Ingediend | 30 maart 2018 |
---|---|
Beantwoord | 23 april 2018 (na 24 dagen) |
Indiener | Maarten Hijink |
Beantwoord door | Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
Onderwerpen | organisatie en beleid recht staatsrecht zorg en gezondheid |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2018Z05866.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20172018-1881.html |
Ja
In het Informatieberaad Zorg werken de koepels van zorgaanbieders, Patiëntenfederatie Nederland, de gemeenten, de zorgverzekeraars en VWS samen aan het verbeteren van de informatievoorziening in de zorg. Eén van de speerpunten van het Informatieberaad is het versterken van de regie van patiënten en burgers door hen te laten beschikken over hun gezondheidsgegevens in een eigen zogeheten persoonlijke gezondheidsomgeving (hierna te noemen PGO). Het programma MedMij (zie www.medmij.nl) geeft invulling aan deze brede gezamenlijke ambitie en wordt getrokken door Patiëntenfederatie Nederland.
MedMij ontwikkelt niet zelf een nieuw systeem of PGO, maar een samenhangend stelsel van standaarden en afspraken waaraan systemen van zorgaanbieders en PGO’s van mensen moeten voldoen opdat iedereen zelf op een veilige manier over zijn medische gegevens kan beschikken. MedMij is dus een vorm van keurmerk voor PGO’s en voor systemen van zorgaanbieders, opdat informatie-uitwisseling betrouwbaar kan plaatsvinden. Voorbeelden van hetgeen MedMij met het afsprakenstelsel borgt: je moet van PGO kunnen wisselen, er wordt veilig met je informatie omgesprongen, gegevens worden alleen gedeeld met zorgverleners of mantelzorgers als jij daar zelf expliciet in je PGO toestemming voor hebt gegeven, en data kunnen door de PGO-leverancier niet doorverkocht worden. Tegelijkertijd zegt het hoe de systemen van zorgaanbieders moeten werken naar PGO’s toe, bijvoorbeeld welke informatie uitgewisseld moet kunnen worden met zorggebruikers en in welke technische taal deze moet zijn gesteld zodat systemen van zorgaanbieders kunnen «praten» met de PGO’s die aan MedMij voldoen.
Patiëntenfederatie Nederland laat mij weten, dat MedMij inderdaad geen (nieuwe) persoonlijke gezondheidsomgeving wordt gebouwd, maar dat mensen gebruik kunnen maken van bestaande (en mogelijk nieuw door de markt ontwikkelde) omgevingen die aan de afspraken van MedMij voldoen. Onderdeel van het afsprakenstelsel is een uitvoerig toetsings- en auditproces zodat producten die het MedMij keurmerk dragen met zekerheid voldoen aan de gestelde eisen. De lijst met goedgekeurde PGO’s zal worden beheerd en gepubliceerd door een daartoe opgerichte stichting MedMij. De eigenaren en belangrijkste gebruikers van het afsprakenstelsel, te weten patiënten en zorgaanbieders, gaan het bestuur van de stichting vormen.
Hoewel PGO’s pas vanaf de zomer kunnen gaan voldoen aan de MedMij eisen, en er tegelijkertijd behoefte bestaat aan voorbeelden van PGO’s die nu al op de markt beschikbaar zijn, heeft Patiëntenfederatie Nederland een overzicht geplaatst, zie https://www.medmij.nl/artikel/primeur-voor-digitalezorggids-eerste-overzicht-van-pgos.
Het MedMij-programma is begin 2016 gestart met het ontwikkelen van het afsprakenstelsel en informatiestandaarden, en het in de praktijk toetsen of hetgeen ontwikkeld is ook daadwerkelijk werkt. Een praktijkproef is op dit moment gaande, en komende zomer zullen de uitkomsten daarvan zijn verwerkt in de zogeheten 1.1 versie van het afsprakenstelsel, zodat vervolgens de leveranciers van ICT-systemen voor zorgaanbieders en PGO-leveranciers kunnen gaan voldoen aan MedMij. Dit gaat er volgens Patiëntenfederatie Nederland toe leiden dat in 2019 de eerste groepen mensen gebruik kunnen maken van een PGO dat voldoet aan MedMij en veilig en betrouwbaar kunnen gaan beschikken over gezondheidsgegevens van tenminste huisarts, apotheek, ziekenhuis en zelfmeetgegevens. Het afsprakenstelsel zal altijd doorontwikkeld worden en er komen in 2019 en 2020 steeds meer relevante gegevensbronnen via MedMij beschikbaar.
In het Informatieberaad Zorg werken alle grote koepels van zorgaanbieders, Patiëntenfederatie Nederland, de gemeenten, zorgverzekeraars en VWS samen aan het verbeteren van de informatievoorziening in de zorg. Het Informatieberaad is formeel opdrachtgever van het MedMij programma. Patiëntenfederatie Nederland is trekker van het programma. Het is de bedoeling dat het beheer van het MedMij afsprakenstelsel wordt ondergebracht bij een stichting die bestuurd zal worden door de eigenaren en belangrijkste gebruikers van het afsprakenstelsel, te weten patiënten en zorgaanbieders.
Het MedMij afspraken stelsel is ontwikkeld op basis van «privacy by design» en is compliant met de op privacy en veiligheid ziende wet- en regelgeving. Hetgeen wordt ontwikkeld past binnen de bestaande (en toekomstige) privacykaders die gelden op basis van de Wet bescherming persoonsgegevens (welke wet geldt tot 25 mei 2018). Met ingang van 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming. Daarnaast zijn ook de wettelijke bepalingen die specifiek betrekking op de zorg hebben van toepassing, zoals de WGBO en Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Het programma MedMij heeft een afsprakenstelsel gepubliceerd op www.medmij.nl/afsprakenstelsel. Het afsprakenstelsel heeft als doel te waarborgen dat partijen die deelnemen aan MedMij zich aan de gemaakte afspraken zullen committeren.
Patiënten, zorgaanbieders, zorgverzekeraars, Nictiz en VWS zijn vertegenwoordigd in de stuurgroep MedMij die wordt voorgezeten door Patiëntenfederatie Nederland. Zorgverzekeraars financieren samen met VWS de programmakosten.
MedMij maakt zoveel mogelijk gebruik van bestaande standaarden en infrastructuren, zoals bijvoorbeeld XDS netwerken en het Landelijk Schakelpunt dat wordt beheerd door VZVZ (de Vereniging van Zorgaanbieders voor Zorgcommunicatie). Op deze manier kan voortgebouwd worden op hetgeen al aan informatie-uitwisseling in de zorg plaatsvindt. Het servicecentrum van VZVZ is een aparte uitvoeringsorganisatie van VZVZ die naast het LSP ook voor andere zorgcommunicatie-initiatieven beheertaken uitvoert, zoals bijvoorbeeld voor stichting Koppeltaal voor de eerstelijnszorg en GGZ. MedMij is in gesprek met het VZVZ Servicecentrum om een aantal operationele beheertaken uit synergieoverwegingen te laten uitvoeren.
Sinds de start van het MedMij-programma begin 2016 hebben de zorgverzekeraars en VWS gezamenlijk de programmakosten gefinancierd. De in de Volkskrant genoemde 3 miljoen euro is een indicatie van de bijdrage van VWS aan de programmakosten van MedMij in 2018. Dit bedrag is vergelijkbaar met de bijdrage van VWS aan MedMij in 2016 en 2017. Over mogelijke financiële bijdragen van VWS aan het MedMij-programma voor aankomende jaren vindt later dit jaar besluitvorming plaats. De programmabegroting voor 2018 wordt bijgevoegd.
Naast de programmakosten is VWS voornemens om het gebruik van PGO’s die aan de MedMij eisen voldoen te stimuleren met behulp van een subsidie. De in het Regeerakkoord opgenomen middelen voor digitaal ondersteunde zorg zullen hiervoor deels worden ingezet. Hierover vindt nog definitieve besluitvorming plaats.
Een praktijkproef is op dit moment gaande, en komende zomer zullen de uitkomsten daarvan zijn verwerkt in de zogeheten 1.1 versie van het afsprakenstelsel, zodat vervolgens de leveranciers van ICT-systemen voor zorgaanbieders en PGO-leveranciers kunnen gaan voldoen aan MedMij. Dit gaat ertoe leiden dat in 2019 de eerste groepen mensen gebruik kunnen maken van een PGO dat voldoet aan MedMij en veilig en betrouwbaar kunnen gaan beschikken over gezondheidsgegevens. Er is dus geen sprake van een testgroep aan het eind van dit jaar. Alvorens de 1.1 versie van het afsprakenstelsel komende zomer live gaat, zal de stuurgroep van MedMij over een go/no go besluiten.
Het technisch mogelijk zijn van informatie-uitwisseling via MedMij betekent inderdaad niet, dat alle informatie door alle zorgaanbieders vanaf deze zomer al digitaal volgens de gedefinieerde standaarden word vastgelegd en ontsloten. Daarvoor is veelal aanpassing nodig in de ICT-systemen van zorgverleners en op onderdelen ook in hetgeen men digitaal vastlegt. Om ervoor te zorgen dat zorgaanbieders klaar zijn voor digitale ontsluiting van gegevens naar patiënten worden zogeheten sectorale verbeterprogramma’s ontwikkeld, zoals bijvoorbeeld het VIPP programma voor de ziekenhuizen waar VWS met behulp van resultaatafhankelijke subsidieregelingen zorgaanbieders financiert om sectorspecifieke doelstellingen te behalen. Het voldoen aan de MedMij- informatiestandaarden en -eisen is opgenomen in deze regeling en bevordert zo de ontsluiting van gegevens naar PGO’s. In het VIPP programma voor ziekenhuizen hebben 67 van de 68 algemene ziekenhuizen ingetekend om begin 2020 patiënten de belangrijkste ziekenhuisinformatie (te weten de basisgegevensset zorg conform de zorginformatiebouwstenen van Registratie aan de Bron) gestructureerd beschikbaar te stellen. Ook in de GGZ, de huisartsenzorg en de care zijn vergelijkbare programma’s in ontwikkeling.
We zullen er bij de stuurgroep van MedMij op aandringen om in de communicatie rond PGO’s en gegevensontsluiting ervoor te zorgen, dat er geen verkeerde verwachtingen worden gewekt ten aanzien van de volledigheid van beschikbare informatie, en ook de rol van de burger daarin duidelijk te beschrijven.
Er is een keur aan innovaties en initiatieven rond het verzamelen en delen van gezondheidsgegevens. Veelal zijn deze regionaal van aard, voor een specifiek type gegevens en/of afhankelijk van koppelingen tussen individuele systemen. Doordat MedMij een gezamenlijk initiatief is van alle zorgkoepels, Patiëntenfederatie Nederland, zorgverzekeraars, gemeenten en het Ministerie van VWS, er gewerkt wordt aan een afsprakenstelsel dat losse of lokale inspanningen overbodig maakt, en er wordt voortgeborduurd op bestaande standaarden en infrastructuren, heb ik het vertrouwen dat dit project gaat bijdragen aan de stroomlijning van initiatieven. Voor de goede orde zij benadrukt, dat het streven niet is naar één PGO, maar dat er keuzevrijheid blijft om tussen verschillende leveranciers te kiezen.
Ja
Ja, het MedMij afsprakenstelsel is aanvullend op bestaande wet- en regelgeving en bijbehorend toezicht, zoals de Autoriteit Persoonsgegevens (AP). De AP houdt als onafhankelijke toezichthouder toezicht op de uitvoering van de wet door de deelnemers en leveranciers.
Het programma MedMij werkt aan een afsprakenstelsel met daarin aanvullende waarborgen voor privacy en veiligheid in de informatie-uitwisseling en van systemen. Er wordt gewerkt volgens het Privacy by Design principe zoals bedoeld in de onder 5 toegelichte Algemene Verordening Gegevensbescherming. Dit houdt in dat bij de ontwikkeling van PGO’s rekening gehouden zal moeten worden met privacyverhogende maatregelen.
Het afsprakenstelsel van het programma MedMij is en wordt juridisch getoetst. MedMij zal een keurmerk verlenen aan PGO-leveranciers die voldoen aan hetgeen in het afsprakenstelsel is opgenomen. De leveranciers van de PGO’s zullen (blijven) moeten voldoen aan de privacywetgeving en blijven hiervoor ook zelf verantwoordelijk. De onafhankelijke toezichthouder – de Autoriteit Persoonsgegevens – bepaalt uiteindelijk of de privacy voldoende gegarandeerd is.
Zoals in voorgaande antwoord bevestigd, is het MedMij afsprakenstelsel aanvullend op bestaande wet- en regelgeving en bijbehorend toezicht, in deze de Autoriteit Persoonsgegevens (AP). De AP houdt als onafhankelijke toezichthouder toezicht op de uitvoering van de wet door de deelnemers en leveranciers. Het Ministerie van VWS werkt via het Informatieberaad doorlopend aan het verbeteren van de informatievoorziening in de zorg.
Het MedMij afsprakenstelsel bevat een standaard verwerkersovereenkomst die afgesloten wordt tussen de zorgaanbieder en de leverancier voor de zorgaanbieder. Hierin wordt aangegeven dat er door de leverancier maatregelen genomen moeten worden om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking. Dit betekent dat de leverancier onder meer maatregelen moet nemen om onrechtmatige opslag te voorkomen en er moet worden voldaan aan dataregels. Ook zijn er afspraken over het inschakelen van derde partijen (subbewerkers). Voor PGO leveranciers zijn evenzeer uitgebreide eisen gesteld aan de wijze waarop zij omgaan met data, opslag en verwerking van gegevens, waaronder een normenkader en NEN- en aanverwante voorschriften.
Navraag bij Patiëntenfederatie Nederland leert dat deze verwoording niet correct is; het is een misverstand dat MedMij gebruik zou maken van een betere beveiliging dan of in plaats van DigiD. In het MedMij afsprakenstelsel wordt een onderscheid gemaakt tussen het ontsluiten van gegevens:
Aan de zorgaanbiederskant schrijft MedMij in het afsprakenstelsel voor dat een inlogmiddel wordt toegepast dat het BSN kan verifiëren aangezien dit het BSN-domein betreft. Momenteel is dat DigiD onder verantwoordelijkheid van BZK. Aan zorgaanbiederskant zijn de betreffende dienstverleners verplicht de gegevens te ontsluiten met 2 factor authenticatie van DigiD.
Aan de persoonsdomeinkant (PGO) is het niet mogelijk DigiD te gebruiken aangezien een PGO geen BSN-gerechtigde organisatie betreft. MedMij gaat voor het inlogmiddel voor het persoonsdomein (PGO) uit van leveranciers uit het private domein. Omdat het gezondheidsgegevens betreft heeft MedMij gesteld, voortkomend uit de risicoanalyse, dat aan alle leveranciers van PGO’s de NEN 7510 wordt opgelegd. Dat is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland. De norm is gebaseerd op de Code voor Informatiebeveiliging. Ook voor de private partijen geldt dat zij twee-factor authenticatie moeten toepassen. Dat wil zeggen dat om de betrouwbaarheid van de identiteitsvaststelling en veilig inloggen te vergroten, authenticatie wordt afgedwongen door minimaal twee van de volgende authenticatievormen gelijktijdig toe te passen: iets wat je weet (kennis), iets wat je bezit (bijvoorbeeld een gegevensdrager) en iets wat je bent (persoonlijke eigenschap). Alle dienstverleners die deelnemen aan MedMij zijn verplicht aan bovenstaande eisen te voldoen en middels een audit aantonen dat ze aan die specifieke eisen voldoen.
De Autoriteit Persoonsgegevens (AP) houdt als onafhankelijke toezichthouder toezicht op de uitvoering van de wet door de deelnemers, Stichting MedMij en de uitvoeringsorganisatie. Zij bepaalt zelf hoe en op welke wijze zij invulling geeft aan haar rol. De AP heeft geen adviserende taak.
MedMij is zelf verantwoordelijk voor het voldoen aan de geldende wet -en regelgeving en laat zich daarbij adviseren door verschillende partijen. Vanaf oktober 2017 wordt in een proefomgeving die de naam «PROVES» heeft gekregen getest of de gegevensuitwisseling tussen patiënt en zorgverlener in een praktijksituatie verloopt zoals dit op papier is uitgetekend. Het is aan MedMij om hiervan te leren en om de resultaten van de proef te beoordelen. De AP is op de hoogte van de proef. Het is aan de AP zelf om te bepalen naar welke initiatieven zij actief een onderzoek instelt.