Preview document (🔗 origineel)

---

36 702 Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorg

Nr. 5 VERSLAG

Vastgesteld 17 april 2025

De vaste commissie voor Volksgezondheid, Welzijn en Sport, belast met het voorbereidend onderzoek van voorliggend wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.

Onder het voorbehoud dat de in het verslag opgenomen vragen en opmerkingen afdoende door de regering worden beantwoord, acht de commissie de openbare behandeling van het wetsvoorstel voldoende voorbereid.

Inhoudsopgave

I. Algemeen deel

1. Inleiding

1.1 Het wetsvoorstel in het kort

1.2 Digitalisering in de zorg en het belang van identificatie en authenticatie

1.3 Het huidige UZI-register en de inlogmiddelen

2. Hoofdlijnen van het voorstel

2.1 Probleembeschrijving

2.2 Doelstelling en noodzaak wetgeving

2.3 Identificatie en authenticatie voor toegang tot cliëntgegevens

2.4 Medewerkers registeren in het Dezi-register

2.5 Inlogmiddelen met het betrouwbaarheidsniveau hoog

2.5.1 Wdo erkende inlogmiddelen

2.5.2 Zorgspecifieke inlogmiddelen (gecertificeerd op basis van de NEN 7518)

2.5.3 PKI-o-certificaten

2.5.4 Onder de eIDAS-verordening genotificeerde inlogmiddelen

3. Verhouding tot hoger recht

3.1 eIDAS-verordening

3.2 Verhouding tot het vrij verkeer van goederen en diensten

4. Verhouding tot nationale wetgeving

4.1 Aanpassing Wabvpz en Jeugdwet

4.2 Verhouding met de Wdo

4.3 Verhouding met de Wegiz

5. Toezicht en handhaving

6. Gegevensbeschermingseffectbeoordeling

6.1 Authenticatieverklaringen CIBG

6.2 Verwerken van het BSN door de middelenuitgever zorgspecifieke middelen

6.3 Vergelijkbaar met de Wdo

6.4 BSN verwerkingsgrondslag bij de zorgaanbieder

6.5 Koppeling HR-systeem aan Dezi-register

6.6 De koppeling met DUO om diploma’s te verifiëren om de jeugd- en zorgmedewerkers te ontlasten

6.7 De koppeling met het BIG-register om het registratieproces efficiënter en gebruikersvriendelijk te maken voor de jeugd- en zorgmedewerkers

6.8 Geïnventariseerde risico’s: het uitlenen van inlogmiddelen en gebruik privételefoon

7. Gevolgen (m.u.v. financiële gevolgen)

7.1 Overheid

7.2 Zorg- en jeugdveld

7.3 Bedrijven

7.4 Burgers

8. Uitvoering

9. Regeldruk

9.1 Werkbare invoering in de praktijk

9.2 Inloggen met Wdo middelen

9.3 Inloggen met zorgspecifieke middelen

9.4 De identiteit van een medewerker in het Dezi-register

10. Financiële gevolgen

10.1 Eenmalige kosten

10.2 Structurele kosten

11. Advies en consultatie

11.1 Internetconsultatie

11.1.1 Scope wetsvoorstel

11.1.2 Verplichting wetsvoorstel

11.1.3 Gekwalificeerde elektronische handtekening

11.1.4 Goedkeuren inlogmiddelen

11.1.5 eIDAS herziening (EDI-wallet)

11.1.6 Zorgspecifieke middelen NEN 7518

11.1.7 Zorgmedewerker en het register

11.1.8 Acceptatieplicht inlogmiddelen

11.1.9 Gebruiksvriendelijkheid

11.1.10 Implementatie en financiële gevolgen

11.2 Uitvoeringstoets CIBG

11.3 Toezicht- en Handhaafbaarheidstoets IGJ

11.4 Advies Adviescollege toetsing regeldruk (ATR)

11.5 Advies Autoriteit Persoonsgegevens (AP)

II. Artikelsgewijze toelichting

I Algemeen deel

1. Inleiding

De leden van de PVV-fractie hebben de stukken met belangstelling gelezen en hebben hierover nog enkele vragen en opmerkingen.

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van het wetsvoorstel en de aanhangige stukken. In algemene zin onderstrepen zij het belang van een veilige en gestandaardiseerde methode voor identificatie en authenticatie in de zorg. Wel hebben deze leden vragen en opmerkingen, die zij in de volgorde van de memorie van toelichting van het wetsvoorstel uiteen zullen zetten. De leden van de GroenLinks-PvdA-fractie bedanken de regering en de betrokken ambtenaren voorhands voor de beantwoording.

De leden van de GroenLinks-PvdA-fractie onderstrepen het belang van een veilige identificatie en authenticatie in de zorg. Generieke functies die breed van toepassing zijn, horen gecoördineerd te worden door de overheid. Deze leden vragen wat de coördinerende taak van de minister van VWS precies inhoudt en welke mogelijkheden zij heeft om naleving van de wet af te dwingen. In het digitale domein zien de leden van de GroenLinks-PvdA-fractie dat standaarden, ook binnen de rijksoverheid, nog niet voldoende worden nageleefd. Waarom zal dit nu wel het geval zijn? Zijn de staatssecretaris voor Digitalisering en de CIO Rijk betrokken bij de totstandkoming van het wetsvoorstel en zo ja, wat is precies hun rol?

De leden van de VVD-fractie hebben met interesse kennisgenomen van de wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorg. Genoemde leden zien gegevensuitwisseling als essentieel onderdeel van goede zorg. Dit moet echter wel op een veilige manier gebeuren, zeker met het oog op de toename van cybercrime en (diploma)fraude in de zorg. Zij zien deze wijziging als een stap in de goede richting maar hebben hier nog enkele vragen bij.

De leden van de NSC-fractie hebben kennisgenomen van de wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorg. Deze leden waarderen de inzet van de regering om de digitale infrastructuur in de zorg te verbeteren en zich hier hard voor te maken. Tevens is voor genoemde leden de beveiliging van gevoelige persoonsgegevens cruciaal. Dit is niet alleen voor de veiligheid van onze meest gevoelige data maar ook om de link tussen het vertrouwen in verantwoord datagebruik en databeschikbaarheid die ook al in de technische briefings is besproken te behouden. De leden van de NSC-fractie hebben daarom een aantal vragen over de wijziging van de wet. 

De leden van de BBB-fractie hebben kennisgenomen van de wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorg. Deze leden hebben geen vragen aan de regering.

De leden van de CDA-fractie hebben met interesse kennisgenomen van het wetsvoorstel en hebben hierover nog enkele vragen. Genoemde leden delen het grote belang van verbeterde gegevensuitwisseling in de zorg. Voor deze leden geldt hierbij als uitgangspunt dat er, zeker in het licht van de toenemende digitale dreigingen en het toenemende belang van strategische autonomie, een belangrijke taak voor de overheid ligt om de veiligheid van patiëntgegevens en gegevens van zorgverleners te waarborgen en hierover de regie te nemen. Genoemde leden vragen of de regering dit uitgangspunt deelt, mede in het licht van de geopolitieke ontwikkelingen. Deze leden vragen ook of de regering deelt dat voorkomen moet worden dat Nederland voor wat betreft inlogmiddelen in de zorg afhankelijk is van (statelijke) actoren van buiten de Europese Unie.

De leden van de SP-fractie hebben kennisgenomen van het wetsvoorstel hebben hier nog een aantal vragen en opmerkingen over.

De leden van de SGP-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel. Zij delen de ambitie van de regering om elektronische gegevensuitwisseling in de zorg meer te standaardiseren. Het belang van uniforme, veilige en hoog betrouwbare digitale toegang tot cliëntgegevens is groot en zal in belang toenemen.

De leden van de SGP-fractie constateren dat de regering op advies van de Afdeling advisering van de Raad van State (hierna: de Afdeling) het wetsvoorstel en de toelichting heeft aangepast. De regering volgt het advies van de Afdeling om authenticatie via het zogenaamde Dezi-register (Dezi: De Zorgidentiteit) en een goedgekeurd inlogmiddel verplicht te stellen in de Wet aanvullende bepaling en verwerking persoonsgegevens in de zorg en in de Jeugdwet voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen. Hiermee wordt verzekerd dat interoperabiliteit tussen de verschillende systemen op termijn tot stand komt. De leden van de SGP-fractie steunen deze aanscherping. Zij vinden het verstandig dat in het voorstel de mogelijkheid is opgenomen om bij of krachtens algemene maatregel van bestuur te bepalen op welk moment de verplichtstelling aanvangt per afzonderlijk elektronisch uitwisselingssysteem of zorginformatiesysteem of categorieën daarvan. Deze differentiatie maakt maatwerk mogelijk.

De leden van de SGP-fractie hebben op dit moment geen aanvullende vragen over het wetsvoorstel en wachten met belangstelling de beantwoording de eventuele opmerkingen vragen van andere fracties af.

1.1 Het wetsvoorstel in het kort

De leden van de PVV-fractie vragen aan de regering in hoeverre dit wetsvoorstel aansluit bij eerdere beleidsdoelstellingen voor digitale zorg. Welke bredere maatschappelijke of technologische ontwikkelingen maken deze wijziging nu urgent?

De leden van de GroenLinks-PvdA-fractie lezen dat door het gebruiken van De Zorgidentiteit (Dezi) en het bijbehorende register, inloggen makkelijker, flexibeler en goedkoper wordt. Zij vragen de regering om uit te leggen hoe dit met zekerheid kan worden gezegd, als de inlogmiddelen nog niet zijn ontwikkeld. Hoe weet de regering zeker dat wetgeving deze verbeteringen daadwerkelijk realiseert?

De leden van de VVD-fractie lezen dat de in het register ingeschrevenen gemakshalve aangeduid worden als zorg- en jeugdhulpaanbieders en hun medewerkers. Wat de indruk wekt dat het voorstel geldt voor alle medewerkers van een zorgaanbieder, ook de medewerkers die niet in direct contact staan met de patiënten. Deze leden vragen of dit klopt en zo nee, of het begrip medewerker nader gedefinieerd kan worden.

De leden van de SP-fractie vragen of de regering uitgebreider kan toelichten tot welke gegevens zorgverleners toegang kunnen krijgen via de beoogde toepassingen voor identificatie en authenticatie. Gaat het hier uitsluitend om het toegang krijgen tot het burgerservicenummer (hierna: BSN) of gaat het hierbij om een bredere set aan persoonsgegevens?

1.2 Digitalisering in de zorg en het belang van identificatie en authenticatie

De leden van de GroenLinks-PvdA-fractie missen in de toelichting het belang van de patiënt. Zij vragen om te onderbouwen wat de voordelen van de nieuwe wetgeving is voor patiënten, en hoe de regering zorgt dat de nieuwe inlogmiddelen bijdragen aan het vertrouwen dat patiënten hebben in de digitaliserende zorg.

De leden van de GroenLinks-PvdA-fractie zijn bovendien benieuwd tot welke patiëntgegevens zorgverleners toegang krijgen nadat zij veilig zijn ingelogd. Kan een overzicht worden gegeven van de soorten gegevens die alleen met het gebruik van inlogmiddelen voor zorgverleners te raadplegen zijn?

1.3 Het huidige UZI-register en de inlogmiddelen

De leden van de GroenLinks-PvdA-fractie vinden het bittere noodzaak dat alle sectoren werken aan hun cyberveiligheid. Wel vragen zij om de analyse dat het huidige UZI-register onveilig is nader te onderbouwen. Welke reële cyberveiligheidsrisico’s bestaan / ontstaan er door dit register in gebruik te houden? Hoe vaak hebben er datalekkages plaatsgevonden in het (gebruik van het) Unieke Zorgverlener Identificatie register (UZI-register) en door de bijbehorende inlogmiddelen?

De leden van de GroenLinks-PvdA-fractie begrijpen de verwijzing naar de Europese eIDAS-Verordening (eIDAS-verordening). Zij vragen de regering om helder uit te leggen wat de technische eisen zijn van een ‘hoog’ betrouwbaarheidsniveau. Ook zijn ze benieuwd naar de toekomstbestendigheid van de verordening. Gezien de snelheid van digitalisering, is het van belang dat digitale wetgeving flexibel genoeg is om mee te bewegen met nieuwe technische mogelijkheden. Hoe anticipeert de regering met deze wet op nieuwe en veiligere standaarden? Zodra er nieuwe mogelijkheden zijn, geeft het wetsvoorstel digitale identificatie en authenticatie in de zorg (DIAZ-wetgeving) de regering dan de mogelijkheid om de standaarden voor loginmiddelen aan te scherpen?

2. Hoofdlijnen van het voorstel

2.1 Probleembeschrijving

De leden van de PVV-fractie vragen welke concrete problemen met dit voorstel worden opgelost, en zijn er alternatieve oplossingen overwogen.  

De leden van de GroenLinks-PvdA-fractie (h)erkennen de problemen die worden geschetst rondom de huidige identificatie en authenticatie. Zij vragen de regering om met cijfers te onderbouwen welk aandeel van de zorg- en jeugdhulpsector momenteel met het hoogste betrouwbaarheidsniveau zichzelf identificeert. Kan bovendien worden geschetst hoe het komt dat identificatie en authenticatie momenteel zo gefragmenteerd is? Hoe kan het dat er zo’n lappendeken aan inlogmiddelen is ontstaan dat dit de kwaliteit van de zorg belemmert?

De leden van de GroenLinks-PvdA-fractie waarderen de inzet op de interoperabiliteit van systemen. Zij pleiten ervoor om interoperabiliteit op zo veel mogelijk plekken in de digitaliserende zorg als standaard te hanteren. Welke andere mogelijkheden ziet de regering hiertoe, ook in bestaande en aanstaande wetgeving?

De leden van de GroenLinks-PvdA-fractie onderstrepen het probleem met de betaalbaarheid van UZI-passen (Unieke Zorgverlener Identificatie). Terwijl de (jeugd)zorg financieel onder druk staat, moeten zorgverleners zich niet bekommeren om de prijs van inlogmiddelen. Wanneer zijn de kosten voor dergelijke inlogmiddelen volgens de regering acceptabel? Wie zou deze kosten moeten betalen? Ook zijn deze leden benieuwd of en hoe vaak het voorkomt dat medewerkers UZI-passen onderling uitlenen. Waarop baseert de regering deze aanname? Hoe vaak komt dit naar schatting voor?

De leden van de NSC-fractie lezen in de notitie dat het nieuwe Dezi-register alleen verplicht zal worden gesteld voor de Sectorale Berichten Voorziening in de Zorg (SBV-Z). Tegelijkertijd oordeelde de Raad van State dat met een beperkte mate van verplichting het nieuwe register ook beperkt effect zal hebben. Genoemde leden vragen de regering waarom er is gekozen voor vrijwillige deelname aan het register behalve voor de SBV-Z. Hoe wordt voorkomen dat zorgorganisaties oude en veelal minder veilige inlogsystemen behouden? 

2.2 Doelstelling en noodzaak wetgeving

De leden van de PVV-fractie vragen waarom wetgeving noodzakelijk is, in plaats van bijvoorbeeld brancheafspraken.

De leden van de GroenLinks-PvdA-fractie herkennen nogmaals de probleemstelling over het niet van de grond komen van generieke functies. Echter is het stellen van de juiste standaarden nog geen garantie dat deze worden nageleefd, zolang ze geen dwingend karakter hebben. Zij verwijzen naar de overheid die massaal de eigen toegankelijkheidseisen voor websites en digitale formulieren niet naleeft. Waarom is wetgeving volgens de regering nu wel effectief om te komen tot landelijke standaarden voor generieke functies?

De leden van de GroenLinks-PvdA-fractie begrijpen waarom er andere middelen moeten komen voor veilige identificatie en authenticatie. Echter vragen zij om nader uit te leggen waarom het niet wenselijk is dat inlogmiddelen door de minister van VWS (via het CIBG) worden uitgegeven. Waarom is er niet voor gekozen om, naast de mogelijkheid te bieden voor nieuwe betrouwbare inlogmiddelen, ook een eigen (open source) inlogmiddel van een hoog betrouwbaarheidsniveau te ontwikkelen als terugvaloptie? Lekt er door de verschuiving naar externe inlogmiddelen geen technische expertise weg uit het ministerie van VWS?

De leden van de VVD-fractie lezen dat door het niet langer vanuit de overheid aanbieden van middelen er ruimte ontstaat voor verschillende partijen om diverse inlogmiddelen te ontwikkelen. Genoemde leden vragen of de regering partijen zal aanwijzen of dat partijen zich hiervoor kunnen inschrijven. Daarnaast de vraag of aan een maximumaantal partijen wordt gedacht.

Daarnaast lezen de leden van de VVD-fractie dat de gekozen oplossingsrichting is afgestemd met het zorgveld en zij vragen in hoeverre de eindgebruikers, dus de zorgprofessionals, onderdeel zijn geweest van deze afstemming. In hoeverre is de paramedische sector betrokken bij de afstemming?

Tot slot op dit punt, de leden van de VVD-fractie vragen naar het gebruik van DigiD. Vorige maand was DigiD tijdelijk onbereikbaar door een Ddos-aanval¹ (distributed denial-of-service) en dit gebeurt helaas vaker. Op welke wijze wordt het onbereikbaar zijn van inlogmiddelen door dergelijke aanvallen opgevangen?

De leden van de NSC-fractie achten het van groot belang dat de werkvloer voldoende betrokken is bij het ontwerp van het nieuwe stelsel. Op welke wijze zijn zorgprofessionals meegenomen in het ontwerp van het nieuwe register en de keuze voor de inlogmiddelen? Wat was de feedback van zorgprofessionals op het ontwerp? 

De leden van de NSC-fractie lezen in het advies van de Raad van State dat zonder een harde einddatum voor het verplicht overstappen naar het Dezi-register, het nieuwe stelsel wederom beperkt effect zal hebben. Waarom is er geen harde einddatum voor verplichte aansluiting op het Dezi-register voor de andere zorginstellingen? Is dit bewust gedaan en zo ja, waarom? 

De leden van de NSC-fractie zijn van mening dat de grootste verbetering in de digitale infrastructuur in de zorg teweeg kan worden gebracht als het nieuwe systeem maximaal benut wordt. Wat zou er volgens de regering nodig zijn om volledige deelname van alle systemen aan het Dezi-register te stimuleren?  

De leden van de CDA-fractie lezen dat de regering voorstelt om alleen inlogmiddelen toe te staan die voldoen aan het betrouwbaarheidsniveau ‘hoog’. Voor deze leden is niet helemaal duidelijk of deze keuze dwingend voortvloeit uit een wettelijke verplichting, of dat dit een beleidsmatige keuze betreft. Deze leden vragen hierop een reflectie.

De leden van de CDA-fractie kunnen de keuze voor het betrouwbaarheidsniveau ‘hoog’ in principe volgen, maar vragen wel of de regering wil toelichten waarom het betrouwbaarheidsniveau ‘substantieel’ niet zou voldoen en wat daarin precies het verschil is met het niveau ‘hoog’. Deze leden vragen waarom het bijvoorbeeld bij het inloggen bij MijnOverheid.nl wel toegestaan is (en voorlopig blijft) om in te loggen op het niveau ‘substantieel’.

2.3 Identificatie en authenticatie voor toegang tot cliëntgegevens

De leden van de PVV-fractie vragen, voor welk platform is gekozen om de gegevensdeling van cliënten mogelijk te maken. De leden van de PVV-fractie constateren dat er verschillende platformen beschikbaar zijn voor de gewenste inrichting, maar dat deze niet allemaal (volledig) met elkaar kunnen communiceren. Wat is hierover de visie van de regering?

De leden van de GroenLinks-PvdA-fractie zijn nogmaals benieuwd naar de onderbouwing dat zorggegevens momenteel onvoldoende beschermd zijn. Op welke manier monitort de regering de oneigenlijke toegang tot zorggegevens? Hoe vaak komt dit voor dankzij de gebrekkige beveiliging van UZI-middelen?

De leden van de GroenLinks-PvdA-fractie vragen om te onderbouwen waarom tot 1 januari 2029 nog het gebruik van UZI-middelen is toegestaan. Met de kennis dat deze middelen onveilig zijn, alternatieven voorhanden zijn, en het zorgveld al heeft kunnen experimenteren met DigiD als inlogmiddel, vragen deze leden waarom deze datum is verkozen in plaats van 1 januari 2027 of 1 januari 2028. Hoe verenigt de regering deze deadline met de grote urgentie om zorggegevens beter te beschermen?

De leden van de GroenLinks-PvdA-fractie onderstrepen het belang van centrale regie om digitalisering in de zorg in goede banen te leiden. Zij volgen de analyse dat, zonder overheidsinterventie, de nodige ontwikkelingen niet van de grond komen. Echter vragen zij waarom de zorgsector deze ontwikkeling niet zelf zou toepassen, zonder interventie van de overheid. Waarom is de zorgsector er tot dusver niet in geslaagd om goede afspraken met elkaar te maken? Waarom grijpt wordt er nu pas ingegrepen om landelijke standaarden af te dwingen? Ziet de regering een soortgelijke noodzaak op andere dossiers op het gebied van digitalisering in de zorg?

De leden van de GroenLinks-PvdA-fractie vragen de regering om toe te lichten hoe zij de overstap naar Dezi-middelen gaat stimuleren, monitoren en evalueren.

De leden van de GroenLinks-PvdA-fractie delen de zorgen rondom een ‘vendor lock-in’. Zij vragen de regering toe te lichten wanneer er volgens haar sprake is van een gezonde concurrentie tussen leveranciers van inlogmiddelen. Hoe voorkomt de regering dat slechts één of enkele partijen naar boven drijven als hoofdleverancier? Vindt de regering het net als deze leden een voorwaarde dat er uitsluitend (of in ieder geval zo veel mogelijk) gebruik gemaakt wordt van Nederlandse en Europese inlogmiddelen, zodat de continuïteit in de zorg in geen enkel geval afhankelijk wordt van niet-Europese tech-leveranciers? Hoe wordt afgedwongen dat de infrastructuur van het Dezi-register ook niet voor een deel afhankelijk wordt van de infrastructuur van niet-Europese tech-leveranciers? Erken de regering het belang van strategische autonomie in de digitale zorg in de huidige geopolitieke context? Hoe waarborgt de regering dit binnen deze wetgeving?

De leden van de VVD-fractie zien dat in het wetsvoorstel regelmatig wordt verwezen naar de NEN-norm 7510. In 2023 liet de Inspectie Gezondheidszorg en Jeugd (IGJ) weten dat bijna alle ziekenhuizen voldoen aan deze norm maar een aantal nog niet². Geldt dit nog steeds of voldoen inmiddels alle ziekenhuizen aan de norm?

Daarnaast vragen de leden van de VVD-fractie hoe de monitoring en evaluatie van de overstap wordt vormgegeven.

De leden van de NSC-fractie willen de administratie lasten in de zorg de komende tijd terugdringen. Een belangrijke voorwaarde hiervoor is dat de digitale zorgsystemen met elkaar kunnen samenwerken. Deze leden vragen de regering in welke mate het Dezi-register interoperabel is met de andere zorgsystemen. Hoe kan dit in de toekomst worden verbeterd?

De leden van de CDA-fractie steunen het voornemen van de regering, onder andere naar aanleiding van het advies van de Raad van State en de Autoriteit Persoonsgegevens (AP), om het gebruik van het Dezi-register en de bijbehorende middelen verplicht te stellen. Deze leden lezen dat de regering dit stapsgewijs wil doen en vragen wat dit precies betekent. Deze leden vragen of het klopt dat de overgangstermijn loopt tot 1 januari 2029 en zo ja, dan vragen zij waarom precies voor deze datum gekozen is. Genoemde leden vragen of de regering heeft overwogen deze datum naar voren te halen. Deze leden verwijzen naar het inloggen met DigiD bij MijnOverheid.nl, waarbij de keuze is gemaakt om het ‘lage’ betrouwbaarheidsniveau volledig uit te faseren per 1 juli 2028. Zij vragen waarom hier niet bij wordt aangesloten.

De leden van de SP-fractie constateren dat er met dit wetsvoorstel voor wordt gekozen om private ict-aanbieders een grotere rol te geven bij het aanbieden van toepassingen voor identificatie en authenticatie, hoewel er met DigiD ook nog een publieke optie blijft bestaan. Welke waarborgen zijn er ingebouwd om buitensporige winsten hiermee en vendor lock-ins te voorkomen? In hoeverre is de optie om een volledig publiek systeem te behouden onderzocht?

2.4 Medewerkers registeren in het Dezi-register

Naar aanleiding van paragraaf 2.4 stellen de leden van de PVV-fractie de volgende vragen. In artikel 14, lid 2 wordt gesteld ‘Het Dezi-register wordt ingesteld en beheerd door Onze Minister’. Voorheen werd dit nog aangevuld met ‘of een door Onze Minister aangewezen instelling.’ Bij artikel 14a, lid2, sub d wordt gerefereerd aan ‘de inspectie’. Houdt dit hiermee verband? Kan dit worden toegelicht? Artikelen 14 en 15 worden verder geheel herschreven. Wat eerder krachtens een algemene maatregel van bestuur werd geregeld, wordt nu keihard verankerd. Bijvoorbeeld artikel 15, lid 2 wordt artikel 14, lid 3, waarom is voor deze weg gekozen?

De leden van de GroenLinks-PvdA-fractie hebben zorgen over de schaal van het Dezi-register. Eén centraal register, waarin Dezi-nummers, gekoppeld aan het BSN, van alle zorgmedewerkers geregistreerd staan, is mogelijk een aantrekkelijk doelwit voor cyberaanvallen. Welke gegevens van zorgpersoneel worden precies opgeslagen in het Dezi-register? Wie heeft de ‘sleutel’ tot deze gegevens in handen? Hoe wordt het principe van dataminimalisatie toegepast in de inrichting van het Dezi-register? Welke maatregelen heeft de regering genomen om de cyberveiligheid van deze gegevens te waarborgen? Wordt het Dezi-register opgeslagen op Nederlands grondgebied en valt deze geheel onder het Nederlands recht? Zo nee, welke externen hebben (mogelijk) toegang tot het Dezi-register en heeft de regering de nodige veiligheidsanalyse (DPIA) en een exit-strategie opgesteld?

De leden van de GroenLinks-PvdA-fractie zijn tevens benieuwd hoe medewerkers die geen Nederlandse identiteit hebben, en dus geen BSN, ook gebruik kunnen maken van het Dezi-register. Hoe kunnen zorgverleners zonder BSN veilig toegang verkrijgen tot zorggegevens? Zijn eIDAS-genotificeerde middelen hiervoor een oplossing?

De leden van de GroenLinks-PvdA-fractie vragen de regering om toe te lichten wat de status van stagiairs is binnen het nieuwe Dezi-register. Hoe worden stagiairs en zorgverleners-in-opleiding meegenomen in dit wetsvoorstel, zodat leertrajecten niet worden gehinderd door de nieuwe wetgeving?

Het verbaast de leden van de VVD-fractie enigszins dat het wenselijk wordt geacht dat medewerkers ingeschreven blijven staan omdat het dan niet nodig is dat de medewerker zich telkens opnieuw inschrijft als de medewerker van baan wisselt of even niet werkzaam is in de zorg. Wat is de reden dat een medewerker ingeschreven zou moeten blijven staan als diegene niet meer werkzaam is in de zorg? In hoeverre zou het dan voor deze medewerker mogelijk zijn om toegang te krijgen tot cliënt- en patiëntgegevens?

De leden van de CDA-fractie vragen hoe het uitschrijven uit het nieuwe Dezi-register zal plaatsvinden als iemand niet meer in de zorg werkt. Deze leden vragen wie daarvoor verantwoordelijk is, de medewerker of de zorgaanbieder, en hoe dat precies in de praktijk verloopt.

2.5 Inlogmiddelen met het betrouwbaarheidsniveau hoog

De leden van de PVV-fractie stellen de volgende vraag bij artikel 14a, sub. d; ‘Het aan Onze Minister of de Inspectie verstrekken van gegevens die nodig zijn om te beoordelen of het betreffende goedgekeurde inlogmiddel op dat moment voldoet aan het betrouwbaarheidsniveau hoog, door:’. Wordt met ‘inspectie’ de IGJ bedoeld?

De leden van de GroenLinks-PvdA-fractie pleiten voor een zorgvuldig proces om vast te stellen dat nieuwe inlogmiddelen voldoen aan de gestelde eisen. Zij vragen om een uitleg hoe het goedkeuringsproces er precies uitziet en hoe het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG) de benodigde bewijsmiddelen zal controleren. Kan de regering toezeggen goedkeuringen van nieuwe middelen zo transparant mogelijk aan de Kamer te doen toekomen en te publiceren, zodat de documentatie over deze middelen vindbaar en verifieerbaar is?

De leden van de NSC-fractie zijn erg voorzichtig met het gebruik van algoritmes op gevoelige persoonsgegevens. Bij de Toeslagenaffaire hebben deze leden met eigen ogen gezien wat voor desastreuze gevolgen onzorgvuldig gebruik van algoritmes tot gevolg kunnen hebben. Mag de data in het Dezi-register ook voor andere doeleinden worden gebruikt? Zo ja, voor welke doeleinden en welke algoritmes worden op deze data toegepast?  

De leden van de CDA-fractie lezen dat de regering kiest voor het uitgangspunt van keuzevrijheid voor inlogmiddelen. Deze leden zetten hier vraagtekens bij. Zij vragen of deze keuze zich wel verhoudt tot de doelstelling om te komen tot meer standaardisatie en het terugdringen van fragmentatie. Deze leden vragen of de regering hierop wil reageren. Deze leden vragen ook of het niet veel wenselijker is dat zoveel mogelijk zorgaanbieders en zorgverleners gebruik maken van één (of slechts enkele) inlogmiddel(en), vanuit het oogpunt van eenvoud, overzicht en het verminderen van fragmentatie. Genoemde leden zijn ook van mening dat zo’n keuze administratieve lasten kan verminderen, omdat minder inlogmiddelen hoeven worden gecertificeerd en geaccrediteerd. Deze leden vragen of de regering deze mening deelt.

De leden van de CDA-fractie vragen waarom de regering er niet voor kiest om inloggen via het systeem van DigiD en/of eHerkenning als uitgangspunt te nemen, eventueel een aangepaste versie hiervan specifiek voor de zorg, indien nodig aangevuld met enkele zorgspecifieke inlogmiddelen. Deze leden vragen of dit mogelijk is, en of de regering hiervan de voor- en nadelen wil schetsen en de haalbaarheid hiervan wil verkennen. Zij vragen ook of dit uiteindelijk niet leidt tot lagere kosten vanwege schaalvoordelen, en daarmee het voorkomen van het weglekken van (te veel) geld uit de zorg naar private aanbieders van inlogmiddelen.

De leden van de CDA-fractie vragen of de regering hierbij specifiek wil ingaan op het systeem van eHerkenning, waarbij de rijksoverheid samenwerkt met enkele erkende leveranciers. Deze leden vragen in hoeverre dit systeem verschilt van het voorgestelde systeem in dit wetsvoorstel en in hoeverre zo’n systematiek ook in de zorg gebruikt kan worden.

De leden van de CDA-fractie begrijpen dat er praktijksituaties zijn die andere vormen van inlogmiddelen vereisen (zoals in de OK of bij een MRI-scanner), maar vragen of de regering kan schetsen hoe vaak dit voorkomt. Deze leden vragen of niet in het overgrote deel van de gevallen gebruik gemaakt wordt of kan worden van computer/PC, tablet of smartphone, en daarmee dus ook van één of enkele digitale inlogmiddelen zoals DigiD.

De leden van de CDA-fractie lezen dat de regering beargumenteert dat via keuzevrijheid een ‘vendor lock-in’ kan worden voorkomen, in die zin dat zorgaanbieders niet afhankelijk zijn van één leverancier. Deze leden delen het belang van back-ups, maar zien juist ook voordelen van een uniforme aanpak, net als die we bij DigiD kennen, omdat daar het probleem van ‘vendor lock-in’ ook niet speelt. Deze leden vragen of dit klopt en of de regering op dit argument wil ingaan.

Nog belangrijker voor deze leden is het belang van het verminderen van afhankelijkheden van (statelijke) actoren van buiten de Europese Unie. Deze leden zien bijvoorbeeld het risico dat we te afhankelijk worden van inlogmiddelen die bijvoorbeeld zijn ontwikkeld door Amerikaanse of Chinese techbedrijven, en dat dit juist een risico kan vormen voor de veiligheid van patiëntgegevens en gegevens van zorgverleners. Deze leden vragen of de regering deelt dat het niet veel verstandiger is om alleen gebruik te maken van bestaande door de overheid ontwikkelde inlogmiddelen zoals DigiD of mogelijke nieuwe inlogmiddelen die worden ontwikkeld door of binnen de EU. Deze leden vragen of het via dit wetsvoorstel, al dan niet bij of krachtens algemene maatregel van bestuur, mogelijk is om nadere eisen te stellen aan inlogmiddelen met het oog op de nationale veiligheid en de strategische autonomie. Genoemde leden vragen ook of het mogelijk is om bijvoorbeeld via algemene maatregel van bestuur mogelijk is om een maximumaantal inlogmiddelen vast te leggen.

2.5.1 Wdo erkende inlogmiddelen

De leden van de GroenLinks-PvdA-fractie vragen of de regering het ontwikkelen van Wdo erkende inlogmiddelen (Wet digitale overheid, hierna: Wdo) wil stimuleren, en zo ja, hoe. Geldt dit ook voor inlogmiddelen die breder inzetbaar zijn dan alleen de zorg? Werkt het ministerie van Volksgezondheid, Welzijn en Sport hierin samen met de ministeries van Economische Zaken en Binnenlandse Zaken, om te komen tot betrouwbare Nederlands-Europese alternatieve inlogmiddelen? Kan de regering een praktisch beeld schetsen van hoe zorgmedewerkers Wdo erkende inlogmiddelen gebruiken in hun dagelijkse werk? Wat merken patiënten hiervan?

2.5.2 Zorgspecifieke inlogmiddelen (gecertificeerd op basis van de NEN 7518)

De leden van de GroenLinks-PvdA-fractie willen weten welk aandeel van de (jeugd)zorgsector momenteel gebruik maakt van zorgspecifieke inlogmiddelen. Hoewel het begrijpelijk is dat zorgspecifieke middelen in gebruik zullen blijven, vragen deze leden hoe wordt toegezien dat, los van het certificeren, deze wel met spoed aan de nieuwe wettelijke standaarden voldoen. Is dit een taak van de minister van VWS, de NEN-werkgroep, de Raad voor Accreditatie, certificerende instellingen of zorgaanbieders zelf? Genoemde leden wijzen erop dat snelle adoptie van betere beveiliging nodig is.

De leden van de NSC-fractie willen de regering vragen hoe het wetsvoorstel zich verhoudt tot de NEN 7518 en NEN 7510 normen.  

De leden van de SP-fractie lezen dat zorgaanbieders voor het uitgifteproces van inlogmiddelen ook gecertificeerd moeten worden. Kan de regering een inschatting maken van de regeldrukeffecten die dit met zich mee zal brengen?

2.5.3 PKI-o-certificaten

Geen opmerkingen of vragen van de fracties.

2.5.4 Onder de eIDAS-verordening genotificeerde inlogmiddelen

De leden van de GroenLinks-PvdA-fractie horen graag op welke termijn naar verwachting de eIDAS-genotificeerde inlogmiddelen beschikbaar zullen zijn en wanneer deze in de zorg ingezet kunnen worden. In welke gevallen kan een PersonIdentifier worden omgezet tot BSN dat bruikbaar is voor authenticatie via het Dezi-register?

3. Verhouding tot hoger recht

3.1 eIDAS-verordening

De leden van de PVV-fractie willen graag weten hoe deze wet zich verhoudt tot bestaande Europese wetgeving, zoals de eIDAS-verordening? eIDAS is ontwikkeld om digitale grenzen tussen landen uit de Europese Economische Ruimte (EER) weg te nemen. Wat is het doel om de zorg compatibel te maken met deze Europese richtlijn? Kan de regering toezeggen dat dit geen opmaat is naar een Europese digitale identiteit? Het UZI voldeed, echter schiet UZI tekort voor grootschalig en breed gebruik in de zorg, waarom is niet gekozen voor doorontwikkeling? ‘Met de eIDAS-verordening wordt beoogd te regelen dat burgers en bedrijven met hun nationale elektronische identificatiesystemen, zoals in Nederland DigiD, kunnen inloggen bij diensten van openbare instanties in andere lidstaten’. Gaan we dan grensoverschrijdend werken? Ligt dat hieraan ten grondslag?

3.2 Verhouding tot het vrij verkeer van goederen en diensten

De leden van de GroenLinks-PvdA-fractie erkennen het belang van veilige uitwisseling van data in de zorg. Houdt de regering er rekening mee dat de definitie van ‘passend beveiligd,’ zoals de algemene verordening gegevensbescherming (AVG) voorschrijft, in de toekomst kan veranderen? Houdt de regering bijvoorbeeld rekening met het toepassen van kwantumcryptografie als veiligheidsmaatregel in de toekomst? Verder zijn deze leden benieuwd wat wordt bedoeld met ‘de afkomst’ van een inlogmiddel. Doelt de regering hierop op het land van afkomst? Deelt de regering de mening dat de voorkeur uit moet gaan naar inlogmiddelen van Nederlandse en Europese leveranciers, om de strategische afhankelijkheden van niet-Europese grootmachten in vitale sectoren te verminderen?

4. Verhouding tot nationale wetgeving

4.1 Aanpassing Wabvpz en Jeugdwet

De leden van de PVV-fractie hebben naar aanleiding van paragraaf 4.1 de volgende vraag. Wordt er voldoende rekening gehouden met bestaande nationale wetgeving, zoals de AVG? 

De leden van de GroenLinks-PvdA-fractie vragen de regering om beter te duiden wat er praktisch verandert doordat ‘in vervolg ook zorgmedewerkers die werkzaam zijn voor een zorgaanbieder zich in het register [kunnen] laten inschrijven.’ Hoe is dit anders dan de huidige situatie, en waarom is dit een verbetering? Hoeveel meer mensen kunnen door deze aanpassingen toegevoegd worden aan het Dezi-register en krijgen daarmee ook toegang tot de zorggegevens van patiënten?

De leden van de GroenLinks-PvdA-fractie vragen of er, naast de genoemde Besluiten en Regeling, ook wijzigingen in andere delen van de sectorale wetgeving zijn overwogen. Hoe is de regering tot de conclusie gekomen dat alleen de voorgestelde wijzigingen noodzakelijk zijn?

4.2 Verhouding met de Wdo

De leden van de GroenLinks-PvdA-fractie vragen de regering om duidelijk te maken welke inlogmiddelen de voorkeur hebben voor gebruik in de zorg. Ziet de regering voordelen en nadelen aan het gebruik van Wdo-middelen ten opzichte van andere toegestane middelen? Zo ja, hoe stimuleert regering het gebruik van middelen die volgens haar de meeste voordelen bieden?

4.3 Verhouding met de Wegiz

De leden van de GroenLinks-PvdA-fractie vragen om een onderbouwing dat het voldoen aan de NEN-norm voor identificatiemiddelen niet noodzakelijk is. Heeft de regering dit wel overwogen? Hoe beperkt het ook toestaan van inlogmiddelen onder de Wdo of het PKI-overheidsstelsel administratieve lasten?

5. Toezicht en handhaving

Welke instantie is verantwoordelijk voor het toezicht op de implementatie van de digitale identificatie, zo vragen de leden van de PVV-fractie. Hoe wordt gewaarborgd dat zorgaanbieders ook daadwerkelijk tijdig voldoen aan de eisen?

De leden van de GroenLinks-PvdA-fractie hebben vragen over het instrumentarium van de IGJ. Door dit wetsvoorstel wordt het takenpakket en de bevoegdheden van de IGJ uitgebreid, met een bijzondere nadruk op digitale zaken. Dit vraagt om de juiste expertise en kennis. Kunt u onderbouwen dat er genoeg middelen aan de IGJ worden toebedeeld om de wet uit te voeren? Heeft de IGJ bevestigd dat zij adequaat zijn ondersteund om toe te zien en waar nodig te handhaven op het gebruik van de juiste inlogmiddelen?

De leden van de GroenLinks-PvdA-fractie delen de zorgen over het scenario dat, door het intrekken van goedkeuring van inlogmiddelen of het blijven gebruiken van UZI-middelen nadat de wettelijk toegestane termijn is verstreken, de kwaliteit van zorg in gevaar komt. Zij vragen de regering om beter uit te leggen wat zij van de IGJ verwacht in het geval dit dreigt te gebeuren. Hoe kan de IGJ zorgaanbieders dwingen om hun inlogmiddelen te vervangen? Wat is de precieze definitie van de ‘ondersteunende rol’ die de regering van de IGJ verwacht? Staat voor de regering het waarborgen van de continuïteit van zorgverlening voorop, en zo ja, wat wordt gedaan als een zorgaanbieder niet tijdig overstapt naar een gecertificeerd inlogmiddel en een geforceerde overstap de zorgverlening tijdelijk zou belemmeren?

De leden van de GroenLinks-PvdA-fractie hebben zorgen over de mogelijkheid voor zorgaanbieders om tijdig over te stappen op nieuwe inlogmiddelen. De werkdruk is al hoog en de technische kennis is niet altijd in huis om gemakkelijk aanpassingen in de ICT-systemen te maken. Waar kunnen zorgaanbieders zich melden met vragen over deze overstap, en waar kunnen zij terecht voor ondersteuning? Wat is de onderbouwing van de verwachting dat dit amper voor zal komen?

De leden van de VVD-fractie lezen dat de minister van VWS over kan gaan tot intrekking van de goedkeuring van een middel indien het middel onveilig blijkt. Zij vragen op welke manier de veiligheid van middelen wordt beoordeeld. In hoeverre zijn gesimuleerde hacks onderdeel van dit proces zoals dit in de financiële sector gebeurt?

De leden van de NSC-fractie hechten grote waarde aan de rol die de AP speelt in het toezien op de wettelijke regels van het beschermen van persoonsgegevens. Welke rol speelt de AP concreet in de handhaving van het beschermen van persoonsgegevens bij dit voorstel? De leden van de NSC-fractie erkennen dat in de praktijk nog wel eens complicaties kunnen optreden bij het gebruik van het nieuwe register. Wat zijn de mogelijke gevolgen van verlies of misbruik van het inlogmiddel?

De leden van de CDA-fractie lezen dat bij of krachtens algemene maatregel van bestuur regels kunnen worden gesteld aan het intrekken van goedkeuring voor een inlogmiddel. Deze leden vragen of de verantwoordelijkheid hiervoor bij de minister ligt of bij de Inspectie en wie hierin precies welke rol heeft. Genoemde leden vragen of de regering voornemens is zulke nadere regels in een algemene maatregel van bestuur vast te leggen en zo ja, aan welke nadere regels de regering denkt. Deze leden vragen ook of de regering overweegt om regels te stellen op het gebied van het borgen van de nationale veiligheid of de strategische autonomie.

6. Gegevensbeschermingseffectbeoordeling

Voor de leden van de NSC-fractie is het van groot belang dat bij gevoelige persoonsgegevens data zoveel mogelijk lokaal wordt opgeslagen. Is de dataopslag van het Dezi-register lokaal geregeld? Zo nee, hoe is de dataopslag dan georganiseerd?  

6.1 Authenticatieverklaringen CIBG

De leden van de GroenLinks-PvdA-fractie ontvangen graag meer informatie over de versleuteling die plaatsvindt in het ophalen van de BSN. Is data te allen tijde end-to-end versleuteld? Op welke momenten in het proces worden gegevens ontsleuteld? Kan nader worden toegelicht hoe de informatiehuishouding en databeveiliging van het CIBG zijn ingericht? Welke privacy bevorderende standaarden vallen onder het betrouwbaarheidsniveau hoog? Is overwogen om aanvullende privacy bevorderende technieken toe te passen? Bovendien zijn deze leden benieuwd hoe de regering het principe van dataminimalisatie, dat volgt uit de AVG, heeft toegepast in de inrichting van dit systeem.

De leden van de GroenLinks-PvdA-fractie benadrukken dat de grote hoeveelheid gegevens dat in het beheer van het CIBG en in het Dezi-register terechtkomt, dwingt tot het stellen van strenge voorwaarden aan de mate van beveiliging. Dit geldt niet alleen voor de inlogmiddelen maar ook de data-opslag zelf. Genoemde leden zijn benieuwd hoe en waar de ‘logging’-gegevens worden opgeslagen, en hoe wordt toegezien op de bewaartermijnen die hiervoor gelden? Onder welke voorwaarden kunnen logging-gegevens worden opgevraagd, en door wie? Na welke bewaartermijn dienen zij te worden verwijderd?

6.2 Verwerken van het BSN door de middelenuitgever zorgspecifieke middelen

De leden van de GroenLinks-PvdA-fractie vragen waarom enkel het BSN voldoet als geschikt persoonsgegeven om een Dezi-nummer te koppelen aan een persoon. Zijn er andere mogelijkheden overwogen? Zo ja, waarom zijn deze niet gebruikt? Op welke wijze wordt het BSN na de eenmalige werking gepseudonimiseerd, en kan de regering onderbouwen dat deze in geen enkel geval herleidbaar is naar een persoon? Genoemde leden benadrukken de gevoeligheid van het BSN en vragen om maximale beveiliging van dit gegeven. Zij vragen daarom ook om een nadere onderbouwing van de analyse dat een koppeling gemaakt door de zorgmedewerker zelf geen werkbare oplossing is. In hoeverre heeft de regering deze oplossing overwogen?

De leden van de NSC-fractie zien veel mogelijkheden in het veld om persoonsgegevens beveiligd uit te wisselen. Deze leden vragen de regering of Privacy Enhancing Techniques (PET’s) worden toegepast binnen de standaarden van deze wetswijziging. Zo nee, is de regering dan alsnog bereid deze PET’s binnen de standaarden van de wetswijziging toe te voegen?  

6.3 Vergelijkbaar met de Wdo

De leden van de GroenLinks-PvdA-fractie vragen hoe de regering ervoor zorgt dat een BSN-verwerking daadwerkelijk eenmalig plaatsvindt. Is het technisch onmogelijk om één BSN meermaals te verwerken? Is na de eerste koppeling van een BSN aan een Dezi-nummer, datzelfde Dezi-nummer voorgoed gekoppeld aan die ene medewerker? Hoe wordt voorzien in de mogelijkheid om een nieuwe koppeling te genereren indien er een fout optreedt of als dit wegens veiligheidsredenen nodig is?

6.4 BSN verwerkingsgrondslag bij de zorgaanbieder

De leden van de GroenLinks-PvdA-fractie vragen de regering om meer uitleg te geven over het soort contract dat middelenuitgever en zorgaanbieder met elkaar moeten aangaan, als de uitgifte van middelen niet via de zorgaanbieder verloopt. Wordt er een modelcontract beschikbaar gesteld voor deze afspraken? Wie ziet erop toe dat deze contracten voldoen aan alle eisen en dat zij rechtmatig zijn?

6.5 Koppeling HR-systeem aan Dezi-register

De leden van de GroenLinks-PvdA-fractie vragen de regering hoe realistisch het is dat HR-systemen automatisch gekoppeld kunnen worden aan het Dezi-register. Zij willen weten of en hoe de regering stimuleert dat HR-systemen hiertoe worden uitgerust. Is het mogelijk om een Application Programming Interface (API) te ontwikkelen, als een soort standaardcomponent om met het Dezi-register te communiceren, wat makkelijk geïntegreerd kan worden in een HR-systeem? Wiens verantwoordelijkheid is het om HR-systemen dusdanig uit te rusten dat de koppeling mogelijk is?

6.6 De koppeling met DUO om diploma’s te verifiëren om de jeugd- en zorgmedewerkers te ontlasten

De leden van de GroenLinks-PvdA-fractie begrijpen de koppeling met de Dienst Uitvoering Onderwijs (DUO). Echter vragen zij de regering om zorg te dragen dat er alternatieve methodes blijven bestaan om een diploma, indien nodig, te verifiëren. Indien de dienstverlening vanuit DUO onverhoopt stil komt te liggen, dient er nog altijd de mogelijkheid te zijn om diploma's te verifiëren in het Dezi-register. Is een soortgelijke koppeling mogelijk met niet-Nederlandse diplomaverstrekkers, indien medewerkers hun diploma elders hebben behaald?

Fraude in de zorg, waaronder diplomafraude, zorgt voor woede bij de leden van de VVD-fractie zoals ze regelmatig kenbaar maken.³⁴ Genoemde leden vinden het onvoorstelbaar dat fraudeurs doelbewust misbruik maken van ons zorgstelsel en daarmee de kwaliteit van zorg en patiëntveiligheid in gevaar brengen. De koppeling met DUO om diploma’s te verifiëren zien deze leden daarom als zeer positief. Er wordt echter gesproken over de mogelijkheid hiertoe en de leden van de VVD-fractie vragen waarom is gekozen voor een vrijblijvend karakter en niet een verplichtend karakter. In hoeverre verhoudt deze vrijblijvende mogelijkheid zich tot de zin ‘registratie zou alleen mogelijk moeten zijn met een opleiding in de zorg’ zoals aangegeven in paragraaf 11.1.7 in de memorie van toelichting?

6.7 De koppeling met het BIG-register om het registratieproces efficiënter en gebruikersvriendelijk te maken voor de jeugd- en zorgmedewerkers

De leden van de GroenLinks-PvdA-fractie vragen de regering om ervoor te zorgen dat de koppeling met het BIG-register altijd een actieve keuze van de medewerker in kwestie blijft, en niet zonder toestemming kruisverbanden te leggen met een mogelijke BIG-registratie bij iedere aanmelding in het Dezi-register.

6.8 Geïnventariseerde risico’s: het uitlenen van inlogmiddelen en gebruik privételefoon

De leden van de PVV-fractie vragen hoe wordt gegarandeerd dat de nieuwe identificatiemiddelen voldoen aan de strengste normen voor gegevensbescherming. Zijn er risico's verbonden aan het gebruik van persoonlijke apparaten voor digitale identificatie, en hoe worden deze risico’s zoveel mogelijk vermeden?

De leden van de GroenLinks-PvdA-fractie vragen de regering om de uitgevoerde data protection impact assessment (DPIA), indien uit veiligheidsoverwegingen noodzakelijk slechts op hoofdlijnen, aan de Kamer te doen toekomen. Dit stelt deze leden in staat om de door de regering opgetekende analyse van de risico’s te controleren. Genoemde leden hebben zorgen over de risico's die de regering noemt, deze zorgen zijn naar de mening van deze leden nog niet voldoende weggenomen. Zij vragen de regering in overweging te nemen dat het uitwisselen van inlogmiddelen niet moet worden toegestaan, om te voorkomen dat de zorgvuldige veiligheidsmaatregelen en privacy waarborgen (onbedoeld) worden omzeild. Daarmee verliest de wet haar functie. Kan de regering nader ingaan op het opnemen in de wet van een bepaling die uitlenen van inlogmiddelen verbiedt, al dan niet het technisch onmogelijk maakt? Welke preventieve maatregelen kunnen verder nog worden genomen om er maximaal voor te zorgen dat inlogmiddelen niet worden uitgeleend of in het geval van diefstal niet te gebruiken zijn?

De leden van de GroenLinks-PvdA-fractie hebben bezwaren bij het gebruiken van inlogmiddelen op de privételefoon. Niet alleen is het gezond om personeel in een professionele setting indien mogelijk te voorzien van een werktelefoon, het biedt ook de noodzakelijke veiligheidswaarborgen. Genoemde leden vragen in overweging te nemen om afspraken over het beheren van privételefoons niet over te laten aan zorgaanbieders en hun personeel. Hierdoor kan namelijk de situatie ontstaan dat medewerkers (impliciete) dwang ervaren om hun privételefoon onder beheer van hun werkgever te plaatsen. Erkent de regering dat deze situatie onwenselijk is? Hoe wordt voorkomen dat zorgaanbieders hun medewerkers (impliciet) dwingen om hun privételefoon in beheer van de werkgever te plaatsen? Deelt de regering de mening dat dit mogelijk kan leiden tot een inbreuk op de privacy van medewerkers? Indien een werktelefoon wordt gebruikt, dient deze over de best beschikbare beveiliging te beschikken, op last van de werkgever. Ziet de regering de mogelijkheid om zorgaanbieders een zorgplicht te geven om ervoor te zorgen dat, in het geval er telefonische inlogmiddelen worden gebruikt, de gebruikte (werk)telefoons maximaal beveiligd zijn?

De leden van de GroenLinks-PvdA-fractie vragen de regering om wegens de bovengenoemde zorgen in overweging te nemen om het uitlenen van inlogmiddelen en het gebruik van privételefoons per wet te verbieden, of om aanvullende maatregelen te treffen om beide risico's weg te nemen. Zij vragen de regering om beide risico's blijvend te monitoren nadat de wet in werking treedt, en zorgaanbieders hierop te wijzen. Is de regering ook bereid om in contact met zorgaanbieders te wijzen op de noodzaak om werktelefoons of alternatieve apparatuur aan medewerkers te bieden die voor hun dagelijkse werk worden geacht om inlogmiddelen te gebruiken? Is de regering bereid om zorgaanbieders hierin financieel te ondersteunen, indien dit een drempel blijkt?

De leden van de NSC-fractie hebben een technische vraag over de beveiliging van het systeem. Hoe wordt veiligheid van inlogmiddelen technisch bewaakt? 

De leden van de NSC-fractie hebben een vraag over het bestaan van standaardprotocollen in het geval van complicaties bij gebruik van het nieuwe systeem. Hoe werkt bijvoorbeeld de misbruikdetectie en herstel bij het inloggen in het systeem door een onbevoegd persoon? Zijn er ook standaardprotocollen voor andere typen complicaties?  

De leden van de NSC-fractie zijn bezorgd over de gevoeligheid van het nieuwe register voor spionagesoftware en andere malware. Hoe is het Dezi-register beschermd tegen het binnendringen van spionagesoftware zoals Pegasus, Predator of andere malware? Hoe zorgt de regering dat deze bescherming ook in de toekomst up to date blijft?  

7. Gevolgen (m.u.v. financiële gevolgen)

7.1 Overheid

De leden van de PVV-fractie vragen wie de financiële effecten dragen voor de uitrol van de beoogde effecten van deze wet. Is dit volledig budgettair belast bij het ministerie van VWS en in welke mate worden zorgorganisaties zelf belast?

De leden van de GroenLinks-PvdA-fractie vragen om een nadere toelichting voor het aanvullende takenpakket van het CIBG. Het nieuwe instrumentarium en de afschaling van bestaande taken vraagt om een nieuwe inrichting van de organisatie. Genoemde leden vragen de regering om in een tijdspad uiteen te zetten hoe het CIBG toegroeit / afschaalt naar de gewenste vorm. Wat is het huidige aantal fte en tot welk aantal zal het CIBG groeien / afschalen?

7.2 Zorg- en jeugdveld

De leden van de GroenLinks-PvdA-fractie willen meer weten over de gekozen overstaptermijn tussen de UZI-pas en middelen die gekoppeld zijn aan het nieuwe Dezi-register. Hoe maakt de regering de inschatting dat de overgangsperiode lang genoeg is? Waarom is er niet gekozen voor een beperktere tijd omdat de noodzaak voor veilige en makkelijke gegevensuitwisseling hoog is? Zullen zorgaanbieders in alle gevallen in staat zijn om samen met de ICT- en middelenleveranciers tijdig de overstap te maken? Wat doet de minister van VWS (of het CIBG) in het geval dat dit moeizaam verloopt? Hoe wordt daarin de werkdruk op de zorgaanbieders geminimaliseerd?

De leden van de NSC-fractie willen graag weten hoe dit voorstel het hele zorgveld beïnvloedt. Wat betekent deze wet concreet voor kleine zorgaanbieders?  

7.3 Bedrijven

Hoe snel kunnen zorgaanbieders zich aanpassen zonder negatieve impact op de patiëntenzorg, zo vragen de leden van de PVV-fractie.

De leden van GroenLinks-PvdA-fractie vragen om een toelichting of en hoe het ministerie van VWS bedrijven helpt met het maken van de nodige technische aanpassingen in hun systemen. Is de regering bereid om een open source oplossing te ontwikkelen die bedrijven makkelijk in hun systemen kunnen integreren? Biedt de regering ontwikkelaars handvaten door middel van toegankelijke informatievoorziening over hoe zij kunnen voldoen aan de nieuwe wetgeving?

7.4 Burgers

De leden van de PVV-fractie zijn nieuwsgierig welke gevolgen de wetswijziging heeft voor patiënten en cliënten met beperkte digitale vaardigheden?

De leden van de GroenLinks-PvdA-fractie zijn van mening dat het wetsvoorstel relatief weinig aandacht heeft voor het belang van burgers. Zij menen dat burgers het volste recht hebben om te weten door wie, wanneer, en met welke reden hun zorggegevens worden geraadpleegd. Kunt duidelijker worden toegelicht wat wordt bedoeld met de stelling dat het transparanter wordt wie welke zorggegevens heeft ingezien als identiteiten uit het Dezi-register breed worden gebruikt? Worden burgers proactief geïnformeerd als zorgverleners hun gegevens inzien, of kunnen burgers op aanvraag een overzicht ontvangen van hoe hun gegevens zijn opgevraagd en / of verwerkt? Deelt de regering de mening dat burgers zelf de baas zijn over hun data, en te allen tijde inzage verdienen in hoe hun gegevens worden verwerkt? Hoe draagt deze wet daaraan bij? Ziet de regering mogelijkheden om dit recht op inzage voor burgers verder te verstevigen in de wet?

8. Uitvoering

De leden van de GroenLinks-PvdA-fractie lezen met interesse over de uitvoerbaarheid van de wet. Zij vragen om een nadere uitleg over hoe het CIBG haar taak dient uit te voeren om middelen en inschrijvingen in het UZI-register en het Dezi-register in te trekken of te weigeren. Betekent dit dat het CIBG periodiek de middelen controleert op naleving van de standaarden? Volgens welke methodiek voeren zij deze evaluatie uit? Kan het CIBG technische inzage eisen in reeds toegestane middelen ten behoeve van zo'n evaluatie?

De leden van de GroenLinks-PvdA-fractie vragen te onderbouwen dat een besluit in het huidige stelsel onredelijk zwaar kan uitvallen. Om welke besluiten gaat dit, wordt hiermee bedoeld op het intrekken of weigeren van een inlogmiddel? Hoe vaak is dit in het huidige stelsel voorgekomen? Wat kan de regering doen om onvoorziene (hoge) kosten in deze situaties te dempen? Kan bovendien worden uitgelegd hoe het bredere gebruik van een middel dan alleen voor de toegang tot de SBV-Z als gevolg kan hebben dat ook andere werkzaamheden worden verstoord? Kunnen er voorbeelden worden genoemd van systemen die op zo'n manier voor meerdere doeleinden worden gebruikt bij zorgaanbieders? Hoe stimuleert de regering zorgaanbieders om niet geheel afhankelijk te worden van slechts één of enkele middelen of aanbieders, om zulke verstoringen in de zorgverlening te voorkomen?

De leden van de GroenLinks-PvdA-fractie vragen ook om nader toe te lichten wat zorgaanbieders en individuele zorgmedewerkers in de praktijk gaan merken van het wetsvoorstel. Kan de regering dit beeldend maken?

Het is voor de leden van de NSC-fractie, in lijn met het advies van de Raad van State noodzakelijk dat zoveel mogelijk zorgverleners gebruik kunnen maken van het nieuwe systeem voor een maximale verbetering van de digitale infrastructuur in de zorg. Het nieuwe systeem moet dit echter wel aankunnen. Is het Dezi-register technisch robuust genoeg voor een landelijke schaal mochten alle 1,5 miljoen zorgverleners gebruik gaan maken van dit systeem?  

9. Regeldruk

9.1 Werkbare invoering in de praktijk

De leden van de PVV-fractie willen graag weten in hoeverre deze wetswijziging zorgt voor een verhoging van administratieve lasten voor zorginstellingen? Zijn er voldoende middelen en ondersteuning beschikbaar om zorgorganisaties en zorgverleners te helpen met de overgang naar de nieuwe digitale identificatiemiddelen? Hoe wordt omgegaan met situaties waarin zorgaanbieders of jeugdhulpverleners nog niet klaar zijn om de nieuwe digitale identificatie verplicht te implementeren?

De leden van de GroenLinks-PvdA-fractie lezen dat enkele zorgaanbieders en zorgketens naar verwachting snel zullen overgaan tot de nieuwe inlogmiddelen. Kan de regering haar verwachting voor snelle implementatie van de nieuwe inlogmiddelen uiteenzetten in de tijd? Welk aandeel van zorgaanbieders moet per 1 januari 2027 en per 1 januari 2028 zijn overgestapt voor de sector als geheel om op schema te liggen? Ook zijn deze leden benieuwd hoe implementatie per keten binnen de zorgsector zal verschillen. Zijn er bepaalde ketens in het zorgveld waarvan verwacht wordt dat implementatie relatief moeizamer verloopt en meer tijd kost? Wat doet de regering om deze aanbieders specifiek te ondersteunen om ook over te stappen?

De leden van de GroenLinks-PvdA-fractie dringen aan op een goede implementatie van deze wet. Hoe blijft de regering in gesprek met het zorgveld om de succesvolle implementatie te monitoren en waar nodig (gericht) hulp te bieden? Hoe zorgt de regering ervoor dat de implementatie samenhangt met andere relevante wetgeving, zoals de Wet elektronische gegevensuitwisseling in de zorg (hierna: Wegiz)?

De leden van de GroenLinks-PvdA-fractie benadrukken het belang om ook Caribisch Nederland te betrekken in het wetsvoorstel. Hoe gaat deze wet vorm krijgen in heel het Koninkrijk? Wat is het tijdspad voor implementatie op de BES-eilanden en de CAS-eilanden?

De leden van de NSC-fractie willen zich hard maken voor de kleinere zorginstellingen die regeldruk van nieuwe voorstellen moeilijker kunnen opvangen dan hun grotere collega’s. Hoe werkbaar is het nieuwe register voor kleine praktijken en zzp’ers en hoe realistisch is het scenario dat zij de verbetering in interoperabiliteit door dit nieuwe register ook daadwerkelijk kunnen benutten?  

9.2 Inloggen met Wdo middelen

De leden van de GroenLinks-PvdA-fractie steunen de kostenverlaging als gevolg van deze wet. Zij erkennen dat het aanvragen van een UZI-pas duur is en verwelkomen goedkopere en gebruiksvriendelijke alternatieven. Hoe faciliteert en stimuleert de regering Nederlandse ondernemers om concurrerende inlogmiddelen te ontwikkelen? Wat is volgens haar een acceptabele prijs voor deze middelen? Welke rol heeft de minister van VWS, of collega-bewindspersoon van Economische Zaken, om het Nederlandse ICT-veld en het zorgveld dichter bij elkaar te brengen om kwalitatieve inlogmiddelen te ontwikkelen? Hoe voorkomt de regering dat er marktdominantie plaats zal vinden van slechts één of enkele partijen?

De leden van de GroenLinks-PvdA-fractie vragen om de verdeling van de financiële lasten nader toe te lichten. Voor wiens rekening zijn de verwachte kosten van inlogmiddelen en de bijdrage aan het Dezi-register? Hoe zorgt de regering ervoor dat medewerkers zelf hier maximaal in worden ontzien?

9.3 Inloggen met zorgspecifieke middelen

De leden van de GroenLinks-PvdA-fractie vragen om toe te lichten hoe zorgaanbieders die zorgspecifieke middelen willen laten goedkeuren worden ondersteund. Zij benadrukken dat het begrijpelijk moet zijn hoe aan standaarden voldaan kan worden en welke informatie moet worden aangeleverd om gecertificeerd te worden.

9.4 De identiteit van een medewerker in het Dezi-register

De leden van de GroenLinks-PvdA-fractie vragen de regering om het gigantische verschil tussen UZI-registraties (90.000) en het potentiële aantal Dezi-registraties (1.500.000) te duiden. Waarop is de aanname gebaseerd dat er elk jaar zo'n 100.000 nieuwe registraties bij zullen komen? Welke andere groeiscenario's heeft de regering uitgedacht? Kunnen deze berekeningen worden gedeeld? Wordt er rekening gehouden met het waarschijnlijke groeiaantal in de financiële gevolgen van de wet?

10. Financiële gevolgen

10.1 Eenmalige kosten

De leden van de GroenLinks-PvdA-fractie vragen toe te lichten hoe de bouw aan het nieuwe stelsel en uitfasering van het oude stelsel binnen het ministerie van VWS worden belegd. Wordt hierin gebruik gemaakt van interne expertise? Op basis van welke indicatoren komt de regering tot de raming van 14 miljoen euro? Bestaat het ICT-team ter beschikking van het ministerie van VWS voor de Proof of Concept/PoC's en pilots ook volledig uit intern personeel? Hoe zorgt de regering ervoor dat het ICT-gerelateerde werk zo veel mogelijk intern belegd wordt zodat kennis binnenshuis wordt opgebouwd en behouden?

10.2 Structurele kosten

De leden van de PVV-fractie vragen welke extra financiële lasten de wetswijziging met zich mee brengt voor zorgaanbieders, en hoe realistisch het is dat deze kosten worden gecompenseerd. Hoe wordt de continuïteit van digitale toegang gewaarborgd bij technische of financiële belemmeringen, denk daarbij aan storingen of digitale aanvallen van buitenaf die steeds meer toenemen?

De leden van de PVV-fractie constateren dat er landelijk geld wordt geïnvesteerd in digitalisering in de richting van het delen van clientgegevens, maar ook dat er regionaal financiële middelen beschikbaar worden gesteld voor zorgorganisaties om hiermee aan de slag te gaan. Kan de regering aangeven wat hierin de visie is, waarbij een regionale zorgorganisatie ervoor kan kiezen met een methode te werken die niet in staat is om te delen met de gekozen landelijke methode? Zou het niet een prioriteit moeten zijn om er aan de voorkant voor te zorgen dat de methode aansluitend is in het geheel? Deze leden zien belemmeringen omdat door deze twee aparte financiële stromingen het geheel moeilijker tot stand zal komen.

De leden van de GroenLinks-PvdA-fractie vragen de inschatting van 6 miljoen euro als structurele beheerkosten te onderbouwen. Op basis van welke indicatoren is tot deze inschatting gekomen? Genoemde leden vragen uit hoeveel fte het team bestaat van VWS-medewerkers dat het stelsel beheert en of hier maximaal ingezet wordt op interne krachten.

De leden van de GroenLinks-PvdA-fractie vragen om de prijs van 11 cent per DigiD-inlog te duiden.

De leden van de VVD-fractie vragen wanneer er duidelijkheid wordt verwacht over de financiering voor (aankomende) private middelen onder de Wdo. Daarnaast lezen de leden van de VVD-fractie dat VWS voornemens is de gebruikskosten voor de komende jaren te financiering maar dat veel afhankelijk is van onder andere hoe snel en breed digitale wallets in de zorg beschikbaar komen. Op welke wijze wordt met deze onzekerheden, en dus de benodigde middelen, rekening gehouden in de begroting? Tevens zijn de leden van de VVD-fractie benieuwd naar het verschil tussen de lagere kosten per gebruiker en de stijging van structurele kosten door de overstap naar Dezi?

De leden van de CDA-fractie lezen dat de kosten voor authenticatie kunnen afhangen van de geldigheidsduur van een zorgidentiteit (bijvoorbeeld een dag of een week). Deze leden vragen of zij goed begrijpen dat dit wetsvoorstel niet voorziet in regels met betrekking tot de geldigheidsduur van een identificatie in relatie tot de kosten. Genoemde leden vragen of dit klopt, en waarom dit wel of niet aan de orde is.

11. Advies en consultatie

11.1 Internetconsultatie

Geen opmerkingen of vragen van de fracties.

11.1.1 Scope wetsvoorstel

De leden van de GroenLinks-PvdA-fractie herkennen de onduidelijkheid over de scope van het wetsvoorstel. Zij lezen dat het gebruiken van authenticatie voor interne raadpleging van informatie bijna als toevalligheid een voordeel is geworden van deze wet. Volgens genoemde leden is het gepast om expliciet te maken dat het gebruiken van een veilige methode voor identificatie en authenticatie een doel is van de wet, om zo het uniforme gebruik van de nieuwe inlogmiddelen breed te stimuleren.

11.1.2 Verplichting wetsvoorstel

De leden van de GroenLinks-PvdA-fractie dringen er eveneens op aan om zo snel mogelijk heldere ambities over de overgangstermijn en implementatie op te stellen. Zij menen dat de overheid een rol heeft als marktmeester, en dat een uitgesproken ambitie voor de uitfasering van UZI-middelen als gevolg heeft dat de urgentie en business case voor leveranciers van nieuwe inlogmiddelen groeit. Kan de regering reflecteren op de rol van het ministerie van VWS als marktmeester en aanjager van technische innovatie op het gebied van inlogmiddelen door het stellen van een heldere overgangstermijn?

De leden van de NSC-fractie merken op dat de Raad van State twee punten van kritiek aanstipt in hun reactie op het voorstel, namelijk het beperken van verplicht gebruik van het nieuwe register tot de SBV-Z en het ontbreken van een harde deadline voor het verplicht gebruik van goedgekeurde inlogmiddelen voor alle systemen in de zorg. Kan de regering op elk van deze twee punten van advies separaat ingaan?  

11.1.3 Gekwalificeerde elektronische handtekening

Geen opmerkingen of vragen van de fracties.

11.1.4 Goedkeuren inlogmiddelen

Geen opmerkingen of vragen van de fracties.

11.1.5 eIDAS herziening (EDI-wallet)

Geen opmerkingen of vragen van de fracties.

11.1.6 Zorgspecifieke middelen NEN 7518

De leden van de GroenLinks-PvdA-fractie onderstrepen de zorgen over het hanteren van een nog niet bestaande NEN-norm en vragen de regering om bij de publicatie van de norm een korte terugkoppeling te geven aan de Kamer met een zienswijze, en een reactie op wat voor gevolgen dit (mogelijk) heeft voor de implementatie van de wet.

11.1.7 Zorgmedewerker en het register

De leden van de GroenLinks-PvdA-fractie vragen om een nadere toelichting over hoe zorgmedewerkers worden geïnstrueerd en geïnformeerd over de zorgvuldige omgang met zorggegevens verkregen via een Dezi-nummer. Ook willen zij meer weten over de manier waarop burgers toegang kunnen krijgen in het overzicht van zorgmedewerkers die hun gegevens hebben geraadpleegd of verwerkt.

11.1.8 Acceptatieplicht inlogmiddelen

Geen opmerkingen of vragen van de fracties.

11.1.9 Gebruiksvriendelijkheid

Geen opmerkingen of vragen van de fracties.

11.1.10 Implementatie en financiële gevolgen

De leden van de GroenLinks-PvdA-fractie hebben twijfels bij de volgorde om eerst het wetsvoorstel te laten aannemen, voordat er duidelijkheid is over wanneer de UZI-middelen worden uitgefaseerd. Zij zien een duidelijke deadline voor het uitfaseren van UZI-middelen als manier om de urgentie te creëren die nodig is om het ontwikkelen van inlogmiddelen door marktpartijen aan te jagen. Zijn er gesprekken geweest met (mogelijke) leveranciers van de nieuwe inlogmiddelen over de meest effectieve uitfasering en gewenste overgangstijd? Zo nee, kunnen zij worden betrokken bij de gesprekken die het ministerie van VWS heeft met het zorgveld op dit punt? Hoe kan de regering volgens deze (mogelijke) leveranciers het beste de concurrentie aanjagen en ondernemers in staat stellen om zo snel mogelijke goede inlogmiddelen te bouwen? Wordt hierbij ook de bewindspersoon van Economische Zaken betrokken?

De leden van de NSC-fractie delen de zorg van experts in het veld dat binnen een aantal jaar quantum computers in staat zullen zijn de huidige vormen van encryptie te verbreken en zo bij gevoelige persoonsgegevens zouden kunnen komen. De leden van de NSC-fractie vragen hoe toekomstbestendig de beveiliging van persoonsgegevens onder het stelsel van de wetswijziging is. Is het Dezi-register quantumveilig? Zo nee, welke stappen is regering van plan te nemen om de beveiliging van de persoonsgegevens ook toekomstbestendig te houden?  

11.2 Uitvoeringstoets CIBG

De leden van de GroenLinks-PvdA-fractie lezen met interesse over de zorgen van het CIBG. Als uitvoerende organisatie weegt haar analyse zwaar. Kan concreet worden gemaakt hoe de regering de zorgen over de uitdagingen rondom de nog te ontwikkelen regelgeving heeft weggenomen? Hoe gaat de regering de uitdagingen naar haar zeggen ‘uitvoerbaar’ maken? Kan het CIBG bevestigen dat er voldoende is tegemoetgekomen aan haar zorgen?

De leden van de GroenLinks-PvdA-fractie vragen om de afbakening van de taken binnen het nieuwe Dezi-afsprakenstelsel met spoed vast te leggen en aan de Kamer te doen toekomen.

11.3 Toezicht- en Handhaafbaarheidstoets IGJ

De leden van de GroenLinks-PvdA-fractie vragen te bevestigen dat er naar wens is tegemoetgekomen aan de zorgen van de IGJ. Zijn de processen en definitiebepalingen nu voldoende duidelijk voor IGJ? Kan de regering de ondersteunende rol die het IGJ ‘mogelijk’ zal spelen duidelijker definiëren?

11.4 Advies Adviescollege toetsing regeldruk (ATR)

Geen opmerkingen of vragen van de fracties.

11.5 Advies Autoriteit Persoonsgegevens (AP)

Tot slot hebben de leden van de PVV-fractie nog de volgende twee vragen. In hoeverre zijn de zorgen en aanbevelingen van de Autoriteit Persoonsgegevens en andere stakeholders meegenomen in de uiteindelijke opmaak van de wet? Is er ruimte voor uitzonderingen of maatwerk in specifieke situaties, bijvoorbeeld bij kleinschalige zorgaanbieders of kwetsbare groepen?

De leden van de GroenLinks-PvdA-fractie vragen de regering om te bevestigen dat de zorgen van de Autoriteit Persoonsgegevens naar wens zijn overgenomen. Genoemde leden zijn van mening dat het enkel beschrijven van de risico's genoemd door de AP, zoals gedaan in paragraaf 6.8, onvoldoende duidelijkheid geeft over hoe deze risico's gemitigeerd dienen te worden. Zij vragen om samen met de AP te verkennen hoe de regering deze risico's daadwerkelijk kan mitigeren.

II. Artikelsgewijze toelichting

Artikel I: Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

De leden van de PVV-fractie hebben naar aanleiding van artikel 1 de volgende vraag. Bij artikel 10.2 wordt een lid toegevoegd, onder punt 5: Hier wordt de datum, 1 januari 2028 genoemd voor de toepassing op de uitgegeven middelen. Echter bij het nieuwe artikel 18 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg staat 1 januari 2029 als datum vermeld. Waarom wordt hier een andere datum vermeld?

Onderdeel A - Artikel 1 (begripsbepaling)

De leden van de GroenLinks-PvdA-fractie hebben vragen over de definitiebepalingen. Zij vragen om toe te lichten of en hoe de definities achteraf nog nader ingevuld kunnen worden, bijvoorbeeld door een definitie te verbreden, te versmallen, of te nuanceren.

Onderdeel B - Artikel 14 - Het register van zorgaanbieders, zorgmedewerkers, indicatieorganen en zorgverzekeraars

De leden van de GroenLinks-PvdA-fractie vragen of in dit artikel de mogelijkheid is opgenomen om een bepaling toe te voegen die voorschrijft om in het verwerken van persoonsgegevens een zo zorgvuldig mogelijke verwerking middels de best beschikbare technieken te betrachten. Heeft een dergelijke wettelijke bepaling volgens de regering meerwaarde?

Onderdeel B - Artikel 14a - Goedkeuring inlogmiddelen

De leden van de GroenLinks-PvdA-fractie wijzen erop dat de uitwerking via algemene maatregelen voor bestuur de precieze uitvoering van het wetsvoorstel moeilijk controleerbaar maakt. Zij vragen om zo snel als mogelijk duidelijkheid te bieden of contouren te delen van de nadere uitwerking. Op welke termijn na de invoering van de wet wordt de algemene maatregelen van bestuur aan de Kamer verzonden?

De leden van de GroenLinks-PvdA-fractie vragen naar de overweging om geen papieren / analoge mogelijkheden per wet toe te staan. Is het beschikbaar stellen van analoge alternatieven niet een noodzakelijke terugvaloptie, mocht er sprake zijn van een brede storing? Acht de regering het niet noodzakelijk om de mogelijkheid voor analoge alternatieven per wet toe te staan, om de continuïteit van zorgverlening in het geval van een storing te waarborgen? Hoe draagt deze wet bij aan het cyberweerbaar maken van Nederland?

Onderdeel D - Artikel 18 (overgangsrecht)

De leden van de GroenLinks-PvdA-fractie vragen of er alternatieve termijnen voor de overgangsperiode zijn overwogen. Graag een toelichting wat de gevolgen zijn van een kortere of langere overgangsperiode?

Artikel III: Overgangsrecht

De leden van de CDA-fractie vragen waarom ervoor gekozen is om het precieze moment waarop de verplichting om gebruik te maken van inlogmiddelen met betrouwbaarheidsniveau ‘hoog’ vast te leggen in een algemene maatregel van bestuur en niet in de wet zelf.

De voorzitter van de commissie,

Mohandis

Adjunct-griffier van de commissie,

Sjerp

---

1. NOS Nieuws, 20 maart 2025, DigiD opnieuw tijdelijk onbereikbaar geweest door DDoS-aanval↩︎

2. Ziekenhuizen maken stevige inhaalslag met informatiebeveiliging | Publicatie | Inspectie Gezondheidszorg en Jeugd↩︎

3. Aanhangsel Handelingen II, vergaderjaar 2024-2025, nr. 1390. Antwoord op vragen van het lid Tielen over het bericht ‘Hoe zorginstellingen diplomafraude bestrijden: ‘Kwaadwillenden gaan ingenieus te werk’ (2025D07837).↩︎

4. Handelingen II, vergaderjaar 2023-2024, nr. 53, item 3. Vragenuur: Vragen van het lid Tielen aan de minister van Volksgezondheid, Welzijn en Sport over het bericht ‘Oplichters aan bed gevaar voor patiënt: steeds meer zorgmedewerkers betrapt met vals diploma’ (2024D24877).↩︎