondheidsinformatie. De manier waarop de gegevens worden uitgewisseld
tussen de zorgaanbieders binnen de lidstaten wordt niet in dit wetsvoorstel geregeld.
De Wegiz richt zich op elektronische gegevensuitwisseling tussen zorgaanbieders in
Nederland. Een nadere toelichting over de relatie met de Meerjarenagenda Wegiz staat
beschreven in paragraaf 5.5.2.

5.5 Verhouding met andere nationale programma’s en initiatieven

5.5.1 Landelijk dekkend netwerk van infrastructuren en Landelijk Vertrouwensstelsel

De MyHealth@EU-infrastructuur is zo ingericht dat de nationale zorginformatiestelsels
ongemoeid blijven en de grensoverschrijdende gegevensuitwisseling plaatsvindt via
de NCPeH’s van de betreffende landen. Het zorginformatielandschap in Nederland is
versnipperd.

Daarom neemt het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) de regie om
samen met het zorgveld toe te werken naar een Landelijk Dekkend Netwerk. Een Landelijk
Dekkend Netwerk is een netwerk van gekoppelde infrastructuren, dat zorgaanbieders
en patiënten met elkaar verbindt voor het uitwisselen van gezondheidsgegevens. Het
NCPeH-NL zal onderdeel worden van het Landelijk Dekkend Netwerk. Er zal samenhang
tussen beide trajecten worden geborgd.

Het doel van het project Landelijk Vertrouwensstelsel is ook om de versnippering van
vertrouwensafspraken binnen het nationale zorginformatiestelsel tegen te gaan en in
plaats daarvan te komen tot gestandaardiseerde, geharmoniseerde en geüniformeerde
vertrouwensafspraken. Deze afspraken worden bij voorkeur vastgelegd op één plek. Zorgaanbieders
en leveranciers hebben hierdoor meer duidelijkheid en zekerheid over de voorwaarden
waaronder gegevensuitwisseling en databeschikbaarheid plaatsvinden.

Dit draagt bij aan de veiligheid en betrouwbaarheid van digitale zorgsystemen en bevordert
een efficiënte(re) samenwerking tussen verschillende zorgsectoren. Door het Twiin
Afsprakenstelsel te kiezen als de centrale plek voor het vastleggen van vertrouwensafspraken,
is er nu een eerste basisversie van het Landelijk Vertrouwensstelsel van waaruit het
stelsel kan doorgroeien. Binnen het project wordt voor de langere termijn gekeken
naar de integratie van het Landelijk Vertrouwensstelsel in het bredere gezondheidsinformatiestelsel,
zoals beschreven in de Nationale Visie en Strategie (NVS) en dat aansluit bij de verplichtingen
uit de European Health Data Space (EHDS).

5.5.2 Meerjarenagenda Wegiz

Op de Meerjarenagenda Wegiz staan de gegevensuitwisselingen die geschikt zijn om als
eerste verplicht elektronisch te laten verlopen. Er zit overlap en verschil tussen
de gegevensuitwisselingen uit de Meerjarenagenda Wegiz en de categorieën van gezondheidsinformatie
die straks elektronisch beschikbaar gesteld moet gaan worden ingevolge de EHDS. Er
wordt onderzocht welke van de elementen uit de categorieën gezondheidsinformatie die
op grond van de EHDS beschikbaar gesteld moet worden al in Nederland worden ingebouwd
in systemen en zorgprocessen voor de geprioriteerde gegevensuitwisselingen van de
Meerjarenagenda van de Wegiz, en hoe samenhang tussen beide kan worden geborgd.26

6. Effecten van het Wetsvoorstel

Dit hoofdstuk geeft een overzicht van de effecten die het wetsvoorstel naar verwachting
op de Nederlandse samenleving zal hebben, met uitzondering van de zuiver financiële
gevolgen (zie paragraaf 7 van dit algemeen deel).

6.1 Gevolgen voor zorgaanbieders en zorgverleners

Zorgaanbieders die gebruik willen maken van de dienstverlening van het NCPeH-NL voor
het ophalen van gegevens over een cliënt uit een andere lidstaat hebben van rechtswege
toegang als zij voldoen aan de regels die bij of krachtens AMvB worden gesteld. Zorgaanbieders
en de onder hen ressorterende zorgverleners hoeven hiertoe enkel in te loggen via
een portaal op de website van het NCPeH-NL.

Het is aan de zorgaanbieder om de onder hem ressorterende zorgverleners te instrueren
over het inlogproces en de wijze waarop via het portaal gegevens kunnen worden opgevraagd.

Voor zorgaanbieders die via het NCPeH-NL als bron gegevens van Nederlandse cliënten
via het NCPeH-NL beschikbaar willen stellen aan zorgaanbieders in het buitenland zal
een koppeling gemaakt worden met NCPeH-NL. Hiertoe zullen zij een overeenkomst met
het NCPeH-NL moeten sluiten. De koppeling kan ook plaatsvinden via een EUS of andere
systemen die directe elektronische opvraging mogelijk maken. Zorgaanbieders zullen
er zelf voor moeten zorgdragen dat zij voldoen aan de WGBO en de AVG als het gaat
om de grondslag voor doorbreking van het medisch beroepsgeheim en het verwerken van
(bijzondere) persoonsgegevens.

Het inregelen kan tijdelijk een intensivering van de werkdruk aan de zijde van zorgaanbieders
en de onder hen ressorterende zorgverleners tot gevolg hebben. Zo zullen onder meer
het inrichten en/of wijzigen van processen en het trainen van personeel tijd vergen.
Op de lange termijn zal dit wetsvoorstel een vermindering van de werkdruk tot gevolg
hebben. Een onder de zorgaanbieder ressorterende zorgverlener zal sneller en eenvoudiger
over noodzakelijke medische informatie beschikken en kan zo passende zorg verlenen.
Bovendien zal gezondheidsinformatie zoals de patiëntsamenvatting in de Nederlandse
taal en in de moedertaal van de cliënt beschikbaar komen, waardoor de kans op miscommunicatie
wordt verkleind. Gelet op het voorgaande zal dit wetsvoorstel ook positieve gevolgen
hebben voor de kwaliteit van de zorg.

6.2 Gevolgen voor burgers

Het wetsvoorstel heeft positieve gevolgen voor burgers doordat gezondheidsgegevens
bij grensoverschrijdende zorg uitgewisseld kunnen worden met de zorgaanbieder in het
land waar de behandeling plaatsvindt. Dit verkleint het risico op vermijdbare fouten,
voorkomt dat gegevens opnieuw moeten worden aangeleverd en vermindert het aantal onnodige
onderzoeken.

Dit heeft een positief effect op de kwaliteit van zorg voor de cliënt en op de kosten
die cliënten moeten maken als zij behandeld worden.

Het wetsvoorstel vraagt wel wat van het doenvermogen van burgers. Als burgers uit
Nederland willen dat hun gezondheidsgegevens beschikbaar kunnen worden gesteld aan
zorgaanbieders in andere lidstaten wanneer zij (ongeplande) zorg nodig hebben, dienen
zij hiervoor hun toestemming vast te leggen. De toestemming die gegeven is door de
cliënt voor nationale uitwisseling is in elk geval niet voldoende voor de grensoverschrijdende
uitwisseling. Hiervoor zal de cliënt op basis van een nieuwe toestemmingsvraag opnieuw
toestemming moeten geven via een (online) toestemmingsvoorziening. Een burger die
moeite heeft om zelfstandig toestemming te registreren, kan dit samen met een zorgverlener
doen.

Het verwerken van (bijzondere) persoonsgegevens heeft effect op de privacy van een
individu. Echter, de burger heeft de controle om te beslissen of de gezondheidsgegevens
mogen worden uitgewisseld met zorgaanbieders in andere lidstaten. Indien de burger
geen toestemming geeft, worden geen gegevens uitgewisseld.

6.3 Gevolgen voor IT-leveranciers en -dienstverleners

Nederlandse zorgaanbieders kunnen, afhankelijk van de gevraagde categorie van gezondheidsinformatie,
als bron van gegevens over de cliënt fungeren. IT-leveranciers en -dienstverleners
vervullen hierbij een ondersteunende rol. Daarnaast moet de software van de leverancier
ingericht zijn op het beantwoorden van een verzoek om gegevens voor het vullen van
de patiëntsamenvatting. Het uitgangspunt is om zoveel mogelijk gebruik te maken van
bestaande interacties, zodat dit wetsvoorstel weinig extra ontwikkelwerk vergt van
leveranciers. Voor toekomstige categorieën van gezondheidsinformatie kan dit echter
anders zijn, het is nog onduidelijk of dit veel ontwikkelwerk vergt.

6.4 Gevolgen voor de overheid

6.4.1 Gevolgen toezicht en handhaving

De Autoriteit Persoonsgegevens (AP) is verantwoordelijk voor de bestuurlijke handhaving
op de gegevensverwerkingen die in het kader van dit wetsvoorstel plaatsvinden. In
onderhavig geval gaat het om een bestaande taak van de AP binnen de werkingssfeer
van de AVG. Het verwerken van meer persoonsgegevens leidt niet automatisch tot meer
klachten en toezichtsactiviteiten door de AP. De verwerking van persoonsgegevens dient
zorgvuldig te gebeuren en daartoe moeten de normen uit de AVG verankerd zijn in de
primaire processen van de betrokken organisaties. Goed toezicht op de naleving hiervan
is een onmisbaar onderdeel, maar investeringen in maatregelen aan de voorkant borgen
een goede toepassing van de gegevensbeschermingsvereisten uit de AVG.

6.4.2 Gevolgen voor Caribisch Nederland

Dit wetsvoorstel heeft geen gevolgen voor Caribisch Nederland. Met het wetsvoorstel
wordt niet beoogd om verwerkingen buiten de Europese Economische Ruimte (EER) te laten
plaatsvinden.

6.5 Gevolgen voor de gegevensbescherming (DPIA)

In de fase van beleidsontwikkeling is een gegevensbeschermingseffectbeoordeling (data protection impact assessment, DPIA) uitgevoerd op dit wetsvoorstel. Met behulp hiervan is de noodzaak onderzocht
van de voorgenomen verwerkingen van persoonsgegevens en zijn op gestructureerde wijze
de gevolgen en risico’s van de maatregelen en het systeem voor gegevensbescherming
in kaart gebracht.

Zoals eerder beschreven en zoals uit de DPIA volgt, wijzigt dit wetsvoorstel niets
aan de grondslag voor de Nederlandse zorgverlener voor het doorbreken van het beroepsgeheim
en niets aan de zeggenschap van burgers over gezondheidsgegevens. Voorafgaand aan
het delen van gegevens met zorgaanbieders uit andere lidstaten die de cliënt onder
behandeling hebben (via de NCPeH’s), is uitdrukkelijke toestemming van de betrokkene
vereist.

Zoals uit de DPIA volgt, leidt het wetsvoorstel ertoe dat bestaande risico’s bij gegevensuitwisseling
tussen zorgaanbieders naar verwachting een grotere impact zullen hebben. Het gaat
daarbij met name om de risico’s dat gegevens onrechtmatig opgevraagd (en vervolgens
geraadpleegd) worden. Deze risico’s bestaan ook bij uitwisseling tussen zorgaanbieders
binnen Nederland.

De impact van onrechtmatige opvraging zal echter onder dit wetsvoorstel naar verwachting
groter zijn, omdat gegevens nu ook door zorgaanbieders vanuit andere lidstaten kunnen
worden opgevraagd en daarmee het aantal uitwisselingen kan toenemen. Het risico op
onbevoegde opvraging wordt zoveel mogelijk gemitigeerd. Zoals beschreven in paragraaf 3.2
moeten alle NCPeH’s binnen de infrastructuur van MyHealth@EU voldoen aan de specifieke
Europese vereisten en zijn gebonden aan dezelfde Europese overeenkomsten als het gaat
om uitwisseling van gegevens op het terrein van semantiek, technische standaarden
en veiligheid. Dit creëert een «circle of trust» tussen de verschillende NCPeH’s. Door middel van audits door een gecertificeerde
onafhankelijke partij wordt ook getoetst of wordt voldaan aan alle subsidie- en aansluiteisen
vanuit de EC. Bij aansluiting door een lidstaat op het MyHealth@EU-netwerk gelden
verschillende waarborgen die zijn opgenomen in het MyHealth@EU-afsprakenstelsel om
ervoor te zorgen dat Europese zorgaanbieders rechtmatig gegevens opvragen:

– Pas wanneer er sprake is van een behandelrelatie mag een onder de zorgaanbieder ressorterende
zorgverlener uit Nederland of een andere lidstaat gegevens opvragen in het belang
van de behandeling van de cliënt. Deze behandelrelatie moet bevestigd worden door
de onder de zorgaanbieder ressorterende zorgverlener bij het opvragen van gegevens.

– De Nederlandse cliënt kan de uitdrukkelijke toestemming voor uitwisseling met andere
lidstaten registreren in een (online) toestemmingsvoorziening. Indien een cliënt geen
toestemming heeft geregistreerd, kan de uitwisseling technisch niet plaatsvinden.
De cliënt kan de toestemming voor uitwisseling aan en uit zetten zodat het mogelijk
is om alleen tijdelijk toestemming te geven voor uitwisseling, bijvoorbeeld tijdens
de vakantie. Bevragingen buiten de aangegeven periode zijn dan niet mogelijk. Tevens
kan de cliënt ervoor kiezen om altijd een melding te krijgen vanuit de online toestemmingsvoorziening
(OTV) als een opvraging uit een andere lidstaat is gedaan. Daarmee kan de cliënt controleren
of sprake is geweest van een onrechtmatige opvraging.

– De behandelend zorgverlener uit een andere lidstaat die gegevens nodig heeft van een
Nederlandse cliënt en de onder de Nederlandse zorgaanbieder ressorterende zorgverlener
die gegevens wil opvragen van een cliënt uit een andere lidstaat, moet zich authentiseren
bij het NCPeH, waarbij Europese en nationale wet- en regelgeving gevolgd dienen te
worden. Binnen Europa is afgesproken dat op betrouwbaarheidsniveau «hoog» geauthentiseerd
moet worden27.

– Een onder de zorgaanbieder ressorterende zorgverlener moet geautoriseerd zijn door
de betreffende lidstaat om een opvraging te kunnen doen. Ieder land heeft lokale wet-
en regelgeving die bepaalt welk type zorgverleners geautoriseerd is. Deze lokale wet-
en regelgeving wordt tevens getoetst bij de audit vanuit de Europese Commissie.

– Alle bevragingen worden gelogd, de logging bevat Unieke Zorgverlener Identificatie
(in)nummers van betrokken onder de zorgaanbieder ressorterende zorgverleners (respectievelijk
hun equivalenten in andere lidstaten); auditgegevens over het bestaan van een behandelrelatie
en de rolcodes van de zorgverlener. Indien onrechtmatig wordt opgevraagd kan door
middel van de logging (net zoals bij uitwisseling tussen zorgaanbieders in Nederland)
worden achterhaald door wie de opvraging is gedaan.

– Ten slotte bestaat de mogelijkheid, indien een lidstaat zich niet houdt aan de criteria
en vereisten, dat deze door middel van afgesproken procedures door de Europese Commissie
wordt afgesloten. Tevens kan het NCPeH-NL op landcode bepalen of bevragingen vanuit
een bepaalde lidstaat worden stopgezet.

Uit de DPIA komt tevens een nieuw risico naar voren; in de huidige situatie is het
standpunt dat de lidstaten als afzonderlijk verwerkingsverantwoordelijken worden beschouwd.
Hierbij is in termen van verdeling van verwerkingsverantwoordelijkheid een opmerkelijke
situatie ontstaan. In overwegingen 20 en 21 van het uitvoeringsbesluit (EU) 2019/1765
wordt de noodzaak benoemd om de onderlinge verwerkingsverantwoordelijkheid van de
lidstaten af te kaderen.

Dit is evenwel nog niet gebeurd. Hierdoor is een situatie ontstaan waarin waarschijnlijk
sprake is van gemeenschappelijke verwerkingsverantwoordelijkheid van de lidstaten,
zonder een onderlinge regeling als bedoeld in artikel 26 AVG.

Dit is wél vastgelegd in het EHDS-verordening, hierin is vastgesteld dat sprake is
van gezamenlijke verwerkingsverantwoordelijkheid van de lidstaten voor de MyHealth@EU-infrastructuur.
De EHDS is op 26 maart 2025 in werking getreden.

De gepaste maatregel in dit geval is een zogenaamd artikel 26 AVG protocol, waarin
de afbakening van de verwerkingsverantwoordelijkheden en de rechten van betrokkenen
onderling wordt geregeld tussen de lidstaten. Zolang deze voorgenomen maatregel nog
niet is geïmplementeerd wordt hiervoor door het NCPeH-NL een zorgvuldige procedure
opgesteld waarbij deze afbakening wordt vastgelegd en helder is voor de betrokkene
op welke wijze de rechten kunnen worden uitgeoefend.

Om de taken van het NCPeH-NL te kunnen uitvoeren, verwerkt de Minister van VWS (bijzondere)
persoonsgegevens. De Minister van VWS is verwerkingsverantwoordelijke. Het NCPeH-NL
verwerkt deze gegevens ten behoeve van uitwisseling tussen zorgaanbieders in Nederland
en zorgaanbieders in een andere lidstaat die de cliënt onder behandeling hebben. Het
NCPeH-NL vraagt bij de zorgaanbieder de medische gegevens op die noodzakelijk zijn
voor het samenstellen van de betreffende categorie van gezondheidsinformatie (zoals
patiëntsamenvatting). Het NCPeH-NL voegt de ontvangen gegevens samen en converteert
deze naar het formaat van de betreffende categorie gezondheidsinformatie.

Hierbij worden de gezondheidsgegevens vertaald naar Europese coderingen. Het NCPeH-NL
verstrekt de gezondheidsinformatie aan het NCPeH van het B-land via de MyHealth@EU-infrastructuur.
Het NCPeH-NL, en daarmee de Minister van VWS, verwerkt daarmee (bijzondere) persoonsgegevens,
maar de gegevens uit de categorie van gezondheidsinformatie worden niet opgeslagen
door het NCPeH-NL. Alleen de voor logging noodzakelijke gegevens worden bewaard. De
gehele verwerking neemt ongeveer 10 seconden in beslag. De inhoud van bijvoorbeeld
een patiëntsamenvatting is niet inzichtelijk voor een technisch- of functioneel beheerder
van NCPeH-NL.

6.6 Effecten op de arbeidsmarkt

Het wetsvoorstel kan effecten hebben op de werkgelegenheid en arbeidsvoorwaardenontwikkeling
in de zorg. In de huidige situatie heeft de onder de Nederlandse zorgaanbieder ressorterende
zorgverlener, die zorg verleent aan een cliënt uit een andere Europese lidstaat lang
niet altijd de beschikking over de gezondheidsgegevens over deze cliënt. Het aantal
opnamen en dagopnamen in Nederlandse ziekenhuizen bedroeg in 2012 bijna 13.500, waarvan
10.036 (90%) uit een ander Europees land.28 Zoals al eerder is benoemd ontstaat door het gebrek aan medische informatie druk
op de kwaliteit van de zorg en op de zorgkosten, wat weer leidt tot negatieve beeldvorming
over de zorg als arbeidsmarkt. Door de grensoverschrijdende gegevensuitwisseling via
de MyHealth@EU-infrastructuur te bewerkstelligen zal de druk op de zorg, in geval
van de zorgverlening aan cliënten uit andere lidstaten, worden weggenomen. Het gevolg
is dat meer tijd overblijft voor de zorg voor de cliënt of dat de schaarse capaciteit
op een andere manier beter kan worden benut. Wanneer dit wordt gerealiseerd, kan het
werkplezier toenemen en de beeldvorming over de zorg als arbeidsmarkt positief veranderen.
Aangezien de zorgsector kampt met tekorten aan personeel en de vraag naar voldoende
opgeleid zorgpersoneel de komende jaren naar verwachting alleen maar toeneemt, is
de verwachting dat geen banen komen te vervallen als gevolg van het automatiseren
van werkzaamheden.

6.7 Fraude

Het wetsvoorstel regelt enkel de wettelijke taak en de grondslagen voor de beheerder
van het NCPeH-NL voor het verwerken van (bijzondere) persoonsgegevens ten behoeve
van grensoverschrijdende uitwisseling van zorggegevens. Het berichtenverkeer tussen
het NCPeH-NL en de andere Europese NCPeH’s verloopt via een beveiligd netwerk dat
is opgesteld conform een Europees vastgestelde standaard, welke wordt beheerd door
de EC en in Nederland door Stichting RINIS. De uitwisseling van (bijzondere) persoonsgegevens
tussen de lidstaten brengt echter wel een risico mee dat de gegevens onrechtmatig
worden opgevraagd. Zo bestaat de mogelijkheid dat het NCPeH-NL onrechtmatig wordt
bevraagd vanuit een andere lidstaat.

In paragraaf 6.5 uitgebreid ingegaan op het mitigeren van het risico op onterechte
bevragingen.

Daarnaast wordt verwacht dat door dit wetsvoorstel het aantal opvragingen zal toenemen.
Dit kan de impact van identiteitsfraude of fouten in zorgregistratie versterken. Wat
nu nog een geïsoleerde fout kan zijn, kan gaan doorwerken in ketens van de zorgaanbieders.

Het is aan de zorgaanbieder en de onder de zorgaanbieder ressorterende zorgverlener
als directe behandelaar om te controleren of de gegevens juist en actueel zijn, zoals
dat overigens ook bij andere vormen van gegevensuitwisseling noodzakelijk is.

7. Financiële gevolgen en regeldruk

7.1 Overheid

Het wetsvoorstel heeft potentieel maatschappelijke positieve financiële gevolgen.
Door de beschikbaarheid van gezondheidsgegevens over de grens kunnen onnodige onderzoeken
en behandelingen worden voorkomen, wat leidt tot lagere zorgkosten.

7.2 Zorgaanbieders

Dit wetsvoorstel heeft in mindere mate financiële gevolgen voor zorgverleners en zorgaanbieders.
De inspanningen komen voort uit de bekostiging van de eigen activiteiten van de zorgaanbieders
die benodigd zijn om toegang te hebben tot het NCPeH-NL. Dit omvat onder andere het
inrichten en/of wijzigen van processen, het trainen van eigen personeel en andere
acties die benodigd zijn als onderdeel van de toegang.

Het wetsvoorstel heeft potentieel ook structurele positieve financiële effecten voor
zorgaanbieders. Wanneer gegevens over cliënten niet toegankelijk zijn, kan dit een
aanzienlijke belemmering zijn voor de kwaliteit van de te verlenen zorg. Zonder deze
informatie kan het diagnosticeren bemoeilijkt worden, en genetische factoren en allergieën
over het hoofd worden gezien. Dit kan leiden tot vertraagde behandeling en zelfs de
veiligheid van de cliënt in gevaar brengen. Onder de zorgaanbieder ressorterende zorgverleners
verliezen tijd met (extra) administratieve handelingen, bijvoorbeeld omdat ze moeten
wachten totdat een zorgaanbieder in het land van herkomst de gegevens verstrekt. Dit
is tijd die ten koste gaat van de zorgverlening aan de cliënt. Bovendien kan het niet
inzichtelijk zijn van gegevens ertoe leiden dat zorgaanbieders onnodige, soms kostbare,
onderzoeken (over) moeten doen. Hierdoor lopen de zorgkosten onnodig op. Het faciliteren
van de grensoverschrijdende uitwisseling van gezondheidsgegevens zal derhalve een
besparing van de zorgkosten opleveren.

7.3 Cliënten

Het wetsvoorstel heeft potentieel financiële gevolgen voor cliënten (en zorgverzekeraars).
Doordat gezondheidsgegevens over de grens beschikbaar zijn, kunnen onnodige onderzoeken
en behandelingen voorkomen worden. Dit leidt tot lagere zorgkosten en eventuele eigen
bijdrage van cliënten.

7.4 Effecten regeldruk

Dit wetsvoorstel regelt uitsluitend de wettelijke taak voor de Minister van VWS voor
de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer
van het NCPeH-NL en tevens de benodigde grondslagen voor het verwerken van (bijzondere)
persoonsgegevens voor het uitvoeren van deze taak door het NCPeH-NL. Zoals al eerder
benoemd is het NCPeH-NL ondergebracht bij het CIBG. Nu dit een overheidsinstelling
betreft, zal dit wetsvoorstel geen gevolgen hebben voor de regeldruk voor burgers
en het bedrijfsleven.

De verdere uitwerking van het wetsvoorstel zal plaatsvinden via een AMvB. Hierbij
wordt onder andere uitgewerkt onder welke voorwaarden een zorgaanbieder toegang heeft
tot het NCPeH-NL en onder welke voorwaarden deze toegang kan worden opgeschort of
ontzegd. Ook de introductie van nieuwe categorieën van grensoverschrijdende digitale
gezondheidsinformatie zal via een AMvB verlopen. Pas bij de uitwerking van de AMvB
zal duidelijk worden welke gegevens tussen welke partijen worden uitgewisseld en wat
de gevolgen zijn voor de betrokken partijen. Dit betekent dat de regeldrukeffecten
van het wetsvoorstel pas concreet worden bij de uitwerking van de AMvB’s.

8. Uitvoering

Op basis van de Richtlijn 2011/24/EU wijst een lidstaat een NCPeH aan. Onderzoeksbureau
M&I heeft in een eerder stadium de geschiktheid van verschillende organisaties om
het beheer van het NCPeH-NL onder te brengen onderzocht. Het rapport concludeerde
dat het beheer van het NCPeH het beste kan worden toegewezen aan een overheidsorganisatie
die de capaciteiten en de domeinkennis heeft om namens VWS regie te voeren over de
inrichting en uitvoering van de taken van het NCPeH in Nederland. De uitvoerende taken
kunnen gescheiden worden van de regietaken en kunnen belegd worden bij andere organisatie.
In 2018 heeft VWS een subsidie gekregen van de EC voor de realisatie van een Nederlands
NCPeH om aan te sluiten op MyHealth@EU voor het grensoverschrijdend uitwisselen van
medische informatie. De inrichting van een NCPeH moet gebeuren conform de Europese
richtlijnen en regelgeving. De EC toetst lidstaten uitgebreid op de naleving van deze
eisen. Doordat de implementatie van het NCPeH conform EU vereisten dient te geschieden
en de naleving ervan structureel wordt gemonitord, ligt de verantwoordelijkheid voor
naleving bij de lidstaat, en daarmee de overheid (VWS). In de door VWS ondertekende
subsidievoorwaarden is tevens opgenomen dat het NCPeH op nationaal niveau moet worden
geïmplementeerd, onder de politieke verantwoordelijkheid van de Minister van VWS.
Om volledige regie te kunnen voeren op het nemen van deze verantwoordelijkheid is
er daarom voor gekozen het beheer, inclusief de uitvoering, van het NCPeH toe te wijzen
aan een publieke organisatie waarop de Minister van VWS, al dan niet directe, sturing
heeft.

Op grond van dit wetsvoorstel is de Minister van VWS belast met de inrichting, beschikbaarstelling,
instandhouding, werking, beveiliging en het beheer van het NCPeH-NL. De Minister van
VWS krijgt hiermee een rol in de verwerking van (bijzondere persoonsgegevens) in het
primaire zorgproces. Een publiekrechtelijke organisatie is in beginsel de aangewezen
organisatie om de publiek taak, namens de Minister uit te voeren. In het onderzoeksrapport
van M&I worden het CIBG en het CAK genoemd als de voornaamste partijen. Het CIBG is
gezien diens huidige voorzieningen, het meest passend. Het CIBG heeft de benodigde
ervaring in het beheer van registers, verwerken van (gecertificeerde) gegevens en
het bieden van dienstverlening aan zorg professionals. In juni 2019 is besloten dat
het CIBG namens de Minister van VWS het NCPeH-NL zal gaan beheren. Het CIBG heeft
in 2019 een uitvoeringstoets gedaan en aangegeven deze taak te kunnen en willen uitvoeren.

Om de taken van het NCPeH-NL te kunnen uitvoeren, verwerkt het CIBG, namens de Minister
van VWS (bijzondere) persoonsgegevens. De Minister van VWS is verwerkingsverantwoordelijke.
Het NCPeH-NL verwerkt deze gegevens ten behoeve van uitwisseling tussen zorgaanbieders
in Nederland en zorgaanbieders in een andere lidstaat die de patiënt onder behandeling
hebben. Onder paragraaf 3.2.5 zijn de waarborgen beschreven.

Conform de Europese kaders houdt de beheertaak voor het NCPeH-NL onder meer in:

– Regie en audit: het (beleggen van) de wettelijke/contractuele afspraken en de verantwoording
aan de EU in de vorm van auditeren, conformeren en testen aan de hand van Europese
kaders.

– Aanbieden diensten: zorgdragen voor het operationeel beheer van de technische faciliteiten,
het leveren van de ondersteuning aan de gebruikers, en het inrichten en onderhouden
van de software volgens de Europese richtlijnen.

– Terminologiediensten: het maken en beheren van de vertaaltabellen om semantische interoperabiliteit
te bereiken, de Master ValueSet Catalogue.

– NCPeH-NL portaal en applicatie: onderhouden van de software die als portaal dient
voor de uitwisseling van de data.

– Verbinding MyHealth@EU: zorgdragen voor de technische aansluiting op het MyHealth@EU-netwerk,
zodat het berichtenverkeer tussen het NCPeH-NL en de contactpunten van andere lidstaten
goed verloopt.

– Aansluiting zorgaanbieders: zorgdragen voor de technische aansluiting op wat genoemd
wordt «de lokale zorginfrastructuur», zodat het berichtenverkeer tussen de Nederlandse
zorgaanbieders en het NCPeH-NL goed verloopt.

– Stakeholdermanagement: zorgaanbieders/gebruikers ondersteunen bij de implementatie
van gezondheidsinformatiediensten en de (technische) aansluiting op de NCPeH-NL infrastructuur.
Kennis-inhoudelijke ondersteuning bieden aan zorgaanbieders/gebruikers faciliteren
van contacten en kennisuitwisseling tussen zorgaanbieders.

Voor het uitwisselen van categorieën van gezondheidsinformatie behelst de taak van
het NCPeH-NL:

– Het controleren en authentiseren van zorgaanbieders (gebruikers).

– Het bieden van een service voor het controleren van de cliëntidentiteit.

– Het opvragen van relevante cliëntgegevens bij bronsystemen.

– Het samenvoegen en eventueel converteren van gegevens naar het formaat van de betreffende
categorie gezondheidsinformatie.

– Het vertalen van codes vanuit Nederlandse codestelsels naar het intermediaire formaat.

9. Toezicht en handhaving

De AP heeft ingevolge artikel 57 van de AVG en artikel 6, derde lid, UAVG tot taak
toe te zien op de verwerking van persoonsgegevens overeenkomstig deze verordening
en wet. De bestuursrechtelijke handhaving is ingevolge artikel 51 AVG in samenhang
met artikel 14 UAVG toebedeeld aan de AP.

De instrumenten die aan de AP zijn toegekend om de regels te kunnen handhaven staan
in de artikelen 58, tweede lid, 83 en 84 AVG en in paragraaf 2.2 UAVG. De AP kan bijvoorbeeld
een administratieve boete opleggen wanneer er sprake is van inbreuk op de artikelen 5,
6 of 9 AVG (artikel 83, vijfde lid, AVG). Verder kan de AP bijvoorbeeld een waarschuwing
geven, een berisping opleggen, of een verwerkingsverbod opleggen (artikel 58, tweede
lid, onder a, b en f) als er (waarschijnlijk) sprake is van inbreuk op de AVG. Ook
kan de AVG een last onder dwangsom opleggen ter handhaving van de bij of krachtens
de AVG gestelde plichten (artikel 16, eerste lid, UAVG). Daaronder vallen – na inwerkingtreding
van dit wetsvoorstel – ook de hierboven genoemde bijkomende voorwaarden die gestoeld
zijn op artikel 9, vierde lid, AVG. Artikel 15 UAVG regelt het aanwijzen van toezichthouders
en geeft aan welke bevoegdheden de toezichthouders hebben, in aanvulling op de bevoegdheden
zoals beschreven in titel 5.2 Algemene wet bestuursrecht.

Zoals in paragraaf 4.4 aangegeven verandert met de implementatie van de EHDS het toezichtregime.
De Autoriteit voor digitale gezondheid krijgt op basis van artikel 19, tweede lid
onder f, van de EHDS de taak om toe te zien op het nationale contactpunt voor digitale
gezondheid en bij te dragen aan de ontwikkeling van MyHealth@EU. Dit houdt in dat
de Autoriteit voor digitale gezondheid het NCPeH-NL aanstuurt en in die rol toeziet
op het dagelijks functioneren van het NCPeH-NL en nagaat of die daarbij voldoet aan
de Europese technische vereisten zoals bedoeld in artikel 23, vierde lid, van de EHDS.
Dit is van belang om te borgen dat het NCPeH-NL voldoet aan de aansluitvoorwaarden
waarop de Europese Commissie nalevingscontroles uitvoert (artikel 23, negende lid,
EHDS). Naast dit toezicht op de technische vereisten is van belang dat wordt toegezien
op de gegevensverwerkingen door het NCPeH-NL en dat het functioneren van het NCPeH-NL
geen belemmering vormt voor de kwaliteit van zorg.

Binnen het huidige juridische kader zal de Autoriteit Persoonsgegevens toezicht houden
op de rechtmatige verwerking van persoonsgegevens. De AP is verantwoordelijk voor
zowel het toezicht op de toepassing van de AVG, als op verwerkingen van persoonsgegevens
in nationale wet- en regelgeving zoals de Wabvpz. De IGJ houdt toezicht op de informatieveiligheid
op grond van de Wabvpz, wat in dit geval inhoudt dat de IGJ toezicht houdt op de informatieveiligheid
wanneer voor de verstrekking van gegevens aan het NCPeH-NL, ten behoeve van zorg aan
Nederlandse cliënten in een andere lidstaat, gebruik wordt gemaakt van een elektronisch
uitwisselingssysteem, zoals het Landelijk Schakelpunt (LSP). Waar het gaat om het
inloggen in het portaal van het NCPeH-NL ten behoeve van het opvragen van gegevens
over een cliënt uit een andere lidstaat, ziet dat toezicht – na inwerkingtreding van
de Wet digitale identificatie en authenticatie in de zorg, waarin het toezicht- en
handhavingsinstrumentarium wordt uitgebreid ten aanzien van de intrekking of schorsing
van identificatiemiddelen met betrouwbaarheidsniveau hoog – mede op veiligheid van
de inlogmiddelen. In de uitvoeringswetgeving van de EHDS zal nadere invulling worden
gegeven aan de Autoriteit digitale gezondheid en worden uitgewerkt hoe het toezichtregime
verandert en wat de verhouding tussen de betrokken toezichthouders zal zijn.

10. Advies en consultatie

10.1 Internetconsultatie

De internetconsultatie van het wetsvoorstel tot wijziging van de Wet aanvullende bepalingen
verwerking persoonsgegevens in de zorg in verband met Richtlijn (EU) 2011/24 van het
Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten
van patiënten bij grensoverschrijdende gezondheidszorg is gestart op 21 juni 2024
en is gesloten op 2 augustus 2024. Daarmee heeft de internetconsultatie zes weken
open gestaan. De consultatie heeft 21 reacties opgeleverd. Het belang van toegang
tot elektronische gezondheidsgegevens voor zorgaanbieders in een andere lidstaat,
wanneer zij een Nederlandse burger onder behandeling hebben, wordt door verschillende
veldpartijen in de reacties op de internetconsultatie onderschreven. Hetzelfde geldt
voor het belang van de Nederlandse zorgaanbieder om te kunnen beschikken over de gezondheidsgegevens
van een burger uit een andere lidstaat die door hen wordt behandeld. Er zijn een aantal
aandachtspunten meegegeven die nadere duiding, dan wel aanpassing van het voorstel
vragen. Hierna wordt ingegaan op de hoofdlijnen uit de internetconsultatie en de veranderingen
die naar aanleiding hiervan in het wetsvoorstel zijn aangebracht.

10.1.1 Ophelderen probleemstelling

In de reacties op de internetconsulatie is verzocht om de probleemstelling van het
wetsvoorstel nader te duiden. Daarom wordt dit hierna nader toegelicht.

Steeds meer mensen die in de Europese Unie wonen, steken de landsgrenzen over om te
werken, te studeren, familieleden te bezoeken of om andere redenen. Deze toegenomen
mobiliteit van burgers tussen landen in de EU maakt dat steeds meer mensen een beroep
doen op zorg buiten hun eigen land. Het tijdig toegang hebben tot elektronische gezondheidsgegevens
voor de diagnose en behandeling van een cliënt is cruciaal. Deze persoonlijke elektronische
gezondheidsgegevens kunnen persoonsgegevens omvatten die verband houden met de lichamelijke
of geestelijke gezondheid van de cliënt, waaronder gegevens over de medische voorgeschiedenis,
de diagnoses en behandelingen, de medicaties, allergieën, vaccinaties, radiologische
beelden, laboratoriumresultaten en andere medische gegevens.

Tijdige en volledige toegang van zorgaanbieders tot de gezondheidsgegevens van hun
cliënten is van fundamenteel belang om de continuïteit van de zorg te waarborgen,
dubbel werk en fouten te voorkomen en de kosten te drukken. Door een gebrek aan interoperabiliteit
tussen lidstaten hebben zorgaanbieders in veel gevallen echter geen toegang tot de
elektronische gegevens over de gezondheid van hun cliënt, wanneer diegene in een andere
lidstaat woont. Dit maakt het lastiger om optimale medische beslissingen te nemen,
wat zowel voor het gezondheidszorgstelsel als voor de natuurlijke personen aanzienlijke
kosten met zich meebrengt en tot slechtere gezondheidsresultaten voor natuurlijke
personen kan leiden.

Recentere cijfers ontbreken, maar in 2014 had 2% van de Nederlandse burgers ongeplande
zorg nodig in een ander Europees land en ging 1% van de Nederlands naar het buitenland
voor geplande zorg.

10.1.2 Zorgen over misbruik

In de reacties op de internetconsultatie zijn zorgen geuit over oneigenlijk gebruik
van of toegang tot de gezondheidsgegevens van burgers. Over de gehele keten zijn waarborgen
ingebouwd om de kans op misbruik zo klein mogelijk te maken. Er is in de memorie een
paragraaf opgenomen waarin de waarborgen van de infrastructuur zijn beschreven, dit
wordt in paragraaf 3.2.5 nader toegelicht.

Tevens werd ten onrechte aangenomen dat het NCPeH-NL medische gegevens uit de categorieën
van gezondheidsinformatie opslaat. Het wetsvoorstel leidt echter op geen enkele wijze
tot centrale opslag van gegevens uit medische dossiers die worden gebruikt voor het
samenstellen van de gezondheidsinformatie. De gegevens afkomstig van de zorgdiensten
worden niet opgeslagen door het NCPeH-NL. Alleen de voor logging noodzakelijke gegevens
worden bewaard, zowel ten behoeve van de onweerlegbaarheid van gegevensuitwisseling
als voor beveiligingsdoeleinden (zoals het voorkomen en opsporen van misbruik). Naar
aanleiding van een suggestie uit de internetconsultatie is in het wetsvoorstel een
nieuw artikel toegevoegd dat regelt dat per AMvB nader wordt uitgewerkt welke gegevens
worden bewaard (zoals die noodzakelijk zijn voor logging) en welke bewaartermijnen
hiervoor gelden.

In artikel 15o, vierde en vijfde lid, is onder andere geregeld dat per AMvB nader
kan worden geregeld welke gegevens tussen wie zullen worden uitgewisseld, welke eisen
aan beveiliging worden gesteld en welke bewaartermijnen gelden. Hoewel de beveiligingseisen
nader per AMvB kunnen worden uitgewerkt, geldt voor het NCPeH-NL altijd de Baseline
Informatiebeveiliging Overheid (BIO). De BIO geldt binnen de gehele overheid en is
een gemeenschappelijk normenkader, gebaseerd op internationale normen voor de beveiliging
van de informatie(systemen) van de overheid.

De BIO2 vormt het nieuwe kader voor informatiebeveiliging binnen de overheid en wordt,
als onderdeel van de implementatie van de Europese Netwerk- en informatiebeveiligingsrichtlijn
(NIS2), opgenomen in een ministeriële regeling én in de AMvB die vallen onder de Cyberbeveiligingswet.
Hiermee wordt de BIO2 wettelijk verankerd.

10.1.3 Elektronisch uitwisselingssysteem als bedoeld onder de Wabvpz

Het is gebleken dat er vragen bestaan over of het NCPeH-NL moet worden gekwalificeerd
als een elektronisch uitwisselingssysteem (EUS) in de zin van artikel 1, onder j,
Wabvpz. Daarnaast wordt bezorgdheid geuit over hoe de rechten van burgers, zoals opgenomen
in de Wabvpz, worden gewaarborgd als het NCPeH-NL niet wordt gekwalificeerd als een
EUS. In paragraaf 5.1 van de toelichting wordt dit daarom nader toegelicht.

10.1.4 Toestemming

Uit de internetconsultatie blijkt dat er veel vragen zijn over de toestemming die
door de Nederlandse cliënten moet worden gegeven voordat uitwisseling van medische
gegevens met een zorgaanbieder in andere lidstaat mogelijk is. Zoals beschreven in
paragraaf 3.4 brengt dit wetstraject geen wijzigingen aan in de grondslagen voor verwerking
van (bijzondere) persoonsgegevens en de doorbreking van het beroepsgeheim van Nederlandse
zorgverleners.

De scope van de voorgestelde wetgeving beperkt zich tot de borging van de wettelijke
taak en de grondslag voor een rechtmatige verstrekking aan en verwerking van persoonsgegevens,
waaronder gegevens over de gezondheid, door het NCPeH-NL.

De toestemming van de Nederlandse cliënt aan de Nederlandse zorgaanbieder om gegevens
uit te wisselen via het NCPeH-NL is voorwaardelijk voor de verstrekking van gegevens
vanuit de Nederlandse zorgaanbieder aan het NCPeH-NL. Indien toestemming ontbreekt,
worden er geen gegevens naar het NCPeH-NL gestuurd en kan er niet worden uitgewisseld.
Het NCPeH in de andere lidstaat ontvangt dus alleen gegevens wanneer een Nederlandse
cliënt de toestemming aan zijn Nederlandse zorgaanbieder heeft geregistreerd. Daarnaast
kan het wel zo zijn dat de wet- en regelgeving in de andere lidstaat óók toestemming
vereist van de cliënt voor de verwerking door de zorgaanbieder aldaar. Dat zal dan
in de betreffende lidstaat door de onder de zorgaanbieder ressorterende zorgverlener
worden gevraagd aan de cliënt. Dit staat los van de toestemming die de cliënt heeft
gegeven aan de zorgaanbieder in Nederland om verstrekking mogelijk te maken.

Daarnaast wordt er vanuit de internetconsultatie op gewezen dat het wetsvoorstel de
wettelijke grondslag regelt voor het NCPeH-NL om gegevens te verwerken, maar dat deze
daartoe eerst door de zorgaanbieder aan het NCPeH-NL moeten worden verstrekt op basis
van uitdrukkelijke toestemming. Daarbij heeft de onder de zorgaanbieder ressorterende
zorgverlener te maken met de geheimhoudingsplicht op grond van art. 88 Wet BIG en
art. 7:457 BW. Het wetsvoorstel verandert niets aan deze bestaande wetgeving. Toestemming
is in het kader van de WGBO een mogelijkheid voor het doorbreken van de geheimhouding
van de zorgaanbieder, maar geen verplichting. De vraag is vervolgens of de zorgaanbieder
de afweging maakt om de gegevens te verstrekken aan een derde, aangezien in dit geval
de «derde» een overheidsorganisatie is en er sprake kan zijn van een afhankelijkheidsrelatie
tot de burger.

De afweging of de zorgverlener de geheimhouding doorbreekt, is inderdaad een afweging
van de zorgverlener zelf. Het wetsvoorstel regelt tenslotte geen plicht tot verstrekking
door de zorgaanbieder. Uitdrukkelijke toestemming is dus de enige mogelijke grondslag
voor verstrekking door de zorgaanbieder en voor het doorbreken van het beroepsgeheim.
In de uitdrukkelijke toestemming die gevraagd wordt aan de cliënt zal tevens toegelicht
worden dat de uitwisseling met de zorgaanbieder in een andere lidstaat die de cliënt
onder behandeling heeft, plaatsvindt via het NCPeH-NL (én daarnaast via een NCPeH
in de andere lidstaat). Daarbij wordt tevens transparant gemaakt dat het daarbij gaat
om een overheidsorganisatie. Vanuit zorgorganisaties zijn tot nog toe geen signalen
ontvangen dat bovenstaande als problematisch wordt ervaren.

Ten slotte is in de consultatie de vraag gesteld of een dergelijke toestemming wel
vrijelijk gegeven kan worden voor een verstrekking via een overheidsorganisatie, ook
als die overheid zelf niet op basis van toestemming verwerkt, maar op basis van een
wettelijke grondslag.

Op basis van de Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening
2016/679 van de European Data Protection Board (EDPB) – die zien op toestemming als rechtstreekse grondslag – kan evenwel betoogd
worden dat ondanks dat de EDPB als vuistregel hanteert dat toestemming in de verhouding
burger-overheid zelden vrijelijk gegeven kan worden, dit bij het NCPeH-NL wel degelijk
mogelijk is. In paragraaf 3.1.1 van eerdergenoemde Richtsnoeren geeft de EDPB voorbeelden
van een mogelijke wanverhouding tussen burger en overheid of het ontbreken daarvan
die van invloed zijn op het vrijelijk kunnen geven van een toestemming. Bij analoge
toepassing van deze voorbeelden valt op dat ook bij weigering door de cliënt om de
medische gegevens aan het NCPeH-NL te verstrekken (met het doel deze aan een ander
nationaal contactpunt en vervolgens aan een hulpverlener te verstrekken), deze nog
steeds zorg zal ontvangen. Ook is het voorzienbaar dat bij een dergelijke weigering
de onder de zorgaanbieder ressorterende zorgverlener in kwestie rechtstreeks contact
zal opnemen met de huisarts van de cliënt om relevante informatie uit diens dossier
op te vragen, zonder tussenkomst van nationale contactpunten als het NCPeH-NL. Rechtstreeks
contact verloopt echter niet optimaal en kan, bijvoorbeeld vanwege taalbarrières,
tijdrovend zijn of misverstanden veroorzaken. Voor optimale zorg is het wenselijk
dat de toestemming voor verstrekking aan een zorgaanbieder in een andere lidstaat
via het NCPeH-NL verleend wordt. De consequentie van het weigeren van de toestemming
is echter niet dat zorg geweigerd zal worden. Daarmee zijn aan de weigering geen aanzienlijke
negatieve gevolgen verbonden voor een cliënt die een weigering onmogelijk maken.

10.1.5 Koppeling persoonlijk gezondheidsdossier van de cliënt

Bij de internetconsultatie is door de Patiëntenfederatie Nederland de vraag gesteld
op welke manier cliënten inzage kunnen krijgen in de gegevens die uitgewisseld worden
door het NCPeH-NL, en of en hoe data beschikbaar komt voor hun persoonlijke gezondheidsomgeving
(PGO) (artikel 15ae Wabvpz). Daarnaast is door Stichting MedMij de wens uitgesproken
om het wetsvoorstel aan te vullen zodat er ook uitgewisseld kan worden met burgers,
door een afschrift beschikbaar te maken in de PGO van de cliënt.

De verplichting die voortvloeit uit het reeds bestaande artikel 15ae, Wabvpz om gegevens
over de cliënt op verzoek te delen met een persoonlijke gezondheidsomgeving ligt bij
de betreffende zorgaanbieder. Een verplichting voor het NCPeH-NL om gegevens te delen
met een patiënten portaal, zoals een PGO of een Wallet is van een andere orde en is
momenteel technisch niet mogelijk. Het NCPeH-NL is ingericht voor het uitwisselen
van gezondheidsgegevens tussen zorgaanbieders in verschillende lidstaten indien sprake
is van behandeling van een cliënt. Hierbij is sprake van een proces in twee stappen
waarbij het NCPeH-NL de ontvangen gegevens samenvoegt en converteert naar het format
van de betreffende categorie van gezondheidsinformatie. Hierbij worden de gezondheidsgegevens
vertaald naar Europese coderingen. Het NCPeH van het B-land vertaalt de Europese coderingen
vervolgens naar de codes en taal van het betreffende land. Het is nu technisch niet
mogelijk voor het NCPeH-NL om een patiëntsamenvatting samen te stellen die direct
door de patiënt kan worden opgeslagen in een persoonlijk gezondheidsdossier in de
taal en codering van de lidstaat waar men bijvoorbeeld op vakantie gaat.

Het zou kunnen dat in de toekomst door de lidstaten wordt besloten een extra dienst
toe te voegen aan MyHealth@EU die dit mogelijk maakt, echter deze uitwisseling is
nu nog onvoldoende nader bepaald. Met het huidige wetsvoorstel wordt de Richtlijn
(EU) 2011/24 geïmplementeerd.

Het verzoek om een bepaling op te nemen voor uitwisselingen naar een PGO gaat verder
dan wat de Richtlijn (EU) 2011/24 verlangd. Het is om die reden onwenselijk een bepaling
hieraan toe te voegen. Dit argument wordt versterkt doordat een dergelijke uitwisseling
nog niet nader is bepaald, en dit te veel onzekerheden geeft in het uitwerken van
de bepaling.

De EHDS bevat relevante aanvullingen op het recht op inzage en overdraagbaarheid van
de gegevens van de cliënt. Gelet hierop is het passender de toekomstige mogelijkheid
om categorieën van gezondheidsinformatie op verzoek van de cliënt uit te wisselen
met persoonlijke gezondheidsdossiers mee te nemen in de voor de EHDS benodigde implementatiewetgeving.
De cliënt kan al inzage krijgen in de uitgewisselde gezondheidsgegevens door dit op
te vragen bij de zorgaanbieder waar de behandeling plaatsvond.

10.1.6 Relatie tot andere initiatieven

In de reacties op de internetconsulatie werden vragen gesteld over de relatie tussen
het wetsvoorstel en andere beleidsinitiatieven: de Meerjarenagenda van de Wegiz, het Landelijk dekkend netwerk van infrastructuren en Twiin
Afsprakenstelsel. Hoewel het wetsvoorstel hier niet op ziet, is paragraaf 5.5 toegevoegd
waarin de samenhang wordt toegelicht.

10.1.7 Rol van de overheid

In één van de reacties op de internetconsultatie wordt gesteld dat de noodzakelijkheid
van inmenging door de overheid onvoldoende overtuigend is onderbouwd en dat er vanuit
het oogpunt van subsidiariteit niet wordt ingegaan op alternatieven voor inrichting
van het NCPeH-NL.

Met het aanwijzen van een publieke organisatie, het CIBG, als het NCPeH-NL krijgt
de Minister van VWS een rol in de verwerking van (bijzondere persoonsgegevens) in
het primaire zorgproces. Dit is inderdaad een novum. De rol van de overheid bij deze
verwerkingen is echter zeer beperkt. De overheid zal hoofdzakelijk de technische toegangspoort
in beheer nemen. De onderbouwing voor de keuze om de inrichting, beschikbaarstelling,
instandhouding, werking, beveiliging en het beheer van het NCPeH-NL te beleggen bij
een overheidspartij is nader onderbouwd in hoofdstuk 8.

10.2 Uitvoeringstoets CIBG

Het CIBG heeft een uitvoeringstoets gedaan op het conceptwetsvoorstel dat in internetconsultatie
is geweest. Het CIBG heeft het wetsvoorstel als haalbaar en realiseerbaar beoordeeld.
Het CIBG ziet echter wel een aantal aandachtspunten. In deze paragraaf wordt ingegaan
op de voornaamste punten van het CIBG.

10.2.1 Bevoegdhedenverdeling binnen het stelsel

Er dient volgens het CIBG een heldere afbakening te zijn van de stelselrollen en de
bijbehorende verantwoordelijkheden. Momenteel is het voor het CIBG onvoldoende duidelijk
met welk mandaat het CIBG deelneemt aan de overleggen binnen het MyHealth@EU-domein
en wat de rol is van andere Nederlandse partijen.

Het wetsvoorstel vormt de basis voor de verlening van het mandaat aan het CIBG. Zodra
het wetsvoorstel is aangenomen zal het mandaat nader worden geregeld.

Het gebruik maken van het NCPeH-NL door zorgaanbieders is op vrijwillige basis, het
CIBG kan daardoor alleen een inspanningsverplichting aangaan met betrekking tot het
aantal zorgaanbieders dat gebruik maakt van het NCPeH-NL.

10.2.2 Lagere wet- en regelgeving

Het CIBG heeft de uitvoeringstoets gedaan op het wetsvoorstel, waarin werd uitgegaan
van aansluiting van zorgaanbieders op het NCPeH-NL door middel van een aanvraagprocedure.
Het CIBG heeft erop gewezen dat de introductie van nieuwe categorieën van gezondheidsinformatie
die uitgewisseld kan worden zal plaatsvinden via AMvB en dat in de AMvB een nadere
uitwerking wordt gegeven van de verwerkingen en bijbehorende persoonsgegevens voor
die specifieke categorie van gezondheidsinformatie. Ook volgt uit het wetsvoorstel
dat nadere regels kunnen worden gesteld over aanvraagprocedure en de voorwaarden waaronder
een zorgaanbieder wordt aangesloten op een NCPeH-NL. Het CIBG heeft aangegeven dat
de AMvB’s nog moeten worden opgesteld en daarom niet kunnen worden meegenomen in deze
uitvoeringstoets. De aanvullende voorwaarden in de AMvB’s vooral die voor de aanvraagprocedure,
zijn belangrijk voor de uitvoering door het CIBG en voor het beantwoorden van de vraag
of de nieuwe taak uitvoerbaar is. Het CIBG dient in dat geval de aanvragen namelijk
te toetsen aan de voorwaarden en er is reeds een aansluitproces en aansluitvoorwaarden
voor PS-B. Wanneer de voorwaarden middels een AMvB worden aangepast of aangevuld,
levert dit extra werk op omdat de aanvraagprocedure moet worden aangepast. Ook de
weigerings- en intrekkingsgronden moeten worden vastgelegd in wetgeving, omdat het
CIBG anders geen aanvragen kan weigeren en intrekken. Het CIBG hecht daarom belang
aan dat zij vroeg worden betrokken bij het opstellen van AMvB’s. De vroegtijdige betrokkenheid
van het CIBG wordt meegenomen in de planning van het traject voor de totstandkoming
van de AMvB’s.

Bij de nadere uitwerking van de AMvB’s is gebleken dat een aanvraagproces, waarbij
het CIBG aanvragen van individuele zorgaanbieders moet afhandelen, een grote inspanningsbehoefte
vergt van het CIBG. Op basis hiervan heeft in overleg met het CIBG een wijziging plaatsgevonden
in artikel 15p en 15q, waarbij er niet langer uitgegaan van het aansluiten van zorgaanbieders
op het NCPeH-NL door middel van een aanvraagprocedure. De zorgaanbieders zullen van
rechtswege toegang tot het NCPeH-NL hebben, indien zij voldoen aan bij AMvB te stellen
voorwaarden.

10.2.3 Bevoegdheid om aanvragen te weigeren en in te trekken

In artikel 15n van het conceptwetsvoorstel ontbraken de bevoegdheden voor het NCPeH-NL
om aanvragen te weigeren, in te trekken en eventueel te schorsen en de gronden op
basis waarvan het NCPeH-NL dit mag doen. Het CIBG heeft aangegeven dat het voor de
uitvoering noodzakelijk is om deze bevoegdheden in het wetsvoorstel te regelen.

Gezien de eerder genoemde wijziging in het voorstel, is er niet langer sprake van
een aanvraagprocedure en is het niet langer nodig een bevoegdheid te regen om een
aanvraag te weigeren. Naar aanleiding van de constatering van het CIBG, zijn in artikel 15p
wel de bevoegdheden opgenomen om de toegang tot het NCPeH-NL te ontzeggen.

10.3 Toets Autoriteit Persoonsgegevens

Het conceptvoorstel is voor advies voorgelegd aan de Autoriteit Persoonsgegevens (AP).
De AP heeft bij brief van 17 december 2024 haar advies gegeven over het wetsvoorstel.
De AP heeft bezwaar tegen het concept omdat in artikel 15m, vierde lid, van het concept,
onvoldoende bepaald is met welke derde partijen persoonsgegevens mogen worden uitgewisseld
en aan welke eisen die derde partijen moeten voldoen. Daarnaast heeft de AP nog enkele
aanmerkingen waarvan zij aangeeft dat die om aanvulling en aanpassing van het concept
en de toelichting vragen. Hierna wordt op hoofdlijnen ingegaan op het advies van de
AP. Naar aanleiding van het advies is het wetsvoorstel op een aantal punten aangepast.
Tevens is de toelichting naar aanleiding van het advies van de AP op meerdere punten
aangepast en nader gemotiveerd. Voor zover het advies van de AP niet is overgenomen,
is dit nader toegelicht.

10.3.1 Uitwisseling met derde partijen

De concept wetstekst (artikel 15m, vierde lid), voorzag in een grondslag voor het
NCPeH-NL om gegevens uit te wisselen met een derde partij waarvan een Nederlandse
zorgaanbieder gebruikt maakt. Hierbij valt te denken aan een elektronisch uitwisselingssysteem.
De AP geeft in het advies aan dat het onvoldoende voorzienbaar is met welke andere
«derde partijen» gegevens mogen worden uitgewisseld op grond van deze bepaling. Bovendien
gaat het concept niet in op eisen waar deze derde partijen aan moeten voldoen. Mocht
blijken dat het alleen maar gaat om uitwisseling met elektronische uitwisselingssystemen,
dan zou de bepaling ook alleen daar op moeten zien. De AP adviseert dit in de wettekst
te specificeren. In reactie hierop is in de voorgestelde wettekst (artikel 15r, vijfde
lid) gespecificeerd dat deze bepaling alleen ziet op elektronische uitwisselingssystemen
zoals bedoeld in artikel 1, onderdeel j, Wabvpz. In de Wabvpz is reeds nader gespecificeerd
aan welke eisen een elektronisch uitwisselingssysteem moet voldoen.

10.3.2 Aanwezigheid van geregistreerde toestemming

De AP merkt terecht op dat voor de verstrekking van gegevens toestemming van de patiënt
aan zijn zorgaanbieder nodig is voor uitwisseling via MyHealth@EU. Slechts de feitelijke
uitvoering van de uitwisseling via dit systeem wordt als wettelijke taak aan de Minister
opgedragen, waardoor deze een eigen (e) grondslag in de wet heeft voor de nodige verwerkingen.
Dat neemt niet weg dat de aanwezigheid van toestemming, net als bij gegevensverstrekkingen
tussen Nederlandse zorgaanbieders, voor de patiënt onder de huidige wetgeving een
belangrijke waarborg is. De AP ziet het controleren van de toestemming als een belangrijke
waarborg voor rechtmatigheid van de uitwisseling. Voorzien is dat het NCPeH-NL de
toestemming controleert via een online toestemmingsvoorziening of een elektronisch
uitwisselingssysteem. De AP adviseert om de voorgenomen wijze van uitvoering als verplichting
in de wet zelf op te nemen.

Behalve de waarborgfunctie die dit heeft, blijkt uit de wet dan ook duidelijker hoe
de verwerkingsgrondslagen zich tot elkaar verhouden, namelijk: toestemming wordt verleend
aan de zorgaanbieder en het hoort bij de publieke taak van het NCPeH-NL om te controleren
of die toestemming er is voordat de uitwisseling wordt gefaciliteerd. In reactie hierop
is deze waarborg opgenomen in de voorgestelde wettekst. In artikel 15r, derde lid,
is daarom opgenomen dat de uitwisseling alleen plaatsvindt indien vaststaat dat die
toestemming is verleend. Tevens is dit nader toegelicht in paragraaf 3.4 van de memorie
van toelichting.

10.3.3 Verwerkingsgrondslag Minister dubbelop

De AP concludeert dat de bepaling in artikel 15k, derde lid, van het conceptwetsvoorstel
op grond waarvan de Minister persoonsgegevens mag verwerken, waaronder gegevens over
gezondheid, als dat noodzakelijk is voor de uitoefening van zijn taken geen meerwaarde
lijkt te hebben ten opzichte van de (meer) concrete verwerkingsgrondslagen in artikel 15l,
15m en 15n van het concept.

De AP concludeert dat artikel 15k, derde lid, van het concept dubbelop is en adviseert
de bepaling te schrappen. Dit advies is overgenomen. De grondslag is niet meer specifiek
benoemd in de betreffende bepaling. De doelstellingen waarnaar de overige artikelen
verwijzen zijn wel opgenomen in de bepaling.

10.3.4 Kwalificatie NCPeH-NL en MyHealth@EU in Nederlands en Europees recht

De AP geeft aan dat in de memorie van toelichting een nadere motivering ontbreekt
voor het standpunt dat het NCPeH-NL niet functioneert als een elektronisch uitwisselingssysteem
in de zin van artikel 15a Wabvpz. De AP concludeert dat MyHealth@EU wel degelijk onder
die definitie lijkt te vallen en dat dit zich mogelijk niet verdraagt met de voorrangspositie
die het Europese recht heeft ten opzichte van lidstatelijk recht. De AP adviseert
daarom bij wet nog wel expliciet te bepalen dat de bepalingen die voor elektronische
uitwisselingssystemen gelden niet van toepassing zijn op MyHealth@EU. In reactie op
dit advies is in paragraaf 5.1 van de memorie van toelichting nader gemotiveerd waarom
het NCPeH-NL niet onder de definitie van een elektronisch uitwisselingssysteem valt.

Op grond van artikel 1 onderdeel j van de Wabvpz wordt een elektronisch uitwisselingssysteem
(EUS) gedefinieerd als een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van
dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen
maken, waaronder niet begrepen een systeem binnen een zorgaanbieder. Om als EUS gekwalificeerd te worden is het ingevolge de definitie van artikel 1
onder j van de Wabvpz onder meer van belang dat het een systeem betreft waarmee zorgaanbieders
op elektronische wijze gedeelten van dossiers of gegevens uit dossiers voor andere
zorgaanbieders raadpleegbaar kunnen maken. De Wabvpz gaat daarbij uit van een zorgaanbieder
in de zin van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz, artikel 1, onder c).
De zorgaanbieder in de andere lidstaat waarmee het NCPeH-NL uitwisselt valt echter
niet onder de kwalificatie van zorgaanbieder in de zin van de Wkkgz. Het NCPeH-NL
kan daarom niet worden gekwalificeerd als een EUS in de zin van artikel 1, onder j,
van de Wabpvz.

Voor MyHealth@EU geldt dat deze term specifiek ziet op de digitale infrastructuur
(voorheen: The eHealth Digital Service Infrastructure, eHDSI). Het is daarmee een
federatief digitaal netwerk dat de verschillende nationale contactpunten met elkaar
verbindt. Het valt daarmee niet onder de definitie van een elektronisch uitwisselingssysteem.

Zoals aangegeven onder 10.3.1 kan een zorgaanbieder ervoor kiezen om de gegevens via
een elektronisch uitwisselingssysteem beschikbaar te stellen aan het NCPeH-NL. Naar
aanleiding van het advies van de AP is in artikel 15r, vijfde lid, gespecificeerd
dat deze bepaling alleen ziet op elektronische uitwisselingssystemen, als bedoeld
in artikel 1, onderdeel j, Wabvpz, zoals het LSP. Zoals hiervoor toegelicht beperkt
de definitie van elektronisch uitwisselingssysteem zich tot het uitwisselen van informatie
tussen zorgaanbieders. Dat betekent dat het uitwisselingssysteem in zoverre niet als
elektronisch uitwisselingssysteem fungeert, wanneer een zorgaanbieder dit systeem
gebruikt voor het uitwisselen van gegevens met het NCPeH-NL. Artikel 8, tweede lid,
dat de grondslag voor de beheerder van het elektronisch uitwisselingssysteem bevat
om het BSN te mogen verwerken, alsmede de bepalingen inzake de elektronische verwerking
van gegevens in hoofdstuk 3a van de Wabvpz, missen daardoor hun toepassing. Nu bij
de uitwisseling van gegevens met het NCPeH-NL voor digitale zorg het BSN wordt verstrekt
en omdat het wenselijk is dat bij die uitwisseling ook de waarborgen uit hoofdstuk
3a gelden, is in het zesde lid bepaald dat de beheerder bevoegd is tot het ontvangen
en verstrekken van het BSN en dat de bepalingen uit hoofdstuk 3a van overeenkomstige
toepassing zijn.

10.3.5 Gegevens cliënt opvragen uit eigen land bij een andere lidstaat

De AP wijst erop dat het wetsvoorstel toelaat dat zorgaanbieders gegevens van hun
cliënt uit eigen land opvragen bij een andere lidstaat, maar dat dit niet de bedoeling
van de wetgever lijkt te zijn. De AP overweegt hierbij dat uit de wettekst helder
moet blijken of zorgaanbieders al dan niet ook gegevens van hun cliënt uit eigen land
kunnen opvragen bij een andere lidstaat. Verduidelijking van de wettekst en/of memorie
van toelichting op dit punt is volgens de AP daarom aangewezen. Hoewel het wetsvoorstel
niet is geschreven met het oog op de door de AP geconstateerde situatie, is het inderdaad
mogelijk dat de situatie zich in de praktijk zou kunnen voordoen. De situatie is echter
niet bezwaarlijk, aangezien het in lijn is met de het doel dat de richtlijn nastreeft.

Nu het uitwisselen van gegevens via nationale contactpunten alleen mogelijk is na
identificatie van de cliënt aan de hand van het persoonsidentificerende nummer dat
wordt gebruikt in de lidstaat waar de gegevens zijn vastgelegd, kan die situatie zich
in de praktijk alleen voordoen in het geval iemand beschikt over het in die lidstaat
gebruikte persoonsidentificerende nummer. In reactie op de constatering van de AP
is een nadere toelichting opgenomen in paragraaf 3.1 van de memorie van toelichting,
waarin deze situatie beschreven wordt.

10.4 Toets Adviescollege toetsing regeldruk (ATR)

Het conceptwetsvoorstel is voor advies voorgelegd aan het Adviescollege toetsing regeldruk
(hierna: ATR). De ATR heeft het dossier niet geselecteerd voor een formeel advies,
omdat het geen gevolgen voor de regeldruk heeft.

Artikelsgewijze toelichting

Artikel I: Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens
in de zorg

Onderdeel A – Artikel 1 (begripsbepalingen)

Met dit wetsvoorstel wordt geregeld dat het beheer van het NCPeH-NL een wettelijke
taak van de Minister is en wordt voorzien in de vereiste grondslagen voor het uitwisselen
van patiëntinformatie met nationale contactpunten van andere lidstaten via het digitale
e-gezondheidsnetwerk MyHealth@EU.

Om duidelijk te maken dat het gaat om het uitwisselen van medische informatie door
middel van informatie- en communicatietechnologie, waarbij het NCPeH-NL als schakel
tussen zorgaanbieders in Nederland en soortgelijke NCPeH’s in andere lidstaten fungeert,
is aan artikel 1 de begripsbepaling «nationaal contactpunt voor digitale gezondheid»
toegevoegd. Aansluiting met een NCPeH op het MyHealth@EU-netwerk is op grond van Richtlijn
2011/24/EU mogelijk voor lidstaten van de Europese Unie en andere landen die partij
zijn bij de EER. Daarom is ook de begripsbepaling «lidstaat» in artikel 1 opgenomen.

Onderdeel B – Artikelen 15o, 15p, 15q en 15r (wettelijke taak, aansluiting op het
NCPeH-NL en grondslagen voor het uitwisselen van persoonsgegevens)

Artikel 15o Het beheer van het NCPeH-NL

Aan de Wabvpz wordt het hoofdstuk 3c. nationaal contactpunt voor digitale gezondheid
toegevoegd dat aanvangt met artikel 15o. In het eerste lid van deze bepaling wordt
de taak tot het zorgdragen voor het NCPeH-NL bij de Minister belegd. In de praktijk
zal het CIBG deze taak namens de Minister uitvoeren.

In het tweede lid wordt verduidelijkt welk doel met de taak wordt gediend, te weten
het uitwisselen van patiëntinformatie tussen zorgaanbieders in verschillende lidstaten
door tussenkomst van nationale contactpunten met het oog op de verlening van zorg.
Het gaat hier om het uitwisselen van gegevens van een cliënt uit een andere lidstaat
ten behoeve van zorg in Nederland (onderdeel a) of van een cliënt uit Nederland met
het oog op zorg in een andere lidstaat (onderdeel b). Deze uitwisselingen en de benodigde
grondslagen daarvoor worden in de artikelen 15q en 15r nader uitgewerkt.

Het derde lid bevat een geheimhoudingsplicht voor eenieder die in het kader van de
uitoefening van de taak informatie over natuurlijke personen heeft verkregen.

Zoals toegelicht in paragraaf 3.3.1 van het algemene deel van deze toelichting is
het opnemen van een geheimhoudingsplicht op grond van artikel 9, derde lid, van de
AVG vereist, nu het de uitwisseling van gezondheidsgegevens betreft en de uitzondering
op het verwerkingsverbod is gelegen in het tweede lid, onder h.

De patiëntgegevens die worden uitgewisseld via nationale contactpunten bestaan uit
verschillende categorieën gezondheidsinformatie. Zoals in het algemene deel is toegelicht
zien de bestaande categorieën op het uitwisselen van patient summaries (patiëntsamenvattingen)
en e-prescriptions (elektronische recepten). In de toekomst zullen daar nog andere
categorieën bijkomen.

De introductie daarvan zal op grond van het vierde lid plaatsvinden bij AMvB, waarin
nader wordt geregeld welke gegevens tussen wie zullen worden uitgewisseld. Verder
kunnen ingevolge het vijfde lid bij of krachtens AMvB nadere regels worden gesteld
over de inrichting, beschikbaarstelling, beveiliging, instandhouding en werking van
het NCPeH-NL.

Artikel 15p Toegang tot het NCPeH-NL

Voor het doen van een verzoek om verstrekking van gegevens ten behoeve van zorg in
Nederland aan een cliënt uit een andere lidstaat, als bedoeld in artikel 15q, zal
de zorgaanbieder toegang tot het NCPeH-NL moeten verkrijgen. Ingevolge artikel 15p,
eerste en tweede lid, hebben zorgaanbieders die voldoen aan bij of krachtens AMvB
te stellen voorwaarden toegang tot het NCPeH-NL. Deze voorwaarden zullen betrekking
hebben op het beroep dat de zorgaanbieder uitoefent en op het inlogmiddel waarmee
de zorgaanbieder inlogt op het portaal op de website van het NCPeH-NL. Bij AMvB zal
tevens worden geregeld onder welke voorwaarden de toegang van zorgaanbieders dan wel
de onder hen ressorterende zorgverleners tot het NCPeH-NL kan worden opgeschort en
ontzegd.

De voordracht voor deze AMvB wordt niet eerder gedaan dan twee weken nadat het ontwerp
aan beide kamers der Staten-Generaal is overgelegd. Dit is reeds geregeld in artikel 17b
van de Wabvpz.

Artikel 15q Grondslagen voor het verwerken (bijzondere) persoonsgegevens ten behoeve
van zorg in Nederland aan een cliënt uit een andere lidstaat

Eerste lid

Artikel 15q betreft de uitwerking van de in artikel 15o, onderdeel a, bedoelde situatie
dat een cliënt uit een andere lidstaat in Nederland zorg behoeft. Voor een uitvoerige
beschrijving van het proces van uitwisselen van persoonsgegevens wordt verwezen naar
paragraaf 3.2.3 van het algemeen deel van de memorie van toelichting.

Het eerste lid van artikel 15q ziet op de fase waarin een zorgaanbieder in Nederland
zich tot het NCPeH-NL wendt met het verzoek om gegevens te verstrekken in verband
met het verlenen van zorg aan een cliënt uit een andere lidstaat. In veel gevallen
zal dit verzoek worden gedaan door een onder die zorgaanbieder ressorterende zorgverlener.

Om via het NCPeH-NL een verzoek om patiëntgegevens te doen, dient de onder de zorgaanbieder
ressorterende zorgverlener op de website van het NCPeH-NL in te loggen. Daarbij worden
diverse gegevens van de zorgaanbieder en zorgverlener vastgelegd, waaronder identificerende
gegevens zoals het UZI-nummer en de AGB-code, alsook een indicatie van een behandelrelatie
met de patiënt. Verder zullen ter identificatie van de cliënt persoonsgegevens van
deze cliënt moeten worden ingevoerd. Welke dit zijn kan per lidstaat verschillen,
maar de eis van dataminimalisatie staat hierbij voorop. Het zal daarom niet om meer
gegevens gaan dan voor- en achternaam, geslacht, geboortedatum, nationaliteit en het
persoonsidentificerende nummer dat in de desbetreffende lidstaat wordt gebruikt. Deze
gegevens worden via het NCPeH-NL met het NCPeH in de andere lidstaat gedeeld om de
patiëntgegevens die in dat land beschikbaar zijn te achterhalen.

De grondslagen voor het NCPeH-NL om de door de zorgaanbieder verstrekte persoonsgegevens
te mogen verwerken en te verstrekken aan een NCPeH in een andere lidstaat, zoals hiervoor
uiteengezet, zijn in het eerste lid opgenomen. Daarbij is ook de bevoegdheid geregeld
om gegevens over de gezondheid van de cliënt te verwerken, omdat de indicatie van
de behandelrelatie tussen zorgaanbieder en cliënt een gezondheidsgegeven is. Dit vormt
tevens de uitzonderingsgrond voor het doorbreken van het verbod op het verwerken van
bijzondere persoonsgegevens (artikel 9, tweede lid AVG, onder h).

Tweede lid

Het tweede lid ziet op de volgende fase in het opvragen van gegevens over een cliënt
uit een andere lidstaat die in Nederland zorg behoeft. Wanneer in het land van herkomst
patiëntgegevens beschikbaar zijn, zal het NCPeH uit die lidstaat deze gegevens aan
het NCPeH-NL verstrekken.

De gegevens worden vervolgens door het NCPeH-NL door middel van een geautomatiseerd
proces vertaald en verstrekt aan de zorgaanbieder die erom heeft verzocht. Voor deze
verwerkingen worden in het tweede lid de benodigde grondslagen gegeven, alsmede een
uitzonderingsgrond voor het doorbreken van het verbod op het verwerken van bijzondere
persoonsgegevens, nu het bij uitstek om gezondheidsgegevens gaat.

Artikel 15r Grondslagen voor het verwerken (bijzondere) persoonsgegevens ten behoeve
van zorg in een andere lidstaat aan een cliënt uit Nederland

Eerste lid

Artikel 15r betreft de uitwerking van de in artikel 15o, onderdeel b, bedoelde situatie,
waarin een cliënt uit Nederland in een andere lidstaat zorg behoeft. In dat geval
vraagt het NCPeH uit die lidstaat het NCPeH-NL om gegevens over die cliënt te verstrekken.
Voor een gedetailleerde weergave van de wijze waarop de uitwisseling van gegevens
plaatsvindt, wordt verwezen naar paragraf 3.2.2 van het algemeen deel van deze toelichting.

In het eerste lid van artikel 15r worden de grondslagen gegeven voor het verwerken
van de persoonsgegevens die het NCPeH-NL in het kader van dat verzoek ontvangt, alsook
voor de verdere verstrekking daarvan aan de zorgaanbieders van de cliënt in Nederland.
Daarbij wordt tevens voorzien in een uitzonderingsgrond voor het doorbreken van het
verbod op het verwerken van bijzondere persoonsgegevens, omdat het NCPeH-NL van het
contactpunt uit de andere lidstaat gegevens over de behandelrelatie of het specialisme
van de onder de zorgaanbieder ressorterende zorgverlener ontvangt die als gezondheidsgegeven
kunnen kwalificeren.

Tweede lid

Wanneer de cliënt zijn zorgaanbieders (bijvoorbeeld op een eerder moment) toestemming
voor het delen van zijn gegevens heeft gegeven, zullen deze gegevens aan het NCPeH-NL
voor digitale zorg worden verstrekt, die het op zijn beurt zal verstrekken aan het
NCPeH dat erom heeft verzocht. Alvorens het NCPeH-NL de gegevens aan dat nationaal
contactpunt verstrekt, vindt door middel van een geautomatiseerd proces een vertaling
van die gegevens plaats. Het tweede lid bevat de grondslag voor deze verwerking door
het NCPeH -NL en de daaropvolgende verstrekking aan het NCPeH uit de andere lidstaat.

Derde lid

De verstrekking van gegevens door zorgaanbieders in Nederland aan het NCPeH-NL, waarbij
het medisch beroepsgeheim wordt doorbroken en de verdere verstrekking aan het NCPeH
in de lidstaat waar de cliënt zorg behoeft, kan alleen plaatsvinden als de cliënt
daarvoor toestemming heeft gegeven. Dit is, net als bij gegevensverstrekkingen tussen
Nederlandse zorgaanbieders onderling, voor de cliënt onder de huidige wetgeving een
belangrijke waarborg. Daarom is in dit lid uitdrukkelijk bepaald dat de in het tweede
lid beschreven verwerking en uitwisseling van persoonsgegevens alleen is toegestaan
met toestemming van de cliënt. Of een cliënt toestemming aan de zorgaanbieder heeft
verleend om gegevens te verstrekken, zal moeten zijn vastgelegd in een online toestemmingsvoorziening
of een elektronisch uitwisselingssysteem.

Vierde lid

Uit artikel 46 van de Uitvoeringswet Algemene verordening gegevensbescherming volgt
dat het verwerken van het BSN slechts is toegestaan voor bij wet bepaalde doeleinden.
Voor de verwerking van het BSN door het NCPeH-NL ter identificatie van de cliënt en
voor de uitwisseling van het BSN tussen het NCPeH-NL en zorgaanbieders zijn grondslagen
aanwezig in de Wet algemene bepalingen burgerservicenummer en de Wabvpz. Deze wetten
bieden evenwel geen grondslag voor de verstrekking van het BSN door het NCPeH-NL aan
het NCPeH in een andere lidstaat. In het vierde lid is daarom opgenomen dat ook het
BSN aan het NCPeH in een andere lidstaat wordt verstrekt.

Vijfde lid

Zorgaanbieders kunnen voor het uitwisselen van patiëntgegevens gebruik maken van een
elektronisch uitwisselingssysteem, zoals het Landelijk Schakel Punt (LSP). Blijkens
de definitie in artikel 1, aanhef en onder j, van de Wabvpz wordt een elektronisch
uitwisselingssysteem door een zorgaanbieder gebruikt voor het beschikbaar stellen
van gegevens aan andere zorgaanbieders.

In de praktijk kan een dergelijk systeem ook worden aangewend voor het uitwisselen
van gegevens met het NCPeH-NL, als bedoeld in het eerste en tweede lid.

Wanneer de beheerder van een elektronisch uitwisselingssysteem zelf verwerkingsverantwoordelijke
is, zoals bijvoorbeeld bij het LSP het geval is, volstaan de grondslagen voor het
uitwisselen van gegevens zoals beschreven in het eerste en tweede lid niet. De beheerder
treedt dan immers niet op als verwerker van gegevens ten behoeve van de verwerkingsverantwoordelijke
zorgaanbieder, zodat geen sprake is van het uitwisselen van gegevens tussen het NCPeH-NL
en de zorgaanbieder. In het vijfde lid is daarom uitdrukkelijk opgenomen dat in het
geval een zorgaanbieder gebruik maakt van een elektronisch uitwisselingssysteem waarvoor
de beheerder zelf de verwerkingsverantwoordelijke is, de uitwisseling van gegevens
zoals beschreven in het eerste en tweede lid plaatsvindt met die beheerder.

Zesde lid

Zoals hiervoor toegelicht beperkt de definitie van elektronisch uitwisselingssysteem
zich tot het uitwisselen van informatie tussen zorgaanbieders. Dat betekent dat het
uitwisselingssysteem in zoverre niet als elektronisch uitwisselingssysteem fungeert,
wanneer een zorgaanbieder dit systeem gebruikt voor het uitwisselen van gegevens met
het NCPeH-NL. Artikel 8, tweede lid, dat de grondslag voor de beheerder van het elektronisch
uitwisselingssysteem bevat om het BSN te mogen verwerken, alsmede de bepalingen inzake
de elektronische verwerking van gegevens in hoofdstuk 3a van de Wabvpz, missen daardoor
hun toepassing. Nu bij de uitwisseling van gegevens met het NCPeH-NL voor digitale
zorg het BSN wordt verstrekt en omdat het wenselijk is dat bij die uitwisseling ook
de waarborgen uit hoofdstuk 3a gelden, is in het zesde lid bepaald dat de beheerder
bevoegd is tot het ontvangen en verstrekken van het BSN alsmede dat de bepalingen
uit hoofdstuk 3a van overeenkomstige toepassing zijn.

Artikel 15s Het bewaren van gegevens

Zoals volgt uit het eerste lid worden persoonsgegevens niet langer bewaard dan de
duur van de sessie. Een sessie beslaat de periode van het moment van opvraging van
patiëntgegevens door de onder de zorgaanbieder ressorterende zorgverlener tot het
moment dat verstrekking van die gegevens aan die onder de zorgaanbieder ressorterende
zorgverlener plaatsvindt. In het tweede lid wordt een uitzondering gemaakt voor loggegevens,
die voor maximaal vijf jaar worden bewaard teneinde achteraf de rechtmatigheid van
de opvraging te kunnen controleren. Welke gegevens dat precies zijn, zal bij AMvB
worden geregeld.

Artikel II: Inwerkingtreding

Beoogd wordt om deze wet bij koninklijk besluit in werking te laten treden op 1 april
2026.

De Minister van Volksgezondheid, Welzijn en Sport, J.A. Bruijn