Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 24 juli 2024 en het nader rapport d.d. 4 maart 2025, aangeboden aan de Koning door de Minister van Volksgezondheid, Welzijn en Sport. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.
Blijkens de mededeling van de Directeur van Uw Kabinet van 21 mei 2024, no. 2024001228, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 24 juli 2024, no. W13.24.00112/III, bied ik U hierbij aan.
De tekst van het advies treft u hieronder cursief aan, voorzien van mijn reactie.
Bij Kabinetsmissive van 21 mei 2024, no. 2024001228, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorg, met memorie van toelichting.
Het wetsvoorstel voorziet in de instelling van één register voor zorgaanbieders, zorgmedewerkers, indicatieorganen, zorgverzekeraars, jeugdhulpverleners, jeugdhulpaanbieders en hun medewerkers: het zogeheten Dezi-register.
Via dit register kunnen ingeschrevenen hun identiteit bekendmaken (identificatie) en bewijzen (authenticatie) voor toegang tot de Sectorale Berichtenvoorziening in de zorg (SBV-Z) en (onder meer) zorginformatiesystemen en elektronische uitwisselingssystemen. Daarbij moet gebruik worden gemaakt van een door de Minister van Volksgezondheid, Welzijn en Sport (hierna: Minister) goedgekeurd inlogmiddel. De Minister keurt een inlogmiddel goed als deze voldoet aan het hoogste betrouwbaarheidsniveau.
De Afdeling advisering van de Raad van State onderschrijft het grote en toenemende belang van een uniforme, veilige en hoog betrouwbare (digitale) toegang tot cliëntgegevens. De Afdeling verwacht echter dat dit wetsvoorstel hieraan beperkt zal bijdragen. Inschrijving in het Dezi-register wordt alleen vereist voor het krijgen van toegang tot de SBV-Z. Voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen in de zorg is die verplichting er niet. Dit terwijl ook voor toegang tot die systemen een betrouwbaarheidsniveau «hoog» vereist is.
De Afdeling adviseert de regering daarom om ten minste een uiterste termijn op te nemen vanaf wanneer identificatie en authenticatie via het Dezi-register en het gebruik van een goedgekeurd inlogmiddel ook verplicht is voor het krijgen van toegang tot zorginformatiesystemen en elektronische uitwisselingsystemen.
In verband hiermee is aanpassing van het wetsvoorstel en de toelichting wenselijk.
Momenteel bestaan er afzonderlijke (door het CIBG beheerde) registers waarin zorg- en jeugdhulpaanbieders, indicatieorganen en zorgverzekeraars op verzoek kunnen worden ingeschreven.2 Dit om toegang te krijgen tot de SBV-Z. Via deze voorziening kan onder meer het BSN-nummer van een cliënt worden achterhaald of gecontroleerd en de geldigheid van een identiteitsbewijs worden geverifieerd.
Zorg- en jeugdhulpaanbieders, indicatieorganen en zorgverzekeraars moeten zich op dit moment identificeren en authenticeren, voordat zij door het CIBG worden ingeschreven. Ook controleert het CIBG of van de SBV-Z gebruik gemaakt mag worden.3 Na inschrijving kunnen zorgverzekeraars een zogeheten ZOVAR-servercertificaat aanvragen.4 Dit certificaat waarborgt een betrouwbare uitwisseling van informatie tussen de SBV-Z en het betreffende informatiesysteem van de zorgverzekeraar.
Ingeschreven zorg- en jeugdhulpaanbieders en indicatieorganen kunnen op hun beurt een soortgelijk certificaat aanvragen: het UZI-servercertificaat.5 Daarnaast kunnen laatstgenoemden (voor medewerkers die toegang moeten hebben tot de SBV-Z) een UZI-pas aanvragen. Met een UZI-pas kan de houder daarvan zich identificeren en authenticeren om toegang tot de SBV-Z te krijgen. De UZI-pas en het UZI-servercertificaat worden tezamen UZI-middelen genoemd.6
Deze wijze van identificatie en authenticatie voldoet aan het betrouwbaarheidsniveau «hoog». In de zogeheten eIDAS-verordening wordt beschreven wat dit hoogste niveau van betrouwbaarheid inhoudt.7 Maar de UZI-middelen en het daaraan gekoppelde register worden niet omarmd door zorg- en jeugdhulpaanbieders (en hun medewerkers). De UZI-middelen worden als duur, inflexibel en gebruiksonvriendelijk ervaren.8 Bovendien kunnen die middelen en het bijbehorende register, overeenkomstig de huidige wet- en regelgeving, alleen worden ingezet voor het krijgen van toegang tot de SBV-Z.
Dit heeft ertoe geleid dat de zorg- en jeugdhulpsector de UZI-middelen en het bijbehorende register (vooral) gebruikt voor het krijgen van toegang tot de SBV-Z.9 Voor toegang tot zorginformatiesystemen en elektronische uitwisselingsystemen, maakt deze sector gebruik van verschillende inlogmiddelen. Deze verscheidenheid aan inlogmiddelen beperkt het vermogen van de zorg- en jeugdhulpsector om effectief en efficiënt cliëntgegevens met elkaar uit te wisselen (interoperabiliteit). Bovendien voldoen die inlogmiddelen niet aan het betrouwbaarheidsniveau «hoog».10
Een uniforme, veilige en hoog betrouwbare digitale toegang tot cliëntgegevens is, zeker gezien de digitalisering en de opkomst van netwerkzorg, van groot belang. De regering ziet daarom in de huidige situatie aanleiding voor wettelijk ingrijpen.11
Het wetsvoorstel voorziet daartoe in de instelling van één register voor zorgaanbieders, zorgmedewerkers, indicatieorganen, zorgverzekeraars, jeugdhulpverleners, jeugdhulpaanbieders en hun medewerkers: het Dezi-register.12
Voor toegang tot de SBV-Z is inschrijving in dit register vereist. Aan de hand van dit register kan een ingeschrevene zich identificeren en authenticeren voor toegang tot de voormelde voorziening. Hij moet daarbij gebruikmaken van een door de Minister goedgekeurd inlogmiddel. De Minister keurt een inlogmiddel goed als deze voldoet aan het betrouwbaarheidsniveau «hoog».13 Bij of krachtens algemene maatregel van bestuur worden (onder meer) regels gesteld over de wijze waarop aangetoond kan worden dat een inlogmiddel aan dat betrouwbaarheidsniveau voldoet.14 De beheerder van de SBV-Z zorgt ervoor dat een ingeschrevene met ieder goedgekeurd inlogmiddel toegang heeft tot de SBV-Z.15
Voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen is inschrijving in het Dezi-register niet vereist. Het is aan de zorg- of jeugdhulpaanbieder om te bepalen of hij zich inschrijft en voor toegang tot zijn zorginformatiesystemen en elektronische uitwisselingsystemen gebruik wil maken van het register en een door de Minister goedgekeurd inlogmiddel.16 Ook is het aan de zorg- of jeugdhulpaanbieder om te bepalen of bepaalde andere ingeschrevenen via het register en een goedgekeurd inlogmiddel toegang krijgen tot zijn systemen.17 Indien de mogelijkheid is geboden om via het register en een goedgekeurd inlogmiddel toegang tot die systemen te krijgen, dan moet die toegang ook mogelijk gemaakt worden met ieder ander goedgekeurd inlogmiddel.
De Afdeling onderschrijft het grote en toenemende belang van een uniforme, veilige en hoog betrouwbare (digitale) toegang tot cliëntgegevens. Het gaat immers om bijzondere persoonsgegevens over de gezondheid. De Afdeling verwacht echter dat de effectiviteit van het wetsvoorstel in dit verband beperkt zal zijn. Inschrijving in het Dezi-register is alleen vereist voor het krijgen van toegang tot de SBV-Z. Dit brengt met zich dat identificatie en authenticatie via het Dezi-register en het gebruik van een goedgekeurd inlogmiddel alleen verplicht is voor het krijgen van toegang tot die voorziening.
De Afdeling merkt op dat het aan zorg- en jeugdhulpaanbieders wordt overgelaten om te bezien of zij voor de toegang tot hun zorginformatiesystemen en elektronische uitwisselingssystemen gebruik willen maken van het Dezi-register en een door de Minister goedgekeurd inlogmiddel. Ook is het aan hen om te bepalen of zij bepaalde andere ingeschrevenen in staat willen stellen om via dit register en een goedgekeurd inlogmiddel toegang tot die systemen te krijgen. Uit de toelichting blijkt dat de voornaamste reden hiervoor is dat het aan de zorg- en jeugdhulpaanbieder is om te bepalen hoe hij zijn organisatie vormgeeft en op welke wijze hij ervoor zorgt dat de (digitale) toegang tot cliëntgegevens verloopt via het vereiste betrouwbaarheidsniveau.18
Daarnaast zou een verplichting tot het gebruik van het Dezi-register en een goedgekeurd inlogmiddel in dit verband resulteren in grote lasten voor zorg- en jeugdhulpaanbieders. Zij zouden hun systemen immers moeten aanpassen voor gebruik met goedgekeurde inlogmiddelen. In voorkomend geval betekent dit dat zij moeten overstappen op andere systemen.19 De regering acht het onverplichte karakter van de bepalingen van dit wetsvoorstel op zichzelf een voldoende stimulans om het vereiste betrouwbaarheidsniveau te bereiken.
De Afdeling begrijpt dat het primair de verantwoordelijkheid is van zorg- en jeugdhulpaanbieders om ervoor te zorgen dat de (digitale) toegang tot cliëntgegevens verloopt via het vereiste betrouwbaarheidsniveau. Dat is hier het betrouwbaarheidsniveau «hoog». Het gaat immers om toegang tot bijzondere persoonsgegevens over de gezondheid, die ook (kunnen) vallen onder het medisch beroepsgeheim.20 Uit de toelichting blijkt echter dat voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen vaak geen gebruik wordt gemaakt van inlogmiddelen op dit vereiste betrouwbaarheidsniveau.21
Het belang van de bescherming van bijzondere persoonsgegevens is zo groot dat zij de stimulans die van dit wetsvoorstel op zichzelf zou moeten uitgaan onvoldoende acht om op een redelijke termijn te bereiken dat de toegang tot en uitwisseling van bijzondere persoonsgegevens voldoet aan het hoogste betrouwbaarheidsniveau. De Afdeling adviseert daarom om ten minste een uiterste termijn in het wetsvoorstel op te nemen vanaf wanneer identificatie en authenticatie via het Dezi-register en een door de Minister goedgekeurd inlogmiddel verplicht zijn voor het kunnen krijgen van toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen.
De Afdeling adviseert het wetsvoorstel en de toelichting in die zin aan te passen.
Het kabinet deelt de visie van de Afdeling dat het belang van uniforme, veilige en hoog betrouwbare (digitale) toegang tot cliëntgegevens groot is en steeds belangrijker zal worden. Het inloggen met inlogmiddelen met het betrouwbaarheidsniveau hoog is dan ook een onmisbare schakel in het veilig digitaal verwerken van patiëntgegevens. Uit artikel 32 van de AVG vloeit immers voort dat verwerkers passende technische en organisatorische maatregelen moeten nemen om een op het risico afgestemd beveiligingsniveau te waarborgen.
In aansluiting op het advies van de Autoriteit Persoonsgegevens is het kabinet van mening dat, als het gaat om gegevens waar het medisch beroepsgeheim op rust, enkel tot een passend beveiligingsniveau gekomen kan worden als de betreffende systemen worden geraadpleegd met een inlogmiddel met het betrouwbaarheidsniveau hoog. De plicht om dit passende beveiligingsniveau te borgen rust primair op de zorg- en jeugdhulpaanbieder, als verwerker van deze gegevens.
Het kabinet volgt het advies van de Afdeling om authenticatie via het Dezi-register en een goedgekeurd inlogmiddel verplicht te stellen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en in de Jeugdwet voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen. Hiermee wordt verzekerd dat interoperabiliteit tussen de verschillende systemen op termijn tot stand komt. Het wetsvoorstel en de toelichting zijn op dit punt aangepast.
Inlogmiddelen met het betrouwbaarheidsniveau hoog worden nu nog niet gebruikt omdat die middelen niet beschikbaar zijn. Dat probleem wordt met dit wetsvoorstel opgelost; zorgaanbieders moeten ingevolge dit wetsvoorstel voor het gebruik van SBV-Z een goedgekeurd inlogmiddel met het betrouwbaarheidsniveau hoog gaan gebruiken. Daardoor is het aantrekkelijk om deze inlogmiddelen te ontwikkelen. Als deze inlogmiddelen ontwikkeld zijn, volgt de verplichting om een inlogmiddel met betrouwbaarheidsmiddel hoog breed in te zetten om patiëntgegevens te beveiligen. Voor de verschillende sectoren wordt bezien wat een haalbare termijn is voor implementatie. Dit zal afhangen van de inlogmiddelen die op de markt komen, de diversiteit aan systemen die aangepast of vervangen moeten worden en de last die dit met zich brengt voor zorg- en jeugdhulpaanbieders. Daarom is in artikel 15, vierde lid, Wapvpz en artikel 7.2.8, zesde lid, Jeugdwet de mogelijkheid opgenomen om bij of krachtens algemene maatregel van bestuur te bepalen op welk moment de verplichtstelling aanvangt per afzonderlijk elektronisch uitwisselingssysteem of zorginformatiesysteem of categorieën daarvan. Ook paragraaf 2.3 van de toelichting is daarop aangepast.
Volledigheidshalve wordt opgemerkt dat dit niets afdoet aan de verplichtingen die voortvloeien uit artikel 32 van de AVG; zorg- en jeugdhulpaanbieders moeten hun patiëntgegevens afdoende beveiligen. Zij zijn op grond van dit artikel dan ook reeds verplicht om over te stappen naar inlogmiddelen met het betrouwbaarheidsniveau hoog, waar het gaat om het raadplegen van patiëntgegevens waar het medisch beroepsgeheim op rust. Dit kunnen zij doen met de nieuw goed te keuren inlogmiddelen of met andere inlogmiddelen op het betrouwbaarheidsniveau hoog.
De Afdeling advisering van de Raad van State heeft een opmerking bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.
Van de gelegenheid is gebruik gemaakt om het overgangsrecht aan te passen. Er is voorzien in een overgangsperiode waarin de bestaande UZI-middelen en het nieuwe Dezi-register naast elkaar bestaan. Het bestaande regime blijft op de UZI-middelen van toepassing tot 1 januari 2028. Hiermee wordt voorkomen dat gedurende bepaalde tijd een situatie ontstaat waarbij geen UZI-middelen meer uitgegeven kunnen worden, maar er ook nog niet voldoende goedgekeurde inlogmiddelen voor het Dezi-register beschikbaar zijn. Omwille van een rustige en zorgvuldige implementatie van de nieuwe inlogmiddelen wordt er dan ook voor gekozen om tijdelijk nog UZI-middelen te blijven uitgeven. Ook paragraaf 2.3 van de toelichting is hierop aangepast.
De waarnemend vice-president van de Raad van State,
L.F.M. Verhey
Tot slot zijn enkele wijzigingen van technische aard in het wetsvoorstel en de memorie van toelichting aangebracht.
Ik verzoek U het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.
De Minister van Volksgezondheid, Welzijn en Sport, M-F. Agema