Preview document (🔗 origineel)

---

Tweede Kamer, Wijzigingen van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerking te verstevigen en enkele andere wijzigingen (Verzamelwet gegevensverwerking VWS II.a)

VERSLAG VAN EEN WETGEVINGSOVERLEG
Concept

De vaste commissie voor Volksgezondheid, Welzijn en Sport heeft op 27 januari 2025 overleg gevoerd met mevrouw Agema, minister van Volksgezondheid, Welzijn en Sport, viceminister-president, over:

• het wetsvoorstel Wijzigingen van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerking te verstevigen en enkele andere wijzigingen (Verzamelwet gegevensverwerking VWS II.a) (36579).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en Sport,
Mohandis

De griffier van de vaste commissie voor Volksgezondheid, Welzijn en Sport,
Esmeijer

Voorzitter: Tielen
Griffier: Sjerp

Aanwezig zijn vijf leden der Kamer, te weten: Bushoff, Claassen, De Korte, Rikkers-Oosterkamp en Tielen,

en mevrouw Agema, minister van Volksgezondheid, Welzijn en Sport, viceminister-president.

Aanvang 10.00 uur.

De voorzitter:
Goedemorgen, allemaal. Het is maandag 27 januari. Ik heet u van harte welkom bij de vaste Kamercommissie voor Volksgezondheid, Welzijn en Sport. Wij gaan een wetgevingsoverleg beginnen, over de wet met de titel Wijzigingen van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerking te verstevigen en enkele andere wijzigingen. We noemen dat ook wel "een verzamelwet". In dit geval is dat de Verzamelwet gegevensverwerking VWS II.a. Voor de enthousiastelingen: dat is Kamerstuk 36579.

Welkom aan de minister van Volksgezondheid, Welzijn en Sport, minister Agema, en aan de leden van de Kamer. Mevrouw De Korte is er namens Nieuw Sociaal Contract, meneer Claassen namens de PVV, meneer Bushoff namens GroenLinks-PvdA en mevrouw Rikkers namens de BBB. Ikzelf ben deels uw voorzitter, maar ik wil straks ook nog wat zeggen, dus dan zal meneer Bushoff het voorzitterschap kort overnemen. Ook welkom aan de mensen op de publieke tribune en aan iedereen die vanaf een afstandje meekijkt. We hebben tot 14.00 uur ingepland voor dit debat. We gaan echt niet langer door, maar ik denk dat dat ook niet nodig is. Iedereen van de Kamer heeft zich ingeschreven met een bepaalde spreektijd. Dat mag altijd bij wetten. Dan mag je zo lang spreken als je wil, maar het is fijn als we van tevoren weten hoelang, want dan kan ik u daar een beetje aan houden. Ik wil voorstellen om in de eerste termijn van de Kamer vijf interrupties toe te staan.

Als er verder geen vragen zijn, gaan we gewoon beginnen. We beginnen met de bijdrage van mevrouw De Korte, namens de fractie van Nieuw Sociaal Contract.

Mevrouw De Korte (NSC):
Dank u wel, voorzitter. Vandaag spreken we over het eerste deel van de Wet gegevensverwerking. U en de leden van deze commissie kennen de standpunten van NSC. We zijn zeer kritisch over het verzamelen en beheren van grote datasets aan patiëntgegevens. Deze wet bestaat uit een aantal onderdelen. In een deel gaat het erom de Inspectie Gezondheidszorg en Jeugd en het Europese comité gericht op foltering toegang te verlenen tot medische dossiers in het geval van calamiteiten. Daar zijn wij het volledig mee eens. Echter, over één onderdeel van de wet, dat betrekking heeft op de veiligheid en privacy van patiëntgegevens in de vorm van declaratiegegevens, zijn wij zeer bezorgd.

Een deel van deze wet regelt de grondslag waarmee de private organisatie Vektis alle landelijke declaratiedata van zorgverzekeraars en Wlz-uitvoerders kan verzamelen en analyseren. Tot enkele jaren geleden had elk ziekenhuis, elke zorgverzekeraar en elk zorgkantoor een eigen databestand. Dat was op kleine schaal. Eigenlijk heb ik er een hekel aan om te spreken over "databestanden", want het zijn patiëntgegevens, en elke patiënt heeft een eigen verhaal. Natuurlijk is er een databestand bij elke zorgverzekeraar. Dat is tegenwoordig nodig om de ziekenhuizen uit te betalen. We werken niet meer met brieven en Excelsheets. Maar juist de grote hoeveelheid patiëntgegevens die nu via Vektis op landelijke schaal worden verwerkt, maakt dat deze bestanden interessant zijn voor hackers, zo is mij verteld door deskundigen. De veiligheid van gegevens is steeds meer in het geding. We willen precies weten hoe de processen lopen vanaf de zorgverzekeraar naar Vektis, naar de beleidsinformatie, en hoe de patiëntgegevens beveiligd zijn. We hebben hierover vragen gesteld. Ook na het kerstreces heb ik gezocht naar antwoorden. Ik heb bij Vektis, de zorgverzekeraars en het ministerie extra navraag gedaan. Er zijn een paar stappen die ik heb gevonden. Van de minister hoor ik graag of die kloppen.

Allereerst leveren alle zorgverzekeraars en Wlz-uitvoerders declaratiegegevens van patiënten aan Vektis; dat is duidelijk. Het is onduidelijk of Vektis declaratiegegevens krijgt met bsn-nummer of met een versleuteld bsn-nummer, want dan zijn het gepseudonimiseerde gegevens. Ik citeer letterlijk een antwoord van het ministerie: "Er bestaan twee bestanden naast elkaar: de ongepseudominiseerde brondata en de gepseudonimiseerde data. Beide zijn noodzakelijk voor het vervullen van wettelijke taken en verplichtingen." Ik begrijp hieruit dat de declaratiedata van de zorgverzekeraars en de Wlz-aanbieders niet gepseudonimiseerd naar Vektis gaan en ook niet gepseudonimiseerd in een bronbestand zitten. Vervolgens worden deze brondata door Vektis gepseudonimiseerd. Voor beleidsonderzoek worden ze geanonimiseerd. Ik wil de minister vragen of het klopt dat bronbestanden van Vektis niet-gepseudonimiseerde declaratiedata bevatten. Wij nemen aan dat brondata van Vektis waarschijnlijk bsn-nummers bevatten, net als enkele medische gegevens van alle Nederlandse patiënten die zorg hebben ontvangen. Met een bsn-nummer is de identiteit van personen direct herleidbaar.

Maar ook gepseudonimiseerde gegevens kunnen risico's met zich meebrengen. Bij pseudonimisering is het bsn-nummer versleuteld. Maar er staan daarnaast wel andere gegevens vermeld, zoals het type behandeling, de start van de behandeling, het aantal keren dat er behandeld wordt en de zorginstelling. Personen zijn met name herkenbaar als er sprake is van verschillende aandoeningen en specifieke zorginstellingen. Dat kan leiden tot afpersing. Denk bijvoorbeeld aan een hoogleraar die meerdere aandoeningen heeft, aan een CEO met een sluipende ongeneeslijke ziekte of aan dat meisje dat een abortus heeft ondergaan terwijl haar familie dat niet weet. Deze gegevens mogen niet in handen komen van afpersers, maar ook niet van families.

We zagen al eerder een datalek bij de GGD, in coronatijd. En in Finland zijn patiëntgegevens gelekt van mensen die psychotherapie kregen. We zien en horen van deskundigen dat de privacy en de veiligheid van mensen in het geding is bij grote databestanden. Mijn vraag is: hoe voorkomt de minister dat gegevens, zelfs als ze gepseudonimiseerd zijn, herleidbaar zijn naar individuen?

Voorzitter. Na deze wet komen er nog meer wetten waarbij er sprake is van zeer grote landelijke databestanden. Er komt nog een vervolg op deze verzamelwet, het wetsvoorstel Verzamelwet gegevensverwerking VWS II.b. Ook staat het wetsvoorstel Wet kwaliteitsregistraties zorg op de agenda. Bij dat laatste voorstel worden zelfs ziekenhuizen verplicht om data te leveren voor kwaliteitsdoeleinden. Dan is er niet één organisatie die patiëntgegevens krijgt, maar dan kunnen meer dan 60 private organisaties patiëntgegevens krijgen om de kwaliteit van zorg te toetsen.

Voorzitter. Ik begrijp het belang van gegevens voor onderzoek en beleid. maar hier worden grote stappen gezet om landelijke databases te creëren. Als Kamer weten wij onvoldoende over de informatiebeveiliging. Bij de feitelijke vragen hebben wij specifiek gevraagd naar de manier van beveiligen. Patiënten verdienen namelijk de allerbeste beveiliging. We vroegen of de regering ook privacybevorderende maatregelen heeft genomen, zoals de multi-party computation. Dat is een manier om tot beleidsinformatie te komen die minder gevaren voor de privacy van personen kent. Volgens de deskundigen die ik heb gesproken, is dit de beste beveiligingsmethode. Hiermee zijn namelijk niet alleen de bsn-nummers, maar ook de andere gegevens beveiligd.

Als antwoord gaf de minister aan dat Vektis de bestaande veiligheidsmaatregelen ter bescherming van persoonsgegevens neemt. De minister vindt dat Vektis de meest aangewezen partij is. De minister overweegt ook om privacy-enhancing technologies te onderzoeken. Maar we weten niet wat de beveiliging van de declaratiegegevens bij Vektis nu precies inhoudt. Ik ben verder op zoek gegaan naar antwoorden over de beveiliging. Vektis verwees mij naar de zorgverzekeraars. Van de zorgverzekeraars kreeg ik te horen dat Vektis voldoet aan het toetsingskader van DNB voor informatiebeveiliging, en voortdurend bezig is met het versterken van de privacy en de data-bescherming, door middel van certificeringen en de inzet van privacybevorderende technologieën. Deze beantwoording is wat mij en Nieuw Sociaal Contract betreft niet precies genoeg. Ik wil als controlerend Kamerlid precies weten hoe die beveiliging is geregeld en of dit de allerhoogste standaard is. Kan de minister precies vertellen over de specifieke manier van informatiebeveiliging bij Vektis? Kan de minister vertellen of dit de allerhoogste standaard is? Misschien is het een te specifieke vraag, die beter per brief beantwoord kan worden. Is de minister dan bereid om een brief te sturen? Maar dan nog is het belangrijk dat wij ons als Kamer verdiepen in de databeveiliging van patiëntengegevens. Het zou goed zijn als wij als commissie, wellicht samen met de commissie Digitale Zaken, een rondetafelgesprek met deskundigen houden voordat we dit onderdeel van de wet en de komende wetten over gegevensdeling in behandeling nemen.

Voorzitter. Nieuw Sociaal Contract vindt dat we eerst een fundamentele discussie moeten voeren over hoe we omgaan met landelijke databestanden van patiënten. Moeten die wel ondergebracht worden bij private instellingen? Hoe moet de data beveiligd worden? Of nog basaler: is het wel wenselijk om landelijke databases te hebben? Omdat ik zo lang op zoek was naar antwoorden, heb ik pas laat mijn amendement ingediend. Wij willen dat Vektis nog niet de data van alle zorgverzekeraars en Wlz-gebruikers verwerkt. We willen geen landelijke database van patiënten voordat we weten of de privacy van patiënten voldoende is gewaarborgd. Daarom hebben we een amendement ingediend waarin het onderdeel gegevensverzameling door Vektis eruit gehaald wordt en de rest blijft staan. Het beschermen van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens staat immers in de Grondwet.

Dank u wel, voorzitter.

De voorzitter:
Dank u wel, mevrouw De Korte. Als u de microfoon uitzet, kan ik meneer Bushoff de gelegenheid geven om een interruptie te doen.

De heer Bushoff (GroenLinks-PvdA):
Ik deel met Nieuw Sociaal Contract het belang van dat je gegevens, zeker medische gegevens, heel goed beschermt. Je maakt altijd een afweging tussen in hoeverre het delen van gegevens noodzakelijk is en in hoeverre de privacy en de bescherming van die gegevens goed geregeld zijn. Inzake het amendement van Nieuw Sociaal Contract ... Zowel in de inbreng zojuist als in de toelichting van het amendement lees en beluister ik dat Nieuw Sociaal Contract helemaal geen voorstander is van de gegevensverwerking door Vektis. Dan zou mijn vraag zijn: is daar nu geen sprake van? Of is daar eventueel al wel sprake van?

Mevrouw De Korte (NSC):
Ik heb het niet zo in uitersten aangegeven. Ik heb aangegeven dat we op dit moment onvoldoende weten over de beveiliging. We moeten eerst precies weten wat de aller-, allerbeste beveiliging is voor patiëntgegevens. Pas daarna kunnen we beslissingen nemen. Ik besef ook dat er een aantal landelijke databases nodig zijn in de toekomst, maar op dit moment kunnen we daar niet over besluiten.

De heer Bushoff (GroenLinks-PvdA):
Dan ga ik toch even heel specifiek naar het amendement. Het amendement stelt namelijk voor om artikel 3 en artikel 7 van de verzamelwet te laten vervallen. Daarmee wordt alleen de grondslag verwijderd om die gegevens, die al verzameld zijn door Vektis, te gebruiken voor het ministerie van VWS. Maar daarmee wordt de wet niet dusdanig veranderd dat er helemaal geen gegevensverzameling door Vektis meer plaats kan vinden. Klopt dat?

Mevrouw De Korte (NSC):
Wij willen juist dat dit, inderdaad, nu stopgezet wordt. Maar we willen in ieder geval niet dat het een voortgang heeft in de wet. Nogmaals, dit is een verzamelwet. Desnoods, als we het er met z'n allen over eens zijn dat het door moet gaan, kan het in een volgende verzamelwet komen. Maar op dit moment willen we hier niet mee verdergaan.

De voorzitter:
Meneer Bushoff, in laatste instantie op dit onderwerp.

De heer Bushoff (GroenLinks-PvdA):
Tot slot. Als Nieuw Sociaal Contract hier aangeeft: wij willen helemaal niet verdergaan met die gegevensverwerking door Vektis, zal er toch echt een ander amendement moeten komen dan wat hier nu voorligt. Want dit amendement regelt volgens mij niet dat er helemaal geen gegevensverwerking meer kan plaatsvinden. Dit amendement regelt dat in de huidige verzamelwet die voorligt, artikel 3 en artikel 7 vervallen, waarmee alleen de grondslagen vervallen voor het ministerie van VWS om die gegevens te gebruiken voor beleidsmatige doeleinden. Die grondslag verdwijnt. Maar met dit amendement stopt u niet in één keer de hele gegevensverwerking door zorgverzekeraars, Wlz-uitvoerders en Vektis. Dus wat wilt u nu? Wilt u dat helemaal stoppen en een ander amendement indienen? Of zegt u: nee, ik wil alleen dat datgene wat er al gebeurt door mag gaan, maar VWS mag deze gegevens niet gebruiken voor beleidsmatige doeleinden.

Mevrouw De Korte (NSC):
We hebben niet gekozen voor een extra amendement. We willen nu alleen maar stilzetten wat er in de verzamelwet staat. De minister kan vertellen wat eventueel wel doorgaat en wat niet. Dat horen we graag van de minister.

De heer Bushoff (GroenLinks-PvdA):
Nog een ander punt: de beveiliging van persoonsgegevens. Ik ben het met Nieuw Sociaal Contract eens dat dat ontzettend belangrijk is. Ik denk dat het op zichzelf goed is dat er daarom een grondslag wordt gecreëerd voor de IGJ om als de beveiliging niet op orde is, daar al vroegtijdig op te gaan handhaven, nog voordat de kwaliteit van zorg in het geding komt. Mijn vraag aan Nieuw Sociaal Contract is: zouden we niet ook juist moeten kijken of we zorgaanbieders kunnen helpen met het verbeteren van de beveiliging van gegevens?

Mevrouw De Korte (NSC):
Ja. Ik heb ook aangegeven dat het belangrijk is dat wij als Kamer bezig zijn met de manier waarop patiëntgegevens beveiligd zijn. Ik lees ook in andere stukken dat heel veel zorgorganisaties hun beveiliging nog niet op orde hebben. Laten we daar inderdaad ook naar kijken.

De voorzitter:
Tot slot, meneer Bushoff.

De heer Bushoff (GroenLinks-PvdA):
Tot slot dan. Op zichzelf lijkt het me inderdaad zinvol om te kijken hoe we die zorgorganisaties kunnen helpen. Maar dan zou ik niet een handreiking willen doen door opnieuw een rondetafel te organiseren met de commissie Digitale Zaken en allerlei partijen over de stand van zaken rondom gegevensbeveiliging in de zorg. Een dergelijke rondetafel hebben we vrij recentelijk gehad, met een hele magere opkomst, moet ik erbij zeggen. Dan zouden we volgens mij beter kunnen kijken naar hoe we die zorgaanbieders met z'n allen kunnen helpen om die beveiliging op orde te krijgen. Voelt NSC ervoor om die stap te zetten?

Mevrouw De Korte (NSC):
We weten nog niet wat de allerbeste beveiliging is. Daar moeten we eerst een discussie over voeren. Ik hoor dat de nationale politie een veel strengere beveiliging heeft dan Vektis. Daar moeten we dus echt wat preciezer en nader op ingaan. Als die discussie onvoldoende is gevoerd in een vorig rondetafelgesprek, dan wil ik nogmaals voorstellen om daarmee door te gaan, voordat we hier stappen mee zetten.

De voorzitter:
Dank u wel. Ik heb twee punten naar aanleiding van uw inbreng en dit interruptiedebatje. Als de commissie een activiteit wil doen, dan is de procedurevergadering daar de geëigende procedure voor; daarom heet die ook zo. Als u een rondetafel of iets anders wil, dan zou u dat bij de volgende procedurevergadering moeten voorstellen. Die is aanstaande woensdag. Vooralsnog staat dit wetsvoorstel gewoon op de stemmingslijst van volgende week dinsdag, voor 4 februari. Dat zeg ik even als antwoord op de suggestie die wordt gewekt dat we hier niet verder mee moeten voordat enzovoort.

Mevrouw De Korte (NSC):
Voorzitter, we willen niet dat deze wet helemaal niet naar voren wordt gebracht. We willen alleen één onderdeel uit deze wet. Wat ons betreft kan deze wet in stemming gebracht worden. Dan halen we het onderdeel van Vektis eruit.

De voorzitter:
U bedoelt dat u dat doet met het amendement op stuk nr. 9 dat u heeft ingediend?

Mevrouw De Korte (NSC):
Ja.

De voorzitter:
Helder. Dat helpt de leden om hun wegingen te doen. We zijn toegekomen aan de inbreng van de heer Claassen namens de fractie van de PVV.

De heer Claassen (PVV):
Waarvoor dank, voorzitter. De wijzigingen in dit wetsvoorstel voorzien in het verstevigen van enkele grondslagen van gegevensverwerking. In dit voorstel van de regering is het wijzigen van de grondslagen voor gegevensverwerking opgedeeld in drie wetten. Zoals door de voorzitter zojuist is gezegd, behandelen we vandaag II.a. Net als bij wijziging I en de wetten die komen gaan wordt op onderdelen aan de stoelpoten van het eigenaarschap van medische gegevens van burgers en het beroepsgeheim van zorgprofessionals gezaagd. Net als bij wijziging I maakt de PVV-fractie zich zorgen over deze twee fundamentele wijzigingen. Zo'n fundamentele wijziging vraagt om proportionaliteit. Heiligt het doel de middelen, om het zo maar te zeggen? Dat is de afweging die wij als PVV-fractie zullen maken bij deze wijziging en de wijzigingen die komen gaan. De Raad van State concludeerde namelijk ook al dat de noodzaak en proportionaliteit onvoldoende zijn gemotiveerd, mede in het licht van het feit dat het medisch beroepsgeheim wordt doorbroken. Bovendien is het onduidelijk hoe een bezwaarsysteem in de praktijk wordt geëffectueerd. Gaat de minister dit regelen? En hoe gaat dat er dan uitzien? Kan er worden voorzien in een opt-outregeling met duidelijke voorlichting aan burgers, zodat zij een keuze hebben?

Het toevoegen van handhavingsmogelijkheden aan de IGJ gaat niet primair over gegevensverwerking. Het onderdeel expliciteert de toezichts- en handhavingstaken van de IGJ door het toevoegen van een bepaling, zodat ook het bsn van de wettelijke vertegenwoordiger en de gemachtigde mag worden verwerkt. Het doel van deze verwerking is authenticatie en autorisatie van de wettelijke vertegenwoordiger of de gemachtigde. De IGJ krijgt met dit wetsvoorstel de expliciete bevoegdheid om toe te zien op de naleving hiervan. Dat is volgens onze fractie op onderdelen noodzakelijk, maar bij andere onderdelen van de wet is het wat ons betreft disproportioneel. Dan heiligt het doel wat ons betreft het middel niet.

Bij het verwerken van bsn-nummers van vertegenwoordigers en gemachtigden door zorgaanbieders treedt Vektis op als verwerker namens zorgverzekeraars en de Wlz-uitvoerders. Vektis beheert in die hoedanigheid een database met verzekerden en declaratiedata van afzonderlijke zorgverzekeraars. Vektis kan door het samenvoegen van deze data via gepseudonimiseerde — jemig de pemig! — bsn-nummers en het uitvoeren van verdere databewerkingen en statistische analyses inzicht geven in het gebruik van zorg in de volle breedte. Ten aanzien van Vektis adviseert de RvS, de Raad van State, beter te motiveren dat is voldaan aan de eisen die de AVG stelt aan het verwerken van gegevens over gezondheid. De PVV-fractie ziet het belang van de gegevensverwerking door Vektis, zeker nu Vektis de anonieme beleidsinformatie voor het ministerie van VWS heeft stopgezet in afwachting van de wettelijke grondslag. De PVV-fractie vindt het echter ongewenst dat niet-gecontracteerde wijkverpleging en ggz-zorg hierdoor bijvoorbeeld niet gemonitord worden. Hierdoor kan de Kamer ook niet volledig geïnformeerd worden over het gevoerde beleid.

Aansluitend hierop heb ik de volgende vragen. Hoe borgt de minister dat de Kamer te allen tijde goed geïnformeerd blijft? Hoe gaat de minister ervoor zorgen dat de AVG nageleefd wordt? Hoe weren we ons, met het oog op het amendement dat zojuist door NSC werd toegelicht, tegen bijvoorbeeld cybercrime? Wat zijn de gevolgen met betrekking tot Vektis en gemaakte prijsafspraken als het amendement wordt aangenomen?

Voorzitter. Ten aanzien van het inzagerecht voor het VN-subcomité en het Europese comité tegen foltering is gebleken dat de huidige regelingen te beperkt zijn, omdat de comités niet in alle gevallen de mogelijkheid hebben om dossiers in te zien als cliënten van hun vrijheid zijn beroofd maar vrijwillig zorg krijgen. Dit wetsvoorstel voorziet in een optimalisatie en dat lijkt ons prima.

De PVV-fractie ondersteunt het voorstel van het kabinet om de bewaartermijn van de gegevens van Wmo-cliënten, die momenteel vijftien jaar is, te verkorten naar zeven jaar, zeker omdat zeven jaar de gebruikelijke bewaartermijn is voor financiële informatie, zoals ook volgt uit de algemene wet met betrekking tot rijksbelastingen.

Tot slot, voorzitter. De onderdelen van het wetsvoorstel beogen grondslagen bij bestaande taken aan te vullen of te verduidelijken. Er worden geen negatieve financiële gevolgen verwacht. Kan dit met zekerheid gezegd worden en is dit onderzocht?

De voorzitter:
Dank u wel, meneer Claassen. Dan gaan we luisteren naar meneer Bushoff, die spreekt namens de fractie van GroenLinks-PvdA. O nee, sorry. Eerst heeft mevrouw De Korte een vraag voor meneer Claassen.

Mevrouw De Korte (NSC):
Ja, ik stel graag een vraag aan de heer Claassen. Het is me niet helemaal duidelijk hoe u aankijkt tegen de veiligheid van de data bij Vektis. Enerzijds zegt u dat het belangrijk is dat die data verzameld worden. Anderzijds zegt u dat het belangrijk is dat ze veilig zijn. Vindt u dat Vektis door moet gaan met dataverzameling?

De heer Claassen (PVV):
Dan komen we op het punt waarop we bij Verzamelwet I ook uitkwamen, namelijk dat er al een heleboel dingen gebeuren waar geen wettelijke grondslag voor is en dat dit nu bij deze wet wordt geregeld. Net als bij de vorige verzamelwet hebben we er uiteindelijk voor gekozen dat we die grondslag wel moeten laten continueren, omdat anders de procedures die nu gaande zijn, niet door kunnen gaan. Maar we hebben daar wel onze punten van zorg bij. Die zorg gaat over de beveiliging, zoals ik zonet heb gezegd, over cybercrime en over hoe er met de AVG wordt omgegaan. Daarom heb ik die vragen ook voorgelegd aan de minister. Ik ben benieuwd welke antwoorden de minister daarop heeft. Tot slot heb ik in mijn betoog geprobeerd in te brengen dat het gaat over proportionaliteit bij het delen van informatie van burgers. Het ministerie heeft het opgedeeld in drie wetten, en ook de wet op de kwaliteitsgegevens komt er nog aan. Als ik die naast elkaar leg, weegt die laatste voor ons nog veel zwaarder dan deze. Mijn antwoord is dus: ja, ga door, maar we moeten op korte termijn wel grip krijgen op wat er precies gebeurt. Is dat volgens de Kamer afdoende en kan dat niet beter? Daarin steun ik uw inbreng ook.

De voorzitter:
Dan is nu toch het woord aan de heer Bushoff voor zijn bijdrage.

De heer Bushoff (GroenLinks-PvdA):
Dank u wel, voorzitter. Vandaag bespreken we de Verzamelwet gegevensverwerking II.a, die toeziet op een vijftal wetswijzigingen. Ik heb daar een aantal specifieke vragen en opmerkingen bij, maar eerst heb ik een aantal algemene opmerkingen en vragen.

Ten eerste. Er wordt een knip gemaakt, en vijf onderwerpen krijgen in deze verzamelwet prioriteit. Bij twee daarvan is dat omdat ze spoed hebben. Dat zijn het inzagerecht voor de comités en de verwerking van gegevens door Vektis. De andere onderwerpen worden door het kabinet juridisch en politiek toch wat minder gevoelig geacht. Op zichzelf snap ik dat, alleen ben ik wel benieuwd hoe de minister dat onderscheid tussen gevoelige en minder gevoelige onderwerpen maakt, alleen al gezien het feit dat dat toch niet zo eenduidig lijkt. Zie ook de afgelopen debatten over de verzamelwetten. Ik ben dus wel benieuwd hoe dat onderscheid wordt gemaakt.

Verder is er best scherpe kritiek geweest op een aantal onderdelen die nu verhuisd zijn naar Verzamelwet II.b. Ik ben benieuwd of dat ook nog iets betekent voor het participatietraject dat de minister daarvoor voor ogen heeft als het gaat om het betrekken van het zorgveld en de Kamer, om wellicht te voorkomen dat onderdelen waar scherpe kritiek op was en die nu verplaatst zijn, onnodig sneuvelen, of om te zorgen dat ze na een goed participatietraject beter gemaakt kunnen worden, wat je natuurlijk wilt.

Voorzitter. Dan nog een ander, wat algemener, punt. Een aantal keren lezen we in de memorie van toelichting bij deze wet dat het kabinet aangeeft dat een bepaalde wijziging noodzakelijk is vanwege het zwaarwegende algemeen belang. Op zich kan dat, maar tegelijkertijd wijzen de Raad van State en de Autoriteit Persoonsgegevens erop dat je het aanhalen van de argumentatie van een zwaarwegend algemeen belang best wel goed moet verantwoorden. Je moet dan duiden waarom dat een zwaarwegend algemeen belang is. Ik ben benieuwd of de minister nog één keer kan aangeven wat volgens haar een zwaarwegend algemeen belang is. Ook ben ik wel benieuwd of ze dat misschien nog wat kan verduidelijken aan de hand van bijvoorbeeld een voorbeeld waarbij het individuele recht op privacy moet wijken. Kan ze vooral ook aangeven wanneer bijvoorbeeld het individuele recht op privacy juist zwaarder weegt dan het algemeen belang? Wellicht kan de minister het begrip nog wat beter duiden aan de hand van twee van dit soort voorbeelden. Ik ben ook benieuwd of zij de bezwaren van de Raad van State en de Autoriteit Persoonsgegevens omtrent het gebruik van dit begrip in deze verzamelwet, in ieder geval naar haar eigen oordeel, heeft kunnen wegnemen.

Voorzitter. Ik heb nog één laatste opmerking. Ik denk dat gegevensuitwisseling in de zorg ontzettend belangrijk kan zijn voor zowel de patiënt en de zorgverlener als inderdaad soms ook het algemeen belang, hoewel dat goed onderbouwd moet zijn. Tegelijkertijd heb je natuurlijk ook te maken met het feit dat dit gevoelige gegevens zijn, waarbij het recht op privacy heel erg belangrijk is. Dat is een best lastige balans. Daar staat best wel vaak spanning op. Deze spanning komt concreet terug bij bijvoorbeeld de derde wijziging in deze Verzamelwet, waarbij het gaat om het inzagerecht van het VN-Comité tegen foltering en het Europese anti-foltercomité. Aan de ene kant is het daarbij natuurlijk essentieel dat mensen die van hun vrijheid zijn beroofd, beschermd worden tegen foltering en onmenselijke praktijken. Aan de andere kant kun je je ook voorstellen dat het inzage geven in sommige van deze medische gegevens dat hiervoor noodzakelijk is, best wel privacygevoelig is. We snappen de afweging in deze verzamelwet dus heel goed, maar tegelijkertijd geeft die ook best wel goed de spanning aan tussen aan de ene kant gegevensdeling en aan de andere kant het recht op privacy.

Voorzitter. In dat licht ben ik eigenlijk wel benieuwd of er in de Verzamelwet II.b straks ook nog een aantal aanvullende privacywaarborgen zouden kunnen worden opgenomen in verband met gegevensdeling. Kunnen we met z'n allen nog een aantal opties verkennen om gegevensdeling aan de ene kant wel mogelijk te maken, maar aan de andere kant het belang van privacy hoog te houden. Dat is het eerste. Ten tweede heb ik met die bril ook naar een aantal specifieke wijzigingen gekeken, waar ik nu nog op wil ingaan.

Het gaat dan in de eerste plaats over het eerste wijzigingsvoorstel van deze verzamelwet, namelijk het toevoegen van een handhavingsmogelijkheid voor de IGJ in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. In de eerste plaats wil ik even duidelijk maken waarom dit op zich belangrijk is. Dit gaat erover dat de IGJ in een vroegtijdig stadium handhavend kan optreden als de informatiebeveiliging bij zorgaanbieders niet op orde is. Ik denk dat dat zeker in deze tijd ontzettend belangrijk is, omdat we natuurlijk zien dat er een toenemende dreiging is van cybercrime en wellicht ook van andere statelijke actoren die zich bezighouden met het voeren van een soort cyberoorlog. Ik denk dat het heel erg belangrijk is dat we dit soort persoonsgegevens, zeker medische gegevens, goed beschermen en dat we de IGJ dus ook de bevoegdheid geven om handhavend te kunnen optreden nog voordat de kwaliteit van zorg daadwerkelijk in het gedrang is. Dat kan de IGJ nu namelijk niet of alleen wanneer de kwaliteit van zorg in het geding is.

In het verslag lezen we alleen dat de minister verwacht dat er geen aanvullende lasten in de uitvoering zullen zijn, hoewel de IGJ vaker handhavend zal gaan optreden, terwijl we vervolgens in de beantwoording van de schriftelijke vragen lezen dat de IGJ eigenlijk verwacht vanaf 2025 en 2026 wél extra personeel nodig te hebben. Ik ben benieuwd welke van de twee smaken het nou is. Dat is één. Twee. Is het zo dat de extra personele capaciteit die de IGJ verwacht nodig te hebben voor het uitvoeren van deze extra bevoegdheid, die ik toch ook ergens lijk te lezen, binnen de lopende begroting van IGJ opgevangen kan worden? Ja of nee? Welke van die smaken is het nou?

Voorzitter. Ik wil op dit punt nog eventjes doorgaan. Naast het creëren van een bevoegdheid voor de IGJ om handhavend op te treden tegen zorgaanbieders die de beveiliging van gegevens niet op orde hebben, wat ik heel belangrijk vind en wat heel goed is, zeker omdat we lezen dat dat nog lang niet altijd op orde is, denk ik dat het ook belangrijk is dat je zorgaanbieders in staat stelt om die beveiliging op orde te krijgen. We lezen namelijk ook dat het niet op orde hebben van die beveiliging door zorgaanbieders soms komt door te weinig bewustzijn. Ik ben benieuwd wat de minister daar verder nog aan kan gaan doen. We lezen tegelijkertijd ook dat er soms onvoldoende middelen, dus tijd, geld en expertise, zijn om dit goed te regelen. Dan begint bij mij wel de zorg te spelen over hoe we er dan voor zorgen dat er wel voldoende tijd, geld en expertise is voor die zorgaanbieders om dit goed te regelen. Want ik denk dat alleen met de stok gaan slaan dan onvoldoende is, ook als ik lees wat de minister daar zelf over opschrijft. Dus wat kunnen we nog meer doen om het zorgveld te helpen die gegevensbeveiliging op orde te krijgen? Ik ben ook benieuwd welke eventuele aanvullende eisen de minister in de toekomst denkt te willen gaan stellen aan die beveiliging van gegevens, gelet op de toenemende dreiging. Is daar aanleiding voor volgens de minister, ja of nee?

Voorzitter. Ik laat het erbij zitten wat betreft de tweede wijziging. Ik heb al iets gezegd over de derde wijziging. Ik wil nog wel even stilstaan bij de vierde, want die gaat over de gegevensverwerking door Vektis. Ik ben in de eerste plaats benieuwd of de minister nog even heel duidelijk voor de Kamer kan aangeven of het klopt dat er nu al sprake is van gegevensverwerking door Vektis. Is het inderdaad zo dat in artikel 3 en artikel 7 uit deze verzamelwet alleen de grondslag geregeld wordt waardoor die gegevensverwerking door Vektis nog steeds plaats kan vinden, maar waardoor het ministerie van VWS ook daadwerkelijk iets met die gegevens kan doen voor beleidsdoeleinden? Klopt het dat het verwijderen van die grondslagen niets verandert aan het feit dat er nog gegevensverwerking plaatsvindt door Vektis? Kan de minister nog bevestigen dat ik het dan goed heb begrepen, en als ik het niet goed heb begrepen, zou ze dat dan nog nader kunnen toelichten? Ten tweede. Klopt het dat hierbij de wetgeving dusdanig wordt aangepast aan de huidige praktijk? Ik hoop dat ik daar nog de bevestigende reactie op krijg dat ik dat goed heb begrepen.

Voorzitter. Tot slot op dit punt. Ik heb toch ook een zorg hierbij. Kan het zo zijn dat de anonieme gegevens in het geval van een zeer specifieke medische aandoening met een heel klein aantal patiënten alsnog herleidbaar zijn? Is dat een risico? Ik denk dat het redelijk goed geborgd is dat die gegevens gepseudonimiseerd zijn, maar ik heb daar een zorg bij en daar gaat mijn vraag over. Zijn bij een heel klein patiëntenaantal met heel specifieke aandoeningen dit soort gegevens niet alsnog herleidbaar? Kan de minister hier nader op ingaan?

Tot zover, voorzitter.

De voorzitter:
Dank u wel, meneer Bushoff. U was zelf iets te optimistisch bij het inschrijven, zie ik. Mevrouw De Korte heeft een vraag voor u.

Mevrouw De Korte (NSC):
Dank u wel voor uw betoog, meneer Bushoff. U gaf aan dat er bij Vektis anoniem gegevens verwerkt worden. Dat zou natuurlijk heel mooi zijn. Maar voor zover wij hebben kunnen achterhalen, zijn er ook bronbestanden met bsn-nummers van patiënten, van declaratiegegevens. Wat vindt u ervan dat dat daar plaatsvindt, dat er een bronbestand is? Vindt u ook niet, zoals wij, dat we hier dan toch een stop op moeten zetten totdat we precies weten hoe de beveiliging geregeld is?

De voorzitter:
"Wat vindt meneer Bushoff daarvan?"

Mevrouw De Korte (NSC):
O ja, sorry, voorzitter.

De heer Bushoff (GroenLinks-PvdA):
Kort, drie dingen. Eén. Dat er een bronbestand is, daar kan ik technisch gezien wellicht nog wel inkomen. Ik ben niet helemaal een expert als het gaat om ICT, hoor. Ik ben nog jong en enigszins technisch begaafd, maar niet zo verregaand dat ik daar heel diep in zit. Ik kan mij voorstellen dat er ergens een bronbestand beschikbaar moet zijn. Vervolgens is het belangrijk — dat is mijn tweede punt — dat gegevens heel goed beveiligd worden; dat deel ik helemaal met Nieuw Sociaal Contract. Tot slot mijn derde punt. Deze verzamelwet gaat niet over het überhaupt wel of niet verzamelen van gegevens door Vektis. Zo probeert NSC de discussie wel een beetje te voeren, lijkt het. Deze verzamelwet regelt volgens mij alleen een grondslag voor het delen van gepseudonimiseerde gegevens met het ministerie van VWS voor beleidsdoeleinden. Het starten van de discussie over de vraag of dit überhaupt wel wenselijk is of niet, gaat mij bij deze verzamelwet veel te ver. Als dat de discussie is die volgens NSC gevoerd moet worden, dan zou NSC daar volgens mij een ander moment en een andere wet voor moeten vinden, want ik denk dat die niet past bij deze verzamelwet.

De voorzitter:
Mevrouw De Korte, tweede instantie.

Mevrouw De Korte (NSC):
De heer Bushoff zegt over Vektis: we moeten hier maar mee doorgaan; we doen het al. Vindt hij het niet gek dat dit al op deze manier plaatsvindt, terwijl we niet zeker weten hoe de beveiliging geregeld is? Vindt hij niet dat we dit daarom nu moeten stopzetten, ook omdat hierover nog meer wetten komen ten aanzien van landelijke databases? Moeten we daar dus niet alleen bij deze wet, maar ook bij de volgende wetten over praten, dus vóórdat wij in dezen echt stappen zetten, zo vraag ik aan de heer Bushoff via de voorzitter.

De heer Bushoff (GroenLinks-PvdA):
Ik kan er op zichzelf best goed inkomen dat gegevens verzameld worden om de reden waarom ze verzameld worden. Ik zie daar het nut echt wel van in. Moet die beveiliging op orde zijn? Absoluut. Dat is cruciaal. Naar ik begrijp, is die beveiliging volgens zorgverzekeraars ook goed geregeld. Ik hoor graag van de minister of die beveiliging ook naar haar inschatting inderdaad goed genoeg geregeld is. Als dat niet zo zou zijn, als de minister, de partijen die hiermee van doen hebben of de IGJ zouden aangeven dat die beveiliging echt niet op orde is, dan vind ik dat heel zorgwekkend. Dan zou ik de minister er ook toe aansporen om te zorgen dat die beveiliging in orde wordt gemaakt. Maar tot nog toe heb ik geen aanleiding om te denken dat dit niet zo is. Ik ga er dus van uit dat die wel op orde is. Maar zoals gezegd: het is ontzettend belangrijk dat die beveiliging op orde is. Ik neem ook aan dat de minister daarbij de vinger aan de pols houdt. We creëren nu ook een bevoegdheid voor de IGJ om al in een vroeg stadium te checken of de gegevensbeveiliging in orde is. Laten we daarbij inderdaad de vinger aan de pols houden. Dat vind ik cruciaal.

Tot slot. Wederom wordt gezegd: we moeten hier maar helemaal mee stoppen. Als dat is wat NSC vindt, moet ik zeggen dat ik daar nog geen voorstel voor heb gezien. Op dit moment ligt daarvoor in dit debat geen enkel voorstel voor, en op deze wet is geen amendement ingediend dat regelt dat helemaal wordt gestopt met het verzamelen van gegevens door Vektis. Als de zorgen inderdaad zo groot zijn als NSC nu schetst en daarvan de consequentie moet zijn dat alles rondom gegevensverzameling door Vektis nu maar moet stoppen — zo beluister ik NSC — dan kijk ik uit naar dat voorstel, maar ik twijfel er dan sterk over of ik dat zal gaan steunen.

De voorzitter:
Meneer Claassen heeft ook een vraag voor u.

De heer Claassen (PVV):
Ja, ik heb nog een vraag aan de heer Bushoff. We hebben het nu heel veel over de beveiliging. Daar heb ik ook een punt van gemaakt, maar in mijn inbreng had ik het ook over de proportionaliteit: moeten gegevens van mensen zomaar gedeeld kunnen worden, of zouden mensen het recht moeten hebben daarvan kennis te hebben en daar niet aan deel te hoeven nemen? Ik ben benieuwd naar de visie van GroenLinks-PvdA daarop.

De heer Bushoff (GroenLinks-PvdA):
Een terechte vraag. Het punt van proportionaliteit wordt ook meermaals aangehaald door de Raad van State. Het belang van gegevensverwerking is soms heel duidelijk, maar het levert altijd spanning op met het recht op privacy. Dat spanningsveld heb ik ook zelf in mijn inbreng proberen te schetsen. Ik zie die spanning dus ook. Ik voorzie ook dat die spanning door een toenemende digitalisering en wellicht omdat de minister heel graag werk wil maken van die digitalisering, steeds vaker naar boven zal komen. GroenLinks-PvdA zal dan per keer de afweging maken: slaat de balans door, hoe valt dit uit? Zien we dat het belang van gegevensdeling inderdaad prevaleert boven het belang van in dit geval privacy? En is de privacy dan nog steeds goed geborgd? Want dat kan ook samengaan met gegevensdeling. Wat ik zei: die spanning is er als het gaat om gegevensdeling. Ik denk dat die de komende tijd nog vaker naar voren zal komen, omdat de digitalisering nou eenmaal steeds verder zal gaan. Dan maken we die afweging elke keer opnieuw.

De heer Claassen (PVV):
Wat wordt de afweging in dit voorstel? Of wilt u nog wachten op de antwoorden van de minister? Ik heb in mijn inbreng gezegd dat ik bij I, bij II, bij II.b en bij de Wet kwaliteitsregistraties zorg die afweging ook probeer te maken. Ik ben gewoon nog op zoek — daar ben ik heel eerlijk over — waar de afweging ligt bij deze wet. Ik ben ook wel benieuwd hoe mijn collega's dat zien. Daarom stel ik deze vraag aan de heer Bushoff.

De heer Bushoff (GroenLinks-PvdA):
Op de vraag hoe de balans uitslaat bij deze wet, zeg ik dat ik een aantal vragen heb gesteld waarop ik graag nog een verduidelijkend antwoord wil en dat ik een aantal zorgen heb geuit, maar dat in dit geval de balans op zichzelf zo uitslaat dat wij deze wet in principe kunnen steunen. Maar ik stel niet voor niets een aantal vragen en zorgen aan de kaak. Daar hoop ik uiteraard een goed antwoord op te krijgen van de minister.

De voorzitter:
Dank u wel. Dat brengt ons bij de inbreng van mevrouw Rikkers namens de fractie van BBB.

Mevrouw Rikkers-Oosterkamp (BBB):
Dank u wel, voorzitter. Vandaag bespreken we een belangrijk wetsonderdeel, namelijk het recht van internationale comités om medische dossiers in te zien. Het doel is duidelijk: het voorkómen van foltering en onmenselijke behandeling van mensen die door de overheid hun vrijheid zijn verloren. Ik begrijp het belang van de taak en de noodzaak om de internationale verplichtingen na te komen die Nederland is aangegaan. Toch hebben wij zorgen over het doorbreken van het medisch beroepsgeheim, ook al is het doel nodig. Het beschermen van de vertrouwelijkheid van medische gegevens is een belangrijk recht. Dit moeten wij als Kamer goed overwegen. De balans tussen het toezicht en de privacy is van groot belang.

Daarom willen wij graag meer weten over de bevoegdheden in de praktijk. Hoe worden die uitgevoerd? Welke waarborgen zijn er om ervoor te zorgen dat het recht op privacy niet wordt geschonden? Voor ons is duidelijk dat de minister het toezicht op de naleving van de verdragen tegen foltering en onmenselijke behandeling serieus neemt. Dat vinden wij ook goed. Toch roept de reactie van de minister wat zorgen bij ons op. De minister stelt namelijk dat de inbreuk van het medisch beroepsgeheim gerechtvaardigd is door de gevoeligheden van het werk van het comité en de noodzaak om de verdragsverplichtingen na te komen.

Wij begrijpen dat deze bevoegdheid belangrijk is om de bescherming te waarborgen van mensen die gedwongen zijn opgenomen. Tegelijkertijd willen wij benadrukken dat het doorbreken van het medisch beroepsgeheim niet zomaar mag gebeuren. Het beroepsgeheim is niet zonder reden in onze wet vastgelegd. Het beschermt het vertrouwen tussen de zorgverleners en de patiënten, een fundamenteel recht dat niet lichtvaardig mag worden aangetast. De minister zegt dat inzage van de medische dossiers nodig is voor toezicht, maar ik vraag me af hoe de regering ervoor zorgt dat deze inzage niet verdergaat dan strikt noodzakelijk. Een vraag voor de minister: is er in de wetgeving een systeem van waarborgen opgenomen dat de privacy van de betrokkenen beschermt? Waarom kan deze inzage niet via een andere weg? Welke informatie wordt gedeeld als het comité hierom vraagt? Is dat het volledige medische dossier of is het alleen de medische informatie die de zorgverlener noodzakelijk acht?

Daarnaast maken we ons zorgen over het toezicht op de comités zelf. Zo hebben wij vernomen dat de Autoriteit Persoonsgegevens met een groot personeelstekort kampt. Hoe wordt gecontroleerd wat de comités doen, ondanks het personeelstekort van de Autoriteit Persoonsgegevens? Wie zorgt ervoor dat de comités geen misbruik maken van hun toegang tot de medische dossiers? Het is namelijk wel belangrijk dat er mechanismen zijn die ervoor zorgen dat de zorgvuldigheid en de proportionaliteit altijd gewaarborgd zijn bij het inzien van zulke gevoelige gegevens. Ik wil hierom graag weten wat de regering doet om dit te controleren.

Het is belangrijk dat we duidelijke richtlijnen en criteria vaststellen voor de comités voor het bepalen van de noodzaak tot inzage. Ik heb gelezen dat de comités zelf besluiten wanneer redelijkerwijs inzage noodzakelijk is. Per comité is de grondslag daarvoor verschillend. Dit stelt de BBB echter niet gerust. Kan de minister aangeven welke richtlijnen de comités moeten volgen, en hoe gewaarborgd wordt dat het proportionaliteitsprincipe altijd wordt gerespecteerd en dat de comités niet onterecht verregaande inzage krijgen in medische dossiers?

Daarnaast wil ik graag mijn complimenten uiten over het feit dat we de gegevensdeling ten behoeve van het beleid nu goed gaan regelen. In mijn tijd als wethouder heb ik gezien hoe onmogelijk het is om goede data te verzamelen om te kunnen monitoren en sturen. Het was vaak alsof je in de woestijn reed zonder navigatie en zonder enig idee of je wel de goede kant op stuurde. Je kon immers heel weinig toetsen en monitoren. Wel vinden we het heel erg belangrijk dat dit zorgvuldig gebeurt en dat we zelf ook de privacywet volgen. Het verkorten van de bewaartermijn is wat onze fractie betreft ook logisch, want een bewaartermijn van vijftien jaar is veel te lang voor financiële gegevens.

Tot slot vindt mijn fractie dat de bescherming van de fundamentele rechten, zoals het vertrouwen in de medische informatie, nooit ter discussie mag staan. Het vertrouwen van mensen in ons zorgsysteem en het rechtssysteem hangt af van de zorgvuldigheid waarmee we ons medisch beroepsgeheim benaderen.

Dank u wel.

De voorzitter:
Dank u, mevrouw Rikkers. Mevrouw De Korte heeft een vraag voor u. Kunt u de microfoon uitzetten, mevrouw Rikkers?

Mevrouw De Korte (NSC):
Ook van u, mevrouw Rikkers, wil ik graag het volgende weten. U heeft niet zo veel gezegd over de gegevens die Vektis verzamelt. U zegt wel dat bescherming van medische gegevens een belangrijk recht is. Dit gaat om het delen van declaratiegegevens en enkele medische gegevens die gedeeld worden. Wat vindt u van dergelijke landelijke databases? Moeten die meer beschermd worden, en moeten we op dit moment een stop zetten om goed na te denken of we dit wel op deze manier moeten doen?

Mevrouw Rikkers-Oosterkamp (BBB):
Dank u wel voor de vraag. Volgens ons worden deze gegevens op dit moment al verzameld. Deze gegevens zijn nodig om de declaraties te doen, dus daar zijn inderdaad ook bsn-nummers voor nodig. We willen namelijk wel graag dat de declaraties ook over de juiste patiënten gaan. Daarnaast is de AVG bij mijn weten heel duidelijk over de manier waarop gegevens gedeeld mogen worden. Die wetgeving is er dus al. Voor ons is het juist belangrijk om te kijken hoe die wetgeving wordt nageleefd, dus of de Autoriteit Persoonsgegevens daar controles op doet en dat de IGJ die controles straks ook mag doen. Dat vinden wij dus heel belangrijk, want sec het verzamelen van gegevens gebeurt al. Daar veranderen wij met deze wet dus niks aan.

De voorzitter:
U heeft nog één interruptie, mevrouw De Korte.

Mevrouw De Korte (NSC):
Toch nog even de vraag: vindt u niet dat Vektis de aller-, allerbeste gegevensbeveiliging moet hebben en dat wij daar op dit moment geen inzicht in hebben? Ik heb begrepen dat bijvoorbeeld de nationale politie veel strengere dataeisen heeft. Vindt u ook dat dat bekeken moet worden voordat Vektis verdergaat met de dataverzameling?

Mevrouw Rikkers-Oosterkamp (BBB):
Het is uiteraard heel erg belangrijk om die dataverzameling zorgvuldig te doen, maar volgens ons kan dat nu al volgens de wetgeving. Daar veranderen we met deze verzamelwet dus niks aan. Dit gaat dus echt alleen over het stukje waarbij wat Vektis al verzameld heeft, door wordt gestuurd naar het ministerie, zodat wij de vragen beantwoord kunnen krijgen die wij hier in de Kamer hebben. Dat vinden wij echt heel belangrijk. Op dit moment zitten wij er dus op deze manier in.

De voorzitter:
Dank u wel. Dan geef ik het voorzitterschap even aan de heer Bushoff.

Voorzitter: Bushoff

De voorzitter:
Dan krijgt mevrouw Tielen, van de VVD-fractie, het woord voor haar inbreng.

Mevrouw Tielen (VVD):
Dank u wel, voorzitter. Weet u het? Weet u hoe vaak de Kamer vraagt om informatie over percentages, aantallen en ratio's, hoe vaak de Kamer graag wil weten of incidenten misschien een structureel karakter hebben, en hoe vaak de Kamer graag wil weten of beleid wel effect heeft, of hoe groot de kans is dat beleidsvoorstellen doelmatig zijn? Ik weet niet hoe vaak, maar mijn indruk is: heel vaak. Gegevens van patiënten zijn niet alleen nodig om de wetenschappelijke kwaliteit van zorg te beoordelen en te toetsen, maar ook voor de beleidsmatige kwaliteit van zorg. De zorg in Nederland behoort tot de beste ter wereld. Dat komt door de op wetenschap gefundeerde diagnostiek en behandeling door professionals, maar ook door ons stelsel en het beleid eromheen. Dat is geen gokje; dat is getoetst, met gegevens.

Voorzitter. Die gegevens zijn dus van groot belang om de beste zorg te behouden. De gegevens zelf en de verwerking en de uitwisseling ervan zijn zaken waar we regels en wetten voor hebben. Nu ligt het tweede deel voor van een wet omtrent de verwerking van gegevens. In het debat over deel één vroeg ik de minister al of zij ook vindt dat de kwaliteit van zorg vergroot wordt door eenvoudigere gegevensuitwisseling, of de administratieve last daardoor vermindert, of de beleving van de patiënt daardoor verbetert en of de kennis die nodig is voor bijvoorbeeld zorg met kunstmatige intelligentie, wordt vergroot door eenvoudigere gegevensverwerking en -uitwisseling. Op al die vragen kreeg ik in september een bevestigend antwoord. Dat is goed, want we hebben als Kamer en kabinet echt de gezamenlijke opdracht om wetten goed te maken, waardoor alle professionals in de praktijk wettig, eenvoudig en zorgzaam met gegevens om kunnen gaan.

Helaas zie en hoor ik, ook vandaag, partijen in deze Kamer die dat anders zien en op zoek gaan naar ingewikkelde complotten — sorry dat ik het zeg — over of de veiligheid van de gegevens wel genoeg is. Mevrouw De Korte heeft geen interrupties meer, dus ik pak het moment maar eventjes om erop te reageren. Ze verwees al naar statussen die vroeger in het ziekenhuis verzameld werden in de kelder. Ik heb zelf nog stage gelopen in die tijd. U ziet het niet aan me, maar dat was in de vorige eeuw. Daar waren hele kasten vol met statussen — die hoorden daar te zijn — met daarin alle medische gegevens, alle gespreksverslagen, behandelingen enzovoort. Maar heel vaak lagen die statussen op de verplegerspost, omdat ze nodig waren, omdat die gegevens nodig waren voor de behandeling van de patiënt en voor afstemming met de dokter en met de collega's van een andere afdeling. Je kon gewoon gaan zitten met zo'n status en die dan helemaal doorlezen, en niemand die het wist. Je wist wel wie die patiënt was. Het gevaar van die gegevens was wellicht minder groots en werelds, maar het gevaar was eigenlijk veel groter, want je kon gewoon precies lezen waarom je buurvrouw eigenlijk in het ziekenhuis lag of was geweest.

Een aantal voorgangers zei het al: omdat het hierbij over grote datasets gaat, is het bewustzijn rondom die veiligheid alleen maar groter. We hebben allerlei wetten, regels, compliance officers en een organisatie als Z-CERT, die echt heel erg actief en heel effectief omgaat met de veiligheid van die gegevens. Het klopt dat het belangrijk is, maar volgens mij moeten we hier niet de suggestie wekken dat die data zomaar in de lucht komen en overal gedeeld worden. Heel eerlijk heb ik daar weinig gegevens van gezien. Als er een dergelijke ddos-aanval is — zorginstelling hebben daar last van — is er altijd een systeem om die heel snel de kop in te drukken.

De voorzitter:
U heeft een interruptie van de heer Claassen.

Mevrouw Tielen (VVD):
Dat dacht ik al.

De heer Claassen (PVV):
Ik zag voor me hoe ik ooit op een zusterspost — later heette het "verplegerspost" — zat. Daar stonden dossiers in karren. Ik heb nooit een zorgverzekeraar, de IGJ of de buurvrouw uit de andere straat erop kunnen betrappen dat die de post op liep om een dossier eruit te halen om dat te lezen. Ik denk dat dat nu fundamenteel anders is dan toen. Dat wil ik wel even opmerken.

Twee. Ik had het in mijn betoog over proportionaliteit. Misschien heb ik het onjuist, maar zoals ik mevrouw Tielen heb beluisterd, speelt dat niet voor de VVD. Ik ben eigenlijk benieuwd of er volgens de VVD een moment is waarop die proportionaliteit niet aanwezig is. Of zegt de VVD: het maakt niet uit; alle gegevens, van iedereen, coûte que coûte, want dat is het allerbeste voor de zorg?

Mevrouw Tielen (VVD):
Ik hoor twee vragen. De eerste gaat erover dat de heer Claassen niemand heeft kunnen betrappen. Misschien herkende u diegene niet. Misschien was er geen groot bordje met "ik ben de zorgverzekeraar". Doordat we heel veel digitalisering hebben, is dat veel beter zichtbaar en kun je het veel eerder herkennen dan vroeger. Die ene stagiair was misschien toch … Dat zeg ik niet om flauw te doen, maar je weet het gewoon niet. Nu kun je het veel beter zien.

Uiteraard is proportionaliteit ook voor ons een heel groot en belangrijk gegeven. Ik heb ook het advies van de Raad van State gelezen. Ik denk dat we er altijd heel scherp op moeten zijn. Het recht om niet gezien te worden — ik heb het over dingen waarvan je niet wil dat anderen die zien — is wat mij betreft heel belangrijk. Alleen, in de weging daarvan denk ik dat we in de Kamer af en toe wat doorslaan naar de andere kant. Juist voor het grondrecht om gezond te zijn en goede zorg te krijgen, heb je die gegevens soms echt gewoon nodig. Dus meneer Claassen maakt er, terecht, een karikatuurtje van. Maar die zorg neem ik weg. Volgens mij is die proportionaliteit namelijk heel belangrijk. Die moet je elke keer goed wegen. Wij hebben die in dit wetsvoorstel deze kant op laten wegen.

Voorzitter. Ik wil graag in mijn verdere betoog stilstaan bij regeldruk, administratieve lasten en bureaucratie. Gegevensverwerking en -uitwisseling zijn cruciaal voor het voorkomen van administratie en dubbel werken. Dit wetsvoorstel is daar niet voor bedoeld, en doet dit ook maar matig. Dat blijkt uit de woorden van het Adviescollege toetsing regeldruk in de memorie van toelichting. De minister reageert daarop, maar ik kan nog niet goed vatten wat zij bedoelt met haar reactie op die uitspraak van het ATR. Kan de minister een wat bredere visie delen wat betreft het voorkomen van administratie en dubbel werk? Kan zij aangeven in hoeverre dit soort wetten daaraan bijdragen? We hebben het best vaak over kunstmatige intelligentie gehad, maar daarvoor zijn er echt wel dingen nodig. Wat gaat de minister daar na dit wetsvoorstel aan doen? Wat is haar ambitie als het gaat om het verlagen van die regeldruk met behulp van gegevensuitwisseling? Hoe gaat dit wetsvoorstel daaraan bijdragen? Hoe gaat de Verzamelwet gegevensverwerking VWS II.b hier ook aan bijdragen? Wellicht komt er daarna nog iets. Ik vraag de minister wat zij in werking gaat stellen om er daadwerkelijk voor te zorgen dat die gegevens dit soort effecten gaan hebben.

Tijdens werkbezoeken hoor ik van veel zorgprofessionals en onderzoekers dat de gegevens voor zowel wetenschappelijk onderzoek alsook voor patiëntgerichte diagnostiek en behandeling makkelijker beschikbaar zouden moeten zijn. Met de huidige wetten die er zijn — dat zijn er volgens mij meer dan drie — moet elke compliance officer van zorgverzekeraars op dit moment toestemming geven aan alle betrokken onderzoekers en professionals om gegevens te kunnen gebruiken. Dat levert enorme bureaucratie en vertragingen op. Op het moment dat je spiegelinformatie nodig hebt om te bekijken of behandelstappen ook daadwerkelijk het juiste effect hebben, heb je gewoon meer dan alleen maar de cijfers van de patiënt nodig. Die patiëntinformatie moet je wel kunnen verwerken in een tabel in Excel of zoiets. Nu hoorde ik van een geval — en dat is het geval omdat die regels er zijn — van een verpleegkundig specialist die al die gegevens moet invoeren en zelf grafiekjes moet maken, terwijl hij beter is in het werk met patiënten. Maar hij mag het niet vragen aan de doktersassistente die beter is in het maken van Excelletjes en tabelletjes. Dan zou hij namelijk heel vaak de toestemming moeten krijgen om dit over te dragen aan die doktersassistente. Natuurlijk zit die verpleegkundig specialist liever met de patiënt te bespreken wat die data en die spiegelinformatie bijvoorbeeld zeggen over de voortgang van een antikankerbehandeling. Die patiënt verwacht ook dat het team bezig is om hem beter te maken en dat dit team daarvoor alle benodigde gegevens heeft. Kan de minister eens in kaart brengen hoe we, met inachtneming van de bescherming van gegevens, dit soort regeltjes, die toch wat onnodig zijn, weg kunnen halen? Je wil dat de mensen die uiteindelijk met patiënten die behandeling moeten uitvoeren, dat ook daadwerkelijk kunnen doen, mét de gegevens, en dat ze niet bezig hoeven te zijn met computerprogramma's.

Ik zat zelf te denken — maar dit was echt nog een brainstorm — aan een soort teamlicentie. Die zou dan verder gaan dan alleen maar de BIG-geregistreerde behandelteams, zodat iemand die onderdeel is van een behandelteam ook daadwerkelijk met data aan de gang kan gaan. Zoals ik al zei, was dit nog een brainstorm.

De minister verwijst in antwoord op mijn schriftelijke inbreng naar de European Health Data Space en naar de nog op te richten Health Data Access Body als oplossingen voor dit soort vraagstukken. Maar mijn vraag is of dit daadwerkelijk zo werkt. Kan de minister ook wat meer vertellen over wat die Health Data Access Body daadwerkelijk gaat opleveren qua oplossingen voor onnodige bureaucratie? Wat verwacht de minister daarvan? Kunnen we nog meer versies van wetten verwachten die gegevensuitwisseling stimuleren? Kan de minister daar een toelichting op geven?

Voorzitter, dat was mijn inbreng.

De voorzitter:
Dank u wel, mevrouw Tielen, voor uw inbreng namens de VVD-fractie. Dan geef ik het voorzitterschap weer over aan u.

Voorzitter: Tielen

De voorzitter:
Aan mij de heldere taak om te zeggen dat de eerste termijn van de zijde van de Kamer is afgesloten. Ik ga nu van de minister horen hoelang zij graag wil schorsen. De mensen boven kijken mee, hoor ik. We gaan een halfuur schorsen, zodat de minister goed voorbereid haar eerste termijn kan doen. Dat zal dan om 11.30 uur zijn. Tot straks.

De vergadering wordt van 11.01 uur tot 11.30 uur geschorst.

De voorzitter:
Welkom terug allemaal. Ik hervat het wetgevingsoverleg over de Verzamelwet gegevensverwerking VWS II.a. We zijn toegekomen aan de eerste termijn van de zijde van het kabinet. Ik zie dat de minister vier mapjes heeft. Ze gaat ons zo vast vertellen hoe ze haar eerste termijn gaat invullen. Het lijkt me goed dat de Kamerleden wederom vijf interrupties ter beschikking hebben. De minister.

Minister Agema:
Dank u wel, voorzitter. Ik heb de mapjes inderdaad ingedeeld naar aanleiding van de wetswijzigingen. Ik denk dat dat logisch is. Als het gaat om gegevensuitwisseling, snap ik het op zich wel dat leden dat soms wat spannend vinden. Ik heb dat zelf ook. In 2012 werd bekend dat ik MS heb. Wat mij betreft had niet heel Nederland dat hoeven weten. Ik vind het altijd heel fijn als mensen bezorgd zijn of er eens naar vragen, maar ik had dat niet gewild. Toch weet heel Nederland dat. Ik ben er dus heel alert op dat we dit dus heel zorgvuldig doen op dit spannende terrein waarop we ons begeven.

Juist om die zorgvuldigheid met elkaar te kunnen bereiken, denk ik dat we de volgende stappen moeten zetten. Ik heb de Kamer ook vijf brieven gestuurd over hoe we de volgende stappen kunnen gaan zetten. Die komen er natuurlijk ook allemaal aan met de Wegiz en de EHDS. Dat gaat ook over hoe we de gegevensuitwisseling naar een hoger plan kunnen brengen, waarbij we ook een toekomstbeeld hebben waarin gegevens bij de bron blijven en wij vooral de snelwegen daaromheen gaan organiseren. Maar dat hebben we nu nog niet. We zijn nog niet zover.

We hebben nu bijvoorbeeld de organisatie Vektis, die dat al 30 jaar doet voor ons, of eigenlijk niet voor ons maar voor de verzekeraars. Op basis daarvan kunnen we ook beleid bepalen en conclusies trekken. Wij maken hier met z'n allen beleid. Ik denk dat het heel erg belangrijk is om ons goed te realiseren hoe ongelofelijk belangrijk het is dat we die gegevens hebben, niet alleen zodat een minister of staatssecretaris vragen kan beantwoorden, maar ook omdat we verschillen zien tussen regio's en aanbieders, waar we soms nieuw beleid op willen maken. Ook als we bijvoorbeeld vragen hebben of mee- of tegenvallers hebben op het kader bij de medisch-specialistische zorg, de ggz of de Wlz, dan kunnen we uitzoeken hoe dat nou komt. Daar hebben we Vektis dus heel erg hard bij nodig. Zo direct ga ik ook in op de vragen die hieromtrent zijn gesteld. Maar als het gaat om gegevensuitwisseling, dan is het voor de praktijk, voor het land, heel erg belangrijk om dat beter te maken. We horen ook veel over dingen die dubbel gedaan worden omdat ICT-systemen niet op elkaar aansluiten. Het is dus een belangrijke volgende stap die we moeten gaan zetten. Wat we hier vandaag voor ons hebben liggen, zijn verbeteringen van wetswijzigingen, zoals we die ook bij de wet gegevensuitwisseling I hebben gehad, waarbij we de wet willen laten aansluiten op de praktijk.

Over onderwerp één, de IGJ en de Wet aanvullende bepalingen, zijn een aantal vragen gesteld.

De voorzitter:
Vindt u het oké om even te zeggen welke blokjes er komen? Dan weten de leden of ze al wel of niet moeten interrumperen.

Minister Agema:
Er zijn niet over alle blokjes vragen gesteld.

De voorzitter:
Oké.

Minister Agema:
Ik heb hier één, twee, vier en zes. O nee, ik heb één, drie en vier, en dan het blokje overig.

De voorzitter:
Dat zijn de wetsonderdelen?

Minister Agema:
Ja. Twee en vijf heb ik niet.

De voorzitter:
Hartstikke goed. Dan beginnen we gewoon met één.

Minister Agema:
Het eerste blokje gaat over toezicht van de IGJ op de Wet algemene bepalingen. Daarover heeft het lid Claassen de volgende vraag gesteld. Waarom krijgt de inspectie handhavingstaken in de Wet aanvullende bepalingen? Dat is nodig omdat we ervoor zorgen dat de inspectie preventief kan ingrijpen en niet hoeft te wachten tot de kwaliteit van zorg in het geding komt.

De heer Bushoff vraagt naar de verbeteringen van de informatiebeveiliging. Als de beveiliging bij zorgaanbieders niet altijd op orde is, wat kan de minister hier dan aan doen? Het klopt dat de beveiliging niet altijd op orde is. Er zijn diverse onderzoeken geweest waaruit bleek dat bijvoorbeeld twee derde van de ziekenhuizen dit niet op orde had. We willen natuurlijk dat de informatie juist daar het beste beschermd is, zodat als er pogingen worden gedaan om informatie te stelen, die worden gedwarsboomd. Zorgaanbieders zijn dus in de eerste plaats zelf verantwoordelijk voor het aantoonbaar voldoen aan de NEN-normen. Ik ondersteun zorgaanbieders bij de informatiebeveiliging. Ik werk aan het uitbreiden en verstevigen van Z-CERT. Mevrouw Tielen noemde dat al. Dat is de digitale brandweer waar zo'n 300 zorginstellingen op aangesloten zijn en waar ze met al hun vragen terechtkunnen. Daarnaast zet ik in op het stimuleren van informatieveilig gedrag bij zorgprofessionals. Daarvoor hebben we samen met het veld het actieplan informatieveilig gedrag ontwikkeld. Tot slot zorg ik voor de doorontwikkeling van de wettelijk verplichte beveiligingsnormen.

De voorzitter:
Meneer Claassen heeft daar een vraag over.

De heer Claassen (PVV):
In de regio Zuid-Limburg is een heel groot podologisch centrum. Dat heeft in meerdere gemeentes een praktijk. Twee, drie weken geleden was daar een datalek. Dat trof echt honderden mensen die in die praktijk geregistreerd waren, onder wie ikzelf — ik leef niet op grote voet, maar ik heb ze wel. Die mensen kregen een mail dat er een hack is geweest en dat er data naar buiten zijn gekomen. Daarbij werd expliciet gezegd dat het niet ging om de medische gegevens, want die zaten in een iets ander systeem, die waren redundant en weet ik wat allemaal. Maar de naw-gegevens, bsn, verzekerdengegevens et cetera waren wel naar buiten gekomen. In de mail die ik kreeg, stond: excuses, en let op of er valse declaraties voorbijkomen. Daarmee wordt het probleem bij de consument gelegd. Is dat het voorland, of wordt dat gewoon beter geregeld, zodat ik als consument niet ineens heel erg alert moet zijn omdat de systemen niet kloppen?

Minister Agema:
Deze vraag overvalt mij een beetje. Daar kan ik niet zomaar op reageren. Het is natuurlijk wel zo dat we ervoor gaan zorgen dat de inspectie in ieder geval controleert of er voldaan wordt aan de beveiligingsnormen. In de situatie zoals die nu nog steeds is, moet ook de kwaliteit in het geding zijn. Dat tweede deel laten we los. Nu kan de inspectie gewoon kijken of er voldaan wordt aan de normen. Dat beleid wordt dus eigenlijk veel strenger. De inspectie kan er ook meteen op handhaven. Dat kan allereerst via een waarschuwing, een brief, maar er kan ook een boete worden opgelegd. Ik denk dat we dan komen tot een situatie waarin het niet te gemakkelijk bij u wordt neergelegd, maar een instelling ook zelf de eigen verantwoordelijkheid moet zien en moet nemen.

De voorzitter:
Gaat u verder.

Minister Agema:
Dan een vraag van de heer Bushoff. In het verslag lezen we dat de minister verwacht dat de inspectie vaker handhavend zal optreden maar er geen aanvullende lasten in de uitvoering zijn, maar de inspectie verwacht wel dat er extra personeel nodig is. Wat klopt hiervan, vraagt hij, en is er extra personele capaciteit opgenomen in de lopende begroting? Ja, de inspectie heeft extra capaciteit gekregen in verband met de toekomstige Cyberbeveiligingswet, de Cbw. In dat kader is er ook extra personeel toegekend. Het toezicht op de toekomstige Cyberbeveiligingswet ligt in het verlengde van het huidige toezicht op de Wabvpz.

Dan ga ik naar het derde onderwerp, de comités tegen foltering.

De voorzitter:
Maar voordat u dat doet, heeft meneer Bushoff toch nog een vraag.

De heer Bushoff (GroenLinks-PvdA):
Ja, toch nog even over het eerste punt, dus het helpen van het zorgveld om de beveiliging op orde te krijgen. Ik begrijp dat er gewerkt wordt aan een soort digitale brandweer, een soort vraagbaak waar zorgaanbieders terechtkunnen met al hun vragen, en dat er een actieplan komt, of er al is, voor die bewustwording. Maar ik lees ook dat de IGJ schrijft dat er soms gewoon onvoldoende middelen zijn. Dan gaat het over tijd, geld en expertise. Hoe groot is dat probleem? En wordt dat opgelost met de acties die de minister zonet noemde?

Minister Agema:
Ja, dat moet natuurlijk wel, want ik heb geld gegeven voor extra capaciteit voor die Cyberbeveiligingswet. We hebben dat probleem dus gezien en er ook op gehandeld.

De voorzitter:
Meneer Bushoff in tweede instantie.

De heer Bushoff (GroenLinks-PvdA):
Misschien heb ik het fout, hoor, maar volgens mij gaan die extra middelen naar de IGJ om inderdaad te kunnen voldoen aan de extra taken die de IGJ krijgt rond de cyberveiligheid. Mijn punt gaat erover dat er volgens de IGJ bij zorgaanbieders aantoonbaar onvoldoende middelen zijn. Daarbij worden genoemd: tijd, geld en expertise. De vraag is of de acties die de minister zojuist opnoemde, dat probleem ook in voldoende mate tackelen.

Minister Agema:
Bij de zorgaanbieders dus. De zorgaanbieders hebben hun verantwoordelijkheid voor de eigen bedrijfsvoering. Ze moeten hun bedrijfsvoering op orde hebben. Binnen de vergoedingen die ze krijgen, zijn dit de eisen die we stellen. Ik heb geen signalen gekregen dat dat op dit moment niet voldoende is. We zullen er met z'n allen ook meer alert op moeten worden dat dit de toekomst is waar we naartoe moeten werken, en dat we grote slagen moeten maken. Die gaan ook veel geld schelen, omdat we geen dingen meer dubbel gaan doen. De eenheid van taal gaat veel dubbele administratie schelen. Uiteindelijk werken we dus toe naar een situatie, niet morgen maar in de komende jaren, waarin dit allemaal beter georganiseerd wordt.

De voorzitter:
Dan gaan we naar onderdeel drie.

Minister Agema:
Daarin zijn vragen gesteld door mevrouw Rikkers van BBB. Wie zorgt ervoor dat de comités geen misbruik maken van hun toegang tot medische dossiers? Hoe wordt gewaarborgd dat het principe van proportionaliteit altijd wordt gerespecteerd en comités niet onterecht vergaande inzage krijgen in medische dossiers? Dit wordt gewaarborgd in de verdragen zelf, dus in het Europees verdrag tegen foltering en in het antifolteringsverdrag van de Verenigde Naties. In die verdragen staan eisen ten aanzien van de leden van de comités, die onafhankelijk en onpartijdig moeten zijn en van het hoogst mogelijke zedelijke aanzien, de strikte afbakening van het mandaat van de bezoekende delegatie en de geheimhouding over en de vertrouwelijkheid van de ingewonnen informatie. In de verdragen is ook geregeld dat toegang alleen wordt verleend ter uitvoering van het mandaat, en dat de toegang tot informatie duidelijk van groot belang is voor het uitoefenen van het mandaat. Het comité tegen foltering is bovendien verplicht om bij het inwinnen van informatie bij een partij rekening te houden met nationaal recht, zoals het Nederlandse medisch beroepsgeheim. De Raad van Europa en de VN houden ieder toezicht op het eigen comité.

Kan de minister aangeven welke richtlijnen de comités moeten volgen? Het Europees comité tegen foltering moet zich houden aan het Europees verdrag tegen foltering, de rules of procedure die gebaseerd zijn op dat verdrag, en het gegevensbeschermingsreglement van de Raad van Europa. Het subcomité tegen foltering moet zich houden aan het VN-antifolteringsverdrag, de rules of procedure en de working methods die gebaseerd zijn op het verdrag en aan het Handvest van de Verenigde Naties. Hoe wordt gecontroleerd wat de comités doen, ondanks het personeelstekort bij de Autoriteit Persoonsgegevens? De comités vallen onder de paraplu van de Raad van Europa en de VN. Deze houden toezicht op de werkwijze van de comités. De Autoriteit Persoonsgegevens houdt geen toezicht op het werk van de comités.

Welke informatie wordt er gedeeld, als het comité hierom vraagt? Is dat het volledige medisch dossier of alleen de medische informatie die de zorgverlener noodzakelijk acht? Het inzagerecht van de comités zal worden uitgebreid ten behoeve van personen van wie de vrijheid door de overheid is ontnomen en die vrijwillige zorg krijgen of hebben gekregen. Er mogen echter geen kopieën gemaakt worden van de dossiers. Bovendien mogen de comités het volledige dossier alleen inzien voor zover dat redelijkerwijs nodig is voor hun taak. Aanwijzingen van foltering, vernederende behandeling of bestraffing kunnen aanwezig zijn in de medische dossiers van cliënten die van hun vrijheid zijn beroofd en vrijwillige zorg hebben gekregen. Denk hierbij bijvoorbeeld aan zorg na een gebroken arm in de gevangenis.

Waarom kan de inzage niet via een andere weg, zoals bij mentorschap? Nederland heeft de verdragen getekend en daarmee beloofd om de verplichtingen uit de verdragen na te leven, zoals we hebben beschreven in de rechtsstaatverklaring. In deze verdragen is geregeld dat de comités rechtstreeks toegang moeten krijgen tot alle informatie die van belang is bij hun werk. Daaronder valt ook inzage in de medische dossiers. Ze zien deze dossiers in om personen te beschermen tegen toekomstige slechte behandeling. Niet iedereen die door de overheid is vastgezet, heeft een mentor. Voor degenen die wel een mentor hebben, is inzage via de mentor geen vorm van volledige toegang en daarom is die niet in overeenstemming met internationale verdragen.

Is er in de wetgeving een systeem van waarborging opgenomen dat de privacy van de betrokkenen beschermt? De comités zijn opgericht om foltering of onmenselijke behandeling van personen die vastzitten, te voorkomen. Dit beschermt een zwaarwegend belang van de gevangenen. Om hun werk te kunnen doen, hebben ze inzage in medische dossiers nodig. Ze hebben alleen inzagerecht. Ze kunnen dus geen kopieën maken. De comités rapporteren alleen anoniem en citeren dus nooit uit medische dossiers. De comités worden benoemd door de VN en de Raad van Europa. Om benoemd te kunnen worden in een comité, moet een persoon voldoen aan de zware eisen die ik zojuist al opnoemde.

De voorzitter:
Dan gaan we door naar de vragen die gesteld zijn over onderdeel IV van de wet.

Minister Agema:
Dat is ons favoriete onderdeel, namelijk Vektis. Eerst zeg ik iets in z'n algemeenheid. De zorgverzekeraars en de zorgkantoren beschikken als gevolg van hun wettelijke taken over declaratiedata van verzekerden. Vektis beheert de database plus, door de samenvoeging van de data, de statische analyses die we kunnen krijgen over zorggebruik in den brede, maar dan gepseudonimiseerd.

Klopt het dat bronbestanden via Vektis gepseudonimiseerde data bevatten? Nee, de bronbestanden liggen bij de zorgverzekeraars en de Wlz-uitvoerders. Vektis slaat deze bestanden op om ze te verwerken. Zodra de gegevens worden verstrekt aan Vektis, verwerkt dat deze gegevens, bijvoorbeeld om aan het CAK gegevens te verstrekken over de uitvoering van de taken van Vektis. Deze gegevens zijn niet gepseudonimiseerd. Daarnaast versleutelt Vektis de gegevens en slaat deze op. Dan zijn de gegevens gepseudonimiseerd. Die gegevens worden gebruikt voor beleidsdoeleinden. VWS gebruikt die dan vervolgens weer geanonimiseerd.

Mevrouw De Korte (NSC):
Om het goed te begrijpen, wil ik toch nog even herhalen hoe het gaat. Het is namelijk een ingewikkeld proces. Vektis krijgt als eerste de gegevens van patiënten met bsn-nummers en dus niet gepseudonimiseerd. Daarmee is de identiteit van patiënten te herleiden, omdat die staat in de brongegevens. Klopt dat?

Minister Agema:
Ja, en dat moet ook, want Vektis moet deze gegevens bijvoorbeeld overdragen aan het CAK. Op basis van deze gegevens wordt berekend of iemand een zorgtoeslag krijgt en hoe hoog die is en ook hoe hoog iemands inkomensafhankelijke eigen bijdrage voor de Wmo moet zijn. Het kan niet anders.

Mevrouw De Korte (NSC):
U gaat straks vast wel in op de beveiliging …

De voorzitter:
Nee, mevrouw Agema; mevrouw De Korte is aan de beurt.

Mevrouw De Korte (NSC):
Ik denk dat u straks ingaat op de manier van beveiligen. Het zijn namelijk cruciale patiëntgegevens die bij Vektis liggen. Die zijn gevoelig voor hacken of lekken. We horen graag hoe dat nou precies beveiligd is, want tot nu toe zijn we daar niet helemaal uit gekomen.

Minister Agema:
Kijk, Vektis doet dit al 30 jaar. Er zijn geen lekken. Diefstal van data is er niet geweest. Van mij mag mevrouw De Korte de vrees hebben dat dat wel gebeurt, maar we moeten het ook wel in proportie zien. Het is nog steeds mogelijk dat wat al 30 jaar door Vektis zonder problemen wordt uitgevoerd, op enig moment wel een probleem is. Dat kun je nooit uitsluiten. Het is wel zo dat dit met de hoogst mogelijke vorm van prudentie en beveiliging gebeurt. Het is dus ook nodig om deze gegevens niet-gepseudonimiseerd over te dragen aan het CAK, simpelweg omdat deze gegevens nodig zijn voor de hoogte van je zorgtoeslag of de hoogte van je eigen bijdrage; dat kán niet anders. Maar hiervoor gelden de hoogst mogelijke beveiligingsnormen.

Het onderzoeken van de statistische gegevens gebeurt met gepseudonimiseerde gegevens. Beleid kunnen maken, wat VWS graag wil, gebeurt met volledig geanomiseerde en niet herleidbare gegevens.

De voorzitter:
Mevrouw De Korte, in derde en laatste instantie.

Mevrouw De Korte (NSC):
Wij zijn niet heel erg gerust over de beveiliging en de manier van beveiliging. Kijk, u zegt inderdaad dat dit al 30 jaar gebeurt, maar steeds meer hebben we te maken met hackers, op welke manier dan ook, zelfs bij banken of waar dan ook; dat zijn echt hele risicovolle situaties. Wat dat betreft denken we dat we de hoogst mogelijke vorm van beveiliging moeten inzetten. Maar er zijn dus meer beveiligingstechnieken. Nu worden bijvoorbeeld alleen de bsn-nummers beveiligd. Het Nationaal Cyber Security Centrum heeft specifieke beveiliging. De nationale politie heeft een beveiliging waarmee de data per onderdeel is beveiligd. TNO is daar ook mee bezig geweest en heeft geïnvesteerd in privacy-enhancing technologies in het publieke domein. Wij hebben begrepen dat Vektis op die manier nog niet de gegevens beveiligt. Het is misschien technisch. Ik ben ook inderdaad geen ICT-deskundige, maar als ik dit zo hoor, denk ik: het kan echt nog beter. Is de minister bereid om hier nog verdere stappen in te zetten?

Minister Agema:
Weet u wat nou zo lastig is? Mevrouw De Korte citeert uit iets wat wij niet kunnen meelezen. Ze is heel stellig over dat de politie beter beveiligd zou zijn dan Vektis, maar er is geen rapport waar zij dat uit haalt. Het is hearsay. We kunnen niet met haar meelezen. We kunnen niet meelezen in een bron die aangeeft wat zij bedoelt. Het is wel zo dat je ook bij de politie een getrapte mate van beveiliging hebt. Zo heb je dat natuurlijk ook bij organisaties die veel data verwerken. Het is ook zo dat Vektis valt onder het toezicht van De Nederlandsche Bank. Dit is dus zeer zware beveiliging, van het niveau dat wij bijvoorbeeld ook hebben bij digitaal bankieren. Het is van een zeer hoog niveau. Ik denk dat dat ook de reden is waarom er nog nooit iets mee is misgegaan. Als je absolutie eist, dan kunnen we alles wel gaan opheffen. Ik hoor ook niet een oplossing van mevrouw De Korte voor hoe zij dan de zorgtoeslag of de hoogte van de eigen bijdrages gaat regelen. Het is dus ook een wedervraag, mevrouw De Korte. Hoe gaan wij de zorg voor mensen en de betaling regelen als ze een meerderheid krijgt voor het idee dat dit stelsel helemaal niet meer mag? Hoe gaat ze het dan organiseren en regelen?

Dan de beveiliging. Mevrouw De Korte heeft grote zorgen over de beveiliging, maar wil ook weten hoe het precies geregeld is. Maar stel dat je het fysiek voor je ziet, met De Nederlandsche Bank en een stel goudstaven. Mevrouw De Korte wil eigenlijk weten: hoe ziet het gebouw eruit en hoe ga je naar binnen? Dan wil ze weten: "Daarna moet je zoveel verdiepingen naar beneden, dan neem je een afslag en kom je bij een hek. Daar hangt de sleutel van het hek. Daarna komen we bij de kluis, waar die code voor geldt. Daar liggen dan de goudstaven." Ik hoop dat u begrijpt dat u dan informatie wil die u niet zou moeten willen als u zich zo veel zorgen maakt over mogelijke diefstal van informatie. Ik denk dat het goed is dat we aan De Nederlandsche Bank laten hoe de spullen precies beveiligd zijn.

De voorzitter:
Meneer Claassen heeft ook een vraag.

De heer Claassen (PVV):
De minister had het erover dat de zorgaanbieders nog niet voldoen aan de NEN-norm, terwijl dat eigenlijk een vereiste zou moeten zijn om op het beste niveau van veiligheid te komen. Mijn vraag is: geldt dat ook voor de zorgverzekeraars, of voldoen die wel aan de NEN-norm? Wat moet er nog gebeuren om daar te komen en welke termijn geldt daar dan nog voor? Als er een langdurig hiaat is tussen de kwaliteitseis voor beveiliging en de toename van de data en de kans op cybercrime, dan moet er ergens wel een korte gap, en het liefst geen gap … Er moet wel een visie zijn, een plan. Wanneer sluiten deze dan wel op elkaar aan?

Minister Agema:
De zorgverzekeraars hebben de meeste informatie over de patiënten. Juist ook zij moeten voldoen aan de allerhoogste beveiligingseisen. Dat is natuurlijk volkomen logisch. Wat was uw vraag?

De heer Claassen (PVV):
Mijn vraag was de volgende. Volgens mij heb ik de minister horen zeggen dat nog niet iedereen voldoet aan de NEN-norm. Als dat zo is, wanneer voldoet men daar dan wel aan? Hoelang gaat dat duren en wat is ervoor nodig om zorgaanbieders en zorgverzekeraars te laten voldoen aan die NEN-norm? En wordt de termijn tussen de inwerkingtreding van de wet en het moment waarop wordt voldaan aan die kwaliteitseis op het gebied van de veiligheid, dan niet te groot?

Minister Agema:
Uiteraard voldoen de zorgverzekeraars wel aan de normen. Natuurlijk, op het lagere vlak hebben we gezien dat best wel veel zorgaanbieders daar nog niet aan voldoen. Een van de wijzigingen hebben we dan ook aangebracht om ervoor te zorgen dat de inspectie mag handhaven en dat ook mag doen zonder dat de kwaliteit van de zorg in het geding is, dus zonder die tweede bewijslast. Wij denken daarin een versnelling te kunnen maken. Onder de Cyberbeveiligingswet gaan we ook voor een intensivering van alle inspanningen. Zorgaanbieders moeten aan de bak, en de inspectie gaat met voldoende personeel intensiveren. Ik geloof dat het bij 55 op 77 ziekenhuizen niet op orde was. Ik wil natuurlijk dat die getallen fors gaan dalen. Daar richten we onze inspanningen op.

De voorzitter:
Meneer Claassen, in derde en laatste instantie op dit punt.

De heer Claassen (PVV):
Daarbij voorzie ik toch wel enige spanning, want die 75 moeten daar ooit aan gaan voldoen. Als dat niet lukt, gaat de toko dicht. Als dat wel lukt, dan is dat prima, maar op welke termijn is dat? Want handhaven is uiteindelijk niet alleen "foei" zeggen, maar misschien ook het daadwerkelijk sluiten van de toko. Ik houd daar dan wel graag zicht op: hoe ziet dat er dan uit en wat is daarbij dan de termijn?

Minister Agema:
De Cyberbeveligingswet is in oktober ingegaan. Ik hoop natuurlijk dat we dit wetstraject als het gaat om punt één, IGJ en de Wab, zo snel mogelijk kunnen afronden. Dan kan de inspectie gaan handhaven. Handhaven is wat je doet om de cijfers naar beneden te halen. Je ultimatum is dat het geregeld is, dat we de regels hebben gewijzigd, op het moment dat wij gaan handhaven. Het is net als bij de maximumsnelheid op de snelweg. Is die 100 km/u en gaat die in, dat geldt die ook, en dan ga je handhaven met boetes. Zo gaat de inspectie dat ook organiseren. Ik hoop dus dat wij deze wetgeving zo snel mogelijk door beide Kamers krijgen en kunnen publiceren in het Staatsblad. En dan gaat de wijziging in. De Cyberbeveiligingswet is op 1 oktober ingegaan.

De voorzitter:
Gaat u verder.

Minister Agema:
Voorzitter, ik kijk even wat ik al met mevrouw De Korte heb besproken. Ik doe eerst even de vragen van mevrouw De Korte.

Hoe voorkomt de minister dat zelfs gepseudonimiseerde gegevens herleidbaar zijn naar individuen? Het is niet aan mij, maar aan de organisaties die werken met gepseudonimiseerde data om deze adequaat te beveiligen. Daartoe bestaan al de nodige eisen op grond van de AVG en de beveiligingseisen voortvloeiend uit de regels van DNB. De reden waarom het voor de statistische analyses die Vektis doet nodig is dat het is gepseudonimiseerd en niet geanonimiseerd, is dat ze er ook dubbelingen of multimorbiditeit uit moeten kunnen halen. Daarom moet het bij de statistische analyses van Vektis gepseudonimiseerd zijn met een pseudo-bsn.

Dan de vraag van meneer Bushoff of de minister kan aangeven wat volgens haar een zwaarwegend algemeen belang is bij de verwerking door Vektis. Een zwaarwegend algemeen belang voor de samenleving is voor de samenleving van meer dan gewone betekenis. Daar is bijvoorbeeld sprake van als de verwerking van persoonsgegevens voor de overheid noodzakelijk is om een in de wet opgenomen taak uit te oefenen. Op grond van de Grondwet is de Nederlandse Staat verplicht om de volksgezondheid te bevorderen. Om dat doel te bereiken zijn data nodig, zodat er door het ministerie van VWS beleid kan worden gemaakt. Om die reden geldt bijvoorbeeld de verwerkingsgrondslag "zwaarwegend algemeen belang" bij het onderwerp dat toeziet op gegevensuitwisseling door Vektis aan VWS. Op basis van die statistische analyses moeten we dus kunnen zien wat opvalt, wat verandert en wat de wijzigingen zijn. Dan kunnen we ook bijsturen. Dat zal onze zorg beter maken.

Zijn er nog vragen over dit onderwerp?

De voorzitter:
Ik denk dat u door kan. Nee, meneer Bushoff wil wel een vraag stellen.

De heer Bushoff (GroenLinks-PvdA):
Het ging er al een klein beetje over, maar misschien heb ik het antwoord gemist. Ik had gezegd dat ik mij kan voorstellen — maar dat is gewoon mijn onwetendheid — dat bij heel specifieke medische aandoeningen met een heel klein aantal patiënten, gepseudonimiseerde data alsnog herleidbaar zouden kunnen zijn. Is dat inderdaad een risico? Hoe is dit eventueel ondervangen?

De voorzitter:
Het antwoord kwam net binnen, geloof ik.

Minister Agema:
Ja, dit was even een zoekplaatje. Vektis gaat herleidbaarheid vanwege een kleine groep van betrokken patiënten tegen door in de beleidsinformatie geen informatie op te nemen over groepen van minder dan tien patiënten.

De voorzitter:
Dan zijn we toegekomen aan het mapje waarin antwoorden staan op de overige vragen.

Minister Agema:
De heer Bushoff vroeg wanneer privacy moet wijken voor zwaarwegend algemeen belang. Heeft de minister daar een voorbeeld van? Een zwaarwegend algemeen belang is voor de samenleving van meer dan gewone betekenis. Daar is bijvoorbeeld sprake van als de verwerking van persoonsgegevens voor de overheid noodzakelijk is om een in de wet opgenomen taak uit te oefenen. In zo'n situatie is het niet wenselijk dat burgers of organisaties hun gegevens onttrekken aan de essentiële taak van de overheid. Het controleren of er sprake is van foltering of dwang binnen een zorgbehandeling is zo'n zwaarwegend algemeen belang. Je wilt voorkomen dat zorgverleners hun cliënten onder druk zetten om geen toestemming te geven voor het openbaren van hun patiëntgegevens. Een zwaarwegend algemeen belang mag alleen als verwerkingsgrondslag als er voor de burger voldoende waarborgen zijn dat zijn data op een goede wijze worden beschermd. Dit wetsvoorstel voorziet daarin.

Waarom is de knip gemaakt in de verzamelwet? De knip in de Verzamelwet II is zorgvuldig tot stand gekomen. Zoals gezegd zijn er in dit wetsvoorstel twee onderdelen met een dringend karakter. Dat gaat om het wetsonderdeel over de comités tegen foltering, omdat daar sprake is van een verdragsverplichting waaraan Nederland nu niet voldoet. Het gaat ook om het wetsonderdeel Vektis, dat mogelijk maakt dat VWS noodzakelijke anonieme beleidsinformatie ontvangt. Deze wetsonderdelen zijn aangevuld met de meest apolitieke wetsonderdelen van de Verzamelwet II.

Er is kritiek geweest op onderdelen die zijn verhuisd naar de Verzamelwet II.b. Betekent dat iets voor het participatietraject dat de minister voor ogen heeft voor het zorgveld en de betrekking van de Kamer? Ik heb de Verzamelwet II opgeknipt om twee wetsonderdelen met een dringend karakter voorspoedig te behandelen. Verder heb ik met de knip ook gezorgd voor meer tijd voor uw Kamer om zich te verdiepen in de Verzamelwet II.b. De participatie in deze wetstrajecten vind ik waardevol en belangrijk.

De relatie tussen gegevensdeling en het recht op privacy bevat een spanningsveld. Kunnen in de Verzamelwet II.b een aantal aanvullende privacywaarborgen voor gegevensdeling worden opgenomen, vraagt de heer Bushoff. Ieder onderdeel van het wetsvoorstel II.b voorziet daar al in. Verdere privacywaarborgen zijn op dit moment niet nodig.

Hoe borgt de minister dat de Kamer te allen tijde goed geïnformeerd blijft? Hoe gaat de minister ervoor zorgen dat de AVG wordt nageleefd? Dit waren vragen van de heer Claassen. De monitoring vereist uitsplitsing naar ongecontracteerde zorg en gecontracteerde zorg. Hiervoor is de verwerking van declaraties nodig, omdat daaruit blijkt of het om ongecontracteerde of om gecontracteerde zorg gaat. De zorgverzekeraars en de zorgkantoren contracteren Vektis, die namens hen persoonsgegevens verwerkt. Zij moeten er als verwerkingsverantwoordelijke voor zorgen dat zij daarop door de toezichthouders aanspreekbaar zijn en dat de verwerking door Vektis conform de AVG plaatsvindt.

Dan nog een vraag van de heer Claassen. Het is onduidelijk hoe een bezwaarsysteem in de praktijk wordt geëffectueerd. Gaat de minister dit regelen, en hoe wordt voorzien in een opt-outregeling met duidelijke voorlichting aan burgers? Zoals bij u bekend, is onlangs de Europese verordening EHDS vastgesteld. De EHDS biedt verschillende mogelijkheden om de burger regie te geven over diens eigen gezondheidsdata. Daaronder vallen onder andere het inzagerecht, het correctierecht en de mogelijke opt-out. Ik ben mij nu aan het verdiepen in de EHDS, en hoe deze verordening juridisch moet worden geïmplementeerd. In het voorjaar kom ik met een Kamerbrief waarin ik hier verder op inga.

Kan er met zekerheid worden gezegd dat er geen financiële gevolgen aan het wetsvoorstel zitten? Ja, dat kan. De onderwerpen in dit wetsvoorstel voorzien alleen in juridische grondslagen. Dit wetsvoorstel regelt geen verplichtingen die zullen leiden tot extra kosten. De aanvullende personele taken die de IGJ krijgt voor de uitvoering van het toezicht op grond van de Wabvpz worden uit een potje betaald, de NIS2-gelden, die reeds zijn begroot.

De voorzitter:
Voor u verdergaat, heeft de heer Claassen nog een vraag. Dat is zijn laatste.

De heer Claassen (PVV):
Ja, nou goed, het is wat het is. Het is goed om te horen dat dat opt-outverhaal in de voorjaarsbrief terug gaat komen. Mijn vraag is: wat komt daar dan uit? Onze grote wens zou zijn dat dat een opt-outregeling is. Dat geldt voor II.b en ook voor de wetswijziging over kwaliteitsregistratie. Heeft wat daar uitkomt nog een retrograad effect als deze wetten worden aangenomen? Met andere woorden: moet er dan een nieuwe wetswijziging komen of geldt die uitkomst dan ook voor de wetten die wij wel of niet gaan aannemen?

Minister Agema:
Uiteindelijk is de EHDS natuurlijk een overkoepelende wet, maar er is natuurlijk wel een verschil tussen declaratiedata en medische dossiers. De EHDS — ik zeg dit even uit mijn hoofd; als het niet klopt word ik gecorrigeerd — ziet vooral op medische dossiers. Ik werk op dit moment uit waar we die opt-out gaan plaatsen. Je hebt mijnpensioenoverzicht.nl, maar je krijgt straks ook mijnmedischoverzicht.nl of mijnmedicatieoverzicht.nl; je krijgt straks een eigen website waar je naartoe kan. De vraag is even of we de opt-out daar kunnen vormgeven of dat we iets anders moeten vormgeven. Anders ben je namelijk verplicht die website over medische gegevens te gaan gebruiken, terwijl ik meer mensen zou willen bereiken voor de opt-out. We geven het zo vorm dat het meer getrapt is. Ik zou het namelijk erg jammer vinden als we mensen gaan missen die bijvoorbeeld zeggen: ik wil beheren welke zorgaanbieder toegang krijgt tot mijn medische gegevens, wat ook geregeld wordt met de EHDS, maar op het moment dat ik binnengereden word op de eerste hulp, mag het wel overruled worden. We krijgen in de uitwerking van de opt-out meer mogelijkheden dan nu. Daarom ben ik bezig met de plek waarop we dat moeten gaan vormgeven. Ik probeer nog voor het debat een brief over de gegevensuitwisseling naar uw Kamer te sturen. Maar ik kan u dat nog niet toezeggen, omdat we de juiste plek gevonden moeten hebben. Dat is dus even een slag om de arm, vandaar dat dit nog niet bij die vijf brieven zit. Ik heb daarbij gezegd dat ik nog op zoek ben naar de juiste plek.

Mevrouw Tielen zegt dat het wetsvoorstel volgens het ATR weinig doet op het gebied van het verminderen van administratieve lasten en dat de VVD de reactie van de minister daarop niet begrijpt. Ze vraagt: kan de minister een bredere visie delen als het gaat om het voorkomen van administratie en dubbel werk? Het klopt dat het ATR stelt dat dit wetsvoorstel niet direct leidt tot een grote vermindering van administratieve lasten. Dit wetsvoorstel heeft dat ook niet tot doel; dit wetsvoorstel voorziet primair in het regelen van juridische grondslagen voor gegevensuitwisseling. Onlangs is met de Europese EHDS-verordening ingestemd. We hadden het daar zojuist al over. Deze verordening geeft mij handvaten om de regeldruk en administratieve lasten voor zorgaanbieders te verminderen. Ik doe nu nader onderzoek naar de manier waarop we de EHDS kunnen implementeren in Nederland. In het voorjaar kom ik met een Kamerbrief die daar verder op ingaat.

Mevrouw Tielen vroeg: kan de minister meer vertellen over het voordeel van een Health Data Access Body, wat dit gaat opleveren in het tegengaan van onnodige bureaucratie, en wat de minister hiervan verwacht? Via een HDAB kunnen onderzoekers met één nationale catalogus beter inzicht krijgen in welke gegevens beschikbaar zijn. Bij een HDAB kunnen ze één vergunning aanvragen voor toegang tot gegevens uit meerdere bronnen. Er komt één punt vanwaaruit aanvragen kunnen worden ingediend voor secundair gebruik. Een HDAB zal door middel van een helder toetsingskader objectief toetsen of het secundaire gebruik mag. Secundair gebruik via een HDAB wordt transparanter dan nu het geval is. Er zal altijd toezicht worden gehouden op het secundair gebruik door een HDAB. Burgers krijgen bij een HDAB meer inzicht in het secundaire gebruik van gegevens over hen.

Ten slotte de heer Claassen. Met het oog op het amendement van NSC vroeg hij hoe wij ons weren tegen cybercrime. Dat is natuurlijk een voortdurend proces. Wij weren ons door een verwerking conform de geldende beveiligingsstandaarden en de DNB-voorschriften voor informatiebeveiliging. Zorgverzekeraars en Vektis voldoen hieraan omdat een datalek of een andere cyberdreiging leidt tot een forse reputatieschade, hoge kosten voor reparatie en schadevergoedingen en maatregelen van toezichthouders. Vektis treedt al geruime tijd, namelijk 30 jaar, op als verwerker en heeft een goed trackrecord voor informatiebeveiliging.

Zijn er nog vragen blijven liggen?

De voorzitter:
Ik had er zelf nog eentje. Ik had nog een brainstormidee over een soort behandelteamlicentie. Dat staat nog even los van BIG-registraties enzovoort. Het gaat erom dat een team dat bezig is met het behandelen van een patiënt, sowieso de gegevens kan gebruiken. Ik wil nog wel een reactie op die brainstorm.

En we zijn natuurlijk ook nog wel nieuwsgierig naar uw appreciatie van het amendement op stuk nr. 9.

Meneer Bushoff, had u ook nog een openstaande vraag? Ja. Meneer Bushoff.

De heer Bushoff (GroenLinks-PvdA):
Ik had dat misschien beter net kunnen doen, bij het antwoord op mijn vraag over een hele kleine groep mensen met een heel specifieke medische klacht. De minister zei dat dit niet wordt geregistreerd bij een groep onder de tien personen. Dat klinkt op zich goed, maar de grens van tien is voor mij heel arbitrair. Ik heb geen idee wat een goede grens is: tien, vijftien? Ik ga er dus van uit dat de tien die de minister noemt, goed is. Ik zou het prettig vinden om in ieder geval wel de vinger aan de pols te houden: werkt dit in de praktijk daadwerkelijk uit zoals beoogd of moeten we die grens toch oprekken of kan die omlaag? Wellicht kan de minister dat toezeggen.

Minister Agema:
Ja, ik kan het ook niet goed overzien. Soms heb je een hele kleine patiëntengroep die heel beroemd is. En dan kennen we ze eigenlijk allemaal wel. Dan is het inderdaad zoals u zegt. Ik zal er eens navraag naar doen. Voor het debat over de gegevensverwerking kom ik met een brief. Ik wil u toezeggen uw hersenspinsel daarin mee te nemen.

Dan kom ik op het amendement. Ik weet niet of het wel vaker voorkomt, maar hier staat in kapitalen: met klem ontraden. Het voorgestelde amendement schrapt de grondslag. Wat de heer Bushoff hierover zei en vroeg, klopt. Het voorgestelde amendement schrapt de grondslag voor verzekeraars en Wlz-uitvoerders om de reeds bij hen beschikbare declaratiedata te verwerken om te komen tot anonieme beleidsinformatie voor VWS. Uit de toelichting op het amendement blijkt dat de indiener vanwege veiligheidsrisico's moeite heeft met het bestaan van grote bestanden met gepseudonimiseerde data. De indiener wil dit met het amendement tegengaan. Met de indiener deel ik het belang van dataveiligheid. Persoonsgegevens en zeker medische gegevens dienen veilig te zijn. Echter, wat de indiener beoogt, wordt met dit amendement niet bereikt. De heer Bushoff zei het al. Het gepseudonimiseerde databestand bestaat al. De voorgestelde grondslag verandert daar niets aan.

Bovendien hecht ik groot belang aan het kunnen ontvangen van beleidsinformatie. Dat helpt bij de onderbouwing van en verantwoording over beleid. Zonder deze informatie varen we blind of komen we tot stilstand. Ook kan ik dan niet voorzien in de informatiebehoefte van uw Kamer, bijvoorbeeld als zij om cijfers vraagt. Ik noem een heel concreet voorbeeld waar ik op dit moment tegen aanloop. Deze week nog ben ik op zoek naar een alternatieve dekking voor de 165 miljoen — het ongelukje van vlak voor de kerst. Ik heb een extra opgave inzake de weerbare zorg van 480 miljoen. Ik denk dat de Kamer ook wil dat ik een dekking vind voor de 20 miljoen extra om 500 kinderen extra uit het ziekenhuis te houden met het RS-vaccin, maar ik moet dat wel allemaal deugdelijk dekken. Ik kan deze 500 à 600 miljoen niet zomaar even ergens uit de kast pakken. Ik moet dat verantwoorden tegenover uw Kamer. U moet het eens zijn met de alternatieven waar ik mee kom. Als ik bezig ben met te bekijken of we de post die al op de lijst staat, niet kunnen verbreden of vergroten en mijn mensen tegen mij zeggen "dat kunnen we niet, want we kunnen de data niet opzoeken", kan ik dus niet het werk doen dat nodig is om dekkingen te vinden voor alternatieven voor dingen die ook de Kamer niet wil.

Ik zeg dit ook tegen mevrouw De Korte. Ik snap haar vrees. Ik denk dat ik goed heb toegelicht dat de beveiligingsnormen bij Vektis erg hoog zijn, dat er in de afgelopen 30 jaar geen problemen met Vektis zijn geweest en dat dit heel erg belangrijk is, bijvoorbeeld ook voor het CAK om de betaling van de zorgtoeslag en de eigen bijdrage mogelijk te maken. Uiteindelijk heeft VWS helemaal aan het einde van de rit geanonimiseerde informatie nodig voor het kunnen voeren van beleid. Ik hoop dat ik mevrouw De Korte heb overtuigd zodat zij het amendement intrekt.

Mevrouw De Korte (NSC):
Wij zijn toch nog niet overtuigd van de manier van beveiligen. Wij vinden het jammer dat de minister zich echt niet heeft verdiept in de nadere beveiligingsmogelijkheden die TNO voorstelt of die de politie al gebruikt. Wij denken echt dat er ook andere mogelijkheden zijn dan alleen het beveiligen van de bsn-nummers. Op die manier wordt het nog veiliger om met deze data te werken. Natuurlijk snappen we dat we beleidsgegevens nodig hebben, maar wij denken echt dat het beter kan. Ik heb inderdaad nog een vraag aan de minister. Er komt een brief. Kan de minister in die brief toch nog wat specifieker ingaan op de manier van beveiliging, dus niet alleen bij Vektis, maar ook inzake de Wet kwaliteitsregistraties zorg? Is daar een soort beleid voor? Wij vinden het essentieel dat daar een discussie over gevoerd wordt. Misschien kan de minister daar in die brief toch nog antwoord op geven.

Minister Agema:
Daar ben ik zeker toe bereid, maar ik heb haast met deze wet. Ik wil de wet dus wel graag door laten gaan. Als u niet bereid bent om dit amendement in te trekken, zou ik de stemmingen toch heel graag laten doorgaan. Ik vind het ook heel erg lastig dat u steeds weer terugkomt op dingen die wij niet samen met u kunnen lezen, omdat we niet weten waar u die vandaan heeft. Dat is een heel vreemde vorm van debatteren met elkaar. Normaal gesproken zegt u: "Hier heb ik een rapport. Op die en die pagina staat dat en dat. Daar stel ik u een vraag over." Dan kunnen wij allemaal meedoen. Maar nu zegt u dingen die ik niet kan verifiëren.

Twee. Natuurlijk, TNO heeft een visie, een concept waaruit blijkt waar ze naartoe willen. Dat gaat niet over de huidige situatie. Wij hebben op VWS ook concepten waaruit blijkt waar we naartoe willen. Daar gaan we over een paar weken met u over praten. We hebben een toekomstbeeld en daar werken we naartoe. En als we vaart maken, gaat het over tien jaar anders. Dan blijven brongegevens altijd bij de bron en dan hebben we prachtige snelwegen gecreëerd. Maar dat is niet de situatie van nu. Ook TNO heeft dromen en visies over waar het naartoe zou moeten kunnen gaan. Dat is niet de situatie van nu. Toch zien we dat Vektis nú een organisaties is die zich al 30 jaar aanpast en dat DNB de eisen stelt voor de beveiliging. We zien dat dat goed gaat. Is dat een garantie voor altijd en eeuwig? Nee. Maar dit soort beveiligingssystemen is voortdurend in beweging. Het is aan mij als minister van VWS om alles mogelijk te maken, om de wetgeving daaromheen mogelijk te maken en om ons met z'n allen op te tillen naar een nieuwe tijd.

De voorzitter:
Mevrouw De Korte nog?

Mevrouw De Korte (NSC):
Nou ja, goed. Wij hebben natuurlijk al sinds de feitelijke vragen gevraagd naar specifieke beveiligingstechnieken. Daar is gewoon steeds niet op ingegaan. Het zijn specifiek technische technieken. Wij hadden daar wel graag antwoord op gekregen. Ik heb al aangegeven dat het mooi zou zijn als de commissie zich daar beter over zou laten informeren. Ik wil in de procedurevergadering voorstellen om daarover een rondetafelgesprek te voeren. Want het is inderdaad heel technisch, maar wij verwachten ook van het ministerie dat daar een verdiepingsslag in wordt gemaakt.

De voorzitter:
Wat is uw vraag aan de minister dan nu?

Mevrouw De Korte (NSC):
Het is meer een soort beantwoording. Ik bedoel dat aan NSC en mijzelf wordt aangegeven: we komen niet met rapporten, maar we hebben wel een aantal begrippen gebruikt om uit te leggen wat we bedoelen ten aanzien van beveiliging.

De voorzitter:
Als de minister wil reageren kan dat, maar er is geen vraag gesteld.

Minister Agema:
Ik heb mevrouw De Korte uitgebreid uitgelegd dat de ontwikkeling in beveiliging een ongoing process is, dat het uiteraard op het netvlies staat bij het ministerie, bij mijn team, bij mijn afdeling. We zijn ermee bezig. Dat is de reden waarom we een tandje bijzetten met betrekking tot de gegevensuitwisseling en waarom ik vijf brieven naar de Kamer heb gestuurd, waar we het over een aantal weken met elkaar over gaan hebben. Het is jammer dat mevrouw De Korte denkt dat zij de enige is die daarmee bezig is, want ik heb hele afdelingen die daarmee bezig zijn. Het is natuurlijk heel normaal om te kijken waar we over tien jaar naartoe gaan, hoe het zit met de beveiliging, wat er nodig is en wat er extra bij komt qua beveiliging. Het is volkomen logisch dat daar overal in Nederland en de wereld op doorgegaan wordt. Het is gelukkig een zorg van ons allemaal, niet alleen van NSC.

De voorzitter:
Ik kijk rond of er nog vergeten vragen zijn. Dat is niet het geval. Dat betekent dat we aan het einde zijn gekomen van de eerste termijn. Dan gaan wij soepel en vriendelijk door naar de tweede termijn. Het woord is aan mevrouw De Korte.

Dit is overigens een wetgevingsoverleg, dus als leden dat zouden willen, kunnen zij moties indienen.

Mevrouw De Korte (NSC):
Dank u wel, voorzitter. Het zal duidelijk zijn: wij blijven ons zorgen maken over de beveiliging van de gegevens bij Vektis, dat onder andere gegevens heeft van patiënten die gedeclareerd hebben bij de zorgverzekeraar. Op basis van hun bsn-nummer zijn zij te achterhalen. Wij zijn onvoldoende overtuigd van de manier van beveiliging. We hebben genoemd dat de nationale politie en het Nationaal Cyber Security Centrum technieken gebruiken die veel verder gaan dan dat. Daar was de minister ook van op de hoogte. Ze zei: we gaan steeds betere technieken toepassen. Maar er zijn technieken die echt beter kunnen.

De voorzitter:
Voor u verdergaat — ik hoorde een ademhaling, dus het leek op een punt — heeft meneer Bushoff een vraag voor u.

De heer Bushoff (GroenLinks-PvdA):
Ik heb hier toch wel een vraag over. Even los van of wij de zorg delen over de beveiliging bij Vektis, denk ik in ieder geval dat het een gedeelde wens is dat die beveiliging op orde is. Als die zorg er is, kan ik mij voorstellen — dat is ook mijn vraag aan NSC — dat je een voorstel of een motie indient om te inventariseren of die beveiliging op orde is en waar die verbeterd kan worden. Bent u voornemens om zo meteen, over een minuut ofzo, een dergelijke motie voor te lezen?

Mevrouw De Korte (NSC):
Op dit moment hebben we daar geen motie voor. Daarom geef ik aan dat het belangrijk is dat wij hier als Kamer en als commissieleden meer van weten, zodat ik u en alle andere partijen ervan kan overtuigen hoe het eventueel beter kan, of zodat deskundigen ons ervan kunnen overtuigen dat het misschien al heel erg goed gaat. Daarvoor is echt nog meer discussie nodig. Als ik nu iets voorleg, is de achtergrond onvoldoende duidelijk, denk ik. Daarom gaan we nu geen motie indienen. We laten wel het amendement staan, omdat we zelf vinden dat er een signaal gegeven moet worden dat dit onderdeel op dit moment uit de wet zou moeten. Dat wil niet zeggen ... Er zijn ook andere onderdelen van de wet. Die laten we graag staan. Dat vinden we zelf ook belangrijk. Dit onderdeel kan altijd nog op een ander moment bij een verzamelwet opgenomen worden, als dat nodig is.

De heer Bushoff (GroenLinks-PvdA):
De fractie van NSC geeft aan dat er onvoldoende kennis is om een motie in te kunnen dienen over de beveiliging bij Vektis. Daar is onvoldoende over bekend bij NSC, dus daarom dienen ze daar nu geen motie voor in. Maar ze willen wel een wetswijziging aanbrengen. Het wijzigen van een wet! Met onvoldoende kennis om een motie in te dienen, willen ze dus wel een wet wijzigen als signaalfunctie. Dan is mijn vraag: is dat een onderdeel van een goed wetgevingstraject en goed bestuur?

Mevrouw De Korte (NSC):
Nu wordt de boel omgedraaid door de heer Bushoff. Wij hebben informatie over dat er bij Vektis beter beveiligd kan worden. Maar we vinden dat de hele commissie daarmee aan de slag moet. Die kennis moet niet alleen bij NSC liggen. Daarom vinden we dat op dit moment dit onderdeel uit de wet zou moeten. We moeten met elkaar de discussie aangaan om daar verdere stappen in te nemen.

De heer Bushoff (GroenLinks-PvdA):
Het punt van NSC is dus dat er de overtuiging is dat de beveiliging bij Vektis beter kan. Dan is mijn vraag als volgt. Dit amendement voorziet daar op geen enkele manier in. Op geen enkele manier! Waarom dient mevrouw De Korte dan dit amendement in? In plaats daarvan kan ze dit amendement intrekken en een motie indienen om precies te doen wat NSC beoogt en wat ze beargumenteert graag te willen. Of kan NSC mij nog overtuigen door uit te leggen hoe dit amendement gaat doen wat ze hier de hele tijd bepleit, namelijk de beveiliging bij Vektis verbeteren? Want dat is tot nog toe op geen enkele wijze duidelijk geworden.

Mevrouw De Korte (NSC):
Het is jammer dat ik niet heb kunnen overtuigen dat het toch op dit moment nodig is. We gaan een grondslag voor Vektis vastleggen. Wij willen die grondslag nu niet vastleggen. Dat kan altijd nog, als we de beveiliging echt goed geregeld hebben.

De voorzitter:
Mevrouw Rikkers heeft ook een vraag voor u.

Mevrouw Rikkers-Oosterkamp (BBB):
Mevrouw De Korte, het verbaast mij een beetje. Ik wil het graag duidelijk hebben. Zit de zorg van NSC 'm in de data, dus de bronbestanden, die Vektis heeft? Of zit de zorg 'm erin dat die bronbestanden anoniem gemaakt worden en naar het ministerie gestuurd worden? Waar zit de zorg?

Mevrouw De Korte (NSC):
Dank u wel, mevrouw Rikkers, voor deze vraag. Ik kan dat uitleggen. Als gegevens geanonimiseerd zijn, is het helemaal prima om daarmee analyses uit te voeren. Maar op dit moment zijn er bronbestanden met bsn-nummers bij Vektis. Daar zijn we ongerust over. Het kan, denken wij als NSC, veiliger. Die bronbestanden kunnen beter beveiligd. Daarom willen we op dit moment geen grondslag geven voor Vektis.

Mevrouw Rikkers-Oosterkamp (BBB):
Dan denk ik dat ik begrijp waar het bij NSC zit. Maar wat BBB betreft gaat die grondslag expliciet over het delen door Vektis met VWS van de gegevens die het al heeft. Wij gaan met deze wet dus niet zeggen dat Vektis geen bronbestanden meer mag hebben. Dat zit namelijk niet in deze wet. Dat is allang geregeld. Dat heeft Vektis ook nodig. Volgens ons gaat het stukje waar uw zorg zit, niet over de wet die we vandaag behandelen.

De voorzitter:
En uw vraag is of mevrouw De Korte daar een reactie op wil geven?

Mevrouw Rikkers-Oosterkamp (BBB):
Mijn vraag is of mevrouw De Korte ook inziet dat dat een ander deel van de gegevensbescherming is.

Mevrouw De Korte (NSC):
Ik heb daarom in mijn inbreng proberen uit te leggen welke stappen er gezet worden om naar anonimiseren te gaan. Wij menen dat alle stappen in deze wet bevat zijn. Het betreft de stap van zorgverzekeraars naar Vektis — daar zitten de bsn-nummers — dan de stap naar pseudonimiseren en vervolgens anonimiseren. Die stappen worden genomen. Daar zitten kritische punten in. Daar blijven wij kritisch over.

De voorzitter:
Gaat u verder met uw tweede termijn.

Mevrouw De Korte (NSC):
Voorzitter. Volgens mij heb ik al uitgelegd dat we dit amendement ingediend willen hebben. Laat daarbij nogmaals gezegd zijn: de rest van de wet willen we laten staan. Er kan dus zeker gestemd worden over deze wet.

Mevrouw Rikkers-Oosterkamp (BBB):
Dan heb ik nog wel een vraagje daarover. Stel nu dat dit amendement niet aangenomen wordt. Gaat NSC dan tegen de wet stemmen?

Mevrouw De Korte (NSC):
Voor deze wet stemmen wordt dan inderdaad een hele lastige. Dat is gewoon ontzettend jammer. We hadden er eigenlijk liever nog een stukje uit geknipt. We gaan dit dus bespreken in onze fractie.

De voorzitter:
We gaan door naar de tweede termijn van de heer Claassen namens de PVV.

De heer Claassen (PVV):
Dank u wel, voorzitter. We proberen duidelijk te maken dat we als fractie kijken naar de proportionaliteit en het recht van een burger om wel of niet iets met zijn data te laten doen. We hechten belang aan het medisch beroepsgeheim. Ik denk dat de minister dit onderwerp best goed heeft toegelicht. Ik ben ook blij dat we vooruit kunnen zien naar interventies — laat ik het zo zeggen — die effect gaan hebben op de zeggenschap van de burger over zijn data. Daar kijken we naar uit.

Ik wil mijn tweede termijn toch even kort gebruiken voor iets wat misschien nog onderbelicht is gebleven. Dat gaat over het doorbreken van het medisch beroepsgeheim. Misschien kan de minister daar nog iets over zeggen. Even heel specifiek: ik heb hier de stafnotitie. Op pagina 5 staat dat de Afdeling concludeert dat in de toelichting de noodzaak en de proportionaliteit van de gegevensverwerking aan het RIVM onvoldoende is gemotiveerd, mede in het licht van het medisch beroepsgeheim. Mijn vraag is: wat gebeurt daar dan nu op een bepaalde manier dat door deze wet niet meer gebeurt en wat zijn de risico's daarvan? Zij koppelt dat aan het bezwaarsysteem. Hoe zou zo'n bezwaarsysteem eruit moeten zien in de praktijk? Volgens mij heeft de minister daar al iets over gezegd, maar ik bedoel dit in het licht van dit specifieke stuk over het RIVM. Volgens mij zijn de belangrijkste vragen wat onze fractie betreft dan beantwoord.

De voorzitter:
Meneer Bushoff.

De heer Bushoff (GroenLinks-PvdA):
Dank u wel, voorzitter. Ik heb drie punten. Eén. Eigenlijk mijn hele inbreng was doorweven van het feit dat er een spanningsveld zit tussen aan de ene kant de noodzaak die wij zien voor gegevensuitwisseling en aan de andere kant de spanning die dat soms met zich meebrengt als het gaat om privacy en informatiebeveiliging. Die twee zaken, privacy en informatiebeveiliging, moeten gewoon heel goed geregeld zijn. Dat moet telkens opnieuw in balans zijn en dat is per keer een weging. Is die gegevensuitwisseling, die soms echt noodzakelijk is, in die mate noodzakelijk dat het belang van privacy of wat dan ook daar onderschikt aan is? Het liefst heb je natuurlijk dat de gegevensuitwisseling, die noodzakelijk is, hand in hand kan gaan met voldoende borgen voor de privacy en de informatiebeveiliging. In dit geval, als het gaat over dit debat en deze wet, denk ik dat de minister dat goed heeft aangegeven en goed duidelijk heeft kunnen maken.

Ik ben ook blij met de snelle en heldere antwoorden, met name op het punt dat ik had over de kleine groep mensen met een hele specifieke medische aandoening en of daarvan bij gepseudonimiseerde data niet herleidbaar is wie dat zijn. Volgens mij heeft de minister aangegeven hoe dat ondervangen wordt en heeft ze ook toegezegd een vinger aan de pols te houden of dat met de grens van tien inderdaad ook werkt in de praktijk. De eventuele motie die ik daarvoor had uitgeschreven, laat ik dus achterwege.

Voorzitter. Tot slot heb ik nog één punt.

De voorzitter:
Voor u daartoe komt, heeft mevrouw De Korte nog een vraag voor u.

Mevrouw De Korte (NSC):
Ik was juist benieuwd naar de motie van de heer Bushoff. Het gaat namelijk niet om die tien personen. Het is eigenlijk een combinatie van gegevens over waar iemand behandeld is en hoe vaak iemand behandeld is. Daardoor is de identiteit van mensen echt terug te halen. Ik vind het jammer dat u zegt: nou ja, als het om tien personen gaat, dan laat ik het maar zitten. Ook dit soort combinaties van gegevens in datasets zijn dus een heel erg risico. Wat vindt de heer Bushoff daarvan?

De heer Bushoff (GroenLinks-PvdA):
Op het moment dat het bijvoorbeeld gaat om een hele kleine groep, een hele specifieke aandoening of een combinatie van een hele set van behandelingen en aandoeningen, dan is er natuurlijk een risico dat er bij gepseudonimiseerde data het een en ander te achterhalen is dat je niet zou willen. Vandaar ook mijn vraag daarover aan de minister. Volgens mij geeft de minister vrij duidelijk aan dat zij het risico ook ziet en dat ze dat probeert te ondervangen. Vervolgens houdt ze ook nog een vinger aan de pols om te zien of wat zij doet, er in de praktijk daadwerkelijk voor zorgt dat het risico niet geëffectueerd wordt. De minister zal ons daarover ook nog informeren in een brief. Voor mij is dat op een gegeven moment afdoende. Ik zou niet weten wat je nog meer zou moeten vragen en willen dan dit. In die zin ben ik op dat punt wel degelijk op mijn wenken bediend.

Voorzitter. Dan heb ik nog één punt. Dat gaat over het feit dat de IGJ aangeeft dat er soms onvoldoende middelen, tijd, geld en expertise zijn bij zorgaanbieders om de informatiebeveiliging op orde te krijgen. De minister gaf in de schriftelijke beantwoording ter voorbereiding op het debat over deze wet al aan dat het op zichzelf primair aan de zorgaanbieders is om dit op orde te brengen. Tegelijkertijd zien we dat door de toenemende dreiging, de toenemende digitalisering en de toenemende eisen die we aan zorgaanbieders stellen, wel de kans aanwezig is dat het nog slechter zal gaan met de nu reeds onvoldoende middelen. Die zullen nog meer onvoldoende worden. Ik twijfel even of ik daar een motie over indien. Wellicht kan de minister aan mij toezeggen dat ze hierover met het veld en experts in gesprek gaat en de Kamer informeert of de middelen voldoende zijn, ja of nee?

De voorzitter:
Zo werkt het debat niet meneer Bushoff. U kunt nu een motie indienen. Als de minister straks op de een of andere manier een toezegging doet waar u genoeg aan heeft, dan kunt u de motie altijd intrekken.

De heer Bushoff (GroenLinks-PvdA):
Dat klopt.

De voorzitter:
U kunt het ook laten, maar om nu een reactie te ontlokken ...

De heer Bushoff (GroenLinks-PvdA):
Ik ga de motie indienen. Ik twijfelde even en praatte een tijdje door, omdat ik zag dat de minister ook in gesprek was. Ik wist niet zeker of de minister mijn punt helemaal meekreeg. Ik dien de motie dus in met dien verstande dat dit deels wellicht toegezegd kan worden. Wellicht luisteren er mensen mee die dat kunnen overbrengen.

Motie

De Kamer,

gehoord de beraadslaging,

constaterende dat informatiebeveiliging bij zorgaanbieders volgens de IGJ aantoonbaar tekortschiet door onvoldoende bewustzijn op het onderwerp informatiebeveiliging, doordat er onvoldoende middelen (tijd, geld, expertise) voor het onderwerp beschikbaar zijn en er soms onvoldoende aandacht is voor borging van het onderwerp binnen de organisatie;

overwegende dat er een toenemende dreiging is van cyberaanvallen en deze dreiging door toenemende digitalisering in de zorg groter wordt;

verzoekt de regering naast het uitbreiden van de handhavingsmogelijkheden van de IGJ aangaande informatiebeveiliging bij zorgaanbieders hen ook hierin te helpen en na overleg met het veld en experts de Kamer te informeren over welke ondersteuning nodig is,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Bushoff.

Zij krijgt nr. 10 (36579).

De heer Bushoff (GroenLinks-PvdA):
Tot zover, dan.

De voorzitter:
Dank u wel. Als u de motie meegeeft aan de bode, dan kan de griffier daar een nummer op zetten en kan de motie het systeem in. Dan zien we straks wat daar verder mee gebeurt. Als dat uw tweede termijn was, vraag ik u om uw microfoon uit te zetten. Ik geef mevrouw Rikkers het woord voor haar tweede termijn.

Mevrouw Rikkers-Oosterkamp (BBB):
Dank u wel, voorzitter. Allereerst wil ik graag de minister bedanken voor de beantwoording van de vele vragen die wij hadden over de comités. Wat ons betreft zijn die voldoende beantwoord, dus de motie die ik klaar had liggen, ga ik niet indienen. We hebben er voldoende vertrouwen in dat de minister onze zorg ziet.

Ik had nog wel een kleine vraag over de proporties, die ik net vergeten ben te stellen. Hoe vaak doet zo'n comité onderzoek in Nederland? Hoe vaak gebeurt dat eigenlijk? Is dat één keer per jaar of iedere week? Daar was ik nog even nieuwsgierig naar. Hoe vaak komt het voor dat de comités de uitvoering van het onderzoek niet kunnen doen, omdat wij die grondslag nog niet hebben? Daar was ik nog even nieuwsgierig naar.

Voor de rest: dank u wel!

De voorzitter:
Dank u wel. Dan geef ik het voorzitterschap over aan de heer Bushoff voor mijn tweede termijn.

Voorzitter: Bushoff

De voorzitter:
Dan de tweede termijn van mevrouw Tielen namens de VVD-fractie.

Mevrouw Tielen (VVD):
Dank u wel, voorzitter. Dank aan de minister voor haar antwoorden en voor het debat hier in de Kamer. Ik had ook een motie klaarliggen over "mijn hersenspinsel", zoals de minister het noemt. Ik zie in de brief die in het voorjaar komt, vast wel terug hoe we er echt voor zorgen dat de gegevensdeling en de gegevensverwerking op een manier gebeurt die dubbel en onnodig werk voorkomt.

Het moet me toch even van het hart dat ik het best lastig vindt hoe er nu in deze Kamer over het amendement is gesproken en hoe halsstarrig de NSC-fractie blijft hangen op dit punt. Het voelt bijna alsof de NSC-fractie zegt dat de andere Kamerleden zich er allemaal niet genoeg in verdiept hebben en dat we het dus maar zo moeten doen. Als ik luister naar dit Kamerdebat, merk ik dat iedereen zich er behoorlijk in heeft verdiept, ieder vanuit zijn eigen inzicht. We hebben horen spreken over NEN-normen, over toezicht door DNB en over de handhaving door de Inspectie Gezondheidszorg en Jeugd, die we zelfs met deze wet gaan vastleggen. Mevrouw De Korte zegt echter: als het amendement niet wordt aangenomen, wil ik misschien de wet helemaal niet steunen. Dat zegt ze terwijl wat ze zo belangrijk vindt, voor een deel met deze wet geregeld wordt. We hebben gehoord over Z-CERT, et cetera et cetera. We hebben de minister horen zeggen: we moeten de dingen wettelijk wel goed regelen. Dat doen we hiermee. Ik vind het echt lastig dat het lijkt alsof de NSC erlangs praat, denkend vanuit risico's en een beeld dat, denk ik, gewoon niet helemaal rechtdoet aan al die mensen, al die compliance officers, al die IT-beveiligers en al die wetten die we hier al met elkaar hebben gemaakt om inderdaad de veiligheid van data te garanderen. Daar wordt eigenlijk een beetje aan voorbij gegaan. Ik vind dat echt wel lastig. Dat wilde ik gezegd hebben.

De voorzitter:
Dat roept een vraag op bij de NSC-fractie.

Mevrouw De Korte (NSC):
Ja, voorzitter. Met "we hebben ons er niet in verdiept" wordt er nu wel heel erg gericht op NSC. Natuurlijk gebeurt er echt heel veel goeds. Dat moet ik zeggen. U kent ons, NSC, als kritisch. We zeggen dat we echt goed moeten kijken naar die grote databases. Wij denken dat het beter kan. We willen daar niet mee zeggen: u heeft zich er onvoldoende in verdiept. Integendeel. Wij vinden toch dat daar een stap in gezet moet worden omdat we ook in andere wetten naar hele grote databases gaan. Dat is anders dan voorheen. Daar moeten we echt goed naar kijken. Wij vinden dat dus consistent met wat we eerder hebben gezegd over grote databases.

De voorzitter:
Ik beschouw dit even als een reactie op de woorden van mevrouw Tielen van de VVD-fractie. Ik hoorde niet echt een vraag, maar wellicht wil mevrouw Tielen nog reageren.

Mevrouw Tielen (VVD):
Zorgvuldige wetsbehandeling is onderdeel van goed bestuur. Dat betekent dat je de goeie voorstellen doet bij de passende wetten. Laten we gewoon constateren dat dat nu niet geval is. Er is alleen maar verwarring. Het doel van de NSC-fractie delen we allemaal. Volgens mij is dat ook duidelijk naar voren gekomen in deze wetsbehandeling, maar laten we het dan regelen op een manier die navolgbaar is en die ook past bij de voorliggende wetten. Daar roep ik ons als Kamer gewoon toe op. Ik kan zeggen dat ik niet zozeer behoefte heb aan nog een rondetafelgesprek, want dat hebben we laatst al een keer gehad. Ik denk echter wel dat we bij de volgende wetten die er komen, II.b en III, en ook bij de brieven van de minister zeker allemaal zullen kijken naar de veiligheid van data, omdat het heel belangrijk is. We zullen dat wel doen op een manier die past bij de doelen die we als beleidscontroleurs hebben.

Dank u wel.

De voorzitter:
Ik zie nog één vervolgvraag. Ik zeg erbij: dat moet dan echt een vraag zijn en geen opmerking.

Mevrouw Rikkers-Oosterkamp (BBB):
Oké, ik had wel een opmerking.

De voorzitter:
Nee, het gaat er echt even om dat je nog een vraag stelt. Anders laten we het hierbij. Was dat uw tweede termijn, mevrouw Tielen? Oké, dit was de tweede termijn van mevrouw Tielen namens de VVD-fractie.

Dan geef ik dus het voorzitterschap weer over.

Voorzitter: Tielen

De voorzitter:
Dank u wel, meneer Bushoff.

Dat betekent dat we toe zijn gekomen aan de tweede termijn van de zijde van de minister. Zij gaf aan dat ze die meteen kon gaan vervolgen. Ondertussen wordt de kopie van de motie rondgedeeld. Ik geef het woord aan de minister voor nog wat resterende vragen en de appreciatie van de motie.

Minister Agema:
Dank u wel, voorzitter. Ik had, met het oog op goed bestuur, gedacht dat NSC juist heel blij zou zijn met deze verzamelwet. We gaan grondslagen netjes organiseren, zodat wetgeving uiteindelijk zorgvuldig tot stand komt en de praktijk en de wetten op elkaar aansluiten. Ik kan moeilijk begrijpen dat een partij die goed bestuur zo hoog in het vaandel heeft staan, gewoon de wet kapot wil maken omdat ze iets wil bereiken op een terrein dat daar geen betrekking op heeft. De heer Bushoff en mevrouw Tielen spraken er ook over. Mevrouw De Korte zegt dat ze een signaal wil afgeven, maar je gaat toch niet een wet kapotmaken om een signaal af te geven? Ik vind wat mevrouw De Korte hier doet heel erg lastig. Het doel dat zij heeft, vanuit haar aversie tegen grote databestanden, bereikt ze niet met dit amendement. Vektis blijft gewoon doen wat het doet, maar mijn verzamelwet wordt wel kapotgemaakt als het amendement aangenomen zou worden. Dat begrijp ik niet van een partij die goed bestuur zo hoog in het vaandel heeft staan. Sorry voor deze hartenkreet.

De voorzitter:
Mevrouw De Korte heeft daar een vraag over.

Mevrouw De Korte (NSC):
Ja, toch nog een reactie, want dit is een overdrijving van wat we bedoelen. Een aantal onderdelen van deze wet vinden wij heel erg goed. We willen alleen maar het stukje over Vektis eruit halen en we zouden de rest graag willen laten doorgaan. Met dit amendement halen we dat kleine stukje eruit en …

De voorzitter:
Wilt u een vraag stellen aan de minister?

Mevrouw De Korte (NSC):
Vindt u niet dat we, als hier discussie over is, dat kleine stukje eruit hadden kunnen halen en de rest hadden kunnen laten doorgaan?

Minister Agema:
Dat kleine stuk wordt er dus niet uit gehaald met dit amendement. De heer Bushoff heeft dat al onder de aandacht gebracht en mevrouw Tielen heeft het ook al gezegd. Het doel van NSC wordt niet bereikt met dit amendement, en Vektis gaat gewoon door met het verwerken van gegevens van zorgverzekeraars en Wlz-uitvoerders. Het indienen van een amendement is een grote verantwoordelijkheid. Dat wil ik mevrouw De Korte ten slotte meegeven. De wet wordt ermee gewijzigd. Zorg er dus voor dat als je een amendement indient, in ieder geval de bedoeling die je hebt wordt bewerkstelligd met dat amendement. Dan kun je als Kamer nog steeds voor of tegen zijn of een verschil van mening hebben, maar zorg ervoor dat het amendement de bedoeling heeft van wat je beoogt.

De voorzitter:
Zag ik ook de vinger van meneer Bushoff? Of niet?

Minister Agema:
Ik vrees dat wij er niet meer met elkaar uit gaan komen, voorzitter.

De voorzitter:
Sorry, ik dacht dat ik nog een interruptie of vraag zag, maar dat was niet zo. Gaat u verder, minister.

Minister Agema:
De vraag van meneer Claassen heb ik gehoord. Wij komen binnen enkele weken met de nota naar aanleiding van het verslag II.b. Die heeft betrekking op het RIVM. Dan komen we hier dus op terug.

Dan de heer Bushoff en zijn motie. Ik heb hem al geantwoord wat we allemaal aan het doen zijn met Z-CERT en het actieplan voor informatieveilig gedrag, maar ik heb dat nog niet in een brief aan de Kamer geschreven. Ik zou dus willen toezeggen dat ik in de brief die ik heb toegezegd voor het debat dat we gaan hebben over gegevensbeveiliging, nog eens onder elkaar zet wat we aan het doen zijn.

De heer Bushoff (GroenLinks-PvdA):
Op zich is dat volgens mij een hele goede stap in de goede richting. Ik zou daar nog iets aan willen toevoegen. De minister benoemde volgens mij in haar beantwoording in het interruptiedebat dat wij hadden, dat bij haar niet bekend is of dit allemaal gaat lukken voor het veld, hoewel het natuurlijk primair bij het veld ligt. Zou zij dit dus in ieder geval, voor zover mogelijk, kunnen inventariseren in de daarvoor bestaande overlegstructuren met het veld? Zou zij daar kunnen inventariseren in hoeverre het gaat lukken voor het veld ten aanzien van dit punt van toenemende cyberdreiging en de toenemende eisen die wij stellen aan informatiebeveiliging? En kan zij dat dan ook aan de Kamer zenden?

Minister Agema:
Ja, en ik ga u ook uitleggen hoe intensief wij hiermee bezig zijn. Enkele jaren geleden is er namelijk bij het Integraal Zorgakkoord 1,5 miljard euro beschikbaar gesteld voor digitalisering in de zorg. Ik kan er een update van geven hoe belangrijk we dit vinden en hoe hands-on we hierin zijn. Dat betekent niet dat het in de praktijk allemaal meteen lukt, maar daarvoor zaten we ook vandaag weer bij elkaar.

Mevrouw Rikkers had nog een vraag over het comité tegen foltering. Dat bezoekt het Koninkrijk der Nederlanden periodiek, om de vier jaar, en brengt daarnaast ook met enige regelmaat een ad-hocbezoek aan onderdelen van het Koninkrijk. Het comité tegen foltering heeft in oktober 2024 voor het laatst een bezoek aan Nederland gebracht. Dit betrof een ad-hocbezoek aan een gesloten jeugdzorginstelling in Europees Nederland. Het laatste periodieke bezoek heeft in 2022 plaatsgevonden. In totaal heeft het CPT het Koninkrijk veertien keer bezocht. Het VN-comité heeft Nederland voor het laatst in juli 2015 bezocht. Dit is tot op heden ook het enige bezoek van het CPT aan Nederland geweest.

De voorzitter:
En de motie? O, meneer Bushoff heeft daar een vraag over.

De heer Bushoff (GroenLinks-PvdA):
Misschien kan ik erbij helpen. Het is zo meteen aan u, voorzitter, om de toezeggingen te noteren, maar ik hoorde de toezegging om in een brief aan te geven wat er al gebeurt, om een update te geven van eerdere beschikbare middelen, om met het veld hierover in gesprek te gaan binnen de daarvoor bestaande overlegstructuren, en om de Kamer per brief te informeren. Als dat de toezegging is, is mijn motie daarmee toegezegd. Dan hoef ik die niet in te dienen. Dan trek ik 'm in.

De voorzitter:
Dan hoeft de minister die ook niet te appreciëren.

Aangezien de motie-Bushoff (36579, nr. 10) is ingetrokken, maakt zij geen onderwerp van beraadslaging meer uit.

Daarmee zijn we aan het einde gekomen van dit wetgevingsoverleg. Stelt u er prijs op als ik nog een poging doe om de toezeggingen te benoemen? Ik ga het gewoon proberen.

• De minister probeert om voor het debat Gegevensverwerking, dat gepland staat op 10 april, een brief te sturen, waarin zij onder meer ingaat op de opt-outregeling en de relatie met de EHDS, de European Health Data Space. Zij gaat daarin ook in op de ondergrens van tien patiënten en cliënten, en hoe daarmee om te gaan. Iedereen die daar het fijne van wil weten, verwijs ik door naar de Handelingen hierover. Zij gaat ook in op de beveiligingsontwikkelingen in het kader van verwerking van patiëntengegevens en andere medische gegevens. Zij vertelt ook meer over de achtergrond van wat in de motie van de heer Bushoff, die inmiddels is ingetrokken, staat. Zij zal ook ingaan op mijn hersenspinsel.

Voor de Handelingen laat ik het aan de notulist om daar een goed … Ik heb het erover hoe behandelteams met zo min mogelijk drempels gegevens kunnen gebruiken in hun behandelingen.

• De minister heeft ook gezegd dat zij de nota naar aanleiding van het verslag over de Verzamelwet gegevensverwerking II.b binnen enkele weken naar ons toe zal sturen.

Daar was ik inderdaad ook al nieuwsgierig naar.

Dat is, denk ik, de uitkomst van dit debat. Ik kijk even rond. Ik zie non-verbale signalen die bevestigen dat ik niks heb gemist.

Dank aan de minister en haar ondersteuning, die op de derde verdieping zit. Dank aan de Kamerleden en hun ondersteuning, verdeeld over het pand. Over de wet en het ingediende amendement wordt volgende week dinsdag, 4 februari, gestemd. Ik wens u allen een plezierige voortzetting van deze dag. Tot ziens.

Sluiting 12.52 uur.

ONGECORRIGEERD STENOGRAM Verslag OSV 27 (2024-2025) van 27 januari 2025 Aan ongecorrigeerde verslagen kan geen enkel recht worden ontleend. Uit ongecorrigeerde verslagen mag niet letterlijk worden geciteerd. Inlichtingen: verslagdienst@tweedekamer.nl