Preview document (🔗 origineel)

---

No. W13.24.00112/III

's-Gravenhage, 24 juli 2024

Bij Kabinetsmissive van 21 mei 2024, no.2024001228, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorg, met memorie van toelichting.

Het wetsvoorstel voorziet in de instelling van één register voor zorgaanbieders, zorgmedewerkers, indicatieorganen, zorgverzekeraars, jeugdhulpverleners, jeugdhulpaanbieders en hun medewerkers: het zogeheten Dezi-register.

Via dit register kunnen ingeschrevenen hun identiteit bekendmaken (identificatie) en bewijzen (authenticatie) voor toegang tot de Sectorale Berichtenvoorziening in de zorg (SBV-Z) en (onder meer) zorginformatiesystemen en elektronische uitwisselingssystemen. Daarbij moet gebruik worden gemaakt van een door de Minister van Volksgezondheid, Welzijn en Sport (hierna: Minister) goedgekeurd inlogmiddel. De Minister keurt een inlogmiddel goed als deze voldoet aan het hoogste betrouwbaarheidsniveau.

De Afdeling advisering van de Raad van State onderschrijft het grote en toenemende belang van een uniforme, veilige en hoog betrouwbare (digitale) toegang tot cliëntgegevens. De Afdeling verwacht echter dat dit wetsvoorstel hieraan beperkt zal bijdragen. Inschrijving in het Dezi-register wordt alleen vereist voor het krijgen van toegang tot de SBV-Z. Voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen in de zorg is die verplichting er niet. Dit terwijl ook voor toegang tot die systemen een betrouwbaarheidsniveau ‘hoog’ vereist is.

De Afdeling adviseert de regering daarom om ten minste een uiterste termijn op te nemen vanaf wanneer identificatie en authenticatie via het Dezi-register en het gebruik van een goedgekeurd inlogmiddel ook verplicht is voor het krijgen van toegang tot zorginformatiesystemen en elektronische uitwisselingsystemen.

In verband hiermee is aanpassing van het wetsvoorstel en de toelichting wenselijk.

1. Achtergrond en inhoud van het wetsvoorstel

a. Huidige situatie

Momenteel bestaan er afzonderlijke (door het CIBG beheerde) registers waarin zorg- en jeugdhulpaanbieders, indicatieorganen en zorgverzekeraars op verzoek kunnen worden ingeschreven.¹ Dit om toegang te krijgen tot de SBV-Z. Via deze voorziening kan onder meer het BSN-nummer van een cliënt worden achterhaald of gecontroleerd en de geldigheid van een identiteitsbewijs worden geverifieerd.

Zorg- en jeugdhulpaanbieders, indicatieorganen en zorgverzekeraars moeten zich op dit moment identificeren en authenticeren, voordat zij door het CIBG worden ingeschreven. Ook controleert het CIBG of van de SBV-Z gebruik gemaakt mag worden.² Na inschrijving kunnen zorgverzekeraars een zogeheten ZOVAR-servercertificaat aanvragen.³ Dit certificaat waarborgt een betrouwbare uitwisseling van informatie tussen de SBV-Z en het betreffende informatiesysteem van de zorgverzekeraar.

Ingeschreven zorg- en jeugdhulpaanbieders en indicatieorganen kunnen op hun beurt een soortgelijk certificaat aanvragen: het UZI-servercertificaat.⁴ Daarnaast kunnen laatstgenoemden (voor medewerkers die toegang moeten hebben tot de SBV-Z) een UZI-pas aanvragen. Met een UZI-pas kan de houder daarvan zich identificeren en authenticeren om toegang tot de SBV-Z te krijgen. De UZI-pas en het UZI-servercertificaat worden tezamen UZI-middelen genoemd.⁵

Deze wijze van identificatie en authenticatie voldoet aan het betrouwbaarheidsniveau ‘hoog’. In de zogeheten eIDAS-verordening wordt beschreven wat dit hoogste niveau van betrouwbaarheid inhoudt.⁶ Maar de UZI-middelen en het daaraan gekoppelde register worden niet omarmd door zorg- en jeugdhulpaanbieders (en hun medewerkers). De UZI-middelen worden als duur, inflexibel en gebruiksonvriendelijk ervaren.⁷ Bovendien kunnen die middelen en het bijbehorende register, overeenkomstig de huidige wet- en regelgeving, alleen worden ingezet voor het krijgen van toegang tot de SBV-Z.

Dit heeft ertoe geleid dat de zorg- en jeugdhulpsector de UZI-middelen en het bijbehorende register (vooral) gebruikt voor het krijgen van toegang tot de SBV-Z.⁸ Voor toegang tot zorginformatiesystemen en elektronische uitwisselingsystemen, maakt deze sector gebruik van verschillende inlogmiddelen. Deze verscheidenheid aan inlogmiddelen beperkt het vermogen van de zorg- en jeugdhulpsector om effectief en efficiënt cliëntgegevens met elkaar uit te wisselen (interoperabiliteit). Bovendien voldoen die inlogmiddelen niet aan het betrouwbaarheidsniveau ‘hoog’.⁹

b. Inhoud

Een uniforme, veilige en hoog betrouwbare digitale toegang tot cliëntgegevens is, zeker gezien de digitalisering en de opkomst van netwerkzorg, van groot belang. De regering ziet daarom in de huidige situatie aanleiding voor wettelijk ingrijpen.¹⁰

Het wetsvoorstel voorziet daartoe in de instelling van één register voor zorgaanbieders, zorgmedewerkers, indicatieorganen, zorgverzekeraars, jeugdhulpverleners, jeugdhulpaanbieders en hun medewerkers: het Dezi-register.¹¹

Voor toegang tot de SBV-Z is inschrijving in dit register vereist. Aan de hand van dit register kan een ingeschrevene zich identificeren en authenticeren voor toegang tot de voormelde voorziening. Hij moet daarbij gebruikmaken van een door de Minister goedgekeurd inlogmiddel. De Minister keurt een inlogmiddel goed als deze voldoet aan het betrouwbaarheidsniveau ‘hoog’.¹² Bij of krachtens algemene maatregel van bestuur worden (onder meer) regels gesteld over de wijze waarop aangetoond kan worden dat een inlogmiddel aan dat betrouwbaarheidsniveau voldoet.¹³ De beheerder van de SBV-Z zorgt ervoor dat een ingeschrevene met ieder goedgekeurd inlogmiddel toegang heeft tot de SBV-Z.¹⁴

Voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen is inschrijving in het Dezi-register niet vereist. Het is aan de zorg- of jeugdhulpaanbieder om te bepalen of hij zich inschrijft en voor toegang tot zijn zorginformatiesystemen en elektronische uitwisselingsystemen gebruik wil maken van het register en een door de Minister goedgekeurd inlogmiddel.¹⁵ Ook is het aan de zorg- of jeugdhulpaanbieder om te bepalen of bepaalde andere ingeschrevenen via het register en een goedgekeurd inlogmiddel toegang krijgen tot zijn systemen.¹⁶ Indien de mogelijkheid is geboden om via het register en een goedgekeurd inlogmiddel toegang tot die systemen te krijgen, dan moet die toegang ook mogelijk gemaakt worden met ieder ander goedgekeurd inlogmiddel.

2. Beoordeling

De Afdeling onderschrijft het grote en toenemende belang van een uniforme, veilige en hoog betrouwbare (digitale) toegang tot cliëntgegevens. Het gaat immers om bijzondere persoonsgegevens over de gezondheid. De Afdeling verwacht echter dat de effectiviteit van het wetsvoorstel in dit verband beperkt zal zijn. Inschrijving in het Dezi-register is alleen vereist voor het krijgen van toegang tot de SBV-Z. Dit brengt met zich dat identificatie en authenticatie via het Dezi-register en het gebruik van een goedgekeurd inlogmiddel alleen verplicht is voor het krijgen van toegang tot die voorziening.

De Afdeling merkt op dat het aan zorg- en jeugdhulpaanbieders wordt overgelaten om te bezien of zij voor de toegang tot hun zorginformatiesystemen en elektronische uitwisselingssystemen gebruik willen maken van het Dezi-register en een door de Minister goedgekeurd inlogmiddel. Ook is het aan hen om te bepalen of zij bepaalde andere ingeschrevenen in staat willen stellen om via dit register en een goedgekeurd inlogmiddel toegang tot die systemen te krijgen. Uit de toelichting blijkt dat de voornaamste reden hiervoor is dat het aan de zorg- en jeugdhulpaanbieder is om te bepalen hoe hij zijn organisatie vormgeeft en op welke wijze hij ervoor zorgt dat de (digitale) toegang tot cliëntgegevens verloopt via het vereiste betrouwbaarheidsniveau.¹⁷

Daarnaast zou een verplichting tot het gebruik van het Dezi-register en een goedgekeurd inlogmiddel in dit verband resulteren in grote lasten voor zorg- en jeugdhulpaanbieders. Zij zouden hun systemen immers moeten aanpassen voor gebruik met goedgekeurde inlogmiddelen. In voorkomend geval betekent dit dat zij moeten overstappen op andere systemen.¹⁸ De regering acht het onverplichte karakter van de bepalingen van dit wetsvoorstel op zichzelf een voldoende stimulans om het vereiste betrouwbaarheidsniveau te bereiken.

De Afdeling begrijpt dat het primair de verantwoordelijkheid is van zorg- en jeugdhulpaanbieders om ervoor te zorgen dat de (digitale) toegang tot cliëntgegevens verloopt via het vereiste betrouwbaarheidsniveau. Dat is hier het betrouwbaarheidsniveau ‘hoog’. Het gaat immers om toegang tot bijzondere persoonsgegevens over de gezondheid, die ook (kunnen) vallen onder het medisch beroepsgeheim.¹⁹ Uit de toelichting blijkt echter dat voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen vaak geen gebruik wordt gemaakt van inlogmiddelen op dit vereiste betrouwbaarheidsniveau.²⁰

Het belang van de bescherming van bijzondere persoonsgegevens is zo groot dat zij de stimulans die van dit wetsvoorstel op zichzelf zou moeten uitgaan onvoldoende acht om op een redelijke termijn te bereiken dat de toegang tot en uitwisseling van bijzondere persoonsgegevens voldoet aan het hoogste betrouwbaarheidsniveau. De Afdeling adviseert daarom om ten minste een uiterste termijn in het wetsvoorstel op te nemen vanaf wanneer identificatie en authenticatie via het Dezi-register en een door de Minister goedgekeurd inlogmiddel verplicht zijn voor het kunnen krijgen van toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen.

De Afdeling adviseert het wetsvoorstel en de toelichting in die zin aan te passen.

De Afdeling advisering van de Raad van State heeft een opmerking bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.


De waarnemend vice-president van de Raad van State,

---

1. Huidig artikel 14, eerste lid, Wet aanvullende bepalingen gegevensverwerking in de zorg (Wabvpz) en artikel 7.2.7 Jeugdwet (Jw); CIBG staat voor Centraal Informatiepunt Beroepen Gezondheidszorg.↩︎

2. Memorie van toelichting, paragraaf 1.3.↩︎

3. Dit certificaat is genoemd naar het register voor zorgverzekeraars: Zorgverzekeraars identificatie en authenticatie register.↩︎

4. Dit certificaat is genoemd naar het register voor zorgaanbieders en jeugdhulpaanbieders en indicatieorganen: Unieke Zorgverlener Identificatie register.↩︎

5. Memorie van toelichting, paragraaf 1.3.↩︎

6. Artikel 8 van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB 2014, L 257).↩︎

7. Memorie van toelichting, paragraaf 2.1.↩︎

8. Hoewel de huidige wet- en regelgeving hiervoor geen grondslag biedt, worden de UZI-middelen ook gebruikt voor het verkrijgen van toegang tot (onder meer) het Landelijk Schakelpunt en het Landelijk Implantatenregister; Memorie van toelichting, paragraaf 1.3.↩︎

9. Memorie van toelichting, paragraaf 2.1.↩︎

10. Memorie van toelichting, paragraaf 2.2.↩︎

11. Voorgesteld artikel 14, eerste lid, Wabvpz; voorgesteld artikel 7.2.7, eerste lid, Jw.↩︎

12. Voorgesteld artikel 14a, eerste lid, Wabvpz.↩︎

13. Voorgesteld artikel 14a, tweede lid, aanhef en onder a Wabvpz.↩︎

14. Voorgesteld artikel 15, eerste lid, Wabvpz en voorgesteld artikel 7.2.8, eerste lid, Jw.↩︎

15. Een voorbeeld van zo’n inlogmiddel is DigiD.↩︎

16. Voorgesteld artikel 15, tweede lid, Wabvpz en voorgesteld artikel 7.2.8, tweede lid, Jw.↩︎

17. Memorie van toelichting, paragraaf 2.3.↩︎

18. Memorie van toelichting, paragraaf 2.3.↩︎

19. Zie artikelen 5, eerste lid, aanhef en onder f, en 32 van de Algemene verordening gegevensbescherming en artikel 2 van de Regeling betrouwbaarheidsniveau authenticatie elektronische dienstverlening en de daarbij behorende bijlage 2; alsook het advies van de Autoriteit Persoonsgegevens over dit wetsvoorstel van 28 november 2023, te raadplegen op https://www.autoriteitpersoonsgegevens.nl/documenten/advies-digitale-identificatie-en-authenticatie-in-de-zorg.↩︎

20. Memorie van toelichting, paragraaf 2.1.↩︎