Een belangrijke randvoorwaarde voor zorgverleners om goede zorg2 te kunnen verlenen is dat zij beschikken over adequate, actuele en uniforme gegevens over de cliënt3 op de juiste plek op het juiste moment. Denk bijvoorbeeld aan de situatie dat na overdracht door de medisch specialist een verpleeghuisarts tijdig de beschikking heeft over de gegevens van een cliënt, zodat hij precies weet wat de cliënt aan zorg nodig heeft. De urgentie van het beschikbaar hebben van deze gegevens doet zich bijvoorbeeld voor wanneer een cliënt met een herseninfarct wordt overgeplaatst naar een intra arteriële thrombectomie-centrum voor een acute ingreep. Als de gegevens op papier of via cd-rom pas met de cliënt meekomen, kan het medische behandelteam zich niet voorbereiden. Dit kan onnodig tijdverlies en risico’s voor de behandeling opleveren. Door het tijdig elektronisch uitwisselen van de juiste gegevens op een eenduidige manier kan goede zorgverlening worden bevorderd.
Zorgaanbieders maken op dit moment echter gebruik van verschillende manieren van uitwisseling van gegevens die vaak niet op elkaar aansluiten. Uitwisseling van gegevens gebeurt vaak nog via de analoge fax, papier, per post, DVD, of ontbreekt zelfs volledig waardoor actuele informatie niet (op tijd) voor de zorgverlener beschikbaar kan zijn.
Door gebruik te maken in de zorg van het elektronisch uitwisselen van gegevens aan de hand van eenduidige eisen aan taal en techniek kunnen de juiste gegevens op een eenduidige manier tijdig worden uitgewisseld. Om zorgverleners elektronisch met elkaar te laten communiceren zal hierbij gebruik gemaakt worden van een elektronische infrastructuur. Onder een dergelijke infrastructuur wordt verstaan: een geheel van netwerken alsmede de benodigde hardware en software waarmee personen en organisaties elektronisch met elkaar kunnen communiceren. Daartoe behoort niet het uitwisselen van gegevens door gebruik te maken van bijvoorbeeld een USB-stick of DVD.
Momenteel vindt elektronische gegevensuitwisseling echter nog zeer beperkt plaats. Daar waar gegevensuitwisseling al wel elektronisch plaatsvindt, verloopt deze vaak niet zonder problemen aangezien er op dit moment een gebrek is aan eenduidigheid in taal en techniek.
Doordat gegevens op dit moment veelal niet goed doorkomen of handmatig moeten worden overgetypt, ontstaan er negatieve effecten op de zorgverlening. Zowel voor de zorgverlener als aan de kant van de cliënt. Het niet goed doorkomen van gegevens heeft voor cliënten tot gevolg dat zij soms onnodige onderzoeken moeten ondergaan. Ook bestaat er een vergroot risico op vermijdbare fouten in de zorgverlening (bijvoorbeeld verkeerd gestelde diagnoses en niet passende behandelingen). Verder kan gedacht worden aan vermijdbare medicatiefouten, doordat gegevens over medicatie, allergieën, intoleranties en contra-indicaties onvolledig, onjuist of in het geheel niet uitgewisseld worden.
Zorgverleners verliezen veel tijd met (extra) administratieve handelingen rondom de gegevensuitwisseling, zoals door het overtypen, het fysiek moeten overdragen, of door het achterhalen van ontbrekende gegevens. Dit is tijd die ten koste gaat van de zorgverlening aan de cliënt. Bovendien kan geen of ontoereikende en daarmee onvolledige gegevensoverdracht ertoe leiden dat zorgverleners onnodige, soms kostbare, onderzoeken (over) moeten doen. Hierdoor lopen de zorgkosten onnodig op, ontstaat een negatieve beeldvorming over de zorg als arbeidsmarkt (juist nu zorgpersoneel hard nodig is) en wordt innovatie in de zorg geremd. Dit alles brengt ook negatieve gevolgen met zich mee voor de maatschappij als geheel.
Daarbij komt dat de uitwisseling van gegevens in de zorg steeds belangrijker wordt, nu steeds meer cliënten zorg uit verschillende domeinen en regio’s ontvangen waarbij meerdere zorgverleners en zorgaanbieders betrokken zijn. Hierdoor is meer coördinatie van de zorg nodig en ontstaat dus een toenemende behoefte aan eenduidige elektronische gegevensuitwisseling. Zorgverleners moeten van elkaar weten wat zij doen en waarom. In deze context is het op elektronische wijze uitwisselen van gegevens van grote toegevoegde waarde voor het verlenen van goede zorg. Ook tijdens de coronacrisis is gebleken dat het kunnen beschikken over medische gegevens van de huisarts in spoedsituaties op de huisartsenpost en de spoedeisende eerste hulp voor de juiste behandeling van cliënten van groot belang is.
De Tweede Kamer heeft op meerdere momenten en in meerdere moties de Minister voor Medische Zorg (hierna: de Minister) gevraagd om meer regie te nemen om te komen tot elektronische gegevensuitwisseling tussen zorgverleners.4 De vraag om meer regie is ook gesteld vanuit de zorgpartijen, verenigd in het Informatieberaad Zorg. Het regelen hoe gegevens moeten worden uitgewisseld, vormt een randvoorwaarde voor het verlenen van goede zorg.
In verschillende brieven aan de Tweede Kamer5 en in het Algemeen Overleg met de Tweede Kamer van 9 oktober 2019 inzake Gegevensuitwisseling in de zorg, heeft de Minister aangegeven de gevraagde regie te willen nemen en het voorliggende wetsvoorstel aangekondigd.6
Dit wetsvoorstel vormt een onderdeel van de regie die op verzoek van het zorgveld en de Tweede Kamer is gevraagd.
Het doel is het bereiken van volledige interoperabiliteit als het gaat om elektronische gegevensuitwisseling tussen zorgverleners aan de hand van eenduidige eisen aan taal en techniek. Dit wordt bereikt door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij de genormaliseerde eisen aan taal en techniek onafhankelijk zijn van een specifieke elektronische infrastructuur. Daarmee wordt voorkomen dat niet slechts één systeem voor een specifieke gegevensuitwisseling gaat gelden. Het wetsvoorstel leidt daarmee niet tot de introductie van het gebruik van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling.
Deze memorie van toelichting is mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (hierna: BZK) vanwege zijn verantwoordelijkheid voor de Kaderwet zelfstandige bestuursorganen (hierna: Kaderwet zbo’s).
Er zijn verschillende oorzaken aan te wijzen voor het niet volledig tot stand komen van het op elektronische wijze uitwisselen van gegevens:
– Gebrek aan eenduidigheid in taal. «De zorg» is groot en divers, met veel verschillende beroepsgroepen. Vrijwel alle beroepsgroepen hebben een eigen vaktaal. Hierdoor begrijpen zorgverleners de uitgewisselde gegevens niet altijd of ontstaan er misverstanden. Bij het op elektronische wijze uitwisselen van gegevens is dit een groot probleem, omdat geen menselijke interpretatie meer is die voor de benodigde vertaling zorgt. Immers in dat geval worden gegevens direct, dus zonder menselijke tussenkomst, overgedragen tussen informatietechnologieproducten of -diensten. Daarom zijn eenduidige afspraken nodig voor termen die gebruikt worden bij het uitwisselen van gegevens. Die eenduidige afspraken zijn er nog niet voldoende, en waar ze er zijn worden ze nog niet zorgbreed toegepast.
– Gebrek aan eenduidigheid in techniek. Er is op dit moment geen volledige interoperabiliteit tussen de verschillende gebruikte informatietechnologieproducten of -diensten, omdat voor bepaalde gegevensuitwisselingen geen afspraken over eenduidigheid van techniek bestaan en de afspraken voor andere gegevensuitwisselingen niet op elkaar aansluiten (bijvoorbeeld voor de uitwisseling van radiologische beelden). Hierdoor kan het voor zorgverleners moeizaam of niet mogelijk zijn om gegevens uit te wisselen.
– Gebrek aan een integrale aanpak om tot het elektronisch uitwisselen van gegevens te komen en uiteenlopende belangen van verschillende betrokken partijen. Zorgaanbieders, zorgverleners en aanbieders van informatieproducten of -diensten werken parallel en in decentrale verbanden aan digitalisering van gegevensuitwisselingen. Er is daardoor geen zorgbrede focus op welke gegevensuitwisselingen als eerste elektronisch moeten verlopen, wat tot gevolg heeft dat er geen zorgbrede afspraken gemaakt worden op het gebied van taal en techniek. Daardoor komt de zorgbrede gegevensuitwisseling niet tot stand.
De omvang van het probleem laat zich illustreren door de volgende voorbeelden:
– Mensen met een chronische ziekte hebben met verschillende zorgverleners te maken. In Nederland heeft 70 procent van de mensen van 65 jaar en ouder een chronische ziekte. Van de mensen van 75 jaar en ouder met een chronische ziekte, heeft 63 procent twee of meer chronische ziekten (multimorbiditeit) en 32 procent drie of meer. Ouderen hebben daarom met verschillende zorgverleners te maken die van elkaar moeten weten wat ze doen. Zoals wie welke medicatie heeft voorgeschreven, omdat eerder voorgeschreven medicatie van invloed kan zijn op de werking van nieuwe medicatie.7
– Jaarlijks vinden meer dan 460.000 verpleegkundige overdrachten plaats tussen zorgaanbieders. Een verpleegkundige overdracht kan nu in totaal 4 uur kosten omdat er tot 8 keer dezelfde informatie moet worden overgetypt.8 Dit brengt een hoog risico op fouten en een grote administratieve last met zich mee. Ook zorgt dit ervoor dat onvolledige informatie, geen overdracht of een onduidelijke overdracht momenteel als belangrijke knelpunten worden gezien bij het uitwisselen van verpleegkundige gegevens. Zo geeft 64% van de verpleegkundigen en verzorgenden aan essentiële informatie te missen in de huidige verpleegkundige overdracht om het zorgproces in de nieuwe zorgsetting te kunnen continueren.9
Goede gezondheidszorg is een publiek belang. Het bevorderen van de volksgezondheid is een verantwoordelijkheid van de overheid en is neergelegd in artikel 22 van de Grondwet (hierna: Gw). De overheid heeft echter in de zorg bij het realiseren van het elektronisch uitwisselen van gegevens een terughoudende rol gehad. Dit omdat veldpartijen zelf verantwoordelijk zijn voor goede zorg en daarmee ook voor de inrichting en totstandbrenging van een dergelijke gegevensuitwisseling. Deze terughoudendheid kwam mede voort uit het verwerpen van het wetsvoorstel dat zag op het landelijk Elektronisch Patiëntendossier10 door de Eerste Kamer op 5 april 2011 en de motie van het lid Tan (PvdA) c.s.11 uit 2011, waar in paragraaf 2.2.1 nader op in wordt gegaan.
De afgelopen periode – zoals eerder aangegeven – hebben zowel de Tweede Kamer als de zorgpartijen de Minister gevraagd om meer regie te nemen op het gebied van elektronische gegevensuitwisseling tussen zorgverleners. Er is een duidelijke behoefte aan meer overheidsbetrokkenheid op dit onderwerp. In feite is sprake van een inhaalslag, nu de overheid zich lange tijd terughoudend heeft opgesteld.
Het wetsvoorstel dat zag op het landelijk Elektronisch patiëntendossier (EPD) regelde de grondslag voor een verplichting van het gebruik van een landelijk systeem waarbij de zorgverleners op basis van een in de wet gecreëerde grondslag (wettelijke plicht) werden verplicht om (bijzondere) persoonsgegevens van de cliënt in een EPD (niet centraal maar bij de zorgaanbieder, afgeleid van het reguliere medisch dossier) vast te leggen en beschikbaar te stellen via het Landelijk Schakelpunt (LSP). De Eerste Kamer had bezwaar tegen de generieke opzet en een te alomvattend systeem en de wettelijke verplichting die werd gecreëerd voor de zorgverlener om het medisch beroepsgeheim te doorbreken zonder dat de cliënt daarvoor afzonderlijk toestemming behoefde te geven. Daarnaast zag de Eerste Kamer een te groot risico op het gebied van privacy. De motie van het lid Tan verzocht de regering om verdere beleidsinhoudelijke, financiële en organisatorische medewerking aan de ontwikkeling van het LSP te beëindigen.
Met het voorliggende wetsvoorstel is rekening gehouden met de destijds geuite zorg in de Eerste Kamer over het landelijk EPD. Voorliggend wetsvoorstel blijft – zoals ook verzocht in de motie van het lid Tan12 – binnen de bestaande wettelijke kaders (Algemene Verordening Gegevensbescherming (hierna: AVG), Wet op de beroepen in de individuele gezondheidszorg (hierna: Wet BIG), Afdeling 5 van Titel 7 van Boek 7 van het Burgerlijk Wetboek (BW) inzake de geneeskundige behandelingsovereenkomst (vaak aangeduid als de Wet op de geneeskundige behandelingsovereenkomst (hierna: WGBO)) en Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: Wabvpz)) en creëert daarmee geen nieuwe grondslagen voor uitwisseling van (bijzondere) persoonsgegevens van cliënten. Het wetsvoorstel verplicht niet tot het uitwisselen van gegevens. De verplichting ziet daarmee alleen op het hoe van de uitwisseling, namelijk op elektronische wijze. Als binnen het bestaande wettelijke kader geen grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens, kan deze niet plaatsvinden. Daarbij leidt het voorliggend wetsvoorstel, zoals hiervoor reeds is vermeld, niet tot de verplichting van het gebruik van één landelijk systeem of een verplichting van het gebruik van een specifiek systeem binnen een gegevensuitwisseling. Het doel is het bereiken van volledige interoperabiliteit bij het elektronisch uitwisselen van gegevens tussen zorgverleners. Dit wordt bereikt door het verplicht stellen van het elektronisch uitwisselen van gegevens, waarbij uiteindelijk wordt gestreefd naar normalisatie van eisen aan taal en techniek.
Normalisatie is het proces waarbij belanghebbende partijen op vrijwillige basis, in overleg en op basis van consensus afspraken maken over wat, in het licht van de stand van de techniek en de best beschikbare kennis, goede normen zijn voor een product, dienst of bedrijfsproces. Deze normen zullen daardoor infrastructuur onafhankelijk zijn. Normalisatie is een bijzondere vorm van standaardisatie; bij de totstandkoming van normen is altijd een normalisatie-organisatie betrokken. In beginsel zal dit, wanneer er geen passende Europese of internationale normen beschikbaar zijn, in dit geval de stichting Koninklijk Nederlands Normalisatie Instituut (NEN) in haar hoedanigheid van nationale normalisatie-instelling in de zin van artikel 2 van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007,23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PbEU 2012, L 316) (hierna: verordening 1025/2012).
In de afgelopen jaren heeft de overheid zonder een grote regierol op zich te nemen op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering van gestandaardiseerde elektronische gegevensuitwisseling:
– In 2014 is een eerste stap tot samenwerking en coördinatie gezet door het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) met de oprichting van het Informatieberaad Zorg. In het Informatieberaad Zorg wordt samen met veldpartijen gewerkt aan een duurzaam informatiestelsel. Het Informatieberaad Zorg werkt aan een aantal doelen, waaronder gestandaardiseerde gegevensuitwisseling en het eenmalig vastleggen van gegevens.
– In de verschillende Hoofdlijnenakkoorden heeft gestandaardiseerde elektronische gegevensuitwisseling een prominente plek gekregen. Zo is in het Hoofdlijnenakkoord Medische Specialistische Zorg 2019–2022 opgenomen dat partijen de afgesproken standaarden implementeren, waaronder de Basisgegevensset Zorg (BgZ) en andere Zorginformatie bouwstenen (ZIB’s) en de MedMij standaarden.13
– Er zijn programma’s gestart ter ondersteuning van de standaardisatie van gegevensuitwisseling, zoals het programma Registratie aan de bron14 en het programma Medicatieproces.15
– Vanaf 2017 stimuleert het kabinet diverse versnellingsprogramma’s voor de informatie-uitwisseling tussen cliënt en professional (VIPP-regelingen) in onder meer de geestelijke gezondheidszorg (GGZ), ziekenhuizen, zelfstandige behandelcentra, de geboortezorg, en huisartsen. Tevens is er een versnellingsprogramma in de langdurige zorg waarbij gestandaardiseerde elektronische gegevensuitwisseling tussen zorgorganisaties in de care (VVT, GGZen Gehandicaptenzorg) en met zorgorganisaties in de cure zoals ziekenhuizen en huisartsen) wordt gestimuleerd. Deze VIPP-regelingen zijn er voor zowel de uitwisseling tussen zorgverleners, als tussen de zorgverlener met de cliënt. De VIPP-regelingen hebben als primair doel ervoor te zorgen dat cliënten digitaal over hun medische gegevens kunnen beschikken en deze kunnen gebruiken voor regie op hun zorg en gezondheid. Zorgaanbieders ontvangen subsidie om ervoor te zorgen dat deze gegevens digitaal op een veilige en gestandaardiseerde manier aan de cliënt verstrekt kunnen worden, gebruikmakend van landelijke standaarden die zorgbreed en binnen sectoren zijn vastgelegd. Hiermee hebben VIPP-programma’s een belangrijke basis gelegd voor gestandaardiseerde elektronische vastlegging en informatie-uitwisseling.
– Voor de informatie-uitwisseling met de cliënt is het MedMij-afsprakenstelsel ingericht. MedMij is de Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen de zorgverlener en de cliënt, bijvoorbeeld in een persoonlijke gezondheidsomgeving (PGO). Daarvoor moet zo’n PGO veilig kunnen communiceren met alle plekken waar informatie van de cliënt staat opgeslagen. Denk aan het ziekenhuis of de huisarts. Een dergelijk afsprakenstelsel bestaat niet voor het onderling uitwisselen van gegevens tussen zorgverleners, wat betekent dat gegevens over cliënten nog niet altijd op elektronische wijze uitgewisseld kunnen worden. De MedMij afspraken16 definiëren specifieke gegevensuitwisselingen tussen professionals en cliënten, waar zoveel mogelijk gebruik van wordt gemaakt voor het elektronisch uitwisselen tussen professionals. Het gaat immers bij de uitwisseling van gegevens tussen zorgverleners in de regel om dezelfde gegevens die ook met de cliënt worden uitgewisseld en waarbij gebruik kan worden gemaakt van dezelfde standaarden.
Door het veld zijn – met deze ondersteunende programma’s en maatregelen – belangrijke stappen in de goede richting gezet en is er een basis gelegd op weg naar het realiseren van genormaliseerde en daarmee het onafhankelijk van een specifieke elektronische infrastructuur uitwisselen van gegevens. Dit betekent dat geen specifieke elektronische infrastructuur zal worden voorgeschreven. Ondanks dat belangrijke stappen in de goede richting zijn gezet, zijn deze echter nog onvoldoende gebleken om de hierboven genoemde problemen over gebrek aan eenduidige taal, techniek en regie op te lossen.
Zonder het verplicht stellen van een elektronische gegevensuitwisseling die (uiteindelijk) genormaliseerd plaatsvindt, komt de beoogde volledige interoperabele gegevensuitwisseling niet goed tot stand.
De belangen van verschillende partijen (zorgverleners vanuit verschillende beroepsgroepen, zorgaanbieders, aanbieders van informatietechnologieproducten of -diensten) blijken in de praktijk soms zover uit elkaar te lopen dat ze er onderling niet uitkomen. Zonder interventie van de overheid, die zicht houdt op het (publieke) belang van de integraliteit, blijft het risico bestaan dat noodzakelijke informatie niet actueel, uniform, begrijpelijk of compleet tussen zorgverleners kan worden uitgewisseld of dat dit te lang gaat duren. Het genormaliseerd en daarmee onafhankelijk van een specifieke elektronische infrastructuur uitwisselen van gegevens in de zorg kan dan niet worden gerealiseerd. Bovendien is de verwachting dat zonder wettelijke verplichtingen niet kan worden geborgd dat alle zorgaanbieders en zorgverleners voldoen aan de eisen. Dit wordt versterkt door investeringsvraagstukken die zich bij aanbieders van informatietechnologieproducten of -diensten voordoen. Aanbieders van informatietechnologieproducten of -diensten geven aan dat ze vooral graag investeren in landelijke schaalbare oplossingen en niet in maatwerkoplossingen. Normalisatie draagt hieraan bij.
Met dit wetsvoorstel worden zorgaanbieders stap voor stap (gegevensuitwisseling na gegevensuitwisseling) verplicht om erop toe te zien dat zorgverleners gegevens onderling ten minste elektronisch met elkaar uitwisselen. De bedoeling is dat deze uitwisseling uiteindelijk genormaliseerd en daarmee onafhankelijk van een specifieke elektronische infrastructuur plaatsvindt.
Aangezien in bepaalde gegevensuitwisselingen soms nog grote stappen gezet moeten worden om tot volledige interoperabiliteit te komen, is gekozen voor de volgende aanpak. Als nog grote stappen gezet moeten worden, kan ervoor gekozen worden dat voor een gegevensuitwisseling eerst de eis geldt dat de aangewezen gegevens elektronisch moeten worden uitgewisseld (spoor 1). Volledige interoperabiliteit wordt in spoor 1 nog niet afgedwongen, want daarvoor is het noodzakelijk dat het uitwisselen van gegevens plaatsvindt aan de hand van verplicht gestelde genormaliseerde eisen voor taal en techniek (spoor 2).
Voor een gegevensuitwisseling waarvoor de eis geldt om elektronisch uit te wisselen bestaat altijd de ambitie om volledige interoperabiliteit na te streven.
In beginsel zullen de genormaliseerde eisen voor taal en techniek opgenomen worden in een door de Stichting Nederlands Normalisatie-instituut (hierna: NEN) uitgegeven norm (hierna: NEN-norm). Zodra het veld daartoe gereed is, zal gezamenlijk en onder regie van de Minister een traject worden gestart om in een NEN-norm tot normalisatie te komen van de eisen aan taal en techniek. Beoogd is dat de NEN-norm vervolgens wordt vastgelegd en verplicht gesteld bij AMvB.
Het is mogelijk dat in plaats van een nieuwe NEN-norm een bestaande NEN-norm of een Europese of internationale norm dwingend en exclusief wordt voorgeschreven, zoals een NEN-EN of een NEN-EN-ISO/IEC, indien deze passend is en aan de vereiste voorwaarden voldoet. In dat geval is er geen sprake van een normalisatietraject onder regie van de Minister. In paragraaf 3.5.3 van deze memorie wordt dit uitgebreider toegelicht.
Dit wetsvoorstel ziet op het op elektronische wijze uitwisselen van gegevens tussen zorgverleners bij aangewezen gegevensuitwisselingen binnen en tussen de zorgdomeinen. Het gaat daarbij over het delen en benaderen van gegevens. Het wetsvoorstel stelt met het oog daarop verplichtingen aan zorgaanbieders en eisen aan degene die een informatietechnologieproduct of -dienst aanbiedt.
Het wetsvoorstel ziet op het (genormaliseerd) elektronisch uitwisselen van gegevens tussen zorgverleners onderling, binnen en tussen de zorgdomeinen en op informatietechnologieproducten of -diensten die gebruikt worden voor het uitwisselen van die gegevens. Dat betekent dat het wetsvoorstel geldt voor:
– zorg of dienst als omschreven bij of krachtens de Zorgverzekeringswet (hierna: Zvw) (Zvw-zorg);
– zorg of dienst als omschreven bij of krachtens de Wet langdurige zorg (hierna: Wlz) (Wlz-zorg); en
– handelingen op het gebied van de individuele gezondheidszorg als bedoeld in artikel 1 van de Wet op de beroepen in de individuele gezondheidszorg, niet zijnde Zvw-zorg of Wlz-zorg, en handelingen met een ander doel dan het bevorderen of bewaken van de gezondheid van de cliënt (andere zorg).
Het wetsvoorstel ziet daarmee niet op het op elektronische wijze uitwisselen van gegevens tussen de zorgverlener en de cliënt, maar enkel op uitwisseling tussen zorgverleners onderling.
De zorg die een cliënt ontvangt, is lang niet altijd beperkt tot één zorgverlener. Immers, een cliënt kan bij bepaalde problematiek met meerdere zorgverleners, al dan niet binnen een zorgaanbieder, te maken krijgen. Ook op deze situaties ziet dit wetsvoorstel.
Het is voorstelbaar dat gegevens (ook) buiten de zorgdomeinen worden uitgewisseld, bijvoorbeeld met jeugdhulp of maatschappelijke ondersteuning (voor zover die niet ook onder andere zorg valt). Het gaat dan bijvoorbeeld over de uitwisseling van gegevens met pleegzorg of mantelzorg. Uitwisseling van gegevens vindt bijvoorbeeld ook buiten de zorgdomeinen plaats ten behoeve van onderzoek (secundaire data) en met het RIVM zowel binnen het Rijksvaccinatieprogramma als binnen de verschillende bevolkingsonderzoeken.
Dit wetsvoorstel ziet echter niet op het uitwisselen van gegevens buiten de zorgdomeinen. Dit laat onverlet dat beoogd is om op een later moment deze (dan vastgestelde) wet daartoe te verbreden middels een wetswijziging. De reden om dit wetsvoorstel niet nu al te laten zien op elektronische gegevensuitwisseling buiten de zorgdomeinen is de uitvoerbaarheid van het wetsvoorstel. Gekozen is om te beginnen bij de Zvw-zorg, Wlz-zorg en andere zorg, omdat bij deze vormen van zorg gebruik gemaakt kan worden van de bestaande systematiek en organisatie. Dit komt de uitvoerbaarheid ten goede. Naar verwachting heeft het wetsvoorstel overigens een indirect effect buiten de zorgdomeinen. Als de zorg genormaliseerd en daarmee onafhankelijk van een specifieke elektronische infrastructuur gegevens uitwisselt, dan volgen mogelijk andere domeinen op vrijwillige basis.
In de eerdergenoemde brieven van de Minister aan de Tweede Kamer zijn in concept dertien gegevensuitwisselingen17 genoemd die als eerste in aanmerking komen om de gegevensuitwisseling elektronisch te laten plaatsvinden. Deze prioritaire gegevensuitwisselingen passen allemaal binnen de reikwijdte van het wetsvoorstel.
Met het elektronisch uitwisselen van gegevens wordt gedoeld op het delen en benaderen van gegevens waarbij ten minste gebruik wordt gemaakt van een elektronische infrastructuur. Een elektronische infrastructuur geldt, zoals reeds in hoofdstuk 1 is vermeld, als het geheel van netwerken en de benodigde hardware en software waarmee personen en organisaties elektronisch met elkaar kunnen communiceren. Het wetsvoorstel ziet niet op de uitwisseling via fysieke gegevensdragers, zoals een papieren fax, Cd-rom of USB-stick. Het uitwisselen van gegevens door middel van een Pdf-bestand die via een computerverbinding wordt verzonden kan daarentegen wel worden beschouwd als een gegevensuitwisseling door middel van een elektronische infrastructuur.
Delen en benaderen omvat het verzenden, ontvangen, inzien, uploaden, downloaden, verzamelen, opvragen, enzovoort van gegevens.
Met delen wordt gedoeld op het rechtstreeks tussen zorgverleners delen van gegevens al dan niet op genormaliseerde wijze.
Met benaderen wordt gedoeld op het verkrijgen van toegang tot die gegevens. Op deze wijze worden gegevens indirect verkregen van een andere zorgverlener. Een voorbeeld van «benaderen» is de situatie waarbij een behandelend arts op de spoedeisende hulp inzage krijgt in de relevante gegevens van de cliënt in het dossier dat zich bij zijn huisarts bevindt.
Het resultaat van de aanwijzing in spoor 2 is dat eisen aan taal en techniek genormaliseerd zijn, zodat gegevens van een cliënt door zorgverleners eenduidig kunnen worden vastgelegd en gedeeld, zodat een zorgverlener meteen bij binnenkomst van een cliënt over de belangrijkste algemene en medische gegevens van de cliënt kan beschikken en de behandeling zonder onnodige vertraging kan worden gestart of voortgezet. In spoor 1 wordt op korte termijn nog geen volledige interoperabiliteit nagestreefd en blijft de mogelijkheid bestaan om ongestructureerde data (zoals een Pdf-bestand) uit te wisselen.
Het staat zorgverleners uiteraard vrij om naast de verplichte uitwisseling van gegevens door middel van een elektronische infrastructuur ook op een andere wijze met elkaar gegevens uit te wisselen. Zorgverleners kunnen eventueel parallel ook gegevens telefonisch of mondeling delen. Dit geldt ook voor de verplicht uit te wisselen gegevens van bij AMvB aangewezen gegevensuitwisselingen.
Met dit wetsvoorstel wordt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens uitgewisseld moeten worden. Deze verplichtingen zijn niet uitvoerbaar als niet bekend is op welke gegevens de verplichting precies ziet. Dit betekent dat in de AMvB een duidelijke koppeling moet worden gemaakt tussen welke gegevens uitgewisseld worden die noodzakelijk zijn voor het leveren van goede zorg aan de cliënt en hoe die uitwisseling plaats moet vinden.
Met het oog op de rechtszekerheid is het daarbij essentieel dat kenbaar en actueel voldoende nauwkeurig wordt omschreven welke gegevens elektronisch uitgewisseld moeten worden. Dit geldt zowel voor spoor 1 als spoor 2. Uiteraard moet voor de uitwisseling van gegevens wel een grondslag bestaan. Indien bijvoorbeeld een cliënt toestemming moet verlenen voor het uitwisselen van zijn (bijzondere) persoonsgegevens en deze toestemming ontbreekt, is er geen grondslag voor de uitwisseling en mag deze niet plaatsvinden.
Het gaat in de aanwijzing in spoor 1 en de aanwijzing in spoor 2 om de uitwisseling van de volgende soort gegevens.
In de eerste plaats kan het gaan om gegevens die een zorgverlener op grond van een kwaliteitsstandaard als bedoeld in artikel 1, eerste lid, van de Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz) nodig heeft voor het verlenen van goede zorg. Kwaliteitsstandaarden leggen voor een zorgproces of een deel daarvan vast wat noodzakelijk is om vanuit het perspectief van de cliënt goede zorg te verlenen. Een kwaliteitsstandaard zal dus aangeven welke zorggegevens nodig zijn. Gedacht kan worden aan medicatievoorschriften, uitkomsten van noodzakelijke bloedonderzoeken in een laboratorium of gegevens voor hartbewaking.
In de tweede plaats kan het gaan om gegevens die in andere wet- of regelgeving is opgenomen en wordt uitgewisseld voor het verlenen van goede zorg of met het oog daarop. In het laatste geval gaat het om administratieve gegevens (zoals naam, adres en woonplaats) of gegevens over cliëntencontext (zoals bijvoorbeeld informatie over burgerlijke staat, ziektebeleving) (hierna: basisgegevens). Deze basisgegevens zijn niet direct noodzakelijk voor het leveren van goede zorg, maar indirect wel. Deze basisgegevens zijn nodig voor de continuïteit in het zorgproces.
Kwaliteitsstandaarden
Welke gegevens nodig zijn als onderdeel van de goede zorg wordt – met het oog op de professionele autonomie – bepaald door de zorgverleners. Zo bepalen zorgverleners bijvoorbeeld dat gegevens over bloeddruk nodig zijn voor goede zorg en dus ook – bijvoorbeeld in het kader van overdracht – moeten worden uitgewisseld. Zorgverleners leggen dit neer in onderdelen van de professionele standaard of in kwaliteitsstandaarden. Bij kwaliteitsstandaarden geldt dat deze gezamenlijk met organisaties van zorgverleners/zorgaanbieders, cliënten en zorgverzekeraars/zorgkantoren worden opgesteld. Daarbij blijft het uitgangspunt van kracht dat de kwaliteitsstandaard door de zorgverlener wordt toegepast, tenzij de professionele autonomie en eigen verantwoordelijkheid van de zorgverlener zich daar – na afweging – tegen verzet. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens uit te wisselen. Hierin wordt met dit wetsvoorstel geen wijziging aangebracht.
Op grond van de Wkkgz moeten zorgaanbieders ervoor zorgen dat zorgverleners overeenkomstig kwaliteitsstandaarden handelen. Dat laat onverlet dat de zorgverlener altijd nog zelf een afweging moet maken of het in het kader van de behandeling daadwerkelijk noodzakelijk is om alle in de kwaliteitsstandaarden opgenomen gegevens uit te wisselen. De zorgverlener maakt in een concreet geval zelf de afweging of en welke gegevens moeten worden uitgewisseld voor het leveren van goede zorg in die specifieke situatie en passend bij de behoeften van de individuele cliënt.
De eisen die in de AMvB onder dit wetsvoorstel worden gesteld over hoe de gegevens uitgewisseld moeten worden (bijvoorbeeld via eisen aan taal en techniek), moeten aansluiten op de gegevens die volgens de professionals nodig zijn voor de goede zorg. Gedacht kan worden aan de eisen die zijn opgenomen in de zorginformatiebouwsteen over bloeddruk, waarin bijvoorbeeld staat dat aangegeven dient te worden wat de boven- en onderdruk is in welke meetwaarde, en kan meegegeven worden wat de houding van de cliënt was bij het meten van de bloeddruk.
Kwaliteitsstandaarden lenen zich goed als bron waarnaar in de bij AMvB te stellen eisen kan worden verwezen als het gaat om welke gegevens nodig zijn voor goede zorg en moeten worden uitgewisseld.
Een kwaliteitsstandaard is altijd kenbaar doordat die wordt opgenomen in het openbaar register van het Zorginstituut Nederland (hierna: Zorginstituut).18 Ook is geborgd dat alle relevante partijen betrokken zijn bij de totstandkoming van de kwaliteitsstandaard (tripartiete indiening).
De verwachting is dat het veld – waar nodig – zelf kwaliteitsstandaarden voor de bij AMvB aan te wijzen gegevensuitwisselingen zal opstellen of wijzigen, aangezien het verzoek om regie op gegevensuitwisseling onder andere vanuit het veld afkomstig is. Bijvoorbeeld wanneer er nog geen kwaliteitsstandaarden zijn of de huidige kwaliteitsstandaarden onvoldoende basis geven. Echter, mocht een kwaliteitsstandaard onverhoopt niet tot stand komen, dan kan de Minister het Zorginstituut vragen de betreffende kwaliteitsstandaard op de Meerjarenagenda van het Zorginstituut te plaatsen. Het Zorginstituut heeft in dat geval al doorzettingsmacht op grond van het huidige recht. Mochten de tripartiete partijen er dan niet (op tijd) uitkomen, dan kan het Zorginstituut de Adviescommissie Kwaliteit (in overleg met de tripartiete partijen) vragen de kwaliteitsstandaard op te stellen, waarna het Zorginstituut betreffende kwaliteitsstandaard kan opnemen in het Openbare Register.
Het Zorginstituut beoordeelt of een kwaliteitsstandaard, waarin een specifiek zorgproces staat beschreven, kan worden aangemerkt als een adequate beschrijving vanuit het perspectief van de cliënt van wat goede zorg is en welke gegevens moeten worden vastgelegd en uitgewisseld tussen zorgverleners om die goede zorg te verlenen. Dit is noodzakelijk om sectoroverstijgende interoperabiliteit te realiseren.
Onderdelen van de professionele standaard lenen zich niet goed als bron van verwijzing in de AMvB aangezien deze juridisch vormvrij zijn en er geen juridische criteria worden gesteld aan de manier waarop de standaard kenbaar wordt gemaakt. Soms is een onderdeel van de professionele standaard niet meer dan «bestaande praktijk» en niet schriftelijk vastgelegd. Dit maakt dat onderdelen van de professionele standaard op een zeer hoog tempo, zonder afstemming met alle betrokkenen en zonder berichtgeving richting de regering kunnen worden aangepast. Hierdoor ontstaat een reëel risico dat de eisen die bij AMvB zijn gesteld over hoe gegevens uitgewisseld moeten worden, niet stroken met de gegevens die volgens onderdelen van de professionele standaard uitgewisseld moeten worden. Dit brengt een groot risico op onuitvoerbaarheid, onduidelijkheid en onvoldoende betrokkenheid van partijen met zich. Bovendien is bij de professionele standaard van overheidswege niet goed geborgd dat rekening wordt gehouden met gegevens die nodig zijn voor goede zorg vanuit het cliëntenperspectief en het sectoroverstijgend perspectief daarbij.
De huidige kwaliteitsstandaarden zijn niet altijd volledig als het gaat om de beschrijving welke gegevens nodig zijn voor goede zorg. Dit betekent dat in de huidige kwaliteitsstandaarden mogelijk niet altijd ingegaan wordt op welke gegevens nodig zijn als onderdeel van de goede zorg. Bovendien zijn er nog niet veel sector overstijgende kwaliteitsstandaarden. Sommige sectoren werken nog zeer beperkt met kwaliteitsstandaarden. Dit betekent dat een aanvullings- of actualisatieslag nodig kan zijn op de kwaliteitsstandaarden voordat bij AMvB een gegevensuitwisseling in spoor 1 dan wel spoor 2 aangewezen wordt. Dit proces kan parallel lopen aan de ontwikkeling van de eisen aan hoe uitgewisseld moet worden. Uiteraard hoeven niet alle kwaliteitsstandaarden meteen aangepast te worden met het oog op dit wetsvoorstel. Dit kan stapsgewijs, in het verlengde van de stapsgewijze aanwijzing van gegevensuitwisselingen bij AMvB. Soms zal de aanpassing van de kwaliteitsstandaard beperkt zijn tot het opnemen van een paragraaf over noodzakelijk uit te wisselen gegevens. Voor de gegevensuitwisselingen waarvan beoogd is om die op korte termijn bij AMvB aan te wijzen, maar de kwaliteitsstandaard nog moet worden opgesteld of aanpassing behoeft, geldt een overgangsperiode van 5 jaar. In paragraaf 10.3 van deze memorie wordt hier uitgebreid op ingegaan.
Zoals hierboven is weergegeven zal de kwaliteitsstandaard leidend zijn voor welke gegevens worden uitgewisseld en zal de hoe door dit wetsvoorstel worden bepaald. Een wijziging van goede zorg en daarmee een wijziging in welke gegevens worden uitgewisseld, kan dan ook alleen worden bewerkstelligd door middel van (een wijziging van) de kwaliteitsstandaard.
In het geval een kwaliteitsstandaard wijzigt die betrekking heeft op een reeds bij AMvB aangewezen gegevensuitwisseling, wordt in artikel 7.2 een nieuw artikel 11k in de Wkkgz voorgesteld dat bepaalt dat het Zorginstituut de Minister informeert over een voorgedragen kwaliteitsstandaard.
Dit wetsvoorstel wijzigt overigens de bestaande toetsingsprocedure van het Zorginstituut van kwaliteitsstandaarden niet. Het is en blijft de verantwoordelijkheid van de tripartiete partijen om waar nodig met het oog op het op elektronische wijze uitwisselen van gegevens, een of meerdere kwaliteitsstandaarden op te stellen of te wijzigen.
Bij AMvB zal bij de aanwijzing van een gegevensuitwisseling worden verwezen naar de desbetreffende kwaliteitsstandaard. Welke versie van die kwaliteitsstandaard geldt zal bij ministeriële regeling worden bepaald. De verwijzing naar de kwaliteitsstandaard is dus statisch: verwezen wordt naar de tekst zoals die op een bepaald tijdstip luidde. Een dynamische verwijzing (zijnde een verwijzing naar de tekst zoals die met inbegrip van sinds de totstandkoming vastgestelde wijzigingen luidt of zal luiden) is onwenselijk omdat dit niet zorgt voor maximale duidelijkheid voor het zorgveld en de aanbieders van informatietechnologieproducten of -diensten en niet passend is bij de regie van de overheid op de bepaling van eisen.
Wet- en regelgeving voor het verlenen van goede zorg of met het oog daarop
In bepaalde gevallen wordt in wet- en regelgeving bepaald wat goede zorg is en welke gegevens noodzakelijk zijn voor het verlenen van goede zorg of met het oog daarop. Bijvoorbeeld bij de jeugdgezondheidszorg. Jeugdgezondheidszorg is onderdeel van de publieke gezondheidszorg als bedoeld in de Wet publieke gezondheid (hierna: Wpg). Welke zorg noodzakelijk is voor een goede jeugdgezondheidzorg staat in het geval van jeugdgezondheidzorg op grond van artikel 5, tweede lid, in samenhang met het vijfde lid, van de Wpg in hoofdstuk III van het Besluit publieke gezondheid (hierna: Bpg). Dit maakt dat de jeugdgezondheidszorg als gegevensuitwisseling kan worden aangewezen bij algemene maatregel van bestuur (hierna: AMvB) onder dit wetsvoorstel en dat daarbij verwezen kan worden naar de Bpg. Bij de aanwijzing zal worden bezien of er een aanscherping nodig is van de Bgp zodat voldoende duidelijk is welke gegevens worden uitgewisseld ten behoeve van goede jeugdgezondheidzorg. De AMvB waarin de jeugdgezondheidzorg als gegevensuitwisseling in een spoor 1 of spoor 2 wordt aangewezen, bepaalt vervolgens hoe de gegevens worden uitgewisseld.
Dit wetsvoorstel ziet op de uitwisseling van gegevens tussen zorgverleners. Voor wat verstaan wordt onder een zorgverlener is aangesloten bij het begrippenkader van de Wkkgz. Dit geldt ook voor het begrip «cliënt», «zorg» en «zorgaanbieder». Een zorgverlener is een natuurlijke persoon die beroepsmatig zorg verleent. Hiermee wordt gedoeld op degene die de zorg daadwerkelijk verleent, oftewel «de handen». Dat kan een zorgverlener in loondienst zijn, een vrijgevestigde zorgverlener of zzp’er die binnen een organisatorisch verband werkzaam is, maar ook een solistisch werkende zorgverlener, in zijn rol als daadwerkelijke zorgverlener.
Met het begrip «zorgaanbieder» wordt gedoeld op «de bestuurder». Een zorgaanbieder kan een instelling zijn, maar ook een solistisch werkende zorgverlener, in zijn rol als bestuurder.
Het is de zorgaanbieder die verantwoordelijk is voor de materiële middelen (zoals informatietechnologieproducten of -diensten) waarvan gebruik wordt gemaakt en voor de organisatie van de informatiehuishouding. De zorgverleners hebben hier in beginsel geen rol in en kunnen de verplichtingen niet realiseren. Daarom zijn de verplichtingen uit dit wetsvoorstel opgelegd aan de zorgaanbieder, en niet aan de zorgverlener. Om zijn verantwoordelijkheid te kunnen waarmaken, moet de zorgaanbieder het zo organiseren, dat de zorgverleners verantwoording afleggen aan de zorgaanbieder. Daarbij is het niet relevant of deze personen in loondienst zijn van de zorgaanbieder of op andere wijze door de zorgaanbieder worden ingeschakeld. Hoewel de verplichtingen op grond van dit wetsvoorstel dus zien op uitwisseling van gegevens tussen zorgverleners, is de zorgaanbieder ervoor verantwoordelijk dat de uitwisseling door zorgverleners plaatsvindt overeenkomstig die verplichtingen.
Het wetsvoorstel betreft het uitwisselen van gegevens over de cliënt, maar niet de uitwisseling van gegevens met de cliënt. Voor de informatie-uitwisseling richting de cliënt is het MedMij- afsprakenstelsel ingericht. Dit afsprakenstelsel is onder paragraaf 2.2 toegelicht. Dit laat onverlet dat het wetsvoorstel ook positieve effecten kan hebben op de gegevensuitwisseling met de cliënt. Doordat gegevens met behulp van een elektronische infrastructuur beschikbaar worden en tussen zorgverleners op die wijze worden uitgewisseld, kunnen deze logischerwijs ook makkelijker uitgewisseld worden met de cliënten. Dit positieve effect wordt nog eens versterkt doordat bij de ontwikkeling van een NEN-norm rekening zal worden gehouden met het MedMij- afsprakenstelsel. Wanneer een NEN-norm wordt ontwikkeld, zal namelijk altijd gestart worden met een brede inventarisatie. Het proces staat open voor alle belanghebbenden. Tijdens deze inventarisatie wordt onder meer in kaart gebracht welke (internationale) standaarden en andersoortige afspraken beschikbaar zijn, die als input kunnen dienen voor de normontwikkeling. Hierbij worden onder meer de afspraken vanuit het MedMij-stelsel meegenomen. Bovendien zal de Minister bij de opdrachtverlening als richtinggevend kader meegeven dat de norm zoveel mogelijk rekening dient te houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij.
De in dit wetsvoorstel opgenomen verplichtingen zullen stapsgewijs van kracht worden. Bij AMvB zullen gegevensuitwisselingen worden aangewezen waarvoor de verplichtingen gaan gelden. Een gegevensuitwisseling kan bijvoorbeeld zijn »digitaal receptenverkeer», «verpleegkundige overdracht van ziekenhuis naar instelling of thuiszorg» of «beelduitwisseling tussen ziekenhuizen». De reikwijdte van een gegevensuitwisseling kan op verschillende manieren worden begrensd. Bijvoorbeeld door te specificeren welke gegevens het betreft, of door aan te geven om welke zorgaanbieders het gaat. Bij de duiding van de zorgaanbieders kunnen allerlei criteria worden toegepast, zoals de grootte van de zorgaanbieder in termen van omzet, personeelsbezetting of cliënten. Zoals in paragraaf 2.3.1 al is aangegeven zijn in de eerdergenoemde brieven van de Minister aan de Tweede Kamer in concept dertien gegevensuitwisselingen genoemd die als eerste in aanmerking komen om te worden aangewezen. De prioritering van de gegevensuitwisselingen zal worden opgenomen in de Meerjarenagenda Wegiz. Op welke wijze de Meerjarenagenda Wegiz tot stand komt en hoe besloten wordt welke gegevensuitwisseling prioritair is, wordt nader toegelicht in paragraaf 3.2.
Wanneer in het kader van de goede zorg bij AMvB een gegevensuitwisseling wordt aangewezen, dienen die gegevens in ieder geval elektronisch te worden uitgewisseld. Daarnaast kan bij de AMvB worden verplicht om gegevens elektronisch uit te wisselen volgens een voor die aangewezen gegevensuitwisseling geldende norm teneinde volledige interoperabiliteit te bereiken.
Daartoe dienen informatietechnologieproducten of -diensten te zijn voorzien van een certificaat. Uitgangspunt is dat dit certificaat door een certificerende instelling wordt verleend. Om een dergelijk certificaat te mogen verlenen dient een certificerende instelling aangewezen te zijn door de Minister. In het uiterste geval dat geen certificerende instelling beschikbaar is, kan de Minister ter waarborging van de continuïteit van het stelsel zelf certificaten verstrekken.
Voordat een gegevensuitwisseling bij AMvB zal worden aangewezen, zal die gegevensuitwisseling eerst als prioritair worden aangemerkt. Welke gegevensuitwisselingen prioritair zijn volgt uit de zogenoemde Meerjarenagenda Wegiz.
In dit hoofdstuk zal worden ingegaan op de totstandkoming van de Meerjarenagenda Wegiz (paragraaf 3.2), degenen voor wie de verplichtingen gelden (paragraaf 3.3), de verplichting om met behulp van een elektronische infrastructuur gegevens uit te wisselen (paragraaf 3.4), normalisatie en standaardisatie (paragraaf 3.5), initiatiefmogelijkheden voor de Minister (paragraaf 3.6), certificering (paragraaf 3.7) en de Kaderwet zelfstandige bestuursorganen (paragraaf 3.8).
De Meerjarenagenda Wegiz betreft een lijst van gegevensuitwisselingen waarvan de Minister van oordeel is dat ze prioritair zijn. Het kan gaan om gegevensuitwisselingen die door het zorgveld zijn aangedragen als prioritair, of de Minister zelf prioritair acht. In dat laatste geval zal uiteraard overleg plaatsvinden met het zorgveld. Voordat gegevensuitwisselingen op de Meerjarenagenda Wegiz worden geplaatst, worden ze op een verzamellijst gezet. Voor elke aangeleverde gegevensuitwisseling op de verzamellijst wordt beoordeeld wat de verwachting is over:
a. De toegevoegde waarde voor het verlenen van goede zorg: het risico op vermijdbare fouten moet bijvoorbeeld merkbaar kleiner worden. Daarbij is ook van belang hoeveel cliënten direct gezondheidsvoordeel hebben van een wettelijke verplichting.
b. De realiseerbaarheid: het is noodzakelijk dat duidelijk is welke gegevens verplicht uitgewisseld moeten worden voor het verlenen van goede zorg (in een kwaliteitsstandaard of in wet- en regelgeving, zie ook de toelichting in paragraaf 2.3.3). Daarnaast moet het technisch mogelijk zijn dat de gegevens worden uitgewisseld, bijvoorbeeld door landelijke dekking van onderling verbonden infrastructuren.
c. Het draagvlak: in beginsel geldt dat voor het plaatsen van een gegevensuitwisseling op de Meerjarenagenda Wegiz er voldoende draagvlak voor moet zijn bij het veld.
De Minister toetst deze elementen aan de hand van een effectenverkenning19 en daarbij behorende eenduidige, vooraf aan het veld gecommuniceerde, criteria. Met dit analyse-instrument kan op een relatief snelle manier inzicht worden verkregen in de kwalitatieve effecten van de op de verzamellijst vermelde gegevensuitwisselingen.
Om op de lijst van geprioriteerde gegevensuitwisselingen te kunnen worden aangewezen, is ook vereist dat:
– er tijdig een kwaliteitsstandaard is, waarin beschreven is welke informatie moet worden uitgewisseld in het kader van goede zorgverlening; of
– de ontwikkeling van de kwaliteitsstandaard is geplaatst op de Meerjarenagenda van het Zorginstituut en concreet is wanneer de ontwikkeling hiervan gereed is; of
– een wettelijke basis aanwezig is of ontwikkeld wordt en concreet is wanneer de ontwikkeling hiervan gereed is, die bepaalt welke gegevens moeten worden uitgewisseld.
Op basis van de beoordeling van al deze aspecten, stelt de Minister een concept op van de lijst met geprioriteerde gegevensuitwisselingen. Deze concept-lijst wordt ter consultatie voorgelegd aan het Informatieberaad Zorg. Na de beoordeling van de inbreng van het Informatieberaad Zorg, stelt de Minister de definitieve lijst als onderdeel van de Meerjarenagenda Wegiz vast. De Minister informeert de Tweede Kamer over de gegevensuitwisselingen die aangewezen kunnen worden op grond van artikel 1.4, eerste lid, door toezending van de Meerjarenagenda Wegiz (artikel 1.3, eerste lid) en geeft voor die gegevensuitwisselingen de uitkomst weer van de verwachtingen op de hiervoor genoemde onderdelen.
Voorafgaande aan het bij AMvB aanwijzen van een gegevensuitwisseling toetst de Minister de geprioriteerde gegevensuitwisselingen op toegevoegde waarde en realiseerbaarheid door middel van onder andere een maatschappelijke kosten -en batenanalyse (MKBA) en een volwassenheidscan.
Het streven is om deze toetsing binnen een jaar af te ronden en om binnen die termijn, aan de hand van de toetsen, te bekijken of een aanwijzing in spoor 2 (op afzienbare termijn) haalbaar is of dat eerst spoor 1 aanwijzing gewenst is. Beoogd is ook om binnen deze termijn de aanpak en verwachte doorlooptijd van de beoogde gegevensuitwisseling te ontwikkelen.
De ontwerpAMvB, waarbij de uiteindelijke gegevensuitwisselingen worden aangewezen, wordt ingevolge artikel 6.1 door middel van een voorhangprocedure aan beide kamers der Staten-Generaal overgelegd. Bij geprioriteerde gegevensuitwisselingen waarvan na toetsing blijkt dat een verplichting per AMvB niet wenselijk is, of in ieder geval niet op korte termijn, verantwoordt de Minister zich in een Kamerbrief.
Periodiek wordt een nieuwe Meerjarenagenda Wegiz opgesteld. De Minister zendt de geactualiseerde Meerjarenagenda Wegiz weer aan de Tweede Kamer.
De verplichting om bij een aangewezen gegevensuitwisseling door middel van een elektronische infrastructuur gegevens uit te wisselen, wordt in dit wetsvoorstel opgelegd aan zorgaanbieders. In paragraaf 2.3, onder «Uitwisseling gegevens tussen zorgverleners», is toegelicht waarom de verplichting is opgelegd aan zorgaanbieders en niet aan zorgverleners.
De zorgaanbieder moet erop toezien dat – als op grond van de aanwijzing in spoor 2, eisen zijn gesteld – de zorgverlener hieraan voldoet. De zorgaanbieder hoeft niet aan alle eisen te voldoen die bij of krachtens AMvB zijn gesteld. De zorgaanbieder hoeft namelijk niet te voldoen aan de (technische) eisen die gesteld worden aan een informatietechnologieproduct of -dienst waarvoor een certificaat is vereist. De zorgaanbieder is dan uiteraard wel verplicht op grond van artikel 2.1, derde lid, om de zorgverlener alleen gebruik te laten maken van die gecertificeerde informatietechnologieproducten of -diensten bij het uitwisselen van gegevens. Dit voor zover bij AMvB verplicht is gesteld dat informatietechnologieproducten of -diensten moeten zijn voorzien van een certificaat.
De bij AMvB gestelde eisen over de manier waarop het elektronisch uitwisselen van gegevens moet plaatsvinden, zullen zodanig zijn, dat zorgaanbieders vrij blijven in de keuze voor informatietechnologieproducten of -diensten. Zolang deze maar voorzien zijn van een geldig certificaat. Daarmee wordt zo min mogelijk getreden in de bedrijfsvoering van de zorgaanbieder.
Om te kunnen voldoen aan de verplichting om bij aangewezen gegevensuitwisselingen gegevens elektronisch uit te wisselen, zullen gegevens elektronisch moeten worden geregistreerd en opgeslagen door de zorgaanbieder, daar waar de gegevens ontstaan. Het is aan de zorgaanbieder om hierop toe te zien waarbij de zorgaanbieder ook de verantwoordelijkheid draagt dat kan worden uitgewisseld conform de afspraken en regie kan uitoefenen op de informatiehuishouding van de zorgaanbieder.
Degene die voor het uitwisselen van gegevens in een aangewezen gegevensuitwisseling informatietechnologieproducten of -diensten aanbiedt aan een zorgaanbieder dan wel die producten of diensten ondersteunt, dient voor die desbetreffende producten of diensten over een certificaat te beschikken. Indien informatietechnologieproducten of -diensten, die zijn bestemd voor het uitwisselen van gegevens, zonder een certificaat worden aangeboden aan zorgaanbieders, dan kan aan degene die deze producten of diensten aanbiedt een boete worden opgelegd. Wanneer de zorgaanbieder een product of dienst zonder certificaat gebruikt en de dienstverlening aan dat product of dienst wordt voortgezet door middel van technische ondersteuning zoals software updates, dan wordt dit beschouwd als het aanbieden van producten en diensten en kan een boete worden opgelegd aan degene die deze ondersteuning van het product of dienst biedt.
Het certificaat voor informatietechnologieproducten of -diensten wordt door een door de Raad voor Accreditatie (hierna: RvA) geaccrediteerde en door de Minister aangewezen gecertificeerde instelling, of bij het ontbreken van een gecertificeerde instelling in het uiterste geval door de Minister zelf (paragraaf 3.7), verleend als het informatietechnologieproduct of de informatietechnologiedienst voldoet aan de in de norm gestelde eisen voor taal en techniek waar in de AMvB naar wordt verwezen.
Volledigheidshalve wordt opgemerkt dat wanneer een zorgaanbieder zelf informatietechnologieproducten of -diensten ontwikkelt, de zorgaanbieder verplicht is te voldoen aan de eisen die gelden voor die producten of diensten. Ook deze producten of diensten dienen te zijn voorzien van een certificaat.
Mede aan de hand van de uit te voeren MKBA-toets en een beoordeling van de realiseerbaarheid (de volwassenheidsscan) wordt beoordeeld of een gegevensuitwisseling wordt aangewezen in spoor 1, dan wel in spoor 2.
Bij deze beoordeling worden technische, inhoudelijke, economische en bestuurlijke invalshoeken gehanteerd die bijdragen aan de beoordeling van toegevoegde waarde, realiseerbaarheid en draagvlak van een gegevensuitwisseling. Per gegevensuitwisseling worden deze toegepast om te bepalen of een aanwijzing in spoor 1 of spoor 2 gerechtvaardigd is. De uitkomsten daarvan zijn echter niet zonder meer voor alle gegevensuitwisselingen te vergelijken, omdat gegevensuitwisselingen zelf onderling verschillen. Deze onderbouwing wordt daarom per uitwisseling met behulp van een zorgvuldig gewogen proces vastgesteld.
Als een gegevensuitwisseling wordt aangewezen in spoor 1 is altijd de ambitie om op een later moment die gegevensuitwisseling aan te wijzen in spoor 2. Het doel is immers om te komen tot volledige interoperabiliteit, wat een genormaliseerde wijze van het elektronisch uitwisselen van gegevens vereist. Echter, niet elke gegevensuitwisseling is al gereed om te worden aangewezen in spoor 2, bijvoorbeeld omdat nog een groei doorgemaakt moet worden om tot normalisatie van eisen aan taal en techniek te komen. In dat geval vindt een aanwijzing plaats in spoor 1.
Voor zowel spoor 1 als spoor 2 geldt dat om daadwerkelijk tot een aanwijzing van een gegevensuitwisseling bij AMvB te komen, de aanwezigheid van een kwaliteitsstandaard of wettelijke basis die bepaalt welke gegevens moeten worden uitgewisseld, randvoorwaardelijk is.
Wanneer een gegevensuitwisseling ingevolge artikel 1.4, derde lid, onderdeel a, bij AMvB wordt aangewezen dan geldt op grond van dit wetsvoorstel daarvoor ten minste de eis dat de aangewezen gegevens op elektronische wijze moeten worden uitgewisseld. Volledige interoperabiliteit wordt daarmee in spoor 1 niet afgedwongen, want daarvoor is het noodzakelijk dat deze gegevensuitwisseling verplicht volgens een norm plaatsvindt (spoor 2). Deze verplichting is echter wel een belangrijke stap in het realiseren van volledige interoperabiliteit. In bepaalde gegevensuitwisselingen moeten op technisch vlak nog grote stappen gezet worden om tot volledige interoperabiliteit te komen. In die gevallen kan ervoor gekozen worden om niet meteen verplicht te stellen dat dit op de aangewezen genormaliseerde wijze plaats moet vinden, maar te beginnen met een eerste stap: de verplichting om gegevens elektronisch uit te wisselen. De aanwijzing spoor 1 heeft in die situatie de volgende voordelen:
– De verwachting is dat de aanwijzing van de gegevensuitwisseling het veld focus en motivatie biedt om de stap te zetten om te komen tot normalisatie op het gebied van de eisen aan taal en techniek.
– De verplichting om gegevens met behulp van een elektronisch infrastructuur uit te wisselen kan al een stap in de goede richting zijn in die gevallen waarin de gegevens nu nog bijvoorbeeld fysiek worden gedeeld.
Bij AMvB kunnen eisen worden gesteld aan de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling moet plaatsvinden. Hierbij kan ook worden gedacht aan eisen aan generieke functies. In paragraaf 3.5.3 wordt nader ingegaan op deze generieke functies.
Uiteraard moet bij de aanwijzing in spoor 1 ook voldaan worden aan de eisen die gelden op grond van andere wet- en regelgeving.
Met de aanwijzing van een gegevensuitwisseling als bedoeld in artikel 1.4, derde lid, onder b, wordt volledige interoperabiliteit nagestreefd. Daartoe geldt een wettelijke verplichting om gebruik te maken van bij AMvB gestelde eisen ten aanzien van taal en techniek. Deze eisen worden per aangewezen gegevensuitwisseling in spoor 2 neergelegd in een daarop toegespitste norm, waarnaar in de AMvB wordt verwezen. Deze eisen hebben tot doel dat de gegevens:
– in taal eenduidig zijn;
– in de systemen gelezen kunnen worden zoals ze zijn bedoeld.
Beoogd is dat zender en ontvanger onder de uitgewisselde gegevens hetzelfde verstaan en dat hun informatietechnologiesystemen met elkaar kunnen communiceren. Door de eisen inzake taal en techniek verplicht te stellen, ontstaat interoperabiliteit en wordt gegevensuitwisseling tussen en binnen zorgdomeinen mogelijk. Het neemt immers de in hoofdstuk 1 en paragraaf 2.1 geschetste problemen weg.
Net als bij de aanwijzing in spoor 1 moet ook bij een aanwijzing in spoor 2 uiteraard voldaan worden aan de eisen die gelden op grond van andere wet- en regelgeving.
In spoor 1 kunnen bij AMvB eisen worden gesteld die niet zien op volledige interoperabiliteit van de gegevensuitwisseling, maar op de functionele, technische of organisatorische wijze waarop gegevensuitwisseling moet plaatsvinden. Zoals in paragraaf 3.4.1 van deze memorie al is aangegeven, kunnen deze eisen voor meerdere gegevensuitwisselingen verplicht worden gesteld en hebben dus een meer algemeen karakter. Deze eisen kunnen direct in de AMvB worden opgenomen, maar ook kan in de AMvB worden verwezen naar een norm of een andere standaarden.
Functionele, technische, organisatorische eisen kunnen zien op generieke functies. Generieke functies zijn functies die in veel of zelfs in alle gegevensuitwisselingen terugkomen. Denk hierbij aan functies zoals identificatie, authenticatie, vindbaarheid en adressering. Voor een aantal van deze eisen worden normen ontwikkeld. In paragraaf 3.5.3 wordt nader ingegaan op normen voor generieke functies in het kader van spoor 2.
In spoor 2 worden bij AMvB eisen gesteld die zien op het op genormaliseerde wijze uitwisselen van specifieke gegevens (de eisen voor taal en techniek). In paragraaf 3.5.3 van deze memorie wordt hier uitgebreider op ingegaan.
Door genormaliseerde eisen te stellen, zien deze eisen niet op een specifieke elektronische infrastructuur of informatietechnologieproduct of -dienst. De eisen die in het kader van de aanwijzing in spoor 2 worden gesteld gelden niet alleen voor zorgaanbieders, maar ook voor (aanbieders van) informatietechnologieproducten of -diensten die in deze gegevensuitwisseling worden gebruikt. Om aan te tonen dat informatietechnologieproducten of -diensten voldoen aan deze genormaliseerde eisen, dienen deze producten of diensten te zijn voorzien van een certificaat, afgegeven door een daartoe aangewezen certificerende instelling. Een certificaat voor een informatietechnologieproduct of -dienst wordt alleen verstrekt als voldaan wordt aan de relevante eisen in de norm waarnaar bij AMvB wordt verwezen.
Door gebruik te maken van normalisatie wordt de brede expertise van de markt goed benut. De verschillende partijen, zoals zorgaanbieders, zorgverleners en aanbieders van informatietechnologieproducten of -diensten, beschikken bij uitstek over de deskundigheid om adequate eisen op te stellen. De verwachting is dat het stelsel van normalisatie goed zal functioneren. In de eerste plaats, omdat binnen de zorgsector sprake is van een hoge organisatiegraad en structuur om vorm en inhoud aan de normen te geven. In de tweede plaats, omdat binnen de sector voldoende draagvlak is en er dus een hoge inzet van betrokken private partijen wordt verwacht. Verwezen wordt naar het Informatieberaad Zorg, waarin vertegenwoordigers uit het zorgveld en VWS samenwerken aan een duurzaam informatiestelsel in de zorg. Om te voorkomen dat eisen worden gesteld waaraan aanbieders van informatietechnologieproducten of -diensten niet kunnen of willen voldoen, is het van belang dat deze aanbieders betrokken zijn bij het tot stand komen van de normen. In het manifest «Samen Vooruit» van VNO-NCW en diverse zorgpartijen committeren het bedrijfsleven en de zorg zich aan afspraken over makkelijke en veilige gegevensuitwisseling in de zorg.20
In spoor 2 worden bij AMvB eisen gesteld die zien op het op genormaliseerde wijze uitwisselen van specifieke gegevens (de eisen voor taal en techniek). De eisen waaraan voldaan moet worden in spoor 2 worden opgelegd bij AMvB, middels een verwijzing naar één norm die alle eisen voor een specifieke gegevensuitwisseling beschrijft. Normalisatie al eerder succesvol ingezet en een bekend instrument bij het zorgveld en de aanbieders van informatietechnologieproducten of -diensten. Dit is bijvoorbeeld het geval bij ontwerpNEN 7503:2021 Gegevensuitwisseling in de zorg – Elektronische verwerking en uitwisseling van gegevens voor het voorschrijven en ter hand stellen van medicatie.
Norm
De norm waarin de eisen staan kan zijn een nationale norm (NEN-norm) of een Europese of internationale norm (NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO).
Op dit moment zijn er nog geen Europese of internationale normen die aansluiten op de behoefte van het Nederlandse zorgveld. De ervaring leert ook dat Europese en internationale normen vaak een te hoog abstractieniveau hebben om tot directe implementatie van de norm in Nederland te kunnen komen. Een specificering op nationaal niveau is hiervoor vereist.
Ontwikkelingen staan echter niet stil. Mocht bij een toekomstige specifieke gegevensuitwisseling wel een Europese of internationale norm beschikbaar zijn met het benodigde detailniveau, dan kan deze norm worden gebruikt. Het wetsvoorstel maakt het daarom mogelijk om voor een specifieke gegevensuitwisseling te verwijzen maar naar een Europese of internationale norm. Ook dan is er dus sprake van één norm voor desbetreffende specifieke gegevensuitwisseling, namelijk de Europese of internationale norm.
In de meeste gevallen zal een NEN-norm voor de specifieke gegevensuitwisseling ontwikkeld moeten worden. Die zal worden opgesteld in opdracht van de Minister, die hierbij richtinggevende kaders meegeeft (zie voor een uitleg over deze richtinggevende kaders paragraaf 3.5.4). Wanneer verwezen wordt naar een bestaande NEN-norm of een Europese of internationale norm is er geen sprake van normontwikkeling in opdracht van de Minister, en dus niet van vooraf gestelde richtinggevende kaders. Dit laat onverlet dat de bestaande nationale, Europese of internationale normen, alvorens aangewezen te kunnen worden bij AMvB, beoordeeld worden aan de hand van richtinggevende kaders die van belang worden geacht voor een aan te wijzen gegevensuitwisseling.
Wanneer een opdracht tot de ontwikkeling van een NEN-norm wordt gegeven met het oog op de aanwijzing van een gegevensuitwisseling in spoor 2, wordt een normalisatietraject gestart. Voorafgaande aan de ontwikkeling van een NEN-norm voor een specifieke gegevensuitwisseling benadert NEN alle belanghebbenden en roept hen op om deel te namen aan de werkgroep die de normontwikkeling uitvoert.
Eisen in norm
In de aangewezen norm worden eisen gesteld die er toe leiden dat het uitwisselen van gegevens tussen zorgverleners plaatsvindt op interoperabele wijze. Dat betekent dat er eisen worden gesteld aan taal en techniek.
Ook kunnen in de aangewezen norm functionele en organisatorische eisen worden gesteld. Deze eisen kunnen zien op generieke functies. Generieke functies zijn functies die in veel of zelfs in alle gegevensuitwisselingen terugkomen. Denk hierbij aan functies zoals identificatie, authenticatie, vindbaarheid en adressering.
Het wordt wenselijk geacht dat deze eisen aan generieke functies in NEN-normen worden opgenomen. Door eisen te stellen aan generieke functies in NEN-normen wordt geborgd dat de in spoor 2 aangewezen gegevensuitwisselingen niet onnodig van elkaar gaan afwijken en daardoor zorgaanbieders en leveranciers mogelijk voor tegenstrijdige eisen stellen. Tevens is hierdoor versnelling mogelijk bij het ontwikkelen van normen voor specifieke gegevensuitwisselingen en wordt het risico op desinvesteringen verkleind.
Sommige NEN-normen voor generieke functies bestaan al, zoals de norm voor logging en de norm voor veilige e-mail. NEN-normen voor andere functies, zoals identificatie, authenticatie en vindbaarheid worden in opdracht van de Minister ontwikkeld. In de aangewezen norm voor een specifieke gegevensuitwisseling wordt dan naar de NEN-norm die eisen stelt aan generieke functies verwezen.
Geen wederzijdse erkenning
Voorgesteld wordt dat de normen waarnaar wordt verwezen, dwingend en exclusief worden voorgeschreven bij AMvB, nadat ze getoetst zijn aan de richtinggevende kaders (zie paragraaf 3.5.4), en als ze zien op een gegevensuitwisseling die bij AMvB wordt aangewezen. Deze dwingende en exclusieve verwijzing is noodzakelijk om de gegevensuitwisseling tussen zorgverleners tot stand te brengen en een goede werking daarvan te kunnen garanderen. Om die reden wordt geen andere wijze toegestaan om te bewijzen dat wordt voldaan aan de eisen die zijn opgenomen in de normen. In het wetsvoorstel of de daaronder hangende AMvB wordt voor spoor 2 dus geen clausule tot wederzijdse erkenning opgenomen. Een dergelijke clausule is alleen mogelijk als de materiële eisen waaraan getoetst wordt in wet- en regelgeving zijn opgenomen. De eisen die gesteld worden aan een gegevensuitwisseling worden echter opgenomen in een norm. Zoals aangegeven in paragraaf 3.5.2 van deze memorie is hiervoor gekozen zodat aangesloten kan worden bij de kennis en expertise van het zorg- en ICT-veld. Zo wordt voorkomen dat de wetgever eisen stelt aan een gegevensuitwisseling waaraan niet kan worden voldaan of die innovatie in de weg staat die juist gewenst is. Wat de beste eisen zijn om te komen tot interoperabiliteit op het moment van aanwijzen van een gegevensuitwisseling kunnen het zorg- en ICT-veld het beste zelf bepalen. De enige materiële eis die in het wetsvoorstel is opgenomen, is dat interoperabiliteit bereikt moet worden met de norm. Het wel opnemen van een wederzijde erkenning van andere normen zou tot gevolg hebben dat die normen getoetst zullen worden aan het vereiste van interoperabiliteit, en daaraan op zichzelf kunnen voldoen, maar dat deze erkenning desondanks het risico in zich heeft dat er onderling in die aangewezen gegevensuitwisseling geen interoperabiliteit ontstaat. Door de erkenning van een andere norm wordt de gegevensuitwisseling als geheel dan niet interoperabel, wat nu juist beoogd wordt met dit wetsvoorstel. De afgelopen jaren is precies dit probleem opgetreden bij de digitalisering in de zorg. Er zijn tal van elektronische gegevensuitwisselingen ontstaan die volgens verschillende standaarden uitwisselen. Binnen een specifieke gegevensuitwisseling bestaat hierdoor vaak geen interoperabiliteit. Om voor specifieke gegevensuitwisselingen interoperabiliteit te borgen is het daarom noodzakelijk om één norm per uitwisseling vast te stellen.
Licentiekosten
De overheid zal de licentiekosten die verbonden zijn aan het gebruik van NEN-normen (voor zowel de NEN-norm voor een specifieke gegevensuitwisseling als de NEN-normen waarnaar binnen die NEN-norm voor een specifieke gegevensuitwisseling verwezen wordt) afkopen met als doel die normen openbaar en kosteloos beschikbaar te kunnen stellen. Dit sluit aan bij het kabinetsbeleid inzake de kenbaarheid van normen en normalisatie.21 Wanneer het gaat om Europese en internationale normen is het openbaar en kosteloos beschikbaar stellen in dit geval niet mogelijk is, omdat Europese en internationale regels hieraan in de weg staan. Europese of internationale normen verplichtend voorschrijven in wet- of regelgeving zonder dat de licentiekosten die verbonden zijn aan het gebruik van deze normen worden afgekocht is mogelijk, mits de prijs van die norm niet onredelijk hoog is.
In de vorige paragraaf is al aangegeven dat in de meeste gevallen voor een spoor 2 aanwijzing een NEN-norm voor de specifieke gegevensuitwisseling ontwikkeld moet worden. Deze NEN-norm zal dan via een AMvB onder dit wetsvoorstel dwingend en exclusief voorgeschreven worden.
Voor de ontwikkeling van NEN-normen worden onder toezicht van NEN steeds de volgende aspecten geborgd:
1. De NEN-norm is ontwikkeld op basis van een vastgelegd, transparant proces waarbij alle belanghebbende partijen in staat zijn gesteld een bijdrage te leveren;
2. De NEN-norm kent een breed draagvlak;
3. De NEN-norm is voor eenieder beschikbaar;
4. De NEN-norm voldoet aan geldende wet- en regelgeving;
5. De NEN-norm bevat geen patenten en leidt niet naar één partij of techniek;
6. De NEN-norm mag niet in conflict zijn met een bestaande nationale, Europese of internationale norm (NEN, NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO);
7. De NEN-norm is norm technisch goed geformuleerd. De norm bevat te allen tijde eenduidige eisen en afspraken die niet voor meerder uitleg vatbaar zijn;
8. Het proces voor onderhoud en beheer van de NEN-norm standaard is helder beschreven en is duurzaam geborgd;
9. De verantwoordelijke normcommissie stelt de NEN-norm naar de standaard vast;
10. Voorafgaande aan een normontwikkeling wordt altijd het bestaan van eventuele Europese en internationale normen verkent. Er wordt geen Nederlandse norm ontwikkeld als er al een Europese of internationale norm beschikbaar is, die zonder wijzigingen in Nederland kan worden geïmplementeerd en ook voldoet aan de door de Minister meegegeven richtinggevende kaders (zie toelichting in de volgende alinea). Het gebruik van Europese en internationale normen en standaarden is daarmee een leidend principe voor iedere norm, die onder de toezicht van NEN wordt ontwikkeld.
Aanvullend aan de hierboven genoemde eisen aan het ontwikkelen van NEN-normen, geeft de Minister bij de opdrachtverlening voor de ontwikkeling van een NEN-norm richtinggevende kaders mee, die bestaan uit specifieke aspecten voor die gegevensuitwisseling en een aantal algemene aspecten die voor elke normontwikkeling voor een gegevensuitwisseling zullen worden meegegeven. De algemene kaders zien op aspecten, zoals:
– in de norm (en de standaarden waar de norm naar verwijst) moet altijd duidelijk zijn welke eisen gelden, voor wie of wat de eisen gelden en op welke gegevens de eisen zien;
– de norm dient te verzekeren dat een informatietechnologieproduct- of dienst voldoet aan de eisen die de AVG stelt en het mogelijk maakt dat een zorgaanbieder of zorgverlener aan zijn verplichtingen uit de AVG kan voldoen;
– de norm dient te verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren – zoals het recht op inzage, rectificatie of gegevenswissing en het mogelijk maken dat onjuist ingevoerde gegevens (met terugwerkende kracht) gewijzigd kunnen worden;
– de norm mag er gelet op het doel van het wetsvoorstel (artikel 1.2) niet toe leiden dat het uitwisselen van gegevens enkel kan via een elektronisch uitwisselingssysteem als bedoeld in de Wabvpz (zie paragraaf 5.2);
– de norm dient in overeenstemming te zijn met de architectuurprincipes van DIZRA22;
– de norm dient zoveel mogelijk rekening te houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij;
– de norm wordt door de normencommissie Informatievoorziening in de zorg 23, beoordeeld op aansluiting bij en onderlinge samenhang van alle binnen aangewezen gegevensuitwisselingen vallende normen; en
– de norm mag niet tot gevolg hebben dat gegevensuitwisseling buiten de directe behandelingsrelatie om (secundair gebruik van gegevens) bemoeilijkt wordt. Zeker gezien de ondersteuning die dit wetsvoorstel geeft aan het principe van eenmalig vastleggen en meervoudig gebruiken (zie paragraaf 2.2.2). Dit wetsvoorstel en de normen waar dit wetsvoorstel naar verwijst houden op die manier rekening met de FAIR-principes (die internationaal omarmd worden) en met mogelijke andere toepassingen van gegevens, zoals het gebruik voor onderzoek, het toepassen van kunstmatige intelligentie en het vormen van een lerend/intelligent zorgsysteem.
Bij een opdracht aan NEN voor het ontwikkelen van een NEN-norm worden door de Minister richtinggevende kaders meegegeven om te voorkomen dat een NEN-norm tot stand komt die uiteindelijk niet zou kunnen worden aangewezen onder het wetsvoorstel. Maar het zijn met nadruk richtinggevende kaders vóóraf, waarbij nog niet voldoende zicht is op de beoogde inhoud van de NEN-norm. Er kunnen gedurende het NEN-traject goede redenen zijn waarom voor een specifieke gegevensuitwisseling voor een andere (technische) benadering wordt gekozen dan vooraf bij het startdocument van het normeringstraject werd voorzien.
Bij AMvB wordt verwezen naar een norm waarin de eisen voor die gegevensuitwisseling staan opgenomen. In beginsel zal dat een NEN-norm betreffen. Welke versie van die norm geldt zal bij ministeriële regeling worden bepaald. De verwijzing naar de norm is dus statisch: verwezen wordt naar de tekst zoals die op een bepaald tijdstip luidde. Een dynamische verwijzing op het niveau van normen (zijnde een verwijzing naar de tekst zoals die met inbegrip van sinds de totstandkoming vastgestelde wijzigingen luidt of zal luiden) is onwenselijk omdat dit niet zorgt voor maximale duidelijkheid voor het zorgveld en de aanbieders van informatietechnologieproducten of -diensten en niet passend is bij de regie van de overheid op de bepaling van eisen. Daarnaast is bij dynamische verwijzing een met de maatstaven van de Bekendmakingswet vergelijkbaar niveau van bekendmaking bij private normatieve documenten niet gegarandeerd.
In de norm zelf zal, waar nodig, wel dynamisch worden verwezen naar onderliggende gedetailleerde standaarden, zoals bijvoorbeeld informatiestandaarden van Nictiz. Deze standaarden worden meerdere malen per jaar aan de stand der techniek aangepast. Om de rechtszekerheid te waarborgen geldt dat bij dergelijke ongedateerde verwijzingen de laatste versie van het document (met inbegrip van wijzigingsbladen) waarnaar is verwezen van toepassing is. Vervolgens zal in het certificeringsschema opgenomen worden aan de hand van welke versie het certificaat getoetst wordt.
Met NEN vindt afstemming plaats over de ontwikkeling en inhoud van de NEN-normen of – in voorkomend geval – de bruikbaarheid van Europese of internationale normen. De NEN volgt – overeenkomstig verordening 1025/2012 – een proces dat ervoor zorgt dat iedereen met een aantoonbaar belang kan deelnemen. Dat betekent dat het veld betrokken wordt bij de ontwikkeling van de NEN-norm of de bruikbaarheid van Europese of internationale normen en zeggenschap heeft over de inhoud ervan. Hiermee wordt de verantwoordelijkheid voor het leveren van goede zorg en het handelen in overeenstemming met de kwaliteitsstandaarden en daarmee ook hoe gegevens uitgewisseld moeten worden zoveel mogelijk in acht genomen. De betrokkenheid van het veld heeft tot gevolg dat de normen goed aansluiten bij specifieke kenmerken van de zorgsector en de innovatiekracht van deze sector en aanbieders van informatietechnologieproducten of -diensten.
NEN-normen komen tot stand na consensus onder de leden van de normcommissie. In principe komen normwerkgroepen zelf tot vaststelling van de norm, na openbare consultatie (openbare kritiekronde van het normontwerp). Daarbij geldt dat de Minister streeft naar het samen doen vallen van de internetconsultatie van de AMvB met de openbare kritiekronde van het normontwerp, die in de AMvB verplicht wordt gesteld.
NEN borgt op grond van de statuten van NEN tijdige actualisatie. Zo moeten normen minimaal eens in de vijf jaar worden geëvalueerd, of zoveel eerder als belanghebbende partijen dat nodig achten. Herziening van de norm kan hier een gevolg van zijn. Deze procedure volgt uit het huishoudelijk reglement van NEN. Daarbij is het in verband met de relatie tussen de NEN-norm en de kwaliteitsstandaarden (zie paragraaf 2.3.3) van belang dat de herziening aansluit bij eventuele herziening van kwaliteitsstandaarden. Hierin zullen belanghebbende partijen, zoals onder andere het zorgveld en het Zorginstituut een rol spelen.
Aangezien het zorgveld zelf heeft aangegeven stappen te willen zetten in het verder brengen van elektronische gegevensuitwisseling in de zorg, is de verwachting en het uitgangspunt dat het zorgveld zelf initiatief neemt om dit te realiseren. In deze situatie (het zogenoemde reguliere proces) zal het veld zorgdragen voor het ontwikkelen of aanpassen van een kwaliteitstandaard waarin staat welke gegevens noodzakelijk zijn voor het leveren van goede zorg, wordt de gegevensuitwisseling vanuit het zorgveld aangemeld voor de Meerjarenagenda Wegiz en wordt – na een besluitvormingsproces waarbij de conclusie is dat een spoor 2-aanwijzing wenselijk is en een NEN-norm ontwikkelt moet worden – door de Minister de opdracht gegeven voor de ontwikkeling van een NEN-norm. Op verschillende momenten in dit proces kan de Minister ingrijpen.
Zoals in paragraaf 2.3.3 van deze memorie al is toegelicht kan de Minister, als een kwaliteitsstandaard onverhoopt niet tot stand komt, het Zorginstituut vragen de betreffende kwaliteitsstandaard op de Meerjarenagenda van het Zorginstituut te plaatsen. Ook kan de Minister beoordelen of wet- of regelgeving noodzakelijk is om te duiden welke gegevens noodzakelijk zijn voor het leveren van goede zorg of met het oog daarop.
De Minister kan vervolgens, als duidelijk is welke gegevens moeten worden uitgewisseld die noodzakelijk zijn voor het leveren van goede zorg of met het oog daarop, de gegevensuitwisseling zelf aanmelden voor de Meerjarenagenda Wegiz. Een door de Minister aangemelde gegevensuitwisseling zal hetzelfde vervolgtraject doorlopen als wanneer het zorgveld de gegevensuitwisseling aanmeldt.
Wanneer een kwaliteitsstandaard door middel van de Meerjarenagenda van het Zorginstituut tot stand is gebracht en vervolgens de gegevensuitwisseling door de Minister op de Meerjarenagenda Wegiz is geplaatst, is de kans kleiner dat het zorgveld actief bijdraagt aan de ontwikkeling van een NEN-norm. In dit geval kan de Minister overgaan tot het aanwijzen van de gegevensuitwisseling, maar dan in spoor 1. Daarmee wordt bereikt dat gegevens ten minste elektronisch worden uitgewisseld.
Ook als een kwaliteitsstandaard via de reguliere weg tot stand komt, en de gegevensuitwisseling door het zorgveld is aangedragen maar de ontwikkeling van de NEN-norm zelf onverhoopt niet tot stand komt, kan de Minister overgaan tot een spoor 1 aanwijzing. Het bovenstaande laat onverlet dat een spoor 1 aanwijzing ook de uitkomst kan zijn in het reguliere proces waarbij het zorgveld zelf het initiatief heeft genomen.
Ook kan de situatie zich voordoen dat een NEN-norm (deels) niet voldoet, doordat bijvoorbeeld de reikwijdte van de NEN-norm breder is dan alleen de uitwisseling van gegevens. In dat geval kan de Minister er voor kiezen om bij AMvB slechts delen van de NEN-norm te verplichten. Ook kan de Minister er in dat geval voor kiezen om in eerste instantie te opteren voor een spoor-1 aanwijzing, waarbij een NEN-norm niet nodig is.
Verder wijst de Minister certificerende instellingen aan en kan de Minister in een uiterst geval zelf certificaten verstrekken.
De regierol van de Minister is uiteraard niet beperkt tot de wettelijk vastgelegde taken en bevoegdheden. De Minister kan ook initiatief nemen door bijvoorbeeld te sturen op een prominente plek van gestandaardiseerde elektronische gegevensuitwisseling in convenanten zoals Hoofdlijnenakkoorden en versnellingsprogramma’s. Daarnaast heeft de Minister nog de mogelijkheid om middels richtinggevende kaders enige sturing te geven aan de ontwikkeling van NEN-normen (zie ook paragraaf 3.5.4 van deze memorie).
In paragraaf 3.3 is reeds weergegeven dat op grond van dit wetsvoorstel informatietechnologieproducten en -diensten die gebruikt worden bij een aangewezen gegevensuitwisselingen in spoor 2 ingevolge artikel 3.1 voorzien moeten zijn van een certificaat. Een certificaat wordt verleend als is voldaan aan de eisen die gesteld zijn voor een aangewezen gegevensuitwisseling en die gelden voor dat betreffende informatietechnologieproduct of die betreffende informatietechnologiedienst. De zorgaanbieder is, wanneer voor informatietechnologieproducten – of diensten is bepaald dat ze voorzien moeten zijn van een certificaat, ingevolge artikel 2.1, derde lid, verplicht gebruik te maken van gecertificeerde informatietechnologieproduct of -diensten.
Certificering draagt bij aan duidelijkheid rond de te kiezen informatietechnologieproducten en -diensten voor zorgaanbieders. Zij hoeven immers zelf geen onderzoek te doen of het product of de dienst voldoet aan de technische eisen die gelden voor het product of de dienst, maar alleen de producten of diensten met een certificaat te vergelijken.
Daarnaast verlicht certificering de taak van de toezichthouders. Conformiteitsbeoordeling kan voor toezichthouders een ondersteunende rol vervullen bij een efficiëntie en effectieve invulling van het toezicht. De toezichthouder kan zich voor de eisen die gelden voor informatietechnologieproducten en -diensten vooral richten op de vraag of die producten of diensten voorzien zijn van geldige, wettelijk verplicht gestelde certificaten. Als dat het geval is, kan de toezichthouder meer vertrouwen hebben dat het product of de dienst voldoet aan de technische eisen die gelden voor informatietechnologieproducten of -diensten.
Certificering betreft een systeem van conformiteitsbeoordeling (een proces waarin wordt aangetoond of voldaan is aan de vastgestelde eisen aan systeem, product of dienst). Door gebruik te maken van conformiteitsbeoordelingen wordt aangesloten bij het zelfregulerende vermogen van private sectoren om publieke belangen te dienen en wordt de expertise van de markt goed benut. Veldpartijen als aanbieders van informatietechnologieproducten of -diensten en zorgaanbieders zullen wanneer een NEN-norm wordt ontwikkeld, in die NEN-norm afspraken maken over de eisen waaraan informatietechnologieproducten en -diensten moeten voldoen om te kunnen borgen dat gegevens elektronisch kunnen worden uitgewisseld.
Er zijn verschillende manieren om te borgen dat informatietechnologieproducten en -diensten en zorgaanbieders voldoen aan normen. Dit varieert van zeer lichte middelen, zoals zelfbeoordeling door aanbieders, tot zwaardere middelen, zoals certificering door een geaccrediteerde certificerende instelling. In dit wetsvoorstel is gekozen voor certificering door geaccrediteerde en aangewezen instellingen in beginsel het uitgangspunt. Deze accreditatie vindt plaats op basis van de EN-ISO/IEC 17065. Dit zorgt namelijk voor een kwalitatief goede en transparante toetsing, zodat gebruikers en aanbieders van informatietechnologieproducten of -diensten zekerheid wordt geboden over de mate waarin aan (delen van) de norm voldaan wordt. Om de Minister de mogelijkheid te geven stelseltoezicht te houden, wordt voorgesteld dat naast het vereiste van accreditatie, certificerende instellingen aangewezen moeten worden door de Minister (artikel 3.2, eerste en tweede lid). De Minister kan namelijk deze aanwijzing intrekken of schorsen wanneer een certificerende instelling onvoldoende opereert. Daarmee heeft de Minister altijd het laatste woord en kan invulling gegeven worden aan zijn stelselverantwoordelijkheid.
Om accreditatie te kunnen verlenen aan een certificerende instelling die nog niet is geaccrediteerd voor het certificeren van informatietechnologieproducten- of diensten als bedoeld in dit wetsvoorstel, dient de RvA mee te kijken bij het doorlopen van een certificatieproces van deze producten of diensten. Een certificerende instelling kan deze activiteiten echter alleen uitvoeren als zij een aanwijzing heeft van de Minister. In afwijking met de hoofdregel dat een aanwijzing door de Minister enkel kan worden verkregen als de certificerende instelling geaccrediteerd is, zal de Minister ten behoeve van het verkrijgen van de accreditatie een tijdelijke aanwijzing van ten hoogste één jaar als bedoeld in artikel 3.2, vijfde lid, onderdeel a, verlenen in afwachting van een volledige accreditatie.
Het gaat bij certificering om een vrijwillig en privaat stelsel. De Minister is voor het realiseren van dit stelsel afhankelijk van de bereidheid van certificerende instellingen om hieraan deel te nemen. Deze bereidheid zal worden onderzocht als onderdeel van de toetsing van de realiseerbaarheid voorafgaand aan de aanwijzing bij AMvB van een gegevensuitwisseling in spoor 2. Indien geconstateerd wordt dat de bereidheid bij certificerende instellingen om deel te nemen aan dit stelsel niet aanwezig is en die bereidheid zich ook niet zal ontwikkelen, dan staat dit in de weg aan een aanwijzing van een gegevensuitwisseling in spoor 2.
Nadat een gegevensuitwisseling in spoor 2 is aangewezen, kan de situatie ontstaan dat een ministeriële aanwijzing van een certificerende instelling wordt ingetrokken. Deze situatie kan zich voordoen in het geval de certificerende instelling zelf beslist zich terug te trekken uit de markt of failliet gaat. Ook kan de aanwijzing door de Minister worden ingetrokken wanneer de certificerende instelling niet meer aan de aanwijzingseisen voldoet of haar accreditatie verliest. In deze gevallen zal de certificaathouder zijn certificaat bij een andere certificerende instelling continueren.
In het uiterste geval dat er geen andere certificerende instelling is, waarbij het certificaat kan worden gecontinueerd, zal de Minister vanuit zijn regierol zelf certificaten moeten kunnen verstrekken om zo de continuïteit van het stelsel te waarborgen. De voorgestelde wetstekst (artikel 3.2, zevende lid) voorziet in deze mogelijkheid.
Onder regie van NEN zullen, op basis van de NEN-normen, certificatieschema’s worden opgesteld in speciale certificeringscommissies. In het certificatieschema worden de spelregels opgenomen voor het certificeren van informatietechnologieproducten en -diensten. Voorafgaande aan het gebruik van het certificeringsschema zal de schemabeheerder de RvA verzoeken om te toetsen of het schema voldoet aan de accreditatievereisten voortvloeiende uit de EN-ISO/IEC 17065. De RvA toetst vervolgens de conformiteit van het schema aan deze accreditatievereisten.
De RvA zal in het kader van accreditatie van een certificerende instelling toetsen of de certificerende instelling de werkzaamheden zoals beschreven in het door de NEN-commissie voor een aangewezen gegevensuitwisseling opgesteld certificatieschema, kan uitvoeren in overeenstemming met dat schema. Om in aanmerking te komen voor een aanwijzing als bedoeld in artikel 3.2, eerste lid, is het vervolgens aan de certificerende instelling om bij de aanvraag tot aanwijzing als certificerende instelling aan te tonen dat de instelling in staat is een aanvraag voor een certificaat te beoordelen aan de hand van eisen die zijn vastgelegd in het desbetreffende certificatieschema.
Het beheer van bij conformiteitsbeoordelingen te hanteren certificatieschema’s is een activiteit die primair door de certificerende instellingen zelf wordt uitgevoerd. Wel kunnen de certificerende instellingen, gezien de gewenste uniformiteit van de certificeringsactiviteiten, de NEN verzoeken om ten behoeve van een gecentraliseerd schemabeheer als schemabeheerder op te treden.
De certificerende instellingen die door de Minister worden aangewezen om verplichte certificaten af te geven krijgen een publieke taak en openbaar gezag toebedeeld en zijn dus een zelfstandig bestuursorgaan, maar alleen voor zover het de uitvoering van de publieke taak betreft. Deze certificerende instellingen blijven echter voor het overige privaatrechtelijke organen.
In overeenstemming met de Staatssecretaris van BZK in verband met zijn verantwoordelijkheid voor het verzelfstandigingsbeleid, is in dit wetsvoorstel expliciet opgenomen dat de Kaderwet zbo’s niet van toepassing is op certificerende instellingen die door de Minister worden aangewezen. Dit is overeenkomstig het kabinetsstandpunt conformiteitsbeoordeling en accreditatie in het kader van overheidsbeleid om dergelijke instanties niet onder de Kaderwet zbo’s te brengen. Overigens sluit deze benadering aan bij de positie die de Minister heeft ten opzichte van het zorgveld. De Minister is stelselverantwoordelijke.
Ten tijde van de invoering van de Kaderwet zbo’s is besloten dat die wet niet van toepassing behoort te zijn op certificerende instellingen die aan bepaalde voorwaarden voldoen. Deze voorwaarden zijn dat de certificerende instellingen zelf kiezen om de taak uit te voeren door zich te laten aanwijzen, zij marktpartijen zijn en ook andere activiteiten uitvoeren, zij voor hun diensten worden betaald door de partijen die een certificaat vragen en niet uit de rijksbegroting worden bekostigd. Bovendien betreft het een open systeem, waarbij meerdere certificerende instellingen de taak kunnen verrichten en dus in concurrentie kunnen treden.
De verwachting is dat deze concurrentie tussen certificerende instellingen zal optreden. Doordat in spoor 2 normalisatie per aangewezen gegevensuitwisseling plaatsvindt, gelden de daaruit voortkomende eisen voor taal en techniek voor alle informatietechnologieproducten of -diensten, waarmee de desbetreffende gegevensuitwisseling mogelijk kan worden gemaakt. Door het gebruik van normalisatie om volledige interoperabiliteit te bewerkstelligen is de verwachting dat de markt voor deze producten en diensten wordt vergroot. Een dergelijke ontwikkeling kan een stimulerend effect hebben op de markt voor certificering die daarmee groter wordt. Wel kan de mate waarin deze concurrentie plaatsvindt per aangewezen gegevensuitwisseling verschillen. De concurrentie tussen certificerende instellingen zal op de prijs van het certificaat plaatsvinden.
In het hier voorgestelde stelsel van certificering voldoen de certificerende instellingen aan deze voorwaarden.
De ervaring in vergelijkbare Europese trajecten is dat er te weinig auditoren zijn om de certificeringstrajecten van alle aanbieders van producten en diensten te begeleiden. Voldoende capaciteit is een randvoorwaarde om tijdig certificaten te kunnen verstrekken, zodat concurrentie tussen certificerende instellingen wordt bevorderd. De Minister zal dit daarom betrekken bij de beoordeling of een gegevensuitwisselingen realiseerbaar is en dus uiteindelijk aangewezen kan worden bij AMvB. Verder moet een certificerende instelling, die onderdeel uitmaakt van een wettelijk stelsel conform het kabinetsstandpunt voor conformiteitsbeoordeling en accreditatie, door de verantwoordelijke Minister zijn aangewezen voor het verstrekken van certificaten. In dit wetsvoorstel is bepaald dat de Minister voor Medische Zorg de certificerende instellingen kan aanwijzen. Indien een certificerende instelling zich niet houdt aan de gestelde voorwaarden, kan de Minister ingrijpen door bijvoorbeeld de aanwijzing te schorsen of en in het uiterste geval de aanwijzing in te trekken. Dit zal in de lagere regelgeving worden uitgewerkt.
In de AMvB zullen eisen worden gesteld aan certificerende instellingen, zoals met betrekking tot de behandeling van een aanvraag van een certificaat, het handelen volgens de aan de aanwijzing verbonden voorschriften, het verstrekken van informatie tussen certificerende instellingen onderling en met de Minister in het kader van toezicht en handhaving en het doen van mededeling aan de Minister van een intrekking of een schorsing van een certificaat of accreditatie. Op gezette tijden dient de certificerende instelling vast te stellen of wordt voldaan aan de voorwaarden van certificatie. Tijdens de geldigheidsduur van het certificaat, zal de certificerende instelling regelmatig onderzoeken of de certificaathouder nog steeds in staat is om volgens de vastgestelde normen te werken. Daartoe bevat het certificatieschema controle- en sanctierichtlijnen die certificerende instellingen dienen te volgen.
De certificerende instellingen zijn marktpartijen. Hun activiteiten worden niet vergoed uit overheidsmiddelen. Dit betekent dat de certificerende instelling kosten in rekening zal brengen bij de aanvrager van een certificaat. De certificaathouder kan deze kosten vervolgens terugverdienen door het leveren van gecertificeerde informatietechnologieproducten of -diensten. De verwachting is dat aanbieders van informatietechnologieproducten en -diensten deze kosten (deels) zullen doorberekenen aan de zorgaanbieders.
Voorts is op het voorstel tot aanwijzing van certificerende instellingen voor het afgeven van certificaten het besliskader ten behoeve van toekomstige besluitvorming over privatiseringen en verzelfstandigingen toegepast.24 Het besliskader biedt een overzicht van inhoudelijke aandachtspunten en procesmatige richtlijnen voor elke fase van een traject tot privatisering of verzelfstandiging, gericht op het tijdig en adequaat informeren van het parlement over de voortgang van trajecten tot privatisering en verzelfstandiging en op de wijze waarop de in het geding zijnde publieke belangen worden geborgd. Het besliskader bestaat uit vijf stappen van (1) het voornemen tot verzelfstandiging naar (2) ontwerp, (3) besluitvorming en (4) uitvoering tot (5) evaluatie (opvolging).
– Stap 1: het voornemen
Zoals in hoofdstuk 1 is uiteengezet is de Tweede Kamer in een drietal brieven over het beoogde wettelijk kader en de voortgang daarvan geïnformeerd. Ook is dit aan de orde geweest in het Algemeen Overleg inzake Gegevensuitwisseling in de zorg van 9 oktober 2019. In de brief van 25 september 202025 is de Tweede Kamer ook geïnformeerd over de noodzaak tot invoering van een wettelijk stelsel van certificering als ook over de wijze waarop dit stelsel publiekrechtelijk geborgd wordt.
– Stap 2: het ontwerp
In eerste instantie is onderzocht of de publieke taken die door de certificerende instellingen worden uitgevoerd ook door de Minister zelf uitgevoerd kunnen worden. Echter, nu de verantwoordelijkheid voor het leveren van goede zorg en het handelen in overeenstemming met de kwaliteitsstandaarden rust bij het zorgveld, is dat niet wenselijk. Door gebruik te maken van conformiteitsbeoordelingen wordt aangesloten bij het zelfregulerende vermogen van private sectoren om publieke belangen te dienen en wordt de expertise van de markt en het veld goed benut. Veldpartijen als aanbieders van informatietechnologieproducten of -diensten en zorgaanbieders zullen, wanneer NEN-normen worden opgesteld, in NEN-normen afspraken maken over de eisen waaraan informatietechnologieproducten en -diensten moeten voldoen om te kunnen borgen dat gegevens elektronisch kunnen worden uitgewisseld. Het is niet wenselijk dat de Minister zich mengt in de technische beoordeling van informatietechnologieproducten en -diensten van de verschillende (concurrerende) aanbieders. Ook is bij de certificerende instellingen, anders dan bij de Minister, veel specifieke deskundigheid aanwezig op het gebied van informatietechnologieproducten en -diensten. Daarnaast is de overheid verantwoordelijk voor de beleidsontwikkeling, het wettelijk kader en het overheidstoezicht op de goede werking van het stelsel. De aan te wijzen toezichthouder houdt verder toezicht op de naleving van de verplichtingen aan zorgaanbieders en eisen aan informatietechnologieproducten en -diensten. Het publieke belang van goede gezondheidszorg is daarmee geborgd. Gelet op het voorgaande is ervoor gekozen de publieke taken van de certificerende instellingen niet bij de Minister zelf onder te brengen. Met het oog op de continuïteit van het stelsel is echter wel geregeld dat in het uiterste geval wanneer er geen certificerende instelling beschikbaar is, de Minister zelf certificaten kan verstrekken.
– Stap 3: de besluitvorming
Met het indienen van dit wetsvoorstel bij het parlement wordt het ter besluitvorming voorgelegd.
– Stap 4: de uitvoering
De werking van het stelsel van certificering en de rol van de certificerende instellingen hierin is beschreven in paragraaf 3.7. De Minister houdt als stelselverantwoordelijke ook toezicht op de certificerende instellingen. In paragraaf 7.4 is dit nader toegelicht.
– Stap 5: evaluatie
In het wetsvoorstel is een evaluatiebepaling opgenomen, zoals toegelicht in paragraaf 10.1.
Dit wetsvoorstel gaat uit van en past binnen de bestaande kaders en regels rondom gegevensbescherming (in onder meer de Gw, AVG en UAVG en EVRM). Dat betekent dat bij het uitwisselen van gegevens altijd voldaan moet worden aan die eisen. In paragraaf 8.3 worden de effecten op de gegevensbescherming verder toegelicht.
Verordening (EU) 2019/881 van het Europese Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (Cyberbeveiligingsverordening) (PbEU 2019, L151) geeft een kader voor de certificering van producten, processen en diensten op het gebied van cyberveiligheid. Binnen dit kader wordt een mechanisme ontwikkelt voor het Europese cybersecurity certificatieschema. Een dergelijk schema ziet in het bijzonder op beveiligingsvoorschriften en bevat daartoe een aantal minimum vereisten. Deze verordening sluit niet expliciet uit dat niet-beveiligingselementen ook deel uitmaken van een dergelijk schema en daarmee betrekking kunnen hebben op met name de bij AMvB te stellen eisen aan techniek. Bij het opstellen van de AMvB (en de daarin opgenomen normen) wordt de Cyberbeveiligingsverordening in acht genomen.
De vrijheid van ondernemerschap is vervat in artikel 16 van het Handvest van de grondrechten van de Europese Unie26 (Handvest EU) en – meer indirect – in de artikelen 10 en 11 van het op 4 november 1950 te Rome tot stand gekomen Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (Trb. 1951, 154) (EVRM) en artikel 1 van het Protocol bij het EVRM. De vrijheid van ondernemerschap wordt door dit wetsvoorstel beperkt, omdat informatietechnologieproducten en -diensten voortaan (voor aangewezen gegevensuitwisselingen) voorzien moeten zijn van een certificaat, dat wordt verleend als aan bepaalde eisen wordt voldaan. Dit raakt de vrijheid van ondernemerschap voor aanbieders van informatietechnologieproducten of -diensten.
De inperking van de genoemde vrijheid is echter gerechtvaardigd. Met het wetsvoorstel is geborgd dat de inperkingen van de vrijheid van ondernemerschap voorzienbaar en openbaar toegankelijk is. De inperkingen zullen immers bij AMvB worden vastgesteld. Dit betekent dat – vanwege de procedurele eisen die gelden voor het opstellen van wet- en regelgeving – de voorgenomen eisen tijdig kenbaar zullen zijn en gepubliceerd zullen worden. De overheid zal licentiekosten die verbonden zijn aan het gebruik van de NEN-normen afkopen met als doel de NEN-normen openbaar beschikbaar te kunnen stellen.
Doordat het doel in het wetsvoorstel is vastgelegd, is bovendien geborgd dat de eisen die bij AMvB worden gesteld, gericht zijn op een maatschappelijk belang (verlenen van goede zorg).
De procedurele eisen die gelden voor het opstellen van wet- en regelgeving en normen borgen dat de normadressanten tijdig betrokken worden en dat geen willekeurige inperkingen kunnen plaatsvinden op genoemde vrijheid. Ook wordt voorzien in waarborgen tegen willekeur door het toezicht door de RvA conform Verordening (EG) 765/2008 van het Europees Parlement en de Raad van de Europese Unie van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PbEG 2008, L218) (hierna: verordening 765/2008) en verordening 1025/2012 en de aanwijzing en toezicht door de Minister.
Uit de vaste jurisprudentie van het Europees Hof van de Rechten van de Mens27 en het Hof van Justitie van de Europese Unie28 volgt dat dit toegestane uitzonderingen zijn op de vrijheid van ondernemerschap.
Met dit wetsvoorstel worden eisen gesteld aan informatietechnologieproducten. Het stellen van eisen aan goederen is op grond van het Europese recht toegestaan als hiervoor een toegestane uitzondering geldt en het proportioneel en subsidiair is.
In het voorliggende geval is sprake van het stellen van eisen met het oog op de bescherming van de gezondheid van personen.29 Bescherming van de gezondheid van personen is in de Nederlandse wetgeving vervat onder het beginsel van het verlenen van goede zorg. Zonder het stellen van eisen aan informatietechnologieproducten die gebruikt worden in (bepaalde onderdelen van) de zorg, kunnen gegevens niet goed worden uitgewisseld. In hoofdstuk 1 van deze memorie is al toegelicht welke negatieve effecten dit heeft op het verlenen van goede zorg. Zoals aangegeven in paragraaf 2.1 van deze memorie zijn verschillende oorzaken aan te wijzen voor het niet volledig tot stand komen van elektronische gegevensuitwisseling: (1) gebrek aan eenduidigheid in taal, (2) gebrek aan eenduidigheid in techniek en (3) gebrek aan een integrale aanpak om tot gegevensuitwisseling door middel van een elektronische infrastructuur te komen en uiteenlopende belangen van verschillende betrokken partijen. De afgelopen jaren zijn – zoals ook beschreven in paragraaf 2.2 van deze memorie – verschillende stappen gezet om te komen tot volledige interoperabiliteit bij een zorgbrede gegevensuitwisseling. Maar zoals ook beschreven in voorgenoemde paragraaf is het onvoldoende gebleken om de hierboven genoemde problemen met betrekking tot gebrek aan eenduidige taal, techniek en regie op te lossen. Er is behoefte aan overheidsbetrokkenheid op dit onderwerp. Immers, verlening van goede zorg kan alleen worden bereikt als de interoperabiliteit van de informatietechnologieproducten die de gegevensuitwisselingen moeten bewerkstelligen, wordt gegarandeerd. Om deze reden wordt voorgesteld vast te leggen bij AMvB dat bij die gegevensuitwisselingen alleen informatietechnologieproducten mogen worden gebruikt waarvan is vastgesteld dat zij de beoogde interoperabiliteit kunnen bewerkstelligen. Dit zijn de informatietechnologieproducten die voldoen aan de voorschriften in de normen die bij AMvB zullen worden aangewezen.
Zoals beschreven in paragraaf 3.5.3 wordt dwingend en exclusief verwezen naar deze normen. Het garanderen van volledige interoperabiliteit is noodzakelijk omdat anders de elektronische gegevensuitwisseling niet tot stand komt. De normen zijn geschikt om dit doel te bereiken, omdat de daarin opgenomen eisen voor taal en techniek bij AMvB dwingend en exclusief worden voorgeschreven waardoor volledige interoperabiliteit verzekerd wordt. Zoals weergegeven in paragraaf 2.2 van deze memorie is de afgelopen jaren op verschillende manieren geprobeerd het veld te ondersteunen bij de realisering van gestandaardiseerde gegevensuitwisseling door middel van een elektronische infrastructuur. Deze minder vergaande eisen zijn echter zoals hierboven is weergegeven, onvoldoende gebleken om de genoemde problemen over gebrek aan eenduidige taal, techniek en regie op te lossen. De bij AMvB te stellen eisen gaan daarom niet verder dan nodig is om het gestelde doel van volledige interoperabiliteit te bereiken. De eisen die gesteld worden aan informatietechnologieproducten zullen daarbij geen onderscheid maken tussen nationale en buitenlandse goederen.
Het dwingend en exclusief verwijzen naar de normen zal plaatsvinden op het niveau van de AMvB.30
De Europese dienstenrichtlijn beoogt de Europese interne dienstenmarkt te harmoniseren door de belemmeringen voor het vrije verkeer van diensten weg te nemen. Deze richtlijn is met name geïmplementeerd door middel van de Dienstenwet. Het wetsvoorstel bevat bepalingen die onder het toepassingsbereik van de dienstenrichtlijn kunnen vallen.
Het uitwisselen van gegevens gaat via een geheel van hardware en software, waarbij in bepaalde gevallen de software ook gebruik maakt van een geavanceerde onlinedienst. Deze dienstverlening valt onder de dienstenrichtlijn. Net als hiervoor beschreven ten aanzien van de informatietechnologieproducten, geldt ook voor de informatietechnologiediensten dat ze moeten voldoen aan de voorschriften in de normen die bij AMvB zullen worden aangewezen. Het stellen van eisen aan diensten is op grond van het Europese recht toegestaan als hiervoor een toegestane uitzondering geldt en het proportioneel en subsidiair is. In het voorliggende geval is sprake van het stellen van eisen met het oog op de volksgezondheid.31 De onderbouwing die in paragraaf 4.4 van deze memorie is gegeven van het stellen aan eisen aan informatietechnologieproducten, is van overeenkomstige toepassing op het stellen van eisen aan diensten. Kortheidshalve wordt daarom verwezen naar die genoemde paragraaf.
Onder dit wetsvoorstel kunnen informatietechnologieproducten en -diensten verplicht worden voorzien te zijn van een certificaat. Daarnaast worden in het wetsvoorstel eisen gesteld aan certificerende instellingen: de certificerende instellingen moeten geaccrediteerd zijn door de RvA en aangewezen zijn door de Minister. Een certificaat, aanwijzing en accreditatie kunnen worden aangemerkt als vergunning in de zin van de dienstenrichtlijn. De richtlijn verstaat onder een vergunning een beslissing, uitdrukkelijk of stilzwijgend, over de toegang tot of de uitoefening van een dienst (zie ook artikel 1 van de Dienstenwet). Een vergunningstelsel is alleen toegestaan als aan bepaalde eisen wordt voldaan (artikel 9 van de Dienstenrichtlijn). Daaraan wordt voldaan. De bepalingen zijn non-discriminatoir, er wordt geen direct of indirect onderscheid gemaakt tussen dienstverrichters. De normen die worden voorgeschreven om een certificaat te kunnen krijgen en de eisen die gesteld worden aan certificerende instellingen zullen openbaar beschikbaar worden gesteld voor eenieder, dus ook buitenlandse dienstverrichters. De bepalingen zijn noodzakelijk uit hoofde van de volksgezondheid.32
Daarnaast zijn de verplichtingen om voorzien te zijn van een certificaat, aanwijzing en accreditatie proportioneel. Zoals in paragraaf 4.4 van deze memorie al is aangegeven is het noodzakelijk dat dwingend en exclusief naar normen wordt verwezen om interoperabiliteit te bereiken. Om te verzekeren dat informatietechnologieproducten of -diensten aan de eisen voldoen, wordt een stelsel van certificering voorgesteld (zie ook paragraaf 3.6). Deze certificering is noodzakelijk om te verzekeren dat de informatietechnologieproducten of -diensten aan de eisen voldoen. Om certificaten te kunnen verlenen is het noodzakelijk dat degene die het certificaat verleend daartoe in staat is. Door een accreditatie voor te schrijven kan worden verzekerd dat een certificerende instelling hiertoe in staat is. Een accreditatie is geschikt om dit doel te bereiken omdat de RvA op grond van Wet aanwijzing nationale accreditatie-instantie aangewezen is als nationale accreditatie-instantie en toeziet op de deskundigheid, onafhankelijkheid, onpartijdigheid en betrouwbaarheid van de certificerende instellingen. Naast het toezicht door de RvA is het vanwege de dwingende en exclusieve verwijzing naar de normen, noodzakelijk op de werking van het stelsel toezicht te houden. Door op te nemen dat de Minister certificerende instellingen dient aan te wijzen, wordt dit mogelijk gemaakt. Dit geeft de Minister de bevoegdheid om op basis van signalen in te grijpen waar nodig. Dit kan de Minister doen door een aanwijzing te schorsen of in te trekken. Dit is een terughoudende vorm van toezicht die zijn doel bereikt.
Van verplichtingen die gelden voor grensoverschrijdende dienstverrichting (hoofdstuk IV van de dienstenrichtlijn) kan sprake zijn bij verplichtingen voor dienstverrichters die grensoverschrijdende activiteiten (kunnen) verrichten, zoals van certificerende instellingen of aanbieders van informatietechnologiediensten. Artikel 16 van de Dienstenrichtlijn bepaalt dat lidstaten het recht van dienstverrichters om diensten te verrichten in een andere lidstaat dan die waar zij zijn gevestigd moeten eerbiedigen. De lidstaat waar de dienst wordt verricht moet zorgen voor vrije toegang tot en vrije uitoefening van een dienstenactiviteit op zijn grondgebied. Dit artikel regelt verder dat de lidstaten de toegang tot en de uitoefening van een dienstenactiviteit op hun grondgebied niet afhankelijk mogen maken van de naleving van eisen die discrimineren (onderscheid naar nationaliteit of vestiging) of niet noodzakelijk of evenredig zijn.
De eisen in dit wetsvoorstel zijn van toepassing op alle dienstverrichters en maken daarbij geen onderscheid waardoor voldaan wordt aan het discriminatieverbod. Zoals hierboven is toegelicht, zijn de bepalingen noodzakelijk uit hoofde van de volksgezondheid.33 De eis van evenredigheid houdt in dat de eis geschikt moet zijn om het doel te bereiken en dat de eis niet verder mag gaan dan nodig is om dit doel te bereiken. Hierboven is toegelicht waarom de eisen in dit wetsvoorstel evenredig zijn.
Met dit wetsvoorstel wordt een aantal wetten aangepast, te weten de Wabvpz, de Wkkgz, de Wpg, de Wet verplichte geestelijke gezondheidszorg (hierna: Wvggz), de Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Wzd). De aanpassingen worden onderstaand in paragraaf 5.1 kort beschreven. Een uitgebreide toelichting op de aanpassing van bovenstaande wetten is opgenomen in artikelsgewijze deel van deze memorie (artikel 7.1 tot en met artikel 7.5).
Vervolgens wordt een beknopte toelichting gegeven op de verhouding van voorliggend wetsvoorstel ten aanzien van de WGBO en meer in het bijzonder het medisch beroepsgeheim (paragraaf 5.2) en de Wabvpz (paragraaf 5.3). Tenslotte wordt het wetsvoorstel digitale overheid behandeld (paragraaf 5.4).
Met dit wetsvoorstel wordt een belangrijke koppeling gelegd met kwaliteitsstandaarden. Om deze koppeling te borgen wordt voorgesteld in de Wkkgz een regeling te treffen voor het geval een onderdeel van de professionele standaard niet in overeenstemming is met eisen die gesteld worden op grond van de Wegiz. Hiermee wordt afgedwongen dat een wijziging van goede zorg die afwijkt van de wettelijk verplichte gegevensuitwisseling door middel van een elektronische infrastructuur alleen kan via de weg van de kwaliteitsstandaarden. Daarnaast wordt voorgesteld om in de Wkkgz te regelen dat de Minister geïnformeerd wordt over wijzigingen van een kwaliteitsstandaard die gebruikt wordt in een aangewezen gegevensuitwisseling.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop elektronische uitwisseling van gegevens moet plaatsvinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom worden onderstaande wetten aangepast:
– Wabvpz; met dit wetsvoorstel wordt geregeld dat artikel 15j, eerste lid, Wabvpz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling;
– Wvggz; met dit wetsvoorstel geregeld dat artikel 8.22, tweede lid, Wvggz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling;
– Wzd; met dit wetsvoorstel wordt geregeld dat artikel 18c, zesde lid, Wzd niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Met dit wetsvoorstel wordt verder geregeld dat de op grond van de Wpg bij regeling voor de jeugdgezondheidszorg opgenomen verplichting om software af te nemen die elektronische gegevensuitwisseling mogelijk maakt, te zijner tijd – als de jeugdgezondheidszorg bij AMvB als gegevensuitwisseling wordt aangewezen – vervalt. Deze eis zal, zoals in paragraaf 5.1 aangegeven, als de jeugdgezondheidszorg bij AMvB als gegevensuitwisseling wordt aangewezen, aangepast wordt in een verplichting om gegevens uit te wisselen door middel van een elektronische infrastructuur. Ook de andere eisen die op grond van de Wpg worden gesteld met het oog op het elektronisch uitwisselen van gegevens in de jeugdgezondheidzorg, zoals het registreren in rubrieken, zullen dan worden overgenomen. Hiermee wordt het bestaande beleid (stimuleren gegevensuitwisseling via een elektronische infrastructuur) bestendigd. De effecten van deze aangepaste verplichting zijn naar verwachting minimaal, omdat de noodzakelijke software al is afgenomen en het veld al gewoon is elektronisch gegevens uit te wisselen.
Het algemene uitgangspunt van «goed hulpverlenerschap» is in de WGBO verankerd.34 Daarnaast is wat goed hulpverlenerschap is nader uitgewerkt in de (tucht-)rechtspraak en in de door de beroepsgroep opgestelde protocollen en richtlijnen. Voor hulpverleners brengt het «goed hulpverlenerschap» een aantal verplichtingen met zich mee met betrekking tot de verwerking van informatie over cliënten. Zo moeten hulpverleners voldoen aan: de dossierplicht en de bewaarplicht, de geheimhoudingsplicht, en een aantal patiëntenrechten, zoals het recht op inzage en afschrift, aanvulling en vernietiging. Het voorliggende wetsvoorstel zal vaak zien op de uitwisseling van gegevens uit het medisch dossier. De bijbehorende plichten ten aanzien van het dossier en de geheimhouding en de patiëntenrechten zijn onverminderd van kracht.
Vanuit de WGBO is aan de hulpverlener de primaire verantwoordelijkheid gegeven voor het inrichten en beheren van een (elektronisch) dossier met betrekking tot de behandeling van de patiënt, ook wel de «dossierplicht» genoemd. De dossierplicht houdt voor de hulpverlener in dat in het dossier aantekeningen moeten worden opgenomen van gegevens omtrent de gezondheid van de patiënt en omtrent de uitgevoerde verrichtingen die voor een goede behandeling noodzakelijk zijn.35
De hulpverlener is ook degene die eventueel gegevens uit het medisch dossier uitwisselt met anderen. Het uitwisselen van gegevens moet in overeenstemming zijn met de op de hulpverlener rustende geheimhoudingsplicht.36 Dit beroepsgeheim is onverkort van kracht bij dit wetsvoorstel en is verankerd in artikel 272 van het Wetboek van Strafrecht, in artikel 88 van de Wet BIG en in artikel 7:457 van het BW (WGBO).
Zoals reeds in paragraaf 2.2.1 is weergegeven regelt het wetsvoorstel niet óf uitgewisseld mag worden maar – als uitgewisseld mag of moet worden – hoe uitgewisseld moet worden (door middel van een elektronische infrastructuur, en eventueel volgens bepaalde eisen).
Dat betekent dat de kaders en regels rondom grondslagen voor gegevensverwerking (in onder meer de AVG en de UAVG) en het (doorbreken van) medisch beroepsgeheim, zoals hierboven is weergegeven niet ter discussie staan en onverminderd van kracht zijn.
Concreet wil dit zeggen dat wanneer vanwege bijvoorbeeld het medisch beroepsgeheim of het ontbreken van een grondslag voor het verwerken van (bijzondere) persoonsgegevens geen uitwisseling van die gegevens kan plaatsvinden, niet toe wordt gekomen aan de regels in dit wetsvoorstel. Kortom: er geldt géén verplichting om elektronisch gegevens uit te wisselen als er geen grondslag is voor gegevensuitwisseling of dit strijd oplevert met het medisch beroepsgeheim. In paragraaf 8.3 wordt verder ingegaan op de effecten van het wetsvoorstel op de gegevensbescherming.
Zoals bovenstaand beschreven geldt voor zorgverleners het medisch beroepsgeheim. Als een zorgverlener de gegevens van een cliënt wil uitwisselen – en dus het medisch beroepsgeheim wil doorbreken – heeft de zorgverlener een grond voor doorbreking nodig. Bijvoorbeeld, de cardioloog wil graag de medicijngegevens van een cliënt ontvangen die eerder zijn voorgeschreven door een internist, omdat een bepaalde combinatie van medicijnen een gevaar voor de gezondheid kan opleveren. De cliënt kan vervolgens de internist toestemming geven deze gegevens te delen (in de praktijk geeft de cliënt de opvolgende hulpverlener toestemming de gegevens op te vragen bij de voorgaande hulpverlener, in dit voorbeeld zal de cliënt dus toestemming geven aan de cardioloog om bij de internist de gegevens op te vragen). Als de cliënt toestemming geeft, vraagt de cardioloog aan de betreffende internist om de gegevens. De internist kan het beroepsgeheim dan doorbreken want er is sprake van toestemming. Als de gegevensuitwisseling vervolgens elektronisch plaatsvindt, zoekt de internist de noodzakelijke gegevens op in het dossier van de cliënt en verstuurt deze via een elektronische infrastructuur of zorgt dat de cardioloog de gegevens zelf kan benaderen via een elektronische infrastructuur.
Er zijn echter ook elektronische systemen die anders werken. Bij deze systemen worden de gegevens van de cliënt al van tevoren beschikbaar gesteld door de zorgverlener die deze gegevens heeft. De zorgverlener zorgt er dan voor dat de gegevens die hij heeft over de cliënt alvast raadpleegbaar zijn voor een nog onbekende zorgverlener. Die zorgverlener weet dan nog niet op welk moment en welke collega die gegevens in de toekomst gaat raadplegen. Ze staan in elk geval alvast klaar voor een uitwisseling met een andere zorgverlener.
Als wordt gewerkt met elektronische systemen die de gegevens al van tevoren beschikbaar stellen, is in de Wabvpz geregeld dat voor dat vooraf beschikbaar stellen uitdrukkelijke toestemming nodig is van de cliënt (artikel 15a Wabvpz). Dan worden er dus nog geen gegevens uitgewisseld, ze zijn alleen beschikbaar. De elektronische systemen die op deze manier functioneren worden «elektronische uitwisselingssystemen» genoemd in de Wabvpz.
De situatie kan zich voordoen dat het uitwisselen van gegevens is toegestaan op basis van de WGBO; bij bijvoorbeeld een verwijzing van een huisarts naar een specialist wordt uitgegaan van veronderstelde toestemming van de cliënt aan de huisarts om zijn medisch beroepsgeheim te doorbreken. Als de uitwisseling via (beveiligde) e-mail plaatsvindt, kan de huisarts de gevraagde gegevens op basis van die veronderstelde toestemming naar de specialist sturen of de specialist toegang geven tot die gegevens.
Als echter gebruik wordt gemaakt van een systeem dat de gegevens al van tevoren beschikbaar stelt, dan is (aanvullend op de gegeven veronderstelde toestemming voor de doorbreking van het beroepsgeheim) de uitdrukkelijke toestemming van de cliënt wettelijk verplicht voor het beschikbaar stellen. Als de cliënt die toestemming niet heeft gegeven, is uitwisseling via een elektronisch uitwisselingssysteem niet mogelijk, de gegevens zijn dan namelijk niet in het systeem beschikbaar.
In relatie tot het voorliggend wetsvoorstel betekent dit dat als het binnen een gegevensuitwisseling verplicht is om uit te wisselen overeenkomstig de norm voor die gegevensuitwisseling, dat die norm niet mag bepalen dat dit slechts via een elektronisch uitwisselingssysteem kan. De zorgverlener die gegevens uitwisselt (binnen de wettelijke kaders) kan dit dan immers niet in alle gevallen doen op de wijze zoals voorgeschreven in onderhavig wetsvoorstel als de cliënt niet van tevoren uitdrukkelijke toestemming heeft gegeven.
Het wetsvoorstel digitale overheid (hierna: Wdo)37 heeft tot doel het regelen van het veilig en betrouwbaar kunnen inloggen voor Nederlandse burgers en bedrijven bij de (semi-) overheid (eID stelsel). De Wdo gaat ook gelden voor categorieën van zorgaanbieders die vallen onder de Wabvpz, in het kader van de taken waarvoor zij op basis van de Wabvpz het BSN gebruiken. Dit betekent dat deze zorgaanbieders bij de uitwisseling van gegevens (in aanvulling op eventuele eisen die gelden op grond van het voorliggende wetsvoorstel) zullen moeten voldoen aan de eisen en normen ten aanzien van veilig inloggen uit de Wdo. Op grond van dit wetsvoorstel worden dergelijke regels voor elektronische gegevensuitwisseling dan ook vooralsnog niet vastgesteld. Wel zal, wanneer NEN-normen ontwikkeld worden, bij het opstellen van die normen de AMvB de Wdo in acht genomen worden.
De ervaring met verschillende wetgevingstrajecten heeft geleerd dat een goede implementatie veel voorbereidingstijd kost. Op tijd starten is noodzakelijk om te voorkomen dat de invoering van een wettelijke verplichting tot elektronische gegevensuitwisseling vertraging oploopt. Echter de basis voor een succesvolle implementatie ligt bij de betrokkenheid en het draagvlak van het veld om gezamenlijk de met het wetsvoorstel beoogde doelstelling te behalen. De inbreng van kennis en kunde van het zorgveld is belangrijk om het wetsvoorstel uiteindelijk met succes te kunnen implementeren. Hieraan wordt invulling gegeven door het zorgveld een belangrijke en noodzakelijke rol te geven vanaf het proces van de totstandkoming van een Meerjarenagenda Wegiz (paragraaf 3.2) tot en met de daadwerkelijke implementatie van de AMvB, met inbegrip van de daarin aangewezen norm.
Draagvlak en betrokkenheid zijn ook aspecten die maken of een gegevensuitwisseling uiteindelijk bij AMvB wordt aangewezen in spoor 1 of in spoor 2 (paragraaf 3.4). Belangrijk hierbij is om te onderkennen dat ondanks dat de Minister met dit wetsvoorstel regie neemt hij geen doorzettingsmacht heeft om de totstandkoming van een NEN-norm af te dwingen. Dit vergt tijd, betrokkenheid bij de uitvoering, vereist een breed draagvlak binnen het zorgveld en gezamenlijke inspanning om interoperabiliteit op het gebied van gegevensuitwisseling te realiseren. Het veld, waaronder zorgaanbieders en aanbieders van technologieproducten en -diensten, kan actief participeren bij het ontwikkelen van de NEN-norm per gegevensuitwisseling, waarnaar in de AMvB voor de eisen aan taal en techniek zal worden verwezen. Ook worden betrokkenen in de gelegenheid gesteld om op de concept-NEN-norm te reageren gedurende de openbare consultatie daarvan (paragraaf 3.5).
In de periode nadat de AMvB in werking is getreden, dienen bijvoorbeeld certificeringsschema’s te worden opgesteld, certificerende instellingen te worden geaccrediteerd en informatietechnologieproducten of -diensten te worden gecertificeerd. Bij het bepalen van de duur van de transitieperiode zal bij de totstandkoming van de AMvB nadrukkelijk aandacht worden besteed aan onder meer de hiervoor genoemde aspecten.
Door middel van zelfevaluatie zullen individuele zorgaanbieders in staat worden gesteld, om een inschatting te kunnen maken welke maatregelen getroffen dienen te worden en de tijd en inspanning die dat vergt om uitvoering te kunnen geven aan de AMvB.
Een andere succesfactor voor implementatie en uitvoering van het wetsvoorstel is de inzet op kennis, kunde, houding en gedrag van degenen die met het wetsvoorstel moeten werken. Dat er geschikt instrumentarium is, betekent niet vanzelfsprekend dat dit ook wordt benut en op de juiste wijze wordt ingezet. Implementatie is dus niet alleen het overdragen van feitelijke kennis, maar vooral het overdragen van succesvolle werkwijzen (bepaalde vaardigheden en werkprocessen) en gedrag. Het delen van ervaringen die zijn opgedaan met de aan te wijzen gegevensuitwisseling kunnen hierbij behulpzaam zijn. Dit is ook een succesfactor gebleken bij de uitvoering van de VIPP-regelingen waarover in paragraaf 2.2.1 geschreven is.
Implementatie van deze wet vraagt veel van het zorgveld en alle betrokken partijen. Daarom is een beoordeling op effectiviteit en leren van ervaring belangrijk om te beoordelen of aanvullende maatregelen nodig zijn. Om te beoordelen of het met het wetsvoorstel beoogd doel wordt bereikt, is in artikel 8.1 een evaluatiebepaling op genomen.
Hoofdstuk 4 van het wetsvoorstel bevat de bepalingen inzake het toezicht op en de handhaving van de bij of krachtens het wetsvoorstel gestelde bepalingen. Deze zijn deels ontleend aan hoofdstuk 4 Wkkgz.
Bestuursrechtelijke handhaving omvat het houden van toezicht op de naleving van regels. Ook valt onder deze taak het behandelen van klachten over de naleving van regels en het opleggen van bestuurlijke sancties in geval van overtreding van regels. Het wetsvoorstel deelt de taak tot bestuursrechtelijke handhaving toe aan de Minister. De Minister zal de handhaving veelal mandateren aan de instantie die belast is met het toezicht, de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ). De IGJ is gespecialiseerd in en heeft veel ervaring met het toezicht houden op zorgaanbieders, en heeft daarmee zicht op de aanbieders van informatietechnologieproducten of -diensten.
De Minister wijst ambtenaren aan als toezichthouder. De bevoegdheden van de toezichthouder zijn beschreven in titel 5.2 van de Awb. Aanvullend hierop kan de bevoegdheid tot het betreden van een woning zonder toestemming van de bewoner worden toegekend voor het toezicht op de regels, gesteld bij of krachtens het wetsvoorstel maar alleen voor zover de woning deel uitmaakt van een bouwkundige voorziening voor het verlenen van zorg. Met betrekking tot binnentreden zijn artikel 12 van de Grondwet en de Algemene wet op het binnentreden onverkort van toepassing. Er is dan ook een schriftelijke machtiging vooraf nodig voor het binnentreden van het deel van de bouwkundige eenheid waarin de huisartsenpraktijk is gevestigd.
In het kader van het houden van toezicht op de naleving van de verplichtingen kan het noodzakelijk zijn dat de toezichthouder inzage krijgt in bijzondere persoonsgegevens. Het spreekt voor zich dat voorkomen moet worden dat deze gegevens, tenzij met toestemming van de cliënt, onder ogen van derden zouden komen. Daarom geldt voor deze gegevens een geheimhoudingsverplichting voor de toezichthouder.
In de Inspectieraad zal worden besproken hoe de samenwerking op het vlak van gegevensuitwisselingen tussen de IGJ en andere inspecties kan worden vormgegeven. Gedacht kan worden aan samenwerking met het Agentschap Telecom, dat toezicht houdt op aspecten van gegevensuitwisselingen die zijn of zullen worden geregeld in de Wdo en de Cyberbeveiligingsverordening.
Ook de IGJ en de Autoriteit Persoonsgegevens zullen moeten bespreken hoe samenwerking en taakverdeling kan worden vormgegeven, gezien de samenloop van bevoegdheden van de IGJ en de Autoriteit Persoonsgegevens aangaande het uitoefenen van toezicht op de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer binnen de zorg. Er bestaat hieromtrent al een samenwerkingsprotocol, namelijk het Samenwerkingsprotocol AP- IGJ io, Autoriteit Persoonsgegevens (Staatscourant 2018, nr. 7023). Door de IGJ en de Autoriteit Persoonsgegeven zal moeten worden bezien of dit wetsvoorstel of de AMvB’s die op grond van dit wetsvoorstel worden opgesteld, nopen tot wijziging van dit protocol.
Bij de keuze van het sanctiestelsel is gekeken naar de discussie die in Nederland al enige jaren speelt over de wijze van sanctioneren (bestuurlijk, strafrechtelijk of duaal), de hoogte van de op te leggen sancties en de rechtsbescherming in dat kader. Hierbij is met name relevant het advies van de Raad van State uit 201538, en de reactie daarop van het kabinet in het uitgebrachte nader rapport39 en de documenten die in dat nader rapport worden genoemd, zoals met name de kabinetsnota over de uitgangspunten bij de keuze van een sanctiestelsel.40
Uit de hierboven aangehaalde documenten blijkt dat met betrekking tot sanctionering in beginsel alle modaliteiten (bestuurlijke, strafrechtelijke of duale handhaving) mogelijk zijn. In dit wetsvoorstel is gekozen voor de bestuurlijke modaliteit en kan de Minister, wanneer een informatietechnologieproduct of -dienst in strijd met artikel 3.1 niet vergezeld gaat van een certificaat, een bestuurlijke boete opleggen. Dit is een bestuursrechtelijke punitieve sanctie. Voor dit sanctiestelsel is om de volgende redenen gekozen.41 De feitelijke pakkans wordt verhoogd door de keuze van een bestuursrechtelijke punitieve sanctie. Het gaat om een eenvoudig te identificeren maar kleine doelgroep. Bij de aard van de overtreding past veel beter een financiële sanctie dan een vrijheidsbenemende sanctie. De keuze voor een bestuursrechtelijke sanctie is proportioneel tot het herstel van de rechtsorde in algemene zin. Bovendien is bij de IGJ gespecialiseerde kennis en ervaring aanwezig om de overtreding te kunnen constateren.
In het voorgestelde artikel 4.3 is, conform artikel 5:46 Awb, de maximale hoogte van de op te leggen boete vastgelegd op een boete van de zesde categorie als bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht of, indien die boetecategorie geen passende bestraffing toelaat, een geldboete tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbeschikking. Dit maximum weerspiegelt het belang dat moet worden gehecht aan het gebruik van gecertificeerde informatietechnologieproducten of -diensten. Voor grote ondernemingen is de mogelijkheid opgenomen om wanneer de maximale boete in de zesde categorie niet voldoende is om afschrikwekkende werking te hebben, voor een hogere boete te gaan gebaseerd op de jaaromzet van de onderneming. Het omgekeerde is ook van toepassing ten aanzien van kleine ondernemingen. Het opleggen van het maximumbedrag dat mogelijk is zal bij kleine bedrijven in beginsel niet aan de orde zijn. Uiteindelijk blijft de precieze boetehoogte in een specifieke casus maatwerk en zal het bedrag altijd proportioneel moeten zijn in relatie tot de begane overtreding en onder meer de financiële draagkracht van het bedrijf. Een certificaat geeft immers zekerheid dat de beoogde gegevensuitwisseling kan plaatsvinden op een wijze dat zorgverleners op het juiste moment en op de juiste plek beschikken over adequate, actuele en uniforme informatie over cliënten. Overtreding kan gevolgen hebben voor de kwaliteit van de gegevensuitwisseling én daarmee uiteindelijk in een verder verband voor de gezondheid van cliënten. Van de mogelijkheid om een bestuurlijke boete op te leggen voor het aanbieden én op de ondersteuning van een informatietechnologieproduct of -dienst, wordt ook een preventief effect verwacht. Zowel de zorgaanbieder als de leverancier van de informatietechnologieproducten en -diensten zullen ervoor willen zorgen dat de juiste certificaten aanwezig zijn en de functionaliteiten van de informatietechnologieproducten en -diensten op de juiste wijze gebruikt worden bij aangewezen gegevensuitwisselingen. De informatietechnologieproducten en -diensten die gebruikt worden voor het uitwisselen van gegevens, maar die niet uitgewisseld worden in een aangewezen gegevensuitwisseling, vallen niet onder de wettelijke verplichting en daarop kan de handhaving in het kader van dit wetsvoorstel dan ook niet zien.
In aanwijzing van een gegevensuitwisseling in spoor 1 zal worden toegezien dat zorgverleners bij het uitwisselen van gegevens ten minste gebruik maken van een elektronische infrastructuur. Ook wordt toegezien op de naleving van de bij AMvB gestelde eisen die ertoe leiden dat het uitwisselen van gegevens tussen zorgverleners bij een aangewezen gegevensuitwisseling kan plaatsvinden op een functionele, technische of organisatorische wijze. Het toezicht van de IGJ zal in praktijk vooral bestaan uit het opvragen van stukken en het vorderen van informatie (bevragen) van zorgaanbieders waaruit blijkt dat is geborgd dat conform de eisen wordt gehandeld. Het toezicht van de IGJ heeft daarmee geen betrekking op de producten en – diensten die gebruikt worden om aan de eisen te voldoen.
Het toezicht in spoor 1 ziet niet op de wijze en snelheid waarmee de betrokken (zorg)partijen invulling geven aan de gezamenlijke ambitie van het veld om de gegevensuitwisseling door middel van een elektronische infrastructuur van spoor 1 naar spoor 2 te brengen.
In spoor 2 houdt de IGJ toezicht op de verplichtingen die rusten op de zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten. Dit betekent dat erop wordt toegezien dat zorgverleners de norm naleven, zorgverleners enkel gebruik maken van gecertificeerde informatietechnologieproducten of -diensten en aanbieders van informatietechnologieproducten of -diensten deze producten en diensten alleen aanbieden met een certificaat. Het toezicht van de IGJ zal ook in spoor 2 in praktijk vooral bestaan uit het opvragen van stukken en het vorderen van informatie (bevragen) van zorgaanbieders waaruit blijkt dat is geborgd dat zorgverleners conform de norm handelen. Het toezicht van de IGJ heeft daarmee nadrukkelijk geen betrekking op eisen aan informatietechnologieproducten en – diensten waarvoor een certificaat is afgegeven. In het stelsel van verplichte certificering, is de certificerende instelling degene die moet beoordelen of aan deze eisen wordt voldaan. Dit is immers een randvoorwaarde voor het kunnen afgeven en verlengen van een certificaat. Of de certificerende instelling deze beoordeling goed uitvoert, wordt gecontroleerd door de RvA.
Wel heeft de IGJ een rol in het stelseltoezicht op de certificerende instellingen; zie in dit verband paragraaf 7.6.
Voor artikel 2.1 (verplichtingen aan zorgaanbieders) geldt dat een schriftelijke aanwijzing aan zorgaanbieders kan worden ingezet. Een schriftelijke aanwijzing geeft de Minister de bevoegdheid tot het concretiseren van de norm, in de vorm van een aanwijzing, in die gevallen waarin sprake is van een tekortkoming. De aanwijzing geeft de situatie aan die de zorgaanbieder moet creëren en bevat de termijn waarbinnen aan de aanwijzing moet zijn voldaan.
Aanvullend daarop kunnen de last onder bestuursdwang en de last onder dwangsom als bestuursrechtelijke herstelsancties worden ingezet. Deze sancties, die tot doel hebben een overtreding te beëindigen, zijn gereguleerd in hoofdstuk 5, titel 5.3, Awb. Deze herstelsancties kunnen worden gehanteerd om een aanwijzing kracht bij te zetten, maar ook om – wanneer meer snelheid geboden is – snel in te kunnen grijpen. Het is aan de professionele inschatting van de Minister of van de instantie waaraan de handhaving gemandateerd is om te bepalen welk instrument het meest passend is in een bepaalde situatie. Deze systematiek voor handhaving is ontleend aan hoofdstuk 4 Wkkgz.
Voor gegevensuitwisselingen die zijn aangewezen in spoor 2, is de eis gesteld dat informatietechnologieproducten of -diensten voorzien moeten zijn van een certificaat. Certificerende instellingen geven op aanvraag en voor zover aan de eisen wordt voldaan een certificaat af voor een informatietechnologieproduct of -dienst. De certificerende instelling zal er ingevolge de certificatieschema’s op moeten toezien dat een informatietechnologieproduct of -dienst blijft voldoen aan de eisen. De certificerende instelling zal hiertoe steekproefsgewijs controles en administratieve audits uitvoeren. De certificerende instelling kan, wanneer het tot de conclusie komt dat niet voldaan wordt aan de eisen, het certificaat schorsen of intrekken. Een aanbieder die het daarmee niet eens is, kan zich wenden tot de bestuursrechter. Omdat in dit wetsvoorstel conformiteitbeoordelingen verplicht zijn gesteld, kunnen de certificerende instanties die deze beoordelingen uitvoeren worden aangemerkt als bestuursorgaan. Immers, een certificerende instelling beslist feitelijk of een informatietechnologieproduct of -dienst al dan niet in de markt mag worden gezet. Hiermee moet een certificerende instelling geacht te zijn bekleed met openbaar gezag. Dit houdt in dat de certificerende instellingen voor het verstrekken van certificaten op grond van dit wetsvoorstel bestuursorganen zijn en de besluiten die ze in dat kader nemen, besluiten zijn in de zin van de Awb. Een certificerende instelling moet bij deze activiteiten aan alle eisen voor een bestuursorgaan voldoen en haar besluiten staan open voor bezwaar en beroep.
Certificerende instellingen kunnen alleen toezien op informatietechnologieproducten of -diensten waarvoor een certificaat is verleend. Wanneer geen aanvraag om een certificaat wordt ingediend, of het certificaat wordt geweigerd, is het informatietechnologieproduct of -dienst niet in beeld bij de certificerende instelling. Daarom houdt de door de Minister aangewezen toezichthouder, de IGJ, toezicht op de aanwezigheid van een certificaat.
In het geval de Minister in het uiterste geval ter waarborging van de continuïteit van het systeem gebruik maakt van de bevoegdheid om zelf te certificeren, komt de Minister in die specifieke omstandigheid de bevoegdheid toe om het certificaat te schorsen of in te trekken. Daarvan kan sprake zijn in het geval de Minister tot de conclusie komt dat niet wordt voldaan aan de gestelde eisen.
Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling wordt ingetrokken. Dit kan bijvoorbeeld zijn omdat de certificerende instelling zich van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing. Uit het intrekken van de aanwijzing van de certificerende instelling kan niet direct een oordeel gegeven worden over de vraag of het informatietechnologieproduct of – dienst voldoet aan de norm die geldt voor de aangewezen gegevensuitwisseling waarvoor het informatietechnologieproduct of -dienst wordt gebruikt. In het geval de accreditatie van de certificerende instelling wordt ingetrokken kan niet met zekerheid worden gesteld dat certificaat voor het informatietechnologieproduct of -dienst terecht is verleend. Maar in alle gevallen geldt dat een overgangstermijn nodig is waarin de aanbieder van het informatietechnologieproduct of -dienst de tijd heeft om een nieuwe certificerende instelling te vinden die de taken van de vorige certificerende instelling overneemt. Voorgesteld wordt daarom dat de afgegeven certificaten voor een informatietechnologieproduct of -dienst nog twaalf maanden geldig zijn. Deze geldigheid vloeit voort uit de wet zelf en geldt ook wanneer de geldigheid van het certificaat zelf op een korte termijn was bepaald. In deze twaalf maanden kan de aanbieder van het product doorgaan met het product op de markt te brengen. Zoals hiervoor aangegeven zegt het wegvallen van de certificerende instelling in eerste instantie namelijk niets over de conformiteit van het informatietechnologieproduct of -dienst met de norm. Mocht er geen opvolgende certificerende instelling zijn dan kan worden teruggevallen op artikel 3.2, zevende lid, waarbij de Minister vanwege de borging van de continuïteit van het systeem de dossiers van de certificerende instelling en ook diens taken overneemt.
Wanneer een certificerende instelling of in het uiterste geval de Minister een certificaat schorst of intrekt, dient de zorgaanbieder in de gelegenheid te worden gesteld om een nieuw informatietechnologieproduct of -dienst aan te schaffen en te implementeren binnen de eigen organisatie. Dit om te voorkomen dat de continuïteit van de gegevensuitwisseling in gevaar wordt gebracht. De termijn voor deze transitie dient zo kort mogelijk te zijn. Immers het informatietechnologieproduct of -dienst voldoet niet (volledig) aan de voor die aangewezen gegevensuitwisseling geldende norm. Daarom is ervoor gekozen een standaardtermijn van zes maanden te hanteren (artikel 3.6, derde lid). Dat gegevensuitwisseling ook in de termijn van zes maanden (of langer) op zijn minst veilig moet gebeuren spreekt voor zich. Zie hierover ook paragraaf 8.3 (Effecten op de gegevensbescherming). Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat de zesmaandentermijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (artikel 3.6, vierde lid). Aan dit besluit tot verlenging kan de Minister voorwaarden verbinden. Tegen het besluit van de Minister om het voortgezet gebruik na zes maanden verder te verlengen, kunnen rechtsmiddelen worden aangewend.
De certificerende instellingen die certificaten mogen verlenen, worden aangewezen door de Minister. De Minister wijst alleen certificerende instellingen aan die geaccrediteerd zijn door de RvA volgens Europese geharmoniseerde normen of die hiervoor ten minste een aanvraag tot accreditatie hebben ingediend. Het toezicht op het functioneren van de certificerende instellingen vindt primair plaats door de RvA. De RvA ziet toe op de deskundigheid, onafhankelijkheid, onpartijdigheid en betrouwbaarheid van de certificerende instellingen. Dit doet de RvA door periodiek te controleren. De RvA kan, wanneer de RvA tot de conclusie komt dat niet voldaan wordt aan de eisen, de accreditatie intrekken of schorsen. Dit volgt uit de Wet aanwijzing nationale accreditatie-instantie en de daarbij behorende beleidsregel Accreditatie.42 Een certificerende instelling die het daarmee niet eens is, kan bezwaar indienen en zich vervolgens wenden tot de bestuursrechter. Immers, de RvA beslist feitelijk of een certificerende instelling zich op de markt mag bewegen (voor het verlenen van certificaten voor informatietechnologieproducten of -diensten die voorzien moeten zijn van een certificaat). Hiermee moet de RvA geacht te zijn bekleed met openbaar gezag. Dit houdt in dat de RvA voor het accrediteren van certificerende instellingen op grond van dit wetsvoorstel een bestuursorgaan is en de besluiten die hij in dat kader neemt besluiten zijn in de zin van de Awb. De RvA moet bij deze activiteiten aan alle eisen voor een bestuursorgaan voldoen en zijn besluiten staan open voor bezwaar en beroep.
Van de beslissing van de RvA om een accreditatie in te trekken of te schorsen moet de Minister worden geïnformeerd, omdat de beslissing gevolgen kan hebben voor de aanwijzing van de certificerende instelling door de Minister. Doorgaans zal intrekking of schorsing van een accreditatie leiden tot intrekking of schorsing van de aanwijzing door de Minister. Dit zal bij AMvB nader worden geregeld op grond van artikel 3.3, aanhef en onder c, van het wetsvoorstel.
Aangezien de RvA al in belangrijke mate toezicht houdt op certificerende instellingen, zal het toezicht door de Minister op certificerende instellingen terughoudend zijn en georganiseerd worden in overleg met de RvA. Dit laat onverlet dat de Minister stelselverantwoordelijk is en dus toezicht moet kunnen houden en, wanneer dit nodig is, moet kunnen ingrijpen. Dit volgt ook uit het kabinetsstandpunt voor conformiteitsbeoordeling en accreditatie.43 Dit is kwaliteitstoezicht dat erop is gericht om het stelsel goed te laten functioneren. Het is er niet op gericht om te controleren of iedere individuele aangewezen certificerende instelling aan de eisen voldoet. Immers, de RvA houdt al in belangrijke mate toezicht op certificerende instellingen zodat het toezicht door de Minister op certificerende instellingen terughoudend zal zijn. Kortom, het toezicht door de Minister op aangewezen certificerende instellingen moet worden ingevuld als stelseltoezicht. Het toezicht door de Minister zal georganiseerd worden in overleg met de RvA. Gelet op het terughoudende karakter van het stelseltoezicht, zal reactief toezicht gehouden worden op basis van signalen over het functioneren van specifieke aangewezen certificerende instellingen. De IGJ heeft dus eerst en vooral een onderzoeks- en signaalfunctie. De toezichthouder zet signalen door naar certificerende instellingen, de RvA of de Minister, waarna wordt bepaald welke vervolgstappen worden gezet. Ook kan stelseltoezicht op een projectmatige manier worden ingevuld om een beeld te vormen van het functioneren van het stelsel, bijvoorbeeld ten aanzien van een specifiek thema. Afhankelijk van risico’s en de kenmerken van een bepaalde gegevensuitwisseling kan (de intensiteit van) het toezicht door de toezichthouder verschillend worden ingevuld.
Daarnaast is in dit wetsvoorstel geregeld dat bij AMvB regels gesteld kunnen worden over onder meer:
– de voorwaarden waaronder een certificerende instelling wordt aangewezen, zoals het hebben van rechtspersoonlijkheid, financiële stabiliteit, in staat om te beslissen op bezwaar, voldoende deskundigheid, en of een certificerende instelling in staat is te beoordelen of een informatietechnologieproduct of -dienst voldoet aan een voor die gegevensuitwisseling aangewezen norm;
– de gevolgen van vrijwillige of gedwongen beëindiging van de werkzaamheden als certificerende instelling, zoals overdracht van de dossiers;
– de voorwaarden waaronder de Minister de aanwijzing van een certificerende instelling kan wijzigen, schorsen of intrekken. Het gaat duidelijkheidshalve niet om een privaatrechtelijke handhaving, maar om een bestuursrechtelijk sanctiemiddel. Dit sanctiemiddel moet worden gezien als een uiterst middel als de privaatrechtelijke handhaving door de RvA onverhoopt niet het gewenste resultaat oplevert. Een certificerende instelling die het niet eens is met het intrekken, wijzigen of schorsen van de aanwijzing, kan in bezwaar bij de Minister en in beroep gaan bij de bestuursrechter.
Dit hoofdstuk geeft een overzicht van de effecten die het wetsvoorstel naar verwachting op de Nederlandse samenleving zal hebben. Daarbij wordt ingegaan op zowel de sociale (regeldruk en rechtspraak) als de economische effecten (lasten).
Met dit wetsvoorstel wordt stap voor stap (gegevensuitwisseling na gegevensuitwisseling) de verplichting aan zorgaanbieders opgelegd om erop toe te zien dat zorgverleners bij het uitwisselen van gegevens ten minste gebruik maken van een elektronische infrastructuur en worden genormaliseerde eisen gesteld aan informatietechnologieproducten of -diensten. De financiële effecten zullen per aangewezen gegevensuitwisseling verschillend zijn. De financiële gevolgen van dit wetsvoorstel zijn daarmee vooral verbonden aan de AMvB, waarbij gegevensuitwisselingen worden aangewezen.
Zoals in paragraaf 3.2 is weergegeven toetst de Minister voorafgaande aan het bij AMvB aanwijzen van een (prioritaire) gegevensuitwisseling of de aanwijzing toegevoegde waarde heeft. In dat kader wordt een MKBA uitgevoerd.
Bij een MKBA worden de kosten en baten voor de gehele maatschappij beschouwd. Uit een dergelijke analyse zullen onder meer de transitiekosten blijken en de structurele kosten en baten bij betrokken partijen. Op basis van de MKBA voor een aan te wijzen gegevensuitwisseling zal worden beoordeeld of het noodzakelijk is om, bijvoorbeeld, te komen tot vereffening van kosten en baten dan wel een oplossing voor de transitiekosten. Overigens zal bij de aanwijzing van een gegevensuitwisseling bij AMvB in de nota van toelichting uiteraard altijd ingegaan worden op de financiële gevolgen.
De verplichting voor zorgaanbieders om in spoor 2 gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten, zal tot implementatiekosten en nalevingskosten leiden. De kosten en baten zullen per gegevensuitwisseling verschillen en, zoals hiervoor besproken, vooraf in kaart worden gebracht. Hierbij zal uiteraard per gegevensuitwisseling rekening worden gehouden met de grote diversiteit binnen het zorgveld. Het zorgveld strekt zich uit van academische ziekenhuizen tot solistisch werkende zorgverleners. Wel is belangrijk om te vermelden dat het uitgangspunt is dat de (investerings)kosten voor de implementatie van de wettelijk verplichte gegevensuitwisseling worden opgebracht uit de bedrijfsvoeringsmiddelen van de zorgaanbieders.
Gezien de aard van het wetsvoorstel is in de fase van beleidsontwikkeling een bedrijfseffectentoets (hierna: BET) uitgevoerd. Uit de BET volgt dat zorgaanbieders te maken krijgen met eenmalige effecten en structurele effecten.
Eenmalige effecten waar zorgaanbieders mee te maken krijgen zijn:
– kosten voor kennisname van de nieuwe regelgeving;
– kosten voor het eventueel zoeken naar en aanschaffen van nieuwe informatietechnologieproducten en -diensten als de bestaande informatietechnologieproducten of -diensten niet voldoen;
– kosten voor aanpassing van bestaande dossiervoering, communicatie en werkprocessen;
– kosten voor het opleiden van zorgverleners om te kunnen werken met nieuwe of aangepaste informatietechnologieproducten en -diensten; en
– kosten voor het implementeren van nieuwe informatietechnologieproducten en -diensten.
De kosten en baten hiervan zullen per te verplichten gegevensuitwisseling en per organisatie verschillen.
Structurele effecten waar zorgaanbieders mee te maken krijgen zijn:
– voldoen aan de eisen die mogelijk gaan gelden voor zorgaanbieders. In de nog op te stellen normen kunnen namelijk ook verplichtingen worden opgelegd aan de zorgaanbieders;
– toezien dat bij aangewezen gegevensuitwisselingen het uitwisselen van gegevens door zorgverleners elektronisch en volgens de daarvoor geldende eisen plaatsvinden. Hiertoe zullen zij naar verwachting periodiek controles uitvoeren bij zorgverleners; en
– toename in beheerkosten (bijvoorbeeld door stijgende kosten van licenties).
Om een gegevensuitwisseling bij AMvB aan te kunnen wijzen, moet duidelijk zijn om welke gegevens het gaat. Daarbij zal het vaak van belang zijn om te kunnen verwijzen naar een of meer kwaliteitsstandaarden. Een mogelijk effect van het wetsvoorstel is dat bij het ontbreken van een kwaliteitsstandaard deze alsnog dient te worden opgesteld. Daarnaast is bekend dat in de thans bestaande kwaliteitsstandaarden niet in alle gevallen een beschrijving van het «wat» aanwezig is die ook zal moeten worden opgesteld. Dit brengt lasten mee voor partijen die de kwaliteitsstandaarden opstellen.
Een ander mogelijk effect van het wetsvoorstel is gelegen in het onderscheid tussen aanwijzing in spoor 1 dan wel spoor 2. Zoals eerder toegelicht wordt onder aanwijzing in spoor 1 voor een gegevensuitwisseling in eerste instantie alleen de verplichting opgelegd om gegevens langs elektronische weg uit te wisselen. Wanneer een gegevensuitwisseling is aangewezen in spoor 1, bestaat bij het veld de ambitie om uiteindelijk de stap te zetten naar een aanwijzing in spoor 2.
Het uiteindelijk doel zal steeds spoor 2 zijn, omdat alleen dan volledige interoperabiliteit bereikt zal gaan worden.
Om het risico op desinvestering te beperken, zal bij een aanwijzing in spoor 1 zoveel mogelijk worden geborgd dat eventueel opgelegde eisen geen belemmering vormen in een overgang naar spoor 2. Het risico op desinvestering wordt ook beperkt doordat zorgaanbieders vertegenwoordigd zijn bij het opstellen van de NEN-norm voor spoor 2. De verwachting is dat door een aanwijzing in spoor 1 de ontwikkelingen in die gegevensuitwisseling versnellen. Daar waar op het moment van aanwijzen van de gegevensuitwisseling in spoor 1 nog onvoldoende aanknopingspunten waren om over te gaan tot de ontwikkeling van een NEN-norm, wordt verwacht dat door het elektronisch uitwisselen van gegevens de noodzaak om te komen tot een interoperabele uitwisseling zal toenemen. Door het elektronisch uitwisselen van de gegevens zullen sneller de knelpunten naar voren komen, die via een normeringstraject een oplossing zouden moeten krijgen. Doordat zorgaanbieders betrokken worden bij het normeringstraject kunnen ze verzekeren dat eventuele (technische) keuzes die gemaakt zijn bij een spoor 1 aanwijzing, meegewogen worden in de NEN-norm.
Het risico voor desinvestering wordt ook beperkt doordat functies die in veel specifieke gegevensuitwisselingen voorkomen, zoals identificatie en autorisatie van de zorgverlener, afzonderlijk worden of naar verwachting zullen worden genormeerd in NEN-normen voor generieke functies. Investeringen in oplossingen voor deze generieke functies kunnen daardoor worden hergebruikt in veel specifieke gegevensuitwisselingen.
In de nota van toelichting bij de AMvB waarin een gegevensuitwisseling in spoor 1 wordt aangewezen, zal steeds nadrukkelijk aandacht worden geschonken aan eventuele risico’s inzake desinvestering.
Aangezien bij het veld de ambitie zal bestaan om te komen tot een spoor 2 aanwijzing, is de verwachting dat het veld zelf aan de slag gaat met de normalisatie van eisen die gesteld worden aan taal en techniek. Het is van belang dat alle betrokken partijen kunnen participeren in de totstandkoming van de NEN-norm per gegevensuitwisseling. Dit is geborgd door de werkwijze van NEN. In de NEN-normwerkgroepen worden immers alle belanghebbenden betrokken bij het opstellen van de eisen aan taal en techniek, zoals die gelden bij een aanwijzing in spoor 2. Het effect van deze werkwijze is dat het een tijdsinvestering van het zorgveld zal vergen om de NEN-norm te ontwikkelen.
Het wetsvoorstel heeft potentieel ook structurele positieve financiële effecten voor zorgaanbieders. Wanneer de wetgeving haar doel bereikt en de zorgverleners beschikken over adequate, actuele en uniforme informatie op de juiste plek op het juiste moment, dan zal dit een positief effect hebben op de regeldruk voor de zorgverleners. Zoals in hoofdstuk 1 van deze memorie is toegelicht, verliezen de zorgverleners nu veel tijd met (extra) administratieve handelingen, zoals door het overtypen van gegevens, het fysiek overdragen van gegevens of met het achterhalen van ontbrekende gegevens. Door minder tijd kwijt te zijn aan dit verzamelen en gereed maken van informatie voor verzending, kan er meer (vaak kostbare) tijd besteed worden aan het verlenen van zorg. Hierdoor kunnen bijvoorbeeld meer cliënten worden gezien, waardoor de kosten per cliënt afnemen. Bovendien kan worden vermeden dat door gebrekkige gegevens de zorgverleners onnodige, soms kostbare, onderzoeken (over) moeten doen. In paragraaf 2.1 van deze memorie is aangeven dat jaarlijks meer dan 460.000 verpleegkundige overdrachten plaatsvinden tussen zorgaanbieders en dat een verpleegkundige overdracht nu in totaal meer dan 4 uur kosten, omdat er tot 8 keer dezelfde informatie moet worden overgetypt.44 Uit een pilot in de regio Amsterdam bleek dat het elektronisch uitwisselen van gegevens op basis van eenduidige afspraken tussen verpleegkundigen tot ruim twee uur tijdsbesparing per overdracht kan opleveren.45
Bijkomend voordeel van dit wetsvoorstel is bovendien dat gegevens eenvoudiger kunnen worden hergebruikt voor secundair gebruik (kwaliteitsaanleveringen en onderzoek), wat ook het aantal administratieve handelingen beperkt.
Mocht daarnaast blijken dat bepaalde zorgaanbieders meer tijd en middelen nodig hebben om te voldoen aan de eisen, dan kan zo nodig in de AMvB ervoor gekozen worden een langere overgangstermijn aan te houden.
Dit wetsvoorstel brengt geen lasten mee voor cliënten. Het wetsvoorstel richt zich namelijk op de gegevensuitwisseling door middel van een elektronische infrastructuur tussen zorgverleners over de cliënt. Het wetsvoorstel heeft wel positieve gevolgen voor de cliënt. Niet alleen is de verwachting dat met dit wetsvoorstel het risico op vermijdbare fouten merkbaar wordt verkleind, ook heeft dit wetsvoorstel positieve effecten op de lasten van cliënten. Zo is het niet meer nodig dat gegevens bij een opvolgende zorgverlener opnieuw moeten worden aangeleverd. Dit leidt tot de uitvraag van minder (administratieve) gegevens en tot minder onnodige onderzoeken met mogelijk verkeerde behandelingen tot gevolg. Omdat gegevens elektronisch beschikbaar worden, kunnen deze bovendien makkelijker elektronisch worden uitgewisseld met de cliënt zelf. Het gaat immers bij gegevensuitwisseling tussen zorgverleners vaak om dezelfde gegevens.
Voor de certificerende instellingen bestaan de eenmalige lasten uit de kosten om zich te laten accrediteren en aan te laten wijzen door de Minister. In paragraaf 3.4 is al ingegaan op certificeringsproces.
Structurele kosten zijn:
– het onderhouden van de accreditatie en aanwijzing;
– het verrichten van steekproefsgewijze controles en administratieve audits door de RvA; het beheer van certificatieschema’s.
Aanbieders van informatietechnologieproducten of -diensten zullen (initieel) extra werk moeten verzetten en investeringen moeten doen om ervoor te zorgen dat de informatietechnologieproducten of -diensten voldoen aan de eisen en dat er een certificaat kan worden aangevraagd en toegekend.
Uit de hierboven genoemde BET volgt dat aanbieders van informatietechnologieproducten of -diensten te maken krijgen met eenmalige effecten en structurele effecten.
Eenmalige effecten waar aanbieders van informatietechnologieproducten of -diensten mee te maken krijgen zijn:
– kosten voor kennisname van de nieuwe regelgeving (waaronder de technische eisen die gaan gelden);
– initiële kosten voor het aanvragen van een certificaat voor hun product of dienst. Dit betreft kosten voor het aanschaffen van het certificaat zelf en voor het proces om het certificaat te verkrijgen. Hoe hoog de kosten voor het certificeren van een product zullen zijn, hangt af van het aantal aangewezen gegevensuitwisselingen dat het product of de dienst ondersteunt en het aantal deelcertificaten dat nodig is voor een certificaat;
– kosten om de producten en diensten inhoudelijk aan te passen of te ontwikkelen zodat ze aansluiten op de eisen uit de norm en daarvoor een certificaat kan worden verkregen;
– kosten voor het opleiden van medewerkers om te kunnen werken volgens de nieuwe (technische) eisen; en
– kosten voor de aanpassing van werkprocessen, het aanpassen en opstellen van handleidingen, communicatie en informatie richting bestaande klanten.
De hoogte van de kosten voor het aanpassen van de informatietechnologieproducten en -diensten zal per norm en per product of dienst verschillen. Dit omdat de aanpasbaarheid van producten en diensten verschilt per aanbieder en product of dienst. Ook omdat de normen kunnen verschillen in de impact op de techniek van een product of dienst.
Structurele effecten waar aanbieders van informatietechnologieproducten of -diensten mee te maken krijgen zijn:
– periodiek hercertificeren om aan te tonen dat een informatietechnologieproduct of -dienst nog steeds voldoet aan de gestelde eisen. De kosten hiervoor zullen naar verwachting lager zijn dan de initiële kosten voor het certificeren van de producten en diensten;
– kosten van steekproefsgewijze controles en administratieve audits vanuit de certificerende instellingen.
Een bijkomend positief effect van het wetsvoorstel is dat het voor aanbieders van informatietechnologieproducten of -diensten eenvoudiger wordt om hun product of dienst zonder aanpassingen te doen inpassen bij meerdere zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer.
De kosten die aanbieders van informatietechnologieproducten of -diensten maken, zullen zij naar verwachting grotendeels doorberekenen aan zorgaanbieders. Voor kleine aanbieders van informatietechnologieproducten of -diensten betekent dit dat de prijs van de producten en diensten waarschijnlijk meer zal stijgen ten opzichte van de grote aanbieders, omdat zij minder klanten hebben waarover de gemaakte kosten verdeeld kunnen worden. Zie ook paragraaf 8.2.1.
Lasten normalisatie, ontwikkelen en beheer standaarden en lasten afkoop normen
Naar schatting zullen de totale kosten in het kader van normalisatie in de eerste jaren ongeveer 1,5 miljoen euro per jaar bedragen. Dit zal met name bestaan uit:
– de kosten voor de ontwikkeling en de validatie van nieuwe normen en certificatieschema’s; en
– de kosten voor het beheer en de overdracht van de auteursrechten aan de overheid van de in opdracht ontwikkelde normen (ten behoeve van de openbare beschikbaarstelling van deze normen).
De kosten voor het afkopen van de licentiekosten die verbonden zijn aan het gebruik van de normen zullen de komende jaren toenemen naarmate er meer naar normen wordt verwezen bij AMvB. Deze kosten zullen worden meegenomen in de begroting van het Ministerie van VWS. Overigens is van een aantal normen de auteursrechten al overgenomen (NEN 7510, NEN 7512 en NEN 7513). De verwachting is dat bij AMvB naar deze normen zal worden verwezen.
Lasten toezicht en handhaving
Onder hoofdstuk 7 inzake toezicht en handhaving is geduid dat de IGJ een belangrijke rol gaat spelen in het toezicht (en gemandateerd de handhaving) van de plichten die gaan gelden voor zorgaanbieders en eisen die gesteld worden aan informatietechnologieproducten of -diensten.
Het toezicht op de plichten voor zorgaanbieders ligt in het verlengde van de taken die de IGJ al heeft in het kader van de Wkkgz. De verwachting is daarom niet dat deze taak veel (personele) effecten heeft voor de IGJ. Daarbij speelt mee dat een deel van de taak wordt vergemakkelijkt doordat gewerkt wordt met gecertificeerde informatietechnologieproducten of -diensten. Immers, wanneer een zorgaanbieder het certificaat toont, kan aangenomen worden dat de zorgaanbieder gebruik maakt van een informatietechnologieproduct of -dienst dat of die voldoet aan de eisen. De IGJ hoeft dan niet zelf het product of de dienst te gaan beoordelen.
De effecten voor de IGJ zijn echter pas exact te bepalen, wanneer duidelijkheid is over het toezichtsarrangement (bijvoorbeeld risico gestuurd, volgens een vaste cyclus, thematisch46 of steekproefsgewijs). Hier wordt op dit moment nog over nagedacht. Afhankelijk van het toezichtsarrangement waarvoor gekozen wordt, is er meer of minder effect op de (personele) inzet van de IGJ. Bij de AMvB zal steeds worden ingegaan op de effecten van deze taak voor de IGJ.
De IGJ gaat ook toezicht houden op de plicht voor informatietechnologieproducten of -diensten om voorzien te zijn van een certificaat. Deze vorm van toezicht is nieuw voor de IGJ. Dit betekent dat deze vorm van toezicht ingebed moet worden in de organisatie, het personeel hiervoor opgeleid moet worden en meer personeel nodig is. De exacte gevolgen van deze nieuwe taak is pas te bepalen wanneer er duidelijkheid is hoeveel informatietechnologieproducten of -diensten zijn gecertificeerd. Dit wordt pas duidelijk als een gegevensuitwisseling en de relevante eisen worden aangewezen bij AMvB. Bij de AMvB zal dan ook steeds worden ingegaan op de effecten van deze taak voor de IGJ.
Lasten voor de rechtspraak
In de paragrafen 7.5 en 7.6 is weergegeven dat bezwaar kan worden ingediend tegen besluiten van certificerende instellingen inzake het al dan niet verlenen van een certificaat, besluiten van de RvA inzake het al dan niet accrediteren van een certificerende instelling, besluiten van de Minister inzake het al dan niet aanwijzen van een certificerende instelling en besluiten van de Minister om de duur van het gebruik van een ingetrokken of geschorst certificaat te verlengen. Daarna kan beroep worden ingediend bij de bestuursrechter. Daarnaast kan uiteraard bezwaar en beroep worden ingediend tegen handhavingsbesluiten.
Naar verwachting gaat het hierbij niet om grote aantallen zaken. De exacte gevolgen zijn echter pas te bepalen wanneer een gegevensuitwisseling (met eisen) wordt aangewezen bij AMvB. Pas dan is beter in te schatten hoeveel certificaten, aanwijzingen of accreditaties verleend zullen worden. Bovendien is dan ook beter in te schatten hoeveel handhavingsbesluiten verwacht worden. Hier kan immers een onderscheid zijn tussen de situatie dat de aanwijzing van een gegevensuitwisseling een sluitstuk is van een bestaande ontwikkeling van het veld (en het veld dus grotendeels al voldoet aan de eisen) en de situatie dat de aanwijzing van een gegevensuitwisseling sturend is (en het veld grotendeels nog niet voldoet aan de eisen). Bij de AMvB zal dan ook steeds worden ingegaan op de effecten voor de rechtspraak.
Lasten voor decentrale overheden
Dit wetsvoorstel ziet op zorgaanbieders en leveranciers van informatietechnologieproducten of -diensten. Decentrale overheden kunnen zorgaanbieders zijn in de zin van dit wetsvoorstel, zoals in het geval van jeugdgezondheidszorg. Voor die gevallen geldt wat in paragraaf 8.1.1 is toegelicht.
Lasten voor Caribisch Nederland
Dit wetsvoorstel ziet niet op zorgaanbieders en leveranciers van informatietechnologieproducten of -diensten in Caribisch Nederland. Voor het effectief elektronisch uitwisselen van gegevens over cliënten tussen zorgverleners is een zekere schaalgrootte noodzakelijk. Deze schaalgrootte is in Caribisch Nederland niet aanwezig. Er zijn daarom geen lasten voor Caribisch Nederland.
Met dit wetsvoorstel wordt de marktwerking beperkt, doordat zorgaanbieders worden verplicht om binnen de aangewezen gegevensuitwisselingen gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten (als voor die informatietechnologieproducten of – diensten is bepaald dat ze voorzien moeten zijn van een certificaat) en het certificaat voor een product of dienst alleen wordt verleend als voldaan is aan de eisen die opgenomen zijn in een aangewezen norm. Het is immers niet langer voor elke aanbieder van informatietechnologieproducten of -diensten mogelijk om deze producten of -diensten aan te bieden. In de paragrafen 4.4 en 4.5 van deze memorie is al toegelicht dat deze inbreuk op het vrij verkeer van goederen en diensten gerechtvaardigd wordt geacht.
De verwachting is dat het wetsvoorstel twee negatieve effecten heeft op de markt:
– Hoewel in de normen zoveel mogelijk gebruik wordt gemaakt van (internationale) open standaarden, kan dit wetsvoorstel ervoor zorgen dat aanbieders van informatietechnologieproducten of -diensten maatwerkoplossingen zullen moeten ontwikkelen voor de Nederlandse markt. Dit kan tot gevolg hebben dat aanbieders van informatietechnologieproducten of -diensten ervoor kiezen om hun producten niet (langer) op de Nederlandse markt aan te bieden, omdat ze liever willen investeren in schaalbare oplossingen.
– Kleine aanbieders van informatietechnologieproducten of -diensten kunnen de kosten die zij moeten maken voor certificering en het aanpassen van hun producten of diensten over minder klanten spreiden en zullen daarom op prijs niet gemakkelijk kunnen concurreren met grote aanbieders. Dit kan ertoe leiden dat deze kleine aanbieders niet meer mee kunnen doen op de markt.
De verwachting is dat het wetsvoorstel ook positieve effecten heeft op de marktwerking:
– Het stellen van eisen aan informatietechnologieproducten of -diensten beperkt naar verwachting de afhankelijkheid van klanten van hun leverancier voor deze producten en diensten, omdat ze beter in staat zijn om van leverancier te veranderen zonder substantiële omschakelingskosten of ongemak. Ook leidt het stellen van eisen ertoe dat producten en diensten volledig interoperabel worden. Dit maakt het voor aanbieders van deze producten of diensten makkelijker om toe te treden tot de zorgmarkt. Het wordt namelijk minder makkelijk om klanten en data af te schermen voor andere aanbieders, zodat zorgaanbieders makkelijker over kunnen stappen naar een ander product of een andere dienst. Doordat meer aanbieders informatietechnologieproducten of -diensten op de zorgmarkt zullen komen, krijgen zorgaanbieders keuze tussen verschillende informatietechnologieproducten of -diensten.
– De eisen die worden gesteld over het genormaliseerd uitwisselen van gegevens door middel van een elektronische infrastructuur (aanwijzing in spoor 2), versterken de marktwerking. Genormaliseerde eisen zien niet op eén specifieke elektronische infrastructuur. Het gebruik van standaarden maakt ook dat een informatietechnologieproduct of -dienst zonder grote aanpassingen bij veel zorgaanbieders bruikbaar is. Daarmee is het voor aanbieders van informatietechnologieproducten of -diensten eenvoudiger om hun product of dienst zonder aanpassingen te doen inpassen bij zorgaanbieders, in meerdere sectoren en op landelijk niveau. De afzetmarkt wordt hierdoor dus ruimer.
– Certificering versterkt de transparantie en daarmee de marktwerking. Het wordt namelijk voor alle zorgaanbieders helder welke informatietechnologieproducten of -diensten aantoonbaar voldoen aan de eisen. Dit maakt het beter mogelijk om producten te vergelijken.
Om de positieve effecten op de marktwerking te kunnen realiseren, is het van groot belang dat ook kleine aanbieders van informatietechnologieproducten of -diensten en potentiële nieuwe toetreders worden betrokken bij de ontwikkeling van de normen. Dit is geborgd door de werkwijze van NEN (zie paragraaf 3.5.3). Zo zijn zij vroegtijdig op de hoogte, zodat zij op tijd kunnen starten met het inbouwen van de normen in de informatietechnologieproducten en -diensten, en kunnen zij invloed uitoefenen op de ontwikkeling van de standaarden.
Voor aangewezen gegevensuitwisselingen zal uiteindelijk de verplichting gelden (aanwijzing in spoor 2) dat deze op genormaliseerde wijze dienen plaats te vinden. Het kan zijn dat normalisatie een dempend effect heeft op innovatie. Bijvoorbeeld als het gebruik van een bepaald product wordt voorgeschreven hetgeen de ontwikkeling van een ander, beter product kan belemmeren. Dit wordt ondervangen door de normen periodiek te herzien. Zo kunnen innovatieve ontwikkelingen tijdig meegenomen worden. Bovendien kan normalisatie ook indirect bijdragen aan innovatie. Normalisatie leidt namelijk tot volledige interoperabiliteit die op zijn beurt kan bijdragen aan innovatie van primaire zorgprocessen. Daarnaast dragen normen bij aan het ontstaan van een gelijk speelveld waarmee concurrentie en daarmee innovatie worden bevorderd.
Het wetsvoorstel kan effecten hebben op de werkgelegenheid en arbeidsvoorwaardenontwikkeling in de zorg. In de huidige situatie heeft de zorgverlener, als gevolg van de gebrekkige mogelijkheden tot elektronische uitwisseling, lang niet altijd de beschikking over toereikende, juiste en actuele informatie. Gevolgen hiervan zijn bijvoorbeeld dat gegevens meerdere keer opnieuw ingetypt moeten worden en dat onderzoeken onnodig moeten worden herhaald. Hierdoor ontstaat er druk op de kwaliteit van de zorg en op de zorgkosten, wat weer leidt tot negatieve beeldvorming over de zorg als arbeidsmarkt.
Doel van het wetsvoorstel is dat op den duur de kwaliteit van de zorg verder stijgt, doordat er minder fouten worden gemaakt, minder tijd nodig is voor administratieve handelingen en daarmee meer tijd overblijft voor de zorg voor de cliënt of de schaarse capaciteit op een andere manier beter kan worden benut. Wanneer dit wordt gerealiseerd, zal de beeldvorming over de zorg als arbeidsmarkt positief veranderen. Aangezien de zorgsector kampt met tekorten aan personeel en de vraag naar voldoende opgeleid zorgpersoneel de komende jaren naar verwachting alleen maar toeneemt, is de verwachting dat geen banen komen te vervallen als gevolg van het automatiseren van werkzaamheden.
In de fase van beleidsontwikkeling is een gegevensbeschermingseffectbeoordeling (data protection impact assessment, DPIA) uitgevoerd op dit wetsvoorstel.47
Hierin is meegenomen dat de systematiek van het wetsvoorstel zelf geen andere (nieuwe) doeleinden of grondslagen creëert voor de verwerking van de uit te wisselen persoonsgegevens. Het wetsvoorstel zal immers alleen betrekking hebben op de bij AMvB aan te wijzen gegevensuitwisselingen, waarbij het doel van en de grondslag voor de verwerking van persoonsgegevens al zijn bepaald in andere regelgeving, zoals reeds eerder is weergegeven in paragraaf 2.3.3. Dat neemt niet weg dat wanneer volledige interoperabiliteit wordt bereikt, de verandering in de gegevensuitwisseling voor cliënten merkbaar zal zijn. Wanneer gegevens als gevolg van de interoperabiliteit elektronisch beschikbaar worden, wordt het gemakkelijker om deze gegevens te raadplegen, te bewerken en te bewaren, ook op meer systematische wijze en in grotere hoeveelheden. Daarmee beoogt het wetsvoorstel de slagkracht van de gegevensuitwisseling en -verwerking te vergroten. Dit betekent echter ook dat eventuele fouten, dan wel onjuiste of onbevoegde gegevensuitwisseling voor cliënten, grotere gevolgen kunnen hebben. Een van de richtinggevende kaders die zullen worden meegegeven bij de opdracht om een NEN-norm op te stellen zal zijn dat het mogelijk moet zijn om onjuist ingevoerde gegevens (met terugwerkende kracht) te kunnen wijzigen om te voorkomen dat dergelijke foutieve gegevens verderop in de keten gebruikt blijven worden.
Ook is in de DPIA meegenomen dat het wetsvoorstel geen verandering aanbrengt in de rechten van betrokkenen die voortvloeien uit de reeds geldende wetgeving in het zorgdomein. Zo zijn bijvoorbeeld de AVG, de WGBO en de Wabvpz onverkort van toepassing. Volledigheidshalve wordt over de verhouding tussen de AVG en de genoemde wetten opgemerkt dat de AVG voorrang heeft daar waar deze verder gaat in de bescherming van persoonsgegevens dan de Wabvpz en de WGBO.
Het wetsvoorstel laat dus onverlet dat zorgaanbieders als «verwerkingsverantwoordelijken» op grond van de AVG gebonden zijn aan de beginselen van, onder andere, rechtmatigheid, dataminimalisatie, juistheid, integriteit en vertrouwelijkheid. Uit de systematiek van het wetsvoorstel volgt evenwel dat, voor zover de beginselen uit de AVG betrekking hebben op informatietechnologieproducten en -diensten, de zorgaanbieder door de aanschaf van een gecertificeerd informatietechnologieproduct of -dienst het aannemelijk mag achten dat aan de AVG wordt voldaan. Dat dit ook daadwerkelijk aannemelijk is, wordt bewerkstelligd door dit bij de ontwikkeling van een NEN-norm als richtinggevend kader mee te geven. Hierdoor wordt bijvoorbeeld verzekerd dat de leverancier zich houdt aan de verplichting om volgens principes van privacy by design te werken.
Ook zal als richtinggevend kader worden meegegeven dat de NEN-norm moet verzekeren dat een cliënt zijn rechten onder de AVG kan effectueren. Dit leidt er toe dat bij het ontwikkelen van NEN-normen niet alleen nagegaan wordt of de normen voldoen aan de beginselen van de AVG, maar ook aandacht wordt geschonken aan de wijze waarop betrokkenen hun rechten, zoals neergelegd in de AVG kunnen uitoefenen.
Overigens heeft de zorgaanbieder los van deze NEN-normen een eigen verantwoordelijkheid om betrokkenen in staat te stellen om hun rechten uit te oefenen.
Het bovenstaande laat onverlet dan een zorgaanbieder aanvullende contractueel kan bedingen dat informatietechnologieproducten of -diensten voldoen aan de AVG eisen en dat het product of de dienst het mogelijk maakt dat de cliënt zijn rechten kan effectueren. Dit geldt ook voor eventuele andere wensen die niet direct uit de AVG voortvloeien, maar wel positieve effecten kunnen hebben op het gemak waarmee de eisen uit de AVG kunnen worden nageleefd.
Het wetsvoorstel laat dus ook onverlet dat betrokkenen hun rechten kunnen uitoefenen bij elke verwerkingsverantwoordelijke die hun persoonsgegevens verwerkt. Indien persoonsgegevens van een cliënt tussen zorgaanbieders onderling worden uitgewisseld, kan de cliënt dus bij beide zorgaanbieders – bijvoorbeeld – zijn recht op inzage uitoefenen op basis van artikel 7:456 van het BW in samenhang met artikelen 12 en 15 van de AVG. Ook kunnen cliënten bij beide zorgaanbieders een elektronische inzage en een elektronische kopie van hun dossier opvragen op basis van artikel 15d, eerste lid, van de Wabvpz in samenhang met de artikelen 12 en 15 van de AVG. De verwerkingsverantwoordelijken (zorgaanbieders), die in het kader van dit wetsvoorstel gegevens uitwisselen door middel van een elektronische infrastructuur, blijven ook verplicht om cliënten te informeren over onder meer de doeleinden van de verwerking, de rechten die cliënten in het kader van de verwerking van hun persoonsgegevens toekomen en de wijze waarop zij deze rechten kunnen uitoefenen. Dit recht op informatie van cliënten vloeit voort uit de artikel 15c, eerste lid, van de Wabvpz in samenhang met de artikelen 13 en 14 van de AVG.
De AVG brengt verder met zich dat bij elke uitwisseling in het kader van dit wetsvoorstel moet worden nagegaan welke persoonsgegevens noodzakelijk zijn om uit te wisselen gelet op de doeleinden van de uitwisseling. Als binnen het bestaande wettelijke kader geen grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens, kan deze niet plaatsvinden. Immers het wetsvoorstel biedt geen grondslag als bedoeld in artikel 6, eerste lid, van de AVG om het verwerken van persoonsgegevens mogelijk te maken. Al bij de ontwikkeling van NEN-normen, waarin de eisen aan taal en techniek zijn opgenomen, moet worden nagegaan of met de desbetreffende NEN-norm – ten minste – uitdrukking wordt gegeven aan de vereisten ingevolge de AVG, bijvoorbeeld op het gebied van de beveiliging van persoonsgegevens (opgenomen in onder meer artikel 32 van de AVG).
Bij AMvB worden gegevensuitwisselingen aangewezen. Bij elke aanwijzing zal steeds worden toegelicht op welke wijze in de praktijk zal worden voorzien hoe cliënten worden geïnformeerd over de gevolgen die het elektronisch uitwisselen van gegevens voor hen heeft. Hierbij zal aandacht worden besteed aan de manier waarop cliënten in een interoperabel systeem hun dossier in kunnen zien, hun gegevens kunnen controleren en eventuele fouten kunnen herstellen en bij wie ze daarvoor terecht kunnen.
De precieze gevolgen van dit wetsvoorstel zijn vooral verbonden aan de AMvB, waarbij gegevensuitwisselingen worden aangewezen. Bij elke (aanpassing van de) AMvB zal steeds ingegaan worden op de fraudegevoeligheid van de regelgeving. In deze paragraaf zal om die reden alleen in algemene zin worden ingegaan op fraudegevoeligheid.
De mogelijkheden tot fraude zullen niet toenemen door dit wetsvoorstel. Ook in termen van fraudemogelijkheden in de bekostiging van het stelsel van (te ontwikkelen) normen en de implementatie daarvan is niet voorzienbaar dat hier een wezenlijk andere situatie kan ontstaan dan in de huidige.
Wel moet opgemerkt worden dat, omdat dit wetsvoorstel het uitwisselen van gegevens via een elektronische infrastructuur tussen zorgverleners beoogt te stimuleren, de impact van bijvoorbeeld identiteitsfraude of fouten in zorgregistraties kan worden versterkt. Wat nu nog een geïsoleerde fout kan zijn, kan gaan doorwerken in ketens van de zorgverleners. Het is aan de zorgaanbieder en de zorgverlener als directe behandelaar om te controleren of de gegevens juist en actueel zijn, zoals dat overigens ook bij andere vormen van gegevensuitwisseling noodzakelijk is.
Op 18 juni 2020 heeft de IGJ een toezicht- en handhaafbaarheidstoets inzake het wetsvoorstel uitgebracht. De IGJ concludeert dat aanpassing, dan wel aanscherping van het wetsvoorstel op enkele onderdelen noodzakelijk is om op een goede manier te kunnen handhaven. De opmerkingen van de IGJ hebben geleid tot aanpassingen van de definitie van het begrip «informatietechnologieproduct of -dienst», artikelen 1.2 en 1.4, eerste lid, aanhef en onderdeel b, onder 1° (oud, vernummerd tot 1.4, tweede lid, onder a). Voorts is in de memorie van toelichting verduidelijkt dat het wetsvoorstel ook betrekking heeft op het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners onderling (al dan niet binnen een zorgaanbieder), binnen en tussen de zorgdomeinen (paragraaf 2.3), is de samenhang met de Wabvpz toegelicht (paragraaf 5.2) en is het onderscheid tussen de aanwijzing in spoor 1 dan wel spoor 2 verhelderd (paragrafen 3.4.1 en 3.4.2). Daarnaast is de beoogde rol van de IGJ met betrekking tot het stelseltoezicht op de certificerende instellingen en het toezicht op de zorgaanbieders in aanwijzing in spoor 1 verduidelijkt (paragraaf 7.3). Hierover wordt nog opgemerkt dat, gelet op het terughoudende karakter van het stelseltoezicht, geen reguliere controles door de IGJ plaatsvinden om na te gaan of de certificerende instellingen nog aan de eisen voor aanwijzing voldoen. Gelet op het stelsel, waarin de certificerende instellingen beoordelen of informatietechnologieproducten of -diensten voldoen aan de hieraan gestelde eisen, past bij het toezicht ook niet dat de IGJ toezicht houdt op naleving van de norm op het niveau van taal en techniek. De IGJ heeft nog verzocht om de mogelijkheid van een tijdelijke ontheffing van de certificeringsplicht in het geval een certificaat wordt ingetrokken. Hier is echter niet voor gekozen. Wanneer een certificaat is geschorst of ingetrokken voorziet het wetsvoorstel erin dat een informatietechnologieproduct- of dienst voor de duur van zes maanden kan worden gebruikt in een aangewezen gegevensuitwisseling (artikel 3.6, derde lid). Wanneer blijkt (uit onder meer de informatie die de IGJ verstrekt) dat de zesmaandentermijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (artikel 3.6, vierde lid). Aan dit besluit tot verlenging kan de Minister voorwaarden verbinden. Hiermee wordt de zorgaanbieder in de gelegenheid gesteld om over te stappen op een ander informatietechnologieproduct of -dienst. Op deze wijze is geborgd dat zo kort mogelijk gebruik wordt gemaakt van een informatietechnologieproduct of -dienst die of dat niet voldoet aan de eisen, zodat interoperabiliteit geborgd blijft.
In de uitvoering- en handhaafbaarheidstoets van de NZa wordt de noodzaak onderschreven van het wetsvoorstel en wordt het voorstel van harte ondersteund. Wel maakt de NZa enkele opmerkingen over de mogelijke stijging van de zorgkosten. Ook geeft de NZa aan op verschillende momenten in het proces bij de totstandkoming van de AMvB’s betrokken te willen worden. Daarnaast geeft de NZa aan het onwenselijk te vinden als in verschillende regelgeving voor het registreren van gegevens homoniemen, synoniemen of registratie op verschillende niveaus wordt voorgeschreven en adviseert de NZa te betrekken bij het opstellen van kwaliteitsstandaarden en NEN-normen.
Naar aanleiding van de reactie van de NZa wordt opgemerkt dat voor iedere concept-AMvB die op basis van dit wetsvoorstel wordt opgesteld, een uitvoerbaarheid- en handhaafbaarheidstoets zal worden gevraagd. Hierin wordt de NZa uitgenodigd aan te geven in hoeverre de voorgenomen regelgeving uitvoerbaar is voor de NZa. Dit sluit aan bij de reguliere procedures rond nieuwe regelgeving die de taken en bevoegdheden van de NZa raken. Bij elke AMvB wordt een financiële paragraaf opgenomen, waarin de financiële gevolgen en de bekostiging worden beschreven die voortvloeien uit de voorgenomen AMvB. Waar nodig zal daarover in overleg getreden worden met de NZa.
Het ontwikkelen van eenheid van taal en techniek is niet eenvoudig. In de te ontwikkelen AMvB’s zal worden verwezen naar kwaliteitsstandaarden of naar wet- en regelgeving en zal, bij een aanwijzing in spoor 2, waarin de aangewezen gegevensuitwisseling verplicht wordt gesteld, een specifieke norm aanwezig zijn. De verantwoordelijkheid om bij nieuwe ontwikkelingen rekening te houden met bestaande kwaliteitsstandaarden is daarmee een verantwoordelijkheid van het veld (NEN-normen) en het Zorginstituut (kwaliteitsstandaarden). Voor de NZa wordt geen aanvullende rol voorzien.
Het Zorginstituut heeft op het gebied van kwaliteit als hoofdtaken het bevorderen van de kwaliteit van zorg en het transparant maken van de kwaliteit van de geleverde zorg. Hiervoor heeft het Zorginstituut een aantal instrumenten ter beschikking, waaronder het stimuleren van de ontwikkeling van kwaliteitsstandaarden en bijbehorende meetinstrumenten. Het wetsvoorstel legt de verbinding tussen een te verplichten gegevensuitwisseling tussen zorgverleners en de kwaliteitsstandaarden in het Openbare Register. Zie in dit verband paragraaf 2.3.3.
In zijn reactie op het wetsvoorstel geeft het Zorginstituut aan de toegekende rol passend te vinden bij de wettelijke taak die het Zorginstituut al heeft. Het Zorginstituut omarmt de maatregelen om in de zorg elektronische gegevensuitwisseling te bevorderen en zal zoveel mogelijk ondersteunen bij het bereiken van dit doel. Het Zorginstituut legt in zijn reactie de nadruk op de verbondenheid van het «wat», de informatieparagraaf in de kwaliteitsstandaard en het «hoe» zoals beschreven wordt in de NEN-norm en wil een meer actievere, verbindende rol spelen. Gelet op de noodzaak van een (blijvende) goede aansluiting van de op grond van een AMvB verplichte NEN-norm(en) op kwaliteitsstandaard(en), is in het wetsvoorstel voorzien in een wijziging van de Wkkgz door artikel 11k toe te voegen. Het Zorginstituut zal daarmee de taak worden toebedeeld om bij wijzigingen in een kwaliteitsstandaard die van invloed zijn op een wettelijke gegevensuitwisseling de Minister te informeren.
Het conceptwetsvoorstel is voor advies voorgelegd aan het Adviescollege toetsing regeldruk (hierna: ATR). De ATR heeft het wetsvoorstel getoetst op nut en noodzaak (namelijk of er een taak is voor de overheid en of regelgeving het meest aangewezen instrument is), de mogelijkheid van minder belastende alternatieven, of de uitvoeringswijze werkbaar is voor de doelgroepen die de wetgeving moeten naleven, en of de gevolgen voor de regeldruk volledig en juist in beeld zijn gebracht. De ATR komt samengevat met de volgende adviezen:
– Nut en noodzaak: Het college onderschrijft nut en noodzaak van het zetten van stappen naar regie in de uitwisseling van gegevens via een elektronische infrastructuur en deze zijn toereikend beschreven.
– Werkbare uitvoeringswijze: De keuze voor een kaderwet – als instrument – is volgens het college passend. De toelichting op het wetsvoorstel geeft het college op het punt van minder belastende alternatieven geen aanleiding tot opmerkingen.
– Werkbare uitvoeringswijze: Het verdient volgens het college aanbeveling ook expliciet te kijken naar de werkbaarheid voor zorgaanbieders, zorgverleners en leveranciers en de effecten voor hun regeldruk (administratieve lasten en inhoudelijke nalevingskosten). Ook adviseert het college in de toelichting inzicht te bieden in de termijn waarbinnen de voorgestane wijze van gegevensuitwisseling in de zorg klaar moet zijn (de einddatum), een concretisering van de doelen (betere kwaliteit van de zorg, meer cliëntveiligheid en minder regeldruk) en de monitoring van voortgang en resultaten.
– Gevolgen regeldruk: Het college adviseert om de regeldrukparagraaf aan te vullen met een beschrijving van de regeldrukeffecten voor burgers (cliënten) en de opstellers van professionele en kwaliteitsstandaarden.
Het advies van het college is om het wetsvoorstel in te dienen, nadat met de adviespunten rekening is gehouden.
De adviezen van ATR hebben geleid tot de volgende aanpassingen in deze memorie van toelichting:
– In hoofdstuk 8 worden de effecten van het wetsvoorstel beschreven. Deze komen overeen met de uitgevoerde BET.
– Paragraaf 8.1.1 aangevuld met de effecten voor de opstellers van kwaliteitsstandaarden.
– In paragraaf 10.1 is toegelicht dat de werking van de wet wordt geëvalueerd.
– In paragraaf 10.2 is beschreven welke stappen gezet moeten worden voordat een AMvB in werking kan treden. Een volwassenheidsscan moet inzicht bieden welke overgangs- en implementatietermijnen in de AMvB opgenomen kunnen gaan worden.
– Omdat pas bij het aanwijzen van een gegevensuitwisseling bij AMvB inzichtelijk wordt wat de gevolgen zijn voor de regeldruk, zal bij de totstandkoming van de AMvB in dit kader aan de ATR worden gevraagd de regeldruk per gegevensuitwisseling te toetsen.
De Vereniging Nederlandse Gemeenten (hierna: VNG) acht de uitvoeringseffecten voor gemeenten in eerste aanleg niet groot. Daarom voorziet zij geen belemmeringen voor de uitvoering. Omdat de effectuering later verder zal worden geconcretiseerd in de vorm van één of meerdere AMvB’s wil de VNG graag betrokken blijven bij de verdere ontwikkelingen en de implementatie, en bieden daarbij ondersteuning aan.
Een aantal aandachtspunten die worden genoemd:
– Deze kaderwet lijkt te zijn gedomineerd door de Curatieve Zorg, maar tegelijkertijd heeft deze ook gevolgen voor gemeenten. Gemeenten in de rol van zorgaanbieder (bijvoorbeeld in de jeugdgezondheidszorg) en in relatie tot andere wetgeving, zoals de Wvggz. Ook aanbestedingen van gemeenten zullen hierdoor beïnvloed worden. Via gemeenten en zorginstellingen zal de wet ook grote invloed hebben op burgers. De VNG vraagt meer aandacht voor het «burgerperspectief.» De VNG werkt ook graag mee aan de uitvoering van een MKBA.
– Dit aandachtspunt is deels verwerkt door in de extra ingevoegde paragraaf 8.1.2 de lasten voor cliënten te beschrijven. Per aangewezen gegevensuitwisseling zal het burgerperspectief (impact op de burger en de gemeente) worden meegenomen en zal de VNG gevraagd worden een uitvoeringstoets te doen.
– Uitwisseling buiten de zorgdomeinen: gemeenten hebben directe bemoeienis met de Wet maatschappelijke ondersteuning en de Jeugdwet, maar ook met de Wet Langdurige Zorg en maatschappelijke ondersteuning, pleegzorg en mantelzorg. De VNG wil graag nu al een integrale benadering en denkt daar graag over mee als belangrijke partner.
– Voor het wetsvoorstel is de bewuste keuze gemaakt om te starten met uitwisseling binnen- en tussen de zorgdomeinen om het beheersbaar te houden. Dat zal niet wijzigen. Het is echter van belang om al op korte termijn de afstemming te gaan zoeken met de VNG als het gaat om een integrale benadering, aangezien het uitdrukkelijk de bedoeling is dat het wetsvoorstel in een later stadium verder zal worden uitgebouwd.
– De VNG is het ermee eens dat het wetsvoorstel niet ziet op uitwisseling met cliënten. Maar wil wel graag meer aandacht in de memorie van toelichting als het gaat om de mogelijkheden en rechten die de burger heeft om zijn dan wel haar medisch dossier in te zien en hoe dit (beter) gefaciliteerd kan worden. Dit is verder verduidelijkt in hoofdstuk 5 en paragraaf 8.3. De rechten van betrokkenen die voortvloeien uit de AVG, WGBO en de Wabvpz zijn onverminderd van toepassing. Echter, een analyse over hoe dit in de praktijk beter gefaciliteerd kan worden, valt niet binnen het bereik van dit wetsvoorstel.
– Verder vraagt de VNG nadrukkelijk aandacht voor privacy en beveiliging en voor de proportionaliteit en doelbinding bij de verwerking van bijzondere persoonsgegevens, zoals levensovertuiging in het kader van gegevens over «cliëntcontext». In paragraaf 8.3 van de memorie van toelichting is aandacht besteed aan de effecten op de gegevensbescherming. Hierbij is onder meer geconstateerd dat de AVG onverkort van toepassing is
– Als het gaat om het betreden van een woning zonder toestemming van de bewoner wil de VNG graag in gesprek over deze vergaande bevoegdheid. Onder andere wil men weten op welke «woningen» de bevoegdheden betrekking hebben. In reactie hierop wordt opgemerkt dat in artikel 4.1, tweede lid, van het wetsvoorstel nadrukkelijk is bepaald dat het betreden van woningen alleen mogelijk is voor zover deze deel uitmaken van een bouwkundige voorziening voor het verlenen van zorg.
De AP heeft bij brief van 30 juli 2020 haar advies gegeven over het wetsvoorstel. De AP heeft bezwaar tegen het concept en adviseert de procedure niet voort te zetten, tenzij het bezwaar is weggenomen.
Hierna wordt op hoofdlijnen ingegaan op het advies van de AP. De toelichting is naar aanleiding van het advies van de AP op meerdere punten aangepast en nader gemotiveerd. Voor zover het advies van de AP niet is overgenomen, is dit nader toegelicht.
1. De voorgestelde wettekst laat te veel ruimte voor twijfel over de vraag of het alleen verplicht tot uitwisselen door middel van een elektronische infrastructuur of (ook) tot het uitwisselen als zodanig. De AP adviseert de wettekst zo aan te passen dat de intentie van het wetsvoorstel volstrekt helder wordt.
In reactie hierop is in paragraaf 2.2.1 van deze memorie expliciet gemaakt dat het wetsvoorstel niet verplicht tot het uitwisselen van gegevens maar als er gegevens worden uitgewisseld, dit door middel van een elektronische infrastructuur dient plaats te vinden.
2. Ervan uitgaand dat het wetsvoorstel uitsluitend verplicht tot het uitwisselen door middel van een elektronische infrastructuur, is er een risico dat de zorgverlener in een feitelijke dwangpositie komt die zijn beroepsgeheim kan aantasten. De AP adviseert dit risico te adresseren in de memorie van toelichting en daarbij zo nodig aan te geven welke maatregelen worden voorzien om dit te voorkomen.
Het door de AP gesignaleerde risico wordt niet herkend. Welke gegevens nodig zijn als onderdeel van de goede zorg wordt bepaald door de zorgprofessionals en zullen zijn neergelegd in kwaliteitsstandaarden of in wet- en regelgeving. Op grond van de Wkkgz handelen zorgverleners overeenkomstig deze kwaliteitsstandaarden. Dat laat onverlet dat in het concrete geval de zorgverlener altijd nog zelf een afweging dient te maken welke gegevens noodzakelijk zijn in het kader van de behandeling. De zorgverlener maakt in een concreet geval zelf de afweging of en welke gegevens moeten worden uitgewisseld voor het leveren van goede zorg in die specifieke situatie en passend bij de behoeften van de individuele cliënt. Het voorgaande brengt met zich dat een zorgverlener in het concrete geval altijd nog zelf een afweging dient te maken of een doorbreking van het medisch beroepsgeheim aangewezen is en zelf het laatste woord heeft welke gegevens worden uitgewisseld. Het voorgaande is toegelicht in paragraaf 2.3.3.
3. De wettelijke beveiligingsnormen in de zorg zijn straks niet meer eenduidig terug te vinden in het Besluit elektronische gegevensverwerking in de zorg (hierna: Begiz) maar ook in de diverse op het wetsvoorstel gebaseerde AMvB’s. Uit oogpunt van kenbaarheid, samenhang en eenduidigheid adviseert de AP alle beveiligingseisen te concentreren in één wettelijke regeling.
Met de AP is de Minister van mening dat eenduidigheid van wettelijke beveiligingsnormen belangrijk is. Concentratie van beveiligingseisen in één wettelijke regeling achten we echter niet noodzakelijk. Immers, het beveiligingsregime in de zorg is reeds genormaliseerd (NEN 7510, NEN 7512 en NEN 7513). Deze normen sluiten aan bij de algemene eisen van de AVG. De Begiz verwijst ook naar deze normen. Door in de nog op te stellen NEN-normen in spoor 2 geen aparte beveiligingseisen op te nemen maar te verwijzen naar bestaande en binnen de zorg toegepaste beveiligingsnormen, wordt een (potentiële) wildgroei van beveiligingsnormen voorkomen.
4. De AP adviseert de delegatie van regelgevende bevoegdheid in artikel 1.3 concreter en nauwkeuriger te begrenzen. De begrenzing tot het doel als omschreven in artikel 1.2, eerste lid: «goede zorg als bedoeld in artikel 2, tweede lid, van de Wet kwaliteit, klachten en geschillen zorg» acht de AP onvoldoende concreet en nauwkeurig.
Dit advies is om de volgende redenen niet opgevolgd. In de eerste plaats omdat het wetsvoorstel geen nieuwe grondslagen creëert voor de verwerking van persoonsgegevens. In de tweede plaats omdat wat onder goede zorg moet worden verstaan is omschreven in artikel 2 Wkkgz. Voor zover dit geen concrete en nauwkeurige begrenzing biedt, vindt deze plaats in de kwaliteitsstandaarden die door het veld worden opgesteld. In deze standaarden wordt immers vastgelegd welke (bijzondere) persoonsgegevens in het kader van goede zorg nodig zijn.
Op 14 januari 2021 heeft de Raad voor Rechtsbijstand (RvR) een advies uitgebracht op het wetsvoorstel. Aangezien een groot gedeelte van de zorgaanbieders is uitgesloten van gesubsidieerde rechtsbijstand, verwacht de RvR dat slechts een zeer gering aantal zorgaanbieders in aanmerking zal kunnen komen voor gesubsidieerde rechtsbijstand. Verder verwacht de RvR gezien de memorie van toelichting waarin al is aangegeven dat het niet om grote aantallen zaken gaat, dan ook dat het effect van het wetsvoorstel op de gesubsidieerde rechtsbijstand gering zal zijn.
De RvR heeft eveneens een taak om te voorzien in het organiseren van rechtsbijstand in piketzaken. In het kader van de piketmeldingen worden medische gegevens uitgewisseld. Aangezien het wetsvoorstel ziet op het op elektronische wijze uitwisselen van gegevens tussen zorgverleners en niet op de elektronische gegevens uitwisseling buiten de zorgdomeinen, gaat de RvR ervan uit dat het wetsvoorstel geen gevolgen heeft voor deze gegevensuitwisseling. Als de ontvanger van de medische gegevens in piketzaken inderdaad geen zorgverlener is, is deze aanname juist.
Het advies van de RvR heeft verder niet geleid tot aanpassing van het wetsvoorstel of memorie van toelichting.
Op 20 januari 2021 heeft de Raad voor de rechtspraak (Rvdr) een advies uitgebracht op het wetsvoorstel. Dit wetsvoorstel leidt volgens de Rvdr tot diverse beroepen tegen besluiten van onder andere de certificerende instellingen en de Minister. Daarnaast kan beroep worden ingesteld tegen een handhavingsbesluit, de Rvdr verwacht dat het in de praktijk tot weinig beroepszaken zal komen.
Verder sluit de Rvdr zich aan bij de conclusie uit de memorie van toelichting waarin is opgenomen dat exacte gevolgen pas zijn te bepalen wanneer een gegevensuitwisseling (met eisen) wordt aangewezen bij AMvB, omdat dan beter is in te schatten hoeveel certificaten, aanwijzingen of accreditaties verleend zullen worden en beter is in te schatten hoeveel handhavingsbesluiten verwacht worden. In dat kader gaat de Rvdr ervan uit dat de concept AMvB te zijner tijd ter advisering aan hem wordt voorgelegd. Inderdaad zal elke AMvB waarin een gegevensuitwisseling wordt aangewezen voorgelegd worden aan de Rvdr.
Ook merkt de Rvdr op dat in artikel 4.1, derde lid (nu tweede lid), van het wetsvoorstel een, ten opzichte van titel 5.2 van de Awb aanvullende bevoegdheid is opgenomen voor het binnentreden van een woning zonder toestemming van de bewoner. Omdat binnentreden van een woning zonder toestemming een ingrijpende bevoegdheid is die inbreuk maakt op grondrechten, adviseert de Rvdr in het wetsvoorstel kaders te stellen voor de inzet van deze bevoegdheid. De Rvdr wijst in dit kader nog op artikel 12 van de Grondwet en de Algemene wet op het binnentreden. Het stellen van nadere kaders over de bevoegdheid tot het binnentreden van een woning kan volgens de Rvdr gevolgen hebben voor de werklast van de rechtspraak. De Rvdr gaat ervan uit dat hierover duidelijkheid bestaat ten tijde van het adviestraject inzake de AMvB zodat de Raad die gevolgen zo nodig in zijn advies over de AMvB kan opnemen.
Verder stelt de Rvdr zich op het standpunt dat artikel 4.1, vijfde lid (nu vierde lid), van het wetsvoorstel voor toezichthouders/handhavers een zeer ruime uitzondering is op het verschoningsrecht dat in artikel 5:20, tweede lid, van de Awb is neergelegd. De Rvdr merkt op dat de bevoegdheid om de gegevens, met terzijdestelling van het beroepsgeheim, te verkrijgen niet nader is geclausuleerd (met uitzondering van dat dit noodzakelijk moet zijn voor het toezicht op de naleving van het bepaalde bij of krachtens deze wet). Gelet op het gewicht van het beroepsgeheim acht de Rvdr deze ingrijpende bevoegdheid onvoldoende specifiek ingekaderd waardoor te weinig waarborgen voor een terughoudende toepassing daarvan zijn gegeven. Verder stelt de Rvdr dat uit het wetsvoorstel niet blijkt in hoeverre rechtsbescherming openstaat tegen de verplichting om het beroepsgeheim te doorbreken. Gelet op de zeer ruime formulering van de bevoegdheid is de Rvdr van mening dat rechterlijke toetsing wenselijk is. Gelet op het gewicht van het beroepsgeheim adviseert de Raad nadrukkelijk het wetsvoorstel op dit punt aan te passen.
Ten aanzien van de opmerkingen van de Rvdr over artikel 4.1 wordt opgemerkt dat het wetsvoorstel overeenkomstig de toezichts- en handhavingsbepalingen van de Wkkgz is49. Dit omdat het wetsvoorstel randvoorwaardelijk is voor het verlenen van goede zorg, zoals dit is neergelegd in de Wkkgz. Bij de houden van toezicht en het handhaven waar nodig door de IGJ, zal steeds gekeken worden of door de zorgaanbieder goede zorg wordt verleend. Een onderdeel daarvan is of aan de randvoorwaarden wordt voldaan om goede zorg te verlenen, zoals bijvoorbeeld de aanwezigheid van voldoende deskundig personeel, middelen, en met de komst van onderhavig wetsvoorstel ook of gegevens worden uitgewisseld op de juiste wijze. Er is vanwege de verwevenheid van de Wkkgz en dit wetsvoorstel gekozen voor een overeenkomstig toezichts- en handhavingsregime. Een afwijkend regime zou voor onduidelijkheid zorgen.
Daarbij komt dat de formulering in artikel 4.1 van dit wetsvoorstel een standaardformulering betreft die niet alleen in de Wkkgz, maar ook in andere VWS wetgeving wordt gebezigd. Er zijn geen aanwijzingen dat deze bepalingen op de door de Rvdr genoemde punten tot problemen leiden.
Er is daarom gekozen de suggesties van de Rvdr niet te volgen.
Met betrekking tot binnentreden zijn artikel 12 van de Grondwet en de Algemene wet op het binnentreden uiteraard onverkort van toepassing. Er is dan ook een schriftelijke machtiging vooraf nodig voor het binnentreden van het deel van de bouwkundige eenheid waarin de huisartsenpraktijk is gevestigd. Volledigheidshalve is dit verduidelijkt in paragraaf 7.1 van deze memorie.
Van 10 maart 2020 tot en met 10 juni 2020 heeft het wetsvoorstel ter consultatie voorgelegen op internetconsultatie.nl. De oorspronkelijk termijn is tussentijds verlengd vanwege COVID-19 om op die manier zorgpartijen in de gelegenheid te stellen te reageren op het conceptwetsvoorstel. Hierop zijn 66 openbare en 26 niet-openbare reacties ontvangen. De reacties op de internetconsultatie zijn afkomstig van zorgverleners, patiëntenorganisaties, leveranciers van ICT-producten, adviesbureaus en particulieren. Het wetsvoorstel is in zijn algemeenheid positief ontvangen. Nut en noodzaak van het wetsvoorstel is door de meeste respondenten onderschreven. Wel waren er nog opmerkingen en adviezen ter verbetering en verduidelijking van het wetsvoorstel en de memorie van toelichting. Hieronder worden de ontvangen opmerkingen en adviezen per thema en op hoofdlijnen besproken en van een reactie voorzien.
Particulieren maken zich met name zorgen over de veiligheid van de gegevensuitwisseling vanuit het gegevensbeschermingsperspectief. In reactie hierop wordt benadrukt dat de verplichtingen die voortvloeien uit de AVG onverkort van toepassing zijn en wordt voorzien in waarborgen om een toereikend beschermingsniveau te bieden. In paragraaf 8.3 is dit verder verduidelijkt.
Veel reacties hadden betrekking op (onduidelijkheid over) de reikwijdte van het wetsvoorstel. Volgens sommige respondenten zouden gegevensuitwisselingen tussen cliënt en zorgverlener, tussen zorgdomeinen en binnen de Wmo-ondersteuning binnen de reikwijdte van het wetsvoorstel moeten vallen. Andere respondenten brachten naar voren dat het wetsvoorstel ook het hergebruik van gegevens ten behoeve van medisch onderzoek zou moeten regelen. Dit is aanleiding geweest om in de memorie van toelichting de reikwijdte van het wetsvoorstel te verduidelijken (paragraaf 2.3).
Ook bestond bij veel respondenten onduidelijkheid over de verhouding van het wetsvoorstel tot het toestemmingsvereiste in artikel 15a van de Wabvpz en het medisch beroepsgeheim. Dit is verhelderd in paragraaf 5.2.
Bij veel respondenten bestond onduidelijkheid over de totstandkoming van de roadmap, de verhouding van spoor1 tot spoor2 en het NEN-proces. Dit is aanleiding geweest deze onderwerpen in paragrafen 3.2 en 3.5 nader toe te lichten. Ook werd aangegeven dat de gebruikte terminologie niet helder was. Daarom is de benaming van de roadmap gewijzigd in Meerjarenagenda Wegiz, dit doet meer recht aan het meerjarige karakter van het traject.
Een aantal respondenten hebben hun zorg geuit dat normalisatie innovatie belemmert. In paragraaf 8.2 is toegelicht hoe eventuele effecten op innovatie worden gemitigeerd en welke positieve effecten worden verwacht.
Ook bestaat bij een aantal respondenten de vrees dat certificering, gelet op de kosten ervan, negatieve gevolgen zal hebben voor de marktwerking. In paragraaf 8.2 zijn de positieve effecten van het wetsvoorstel op de marktwerking toegelicht.
In de internetconsultatie is ook gewezen op het ontbreken van een evaluatiebepaling. In reactie hierop is in het wetsvoorstel een evaluatiebepaling toegevoegd. Kortheidshalve wordt verwezen naar paragraaf 10.1.
Met dit wetsvoorstel wordt een substantiële beleidswijziging beoogd. Om die reden zal de verwerkelijking van de doelstellingen van dit wetsvoorstel en de effecten daarvan binnen vijf jaar na inwerkingtreding van de wet worden geëvalueerd en zal verslag worden gedaan aan de Staten-Generaal. Om inzicht te verkrijgen in de doelmatigheid en doeltreffendheid van het voorziene stelsel zal geëvalueerd worden hoe de werking van het wettelijk stelsel en de daarbinnen voorgestane wijze van prioritering heeft plaatsgevonden, de wijze waarop gegevensuitwisselingen worden geselecteerd om uiteindelijk bij AMvB aangewezen te worden in spoor 1 of spoor 2 en de implementatie en uitvoering van de AMvB. Daarnaast zal de keuze om te komen tot interoperabiliteit via normalisatie in een spoor 2-aanwijzing worden geëvalueerd, waarbij onder meer bezien wordt of die keuze voldoende recht doet aan de gevraagde regierol van de Minister. Eveneens wordt in het kader van het evaluatieonderzoek in beeld gebracht of de verwachte effecten van individuele AMvB’s, zoals voorzien in onder meer de uitgevoerde MKBA’s, daadwerkelijk zijn opgetreden. Bovendien zal de werking van het toezicht op en de handhaving van het wettelijk stelsel worden geëvalueerd. Mocht deze evaluatie aantonen dat de gekozen aanpak in de praktijk onvoldoende effect sorteert, dan zal een nadere afweging plaatsvinden over de te nemen maatregelen.
In dit wetsvoorstel wordt geen overgangsrecht opgenomen. Daarbij wordt in aanmerking genomen dat de beoogde verplichting pas effect heeft als bij AMvB ten minste één aangewezen gegevensuitwisseling onder het stelsel wordt gebracht.
Om betrokken partijen voldoende tijd te geven om zich voor te bereiden op en te voldoen aan de bij AMvB gestelde eisen, zal tussen de publicatie van de AMvB en inwerkingtreding van die AMvB een dan nader te bepalen termijn in acht worden genomen.
Bij de afweging van een redelijke overgangstermijn zullen verschillende aspecten in aanmerking worden genomen, zoals de duur en voorwaarden van afgesloten contracten tussen zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten, de beschikbaarheid van certificatieschema’s en de hoeveelheid certificerende instellingen met noodzakelijke kennis en de tijd die nodig is voor het accrediteren door de RvA van certificerende instellingen. Daarbij dient in ieder geval in aanmerking te worden genomen dat het accreditatieproces naar verwachting ongeveer 18 maanden in beslag zal nemen. De optelsom van deze factoren zal uiteindelijk de duur van de overgangsperiode bepalen.
Het wetsvoorstel kan ertoe leiden dat overeenkomsten tussen zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten (moeten) worden beëindigd, omdat het product of de dienst niet (meer) voldoet aan de eisen die bij AMvB worden gesteld, waaronder de eis dat het product of de dienst voorzien moet zijn van een certificaat. De verwachting is dat de voorzienbare groep van zorgaanbieders en aanbieders van informatietechnologieproducten of -diensten die in een geschilsituatie (bijvoorbeeld over eventuele aansprakelijkheidskwesties of boetes vanwege contractbreuk) zullen komen dermate klein zal zijn, dat dit geen wettelijke (overgangsrechtelijke) regeling vergt:
– In de eerste plaats wordt, zoals hierboven aangegeven, gewerkt met gefaseerde invoering, waardoor bestaande overeenkomsten binnen de invoeringstermijn zullen eindigen.
– In de tweede plaats zijn er geen problemen te verwachten rondom de overdracht van gegevens naar een nieuw informatietechnologieproduct of -dienst. Op de grond van de AVG is het verboden om zonder grondslag persoonsgegevens te verwerken. Wanneer een overeenkomst tussen een zorgaanbieder en aanbieder van een informatietechnologieproduct of -dienst beëindigd wordt, zal de aanbieder van het product of dienst geen grondslag hebben om persoonsgegevens te verwerken. De aanbieder moet de persoonsgegevens dan verwijderen. Hierover moeten op grond van artikel 28 AVG nadere afspraken zijn vastgelegd in een verwerkingsovereenkomst en -in het geval van gezamenlijke verwerkingsverantwoordelijkheid – in een overeenkomst als bedoeld in artikel 26 AVG. Daarbij geldt dat uit de NEN 7510, die op grond van verschillende wet- en regelgeving verplicht is50, volgt dat de overeenkomsten tussen zorgaanbieders en aanbieders van bepaalde informatietechnologieproducten of -diensten moeten voldoen aan wet- en regelgeving. Dit is een extra waarborg dat een verwerkersovereenkomst wordt gesloten.
– In de derde plaats is het bestaande praktijk in het zorgveld dat voor software die de primaire processen faciliteert (zoals ziekenhuisinformatiesystemen en huisartseninformatiesystemen) onderhoudscontracten worden afgesloten waarbij aanbieders van informatietechnologieproducten of -diensten (op basis van vergoedingen) zich verplicht hebben om de software onder meer in lijn te houden met de geldende wet- en regelgeving. Een bij AMvB aangewezen norm waarin een standaard wordt voorgeschreven om gegevens uit te wisselen, zal veelal binnen de reikwijdte van dergelijke zogenaamde adaptieve onderhoudsverplichtingen vallen.
In dit wetsvoorstel worden kwaliteitsstandaarden – of een wettelijke basis die bepaalt welke gegevens moeten worden uitgewisseld – de concrete bron waarnaar vanuit een AMvB wordt verwezen. Deze koppeling is onlosmakelijk: géén kwaliteitsstandaard of wettelijke basis, géén AMvB. Deze koppeling geldt zowel voor een spoor 1 als een spoor 2 aanwijzing.
Het uitgangspunt is dat het veld – waar nodig – zorgdraagt dat kwaliteitsstandaarden (of informatieparagrafen in bestaande of nieuwe kwaliteitsstandaarden) worden opgesteld. In de kwaliteitsstandaarden dient te worden vastgelegd welke gegevens worden uitgewisseld in een bepaald zorgproces of over de hele breedte van de zorg. Bestaande kwaliteitsstandaarden bevatten geen basisgegevens, terwijl deze nodig zijn voor de continuïteit in het zorgproces. Bovendien draagt het benoemen van noodzakelijke basisgegevens in een bepaald zorgproces tot een vermindering van administratieve lasten.
Zoals aangegeven in paragraaf 2.3.1 zijn er momenteel dertien concept gegevensuitwisselingen in beeld. Daarvan worden momenteel vier nader uitgewerkt, te weten Digitaal receptenverkeer, Ziekenhuizen BgZ, Verpleegkundige overdracht en Beeld-Ziekenhuizen. Bij deze vier concept gegevensuitwisselingen zijn er nog geen (passende) kwaliteitsstandaarden of is de kwaliteitsstandaard niet specifiek genoeg als basis voor een wettelijke verplichting op grond van de dit wetsvoorstel. Naar verwachting geldt dit ook voor de overige (negen) concept gegevensuitwisselingen.
Voor deze dertien concept gegevensuitwisselingen gaat een overgangsperiode van vijf jaar gelden waarin wat wordt uitgewisseld nog niet neergelegd hoeft te zijn in een kwaliteitsstandaard of in wetgeving. Gedurende deze periode kunnen de gegevensuitwisselingen wel aangewezen worden bij AMvB, maar zullen parallel de benodigde kwaliteitsstandaarden opgesteld respectievelijk aangepast moeten worden of eventueel in wet- of regelgeving moeten worden vastgelegd. Om te komen tot een interoperabele elektronische gegevensuitwisseling in de zorg en een goede werking van het wetsvoorstel is het immers noodzakelijk dat er heldere afspraken komen over welke gegevens moeten worden uitgewisseld, die worden vastgelegd in een kwaliteitsstandaard of in wetgeving. De vraag of een kwaliteitsstandaard of wet- en regelgeving noodzakelijk is voor het vastleggen van de afspraken zal mede beantwoord worden aan de hand van de vraag of een kwaliteitsstandaard niet alleen gegevens bevat voor het verlenen van goede zorg, maar ook de gegevens die met het oog op het verlenen van die zorg worden uitgewisseld, de zogenaamde basisgegevens van een cliënt.
Voor de vier gegevensuitwisselingen die momenteel uitgewerkt worden geldt dat er al afspraken zijn waarbij bepaald is welke gegevens worden uitgewisseld. Voor Digitaal Receptenverkeer is dit de informatiestandaard Medicatieproces 9.0 waarin staat welke gegevens door welke zorgverlener op welk moment worden uitgewisseld. Voor Beeld-Ziekenhuizen geldt dat gegevens in de meeste gevallen al elektronisch uitgewisseld wordt, maar dat er nog geen heldere afspraken zijn gemaakt in welke gevallen beelden tussen ziekenhuizen en andere medisch-specialistische instellingen worden uitgewisseld. Voor Ziekenhuizen Bgz is ook een informatiestandaard ontwikkeld die bepaalt welke gegevens ten minste van een patiënt beschikbaar moeten zijn. In de informatiestandaard is afgesproken dat bij het overdragen van een patiënt deze «patiëntsamenvatting» mee overgedragen wordt. Voor Verpleegkundige overdracht wordt momenteel een kwaliteitsstandaard ontwikkeld die mogelijk voldoende bepaalt welke gegevens bij de verpleegkundige overdracht mee overgedragen moeten worden.
Om de komende jaren alvast stappen te kunnen zetten in de vier hiervoor genoemde gegevensuitwisselingen (en eventueel in de overige negen wanneer blijkt dat die vanuit de praktijk als zeer wenselijk wordt gezien), is het voornemen om het tweede lid van het voorgestelde artikel 1.4 pas vijf jaar na inwerkingtreding van het eerste lid van artikel 1.4 in werking te laten treden. Op grond van artikel 1.4, eerste lid, van het wetsvoorstel kunnen de vier genoemde gegevensuitwisselingen worden aangewezen waarbij in plaats van verwijzen naar een kwaliteitsstandaard of wettelijke grondslag, de gemaakte afspraken benoemd zullen worden in de AMvB. Waarbij dit wetsvoorstel niet bepaalt dát die gegevens moeten worden uitgewisseld, maar alleen regelt dat als er wordt uitgewisseld, dit gebeurt overeenkomstig een elektronische infrastructuur (spoor 1) of volgens een voor die gegevensuitwisseling geldende norm (spoor 2).
Voor artikel 7.3 geldt dat dit artikel gelijktijdig in werking moet treden met het aanwijzen van de gegevensuitwisseling jeugdgezondheidzorg onder dit wetsvoorstel. Wanneer dit naar verwachting het geval zal zijn, zal onderdeel vormen van de Meerjarenagenda Wegiz. Zolang deze aanwijzing niet geschiedt, geldt de huidige wetgeving onverkort.
Met uitzondering van de hierboven beschreven situatie ten aanzien van de artikelen 1.4, tweede lid, en 7.3 kunnen de artikelen in dit wetsvoorstel in werking treden met ingang van een bij koninklijk besluit (KB) te bepalen tijdstip, waarbij aangesloten zal worden bij het beleid van het kabinet inzake vaste verandermomenten van regelgeving. De inwerkingtreding van het wetsvoorstel heeft in eerste instantie tot gevolg dat de Minister over kan gaan tot het formeel vaststellen van de Meerjarenagenda Wegiz en het aanwijzen van certificerende instellingen, die als taak hebben op aanvraag informatietechnologieproducten of -diensten van een certificaat te voorzien. De inwerkingtreding van een gegevensuitwisseling in spoor 2 kan namelijk pas plaatsvinden als er gecertificeerde informatietechnologieproducten of -diensten zijn en zorgaanbieders voldoende tijd hebben gekregen om deze informatietechnologieproducten of -diensten te implementeren. Materieel heeft voor het overige het wetsvoorstel pas daadwerkelijk betekenis als een gegevensuitwisseling bij AMvB wordt aangewezen in spoor 1 of spoor 2.
Artikel 1.1 (begripsbepalingen)
Aangewezen gegevensuitwisseling
In de begripsbepalingen is een verkorte aanduiding opgenomen voor wat onder een aangewezen gegevensuitwisseling wordt verstaan. Voor een inhoudelijk toelichting wordt verwezen naar de toelichting op artikel 1.4.
Benaderen
Zie voor een uitleg wat onder benaderen in dit wetsvoorstel wordt verstaan paragraaf 2.3.2 van het algemeen deel van de memorie van toelichting.
Certificaat
Op grond van dit wetsvoorstel wordt aan bepaalde informatietechnologieproducten of -diensten die bij aangewezen gegevensuitwisselingen worden gebruikt de eis gesteld voorzien te zijn van een certificaat. In de begripsbepalingen is voor «certificaat» een verkorte aanduiding opgenomen. In artikel 3.1 is uitgewerkt wat dit certificaat betreft (zie toelichting bij dat artikel).
Certificerende instelling
Een certificerende instelling is een instelling die krachtens artikel 3.2 beschikt over een aanwijzing van de Minister om certificaten te verstrekken aan informatietechnologieproducten of -diensten die voldoen aan de voor die aangewezen gegevensuitwisseling vastgestelde norm.
Cliënt, Zorg, Zorgaanbieder, Zorgverlener
Zoals aangegeven in het algemeen deel van deze memorie (zie hoofdstuk 1) wordt met dit wetsvoorstel voorgesteld randvoorwaarden te stellen voor goede zorg door het elektronische uitwisselen van gegevens, al dan niet op genormaliseerde wijze, te bevorderen. De gehanteerde terminologie en begrippenkader uit de Wkkgz worden voor zover nodig overgenomen in dit wetsvoorstel.
Informatietechnologieproducten of -diensten
Dit wetsvoorstel bepaalt dat de informatietechnologieproducten en -diensten waarvan zorgaanbieders gebruik maken in een aangewezen gegevensuitwisseling waarbij gegevens op genormaliseerde wijze worden uitgewisseld, aan bepaalde eisen voldoen. Daarnaast bepaalt dit wetsvoorstel dat deze informatietechnologieproducten en -diensten voorzien moeten zijn van een certificaat. Het is van belang dat duidelijk is waarop de eisen en de verplichting zien. De aanbieder van het informatietechnologieproduct of – dienst moet weten wanneer en waarvoor een certificaat moet worden aangevraagd.
Welk informatietechnologieproduct of welke -dienst moet voldoen aan de eisen en voorzien zijn van een certificaat in welke aangewezen gegevensuitwisseling is echter niet in algemene zin te zeggen. Op basis van de in de norm te ontwikkelen eisen die gelden voor een aangewezen gegevensuitwisseling zal steeds in de AMvB naar (delen van) de norm worden verwezen waaraan een informatietechnologieproduct of -dienst moet voldoen en of daarvoor een certificaat nodig is om dat aan tonen.
De eisen en de certificeringsverplichting kunnen over verschillende onderdelen van de informatietechnologie gaan. Het kan gaan over de software en hardware die bij de aangewezen gegevensuitwisseling gebruikt wordt om de gegevens uit te wisselen, maar ook over bepaalde diensten die worden geleverd. Het kan gaan om een combinatie van software of hardware, maar dat hoeft niet. Het gaat hierbij onder meer om de koppelvlakken waarvoor specificaties gaan gelden, en waarop de software, hardware of diensten zien.
Norm
In de begripsbepalingen is een verkorte aanduiding opgenomen voor wat onder norm wordt verstaan. Het kan daarbij gaan om een door de Stichting Nederlands Normalisatie-instituut uitgegeven norm (NEN-norm), zoals omschreven onder 1°, en om Europese of internationale normen (NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO), zoals omschreven onder 2° tot en met 6°. Voor een inhoudelijk toelichting wordt verwezen naar de toelichting op artikel 1.4.
Uitwisselen
Zoals aangegeven in paragraaf 2.3.2 van het algemeen deel van de memorie van toelichting wordt onder uitwisselen van gegevens niet alleen verstaan het delen van gegeven van de ene zorgverlener met de andere zorgverlener, maar kan het ook gaan om het benaderen van gegevens die ergens anders zijn vastgelegd. Maar in beide gevallen geldt steeds dat de uitwisseling van gegevens aan de bij of krachtens dit wetsvoorstel opgenomen eisen zal moeten voldoen. Het delen én benaderen van gegevens zal steeds ten minste via een elektronische infrastructuur dienen plaats te vinden (zie hierna de artikelsgewijze toelichting bij artikel 2.1).
Artikel 1.2 (doel)
Goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit van zorg. Artikel 3 Wkkgz geeft de zorgaanbieder, of deze nu zorg verleent op individuele basis of in instellingsverband, opdracht de zorgverlening zodanig in te richten dat goede zorg redelijkerwijs het resultaat is. Met dit wetsvoorstel wordt hieraan nadere invulling gegeven door duidelijk te maken dat de zorgaanbieder de organisatie zodanig moet inrichten dat de gegevens in een aangewezen gegevensuitwisseling ten minste door middel van een elektronische infrastructuur kunnen worden uitgewisseld en eventueel op genormaliseerde wijze. Als de zorgaanbieder dit nalaat dan is dit een overtreding van artikel 3 Wkkgz in verbinding met artikel 2.1 van dit wetsvoorstel. Met elektronische gegevensuitwisseling kan veel winst bereikt worden om de goede zorg te verbeteren. Uitwisselen van gegevens door middel van een elektronische infrastructuur – al dan niet op genormaliseerde wijze – is dus geen doel op zich, maar randvoorwaardelijk voor het verlenen van goede zorg. Zie ook paragraaf 2.2 van het algemeen deel van deze memorie. Ook het verminderen van tijd die zorgverleners kwijt zijn aan het administreren van het zorgproces draagt eraan bij dat meer tijd besteed kan worden aan het daadwerkelijk verlenen van goede zorg. Een gegevensuitwisseling kan daarom ook worden aangewezen als daarmee primair bereikt wordt dat de administratieve lasten worden verlaagd.
Artikel 1.3 (Meerjarenagenda Wegiz)
Op grond van het hierna toe te lichten artikel 1.4 is het mogelijk om bij AMvB gegevensuitwisselingen aan te wijzen. De Minister inventariseert voorafgaand hieraan welke gegevensuitwisselingen eventueel voor aanwijzing in aanmerking komen. Deze lijst met geprioriteerde gegevensuitwisselingen wordt met de Tweede Kamer gedeeld. Voor een toelichting op het tweede lid wordt verwezen naar paragraaf 3.2 van het algemeen deel van de memorie van toelichting.
Artikel 1.4 (aanwijzen van gegevensuitwisselingen en gegevens, en stellen van eisen daaraan)
Dit artikel bevat de delegatiegrondslag voor het aanwijzen van gegevensuitwisselingen, het noemen en aanwijzen van gegevens, het stellen van eisen om het in artikel 1.2 opgenomen doel te bereiken en voor het eventueel uitzonderen van militaire gezondheidszorg van de wettelijke verplichtingen.
Eerste lid
Om het in artikel 1.2 opgenomen doel te bereiken, worden bij AMvB gegevensuitwisselingen aangewezen waarbij zorgverleners gegevens van en over een cliënt uitwisselen. Het aanwijzen kan alleen voor zover deze gegevensuitwisselingen zijn opgenomen in de Meerjarenagenda Wegiz, zie paragraaf 3.2 van het algemeen deel van deze memorie. In paragraaf 2.3.1 van het algemeen deel van deze memorie is aangegeven aan welke soorten gegevensuitwisselingen als eerste wordt gedacht. Het wetsvoorstel gaat dus niet om gegevensuitwisseling in algemene zin, maar alleen om het uitwisselen van gegevens die plaatsvindt binnen een bij AMvB afgebakend terrein.
Tweede lid
In paragraaf 2.3.3. van het algemeen deel van deze memorie is uitvoerig toegelicht dat een gegevensuitwisseling onder dit wetsvoorstel alleen kan worden aangewezen, als de gegevens die worden uitgewisseld zijn vastgelegd in een kwaliteitsstandaard of in andere wet- en regelgeving. Duidelijkheidshalve wordt opgemerkt dat de formulering in dit lid met zich brengt dat een onderdeel van de professionele standaard niet als basis kan dienen voor een gegevensuitwisseling. Een onderdeel van de professionele standaard heeft weliswaar gevolgen voor de invulling van goede zorg als bedoeld in de Wkkgz, maar is zelf geen wet- of regelgeving. De inwerkingtreding van dit lid zal vijf jaar na inwerkingtreding van het eerste lid plaatsvinden. Verwezen wordt naar hoofdstuk 10.3 van het algemeen deel van deze memorie voor een toelichting hierop.
Derde lid
Dit lid biedt een basis om nadere eisen te stellen aan de uitwisseling van gegevens in de aangewezen gegevensuitwisseling.
Onder a
De nadere eisen kunnen in de eerste plaats minimale eisen betreffen die gesteld worden aan het door middel van een elektronische infrastructuur uitwisselen van gegevens. Het gaat om eisen die zien op de functionele, technische of organisatorische wijze waarop het uitwisselen van gegevens door middel van een elektronische infrastructuur plaats moet vinden. Gedacht kan worden aan een eis dat de elektronische gegevensuitwisseling op een veilige manier verloopt (zoals NEN 7510), of dat er eisen worden gesteld aan logging. In de toekomst worden mogelijk nog andere normen ontwikkeld. Wanneer de aanwijzing plaatsvindt onder a wordt gesproken over een «spoor 1-aanwijzing». Zie voor een uitgebreide toelichting hierop paragraaf 3.4.1 van het algemeen deel van deze memorie.
Onder b
In de tweede plaats kunnen nadere eisen worden gesteld die als doel hebben te komen tot het genormaliseerd uitwisselen van gegevens in de aangewezen gegevensuitwisseling, zodat volledige interoperabiliteit mogelijk is. Het gaat hierbij om:
– technische eisen die gesteld worden aan bijvoorbeeld informatietechnologieproducten of -diensten;
– eisen aan taal die zorgverleners hanteren voor de omschrijving van de medische aandoening; en
– eisen die de goede zorg ten goede komen omdat ze de administratieve lasten verminderen.
Deze eisen moeten zijn vastgelegd in één norm. Wat onder een norm wordt verstaan, is opgenomen in de begripsomschrijvingen in artikel 1.1. Het kan een (bestaande of te ontwikkelen) nationale norm zijn (NEN) of een Europese of internationale norm (NEN-EN, NEN-EN-ISO, NEN-EN-IEC, NEN-EN-ISO/IEC of NEN-ISO). De norm wordt bij AMvB dwingend en exclusief voorgeschreven. Zoals in paragraaf 3.5.3 van het algemeen deel van deze memorie al is toegelicht, zal het in de meeste gevallen gaan om een in opdracht van de Minister nieuw te ontwikkelen NEN.
Wanneer de aanwijzing plaatsvindt onder b wordt gesproken over een «spoor 2-aanwijzing». Zie voor een uitgebreide toelichting hierop paragraaf 3.4.2 van het algemeen deel van deze memorie.
Vierde lid
Alleen op grond van de aanwijzing op grond van het derde lid, onderdeel b, kan er sprake zijn van certificering van informatietechnologieproducten of -diensten. Om die reden wordt in dit lid alleen naar het derde lid, onderdeel b, verwezen. De certificering ziet maar op een deel van de eisen die in de norm staan waarnaar bij AMvB zal worden verwezen, namelijk alleen die eisen die zien op informatietechnologieproducten of -diensten. De certificering ziet dus niet op de eisen die betrekking hebben op bijvoorbeeld organisatorische aspecten. De eisen waar certificering niet op ziet, richten zich tot de zorgaanbieder (zie hiervoor paragraaf 2.3.4. van het algemeen deel van de toelichting). Uit de norm waarnaar bij AMvB naar verwezen zal voldoende duidelijk moeten blijken welke eisen zich richten op het gebruik van informatietechnologieproducten of -diensten bij het uitwisselen van gegevens.
Artikel 1.5 (zorg in justitiële inrichtingen, forensische zorg en militaire gezondheidszorg)
Eerste lid
Ten aanzien van de zorg die wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra kan het vanuit veiligheidsoverwegingen noodzakelijk zijn dat op andere wijze gegevens worden uitgewisseld dan voorgeschreven door onderhavig wetsvoorstel. Voor deze instellingen en inrichtingen is derhalve een uitzondering opgenomen. Het gaat hier om de gegevensuitwisseling tussen de uitgezonderde inrichtingen en instellingen onderling, maar uiteraard ook – vanwege bovengenoemde redenen – om de uitwisseling tussen de uitgezonderde inrichtingen, instellingen en reguliere zorgaanbieders. Dit laat onverlet dat zij waar mogelijk de in dit wetsvoorstel voorziene wijze van het uitwisselen van gegevens zullen volgen. De bijzondere omstandigheden van deze instellingen nopen er echter toe dit niet als verplichting vorm te geven. Gezien het karakter van dit wetsvoorstel, waarbij bij AMvB concrete vormen van gegevensuitwisseling onder het bereik van de wet zullen worden gebracht, is de mogelijkheid opengehouden om de uitgezonderde inrichtingen en instellingen alsnog onder de reikwijdte van onderhavig wetsvoorstel te brengen voor zover een concrete vorm van gegevensuitwisseling zich verhoudt met de justitiële of forensische zorgsetting.
Tweede lid
In beginsel valt de forensische zorg die niet wordt verleend in penitentiaire inrichtingen, justitiële jeugdinrichtingen en Forensisch Psychiatrische Centra onder dit wetsvoorstel. Dit zijn bijvoorbeeld GGZ-instellingen die zowel reguliere zorg verlenen als forensische zorg. Wat de gevolgen zijn voor de forensische zorg voor de aan te wijzen gegevensuitwisselingen is op dit moment onvoldoende te overzien. Voorgesteld wordt om deze reden de mogelijkheid op te nemen bij AMvB af te wijken van de voorgeschreven wijze van uitwisselen van gegevens, wanneer dit vanwege de forensische setting noodzakelijk is. Ook hierbij valt bijvoorbeeld te denken aan veiligheidsaspecten. De voordracht voor een zodanige AMvB zal worden gedaan door de Minister voor Rechtsbescherming.
Derde lid
Ook de militaire gezondheidszorg kan geraakt worden door dit wetsvoorstel. Zo zal er tijdens operationele omstandigheden niet steeds sprake zijn van een degelijke digitale infrastructuur om de gegevens elektronisch uit te wisselen. De voordracht voor een zodanige AMvB zal worden gedaan door de Minister van Defensie.
Artikel 2.1 (verplichting zorgaanbieders)
Eerste lid
Wanneer een gegevensuitwisseling bij AMvB wordt aangewezen, geldt op grond van dit lid dat – vanaf het moment van inwerkingtreding van de AMvB – de bij die AMvB aangeduide gegevens bij die gegevensuitwisseling door middel van een elektronische infrastructuur moeten worden uitgewisseld. De verplichting om hieraan te voldoen is ingevolge dit lid neergelegd bij de zorgaanbieder. Het gaat daarbij om zorgverleners die onder de verantwoordelijkheid van de zorgaanbieder zorg verlenen, inclusief bijvoorbeeld maatschappen die verbonden zijn aan een ziekenhuis. Zie voor een nadere toelichting hierop paragraaf 2.3.4 van het algemeen deel van deze memorie. Wat onder een elektronische infrastructuur wordt verstaan is aangegeven in paragraaf 2.3.2 van het algemeen deel van deze memorie.
Door het gebruik van het woord «ten minste» wordt verduidelijkt dat dit een minimaal vereiste is. Naast of aanvullend op het uitwisselen van gegevens door middel van een elektronische infrastructuur kan nog steeds gebruik gemaakt worden van andere communicatiemiddelen, zoals bijvoorbeeld de telefoon. Dit laatste mag echter niet in plaats van het uitwisselen door middel van een elektronische infrastructuur plaatsvinden. Dit is ook toegelicht in paragraaf 2.3.2 van het algemeen deel van deze memorie.
Tweede en derde lid
Naast de eis die geldt op grond van het wetsvoorstel dat gegevens binnen aangewezen gegevensuitwisselingen door middel van een elektronische infrastructuur moeten worden uitgewisseld, kunnen nadere eisen worden gesteld. Dit is geregeld in artikel 1.4, derde lid (zie toelichting bij dat lid). Uit het tweede lid volgt dat de verplichting om te voldoen aan artikel 1.4, derde lid, is neergelegd bij de zorgaanbieder (zie ook paragraaf 2.3.4 van het algemeen deel van deze memorie is), tenzij het gaat om de (technische) eisen die gesteld worden aan een informatietechnologieproduct of -dienst waarvoor een certificaat is vereist (zie ook in paragraaf 3.3 van het algemeen deel van deze memorie). Als dit laatste het geval is, rust op de zorgaanbieder ingevolgde het derde lid slechts de verplichting om gebruik te maken van gecertificeerde informatietechnologieproducten of -diensten.
Vierde lid
Artikel 1, zesde lid, Wkkgz regelt dat in het geval een instelling (zoals een medisch specialistisch bedrijf) (hierna: onderaannemer) zorg verleent binnen een andere instelling (zoals een ziekenhuis) (hierna: hoofdaannemer), de onderaannemer niet aangemerkt wordt als een instelling in de zin van de Wkkgz en dus ook niet als een zorgaanbieder in de zin van de Wkkgz. Door het van overeenkomstige toepassing verklaren van artikel 1, zesde lid, Wkkgz wordt een onderaannemer ook voor dit wetsvoorstel niet als zorgaanbieder aangeduid. De hoofdaannemer is daarmee dan verantwoordelijk voor het voldoen aan de verplichting zoals opgenomen in het eerste tot en met derde lid. De onderaannemer is in dit geval zorgverlener. Artikel 1, zevende lid, Wkkgz bepaalt dat als een instelling wordt gevormd door een organisatorisch verband van natuurlijke personen, de uit die wet voortvloeiende verplichtingen zich tot ieder van die personen richten. Voor dit wetsvoorstel geldt dit daarom ook.
Artikel 3.1 (certificering van informatietechnologieproducten of -diensten)
Op grond van artikel 1.4, derde lid, onderdeel b, kunnen eisen worden gesteld om gegevens uit te wisselen op genormaliseerde wijze. Deze eisen kunnen onder meer zien op technische eisen aan informatietechnologieproducten of -diensten. Wanneer op grond van artikel 1.4, vierde lid, de eis is gesteld dat een informatietechnologieproduct of -dienst moet zijn voorzien van een certificaat, regelt dit artikel dat het product of de dienst aan de gestelde eisen moet voldoen en het certificaat ook daadwerkelijk moet hebben.
Wanneer een informatietechnologieproduct of -dienst voorzien is van een certificaat waaruit blijkt dat voldaan wordt aan de eisen, wordt de taak van de toezichthouder verlicht. Zie ook paragraaf 3.7 van het algemeen deel van deze memorie.
Artikel 3.2 (aanwijzen certificerende instellingen op verzoek)
Eerste lid
In dit lid is geregeld wie de certificaten kan verstrekken. Certificaten worden afgegeven door gespecialiseerde private partijen, zogenoemde certificerende instellingen. Een instelling is alleen bevoegd tot het verstrekken van certificaten als deze hiertoe is aangewezen door de Minister. De Minister wijst alleen geaccrediteerde instellingen aan (zie toelichting op het derde lid), tenzij sprake is van een uitzondering als bedoeld in het vijfde lid (zie toelichting bij dit lid).
De certificerende instelling moet voor het verkrijgen van een aanwijzing een aanvraag bij de Minister indienen. De aanwijzing wordt gepubliceerd in de Staatscourant op grond van artikel 3:42 Awb.
Tweede lid
Om te borgen dat de Minister de mogelijkheid heeft om stelseltoezicht te houden, is in dit lid bepaald dat de Minister de aanwijzing van een certificerende instelling kan wijzigen, weigeren, schorsen of intrekken, aan de aanwijzing, schorsing of intrekking voorschriften kan verbinden en aan de aanwijzing of de schorsing van de aanwijzing een termijn kan verbinden. Op grond van artikel 3.3, aanhef en onder a, kunnen hier nadere eisen aan worden gesteld.
De voorschriften die de Minister kan verbinden aan de aanwijzing van de certificerende instelling, kunnen zien op de situatie dat de certificerende instelling haar werkzaamheden – vrijwillig of onvrijwillig – beëindigt. Gedacht kan worden aan voorschriften die inhouden dat bij het beëindigen van werkzaamheden dossiers moeten worden overgedragen aan een opvolgende certificerende instelling, of wanneer die in het uiterste geval niet beschikbaar is, aan de Minister ter uitvoering van zijn taak op grond van het zevende lid.
Derde lid
De RvA is op grond van artikel 2, eerste lid, van de Wet aanwijzing nationale accreditatie-instantie aangewezen als nationale accreditatie-instantie. De RvA beoordeelt certificerende instellingen op basis van normen die door de Europese Commissie zijn aangewezen als de enige normen die door nationale accreditatie-instanties kunnen worden gebruikt om certificerende instellingen te accrediteren. In dit geval gaat het alleen om de geharmoniseerde norm NEN-EN-ISO/IEC 17065:2012; Conformiteitsbeoordeling – Eisen voor certificatie-instellingen die certificaten toekennen aan producten, processen en diensten. Daarnaast beoordeelt de RvA of aan de eisen voor het verkrijgen van een aanwijzing wordt voldaan, die bij AMvB zullen worden vastgelegd. Te denken valt aan eisen over de rechtsvorm van de certificerende instelling, onafhankelijkheid, deskundigheid en organisatie van de certificerende instellingen.
In paragraaf 7.6 van het algemeen deel van deze memorie is de accreditatie door de RvA nader toegelicht.
Vierde lid
In verband met de erkenning van verkregen vergelijkbare documenten is in dit lid opgenomen dat met een accreditatie gelijk wordt gesteld een accreditatie afgegeven in een lidstaat van de Europese Unie of een staat waarmee Nederland een verdrag heeft die strekt tot erkenning van dergelijke documenten. Eis daarbij is dat de verkregen accreditatie gebaseerd is op documenten of onderzoekingen die tenminste een beschermingsniveau bieden dat wordt gewaarborgd met de verkrijging van de accreditatie in Nederland voor het afgeven van deze certificaten. Dit betekent dat de accreditatie moet zien op algemene waarden als onafhankelijkheid en onpartijdigheid, maar ook op de inhoudelijke eisen die neergelegd zijn in de AMvB op grond van artikel 3.3, onderdeel a, om voor een aanwijzing in aanmerking te komen. Overigens is elk nationaal accreditatie-orgaan in principe verantwoordelijk voor accreditatie van de organisaties uit het desbetreffende land. Zie hiervoor ook verordening 765/2008.
Vijfde lid
Onder a
Het uitgangspunt is dat een certificerende instelling een accreditatie van de RvA heeft. Daarbij is het zo dat in het kader van accreditatie een instelling aan moet tonen dat zij de werkzaamheden zoals beschreven in het certificatieschema, uitvoert in overeenstemming met dat schema. Dat betekent dat de instelling een klant moet hebben waar zij het certificatietraject volledig doorloopt en dat de RvA deze werkzaamheden bijwoont en beoordeeld. Dit is echter niet mogelijk zonder aanwijzing door de Minister. In dat geval is het mogelijk dat de instelling die een volledige aanvraag heeft ingediend bij de RvA een tijdelijke aanwijzing kan krijgen. De instelling wordt beoordeeld en geaccrediteerd, zonder dat er al een bijwoning van de werkzaamheden plaatsvindt. Nadat deze beoordeling met positief resultaat wordt afgerond, wordt de tijdelijke accreditatie onder beperkende voorwaarden verleend. Daarmee kan de certificerende instelling een (tijdelijke) aanwijzing aanvragen bij de Minister. En na aanwijzing kan de certificerende instelling vervolgens een klant werven, waar de bijwoning kan plaatsvinden. Eventuele afwijkingen die volgen uit de bijwoning moeten worden opgelost voordat de tijdelijke accreditatie in een definitieve accreditatie kunnen worden omgezet. Daarna kan de certificerende instelling ook andere klanten gaan bedienen en certificeren.
Onder b
Het kan in bepaalde gevallen voorkomen dat het accreditatieproces langer duurt dan verwacht. Aangezien certificerende instellingen een essentiële rol spelen in onderhavig wetsvoorstel en het belangrijk is dat de certificering van informatietechnologieproducten of -diensten wordt voortgezet, kan de Minister in het systeem van accreditatie ingrijpen door te bepalen dat – tijdelijk – van de eis van accreditatie wordt afgezien. De certificerende instelling kan in die tijd alsnog zorgdragen voor de benodigde accreditatie.
Zesde lid
De certificerende instellingen, bedoeld in dit wetsvoorstel, worden uitgezonderd van de werking van de Kaderwet zbo’s. Zie voor een toelichting paragraaf 3.7.1 van het algemeen deel van deze memorie.
Zevende lid
In artikel 23 van de Kaderwet zbo’s is een bevoegdheid opgenomen voor de Minister om in te grijpen bij een zbo in geval van ernstige verwaarlozing van de bestuurstaak, waarbij ontwrichting van de uitoefening van de taak dreigt. Het ingrijpen kan bijvoorbeeld inhouden dat de Minister de taak die aan het zelfstandig bestuursorgaan is opgedragen, zelf uitvoert. De bepaling in artikel 23 van de Kaderwet zbo’s is vanwege de veelheid van situaties waarin het toegepast zou kunnen worden, noodzakelijkerwijs ruim geformuleerd. In onderhavig lid is een soortgelijke bepaling opgenomen die echter een beperktere strekking heeft en die meer recht doet aan de gekozen systematiek van dit wetsvoorstel. Zoals aangegeven in paragraaf 3.7 van het algemeen deel van deze memorie kan de Minister de aanwijzing van de certificerende instelling om verschillende redenen intrekken. Het vervolgens overnemen van de taken van de certificerende instelling is niet aan de orde als er nog andere certificerende instellingen zijn die de taken van de instelling waarvan de aanwijzing is ingetrokken kunnen overnemen. Zoals aangegeven in paragraaf 3.7 kan de Minister dit alleen wanneer er geen andere certificerende instellingen zijn.
Artikel 3.3 (nadere regels rond certificering)
Eerste lid
Op grond van dit lid kan bij AMvB het certificeren van informatietechnologieproducten en -diensten worden uitgewerkt.
Zo kunnen nadere eisen worden gesteld aan de aanwijzing van de Minister van de certificerende instellingen, waaronder voor welke termijn een aanwijzing telkens geldig is (onderdeel a). De geldigheidsduur van een certificaat is niet in algemene zin te zeggen maar hangt af van de eisen aan de techniek in de norm. Het certificaat zal in ieder geval hooguit de geldigheidsduur van de norm bedragen.
Verder kunnen voor de certificerende instellingen regels worden gesteld over het verstrekken, weigeren, schorsen of intrekken van een certificaatdoor een certificerende instelling(onderdeel b). Het kan hierbij bijvoorbeeld gaan om de wijze waarop de certificerende instelling de aanvraagprocedure dient in te richten en de termijn waarbinnen op een aanvraag moet worden beslist.
Verder kunnen nadere regels gesteld worden aan het informeren van de Minister over het intrekken of schorsen van een certificaat of accreditatie (onderdeel c).
Tweede lid
Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te bepalen regels voor de certificerende instellingen. Te denken valt bijvoorbeeld aan de wijze waarop en de snelheid waarmee de Minister op de hoogte dient te worden gebracht van een intrekking of schorsing van een certificaat door een certificerende instelling.
Artikel 3.4 (kosten aanvraag en andere werkzaamheden certificering door de Minister)
Eerste lid
In dit artikel is een grondslag opgenomen om bij AMvB nadere regels te stellen over de vergoeding van de kosten die betrekking hebben met certificering, wanneer die door de Minister wordt verzorgd. Aan certificering zijn immers kosten verbonden. Normaliter worden die door de aanvrager betaald aan de certificerende instellingen. De Minister kan echter overgaan tot certificering, indien de continuïteit van het uitwisselen van gegevens in een aangewezen gegevensuitwisseling dit vereist (artikel 3.2, zevende lid). Dat wil zeggen dat de Minister de werkzaamheden waarneemt in het geval er geen enkele certificerende instelling beschikbaar is voor een aangewezen gegevensuitwisseling. De grondslag maakt het mogelijk om de kosten die de Minister dan maakt door te berekenen aan de aanvragen voor een certificaat of de al bestaande certificaathouder. Hiermee kan worden voorkomen dat de overheid – en dus de belastingbetaler – de kosten dragen voor een partij die een marktactiviteit verricht, wat onwenselijk is en overigens ook staatssteunvragen opwerpt.
Tweede lid
Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te bepalen regels inzake de kosten die de Minister bij certificering. Beoogd is dat bij AMvB rekenregels worden opgenomen en bij ministeriële regeling tarieven worden vastgesteld.
Artikel 3.5 (verstrekken certificaat)
Eerste lid
Degene die een informatietechnologieproduct of – dienst wil aanbieden aan een zorgaanbieder om te gebruiken bij een aangewezen gegevensuitwisseling zal een aanvraag moeten indienen bij een aangewezen certificerende instelling. Om een certificaat te kunnen verkrijgen dient een aanvrager aan te tonen dat het informatietechnologieproduct of de -dienst voldoet aan de eisen die gesteld zijn aan dat informatietechnologieproduct of die -dienst op grond van artikel 1.4, tweede lid (aanwijzing onder b, spoor 2). Concreet betekent dit dat voldaan moet worden aan de eisen die in de bij AMvB aangewezen norm zijn opgenomen en zoals die vervolgens zijn neergelegd in een door de NEN te ontwikkelen certificatieschema. Hierop toetst een certificerende instelling bij het verstrekken van certificaten en bij het verrichten van audits.
Tweede lid
Er kunnen verschillende redenen zijn waarom de aanwijzing van een certificerende instelling wordt ingetrokken. Dit kan bijvoorbeeld zijn om de certificerende instelling zich van de markt terugtrekt, failliet gaat, maar ook omdat de accreditatie van de certificerende instelling wordt ingetrokken omdat de RvA meent dat de certificerende instelling niet werkt volgens het certificatieschema of niet meer voldoet aan de vereisten voor aanwijzing. Uit het intrekken van de aanwijzing of accreditatie van de certificerende instelling kan niet direct een oordeel gegeven worden over de vraag of het informatietechnologieproduct of – dienst voldoet aan de norm die geldt voor de aangewezen gegevensuitwisseling waarvoor het informatietechnologieproduct of -dienst wordt gebruikt. In alle gevallen geldt echter dat een overgangstermijn nodig is waarin de aanbieder van het informatietechnologieproduct of -dienst een nieuwe certificerende instelling kan vinden die de taken van de vorige certificerende instelling kan overnemen. In het tweede lid wordt daarom voorgesteld dat de door de weggevallen certificerende instelling afgegeven certificaten voor een informatietechnologieproduct of -dienst nog twaalf maanden geldig zijn. Deze termijn geldt ook wanneer de geldigheid van het certificaat zelf korter was. In deze twaalf maanden kan de aanbieder van het informatietechnologieproduct of de -dienst doorgaan met het product of de dienst op de markt te brengen. Zoals hiervoor aangegeven zegt het wegvallen van de certificerende instelling in eerste instantie namelijk niets over de conformiteit van het informatietechnologieproduct of -dienst met de norm. Mocht er geen opvolgende certificerende instelling zijn dan kan eventueel worden teruggevallen op artikel 3.2, zevende lid, waarbij de Minister de dossiers en de taken overneemt van de wegvallende certificerende instelling.
De nieuwe certificerende instelling (of de Minister) neemt de taken voor het gecertificeerde informatietechnologieproduct of -dienst over van de vorige certificerende instelling. In bepaalde gevallen kan worden volstaan met het voortzetten van de reguliere audits en toezicht. Bijvoorbeeld in het geval de certificerende instelling die het certificaat oorspronkelijk heeft afgegeven zich vrijwillig van de markt terugtrekt. Het kan ook echter zijn dat een certificerende instelling gedwongen wordt zich terug te trekken doordat de accreditatie of aanwijzing wordt ingetrokken. In die gevallen kunnen twijfels bestaan over het gecertificeerde informatietechnologieproduct of -dienst. In dat geval zal de nieuwe certificerende instelling (of de Minister) die de dossiers heeft overgenomen dienen te onderzoeken of het certificaat voor het informatietechnologieproduct of -dienst op terechte gronden is verleend. Wanneer de uitkomst daarvan negatief is zal de opvolgende certificerende instelling (of in uitzonderlijke situaties de Minister) het certificaat schorsen of intrekken. Voor een toelichting wat de gevolgen zijn van het intrekken van het certificaat van een informatietechnologieproduct of -dienst wordt verwezen naar de toelichting op artikel 3.6, derde en vierde lid.
Artikel 3.6 (schorsen of intrekken van een certificaat)
Eerste lid
Het is van groot belang voor de zorgaanbieders dat erop vertrouwd kan worden dat het informatietechnologieproduct of de -dienst aan de eisen voldoet en blijft voldoen. Wanneer bij bijvoorbeeld een audit blijkt dat het eerder afgegeven certificaat niet of niet langer voldoet aan de eisen, bijvoorbeeld omdat niet aan de laatste versie van de norm wordt voldaan, kan de certificerende instelling het certificaat schorsen of intrekken, afhankelijk van de ernst van de gebreken. Er is gekozen om de bevoegdheid bij de certificerende instelling neer te leggen om te bepalen of er redenen zijn om tot schorsing of intrekking over te gaan. Wanneer slechts sprake is van niet voldoen op ondergeschikte punten kan dit reden zijn om de certificaathouder tijd te geven om alsnog te voldoen, zonder dat overgegaan wordt tot schorsing. Het is primair aan de RvA om in zijn rol als toezichthouder op de certificerende instellingen erop toe te zien dat de certificerende instellingen op een juiste manier gebruik maken van hun bevoegdheid. Secundair houdt de Minister – op afstand – als stelselverantwoordelijke ook toezicht op de certificerende instellingen. In paragraaf 7.4 van het algemeen deel van deze memorie is dit nader toegelicht.
De gevolgen van het intrekken van het certificaat betekent voor de zorgaanbieder dat deze in strijd handelt met artikel 2.1, derde lid. Afhankelijk van de aard van de tekortkoming en of sprake is van schorsing of intrekking van het certificaat, betekent dit voor de zorgaanbieder dat aanvullende maatregelen moeten worden genomen om aan de eisen voor die aangewezen gegevensuitwisseling te blijven voldoen. Bij schorsing kunnen tijdelijke maatregelen overwogen worden, bij intrekking van het certificaat zal de zorgaanbieder een ander informatietechnologieproduct of -dienst moeten inkopen die wel beschikt over het vereiste certificaat.
Tweede lid
Wanneer een certificaat wordt geschorst of ingetrokken is dat ook voor de toezichthouder van groot belang om over geïnformeerd te worden. Daarin voorziet dit lid. De zorgaanbieder zal immers actie moeten ondernemen op het moment dat de informatietechnologieproducten of – diensten die gebruikt worden, maar niet langer voorzien zijn van een geldig certificaat. De toezichthouder zal erop moeten toezien of de zorgaanbieder dat ook doet.
Derde en vierde lid
Wanneer een certificaat wordt ingetrokken kan een zorgaanbieder niet van de een op de andere dag het gebruik van het informatietechnologieproduct of -dienst staken zonder de gegevensuitwisseling in gevaar te brengen. Het zal immers tijd kosten voordat een nieuw informatietechnologieproduct of -dienst is aangeschaft en is geïmplementeerd. Het is wel de bedoeling dat deze tijd zo kort mogelijk is, omdat het informatietechnologieproduct of -dienst niet (volledig) voldoet aan de voor die aangewezen gegevensuitwisseling geldende norm. Daarom is ervoor gekozen een standaardtermijn van zes maanden te hanteren (derde lid). Wanneer blijkt (uit onder andere de informatie die de IGJ verstrekt) dat de zes-maanden-termijn onredelijk kort is, kan de Minister de termijn voor het voortgezette gebruik van het informatietechnologieproduct of de -dienst verlengen (vierde lid).
Artikel 4.1 (toezicht op de naleving)
In dit artikel is het toezicht op het bepaalde bij of krachtens dit wetsvoorstel geregeld. Het gaat om toezicht op de verplichtingen die aan zorgaanbieders worden opgelegd en op de eisen die aan informatietechnologieproducten of -diensten worden gesteld. Bovendien wordt naast het private toezicht door de RvA voorzien een publiekrechtelijk stelseltoezicht op certificerende instellingen. In paragraaf 7.1 van het algemeen deel van deze memorie is de regeling van het toezicht nader toegelicht.
Met het derde lid is beoogd om voor gegevens vergelijkbare bevoegdheden te verschaffen als opgenomen in de artikelen 5:16 en 5:17 van de Awb. Het gaat dan om het recht om inlichtingen te vorderen (artikel 5:16 Awb), het recht om inzage te vorderen (artikel 5:17, eerste lid, Awb) en het recht om kopieën te maken (artikel 5:17, tweede lid, Awb).
De gegevens waarop het toezichtinstrumentarium betrekking kunnen hebben, zijn gegevens als die worden uitgewisseld in een aangewezen gegevensuitwisseling als bedoeld in artikel 1.4, eerste lid. Dit kunnen gegevens over de gezondheid van de cliënt betreffen. Gegevens over de gezondheid vallen onder de categorieën bijzondere persoonsgegevens in de zin van artikel 9 van de Algemene verordening gegevensbescherming (hierna: AVG) en paragraaf 3.1 van de Uitvoeringswet AVG (hierna: UAVG). Deze gegevens vallen onder het medisch beroepsgeheim. Dit lid voorziet in de – op grond van artikel 7:457, eerste lid, van het BW en artikel 6, eerste lid, onderdeel e, juncto artikel 9, tweede lid, onderdeel g, van de AVG – vereiste wettelijke grondslag voor doorbreking van het medisch beroepsgeheim respectievelijk de verwerking van categorieën van bijzondere persoonsgegevens.
Artikel 10 van de Gw bepaalt dat eenieder, behoudens bij of krachtens de wet te stellen beperkingen, recht heeft op eerbiediging van zijn persoonlijke levenssfeer. Ingevolge artikel 8, tweede lid, van het EVRM, is beperking van dit recht uitsluitend toelaatbaar indien de beperking is voorzien bij wet, zij een legitiem doel dient en zij «noodzakelijk is in een democratische samenleving». Het onderhavige voorstel voorziet in een wettelijke beperking van dit grondrecht, namelijk het zonder toestemming van de betrokkene inzage krijgen in of gebruik maken van (kopieën maken of de gegevens voor korte tijd mee te nemen) persoonsgegevens, waaronder gegevens over de gezondheid van de clíënt. Aan artikel 10 Gw en het eerste criterium van artikel 8, tweede lid, van het EVRM wordt derhalve voldaan. Het legitieme doel dat gediend wordt en de noodzaak hiervan (artikel 8, tweede lid, EVRM), betreft de bescherming van de volksgezondheid. Immers, goede en tijdige gegevensuitwisseling tussen zorgverleners is nodig voor goede kwaliteit van zorg. Door te regelen hoe gegevens moeten worden uitgewisseld kunnen de randvoorwaarden worden gesteld om goede zorg te verlenen. Voor het toezicht op de naleving van dit wetsvoorstel is het noodzakelijk dat de toezichthoudende ambtenaren, zonder toestemming, de persoonsgegevens van cliënten kunnen inzien om te kunnen controleren of de gegevens correct zijn uitgewisseld en of bijvoorbeeld informatie die van belang is voor de veiligheid van een cliënt niet ontbreekt in de uitgewisselde gegevens. Inzage in de gegevens over de gezondheid van de cliënt is belangrijk om de betrouwbaarheid, volledigheid en de correctheid van de elektronische uitwisseling van gegevens te kunnen verifiëren.
Als de toezichthoudende ambtenaren (bijzondere persoons)gegevens nodig hebben kunnen zij deze ingevolge dit voorstel door inzage ter plaatse verkrijgen. De toezichthoudende ambtenaren beschikken op grond van dit voorstel ook over de bevoegdheid om inlichtingen te vorderen, waarbij degene bij wie de gegevens of bescheiden worden gevorderd deze zelf aan de toezichthoudende ambtenaren verstrekt, en over de bevoegdheid om afschriften van de gegevens te maken. Zo nodig kunnen gegevens voor korte tijd worden meegenomen om daarvan een afschrift te maken.
De toezichthoudende ambtenaren zijn bij de uitoefening van hun toezichthoudende taak gebonden aan artikel 5:13 van de Awb, waarin is bepaald dat een toezichthouder slechts gebruik mag maken van zijn bevoegdheden voor zover dat redelijkerwijs nodig is voor de vervulling van zijn taak. In de specifieke wetten, als ook in het onderhavige wetsvoorstel is voorts expliciet bepaald dat uitsluitend van die bevoegdheid gebruik mag worden gemaakt als dat voor de vervulling van de taak van de inspectie noodzakelijk is.
De uitoefening van deze toezichtsbevoegdheden moet eveneens in overeenstemming zijn met de (U)AVG. Onder meer geldt daarbij dat de gegevensverwerking beperkt dient te blijven tot het noodzakelijke (minimale gegevensverwerking), de persoonsgegevens in beginsel niet langer worden bewaard dan noodzakelijk is voor het doel van de verwerking (opslagbeperking) en dat een passende beveiliging van de persoonsgegevens gewaarborgd is.
Wat betreft de opslagbeperking wordt opgemerkt dat bij de uitoefening van deze toezichtsbevoegdheden sprake kan zijn van het bewaren van bijzondere categorieën van persoonsgegevens. Dit is bijvoorbeeld aan de orde als de toezichthoudende ambtenaren het in de betreffende situatie noodzakelijk acht om van bepaalde persoonsgegevens kopieën te maken of de persoonsgegevens voor dat doel voor korte tijd mee te nemen. De (U)AVG geeft geen concrete bewaartermijn. Het bewaren van persoonsgegevens als hier bedoeld is toegestaan voor zover dit noodzakelijk is voor de verwezenlijking van het doel waarmee de gegevens worden verzameld of verwerkt. Dit is een algemene regel waarvan de uitwerking per situatie kan verschillen en waaraan in de uitvoering nader invulling zal moeten worden gegeven.
Artikel 4.2 (handhaving artikel 2.1)
In dit artikel is de handhaving op de verplichtingen, bedoeld in artikel 2.1, geregeld. In paragraaf 7.1 van het algemeen deel van de memorie van toelichting is hier al uitgebreid op ingegaan. Aangezien de verplichtingen zich richten tot de zorgaanbieders, richt de handhaving (en in het verlengde daarvan, het toezicht, bedoeld in artikel 4.1) zich ook tot de zorgaanbieders.
Artikel 4.3 (handhaving artikel 3.1)
In dit artikel is de handhaving op naleving van de eisen, bedoeld in artikel 3.1, geregeld. In paragraaf 7.3 van het algemeen deel van de memorie van toelichting is hier al uitgebreid op ingegaan. De handhaving (en in het verlengde daarvan, het toezicht, bedoeld in artikel 4.1) richt zich tot de degene die de informatietechnologieproducten of -diensten aanbiedt aan de zorgaanbieders. Dit kunnen de producenten zijn, tussenpersonen of eindleveranciers. Ook kan een bestuurlijk boete worden opgelegd aan degene die het mogelijk maakt dat de zorgaanbieder een niet-gecertificeerd informatietechnologieproduct of -dienst gebruikt of blijft gebruiken door ondersteuning in het product- of dienstgebruik te bieden. Er bestaat vaak een (langdurige) relatie tussen de leverancier en de zorgaanbieder bij de ondersteuning van het ingekochte softwarepakket met bijbehorende dienstverlening en in bepaalde gevallen bijbehorende hardware. Op de leverancier blijft in dat geval de verantwoordelijkheid rusten voor een juiste certificering van de informatietechnologieproducten – en diensten.
Artikel 5.1 (nadere regels over informatieverwerking)
Eerste lid
In dit artikel is geregeld dat bij AMvB regels gesteld kunnen worden over de verwerking van informatie die noodzakelijk is voor de uitvoering van de wettelijke taken of beleidsvorming. Gedacht kan bijvoorbeeld worden aan informatie van certificerende instellingen of van de Raad van Accreditatie ten behoeve van de evaluatie van het wetsvoorstel (artikel 9.1). Het begrip informatie dient breed opgevat te worden. Het kan bijvoorbeeld ook persoonsgegevens betreffen.
Tweede lid
Bij ministeriële regeling kunnen nadere regels worden gegevens over de bij AMvB te bepalen regels voor informatie-uitwisseling. Te denken valt bijvoorbeeld aan regels over de wijze waarop en de frequentie waarmee de informatie uitgewisseld wordt.
Artikel 6.1 (voorhangprocedure)
In dit artikel is een waarborg voor parlementaire betrokkenheid opgenomen bij de uitwerking van de normstelling, in de vorm van een voorhangprocedure bij beide kamers der Staten-Generaal. Dat betekent dat ontwerpen van AMvB eerst aan het parlement worden voorgelegd, voordat die aan de Afdeling advisering van de Raad van State voor advies worden voorgelegd. Met die voorhangprocedure heeft het parlement de mogelijkheid om, naast de sturing op de hoofdlijnen van de wet, vroegtijdig rechtstreeks invloed uit te oefenen op de uitwerking van de regels op het gebied van gegevensuitwisseling in de zorg door middel van een elektronische infrastructuur.
Deze bepaling geldt als vervanging van de voorhangbepalingen in artikel 15j, tweede lid, van de Wabvpz, artikel 8:22, derde lid, van de Wvggz, en artikel 18c, zevende lid, van de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling. Op grond van de bepalingen in paragraaf 6 van het wetsvoorstel vallen deze gegevens dan niet langer onder de genoemde wetten (met bijbehorende voorhangprocedure), maar komen dan onder het wetsvoorstel te vallen. Het is evident dat de bijbehorende voorhangprocedure mee over gaat in dit wetsvoorstel.
Van de drie genoemde wetten kent de Wabvpz de meest zware voorhangprocedure. De in dit wetsvoorstel opgenomen voorhangbepaling is gelijk aan de voorhangprocedure, bedoeld in die wet. Zo wordt de vroegtijdige rechtstreeks invloed van het parlement in dit wetsvoorstel stevig geborgd. Dit betekent wel een verzwaring van de voorhangprocedure van de Wvggz en de Wzd, voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling. Omwille van de uniformiteit en duidelijkheid is echter niet gekozen om verschillende voorhangbepalingen op te nemen.
Artikel 7.1 (aanpassing Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg)
De reikwijdte van de Wabvpz komt grotendeels overeen met de reikwijdte van het wetsvoorstel. Op grond van artikel 15j, eerste lid, Wabvpz kunnen bij AMvB regels worden gesteld over de functionele, technische en organisatorische maatregelen voor het beheer, de beveiliging en het gebruik van een zorginformatiesysteem51 of een elektronisch uitwisselingssysteem.52 De AMvB onder de Wabvpz moet worden voorgehangen.
Onder artikel 15j, eerste lid, hangt het Besluit elektronische gegevensverwerking door zorgaanbieders (hierna: Begz).53 In het Begz worden eisen gesteld aan de beveiliging van elektronische zorginformatiesystemen en elektronisch uitwisselingssystemen. Artikel 5, tweede lid, Begz is uitgewerkt in het Besluit vaststelling bewaartermijn logging.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop (hoe) gegevens door middel van een elektronische infrastructuur moeten worden uitgewisseld. Dit kan ook gaan om eisen aan zorginformatiesystemen of een elektronisch uitwisselingssystemen als bedoeld in de Wabvpz. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 15j, eerste lid, Wabvpz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels die gesteld zijn op grond van artikel 15j van de Wabvpz op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wabvpz valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Begz en het Besluit vaststelling bewaartermijn logging opgenomen worden. Opgemerkt wordt dat bij AMvB daarnaast aanvullende eisen opgenomen kunnen worden.
Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent, ontstaat op dit punt geen nieuwe situatie.
Artikel 7.2 (aanpassing Wet kwaliteit, klachten en geschillen zorg)
Onderdeel A
In paragraaf 2.3.3 van het algemeen deel van deze memorie is toegelicht dat onderdelen van de professionele standaard zich niet lenen als bron waarnaar in de eisen die bij het wetsvoorstel worden gesteld naar verwezen kan worden vanwege het ontbreken van rechtszekerheid.
In dit onderdeel is in het verlengde daarvan daarom bepaald dat een wijziging van goede zorg die afwijkt van de wettelijk verplichte gegevensuitwisseling door middel van een elektronische infrastructuur alleen kan via de weg van de kwaliteitsstandaarden. Als het gewenst is om afspraken te maken over de goede zorg die niet in overstemming zijn met de eisen die bij AMvB zijn gesteld, moeten zorgverleners en zorgaanbieders de procedure voor de kwaliteitsstandaarden bij het Zorginstituut volgen. Het gaat daarbij uitsluitend over het onderdeel in de kwaliteitsstandaard waarin is vastgelegd welke gegevens voor de andere zorgverleners nodig zijn en dus uitgewisseld moeten worden.
Onderdeel B
Om te borgen dat de relatie tussen welke gegevens die onderdeel zijn van de goede zorg (vastgelegd in kwaliteitsstandaarden) en de eisen hoe moeten worden uitgewisseld actueel en correct blijft, zal zicht gehouden moeten worden op die relatie. Wanneer een kwaliteitsstandaard als grondslag dient voor een aangewezen gegevensuitwisseling en daarmee als basis dient voor een norm is het van belang dat het Zorginstituut de Minister informeert wanneer een wijziging van de in die norm gehanteerde kwaliteitsstandaard wordt voorgedragen.
Artikel 7.3 (aanpassing Wet publieke gezondheid)
De zorg die verleend wordt onder de Wpg valt onder de reikwijdte van het wetsvoorstel. Jeugdgezondheidszorg is onderdeel van de publieke gezondheidszorg als bedoeld in de Wpg. Het college van burgemeester en wethouders is bij deze vorm van zorg zorgaanbieder.
In de Wpg staat in artikel 5, derde lid, onderdeel b, dat het college van burgemeester en wethouders er zorg voor moet dragen dat bij de uitvoering van de taak, bedoeld in artikel 5, eerste lid, (zorgdragen voor de uitvoering van de jeugdgezondheidszorg) gebruik moet worden gemaakt van digitale gegevensopslag, onder bij regeling van Onze Minister te stellen eisen aan de daarbij te gebruiken software, voor zover het gaat om vastleggen van patiëntgegevens als bedoeld in artikel 7:454 van het BW. In de Regeling eisen software ex artikel 5, derde lid, Wet publieke gezondheid (hierna: Regeling software) is hier uitvoering aan gegeven. In de Regeling software staat dat gebruik moet worden gemaakt van software die digitale overdracht en uniforme registratie mogelijk maakt en die ten minste een aantal nader genoemde rubrieken bevat. In de Regeling software wordt dus bepaald hoe gegevens geregistreerd moeten worden (de genoemde rubrieken) en wordt aangegeven dat digitale overdracht mogelijk moet zijn. Er wordt niet bepaald met welke software deze gegevens moeten worden vastgelegd opdat digitale uitwisseling mogelijk is. Welke software hiervoor toepasselijk is, is aan de uitvoerende partijen overgelaten.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB te eisen dat het uitwisselen van gegevens door middel van een elektronische infrastructuur plaats moet vinden en op welke wijze dit moet gebeuren. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Hoewel artikel 5, derde lid, onderdeel b, Wpg gaat over het elektronische opslaan en niet op elektronische uitwisselen van gegevens, zien de eisen die zijn opgenomen in de Regeling software wel op het elektronisch uitwisselen, of zijn met het oog daarop opgenomen.
De eis in de Regeling software dat gebruik moet worden gemaakt van software die digitale overdracht mogelijk maakt, zal, zoals in paragraaf 5.1 aangegeven, als de jeugdgezondheidszorg bij AMvB als gegevensuitwisseling wordt aangewezen, aangepast worden in een verplichting om gegevens uit te wisselen door middel van een elektronische infrastructuur. De eisen dat die software uniforme registratie mogelijk maakt en ten minste een aantal nader genoemde rubrieken bevat, zal zijn beslag moeten krijgen in de eisen die bij AMvB worden gesteld. Daarom wordt met dit wetsvoorstel geregeld dat artikel 5, derde lid, onderdeel b, Wpg vervalt als artikel 6.3 in werking treedt.
Artikel 7.4 (aanpassing Wet verplichte geestelijke gezondheidszorg)
De zorg die verleend wordt onder de Wvggz kan onder de reikwijdte van het wetsvoorstel vallen. Op grond van artikel 8:22, tweede lid, Wvggz moeten bij of krachtens AMvB regels worden gesteld over de wijze waarop de gegevensverwerkingen die voortvloeien uit die wet worden ingericht en met aanvullende waarborgen worden omkleed, waaronder begrepen de technische standaarden daarvoor. Onder gegevensverwerking valt ook het uitwisselen van gegevens. Het kan daarbij gaan om het uitwisselen van gegevens tussen zorgverleners, zoals bijvoorbeeld in een geval als bedoeld in artikel 8:16, zesde lid, Wvggz.
De AMvB onder de Wvggz moet worden voorgehangen. Op grond van de Wvggz kan een dwangsom worden opgelegd bij overtreding van artikel 8:22, tweede lid, Wvggz.
Aan de verplichting in artikel 8:22, tweede lid, is uitvoering gegeven in artikel 3.1 van het Besluit verplichte geestelijke gezondheidszorg (hierna: Bvggz) en in artikel 10 van de Regeling verplichte geestelijke gezondheidszorg (hierna: Rvggz).
In artikel 3.1 Bvggz is bepaald dat technische en organisatorische maatregelen genomen moeten worden om te borgen dat persoonsgegevens zijn beveiligd tegen: verlies of aantasting of onbevoegde kennisneming, opneming, wijziging, verwijdering of verstrekking. Daartoe worden een aantal minimale maatregelen genoemd. Daarnaast staat in 3.1 Bvggz dat een inrichting van die gegevensverwerking zodanig moet zijn dat wordt geborgd dat de verstrekking van gegevens die voortvloeit uit de wet doelmatig en tijdig plaats kan vinden en dat de te verstrekken gegevens actueel, juist en volledig zijn. De verplichtingen zijn gericht tot de verwerkingsverantwoordelijke.
In artikel 10 Rvggz is geregeld dat ten aanzien van gegevensverwerkingen door zorgaanbieders die voortvloeien uit de wet en de daarop berustende bepalingen voldaan moet worden aan NEN 7510, en de uitwerking daarvan in NEN 7512.
Met dit wetsvoorstel wordt het mogelijk om bij of krachtens AMvB eisen te stellen aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 8.22, tweede lid, Wvggz niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels van de Wvggz op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wvggz valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Bvggz en de Rvggz opgenomen worden. Uiteraard kunnen bij AMvB daarnaast aanvullende eisen opgenomen worden.
Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent en de mogelijkheid biedt om een last onder dwangsom op te leggen, ontstaat op die punten geen nieuwe situatie.
Artikel 7.5 (aanpassing Wet zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten)
De zorg die verleend wordt onder de Wzd aan psychogeriatrische en verstandelijk gehandicapte cliënten valt onder de Wkkgz en dus binnen de reikwijdte van het wetsvoorstel. Op grond van artikel 18c, zesde lid, Wzd moeten bij of krachtens AMvB regels worden gesteld over de wijze waarop de gegevensverwerkingen die voortvloeien uit die wet worden ingericht en met aanvullende waarborgen worden omkleed, waaronder begrepen de technische standaarden daarvoor. Onder gegevensverwerking valt ook het uitwisselen van gegevens. De AMvB moet worden voorgehangen. Daarnaast is relevant dat op grond van de Wzd een dwangsom kan worden opgelegd bij overtreding van artikel 18c, zesde lid, Wzd.
Aan de verplichting in artikel 18c, zesde lid, Wzd is uitvoering gegeven in artikel 4.1 van het Besluit zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Bzd) en in artikel 8 van de Regeling zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten (hierna: Rzd).
In artikel 4.1 Bzd is bepaald dat technische en organisatorische maatregelen genomen moeten worden om te borgen dat persoonsgegevens zijn beveiligd tegen: verlies of aantasting of onbevoegde kennisneming, opneming, wijziging, verwijdering of verstrekking. Daartoe worden een aantal minimale maatregelen genoemd. Daarnaast staat in artikel 4.1 Bzd dat een inrichting van die gegevensverwerking zodanig moet zijn dat wordt geborgd dat de verstrekking van gegevens die voortvloeit uit de wet doelmatig en tijdig plaats kan vinden en dat de te verstrekken gegevens actueel, juist en volledig zijn. De verplichtingen zijn gericht tot de verwerkingsverantwoordelijke.
In artikel 8 Rzd is geregeld dat ten aanzien van gegevensverwerkingen door zorgaanbieders die voortvloeien uit de wet en de daarop berustende bepalingen voldaan moet worden aan NEN 7510, en de uitwerking daarvan in NEN 7512.
Met dit wetsvoorstel wordt het mogelijk om bij AMvB eisen te stellen aan de wijze waarop (hoe) het uitwisselen van gegevens door middel van een elektronische infrastructuur tussen zorgverleners plaats moet vinden. Voorkomen moet worden dat deze eisen ook nog bij of krachtens andere wetten worden gesteld, bijvoorbeeld vanwege het risico dat de eisen niet overeenkomen en er op verschillende manieren op de eisen wordt toegezien en gehandhaafd. Daarom wordt met dit wetsvoorstel geregeld dat artikel 18c, zesde lid, Wzd niet van toepassing is voor zover het gaat om gegevens die worden uitgewisseld bij een aangewezen gegevensuitwisseling.
Deze wijziging heeft als gevolg dat wanneer bij AMvB onder dit wetsvoorstel een gegevensuitwisseling wordt aangewezen, de regels van de Wzd op het uitwisselen van die gegevens niet meer van toepassing zijn. Het uitwisselen van de gegevens bij die gegevensuitwisseling valt dan volledig onder het wetsvoorstel. Bij de AMvB zal daar waar het gaat om een gegevensuitwisseling die nu onder de Wzd valt en overgaat naar het regime van het wetsvoorstel steeds geborgd worden dat in ieder geval de eisen uit het Bzd en de Rzd opgenomen worden. Uiteraard kunnen bij AMvB daarnaast aanvullende eisen opgenomen worden.
Aangezien het voorliggende wetsvoorstel ook een voorhangbepaling kent en de mogelijkheid biedt om een last onder dwangsom op te leggen, ontstaat op die punten geen nieuwe situatie.
Artikelen 8.1 en 8.2 (eerste en tweede samenloopbepaling)
De formulering van het voorliggende wetsvoorstel is afhankelijk van de inwerkingtreding van de Wet van 3 maart 2021 tot wijziging van de Algemene wet bestuursrecht en enkele andere wetten in verband met het nieuwe omgevingsrecht en nadeelcompensatierecht (Stb. 2021, 135) (hierna: Wet wijziging Awb). Daarom zijn twee samenloopbepalingen opgenomen. Artikel 8.1 regelt de situatie dat de Wet wijziging Awb gelijktijdig met of eerder inwerking treedt dan het voorliggende wetsvoorstel. Artikel 8.2 regelt de situatie dat het de Wet wijziging Awb later in werking treedt dan het voorliggende wetsvoorstel.
Artikelen 9.1 tot en met 9.3 (evaluatiebepaling, inwerkingtreding en citeertitel)
In de slotbepalingen zijn artikelen opgenomen met betrekking tot evaluatie (zie paragraaf 10.1 van het algemeen deel van deze memorie), inwerkingtreding (zie paragraaf 10.3 van het algemeen deel van deze memorie) en de citeertitel.
De Minister voor Medische Zorg, T. van Ark