ONTVANGEN 16 NOVEMBER 2020
Inhoudsopgave
1. |
Algemeen deel |
2 |
2. |
Landelijke alcohol en drugs informatiesysteem |
5 |
3. |
De Landelijke Trauma Registratie |
5 |
4. |
Gegevensuitwisseling en privacy |
5 |
5. |
Regeldrukgevolgen |
6 |
Artikelsgewijze toelichting |
7 |
Introductie
Met belangstelling heb ik kennis genomen van het verslag van de vaste commissie voor Volksgezondheid, Welzijn en Sport (VWS) over het voorstel tot Wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het creëren van grondslagen voor het verwerken van gepseudonimiseerde persoonsgegevens ten behoeve van registraties ter bevordering van de kwaliteit en veiligheid van de gezondheidszorg en wijziging van de Wet langdurige zorg in verband met het toevoegen van de bevoegdheid voor het CIZ om geaggregeerde informatie te genereren en verstrekken aan de Minister van VWS ten behoeve van het doen van ramingen.
Er zijn door de leden van de fracties van de VVD en CDA vragen gesteld en opmerkingen gemaakt. Ik hoop met de beantwoording van de gestelde vragen de nog bestaande onduidelijkheden te kunnen wegnemen.
Leeswijzer
In deze nota naar aanleiding van het verslag wordt de volgorde van de hoofdstukken van het verslag aangehouden. De leden van de VVD- en CDA-fractie hebben over een aantal onderwerpen vergelijkbare vragen gesteld. Waar dit de helderheid en overzichtelijkheid ten goede kwam, zijn vragen samengenomen in de beantwoording.
De leden van de CDA-fractie vragen of de regering kan toelichten hoe de vraag naar verslavingszorg in Nederland en het bewaken van de kwaliteit naast het gebruik van gegevens uit het LADIS vorm krijgt.
Partijen in de ggz werken continu aan de verbetering van kwaliteit van zorg. Onder begeleiding van Alliantie kwaliteit in de ggz (Akwa ggz) wordt er bijvoorbeeld gewerkt aan kwaliteitsstandaarden voor de ggz, waaronder kwaliteitsstandaarden voor goede zorg in de verslavingszorg. Hierbij valt te denken aan de multidisciplinaire richtlijn ggz stoornissen in het gebruik van cannabis, cocaïne, amfetamine, ecstasy, GHB en benzodiazepines. Deze multidisciplinaire richtlijn is opgenomen in het openbare Register van Zorginstituut Nederland als landelijke invulling van de norm voor goede zorg. Een aantal andere kwaliteitsstandaarden voor verslavingszorg zoals die voor opiaatverslaving en problematisch alcoholgebruik en alcoholverslaving is nog in ontwikkeling. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op zorgverlening door de ggz en volgt intensief het brede traject rondom het opstellen en de registratie van kwaliteitsstandaarden.
De leden van de CDA-fractie vragen of de regering kan aangeven waarom ze jaren heeft gewacht om de grondslag voor verwerking van persoonsgegevens ten behoeve van het LADIS en de LTR wettelijk te regelen.
Het College Bescherming Persoonsgegevens (tot 1 januari 2016 de naam van de Autoriteit van Persoonsgegevens) ging er tot eind 2015 vanuit dat persoonsgegevens na pseudonimisering geen persoonsgegevens meer vormen. Dit standpunt is door de Autoriteit van Persoonsgegevens echter gewijzigd. Er wordt dan ook voor de verwerking van gepseudonimiseerde gegevens een expliciete grondslag noodzakelijk geacht, en dient ook voor deze kwaliteitsregistraties een grondslag te bestaan. Het traject voor de wettelijke grondslag is, na inventarisatie van de diverse kwaliteitsregistraties, in 2017 ingezet. Afstemming en consultatie met betrokken partijen heeft vervolgens de nodige tijd in beslag genomen.
De leden van de CDA-fractie vragen of er al een infractieprocedure is gestart door de Europese Commissie.
Er is door de Europese Commissie geen infractieprocedure gestart.
De leden van de CDA-fractie vragen of de regering er zorg voor kan dragen dat voordat de plenaire behandeling van het onderhavige wetsvoorstel plaatsvindt, de onderliggende algemene maatregel van bestuur (amvb), waarin onder andere wordt opgenomen welke precieze gegevens vastgelegd worden, wie daar toegang tot hebben, hoe deze worden beveiligd en hoelang ze worden bewaard, naar de Kamer wordt gestuurd. Ook de leden van de VVD-fractie vragen hoe de beveiliging van gegevens is georganiseerd.
De onderliggende amvb is nog niet gereed om te kunnen delen met de Kamer. Deze wordt dit najaar afgestemd met betrokken partijen en in internetconsultatie gegeven. Wel wordt hieronder een uitgebreide beschrijving gegeven van wat wordt beoogd in deze amvb ten aanzien van de gegevensset, beveiliging, toegang en bewaartermijnen te regelen.
In de amvb is beoogd te regelen dat in LADIS een aantal groepen gegevens wordt verwerkt. Het betreft identificerende gegevens van de cliënten, zijnde de naam, de geboortedatum, de woonplaats en het geslacht. De identificerende persoonsgegevens zoals NAW-gegevens, leeftijd en geslacht, worden onomkeerbaar gepseudonimiseerd opgeslagen. LADIS bevat naast gewone persoonsgegevens, bijzondere persoonsgegevens van een cliënt in de verslavingszorg, zoals gegevens over de problematiek van de cliënt. Aanvullende (bijzondere) persoonsgegevens gerelateerd aan demografie, problematiek en behandeling worden niet gepseudonimiseerd opgeslagen in LADIS, omdat deze gegevens noodzakelijk zijn voor het verwerkingsdoeleinde. Tot slot worden ook administratieve kenmerken van de opname in de verslavingsinstelling zoals registratienummer, inschrijfnummer, datum inschrijving en datum uitschrijving vastgelegd.
De partijen die toegang hebben tot deze gegevens zijn de verstrekkers van de gegevens aan LADIS (zijnde Nederlandse zorgaanbieders die verslavingszorg bieden en apothekers die die verstrekking van opiaatvervangende middelen registreren ten behoeve van een opiaatonderhoudsbehandeling in de verslavingszorg), de verwerker van de gegevens (zijnde Stichting Informatievoorziening Zorg (IVZ)) en de subverwerker (zijnde ZorgTTP). Onderstaand schema geeft weer hoe de datastroom vanuit de zorgaanbieder via ZorgTTP naar IVZ wordt verzonden.
Afbeelding 1 – Gegevensstroom aanbieder, ZorgTTP en IVZ (bron ZorgTTP)
De gele kleur in het schema representeert de Privacy Verzend Module (PVM). In dit proces wordt de techniek van onomkeerbare pseudonimisatie toegepast. Hierbij worden identificerende persoonsgegevens (zoals NAW-gegevens) verwijderd zodat detailinformatie van betrokkenen niet meer herleidbaar is. Daarnaast worden waar mogelijk gegevens gegeneraliseerd. De data en de pseudoniemen worden door de PVM verzonden naar ZorgTTP. Het blauwe deel representeert het proces van de tweede versleuteling bij ZorgTTP. De aangemaakte pseudoniemen worden een tweede keer versleuteld en worden samen met de andere data klaargezet voor IVZ. Het rode gedeelte representeert de Data Retour Module (DRM). Hiermee worden de bestanden door IVZ bij ZorgTTP via een beveiligde verbinding opgehaald. De pseudoniemen en de data worden middels een tijdelijk koppelnummer samengevoegd. Dit voor de aanlevering unieke koppelnummer wordt vervolgens verwijderd.
Om de beveiliging te garanderen is IT-beheer van het serverplatform van LADIS uitbesteed aan een professionele IT-aanbieder inclusief het beschrijven van de wederzijdse verantwoordelijkheden ten aanzien van de AVG, beveiligingsniveaus en autorisaties. Deze IT-aanbieder is een gecertificeerde Zorg Service Provider. Beheerders hebben geen toegang tot de LADIS-data. Van de gegevens in LADIS wordt op dit moment geen bewaartermijn vastgesteld. LADIS is een longitudinale monitor van de aard en omvang van de verslavingszorg in Nederland. Aangezien verslaving gezien wordt als een chronisch recidiverende ziekte is het van belang de duur en het aantal opnames in zorg te kunnen monitoren. Dit maakt dat er op dit moment geen bewaartermijn voor de gegevensverzameling is opgenomen, maar dit is nog onderdeel van nadere uitwerking in de onderliggende amvb.
In de amvb is verder beoogd te regelen dat in de Landelijke traumaregistratie (hierna: de LTR) een aantal groepen gegevens wordt verwerkt. Het betreft identificerende gegevens van de patiënten, zijnde de geboortedatum, het geslacht en het BSN. De identificerende persoonsgegevens zoals NAW-gegevens, geboortedatum en geslacht, worden onomkeerbaar gepseudonimiseerd opgeslagen en het BSN wordt versleuteld. De LTR bevat naast gewone persoonsgegevens, bijzondere persoonsgegevens van een cliënt in de traumazorg, zoals gegevens over het ongeval, de fysieke toestand van de patiënt en de behandeling(en)/spoedinterventies. Tot slot worden ook administratieve kenmerken verwerkt zoals ambulance ritnummer, ziekenhuis patiëntnummer, datum en tijdstip ontslag ziekenhuis en ontslagbestemming.
De volgende partijen hebben toegang tot (delen van) bovenstaande gegevens:
– Ambulancediensten (verstrekker van gegevens);
– Ziekenhuisafdeling Spoedeisende Hulp (verstrekker van gegevens);
– Aangewezen traumacentrum (verstrekker van gegevens);
– Bureau LNAZ, namens traumacentra (verwerker van gegevens);
– Advanced Data Management (ADM) LUMC (verwerker van gegevens);
– ZorgTTp (verwerker van gegevens);
– IVZ (verwerker van gegevens)
Voor het waarborgen van de beveiliging van de persoonsgegevens in de LTR zijn verschillende maatregelen genomen:
a. Voor het database beheer en onderhoud van de LTR is vanuit het LNAZ een overeenkomst afgesloten met ADM LUMC. Het is ISO27001/NEN7510 gecertificeerd. Toegang tot de LTR-database, in het ProMISe datamanagement omgeving, is ingeregeld via autorisaties en logbestanden worden bijgehouden;
b. Voor de versleuteling van persoonsgegevens is een overeenkomst afgesloten met ZorgTTP (trusted third party). Zij verzorgt versleuteling van het BSN via «Trusted Reversible Encryption Service»(TRES). De combinatie van ProMISe met TRES encryptie geeft een dubbele beveiliging. ProMISe authentiseert en autoriseert de gebruiker voor toegang tot de data met de geëncrypteerde identiteit. Vervolgens is een onafhankelijk authenticatie en autorisatie bij TRES nodig voor toegang tot decryptie en daarmee tot de identificatie in de data;
c. Voor het opstellen van standaardrapportages op geaggregeerd niveau is een overeenkomst afgesloten met Stichting Informatie Voorziening Zorg (IVZ). Ten aanzien van de technische infrastructuur hanteert IVZ de richtlijnen van de NEN 7510 normering. Tweejaarlijks beoordelen externe auditors de status van de informatiebeveiliging en technische infrastructuur volgens deze normen;
d. Er is een apart reglement voor LTR gegevensaanvragen voor (wetenschappelijke) onderzoek en publicatie. Hierbij geldt dat geen gegevens op patiënt niveau wordt verstrekt aan onderzoekers. Data-analyse vindt plaats door de verwerker ADM LUMC (biostatistiek medewerker).
Ten aanzien van de in de LTR bewaarde gegevens wordt op dit moment geen bewaartermijn vastgesteld, maar dit is nog onderdeel van nadere uitwerking in de onderliggende amvb. Dit is zo gedaan om te zorgen dat de LTR-gegevens gebruikt kunnen worden voor statistische doeleinden en onderzoek naar onder meer ontwikkelingen/trends zorgvraag en zorgverlening over de tijd, inclusief het onderzoeken van personen met meerdere ongevallen.
De leden van de CDA-fractie vragen wie er in het bestuur respectievelijk de raad van toezicht van Stichting IVZ zitten? Zij vragen daarnaast wie welke functionaris mag benoemen?
Het bestuur van de stichting bestaat uit een door de raad van toezicht vast te stellen aantal personen. Bestuurders worden benoemd, geschorst en ontslagen door de raad van toezicht. De raad van toezicht is bevoegd tot het benoemen, schorsen en ontslaan van de leden van de raad van toezicht. Bij de benoeming van leden van de raad van toezicht spant de raad van toezicht zich er zoveel mogelijk voor in, dat de meerderheid van de leden afkomstig is uit sectoren waaruit klanten van de stichting afkomstig zijn.
Bij de benoeming van bestuurders en leden van de raad van toezicht wordt de code voor good governance voor bestuurders en toezichthouders in acht genomen.
Het huidige bestuur bestaat uit één functionaris. De raad van toezicht bestaat uit drie leden.
De leden van de VVD-fractie vragen op welk regioniveau in het «regionaal overleg acute zorgketen» overleg wordt gevoerd.
Het regionaal overleg acute zorgketen (ROAZ) wordt gevoerd op het niveau van bestuurders en managers van verschillende aanbieders van acute zorg. Er zijn 11 ROAZ-regio’s in Nederland.
De leden van de CDA-fractie vragen waarom de huisartsenposten en de crisisdiensten ggz niet in het LADIS participeren en of dit nog zal veranderen.
Ik ga ervan uit dat de leden van de CDA-fractie bedoelen waarom de huisartsen en de crisisdiensten GGZ niet in de LTR participeren. Ik beantwoord de vraag dan ook met dat uitgangspunt. Huisartsenposten en crisisdiensten GGZ participeren inderdaad niet in de LTR. De Huisartsenposten en crisisdiensten GGZ leveren namelijk geen traumazorg aan ongevalpatiënten die acuut worden opgenomen voor behandeling van hun letsel(s). De LTR is een ketenregistratie van ongevalpatiënten die acuut worden opgenomen voor behandeling van hun letsel(s). De gegevens voor de LTR worden ter beschikking gesteld door de ziekenhuizen met een afdeling spoedeisende hulp waar ongevalpatiënten kunnen worden opgevangen en behandeld voor hun letsel alsook door ambulancediensten die prehospitaal hulp verlenen aan ongevalpatiënten. Elk traumacentrum vervult in haar regio (voor de ambulancediensten en de ziekenhuizen) een coördinerende en ondersteunende rol voor de dataverzameling.
De leden van de CDA-fractie lezen dat de regering stelt dat er op dit moment reeds drie jaar geen actuele informatie meer opgenomen is in het LADIS, omdat dit in strijd zou zijn met de AVG. Toch stelt de regering in de toelichting dat dit wetsvoorstel niet in strijd is met de AVG. Zij concluderen hieruit dat de regering en/of zorgaanbieders dit standpunt hebben herzien. Deze leden vragen om een uitgebreide toelichten waarom »men» hier anders over is gaan denken en welke inzichten hieraan ten grondslag liggen.
Er is de afgelopen jaren geen informatie opgenomen in het LADIS, omdat een grondslag voor de verwerking van persoonsgegevens hiervoor ontbreekt. Daarvoor is onderhavig wetsvoorstel opgesteld, waarbij de van belang zijnde privacyregels in acht zijn genomen. Het wetsvoorstel is daarmee niet in strijd met de AVG. Echter, de verwerking van persoonsgegevens ten behoeve van het LADIS is pas rechtmatig op het moment dat dit wetsvoorstel in werking treedt.
De leden van de CDA-fractie vinden het zorgelijk dat al drie jaar geen actuele informatie meer is opgenomen in het LADIS over verslavingsproblematiek en over de vraag of deze toe- dan wel afneemt en of er extra interventies hadden moeten plaatsvinden. Deze leden stellen dat toch mag worden aangenomen dat er andere informatiebronnen zijn dan alleen signalen of vermoedens van zorgaanbieders zoals informatie en/of cijfers van de politie. Ze vragen of de regering hier uitgebreid op in kan gaan.
LADIS is een van de belangrijkste bronnen voor informatie over de hulpvraag in de verslavingszorg. De database geeft de trends weer in opnames in verslavingszorginstellingen, hierin is deze uniek. Naast deze database is er ook een aantal monitors waarin verslavingsproblematiek wordt gemeten en geanalyseerd. Zo wordt het gebruik van middelen onder andere gemeten in de leefstijlmonitor en het peilstationsonderzoek. Verder worden ook trends in drugsincidenten bijgehouden door de spoedeisende hulpdiensten, de politie en de ambulancediensten. Deze registratiegegevens worden bijgehouden en geanalyseerd in de Monitor Drugs Incidenten. Ongevallen en letsels gerelateerd aan alcoholgebruik geregistreerd op de spoedeisende hulpdiensten worden bijgehouden door VeiligheidNL. Alle bronnen komen ieder jaar samen in de Nationale Drug Monitor (NDM). De NDM beschrijft zowel trends in gezondheidsindicatoren als op het gebied van politie en justitie. Naast deze bronnen is het echter van belang om ook weer de trends in de verslavingszorginstellingen te meten en analyseren in LADIS.
De leden van de CDA-fractie vragen aan welke passende technische en organisatorische maatregelen de regering denkt om persoonsgegevens te beveiligen tegen verlies of enige andere vorm van onrechtmatige verwerking. Aan welke passende technische en organisatorische maatregelen denkt de regering?
In aanvulling op het antwoord wat ik hiervoor heb gegeven ten aanzien van de vraag van de CDA-fractieleden naar de invulling van de amvb, waaronder de beveiliging van gegevens nog het volgende. De kwaliteitsregisters hebben en houden een gesloten systeem voor de verwerking van (persoons)gegevens, enkel bedoeld voor de aangesloten instanties. Daarnaast zijn de persoonsgegevens versleuteld. De gegevens zijn dus ook niet beschikbaar op individueel niveau of op persoons-herleidbaar niveau.
De leden van de VVD-fractie vragen welke extra administratieve druk dit wetsvoorstel oplevert.
De wijzigingen van de Wkkgz met deze registratieplichten zijn geen wijzigingen van de huidige situatie, behalve dat ten aanzien van de bestaande registraties die nu reeds verplicht waren ook een grondslag wordt gecreëerd met de daadwerkelijke bevoegdheid om deze gegevens te mogen verwerken. De taken van het LNAZ en de regionale traumacentra ten aanzien van registratie blijven zoals deze nu reeds worden uitgevoerd. Ditzelfde geldt voor de taken van IVZ en de zorgaanbieders ten aanzien van registratie van gegevens in het LADIS.
Artikelsgewijze toelichting
De leden van de VVD-fractie willen weten wie juridisch verantwoordelijk is voor het eventueel mis kunnen gaan van de pseudonimisering bij de gegevensuitwisseling bij verstrekking aan derden.
In antwoord op de vraag van de CDA-fractieleden naar de invulling van de amvb hierboven is al aangegeven op welke wijze de verwerking van persoonsgegevens is beveiligd. De pseudonimisering gebeurt door een third thrusted party met wie een verwerkersovereenkomst gesloten. Voor zowel de registratie in het kader van LADIS als LTR is deze partij ZorgTTP. Afhankelijk van wat er mis gaat rondom de pseudonimisering is of de zorgaanbieder (verslavingszorgaanbieder respectievelijk aanbieder van acute zorg) of ZorgTTP verantwoordelijk. Indien bijvoorbeeld gedurende de verstrekking aan ZorgTTP een datalek zou ontstaan is de aanbieder verantwoordelijk. Als er gedurende de versleuteling van persoonsgegevens bijvoorbeeld een datalek zou ontstaan is ZorgTTP verantwoordelijk.
De Minister voor Medische Zorg, T. van Ark