Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2025-2026

36 825 Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg in verband met Richtlijn (EU) 2011/24 van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PbEU 2011, L 88)

Nr. 3 MEMORIE VAN TOELICHTING

Inhoudsopgave	blz.
1.	Inleiding	3
	1.1	Aanleiding wetsvoorstel	3
	1.2	Categorieën van gezondheidsinformatie	4
	1.3	Doel wetsvoorstel	6
2.	Implementatiewetgeving	6
	2.1	European Health Data Space	7
3.	Hoofdlijnen van het wetsvoorstel	7
	3.1	Probleemomschrijving	7
	3.2	Oplossingsrichting	9
		3.2.1	Werking MyHealth@EU	9
		3.2.2	Scenario A. Opvragen gezondheidsinformatie door zorgaanbieder in een andere lidstaat	10
		3.2.3	Scenario B. Opvragen gezondheidsinformatie voor cliënt uit andere lidstaat door Nederlandse zorgaanbieder	12
		3.2.4	Toestemming	13
		3.2.5	Waarborgen	13
	3.3	Instrumentkeuze	15
		3.3.1	Wettelijke taak en grondslag verwerking van (bijzondere) persoonsgegevens door het NCPeH-NL	15
		3.3.2	Een grondslag voor het ontvangen en verstrekken van het BSN over de grens (aan NCPeH’s in andere EER-landen)	17
		3.3.3	Structuur van de wet	17
	3.4	Reikwijdte wetsvoorstel	17
4.	Verhouding tot hoger recht	18
	4.1	Bescherming persoonlijke levenssfeer en gegevensbescherming	18
	4.2	EVRM	19
	4.3	Grondwet (Gw)	21
	4.4	EHDS-verordening	21
		4.4.1	Grondslagen in de EHDS	22
		4.4.2	Afweging om wetsvoorstel doorgang te laten vinden	23
5.	Verhouding tot nationale regelgeving	23
	5.1	Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)	23
	5.2	Wet op de geneeskundige behandelingsovereenkomst (WGBO) en Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)	24
	5.3	Wet aanvullende bepalingen Burgerservicenummer (Wabb)	25
	5.4	Wet elektronische gegevensuitwisseling in de zorg (Wegiz)	25
	5.5	Verhouding met andere nationale programma’s en initiatieven	25
		5.5.1	Landelijk dekkend netwerk van infrastructuren en Landelijk Vertrouwensstelsel	25
		5.5.2	Meerjarenagenda Wegiz	26
6.	Effecten van het Wetsvoorstel	26
	6.1	Gevolgen voor zorgaanbieders en zorgverleners	26
	6.2	Gevolgen voor burgers	27
	6.3	Gevolgen voor IT-leveranciers en -dienstverleners	27
	6.4	Gevolgen voor de overheid	27
		6.4.1	Gevolgen toezicht en handhaving	27
		6.4.2	Gevolgen voor Caribisch Nederland	28
	6.5	Gevolgen voor de gegevensbescherming (DPIA)	28
	6.6	Effecten op de arbeidsmarkt	30
	6.7	Fraude	30
7.	Financiële gevolgen en regeldruk	31
	7.1	Overheid	31
	7.2	Zorgaanbieders	31
	7.3	Cliënten	31
	7.4	Effecten regeldruk	32
8.	Uitvoering	32
9.	Toezicht en handhaving	33
10.	Advies en consultatie	34
	10.1	Internetconsultatie	34
		10.1.1	Ophelderen probleemstelling	35
		10.1.2	Zorgen over misbruik	35
		10.1.3	Elektronisch uitwisselingssysteem als bedoeld onder de Wabvpz	36
		10.1.4	Toestemming	36
		10.1.5	Koppeling persoonlijk gezondheidsdossier van de cliënt	38
		10.1.6	Relatie tot andere initiatieven	39
		10.1.7	Rol van de overheid	39
	10.2	Uitvoeringstoets CIBG	39
		10.2.1	Bevoegdhedenverdeling binnen het stelsel	39
		10.2.2	Lagere wet- en regelgeving	39
		10.2.3	Bevoegdheid om aanvragen te weigeren en in te trekken	40
	10.3	Toets Autoriteit Persoonsgegevens	40
		10.3.1	Uitwisseling met derde partijen	41
		10.3.2	Aanwezigheid van geregistreerde toestemming	41
		10.3.3	Verwerkingsgrondslag Minister dubbelop	41
		10.3.4	Kwalificatie NCPeH-NL en MyHealth@EU in Nederlands en Europees recht	42
		10.3.5	Gegevens cliënt opvragen uit eigen land bij een andere lidstaat	43
	10.4	Toets Adviescollege toetsing regeldruk (ATR)	43

ALGEMEEN DEEL

1. Inleiding

1.1 Aanleiding wetsvoorstel

Toenemende mobiliteit van burgers tussen landen in de Europese Unie (EU) maakt dat steeds meer mensen een beroep doen op zorg buiten hun eigen regio of land. Veel Nederlanders gaan voor vakantie of werk naar een ander land en maken daarbij gebruik van zorg. Dit kan variëren van spoedeisende hulp tijdens het verblijf tot geplande medische behandelingen. Zo waren de totale kosten van grensoverschrijdende zorg in 2023 op basis van de zorgverzekeringswet meer dan € 500 miljoen, aldus Zorginstituut Nederland.¹ Tegelijkertijd komen er burgers uit andere Europese landen naar Nederland en kan voor deze burgers een zorgbehoefte optreden. Grensoverschrijdende zorg neemt daarmee een steeds belangrijkere plaats in binnen de EU. Als een burger zich in een andere lidstaat (met lidstaat wordt in dit wetsvoorstel en toelichting bedoeld: een staat die lid is van de Europese Unie of een andere staat die partij is bij de Overeenkomst betreffende de Europese Economische Ruimte) bevindt en zorg nodig heeft, is het van belang dat de onder de zorgaanbieder ressorterende zorgverlener in die lidstaat kan beschikken over de relevante gezondheidsgegevens. Zowel uit het oogpunt van patiëntveiligheid en het welzijn van de cliënt als uit kostenoverwegingen, is het onwenselijk dat zorgaanbieders over de grens onbekend zijn met de gezondheidssituatie van een cliënt. Als er geen gegevens kunnen worden uitgewisseld, kan dit namelijk leiden tot een verkeerde inschatting van de urgentie waarmee iemand behandeld moet worden (triage), verkeerde diagnoses en niet passende of later ingezette behandelingen. Iedere lidstaat heeft een eigen zorginformatiesysteem met eigen unieke kenmerken en hanteert daarbij eigen informatiestandaarden, waardoor de zorginformatiesystemen van de lidstaten niet interoperabel zijn. Het gebrek aan interoperabiliteit tussen lidstaten vormt in de huidige situatie een obstakel voor het digitaal uitwisselen van gezondheidsgegevens tussen zorgaanbieders.

De toenemende grensoverschrijdende zorgverlening wordt gefaciliteerd door bestaande Europese regelgeving die de coördinatie rondom de levering van grensoverschrijdende zorg regelt, te weten de Richtlijn (EU) 2011/24 van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg.² Deze richtlijn beoogt de vaststelling van voorschriften om de toegang tot veilige en hoogwaardige grensoverschrijdende geplande en ongeplande gezondheidszorg in de Unie te bevorderen en de mobiliteit van patiënten, overeenkomstig de door het Hof van Justitie vastgelegde beginselen, te waarborgen. Om de rechten van patiënten bij grensoverschrijdende zorg te faciliteren, voorziet Richtlijn (EU) 2011/24 in artikel 14 in het bewerkstelligen van de interoperabiliteit van elektronische gezondheidszorgoplossingen (e-gezondheid of eHealth) zodat gezondheidsgegevens elektronisch grensoverschrijdend kunnen worden uitgewisseld.

Daartoe voorziet de Richtlijn (EU) 2011/24 in de oprichting van het Europese eHealth Netwerk waar alle lidstaten vrijwillig samenwerken om de digitale uitwisseling van gezondheidsgegevens te bevorderen door de grensoverschrijdende interoperabiliteit van zorginformatiesystemen te stimuleren en het daarmee technisch mogelijk te maken om gezondheidsgegevens uit te wisselen.

Om de interoperabiliteit tussen zorginformatiesystemen van lidstaten te vergroten en te zorgen dat zorgaanbieders over de grens over de benodigde gezondheidsgegevens kunnen beschikken, werkt het Europese eHealth Netwerk al sinds de oprichting in 2012 samen met de Europese Commissie (EC) aan een digitale infrastructuur, genaamd MyHealth@EU (voorheen: The eHealth Digital Service Infrastructure, eHDSI). MyHealth@EU is een federatief digitaal netwerk van zogenoemde nationale contactpunten voor digitale gezondheid (National Contactpoint for Digital Health; NCPeH). Lidstaten kunnen vrijwillig kiezen om het nationale zorginformatiestelsel aan te sluiten op MyHealth@EU middels een NCPeH. Ieder NCPeH volgt dezelfde afspraken over gegevensuitwisseling op het terrein van semantiek, diagnosestelsels, technische standaarden en beveiliging. Op deze wijze worden de nationale zorginformatiestelsels zoveel mogelijk ongemoeid gelaten, maar biedt het de mogelijkheid om ondanks het gebrek aan technische en semantische interoperabiliteit tussen de nationale zorgstelsels gezondheidsgegevens grensoverschrijdend beschikbaar te maken voor zorgaanbieders.

Een NCPeH is dus een door een lidstaat op te richten nationale toegangspoort die als communicatiepoort fungeert tussen het nationale informatiestelsel en de NCPeH’s van andere lidstaten. De inrichting van een NCPeH gebeurt conform de Europese richtlijnen die in het eHealth Netwerk zijn afgesproken en zien op wetgeving, techniek, organisatie en semantiek. Voordat een NCPeH wordt aangesloten op het MyHealth@EU-netwerk wordt uitgebreid getoetst door de Europese Commissie op naleving van de vereisten.³ De verantwoordelijkheid voor het naleven van de vereisten ligt bij de overheid van de betreffende lidstaat. De publieke taak voor een NCPeH en de grondslagen die nodig zijn voor het verwerken van gezondheidsgegevens door de beheerder van het NCPeH moeten worden vastgelegd in nationale wetgeving.⁴ De Minister van Volksgezondheid, Welzijn en Sport (VWS) heeft medio 2018 besloten om voorbereidingen te treffen voor de aansluiting op MyHealth@EU.⁵ De implementatie van het Nederlandse NCPeH is eind 2018 van start gegaan en is op 8 februari 2022 voltooid. Sindsdien is het Nederlandse NCPeH technisch operationeel. Het Nederlandse NCPeH wordt namens de Minister beheerd door het CIBG⁶ onder de naam Nationaal Contactpunt voor eHealth Nederland (hierna: NCPeH-NL). Met dit wetsvoorstel wordt de benodigde juridische basis geregeld.

1.2 Categorieën van gezondheidsinformatie

Via het MyHealth@EU-netwerk kunnen categorieën van gezondheidsinformatie (Crossborder eHealth Information Services, CBeHIS) tussen zorgaanbieders uit toegelaten lidstaten worden uitgewisseld. Categorieën van gezondheidsinformatie bevatten een vastgestelde set persoonlijke (gezondheids-)gegevens op basis van een Europees uitwisselformaat. Op dit moment kunnen er twee categorieën van gezondheidsinformatie worden uitgewisseld via het MyHealth@EU-netwerk: ePrescriptions/eDispensation (elektronische recepten en elektronische verstrekkingen) en Patient Summaries (patiëntsamenvattingen).⁷ Het elektronisch recept is een digitaal recept waarmee burgers in een andere lidstaat medicijnen kunnen ophalen. Een elektronische verstrekking is een digitaal afgiftebewijs dat wordt teruggezonden naar het thuisland wanneer een burger in een andere lidstaat medicijnen ophaalt. De patiëntsamenvatting bevat gegevens over onder andere medische aandoeningen, medicatiegebruik en allergieën en is daarmee van waarde in het geval van bijvoorbeeld spoedzorg, medicatieverstrekking en doorverwijzing. De technische en semantische specificatie van de elektronische recepten, elektronische verstrekkingen en de patiëntsamenvatting zijn op Europees niveau vastgesteld in richtlijnen (meest actuele versies: versie 3.4 van november 2024). De categorieën van gezondheidsinformatie kunnen in twee richtingen worden uitgewisseld:

A. Het versturen van gegevens van Nederlandse cliënten naar een zorgaanbieder in een andere lidstaat (in deze situatie is Nederland het A-land);

B. Het ophalen van gegevens van cliënten uit andere lidstaten op verzoek van een zorgaanbieder in Nederland (in deze situatie is Nederland het B-land).

In 2022 is het NCPeH-NL gestart met de patiëntsamenvatting B (PS-B). Het is momenteel dus alleen mogelijk om een patiëntsamenvatting van een cliënt uit een andere lidstaat op te vragen door een onder de zorgaanbieder ressorterende zorgverlener in Nederland die toegang heeft tot het NCPeH-NL. De verwerkingen door het NCPeH-NL bij deze uitwisseling van patiëntgegevens vindt tijdelijk plaats op basis van de grondslag uitdrukkelijke toestemming van de cliënt, maar een wettelijke grondslag voor het NCPeH-NL is gewenst.⁸

Daarnaast is in 2023 gestart met de voorbereidingen voor de implementatie van de patiëntsamenvatting A (PS-A). Hiermee wordt het mogelijk gemaakt dat de patiëntsamenvatting van Nederlandse cliënten naar een zorgaanbieder in een andere lidstaat kan worden gestuurd indien de cliënt daar onder behandeling is. Het streven is dat deze uitwisseling in 2026 operationeel is. Ook voor de uitwisseling van persoonsgegevens in het kader van de patiëntsamenvatting A dient voor het NCPeH-NL een wettelijke grondslag te worden gecreëerd.

Op termijn zal de reeks categorieën van gezondheidsinformatie die door zorgaanbieders kan worden opgevraagd via het NCPeH-NL nog verder worden uitgebreid.

ePrescription/eDispensation is door verschillende lidstaten al geïmplementeerd en behoort in de toekomst ook tot de mogelijkheden voor uitwisseling via het NCPeH-NL. De verwerking van (bijzondere) persoonsgegevens door het NCPeH-NL in het kader van deze categorieën van gezondheidsinformatie vraagt eveneens om een wettelijke grondslag.

1.3 Doel wetsvoorstel

Voor het elektronisch grensoverschrijdend uitwisselen van gezondheidsgegevens verwerkt het NCPeH-NL (bijzondere) persoonsgegevens. Zoals eerder benoemd, moet voor het NCPeH-NL worden voorzien in wettelijke grondslagen voor het uitvoeren van een publieke taak en het verwerken van de daarvoor noodzakelijke persoonsgegevens. Dit wetsvoorstel beoogt te voorzien in de wettelijke grondslagen voor de beheerder van het NCPeH-NL voor het uitvoeren van een publieke taak en het verwerken van (bijzondere) persoonsgegevens bij het uitwisselen van informatie over cliënten met andere NCPeH’s. Met dit wetsvoorstel wordt een stap gezet richting databeschikbaarheid en kan data uitgewisseld worden naar de plek waar ze nodig zijn voor goede zorg. Dit wetstraject brengt geen wijzigingen aan in de grondslagen voor verwerking van (bijzondere) persoonsgegevens door zorgverleners/zorgaanbieders en de doorbreking van het beroepsgeheim door Nederlandse zorgverleners. Zorgaanbieders krijgen, indien zij voldoen aan de voorwaarden, van rechtswege toegang tot het NCPeH-NL. De scope van de voorgestelde wetgeving beperkt zich tot de borging van de wettelijke taak en de grondslag voor een rechtmatige verwerking door de beheerder van het NCPeH-NL.

2. Implementatiewetgeving

Zoals in hoofdstuk 1 is aangegeven steunt en bevordert de EU de samenwerking en de digitale uitwisseling van gezondheidsgegevens tussen de lidstaten in het Europese eHealth Netwerk. In dit netwerk worden door de lidstaten aangewezen nationale autoriteiten, die verantwoordelijk zijn voor gezondheid, met elkaar verbonden. Dit is bepaald in artikel 14, eerste lid, van Richtlijn (EU) 2011/24. Het eHealth Netwerk voorziet erin dat lidstaten door middel van NCPeH’s op een veilige, efficiënte en interoperabele wijze gezondheidsgegevens met elkaar kunnen uitwisselen, zodat Europese burgers ook op goede gezondheidszorg kunnen rekenen als zij naar een andere lidstaat reizen.

Uitvoeringsbesluit (EU) 2019/1765 van 22 oktober 2019 van de Europese Commissie betreffende Voorschriften voor de oprichting, het beheer en de werking van het netwerk van nationale autoriteiten die verantwoordelijk zijn voor e-gezondheid⁹, bevat voorschriften voor de oprichting, het beheer en de werking van het digitaal federatief netwerk MyHealth@EU. Deelname aan het vrijwillige MyHealth@EU vindt plaats op basis van een tussen de lidstaten gesloten overeenkomst. De Europese Commissie stelt subsidiegelden beschikbaar ten behoeve van het oprichten van een NCPeH en het uitbreiden van de dienstverlening.

Nederland heeft gebruik gemaakt van deze mogelijkheid en een subsidieovereenkomst gesloten voor het oprichten van een NCPeH en het implementeren van zorgdienst PS-B.¹⁰ Sinds 8 februari 2022 is het NCPeH-NL technisch operationeel en daarmee is Nederland op MyHealth@EU aangesloten. De dienstverlening door het NCPeH-NL is op dit moment beperkt. Ten tijde van dit wetsvoorstel wordt gewerkt aan een uitbreiding van de dienstverlening door het NCPeH-NL, waarvoor eveneens een subsidieovereenkomst is gesloten.¹¹

Dit wetsvoorstel regelt de wettelijke taken en grondslagen voor verwerking van (bijzondere) persoonsgegevens voor de uit de richtlijn voortgekomen activiteiten, als het gaat om inrichting en het beheer van een NCPeH en de (vrijwillige) deelname aan het MyHealth@EU-netwerk.

2.1 European Health Data Space

Op 26 maart 2025 is de verordening van het Europees Parlement en de Raad betreffende de Europese ruimte voor gezondheidsgegevens (European Health Data Space, hierna: EHDS) in werking getreden.

Het doel van de EHDS is om op een veilige, transparante en verantwoorde wijze gezondheidsgegevens beschikbaar te stellen voor de levering van zorg (primair gebruik) en wetenschappelijk onderzoek, innovatie en beleid (secundair gebruik). Hierbij staat centraal dat burgers meer rechten krijgen in het voeren van de regie op de gezondheidsgegevens die over hen zijn vastgelegd en daarin worden gefaciliteerd. Onder de EHDS-verordening wordt het inrichten van een NCPeH en het aansluiten op het MyHealth@EU-netwerk, ten behoeve van de bevordering van gegevensuitwisseling voor primair gebruik, verplicht. De EHDS-verordening wijst een aantal prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens aan die verplicht via het NCPeH-NL uitgewisseld moeten kunnen worden:

1. Essentiële patiëntgegevens (Patiëntsamenvattingen)

2. Elektronische recepten

3. Elektronische verstrekkingen

4. Medische beeldvormingsdiagnostiek en de bijbehorende beeldverslagen

5. Resultaten van medische tests, met inbegrip van laboratoriumresultaten en andere diagnostische resultaten en daarmee verband houdende verslagen

6. Ontslagverslagen

Twee jaar na inwerkingtreding van de EHDS moet iedere lidstaat een NCPeH hebben aangewezen. Vier jaar na inwerkingtreding moet het NCPeH operationeel zijn en de patiëntsamenvattingen, elektronische recepten en elektronische verstrekkingen kunnen uitwisselen. Zes jaar na inwerkingtreding moeten de overige drie gegevensuitwisselingen operationeel zijn. Dit wetsvoorstel loopt vooruit op enkele verplichtingen die onder de EHDS-verordening zullen volgen. Nederland heeft zich onder de richtlijn (EU) 2011/24 gecommitteerd aan de vrijwillige aansluiting op het MyHealth@EU-netwerk en het inrichten van een nationaal NCPeH. In paragraaf 4.4 wordt een nadere toelichting gegeven op de juridische verhouding van dit wetsvoorstel tot de EHDS-verordening.

3. Hoofdlijnen van het wetsvoorstel

3.1 Probleemomschrijving

Nederlanders maken regelmatig gebruik van zorg over de grens, bijvoorbeeld tijdens een vakantie, het werken in het buitenland of als grensarbeider. In 2022 werkten ruim 600.000 Nederlandse burgers in een andere lidstaat, dat is 3.6% van alle Nederlanders.¹² Voor deze groepen is het van groot belang om de grensoverschrijdende uitwisseling van gezondheidsgegevens goed te regelen. De meest recente gegevens dateren uit 2014, waarin 1% van de Nederlanders behoefte had aan geplande zorg over de grens en 2% aan ongeplande zorg.¹³ Daarnaast publiceert het Zorginstituut Nederland jaarlijks cijfers over de (gedeclareerde) zorgkosten bij grensoverschrijdende zorg op grond van de Zorgverzekeringswet (Zvw). In 2023 ging het om een bedrag van € 500 miljoen voor gemaakte kosten bij buitenlandse zorgaanbieders door personen die Zvw-verzekeringsplichtig waren in Nederland en € 309 miljoen voor verdragsgerechtigden, zoals gepensioneerden.

Het hebben van de juiste gegevens op de juiste plek en op het juiste moment is onderdeel van het verlenen van kwalitatief goede zorg en elektronische gegevensuitwisseling kan hieraan bijdragen. Informatie over medische aandoeningen, medicatiegebruik of contra-indicaties kunnen relevant en soms zelfs essentieel zijn voor de gestelde diagnose en de gekozen behandelinzet. Door het ontbreken van gegevens over de cliënt ontstaat dus een groter risico op fouten in de zorgverlening. Daarnaast kan het ertoe leiden dat zorgaanbieders overbodige, soms kostbare, onderzoeken (over) moeten doen. Hierdoor lopen zorgkosten onnodig op.

In de huidige situatie is het in de meeste gevallen niet mogelijk om relevante gezondheidsgegevens over een cliënt elektronisch uit te wisselen met een zorgaanbieder in andere lidstaat, waar die cliënt onder behandeling is. Door gebrek aan interoperabiliteit tussen zorginformatiesystemen van verschillende lidstaten, is het vaak niet mogelijk om gezondheidsgegevens tussen twee zorgaanbieders uit te wisselen. De behandelende zorgverleners verliezen tijd met (extra) administratieve handelingen, bijvoorbeeld omdat ze moeten wachten totdat een zorgaanbieder in het land van herkomst de gegevens verstrekt.

Dit is tijd die ten koste gaat van de zorgverlening aan de cliënt. Bovendien spreken zorgverlener en cliënt in het kader van grensoverschrijdende zorg vaak niet dezelfde taal. Het is daardoor voor de cliënt, indien bij bewustzijn, moeilijker om de medische voorgeschiedenis met de behandelend zorgverlener te bespreken. Ook bij de wijze waarop zorgverleners uit andere landen gezondheidsgegevens in het medisch dossier noteren gebruiken landen andere semantische standaarden. Dit bemoeilijkt het lezen en begrijpen van de informatie, zelfs al is de informatie beschikbaar.

Het probleem laat zich verder illustreren met een aantal voorbeelden uit de praktijk:

– Als iemand een verminderde nierfunctie heeft, is dat een contra-indicatie voor het voorschrijven van bepaalde medicijnen. Als een Nederlander in het buitenland zorg nodig heeft en onbekend is dat de cliënt deze contra-indicatie heeft, dan kan dit ernstige gevolgen hebben. Doordat er niet elektronisch uitgewisseld kan worden tussen het ziekenhuis in het buitenland en de Nederlandse arts, kan de behandelend zorgverlener in het buitenland geen inzicht krijgen in de medische voorgeschiedenis. Stel dat de cliënt vocht afdrijvende medicijnen (diuretica) toegediend krijgt vanwege hartfalen of antibiotica bij een urineweginfectie, dan kan deze cliënt als gevolg daarvan een ernstige en levensbedreigende vermindering van de nierfunctie ontwikkelen.

– Een vrouw uit Portugal komt tijdens haar vakantie in Nederland bij de huisartsenpost en heeft pijn op de borst. Zij beheerst de Nederlandse taal niet. Op grond van haar klachten zou er een probleem kunnen zijn met haar hart. In dat geval zou de vrouw zo snel mogelijk met de ambulance naar het ziekenhuis vervoerd moeten worden. Door de taalbarrière is communicatie met haar niet goed mogelijk en kan de behandelend zorgverlener geen aanvullende informatie inwinnen. Ook haar echtgenoot kan de situatie niet toelichten. De behandelend zorgverlener maakt een elektrocardiogram (ECG) waarop geen indicaties voor hartproblemen zichtbaar zijn. Door via het NCPeH-NL een patiëntsamenvatting van het medisch dossier te raadplegen kan de behandelend zorgverlener aanvullende informatie inwinnen over de voorgeschiedenis van de cliënt. De vrouw is bekend met refluxklachten. Aan de hand van de klachten, het ECG en de geraadpleegde gegevens uit de patiëntsamenvatting kan worden uitgesloten dat er een probleem is met haar hart. De vrouw kan na overleg met de behandelend zorgverlener in de huisartsenpost terecht. Ze hoeft niet naar het ziekenhuis.

3.2 Oplossingsrichting

3.2.1 Werking MyHealth@EU

Het gebrek aan technische en semantische interoperabiliteit tussen zorginformatiestelsels van lidstaten is een probleem voor het werkelijk digitaal delen van gezondheidsgegevens. Daarom werken de lidstaten samen met de Europese Commissie aan het federatieve digitale netwerk MyHealth@EU. Aansluiting op het MyHealth@EU gebeurt door middel van een NCPeH. Een NCPeH is een nationale toegangspoort dat als communicatiepoort fungeert tussen de zorginformatiestelsels van lidstaten en daarmee de benodigde gezondheidsgegevens digitaal doorgeeft ten behoeve van uitwisseling tussen zorgaanbieders. In Nederland wordt het zorginformatiestelsel onder andere vormgegeven door het landelijk dekkend netwerk van infrastructuren.¹⁴ Het NCPeH-NL zal als toepassing aansluiten op het landelijk dekkend netwerk. Een nadere toelichting over de samenhang met het landelijk dekkend netwerk staat beschreven in paragraaf 5.5.

Het berichtenverkeer tussen het NCPeH-NL en de andere Europese NCPeH’s verloopt via het beveiligd netwerk TESTA, dat is opgezet en wordt beheerd door de EC en in Nederland door Stichting RINIS.

Waar deze infrastructuur aan moet voldoen is vastgelegd in «MyHealth@EU, EHealth Digital Service Infrastructure, System Architecture Specifications, versie 7.0.0, 19-07-2023»¹⁵.

Door de introductie van de infrastructuur op Europees niveau kunnen de verschillen tussen nationale zorginformatiestelsels worden overbrugd en kunnen gezondheidsgegevens alsnog grensoverschrijdend worden uitgewisseld met de zorgaanbieder waar de cliënt onder behandeling is. Hierdoor zijn er geen aanpassingen nodig aan de nationale zorginformatiestelsels, maar is het wel mogelijk gezondheidsgegevens grensoverschrijdend beschikbaar te maken voor de behandelaar van de cliënt.

Om gezondheidsgegevens over een specifieke persoon op te vragen, moet de identiteit van de cliënt worden vastgesteld. Om een uniek persoon te identificeren, zijn identificatiegegevens nodig. Deze identificatiegegevens bestaan uit een subset van de demografische gegevens over de cliënt. Lidstaten bepalen, specifiek voor het land, welke vereiste gegevens nodig zijn om een unieke cliënt te identificeren. Hierin is minimaal een wettelijk identificatienummer, zoals het Burgerservicenummer (BSN), vereist. Er kunnen aanvullende gegevens worden gevraagd, zoals de geboortedatum of postcode, als extra waarborg tegen typfouten. Voor opvragingen voor burgers uit Nederland door zorgaanbieders in het buitenland bestaan de identificatiegegevens uit het BSN en de geboortedatum. De geboortedatum wordt uitgevraagd om te voorkomen dat door een fout bij het invullen van het BSN de persoonsgegevens van een ander dan de beoogde cliënt worden verstrekt. Er kunnen dus alleen gezondheidsgegevens uit een land worden opgevraagd als de cliënt over het wettelijk identificatienummer beschikt dat het land vereist voor identificatie. Een zorgaanbieder uit een andere lidstaat kan alleen gegevens opvragen die in Nederland zijn vastgelegd als de betreffende cliënt een BSN heeft. Andersom kan een Nederlandse zorgaanbieder alleen gegevens over een cliënt uit Nederland in andere lidstaten opvragen, wanneer de cliënt een wettelijk identificatienummer van dat land heeft. Dit kan bijvoorbeeld het geval zijn als iemand een tijd in het buitenland heeft gewoond of gewerkt. Het wetsvoorstel sluit dit niet uit. Hieronder worden de mogelijke scenario’s geschetst bij een opvraging bij het NCPeH-NL.

3.2.2 Scenario A. Opvragen gezondheidsinformatie door zorgaanbieder in een andere lidstaat

Als een Nederlandse burger zich meldt bij een zorgaanbieder in een andere lidstaat (B-land) die is aangesloten op MyHealth@EU, verloopt het proces als volgt. De onder de zorgaanbieder ressorterende zorgverlener in het B-land beoordeelt of het voor de behandeling nodig is om gezondheidsgegevens van de cliënt op te vragen. Wanneer tot opvragen besloten wordt, zal eerst de cliënt hierover geïnformeerd worden als de cliënt bij bewustzijn is. Elk land heeft daartoe een patient information notice (PIN) opgesteld. Dit is een standaardformulier en is in alle Europese talen beschikbaar. In het formulier wordt toegelicht hoe de gegevens en informatie van de cliënt worden verwerkt en welke regels daarvoor gelden in het betreffende B-land.

De cliënt krijgt het PIN-formulier uitgereikt of wordt verwezen naar een website waar het formulier staat. Afhankelijk van de wetgeving in het land van behandeling is mogelijk instemming van de cliënt vereist voor opvraging van de gegevens.¹⁶ Als de behandelende zorgverlener wil nagaan of een categorie van gezondheidsinformatie, bijvoorbeeld een patiëntsamenvatting, van deze Nederlandse cliënt kan worden opgevraagd bij zorgaanbieders in Nederland, dan logt de behandelende zorgverlener in via het portaal van het eigen NCPeH met een inlogmiddel. De behandelende zorgverlener in het B-land controleert het identiteitsbewijs van de cliënt zodat de identiteit van de cliënt kan worden vastgesteld. De behandelende zorgverlener voert in het NCPeH portaal van het B-land in dat de cliënt uit Nederland komt en voert de voor Nederland unieke identificatiegegevens – het BSN en de geboortedatum – in.

Het NCPeH-NL ontvangt het BSN en de geboortedatum van de Nederlandse cliënt via het NCPeH van het B-land. Voordat gezondheidsgegevens worden opgevraagd bij de bron en uitgewisseld mogen worden, moet de identiteit van de Nederlandse cliënt worden vastgesteld.¹⁷ Het NCPeH-NL verstrekt het BSN van de Nederlandse cliënt aan de Rijksdienst voor Identiteitsgegevens (RvIG) via de Beheervoorziening BSN. De RvIG levert aanvullende persoonsgegevens die horen bij het opgegeven BSN aan het NCPeH-NL.

Het NCPeH-NL controleert of het BSN en de geboortedatum, die zijn aangeleverd door het NCPeH van het B-land, bij elkaar horen. Indien de controle uitwijst dat de gegevens niet kloppen stopt het proces en wordt dit via het NCPeH van het B-land teruggekoppeld aan de zorgaanbieder in het B-land. Indien de gegevens wel juist zijn, verstrekt het NCPeH-NL aanvullende identificatiegegevens (zoals de naam of geboorteplaats van de cliënt) over de cliënt via het NCPeH van het B-land aan de zorgaanbieder in het B-land. Alle verwerkingen vinden automatisch plaats en nemen enkele seconden in beslag. De behandelende zorgverlener controleert met behulp van de aanvullende gegevens de identiteit van de cliënt door deze te vergelijken met de persoonsgegevens op het identiteitsbewijs van de cliënt. Het NCPeH in het B-land toont welke categorieën van gezondheidsinformatie over de betreffende cliënt opgevraagd kunnen worden. De onder de zorgaanbieder ressorterende zorgverlener in het B-land geeft aan in het NCPeH van het B-land welke gezondheidsinformatie moet worden opgevraagd.

Het NCPeH-NL ontvangt de aanvraag voor de gezondheidsinformatie van het NCPeH van het B-land. De uitwisseling kan alleen plaatsvinden als de cliënt toestemming heeft gegeven voor verstrekking aan het NCPeH-NL ten behoeve van uitwisseling met zorgaanbieders in andere lidstaten. In de architectuur is voorzien dat het NCPeH-NL controleert of toestemming is gegeven via een online toestemmingsvoorziening (OTV) of een elektronisch uitwisselingssysteem (EUS).

Als er geen toestemming is, wordt dit teruggekoppeld. Als er wél toestemming is geregistreerd door de Nederlandse cliënt, worden de bronsystemen bevraagd en wordt de categorie van gezondheidsinformatie samengesteld. Het NCPeH-NL voegt de ontvangen gegevens samen en converteert deze naar het afgesproken formaat. Hierbij worden de gezondheidsgegevens vertaald naar Europese coderingen. Het NCPeH-NL verstrekt de gezondheidsinformatie aan het NCPeH van het B-land via het MyHealth@EU-netwerk. Het NCPeH verwerkt daarmee (bijzondere) persoonsgegevens, maar de gegevens uit de patiëntsamenvatting of andere categorie van gezondheidsinformatie worden niet opgeslagen door het NCPeH-NL. De verwerking neemt enkele seconden in beslag en vervolgens worden de gegevens verwijderd. Alleen de voor logging noodzakelijke gegevens worden bewaard, zowel ten behoeve van de onweerlegbaarheid van gegevensuitwisseling als voor beveiligingsdoeleinden (zoals het voorkomen en opsporen van misbruik). Het NCPeH van het B-land vertaalt de Europese coderingen naar de codes en taal van het betreffende land en stuurt deze naar de onder de zorgaanbieder ressorterende zorgverlener. Tevens kan de behandelende zorgverlener een Nederlandse versie van de patiëntsamenvatting opvragen die aan de cliënt kan worden uitgereikt, zodat overleg met de behandelend zorgverlener in de andere lidstaat makkelijker kan plaatsvinden. In onderstaand figuur wordt het bovenstaande proces weergegeven.

3.2.3 Scenario B. Opvragen gezondheidsinformatie voor cliënt uit andere lidstaat door Nederlandse zorgaanbieder

Als een burger uit een andere lidstaat zich meldt bij een Nederlandse zorgaanbieder die toegang heeft tot het NCPeH-NL, verloopt het proces als volgt. De behandelend zorgverlener beoordeelt of het voor de behandeling nodig is om gezondheidsgegevens van de cliënt op te vragen. Wanneer tot opvragen besloten wordt, zal eerst de cliënt hierover geïnformeerd worden als de cliënt bij bewustzijn is. De cliënt krijgt het PIN-formulier uitgereikt. De behandelende zorgverlener in Nederland wil nagaan of van deze cliënt gezondheidsinformatie kan worden opgevraagd bij zorgaanbieders in het woonland.

Als eerste logt de behandelende zorgverlener in door gebruikmaking van het portaal van het NCPeH-NL. Dan geeft de behandelende zorgverlener aan uit welk lidstaat de cliënt komt. Vervolgens vult de behandelende zorgverlener de voor het lidstaat vereiste unieke identificatiegegevens van de cliënt in.

Zoals al eerder vermeld kunnen de gegevens die nodig zijn bij deze stap per lidstaat verschillen. Vervolgens zal de zorgaanbieder deze persoonsgegevens verstrekken aan het NCPeH-NL. Het NCPeH-NL zet de aanvraag door naar het NCPeH van het B-land. Het NCPeH in het B-land doet de identiteitsverificatie. Bij een unieke match verstuurt het NCPeH in het B-land aanvullende identificatiegegevens naar het NCPeH-NL en worden deze gedeeld met de Nederlandse zorgaanbieder. De behandelende zorgverlener in Nederland controleert met behulp van de aanvullende gegevens de identiteit van de cliënt door deze te vergelijken met de persoonsgegevens op het identiteitsbewijs. Het NCPeH-NL toont welke gezondheidsinformatie over de betreffende cliënt opgevraagd kan worden. Nadat de behandelende zorgverlener de keuze voor een categorie van gezondheidsinformatie heeft gemaakt, wordt de vraag door het NCPeH-NL naar het NCPeH van het B-land gestuurd. Het NCPeH in het B-land verwerkt de aanvraag. Het NCPeH-NL ontvangt, indien beschikbaar, de betreffende gezondheidsinformatie uit de andere lidstaat waarbij twee versies kunnen worden opgevraagd: een gestructureerd XML-document met Europese codes en/of een PDF-document met de gezondheidsinformatie in de taal van de betreffende lidstaat. De behandelende zorgverlener kiest welk bestand wordt opgevraagd. Het NCPeH-NL vertaalt de Europese codes naar de Nederlandse codes en zorgt dat de gezondheidsinformatie beschikbaar is voor de onder de zorgaanbieder ressorterende zorgverlener die de cliënt onder behandeling heeft.

3.2.4 Toestemming

Zoals in hoofdstuk 1 staat beschreven is het NCPeH-NL sinds 2022 technisch operationeel. De dienstverlening van het NCPeH-NL beperkt zich op dit moment tot één categorie gezondheidsinformatie: patiëntsamenvatting B (PS-B). Momenteel vindt de verwerking door het NCPeH-NL voor scenario PS-B plaats op basis van toestemming, dan wel uitdrukkelijke toestemming van de cliënt uit een andere lidstaat als bedoeld in artikel 6, eerste lid, respectievelijk artikel 9, tweede lid, onder a, van de Algemene verordening gegevensbescherming (AVG). Deze toestemming dient te worden gegeven aan de behandelend zorgverlener op het moment van aanvang van de behandeling. Dit is echter een tijdelijke oplossing in afwachting van een wettelijke grondslag in het nationale recht, omdat (uitdrukkelijke) toestemming geen ideale grondslag wordt geacht. Aanvankelijk voorzag de Verzamelwet gegevensverwerking VWS II in de wettelijke basis voor specifiek de verwerkingen die plaatsvinden in het kader van de categorie gezondheidsinformatie PS-B. Na een advies van de Autoriteit Persoonsgegevens van oktober 2023 op de Verzamelwet gegevensverwerking VWS II en de beleidskeuze om de dienstverlening van het NCPeH-NL verder uit te breiden is echter besloten dit onderwerp uit die verzamelwet te halen en een apart wetsvoorstel te maken. Er wordt op dit moment gewerkt aan het technisch implementeren van een tweede categorie gezondheidsinformatie: PS-A. Een voorwaarde voor implementatie is dat de grondslagen voor verwerking van de persoonsgegevens in de PS-A zijn opgenomen in nationale wetgeving. Met dit wetsvoorstel worden de wettelijke grondslagen gecreëerd.

Indien een onder de zorgaanbieder ressorterende zorgverlener in Nederland in de huidige situatie een aanvraag via het NCPeH-NL wil doen, moet de cliënt uit de andere lidstaat schriftelijk toestemming geven aan de onder de zorgaanbieder ressorterende zorgverlener.

De zorgaanbieder moet zorgen dat de uitdrukkelijke toestemming naar het NCPeH-NL wordt gestuurd zodat deze kan voldoen aan de verantwoordingsplicht onder de AVG. Dit wordt als omslachtig en een beveiligingsrisico gezien. Bovendien gaat het hier om toestemming rechtstreeks aan de overheid, waarbij zich al gauw de vraag aandient of de toestemming wel in volledige vrijheid is gegeven, gezien de afhankelijke positie waarin een burger ten opzichte van de overheid verkeert. Verder biedt de grondslag uitdrukkelijke toestemming geen duurzame oplossing voor de uitwisseling van de categorie gezondheidsinformatie PS-A en uitwisseling van andere toekomstige categorieën gezondheidsinformatie. Een wettelijke grondslag is daarom gewenst.

3.2.5 Waarborgen

Vanwege de gevoeligheid van persoonlijke elektronische gezondheidsgegevens is het van belang om voldoende waarborgen te bieden, zowel op het niveau van de Europese Unie als op nationaal niveau, om een hoge mate van gegevensbescherming, beveiliging, vertrouwelijkheid en ethisch gebruik te garanderen. Alle deelnemende lidstaten zijn via een NCPeH aangesloten op het MyHealth@EU-netwerk en het bijbehorende afsprakenstelsel.

Alle NCPeH’s zijn gebonden aan dezelfde Europese eisen als het gaat om uitwisseling van gegevens op het terrein van semantiek, technische standaarden, gegevensbescherming en beveiliging. In dit afsprakenstelsel, ook wel een «circle of trust» genoemd, zitten diverse procesmatige- en technische waarborgen om ervoor te zorgen dat Europese zorgaanbieders niet op onrechtmatige wijze gegevens van Europese burgers kunnen opvragen.

Voordat een lidstaat met het NCPeH mag aansluiten op het MyHealth@EU-netwerk, dient het NCPeH een zelfbeoordelingstoets uit te voeren.¹⁸ Vervolgens wordt door een Europese compliance check, die wordt uitgevoerd door een gecertificeerde onafhankelijke partij, getoetst of er wordt voldaan aan de strenge Europese eisen die gelden voor een NCPeH. Bij de implementatie van iedere nieuwe categorie van gezondheidsinformatie wordt hier op getoetst en daarnaast vinden periodieke audits plaats. Deze controles zorgen ervoor dat alle NCPeH’s aan de gestelde interoperabiliteits- en veiligheidseisen voldoen. Nadat een NCPeH is aangesloten, wordt de naleving van de vereisten structureel door de EC gemonitord om de integriteit van MyHealth@EU te waarborgen. Wanneer een NCPeH niet voldoet kan de EC overgaan tot (tijdelijke) opschorting van de dienstverlening van het NCPeH via MyHealth@EU.

Zorgaanbieders die gebruik willen maken van de diensten van het NCPeH in de betreffende lidstaat moeten eveneens voldoen aan Europees gestelde eisen. Een Nederlandse zorgaanbieder die een opvraging wil doen, heeft alleen toegang tot het NCPeH-NL wanneer hij een zogenoemd aangewezen beroep uitoefent en beschikt over een Europees erkend identificatie- en autorisatiemiddel met het betrouwbaarheidsniveau hoog. Deze eisen zullen bij of krachtens algemene maatregel van bestuur (AMvB) worden uitgewerkt. Een zorgaanbieder mag alleen als er sprake is van een behandelrelatie een opvraging doen bij het NCPeH.

De behandelrelatie bij het opvragen van gegevens worden bevestigd door middel van een cryptografische ondertekening. Beide NCPeH’s die bij de uitwisseling betrokken zijn, zijn verantwoordelijk voor de verificatie van de attestatie, welke zowel bij het verzenden als bij het ontvangen van de aanvraag wordt gecontroleerd. Om volledige verantwoording af te kunnen leggen over de reis die gegevens hebben afgelegd, wordt een aantal gegevens door het NCPeH-NL gelogd. Deze logging bevat een specifiek identificatienummer van de opvragende onder de zorgaanbieder ressorterende zorgverlener, auditgegevens over het bestaan van een behandelrelatie, de rolcode van de onder de zorgaanbieder ressorterende zorgverlener en het BSN van de cliënt. Indien onrechtmatig wordt opgevraagd kan door middel van de logging (net zoals bij uitwisseling tussen zorgaanbieders in Nederland plaatsvindt) worden achterhaald door wie de opvraging is gedaan. De functioneel beheerders kunnen via het beheerportaal de audit logs inzien en de technisch beheerders hebben toegang tot de systemen, logbestanden, en audittrail database.

De inhoud van de gezondheidsinformatie wordt niet opgeslagen. Het NCPeH-NL is een nationaal knooppunt dat als communicatiepoort fungeert tussen de zorginformatiestelsels van lidstaten en daarmee de benodigde medische gegevens digitaal doorgeeft ten behoeve van uitwisseling tussen zorgaanbieders.

Ieder NCPeH is verplicht te monitoren op mogelijk oneigenlijk gebruik. Binnen het MyHealth@EU-afsprakenstelsel zijn afspraken gemaakt over deze monitoring, zo worden er meldingen afgegeven wanneer vanuit een specifieke zorgverlener, zorgaanbieder of een specifiek land binnen een bepaalde tijd meerdere pogingen worden gedaan om gegevens op te vragen.

3.3 Instrumentkeuze

Goede gezondheidszorg is een publiek belang. Het treffen van maatregelen ter bevordering van de volksgezondheid is een verantwoordelijkheid van de overheid en is neergelegd in artikel 22 van de Grondwet (hierna: Gw). Zoals in hoofdstuk 1 geduid, is het voor de kwaliteit van grensoverschrijdende zorg van belang dat gezondheidsgegevens beschikbaar zijn. Vastgesteld kan worden dat de uitwisseling van gezondheidsinformatie – zoals de in de patiëntsamenvatting opgenomen gezondheidsgegevens – noodzakelijk is om de binnen Europa gestelde doelen te bereiken. Zonder deze uitwisseling kunnen deze doelen niet, althans niet op een voor de privacy van de betrokkene minder ingrijpende wijze, worden bereikt. Deze verwerking dient primair het belang van de betrokkene, omdat deze gericht is op een optimale informatievoorziening met het oog op de uitvoering van een (urgente) medische behandeling.

Tegelijkertijd heeft de overheid een belangrijke rol om ervoor te zorgen dat er zorgvuldig met gezondheidsgegevens wordt omgegaan, met het oog op de vrije toegang voor de zorg voor iedereen en met het oog op de privacy.

Er zijn meerdere internationale verdragen die het recht op de bescherming van persoonsgegevens regelen, zoals het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden¹⁹ (hierna: EVRM) en het Handvest van de grondrechten van de Europese Unie²⁰ (hierna: EU-Handvest). Daarnaast worden persoonsgegevens beschermd als een onderdeel van de persoonlijke levenssfeer in de zin van artikel 10 Gw en als onderdeel van het privéleven. Het is bij uitstek de overheid die de samenhang tussen deze verschillende belangen moet bewaken.

In paragraaf 3.1 is uitgebreid toegelicht dat de verscheidenheid in de informatiesystemen en semantiek van lidstaten een obstakel is voor het digitaal delen van gezondheidsgegevens. Daarom wordt er gezamenlijk gewerkt aan de infrastructuur MyHealth@EU, waarbij het NCPeH de toegangspoort is tot de informatiesystemen van andere lidstaten. Voor het verwerken van (bijzondere) persoonsgegevens door de beheerder van het NCPeH-NL zijn grondslagen vereist. Dit kan alleen door middel van wet- en regelgeving. De conclusie is daarmee dat overheidsinterventie gerechtvaardigd is en wetgeving noodzakelijk. Dit wetsvoorstel laat de rechten van betrokkenen op grond van de AVG onaangetast. Het wetsvoorstel bevat aanvullingen van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), die hieronder zullen worden toegelicht.

3.3.1 Wettelijke taak en grondslag verwerking van (bijzondere) persoonsgegevens door het NCPeH-NL

In de kern komt de taak van het NCPeH-NL neer op het uitwisselen van persoonsgegevens, waaronder gegevens over de gezondheid. Daarbij functioneert het NCPeH-NL als een communicatiepoort waarbij de categorieën van gezondheidsinformatie worden omgezet in Europese formats. Dit wetsvoorstel regelt de wettelijke taak voor de Minister voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL. Tevens moeten de benodigde grondslagen voor het verwerken van (bijzondere) persoonsgegevens voor het uitvoeren van deze taak worden geregeld.

In het Uitvoeringsbesluit (EU) 2019/1765 van de Europese Commissie met betrekking tot de vaststelling van de voorschriften voor de oprichting, het beheer en de werking van het netwerk van nationale autoriteiten die verantwoordelijk zijn voor e-gezondheid, en tot intrekking van Uitvoeringsbesluit 2011/890/EU is in artikel 7, eerste lid, vastgesteld dat NCPeH’s worden gezien als verwerkingsverantwoordelijken als het gaat om de verwerking van persoonsgegevens via MyHealth@EU. De Minister van VWS is onder dit wetsvoorstel verantwoordelijk voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL en daarmee verwerkingsverantwoordelijke.

De basis voor het inrichten van een NCPeH is de Richtlijn (EU) 2011/24. Op basis van hoofdstuk IV, artikelen 11 en 14 van deze richtlijn is er ook een overeenkomst die door de deelnemende lidstaten moet worden ondertekend; de «Agreement between National Authorities or National Organisations responsible for National Contact Points for eHealth on the Criteria required for the participation in CBeHIS. Deze overeenkomst is op vrijwillige basis en de maatregelen die zijn ontwikkeld door de lidstaten en Europese Commissie met betrekking tot de interoperabiliteit zijn niet juridisch bindend. De Richtlijn (EU) 2011/24 in combinatie met de «Overeenkomst» vormt onvoldoende basis voor de grondslag van het NCPeH. Er moet ook sprake zijn van een specifieke wettelijke grondslag voor een NCPeH in het nationale recht, in overeenstemming met artikel 9, tweede lid, van de AVG voor het verwerken van gezondheidsgegevens. Dit wordt ook onderschreven door een advies van de European Data Protection Board (voorheen artikel 29 WP).²¹ Er is dus een noodzaak om te voorzien in een nationale wettelijke grondslag voor verwerking van persoonsgegevens door het NCPeH-NL.

Voor het uitvoeren van de wettelijke taak is het noodzakelijk dat het NCPeH-NL persoonsgegevens verwerkt. De grondslag voor deze verwerking is daarmee artikel 6, eerste lid, onderdeel e, AVG «noodzakelijk voor de vervulling van een taak van algemeen belang die aan de verwerkingsverantwoordelijke is opgedragen.» De rechtsgrond voor de in het eerste lid, onderdeel e, bedoelde verwerking moet worden vastgesteld bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

De verwerkingen die door de Minister van VWS worden gedaan ten behoeve van de beheertaak van het NCPeH-NL bevatten tevens bijzondere persoonsgegevens, als bedoeld in artikel 9, eerste lid, AVG aangezien ze betrekking hebben op de gezondheid van de persoon. De zogenoemde gezondheidsgegevens. Voor het verwerken van bijzondere persoonsgegevens geldt een verwerkingsverbod, tenzij aan een van de voorwaarden uit artikel 9, tweede lid AVG is voldaan.

Voor deze voorgenomen verwerking is sprake van een uitzonderingsgrond als bedoeld in artikel 9, tweede lid, onderdeel h, AVG: de verwerking is noodzakelijk voor het beheren van gezondheidszorgstelsels en -diensten of voor het verstrekken van gezondheidszorg op grond van Unierecht of lidstatelijk recht. Er moet dus sprake zijn van een wettelijke taak waarbij het voor de uitvoering van die taak noodzakelijk is om bijzondere persoonsgegevens (namelijk gezondheidsgegevens) te verwerken. Om te voldoen aan de voorwaarden zoals gesteld in art. 9, derde lid van de AVG, moeten de personen die de gegevens verwerken gehouden zijn aan geheimhouding door krachtens Unierecht of lidstatelijk recht of krachtens nationale bevoegde instanties vastgestelde regels. In het wetsvoorstel is in artikel 15o, derde lid, een geheimhoudingsplicht voor werknemers van het NCPeH-NL opgenomen.

3.3.2 Een grondslag voor het ontvangen en verstrekken van het BSN over de grens (aan NCPeH’s in andere EER-landen).

Op basis van artikel 10 Wet aanvullende bepalingen Burgerservicenummer (Wabb) kunnen overheidsorganen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun taak gebruik maken van het BSN. Indien de beheertaak voor het NCPeH is vastgelegd in de wet en wordt belegd bij een bestuursorgaan, kan voor deze taak het BSN worden verwerkt. Voor de grensoverschrijdende uitwisseling van het BSN met de nationale contactpunten voor eHealth in andere EU-lidstaten zal een basis moeten worden gecreëerd (dat volgt niet uit de Wabb). Voor de grensoverschrijdende uitwisseling van het BSN met andere EU-landen geldt het regime dat is neergelegd in artikel 46 Uitvoeringswet algemene verordening gegevensbescherming (UAVG), waaruit volgt dat de verwerking van het BSN bij wet in formele zin dient te zijn vastgelegd.

Voor de (eventuele) verwerking van een nationaal identificatienummer van cliënten uit andere lidstaten hoeft er niets te worden geregeld. Iedere lidstaat heeft op basis van de AVG een mogelijkheid om bij lidstatelijk recht specifiek voorwaarden te stellen aan de verwerking van een nationaal identificatienummer of enig andere identificator van algemene aard. Voor die identificatienummers geldt het eventuele nationale recht ten aanzien van het nummer uit het land van herkomst.

3.3.3 Structuur van de wet

Dit wetsvoorstel regelt de wettelijke taak voor de Minister van VWS voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL en tevens de benodigde grondslagen voor het verwerken van (bijzondere) persoonsgegevens voor het uitvoeren van deze taak via het NCPeH-NL.

In het wetsvoorstel is in artikel 15o, vierde lid, opgenomen dat bij AMvB nadere regels worden gesteld met betrekking tot welke gegevens uitgewisseld kunnen worden ten behoeve van aangewezen categorieën van gezondheidsinformatie. Momenteel wordt alleen gezondheidsinformatie voor PS-B uitgewisseld en is een programma gestart om PS-A te ontwikkelen en uit te kunnen wisselen. Verbreding van het aantal categorieën gezondheidsinformatie is zeer waarschijnlijk. Zoals eerder beschreven is nu reeds de categorie gezondheidsinformatie ePrescription/eDispensation beschikbaar en wordt onder de EHDS de beschikbaarstelling van meerdere categorieën van gezondheidsinformatie verplicht. In de AMvB wordt een nadere uitwerking gegeven van de verwerkingen en bijbehorende persoonsgegevens voor die specifieke categorie gezondheidsinformatie. Voor elke categorie wordt tevens een Data Protection Impact Assessment (DPIA) uitgevoerd.

3.4 Reikwijdte wetsvoorstel

Van belang is te benadrukken dat de scope van de voorgestelde wetgeving zich beperkt tot de borging van de wettelijke taak en de grondslag voor een rechtmatige verwerking van gegevens. De verwerkingen die plaatsvinden via het NCPeH-NL zijn alléén ten behoeve van uitwisseling van gezondheidsgegevens tussen zorgaanbieders die zich in verschillende lidstaten bevinden en waarbij sprake is van een behandelrelatie met de cliënt. Uitwisseling kan alleen plaatsvinden op verzoek van de zorgaanbieder die de cliënt onder behandeling heeft en wanneer de cliënt daar toestemming voor heeft gegeven.

Dit wetsvoorstel wijzigt daarmee dus niet de grondslag voor de Nederlandse onder de zorgaanbieder ressorterende zorgverleners om het medisch beroepsgeheim te doorbreken en de benodigde gezondheidsgegevens te verstrekken. De kaders en regels rondom grondslagen voor gegevensverwerking (in onder meer de AVG en de UAVG) en het (doorbreken van) het medisch beroepsgeheim zijn onverminderd van kracht. Voor het beschikbaar stellen van de gegevens, benodigd voor het samenstellen van de te verstrekken gezondheidsinformatie en het delen van deze gegevens met een zorgaanbieder binnen een andere lidstaat, blijft uitdrukkelijke toestemming van de Nederlandse cliënt nodig. Indien een cliënt geen uitdrukkelijke toestemming heeft geregistreerd kunnen de gegevens niet worden uitgewisseld. Naar aanleiding van het advies van de Autoriteit Persoonsgegevens is in artikel 15r als extra waarborg opgenomen dat het NCPeH-NL slechts gegevens kan ontvangen van de zorgaanbieders indien de toestemming van de cliënt voor het delen van de gegevens ten behoeve van zorg in een andere lidstaat is vastgesteld.

4. Verhouding tot hoger recht

4.1 Bescherming persoonlijke levenssfeer en gegevensbescherming

Dit wetsvoorstel beoogt een wettelijke grondslag te creëren voor het verwerken van (bijzondere) persoonsgegevens over cliënten uit Nederland en andere lidstaten door de beheerder van het NCPeH-NL. Dit is ten behoeve van het grensoverschrijdend uitwisselen van cliëntgegevens die noodzakelijk zijn voor goede zorg, ongeacht in welke lidstaat die zorg verleend wordt en raakt daarmee de persoonlijke levenssfeer van burgers. Verschillende internationale verdragen en (nationale) regelingen, waaronder de Gw, bevatten uitdrukkelijke voorschriften en waarborgen ter bescherming van de persoonlijke levenssfeer of van natuurlijke personen ten aanzien van persoonsgegevens. In dit verband kan worden gewezen op de volgende voorschriften:

– In artikel 8 van het EVRM en artikel 17 van het Internationaal verdrag inzake burgerlijke en politieke rechten is het recht op bescherming van de persoonlijke levenssfeer gewaarborgd.

– In artikel 7 van het Handvest van de grondrechten van de Europese Unie (2016/C 202/02, hierna: het Handvest) is het recht op eerbiediging van het privéleven opgenomen. In artikel 8 van het Handvest is het recht vastgelegd van eenieder op bescherming van persoonsgegevens.

– Artikel 16, tweede lid, van het Verdrag betreffende de werking van de Europese Unie (hierna: VWEU) bevat een rechtsgrondslag voor het stellen van voorschriften betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens. Ter uitvoering van deze opdracht is in 2012 een voorstel ingediend voor de AVG, welke verordening uiteindelijk op 24 mei 2016 in werking is getreden.

– Artikel 10, eerste lid, van de Gw erkent het recht op eerbiediging van de persoonlijke levenssfeer.

Hieronder wordt uiteengezet op welke wijze in dit wetsvoorstel rekening is gehouden met de bovenstaande rechten.

4.2 EVRM

Het recht op bescherming van persoonsgegevens is niet als zelfstandig recht vastgelegd in het EVRM. Volgens de rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) is het recht op bescherming van persoonsgegevens, bedoeld in artikel 8 van het EVRM, in algemene zin van fundamentele betekenis voor het recht op eerbiediging van de persoonlijke levenssfeer. Aangezien de onderwerpen uit het wetsvoorstel voorschriften over de verwerking van persoonsgegevens bevat, raken deze aan het recht op eerbiediging van het privéleven en zal moeten worden beoordeeld of sprake is van een gerechtvaardigde inmenging. De cumulatieve voorwaarden waaronder inmenging kan worden gerechtvaardigd op grond van artikel 8, tweede lid, EVRM zijn: wanneer het bij wet is voorzien én het noodzakelijk is in een democratische samenleving in het belang van een of meer van de in het tweede lid genoemde doeleinden (nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen).

Om te bepalen of in een concreet geval sprake is van een gerechtvaardigde beperking van een van de in de artikelen 8 tot en met 11 EVRM neergelegde mensenrechten, heeft het EVRM in zijn rechtspraak een bepaalde systematiek ontwikkeld. Uit deze systematiek kan een toetsingskader worden afgeleid waarbij drie met elkaar samenhangende vragen kunnen worden onderscheiden. Deze vragen luiden achtereenvolgens als volgt:

1. Is de beperking bij wet voorzien?

– Berust de inmenging op een naar behoren bekend gemaakt wettelijk voorschrift?

– Kunnen burgers daaruit met voldoende precisie opmaken welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt?

2. Dient de beperking tot bescherming van een legitieme doelstelling (legitimate aim), namelijk één of meer van de in het tweede lid van artikel 8 EVRM opgesomde rechtsbelangen?

3. Is de beperking noodzakelijk in een democratische samenleving (necessary in a democratic society)?

– Is de beperking ingegeven door een dringende maatschappelijke behoefte (pressing social need)?

– Bestaat er een redelijke verhouding (proportionality) tussen de zwaarte van de beperking en het gewicht van het belang dat met de inbreuk wordt gediend?

De eerste vraag, of de voorgestelde beperking bij wet is voorzien, kan zonder meer bevestigend worden beantwoord. Het wetsvoorstel voorziet nu juist in een beschrijving van de taak en het doel van de verwerkingen door de Minister middels het NCPeH-NL.

Gekozen is voor de systematiek waarbij voor de verschillende (mogelijke) categorieën van gezondheidsinformatie bij AMvB een nadere uitwerking wordt gegeven van de verwerkingen en bijbehorende persoonsgegevens, voor welk doel en welke partijen een rol spelen bij die specifieke categorie gezondheidsinformatie. Hiermee krijgt de burger voldoende inzicht in welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt.

Ook de tweede vraag kan bevestigend beantwoord worden. Zoals in hoofdstuk 3 is aangegeven, beoogt dit wetsvoorstel ertoe te leiden dat: cliëntgegevens die noodzakelijk zijn voor goede zorg, ongeacht in welke lidstaat die zorg verleend wordt, beschikbaar zijn voor de onder de zorgaanbieder ressorterende zorgverlener die de cliënt onder behandeling heeft. Dit geldt zowel voor een burger uit een andere lidstaat die zorg nodig heeft in Nederland als voor de Nederlandse burger die onder behandeling is van een zorgverlener in een andere lidstaat (bescherming van de gezondheid).

De derde vraag – of de voorgestelde beperking noodzakelijk is in een democratische samenleving – wordt eveneens bevestigend beantwoord. Zoals geschetst in paragraaf 3.3 zijn de beoogde grondslagen voor gegevensverwerking nodig om de verscheidene taken uit te kunnen voeren. Het is belangrijk dat gegevens over een cliënt toegankelijk worden, óók als de cliënt zich in een andere lidstaat bevindt. De toegang tot gegevens is namelijk randvoorwaardelijk voor de kwaliteit van zorg, de continuïteit van zorg en de kwaliteit van leven ook bij het vrije verkeer van personen.

Dit speelt in het bijzonder bij spoedeisende situaties (ongeplande zorg): dan is de toegang tot de benodigde informatie van wezenlijk of zelfs levensbelang. Het kan immers gaan om levensbedreigende situaties waarin weinig tijd of mogelijkheid is om op het moment van de zorgvraag nog telefonisch of via andere wegen, informatie op te vragen die nodig is voor het verlenen van goede zorg. Deze informatie kan van invloed zijn op het bepalen van de medische urgentie, de diagnose en de behandeling. Het wetsvoorstel voorziet in een redelijke verhouding tussen de zwaarte van de beperking en het gewicht van het belang dat met de beperking wordt gediend. De eventuele inbreuk op de privacy van burgers gaat zodoende niet verder dan noodzakelijk is voor het doel.

Wat betreft de subsidiariteit geldt dat niet kan worden volstaan met lichtere, mindere ingrijpende maatregelen. Momenteel is tussen de zorgaanbieders van verschillende lidstaten geen sprake van technische of semantische interoperabiliteit. Dit betekent dat gezondheidsinformatie zoals een patiëntsamenvatting niet rechtstreeks kan worden uitgewisseld. Vooralsnog zijn nationale contactpunten die bijdragen aan de technische en semantische interoperabiliteit de snelste en meest effectieve wijze om dit gestalte te geven. Los van de technische interoperabiliteit, vindt bij het NCPeH-NL een mapping en zo nodig transcodering plaats van de aangeleverde data uit de Nederlandse bron naar het Europees vastgestelde formaat van de betreffende categorie gezondheidsinformatie.

In het B-land vindt door het NCPeH van het betreffende land de vertaling plaats vanuit de internationale coderingen naar de eigen taal c.q. coderingen. Dit is in de huidige situatie alleen mogelijk met behulp van de NCPeH’s die deze rol vervullen. Via de MyHealth@EU-infrastructuur kan technisch uitgewisseld worden met een andere lidstaat waarbij het NCPeH van de betreffende lidstaat zorgdraagt dat uitwisseling met de zorgaanbieder waar de Nederlandse cliënt zicht bevindt kan plaatsvinden. Uiteraard blijft het voor de zorgaanbieder in de andere lidstaat mogelijk om rechtstreeks contact op te nemen (telefonisch) met de huisarts van de Nederlandse cliënt waarbij informatie kan worden uitgewisseld. Daarbij kan echter geen patiëntsamenvatting of andere categorie van gezondheidsinformatie worden verstrekt in een gestandaardiseerde vertaling zoals bovenstaand beschreven.

Het doel om voor Nederlandse cliënten in andere lidstaten kwalitatief betere zorg te verlenen, kan alleen worden bereikt door het uitwisselen van (bijzondere) persoonsgegevens. Door het gebrek aan interoperabiliteit tussen zorginformatiesystemen in verschillende lidstaten is als oplossing gekozen voor het uitwisselen via nationale contactpunten. Voor het uitwisselen van (bijzondere) persoonsgegevens door het NCPeH-NL zijn wettelijke grondslagen vereist. Zoals eerder beschreven is de grondslag toestemming voor uitwisseling van (bijzondere) persoonsgegevens door het NCPeH-NL geen alternatieve oplossing.

4.3 Grondwet (Gw)

De Gw geeft in artikel 10, eerste lid, eenieder, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. De woorden «behoudens bij of krachtens de wet te stellen beperkingen» in artikel 10 van de Gw brengen mee dat beperkingen op het recht op eerbiediging van de persoonlijke levenssfeer slechts kunnen worden gerechtvaardigd door of krachtens een wet in formele zin.²² De beperkingen op het grondrecht moeten op het niveau van de formele wet worden gespecificeerd en, in elk geval op hoofdlijnen, dient een belangenafweging plaats te vinden in het licht van artikel 10 van de Gw. De hoofdelementen die in algemene zin in ieder geval in de formele wet moeten worden neergelegd zijn de reikwijdte en de structurele elementen van een regeling.²³ In dit wetsvoorstel worden de hoofdelementen zoals vereist neergelegd. De partijen met wie het NCPeH-NL uitwisselt, worden benoemd in het wetsvoorstel, te weten het NCPeH van een andere lidstaat en de Nederlandse zorgaanbieders en elektronische uitwisselingssystemen. Verder is duidelijk voor welk doel er wordt uitgewisseld, namelijk ten behoeve van het verlenen van zorg aan een cliënt uit een andere lidstaat die in Nederland wordt behandeld door een Nederlandse zorgaanbieder (artikel 15o, tweede lid, jo. artikel 15q) dan wel het verlenen van zorg aan een Nederlandse cliënt die wordt behandeld door een zorgaanbieder in een andere lidstaat (artikel 15o, tweede lid, jo. artikel 15r).

Tevens is geregeld dat de Minister van VWS ten behoeve van het uitvoeren van de taak van het NCPeH-NL (bijzondere) persoonsgegevens verwerkt. De hierboven geschetste lijn ter rechtvaardiging van de inbreuk op het recht op respect voor het privéleven in artikel 8 van het EVRM, geldt evenzeer ter onderbouwing van de belangenafweging in het licht van artikel 10 van de Grondwet.

4.4 EHDS-verordening

Op 26 maart 2025 is de EHDS-verordening in werking getreden. De komst van de EHDS heeft impact op de uitwisseling middels het NCPeH en de in dit wetsvoorstel gecreëerde grondslagen. In paragraaf 4.4.1 wordt beschreven welke impact de EHDS heeft op het NCPeH en de Europese grondslagen die straks rechtstreeks werken. Daarbij wordt ook ingegaan op het recht op opt-out en wat dit betekent voor uitwisseling in het NCpeH. In paragraaf 4.4.2 wordt vervolgens toegelicht waarom gekozen is om door te gaan met dit wetsvoorstel en wat de komst van de EHDS straks voor deze wetgeving betekent.

4.4.1 Grondslagen in de EHDS

De EHDS-verordening stelt op termijn aansluiting op het NCPeH verplicht en bepaalt dat zes prioritaire categorieën gezondheidsinformatie moeten kunnen worden uitgewisseld via het NCPeH.²⁴ Twee jaar na inwerkingtreding van de EHDS (maart 2027) moet iedere lidstaat een NCPeH hebben aangewezen. Vier jaar na inwerkingtreding (maart 2029) moet het NCPeH operationeel zijn en de patiëntsamenvattingen, elektronische recepten en elektronische verstrekkingen kunnen uitwisselen. Zes jaar na inwerkingtreding (maart 2031) moeten de overige drie gegevensuitwisselingen operationeel zijn.

De EHDS verandert het juridische kader voor de uitwisseling van elektronische gezondheidsgegevens die binnen de reikwijdte van de EHDS vallen. Zoals beschreven in paragraaf 3.4 is op dit moment toestemming van de betrokkene vereist voor het verstrekken van elektronische gezondheidsgegevens van een betrokkene aan een zorgaanbieder in een andere lidstaat. Wanneer de regels voor primair gebruik van gezondheidsgegevens uit de EHDS per maart 2029 (voor patiëntsamenvattingen, elektronische recepten en elektronische verstrekkingen) en maart 2031 (voor medische testen, medische beelden en ontslagverslagen) van toepassing worden, veranderen ook de regels omtrent zeggenschap. Zorgaanbieders hebben dan in beginsel het recht op toegang tot de elektronische gezondheidsgegevens van patiënten die onder hun behandeling staan, tenzij de patiënt gebruik heeft gemaakt van de mogelijkheid tot opt-out op de beschikbaarheid van gegevens of een beperking op de toegang (inzage) door de zorgaanbieder. Lidstaten hebben op grond van de verordening de mogelijkheid om het opt-out recht in nationale wetgeving te regelen. Nederland kiest ervoor om hier gebruik van te maken, dit wordt in de tweede tranche ter implementatie van de EHDS uitgewerkt.²⁵

Met de implementatie van de EHDS-verplichtingen is er voor het opvragen van categorieën van gezondheidsinformatie van de patiënt via het NCPeH-NL door de behandelende zorgverleners in andere EU-landen in de toekomst geen toestemming meer vereist.

Wel dient er te worden geverifieerd of de cliënt gebruik heeft gemaakt van de mogelijkheid tot opt-out. In de EHDS is aangegeven dat wanneer een cliënt het opt-out recht heeft ingeroepen, gegevens vanuit de bron niet meer beschikbaar worden gesteld aan de zogenoemde toegangsdienst(en) voor gezondheidswerkers. Deze toegangsdienst voor gezondheidswerkers is bedoeld om zorgverleners te faciliteren in het verkrijgen van toegang tot de gegevens van de cliënt. Lidstaten zijn vrij om zelf invulling te geven aan wat een toegangsdienst voor gezondheidswerkers inhoudt. Doordat ook het NCPeH-NL wordt gevoed door deze toegangsdienst, en de gegevens daar niet meer toegankelijk (beschikbaar) zijn, kan er ook geen opvraging worden gedaan door behandelende zorgverleners in andere EU-landen. Bij de implementatie en de uitvoeringswetgeving voor de EHDS zal worden uitgewerkt hoe wordt gewaarborgd dat enkel gegevens via het NCPeH-NL worden uitgewisseld waarop geen opt-out is toegepast en hoe de benodigde grondslagen worden aangepast. Het parlement zal hierover verder worden geïnformeerd bij de implementatie van de EHDS.

Bij de implementatie van de EHDS verandert ook het toezichtregime en wordt nader uitgewerkt hoe de aansturing van het NCPeH-NL en het toezicht op het NCPeH-NL wordt vormgegeven.

De autoriteit voor digitale gezondheid krijgt op basis van artikel 19, tweede lid onder f, van de EHDS de taak om toe te zien op het NCPeH en bij te dragen aan de ontwikkeling van MyHealth@EU. Zie paragraaf 9 voor nadere toelichting. In de uitvoeringswetgeving van de EHDS zal nadere invulling worden gegeven aan de Autoriteit digitale gezondheid en nader worden uitgewerkt hoe het toezichtregime verandert en wat de verhouding tussen de betrokken toezichthouders zal zijn.

4.4.2 Afweging om wetsvoorstel doorgang te laten vinden

Ondanks de aanstaande ontwikkelingen in het kader van de implementatie van de EHDS, is besloten dat dit wetsvoorstel doorgang dient te krijgen. Voor het grensoverschrijdend uitwisselen van categorieën van gezondheidsinformatie onder de EHDS zal gebruik worden gemaakt van de MyHealth@EU infrastructuur. Het is van belang klaar te zijn met het inrichten van het NCPeH als bedoeld in dit wetsvoorstel, voordat de verplichtingen uit de EHDS van kracht worden. Rekening houdend met de implementatietermijn van de uitwisseling van een nieuwe categorie gezondheidsinformatie via het NCPeH-NL, hetgeen meerdere jaren in beslag kan nemen, dienen nu al keuzes worden gemaakt en stappen worden gezet in het mogelijk maken van de uitwisseling van gezondheidsinformatie via het NCPeH-NL. De techniek die nu ontwikkeld wordt voor het NCPeH-NL vormt de basis om te voldoen aan de verplichtingen uit de EHDS. Reeds nu zullen de nodige technische aanpassingen worden gedaan om te voldoen aan het nieuwe juridische kader, zoals de overgang naar opt-out. De huidige techniek vormt hiervoor geen belemmering. Het is daarom noodzakelijk de benodigde grondslagen voor grensoverschrijdende gegevensuitwisseling via het NCPeH-NL nu op te nemen in nationale wetgeving voor een rechtmatige verwerking. Bij de uitvoeringswetgeving van de EHDS zullen de nu gecreëerde grondslagen verder in lijn worden gebracht met de EHDS.

Via dit wetsvoorstel krijgen veldpartijen tevens nu alvast de mogelijkheid om ervaring op te doen met grensoverschrijdende gegevensuitwisseling via het NCPeH-NL, voordat aansluiting op het NCPeH-NL via de EHDS verplicht wordt gesteld. Een correcte toepassing van dit wetsvoorstel zal zodoende leiden tot een gemakkelijkere implementatie van de EHDS.

De Europese Commissie heeft voorts financieel bijgedragen aan de totstandkoming van het Nederlandse NCPeH. Om aanspraak te kunnen maken op deze financiële middelen moet reeds vóór de inwerkingtreding van de verplichtingen uit de EHDS worden voldaan aan specifieke (contractuele) verplichtingen rondom interoperabiliteit en de dienstverlening van het NCPeH-NL.

5. Verhouding tot nationale regelgeving

5.1 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)

Op grond van artikel 1, onder j, van de Wabvpz wordt een Elektronisch uitwisselingssysteem (EUS) gedefinieerd als een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder.

Om als EUS gekwalificeerd te worden is het ingevolge de definitie van artikel 1, onder j, van de Wabvpz onder meer van belang dat het een systeem betreft waarmee zorgaanbieders op elektronische wijze gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken. De Wabvpz gaat daarbij uit van een zorgaanbieder in de zin van artikel 1, onder c, van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Een zorgaanbieder in de zin van de Wkkgz is een instelling, dan wel een solistisch werkende zorgverlener die bedrijfsmatig of beroepsmatig zorg verlenen. Waarbij in de Wkkgz wordt bepaald dat onder zorg, Wlz-zorg, Zvw-zorg en andere zorg, moet worden verstaan. De zorgaanbieder in de andere lidstaat waarmee het NCPeH-NL uitwisselt valt echter niet onder de kwalificatie van zorgaanbieder in de zin van de Wkkgz, nu de Wkkgz niet op deze zorgaanbieder van toepassing is aangezien deze geen zorg verleent zoals bedoeld in de Wkkgz. Het NCPeH-NL kan daarom niet worden gekwalificeerd als een EUS in de zin van artikel 1, onder j, van de Wabpvz.

In reacties op de internetconsultatie voor het wetsvoorstel Nationaal Contactpunt is de vraag naar voren gekomen in hoeverre het niet zijn van een EUS van invloed is op de rechten van cliënten zoals opgenomen in de Wabvpz. De rechten voor cliënten zoals opgenomen in de Wabvpz zijn met name verplichtingen die van toepassing zijn op de zorgaanbieder.

Hier wordt door het wetsvoorstel niets aan gewijzigd. De verplichtingen vanuit de Wabvpz die wel van toepassing zijn op een EUS, zijn grotendeels in lijn met verplichtingen die al gelden voor verwerkingsverantwoordelijken onder de AVG. Deze zijn daarmee tevens van toepassing op het NCPeH-NL.

Het feit dat het NCPeH-NL geen EUS is heeft wel tot gevolg dat verplichte toepassing van de NEN-normen 7510, 7512 en 7513, zoals opgenomen in het Besluit elektronische gegevensverwerking door zorgaanbieders, niet van toepassing is op het NCPeH-NL. Dit heeft echter geen grote gevolgen, omdat het NCPeH-NL wordt beheerd door het CIBG, dat ressorteert onder de Minister van VWS, waarvoor het basisnormenkader voor informatiebeveiliging voor de overheid (Baseline Informatiebeveiliging Overheid, ook wel BIO genoemd) geldt. Ook gelden op basis van het MyHealth@EU-afsprakenstelsel Europese standaarden en afspraken, waaronder afspraken op het gebied van logging. Wat betreft de logging, moet worden opgemerkt dat de NEN 7513 niet geschreven is voor internationale uitwisseling. Er wordt onderzocht hoe gezamenlijk in de keten toch kan worden voldaan aan de vereisten uit de NEN 7513.

5.2 Wet op de geneeskundige behandelingsovereenkomst (WGBO) en Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)

Met dit wetstraject wordt geen wettelijke verplichting tot doorbreking van het beroepsgeheim van Nederlandse zorgverleners geregeld. Zoals beschreven in paragraaf 3.4 is er geen sprake van wijziging in de grondslagen voor doorbreking van het medisch beroepsgeheim zoals geregeld in de WGBO en Wet BIG en gelden gewoon de toestemmingsvereisten zoals daar geregeld.

5.3 Wet aanvullende bepalingen Burgerservicenummer (Wabb)

Op basis van artikel 10 Wabb kunnen overheidsorganen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun taak gebruik maken van het BSN. Indien de beheertaak voor het NCPeH bij een overheidsorgaan, zoals Onze Minister, is vastgelegd in de wet, kan voor deze taak het BSN worden verwerkt. Voor de grensoverschrijdende uitwisseling van het BSN met de nationale contactpunten voor eHealth in andere EU-lidstaten moet een basis worden gecreëerd (hiervoor is namelijk geen grondslag opgenomen in de Wabb). Voor de grensoverschrijdende uitwisseling van het BSN met andere EU-landen geldt het regime dat is neergelegd in artikel 46 UAVG, waaruit volgt dat de verwerking van het BSN bij wet in formele zin dient te zijn vastgelegd. Daar voorziet dit wetsvoorstel in.

5.4 Wet elektronische gegevensuitwisseling in de zorg (Wegiz)

Zoals in paragraaf 1.1 al is toegelicht, heeft dit wetsvoorstel enkel als doel om te voorzien in de wettelijke grondslagen voor het uitvoeren van een publieke taak en het verwerken van (bijzondere) persoonsgegevens in het kader van grensoverschrijdende uitwisseling van gezondheidsinformatie. De manier waarop de gegevens worden uitgewisseld tussen de zorgaanbieders binnen de lidstaten wordt niet in dit wetsvoorstel geregeld. De Wegiz richt zich op elektronische gegevensuitwisseling tussen zorgaanbieders in Nederland. Een nadere toelichting over de relatie met de Meerjarenagenda Wegiz staat beschreven in paragraaf 5.5.2.

5.5 Verhouding met andere nationale programma’s en initiatieven

5.5.1 Landelijk dekkend netwerk van infrastructuren en Landelijk Vertrouwensstelsel

De MyHealth@EU-infrastructuur is zo ingericht dat de nationale zorginformatiestelsels ongemoeid blijven en de grensoverschrijdende gegevensuitwisseling plaatsvindt via de NCPeH’s van de betreffende landen. Het zorginformatielandschap in Nederland is versnipperd.

Daarom neemt het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) de regie om samen met het zorgveld toe te werken naar een Landelijk Dekkend Netwerk. Een Landelijk Dekkend Netwerk is een netwerk van gekoppelde infrastructuren, dat zorgaanbieders en patiënten met elkaar verbindt voor het uitwisselen van gezondheidsgegevens. Het NCPeH-NL zal onderdeel worden van het Landelijk Dekkend Netwerk. Er zal samenhang tussen beide trajecten worden geborgd.

Het doel van het project Landelijk Vertrouwensstelsel is ook om de versnippering van vertrouwensafspraken binnen het nationale zorginformatiestelsel tegen te gaan en in plaats daarvan te komen tot gestandaardiseerde, geharmoniseerde en geüniformeerde vertrouwensafspraken. Deze afspraken worden bij voorkeur vastgelegd op één plek. Zorgaanbieders en leveranciers hebben hierdoor meer duidelijkheid en zekerheid over de voorwaarden waaronder gegevensuitwisseling en databeschikbaarheid plaatsvinden.

Dit draagt bij aan de veiligheid en betrouwbaarheid van digitale zorgsystemen en bevordert een efficiënte(re) samenwerking tussen verschillende zorgsectoren. Door het Twiin Afsprakenstelsel te kiezen als de centrale plek voor het vastleggen van vertrouwensafspraken, is er nu een eerste basisversie van het Landelijk Vertrouwensstelsel van waaruit het stelsel kan doorgroeien. Binnen het project wordt voor de langere termijn gekeken naar de integratie van het Landelijk Vertrouwensstelsel in het bredere gezondheidsinformatiestelsel, zoals beschreven in de Nationale Visie en Strategie (NVS) en dat aansluit bij de verplichtingen uit de European Health Data Space (EHDS).

5.5.2 Meerjarenagenda Wegiz

Op de Meerjarenagenda Wegiz staan de gegevensuitwisselingen die geschikt zijn om als eerste verplicht elektronisch te laten verlopen. Er zit overlap en verschil tussen de gegevensuitwisselingen uit de Meerjarenagenda Wegiz en de categorieën van gezondheidsinformatie die straks elektronisch beschikbaar gesteld moet gaan worden ingevolge de EHDS. Er wordt onderzocht welke van de elementen uit de categorieën gezondheidsinformatie die op grond van de EHDS beschikbaar gesteld moet worden al in Nederland worden ingebouwd in systemen en zorgprocessen voor de geprioriteerde gegevensuitwisselingen van de Meerjarenagenda van de Wegiz, en hoe samenhang tussen beide kan worden geborgd.²⁶

6. Effecten van het Wetsvoorstel

Dit hoofdstuk geeft een overzicht van de effecten die het wetsvoorstel naar verwachting op de Nederlandse samenleving zal hebben, met uitzondering van de zuiver financiële gevolgen (zie paragraaf 7 van dit algemeen deel).

6.1 Gevolgen voor zorgaanbieders en zorgverleners

Zorgaanbieders die gebruik willen maken van de dienstverlening van het NCPeH-NL voor het ophalen van gegevens over een cliënt uit een andere lidstaat hebben van rechtswege toegang als zij voldoen aan de regels die bij of krachtens AMvB worden gesteld. Zorgaanbieders en de onder hen ressorterende zorgverleners hoeven hiertoe enkel in te loggen via een portaal op de website van het NCPeH-NL.

Het is aan de zorgaanbieder om de onder hem ressorterende zorgverleners te instrueren over het inlogproces en de wijze waarop via het portaal gegevens kunnen worden opgevraagd.

Voor zorgaanbieders die via het NCPeH-NL als bron gegevens van Nederlandse cliënten via het NCPeH-NL beschikbaar willen stellen aan zorgaanbieders in het buitenland zal een koppeling gemaakt worden met NCPeH-NL. Hiertoe zullen zij een overeenkomst met het NCPeH-NL moeten sluiten. De koppeling kan ook plaatsvinden via een EUS of andere systemen die directe elektronische opvraging mogelijk maken. Zorgaanbieders zullen er zelf voor moeten zorgdragen dat zij voldoen aan de WGBO en de AVG als het gaat om de grondslag voor doorbreking van het medisch beroepsgeheim en het verwerken van (bijzondere) persoonsgegevens.

Het inregelen kan tijdelijk een intensivering van de werkdruk aan de zijde van zorgaanbieders en de onder hen ressorterende zorgverleners tot gevolg hebben. Zo zullen onder meer het inrichten en/of wijzigen van processen en het trainen van personeel tijd vergen. Op de lange termijn zal dit wetsvoorstel een vermindering van de werkdruk tot gevolg hebben. Een onder de zorgaanbieder ressorterende zorgverlener zal sneller en eenvoudiger over noodzakelijke medische informatie beschikken en kan zo passende zorg verlenen. Bovendien zal gezondheidsinformatie zoals de patiëntsamenvatting in de Nederlandse taal en in de moedertaal van de cliënt beschikbaar komen, waardoor de kans op miscommunicatie wordt verkleind. Gelet op het voorgaande zal dit wetsvoorstel ook positieve gevolgen hebben voor de kwaliteit van de zorg.

6.2 Gevolgen voor burgers

Het wetsvoorstel heeft positieve gevolgen voor burgers doordat gezondheidsgegevens bij grensoverschrijdende zorg uitgewisseld kunnen worden met de zorgaanbieder in het land waar de behandeling plaatsvindt. Dit verkleint het risico op vermijdbare fouten, voorkomt dat gegevens opnieuw moeten worden aangeleverd en vermindert het aantal onnodige onderzoeken.

Dit heeft een positief effect op de kwaliteit van zorg voor de cliënt en op de kosten die cliënten moeten maken als zij behandeld worden.

Het wetsvoorstel vraagt wel wat van het doenvermogen van burgers. Als burgers uit Nederland willen dat hun gezondheidsgegevens beschikbaar kunnen worden gesteld aan zorgaanbieders in andere lidstaten wanneer zij (ongeplande) zorg nodig hebben, dienen zij hiervoor hun toestemming vast te leggen. De toestemming die gegeven is door de cliënt voor nationale uitwisseling is in elk geval niet voldoende voor de grensoverschrijdende uitwisseling. Hiervoor zal de cliënt op basis van een nieuwe toestemmingsvraag opnieuw toestemming moeten geven via een (online) toestemmingsvoorziening. Een burger die moeite heeft om zelfstandig toestemming te registreren, kan dit samen met een zorgverlener doen.

Het verwerken van (bijzondere) persoonsgegevens heeft effect op de privacy van een individu. Echter, de burger heeft de controle om te beslissen of de gezondheidsgegevens mogen worden uitgewisseld met zorgaanbieders in andere lidstaten. Indien de burger geen toestemming geeft, worden geen gegevens uitgewisseld.

6.3 Gevolgen voor IT-leveranciers en -dienstverleners

Nederlandse zorgaanbieders kunnen, afhankelijk van de gevraagde categorie van gezondheidsinformatie, als bron van gegevens over de cliënt fungeren. IT-leveranciers en -dienstverleners vervullen hierbij een ondersteunende rol. Daarnaast moet de software van de leverancier ingericht zijn op het beantwoorden van een verzoek om gegevens voor het vullen van de patiëntsamenvatting. Het uitgangspunt is om zoveel mogelijk gebruik te maken van bestaande interacties, zodat dit wetsvoorstel weinig extra ontwikkelwerk vergt van leveranciers. Voor toekomstige categorieën van gezondheidsinformatie kan dit echter anders zijn, het is nog onduidelijk of dit veel ontwikkelwerk vergt.

6.4 Gevolgen voor de overheid

6.4.1 Gevolgen toezicht en handhaving

De Autoriteit Persoonsgegevens (AP) is verantwoordelijk voor de bestuurlijke handhaving op de gegevensverwerkingen die in het kader van dit wetsvoorstel plaatsvinden. In onderhavig geval gaat het om een bestaande taak van de AP binnen de werkingssfeer van de AVG. Het verwerken van meer persoonsgegevens leidt niet automatisch tot meer klachten en toezichtsactiviteiten door de AP. De verwerking van persoonsgegevens dient zorgvuldig te gebeuren en daartoe moeten de normen uit de AVG verankerd zijn in de primaire processen van de betrokken organisaties. Goed toezicht op de naleving hiervan is een onmisbaar onderdeel, maar investeringen in maatregelen aan de voorkant borgen een goede toepassing van de gegevensbeschermingsvereisten uit de AVG.

6.4.2 Gevolgen voor Caribisch Nederland

Dit wetsvoorstel heeft geen gevolgen voor Caribisch Nederland. Met het wetsvoorstel wordt niet beoogd om verwerkingen buiten de Europese Economische Ruimte (EER) te laten plaatsvinden.

6.5 Gevolgen voor de gegevensbescherming (DPIA)

In de fase van beleidsontwikkeling is een gegevensbeschermingseffectbeoordeling (data protection impact assessment, DPIA) uitgevoerd op dit wetsvoorstel. Met behulp hiervan is de noodzaak onderzocht van de voorgenomen verwerkingen van persoonsgegevens en zijn op gestructureerde wijze de gevolgen en risico’s van de maatregelen en het systeem voor gegevensbescherming in kaart gebracht.

Zoals eerder beschreven en zoals uit de DPIA volgt, wijzigt dit wetsvoorstel niets aan de grondslag voor de Nederlandse zorgverlener voor het doorbreken van het beroepsgeheim en niets aan de zeggenschap van burgers over gezondheidsgegevens. Voorafgaand aan het delen van gegevens met zorgaanbieders uit andere lidstaten die de cliënt onder behandeling hebben (via de NCPeH’s), is uitdrukkelijke toestemming van de betrokkene vereist.

Zoals uit de DPIA volgt, leidt het wetsvoorstel ertoe dat bestaande risico’s bij gegevensuitwisseling tussen zorgaanbieders naar verwachting een grotere impact zullen hebben. Het gaat daarbij met name om de risico’s dat gegevens onrechtmatig opgevraagd (en vervolgens geraadpleegd) worden. Deze risico’s bestaan ook bij uitwisseling tussen zorgaanbieders binnen Nederland.

De impact van onrechtmatige opvraging zal echter onder dit wetsvoorstel naar verwachting groter zijn, omdat gegevens nu ook door zorgaanbieders vanuit andere lidstaten kunnen worden opgevraagd en daarmee het aantal uitwisselingen kan toenemen. Het risico op onbevoegde opvraging wordt zoveel mogelijk gemitigeerd. Zoals beschreven in paragraaf 3.2 moeten alle NCPeH’s binnen de infrastructuur van MyHealth@EU voldoen aan de specifieke Europese vereisten en zijn gebonden aan dezelfde Europese overeenkomsten als het gaat om uitwisseling van gegevens op het terrein van semantiek, technische standaarden en veiligheid. Dit creëert een «circle of trust» tussen de verschillende NCPeH’s. Door middel van audits door een gecertificeerde onafhankelijke partij wordt ook getoetst of wordt voldaan aan alle subsidie- en aansluiteisen vanuit de EC. Bij aansluiting door een lidstaat op het MyHealth@EU-netwerk gelden verschillende waarborgen die zijn opgenomen in het MyHealth@EU-afsprakenstelsel om ervoor te zorgen dat Europese zorgaanbieders rechtmatig gegevens opvragen:

– Pas wanneer er sprake is van een behandelrelatie mag een onder de zorgaanbieder ressorterende zorgverlener uit Nederland of een andere lidstaat gegevens opvragen in het belang van de behandeling van de cliënt. Deze behandelrelatie moet bevestigd worden door de onder de zorgaanbieder ressorterende zorgverlener bij het opvragen van gegevens.

– De Nederlandse cliënt kan de uitdrukkelijke toestemming voor uitwisseling met andere lidstaten registreren in een (online) toestemmingsvoorziening. Indien een cliënt geen toestemming heeft geregistreerd, kan de uitwisseling technisch niet plaatsvinden. De cliënt kan de toestemming voor uitwisseling aan en uit zetten zodat het mogelijk is om alleen tijdelijk toestemming te geven voor uitwisseling, bijvoorbeeld tijdens de vakantie. Bevragingen buiten de aangegeven periode zijn dan niet mogelijk. Tevens kan de cliënt ervoor kiezen om altijd een melding te krijgen vanuit de online toestemmingsvoorziening (OTV) als een opvraging uit een andere lidstaat is gedaan. Daarmee kan de cliënt controleren of sprake is geweest van een onrechtmatige opvraging.

– De behandelend zorgverlener uit een andere lidstaat die gegevens nodig heeft van een Nederlandse cliënt en de onder de Nederlandse zorgaanbieder ressorterende zorgverlener die gegevens wil opvragen van een cliënt uit een andere lidstaat, moet zich authentiseren bij het NCPeH, waarbij Europese en nationale wet- en regelgeving gevolgd dienen te worden. Binnen Europa is afgesproken dat op betrouwbaarheidsniveau «hoog» geauthentiseerd moet worden²⁷.

– Een onder de zorgaanbieder ressorterende zorgverlener moet geautoriseerd zijn door de betreffende lidstaat om een opvraging te kunnen doen. Ieder land heeft lokale wet- en regelgeving die bepaalt welk type zorgverleners geautoriseerd is. Deze lokale wet- en regelgeving wordt tevens getoetst bij de audit vanuit de Europese Commissie.

– Alle bevragingen worden gelogd, de logging bevat Unieke Zorgverlener Identificatie (in)nummers van betrokken onder de zorgaanbieder ressorterende zorgverleners (respectievelijk hun equivalenten in andere lidstaten); auditgegevens over het bestaan van een behandelrelatie en de rolcodes van de zorgverlener. Indien onrechtmatig wordt opgevraagd kan door middel van de logging (net zoals bij uitwisseling tussen zorgaanbieders in Nederland) worden achterhaald door wie de opvraging is gedaan.

– Ten slotte bestaat de mogelijkheid, indien een lidstaat zich niet houdt aan de criteria en vereisten, dat deze door middel van afgesproken procedures door de Europese Commissie wordt afgesloten. Tevens kan het NCPeH-NL op landcode bepalen of bevragingen vanuit een bepaalde lidstaat worden stopgezet.

Uit de DPIA komt tevens een nieuw risico naar voren; in de huidige situatie is het standpunt dat de lidstaten als afzonderlijk verwerkingsverantwoordelijken worden beschouwd. Hierbij is in termen van verdeling van verwerkingsverantwoordelijkheid een opmerkelijke situatie ontstaan. In overwegingen 20 en 21 van het uitvoeringsbesluit (EU) 2019/1765 wordt de noodzaak benoemd om de onderlinge verwerkingsverantwoordelijkheid van de lidstaten af te kaderen.

Dit is evenwel nog niet gebeurd. Hierdoor is een situatie ontstaan waarin waarschijnlijk sprake is van gemeenschappelijke verwerkingsverantwoordelijkheid van de lidstaten, zonder een onderlinge regeling als bedoeld in artikel 26 AVG.

Dit is wél vastgelegd in het EHDS-verordening, hierin is vastgesteld dat sprake is van gezamenlijke verwerkingsverantwoordelijkheid van de lidstaten voor de MyHealth@EU-infrastructuur. De EHDS is op 26 maart 2025 in werking getreden.

De gepaste maatregel in dit geval is een zogenaamd artikel 26 AVG protocol, waarin de afbakening van de verwerkingsverantwoordelijkheden en de rechten van betrokkenen onderling wordt geregeld tussen de lidstaten. Zolang deze voorgenomen maatregel nog niet is geïmplementeerd wordt hiervoor door het NCPeH-NL een zorgvuldige procedure opgesteld waarbij deze afbakening wordt vastgelegd en helder is voor de betrokkene op welke wijze de rechten kunnen worden uitgeoefend.

Om de taken van het NCPeH-NL te kunnen uitvoeren, verwerkt de Minister van VWS (bijzondere) persoonsgegevens. De Minister van VWS is verwerkingsverantwoordelijke. Het NCPeH-NL verwerkt deze gegevens ten behoeve van uitwisseling tussen zorgaanbieders in Nederland en zorgaanbieders in een andere lidstaat die de cliënt onder behandeling hebben. Het NCPeH-NL vraagt bij de zorgaanbieder de medische gegevens op die noodzakelijk zijn voor het samenstellen van de betreffende categorie van gezondheidsinformatie (zoals patiëntsamenvatting). Het NCPeH-NL voegt de ontvangen gegevens samen en converteert deze naar het formaat van de betreffende categorie gezondheidsinformatie.

Hierbij worden de gezondheidsgegevens vertaald naar Europese coderingen. Het NCPeH-NL verstrekt de gezondheidsinformatie aan het NCPeH van het B-land via de MyHealth@EU-infrastructuur. Het NCPeH-NL, en daarmee de Minister van VWS, verwerkt daarmee (bijzondere) persoonsgegevens, maar de gegevens uit de categorie van gezondheidsinformatie worden niet opgeslagen door het NCPeH-NL. Alleen de voor logging noodzakelijke gegevens worden bewaard. De gehele verwerking neemt ongeveer 10 seconden in beslag. De inhoud van bijvoorbeeld een patiëntsamenvatting is niet inzichtelijk voor een technisch- of functioneel beheerder van NCPeH-NL.

6.6 Effecten op de arbeidsmarkt

Het wetsvoorstel kan effecten hebben op de werkgelegenheid en arbeidsvoorwaardenontwikkeling in de zorg. In de huidige situatie heeft de onder de Nederlandse zorgaanbieder ressorterende zorgverlener, die zorg verleent aan een cliënt uit een andere Europese lidstaat lang niet altijd de beschikking over de gezondheidsgegevens over deze cliënt. Het aantal opnamen en dagopnamen in Nederlandse ziekenhuizen bedroeg in 2012 bijna 13.500, waarvan 10.036 (90%) uit een ander Europees land.²⁸ Zoals al eerder is benoemd ontstaat door het gebrek aan medische informatie druk op de kwaliteit van de zorg en op de zorgkosten, wat weer leidt tot negatieve beeldvorming over de zorg als arbeidsmarkt. Door de grensoverschrijdende gegevensuitwisseling via de MyHealth@EU-infrastructuur te bewerkstelligen zal de druk op de zorg, in geval van de zorgverlening aan cliënten uit andere lidstaten, worden weggenomen. Het gevolg is dat meer tijd overblijft voor de zorg voor de cliënt of dat de schaarse capaciteit op een andere manier beter kan worden benut. Wanneer dit wordt gerealiseerd, kan het werkplezier toenemen en de beeldvorming over de zorg als arbeidsmarkt positief veranderen. Aangezien de zorgsector kampt met tekorten aan personeel en de vraag naar voldoende opgeleid zorgpersoneel de komende jaren naar verwachting alleen maar toeneemt, is de verwachting dat geen banen komen te vervallen als gevolg van het automatiseren van werkzaamheden.

6.7 Fraude

Het wetsvoorstel regelt enkel de wettelijke taak en de grondslagen voor de beheerder van het NCPeH-NL voor het verwerken van (bijzondere) persoonsgegevens ten behoeve van grensoverschrijdende uitwisseling van zorggegevens. Het berichtenverkeer tussen het NCPeH-NL en de andere Europese NCPeH’s verloopt via een beveiligd netwerk dat is opgesteld conform een Europees vastgestelde standaard, welke wordt beheerd door de EC en in Nederland door Stichting RINIS. De uitwisseling van (bijzondere) persoonsgegevens tussen de lidstaten brengt echter wel een risico mee dat de gegevens onrechtmatig worden opgevraagd. Zo bestaat de mogelijkheid dat het NCPeH-NL onrechtmatig wordt bevraagd vanuit een andere lidstaat.

In paragraaf 6.5 uitgebreid ingegaan op het mitigeren van het risico op onterechte bevragingen.

Daarnaast wordt verwacht dat door dit wetsvoorstel het aantal opvragingen zal toenemen. Dit kan de impact van identiteitsfraude of fouten in zorgregistratie versterken. Wat nu nog een geïsoleerde fout kan zijn, kan gaan doorwerken in ketens van de zorgaanbieders.

Het is aan de zorgaanbieder en de onder de zorgaanbieder ressorterende zorgverlener als directe behandelaar om te controleren of de gegevens juist en actueel zijn, zoals dat overigens ook bij andere vormen van gegevensuitwisseling noodzakelijk is.

7. Financiële gevolgen en regeldruk

7.1 Overheid

Het wetsvoorstel heeft potentieel maatschappelijke positieve financiële gevolgen. Door de beschikbaarheid van gezondheidsgegevens over de grens kunnen onnodige onderzoeken en behandelingen worden voorkomen, wat leidt tot lagere zorgkosten.

7.2 Zorgaanbieders

Dit wetsvoorstel heeft in mindere mate financiële gevolgen voor zorgverleners en zorgaanbieders. De inspanningen komen voort uit de bekostiging van de eigen activiteiten van de zorgaanbieders die benodigd zijn om toegang te hebben tot het NCPeH-NL. Dit omvat onder andere het inrichten en/of wijzigen van processen, het trainen van eigen personeel en andere acties die benodigd zijn als onderdeel van de toegang.

Het wetsvoorstel heeft potentieel ook structurele positieve financiële effecten voor zorgaanbieders. Wanneer gegevens over cliënten niet toegankelijk zijn, kan dit een aanzienlijke belemmering zijn voor de kwaliteit van de te verlenen zorg. Zonder deze informatie kan het diagnosticeren bemoeilijkt worden, en genetische factoren en allergieën over het hoofd worden gezien. Dit kan leiden tot vertraagde behandeling en zelfs de veiligheid van de cliënt in gevaar brengen. Onder de zorgaanbieder ressorterende zorgverleners verliezen tijd met (extra) administratieve handelingen, bijvoorbeeld omdat ze moeten wachten totdat een zorgaanbieder in het land van herkomst de gegevens verstrekt. Dit is tijd die ten koste gaat van de zorgverlening aan de cliënt. Bovendien kan het niet inzichtelijk zijn van gegevens ertoe leiden dat zorgaanbieders onnodige, soms kostbare, onderzoeken (over) moeten doen. Hierdoor lopen de zorgkosten onnodig op. Het faciliteren van de grensoverschrijdende uitwisseling van gezondheidsgegevens zal derhalve een besparing van de zorgkosten opleveren.

7.3 Cliënten

Het wetsvoorstel heeft potentieel financiële gevolgen voor cliënten (en zorgverzekeraars). Doordat gezondheidsgegevens over de grens beschikbaar zijn, kunnen onnodige onderzoeken en behandelingen voorkomen worden. Dit leidt tot lagere zorgkosten en eventuele eigen bijdrage van cliënten.

7.4 Effecten regeldruk

Dit wetsvoorstel regelt uitsluitend de wettelijke taak voor de Minister van VWS voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL en tevens de benodigde grondslagen voor het verwerken van (bijzondere) persoonsgegevens voor het uitvoeren van deze taak door het NCPeH-NL. Zoals al eerder benoemd is het NCPeH-NL ondergebracht bij het CIBG. Nu dit een overheidsinstelling betreft, zal dit wetsvoorstel geen gevolgen hebben voor de regeldruk voor burgers en het bedrijfsleven.

De verdere uitwerking van het wetsvoorstel zal plaatsvinden via een AMvB. Hierbij wordt onder andere uitgewerkt onder welke voorwaarden een zorgaanbieder toegang heeft tot het NCPeH-NL en onder welke voorwaarden deze toegang kan worden opgeschort of ontzegd. Ook de introductie van nieuwe categorieën van grensoverschrijdende digitale gezondheidsinformatie zal via een AMvB verlopen. Pas bij de uitwerking van de AMvB zal duidelijk worden welke gegevens tussen welke partijen worden uitgewisseld en wat de gevolgen zijn voor de betrokken partijen. Dit betekent dat de regeldrukeffecten van het wetsvoorstel pas concreet worden bij de uitwerking van de AMvB’s.

8. Uitvoering

Op basis van de Richtlijn 2011/24/EU wijst een lidstaat een NCPeH aan. Onderzoeksbureau M&I heeft in een eerder stadium de geschiktheid van verschillende organisaties om het beheer van het NCPeH-NL onder te brengen onderzocht. Het rapport concludeerde dat het beheer van het NCPeH het beste kan worden toegewezen aan een overheidsorganisatie die de capaciteiten en de domeinkennis heeft om namens VWS regie te voeren over de inrichting en uitvoering van de taken van het NCPeH in Nederland. De uitvoerende taken kunnen gescheiden worden van de regietaken en kunnen belegd worden bij andere organisatie. In 2018 heeft VWS een subsidie gekregen van de EC voor de realisatie van een Nederlands NCPeH om aan te sluiten op MyHealth@EU voor het grensoverschrijdend uitwisselen van medische informatie. De inrichting van een NCPeH moet gebeuren conform de Europese richtlijnen en regelgeving. De EC toetst lidstaten uitgebreid op de naleving van deze eisen. Doordat de implementatie van het NCPeH conform EU vereisten dient te geschieden en de naleving ervan structureel wordt gemonitord, ligt de verantwoordelijkheid voor naleving bij de lidstaat, en daarmee de overheid (VWS). In de door VWS ondertekende subsidievoorwaarden is tevens opgenomen dat het NCPeH op nationaal niveau moet worden geïmplementeerd, onder de politieke verantwoordelijkheid van de Minister van VWS. Om volledige regie te kunnen voeren op het nemen van deze verantwoordelijkheid is er daarom voor gekozen het beheer, inclusief de uitvoering, van het NCPeH toe te wijzen aan een publieke organisatie waarop de Minister van VWS, al dan niet directe, sturing heeft.

Op grond van dit wetsvoorstel is de Minister van VWS belast met de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL. De Minister van VWS krijgt hiermee een rol in de verwerking van (bijzondere persoonsgegevens) in het primaire zorgproces. Een publiekrechtelijke organisatie is in beginsel de aangewezen organisatie om de publiek taak, namens de Minister uit te voeren. In het onderzoeksrapport van M&I worden het CIBG en het CAK genoemd als de voornaamste partijen. Het CIBG is gezien diens huidige voorzieningen, het meest passend. Het CIBG heeft de benodigde ervaring in het beheer van registers, verwerken van (gecertificeerde) gegevens en het bieden van dienstverlening aan zorg professionals. In juni 2019 is besloten dat het CIBG namens de Minister van VWS het NCPeH-NL zal gaan beheren. Het CIBG heeft in 2019 een uitvoeringstoets gedaan en aangegeven deze taak te kunnen en willen uitvoeren.

Om de taken van het NCPeH-NL te kunnen uitvoeren, verwerkt het CIBG, namens de Minister van VWS (bijzondere) persoonsgegevens. De Minister van VWS is verwerkingsverantwoordelijke. Het NCPeH-NL verwerkt deze gegevens ten behoeve van uitwisseling tussen zorgaanbieders in Nederland en zorgaanbieders in een andere lidstaat die de patiënt onder behandeling hebben. Onder paragraaf 3.2.5 zijn de waarborgen beschreven.

Conform de Europese kaders houdt de beheertaak voor het NCPeH-NL onder meer in:

– Regie en audit: het (beleggen van) de wettelijke/contractuele afspraken en de verantwoording aan de EU in de vorm van auditeren, conformeren en testen aan de hand van Europese kaders.

– Aanbieden diensten: zorgdragen voor het operationeel beheer van de technische faciliteiten, het leveren van de ondersteuning aan de gebruikers, en het inrichten en onderhouden van de software volgens de Europese richtlijnen.

– Terminologiediensten: het maken en beheren van de vertaaltabellen om semantische interoperabiliteit te bereiken, de Master ValueSet Catalogue.

– NCPeH-NL portaal en applicatie: onderhouden van de software die als portaal dient voor de uitwisseling van de data.

– Verbinding MyHealth@EU: zorgdragen voor de technische aansluiting op het MyHealth@EU-netwerk, zodat het berichtenverkeer tussen het NCPeH-NL en de contactpunten van andere lidstaten goed verloopt.

– Aansluiting zorgaanbieders: zorgdragen voor de technische aansluiting op wat genoemd wordt «de lokale zorginfrastructuur», zodat het berichtenverkeer tussen de Nederlandse zorgaanbieders en het NCPeH-NL goed verloopt.

– Stakeholdermanagement: zorgaanbieders/gebruikers ondersteunen bij de implementatie van gezondheidsinformatiediensten en de (technische) aansluiting op de NCPeH-NL infrastructuur. Kennis-inhoudelijke ondersteuning bieden aan zorgaanbieders/gebruikers faciliteren van contacten en kennisuitwisseling tussen zorgaanbieders.

Voor het uitwisselen van categorieën van gezondheidsinformatie behelst de taak van het NCPeH-NL:

– Het controleren en authentiseren van zorgaanbieders (gebruikers).

– Het bieden van een service voor het controleren van de cliëntidentiteit.

– Het opvragen van relevante cliëntgegevens bij bronsystemen.

– Het samenvoegen en eventueel converteren van gegevens naar het formaat van de betreffende categorie gezondheidsinformatie.

– Het vertalen van codes vanuit Nederlandse codestelsels naar het intermediaire formaat.

9. Toezicht en handhaving

De AP heeft ingevolge artikel 57 van de AVG en artikel 6, derde lid, UAVG tot taak toe te zien op de verwerking van persoonsgegevens overeenkomstig deze verordening en wet. De bestuursrechtelijke handhaving is ingevolge artikel 51 AVG in samenhang met artikel 14 UAVG toebedeeld aan de AP.

De instrumenten die aan de AP zijn toegekend om de regels te kunnen handhaven staan in de artikelen 58, tweede lid, 83 en 84 AVG en in paragraaf 2.2 UAVG. De AP kan bijvoorbeeld een administratieve boete opleggen wanneer er sprake is van inbreuk op de artikelen 5, 6 of 9 AVG (artikel 83, vijfde lid, AVG). Verder kan de AP bijvoorbeeld een waarschuwing geven, een berisping opleggen, of een verwerkingsverbod opleggen (artikel 58, tweede lid, onder a, b en f) als er (waarschijnlijk) sprake is van inbreuk op de AVG. Ook kan de AVG een last onder dwangsom opleggen ter handhaving van de bij of krachtens de AVG gestelde plichten (artikel 16, eerste lid, UAVG). Daaronder vallen – na inwerkingtreding van dit wetsvoorstel – ook de hierboven genoemde bijkomende voorwaarden die gestoeld zijn op artikel 9, vierde lid, AVG. Artikel 15 UAVG regelt het aanwijzen van toezichthouders en geeft aan welke bevoegdheden de toezichthouders hebben, in aanvulling op de bevoegdheden zoals beschreven in titel 5.2 Algemene wet bestuursrecht.

Zoals in paragraaf 4.4 aangegeven verandert met de implementatie van de EHDS het toezichtregime. De Autoriteit voor digitale gezondheid krijgt op basis van artikel 19, tweede lid onder f, van de EHDS de taak om toe te zien op het nationale contactpunt voor digitale gezondheid en bij te dragen aan de ontwikkeling van MyHealth@EU. Dit houdt in dat de Autoriteit voor digitale gezondheid het NCPeH-NL aanstuurt en in die rol toeziet op het dagelijks functioneren van het NCPeH-NL en nagaat of die daarbij voldoet aan de Europese technische vereisten zoals bedoeld in artikel 23, vierde lid, van de EHDS. Dit is van belang om te borgen dat het NCPeH-NL voldoet aan de aansluitvoorwaarden waarop de Europese Commissie nalevingscontroles uitvoert (artikel 23, negende lid, EHDS). Naast dit toezicht op de technische vereisten is van belang dat wordt toegezien op de gegevensverwerkingen door het NCPeH-NL en dat het functioneren van het NCPeH-NL geen belemmering vormt voor de kwaliteit van zorg.

Binnen het huidige juridische kader zal de Autoriteit Persoonsgegevens toezicht houden op de rechtmatige verwerking van persoonsgegevens. De AP is verantwoordelijk voor zowel het toezicht op de toepassing van de AVG, als op verwerkingen van persoonsgegevens in nationale wet- en regelgeving zoals de Wabvpz. De IGJ houdt toezicht op de informatieveiligheid op grond van de Wabvpz, wat in dit geval inhoudt dat de IGJ toezicht houdt op de informatieveiligheid wanneer voor de verstrekking van gegevens aan het NCPeH-NL, ten behoeve van zorg aan Nederlandse cliënten in een andere lidstaat, gebruik wordt gemaakt van een elektronisch uitwisselingssysteem, zoals het Landelijk Schakelpunt (LSP). Waar het gaat om het inloggen in het portaal van het NCPeH-NL ten behoeve van het opvragen van gegevens over een cliënt uit een andere lidstaat, ziet dat toezicht – na inwerkingtreding van de Wet digitale identificatie en authenticatie in de zorg, waarin het toezicht- en handhavingsinstrumentarium wordt uitgebreid ten aanzien van de intrekking of schorsing van identificatiemiddelen met betrouwbaarheidsniveau hoog – mede op veiligheid van de inlogmiddelen. In de uitvoeringswetgeving van de EHDS zal nadere invulling worden gegeven aan de Autoriteit digitale gezondheid en worden uitgewerkt hoe het toezichtregime verandert en wat de verhouding tussen de betrokken toezichthouders zal zijn.

10. Advies en consultatie

10.1 Internetconsultatie

De internetconsultatie van het wetsvoorstel tot wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg in verband met Richtlijn (EU) 2011/24 van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg is gestart op 21 juni 2024 en is gesloten op 2 augustus 2024. Daarmee heeft de internetconsultatie zes weken open gestaan. De consultatie heeft 21 reacties opgeleverd. Het belang van toegang tot elektronische gezondheidsgegevens voor zorgaanbieders in een andere lidstaat, wanneer zij een Nederlandse burger onder behandeling hebben, wordt door verschillende veldpartijen in de reacties op de internetconsultatie onderschreven. Hetzelfde geldt voor het belang van de Nederlandse zorgaanbieder om te kunnen beschikken over de gezondheidsgegevens van een burger uit een andere lidstaat die door hen wordt behandeld. Er zijn een aantal aandachtspunten meegegeven die nadere duiding, dan wel aanpassing van het voorstel vragen. Hierna wordt ingegaan op de hoofdlijnen uit de internetconsultatie en de veranderingen die naar aanleiding hiervan in het wetsvoorstel zijn aangebracht.

10.1.1 Ophelderen probleemstelling

In de reacties op de internetconsulatie is verzocht om de probleemstelling van het wetsvoorstel nader te duiden. Daarom wordt dit hierna nader toegelicht.

Steeds meer mensen die in de Europese Unie wonen, steken de landsgrenzen over om te werken, te studeren, familieleden te bezoeken of om andere redenen. Deze toegenomen mobiliteit van burgers tussen landen in de EU maakt dat steeds meer mensen een beroep doen op zorg buiten hun eigen land. Het tijdig toegang hebben tot elektronische gezondheidsgegevens voor de diagnose en behandeling van een cliënt is cruciaal. Deze persoonlijke elektronische gezondheidsgegevens kunnen persoonsgegevens omvatten die verband houden met de lichamelijke of geestelijke gezondheid van de cliënt, waaronder gegevens over de medische voorgeschiedenis, de diagnoses en behandelingen, de medicaties, allergieën, vaccinaties, radiologische beelden, laboratoriumresultaten en andere medische gegevens.

Tijdige en volledige toegang van zorgaanbieders tot de gezondheidsgegevens van hun cliënten is van fundamenteel belang om de continuïteit van de zorg te waarborgen, dubbel werk en fouten te voorkomen en de kosten te drukken. Door een gebrek aan interoperabiliteit tussen lidstaten hebben zorgaanbieders in veel gevallen echter geen toegang tot de elektronische gegevens over de gezondheid van hun cliënt, wanneer diegene in een andere lidstaat woont. Dit maakt het lastiger om optimale medische beslissingen te nemen, wat zowel voor het gezondheidszorgstelsel als voor de natuurlijke personen aanzienlijke kosten met zich meebrengt en tot slechtere gezondheidsresultaten voor natuurlijke personen kan leiden.

Recentere cijfers ontbreken, maar in 2014 had 2% van de Nederlandse burgers ongeplande zorg nodig in een ander Europees land en ging 1% van de Nederlands naar het buitenland voor geplande zorg.

10.1.2 Zorgen over misbruik

In de reacties op de internetconsultatie zijn zorgen geuit over oneigenlijk gebruik van of toegang tot de gezondheidsgegevens van burgers. Over de gehele keten zijn waarborgen ingebouwd om de kans op misbruik zo klein mogelijk te maken. Er is in de memorie een paragraaf opgenomen waarin de waarborgen van de infrastructuur zijn beschreven, dit wordt in paragraaf 3.2.5 nader toegelicht.

Tevens werd ten onrechte aangenomen dat het NCPeH-NL medische gegevens uit de categorieën van gezondheidsinformatie opslaat. Het wetsvoorstel leidt echter op geen enkele wijze tot centrale opslag van gegevens uit medische dossiers die worden gebruikt voor het samenstellen van de gezondheidsinformatie. De gegevens afkomstig van de zorgdiensten worden niet opgeslagen door het NCPeH-NL. Alleen de voor logging noodzakelijke gegevens worden bewaard, zowel ten behoeve van de onweerlegbaarheid van gegevensuitwisseling als voor beveiligingsdoeleinden (zoals het voorkomen en opsporen van misbruik). Naar aanleiding van een suggestie uit de internetconsultatie is in het wetsvoorstel een nieuw artikel toegevoegd dat regelt dat per AMvB nader wordt uitgewerkt welke gegevens worden bewaard (zoals die noodzakelijk zijn voor logging) en welke bewaartermijnen hiervoor gelden.

In artikel 15o, vierde en vijfde lid, is onder andere geregeld dat per AMvB nader kan worden geregeld welke gegevens tussen wie zullen worden uitgewisseld, welke eisen aan beveiliging worden gesteld en welke bewaartermijnen gelden. Hoewel de beveiligingseisen nader per AMvB kunnen worden uitgewerkt, geldt voor het NCPeH-NL altijd de Baseline Informatiebeveiliging Overheid (BIO). De BIO geldt binnen de gehele overheid en is een gemeenschappelijk normenkader, gebaseerd op internationale normen voor de beveiliging van de informatie(systemen) van de overheid.

De BIO2 vormt het nieuwe kader voor informatiebeveiliging binnen de overheid en wordt, als onderdeel van de implementatie van de Europese Netwerk- en informatiebeveiligingsrichtlijn (NIS2), opgenomen in een ministeriële regeling én in de AMvB die vallen onder de Cyberbeveiligingswet. Hiermee wordt de BIO2 wettelijk verankerd.

10.1.3 Elektronisch uitwisselingssysteem als bedoeld onder de Wabvpz

Het is gebleken dat er vragen bestaan over of het NCPeH-NL moet worden gekwalificeerd als een elektronisch uitwisselingssysteem (EUS) in de zin van artikel 1, onder j, Wabvpz. Daarnaast wordt bezorgdheid geuit over hoe de rechten van burgers, zoals opgenomen in de Wabvpz, worden gewaarborgd als het NCPeH-NL niet wordt gekwalificeerd als een EUS. In paragraaf 5.1 van de toelichting wordt dit daarom nader toegelicht.

10.1.4 Toestemming

Uit de internetconsultatie blijkt dat er veel vragen zijn over de toestemming die door de Nederlandse cliënten moet worden gegeven voordat uitwisseling van medische gegevens met een zorgaanbieder in andere lidstaat mogelijk is. Zoals beschreven in paragraaf 3.4 brengt dit wetstraject geen wijzigingen aan in de grondslagen voor verwerking van (bijzondere) persoonsgegevens en de doorbreking van het beroepsgeheim van Nederlandse zorgverleners.

De scope van de voorgestelde wetgeving beperkt zich tot de borging van de wettelijke taak en de grondslag voor een rechtmatige verstrekking aan en verwerking van persoonsgegevens, waaronder gegevens over de gezondheid, door het NCPeH-NL.

De toestemming van de Nederlandse cliënt aan de Nederlandse zorgaanbieder om gegevens uit te wisselen via het NCPeH-NL is voorwaardelijk voor de verstrekking van gegevens vanuit de Nederlandse zorgaanbieder aan het NCPeH-NL. Indien toestemming ontbreekt, worden er geen gegevens naar het NCPeH-NL gestuurd en kan er niet worden uitgewisseld. Het NCPeH in de andere lidstaat ontvangt dus alleen gegevens wanneer een Nederlandse cliënt de toestemming aan zijn Nederlandse zorgaanbieder heeft geregistreerd. Daarnaast kan het wel zo zijn dat de wet- en regelgeving in de andere lidstaat óók toestemming vereist van de cliënt voor de verwerking door de zorgaanbieder aldaar. Dat zal dan in de betreffende lidstaat door de onder de zorgaanbieder ressorterende zorgverlener worden gevraagd aan de cliënt. Dit staat los van de toestemming die de cliënt heeft gegeven aan de zorgaanbieder in Nederland om verstrekking mogelijk te maken.

Daarnaast wordt er vanuit de internetconsultatie op gewezen dat het wetsvoorstel de wettelijke grondslag regelt voor het NCPeH-NL om gegevens te verwerken, maar dat deze daartoe eerst door de zorgaanbieder aan het NCPeH-NL moeten worden verstrekt op basis van uitdrukkelijke toestemming. Daarbij heeft de onder de zorgaanbieder ressorterende zorgverlener te maken met de geheimhoudingsplicht op grond van art. 88 Wet BIG en art. 7:457 BW. Het wetsvoorstel verandert niets aan deze bestaande wetgeving. Toestemming is in het kader van de WGBO een mogelijkheid voor het doorbreken van de geheimhouding van de zorgaanbieder, maar geen verplichting. De vraag is vervolgens of de zorgaanbieder de afweging maakt om de gegevens te verstrekken aan een derde, aangezien in dit geval de «derde» een overheidsorganisatie is en er sprake kan zijn van een afhankelijkheidsrelatie tot de burger.

De afweging of de zorgverlener de geheimhouding doorbreekt, is inderdaad een afweging van de zorgverlener zelf. Het wetsvoorstel regelt tenslotte geen plicht tot verstrekking door de zorgaanbieder. Uitdrukkelijke toestemming is dus de enige mogelijke grondslag voor verstrekking door de zorgaanbieder en voor het doorbreken van het beroepsgeheim. In de uitdrukkelijke toestemming die gevraagd wordt aan de cliënt zal tevens toegelicht worden dat de uitwisseling met de zorgaanbieder in een andere lidstaat die de cliënt onder behandeling heeft, plaatsvindt via het NCPeH-NL (én daarnaast via een NCPeH in de andere lidstaat). Daarbij wordt tevens transparant gemaakt dat het daarbij gaat om een overheidsorganisatie. Vanuit zorgorganisaties zijn tot nog toe geen signalen ontvangen dat bovenstaande als problematisch wordt ervaren.

Ten slotte is in de consultatie de vraag gesteld of een dergelijke toestemming wel vrijelijk gegeven kan worden voor een verstrekking via een overheidsorganisatie, ook als die overheid zelf niet op basis van toestemming verwerkt, maar op basis van een wettelijke grondslag.

Op basis van de Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679 van de European Data Protection Board (EDPB) – die zien op toestemming als rechtstreekse grondslag – kan evenwel betoogd worden dat ondanks dat de EDPB als vuistregel hanteert dat toestemming in de verhouding burger-overheid zelden vrijelijk gegeven kan worden, dit bij het NCPeH-NL wel degelijk mogelijk is. In paragraaf 3.1.1 van eerdergenoemde Richtsnoeren geeft de EDPB voorbeelden van een mogelijke wanverhouding tussen burger en overheid of het ontbreken daarvan die van invloed zijn op het vrijelijk kunnen geven van een toestemming. Bij analoge toepassing van deze voorbeelden valt op dat ook bij weigering door de cliënt om de medische gegevens aan het NCPeH-NL te verstrekken (met het doel deze aan een ander nationaal contactpunt en vervolgens aan een hulpverlener te verstrekken), deze nog steeds zorg zal ontvangen. Ook is het voorzienbaar dat bij een dergelijke weigering de onder de zorgaanbieder ressorterende zorgverlener in kwestie rechtstreeks contact zal opnemen met de huisarts van de cliënt om relevante informatie uit diens dossier op te vragen, zonder tussenkomst van nationale contactpunten als het NCPeH-NL. Rechtstreeks contact verloopt echter niet optimaal en kan, bijvoorbeeld vanwege taalbarrières, tijdrovend zijn of misverstanden veroorzaken. Voor optimale zorg is het wenselijk dat de toestemming voor verstrekking aan een zorgaanbieder in een andere lidstaat via het NCPeH-NL verleend wordt. De consequentie van het weigeren van de toestemming is echter niet dat zorg geweigerd zal worden. Daarmee zijn aan de weigering geen aanzienlijke negatieve gevolgen verbonden voor een cliënt die een weigering onmogelijk maken.

10.1.5 Koppeling persoonlijk gezondheidsdossier van de cliënt

Bij de internetconsultatie is door de Patiëntenfederatie Nederland de vraag gesteld op welke manier cliënten inzage kunnen krijgen in de gegevens die uitgewisseld worden door het NCPeH-NL, en of en hoe data beschikbaar komt voor hun persoonlijke gezondheidsomgeving (PGO) (artikel 15ae Wabvpz). Daarnaast is door Stichting MedMij de wens uitgesproken om het wetsvoorstel aan te vullen zodat er ook uitgewisseld kan worden met burgers, door een afschrift beschikbaar te maken in de PGO van de cliënt.

De verplichting die voortvloeit uit het reeds bestaande artikel 15ae, Wabvpz om gegevens over de cliënt op verzoek te delen met een persoonlijke gezondheidsomgeving ligt bij de betreffende zorgaanbieder. Een verplichting voor het NCPeH-NL om gegevens te delen met een patiënten portaal, zoals een PGO of een Wallet is van een andere orde en is momenteel technisch niet mogelijk. Het NCPeH-NL is ingericht voor het uitwisselen van gezondheidsgegevens tussen zorgaanbieders in verschillende lidstaten indien sprake is van behandeling van een cliënt. Hierbij is sprake van een proces in twee stappen waarbij het NCPeH-NL de ontvangen gegevens samenvoegt en converteert naar het format van de betreffende categorie van gezondheidsinformatie. Hierbij worden de gezondheidsgegevens vertaald naar Europese coderingen. Het NCPeH van het B-land vertaalt de Europese coderingen vervolgens naar de codes en taal van het betreffende land. Het is nu technisch niet mogelijk voor het NCPeH-NL om een patiëntsamenvatting samen te stellen die direct door de patiënt kan worden opgeslagen in een persoonlijk gezondheidsdossier in de taal en codering van de lidstaat waar men bijvoorbeeld op vakantie gaat.

Het zou kunnen dat in de toekomst door de lidstaten wordt besloten een extra dienst toe te voegen aan MyHealth@EU die dit mogelijk maakt, echter deze uitwisseling is nu nog onvoldoende nader bepaald. Met het huidige wetsvoorstel wordt de Richtlijn (EU) 2011/24 geïmplementeerd.

Het verzoek om een bepaling op te nemen voor uitwisselingen naar een PGO gaat verder dan wat de Richtlijn (EU) 2011/24 verlangd. Het is om die reden onwenselijk een bepaling hieraan toe te voegen. Dit argument wordt versterkt doordat een dergelijke uitwisseling nog niet nader is bepaald, en dit te veel onzekerheden geeft in het uitwerken van de bepaling.

De EHDS bevat relevante aanvullingen op het recht op inzage en overdraagbaarheid van de gegevens van de cliënt. Gelet hierop is het passender de toekomstige mogelijkheid om categorieën van gezondheidsinformatie op verzoek van de cliënt uit te wisselen met persoonlijke gezondheidsdossiers mee te nemen in de voor de EHDS benodigde implementatiewetgeving. De cliënt kan al inzage krijgen in de uitgewisselde gezondheidsgegevens door dit op te vragen bij de zorgaanbieder waar de behandeling plaatsvond.

10.1.6 Relatie tot andere initiatieven

In de reacties op de internetconsulatie werden vragen gesteld over de relatie tussen het wetsvoorstel en andere beleidsinitiatieven: de Meerjarenagenda van de Wegiz, het Landelijk dekkend netwerk van infrastructuren en Twiin Afsprakenstelsel. Hoewel het wetsvoorstel hier niet op ziet, is paragraaf 5.5 toegevoegd waarin de samenhang wordt toegelicht.

10.1.7 Rol van de overheid

In één van de reacties op de internetconsultatie wordt gesteld dat de noodzakelijkheid van inmenging door de overheid onvoldoende overtuigend is onderbouwd en dat er vanuit het oogpunt van subsidiariteit niet wordt ingegaan op alternatieven voor inrichting van het NCPeH-NL.

Met het aanwijzen van een publieke organisatie, het CIBG, als het NCPeH-NL krijgt de Minister van VWS een rol in de verwerking van (bijzondere persoonsgegevens) in het primaire zorgproces. Dit is inderdaad een novum. De rol van de overheid bij deze verwerkingen is echter zeer beperkt. De overheid zal hoofdzakelijk de technische toegangspoort in beheer nemen. De onderbouwing voor de keuze om de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL te beleggen bij een overheidspartij is nader onderbouwd in hoofdstuk 8.

10.2 Uitvoeringstoets CIBG

Het CIBG heeft een uitvoeringstoets gedaan op het conceptwetsvoorstel dat in internetconsultatie is geweest. Het CIBG heeft het wetsvoorstel als haalbaar en realiseerbaar beoordeeld. Het CIBG ziet echter wel een aantal aandachtspunten. In deze paragraaf wordt ingegaan op de voornaamste punten van het CIBG.

10.2.1 Bevoegdhedenverdeling binnen het stelsel

Er dient volgens het CIBG een heldere afbakening te zijn van de stelselrollen en de bijbehorende verantwoordelijkheden. Momenteel is het voor het CIBG onvoldoende duidelijk met welk mandaat het CIBG deelneemt aan de overleggen binnen het MyHealth@EU-domein en wat de rol is van andere Nederlandse partijen.

Het wetsvoorstel vormt de basis voor de verlening van het mandaat aan het CIBG. Zodra het wetsvoorstel is aangenomen zal het mandaat nader worden geregeld.

Het gebruik maken van het NCPeH-NL door zorgaanbieders is op vrijwillige basis, het CIBG kan daardoor alleen een inspanningsverplichting aangaan met betrekking tot het aantal zorgaanbieders dat gebruik maakt van het NCPeH-NL.

10.2.2 Lagere wet- en regelgeving

Het CIBG heeft de uitvoeringstoets gedaan op het wetsvoorstel, waarin werd uitgegaan van aansluiting van zorgaanbieders op het NCPeH-NL door middel van een aanvraagprocedure. Het CIBG heeft erop gewezen dat de introductie van nieuwe categorieën van gezondheidsinformatie die uitgewisseld kan worden zal plaatsvinden via AMvB en dat in de AMvB een nadere uitwerking wordt gegeven van de verwerkingen en bijbehorende persoonsgegevens voor die specifieke categorie van gezondheidsinformatie. Ook volgt uit het wetsvoorstel dat nadere regels kunnen worden gesteld over aanvraagprocedure en de voorwaarden waaronder een zorgaanbieder wordt aangesloten op een NCPeH-NL. Het CIBG heeft aangegeven dat de AMvB’s nog moeten worden opgesteld en daarom niet kunnen worden meegenomen in deze uitvoeringstoets. De aanvullende voorwaarden in de AMvB’s vooral die voor de aanvraagprocedure, zijn belangrijk voor de uitvoering door het CIBG en voor het beantwoorden van de vraag of de nieuwe taak uitvoerbaar is. Het CIBG dient in dat geval de aanvragen namelijk te toetsen aan de voorwaarden en er is reeds een aansluitproces en aansluitvoorwaarden voor PS-B. Wanneer de voorwaarden middels een AMvB worden aangepast of aangevuld, levert dit extra werk op omdat de aanvraagprocedure moet worden aangepast. Ook de weigerings- en intrekkingsgronden moeten worden vastgelegd in wetgeving, omdat het CIBG anders geen aanvragen kan weigeren en intrekken. Het CIBG hecht daarom belang aan dat zij vroeg worden betrokken bij het opstellen van AMvB’s. De vroegtijdige betrokkenheid van het CIBG wordt meegenomen in de planning van het traject voor de totstandkoming van de AMvB’s.

Bij de nadere uitwerking van de AMvB’s is gebleken dat een aanvraagproces, waarbij het CIBG aanvragen van individuele zorgaanbieders moet afhandelen, een grote inspanningsbehoefte vergt van het CIBG. Op basis hiervan heeft in overleg met het CIBG een wijziging plaatsgevonden in artikel 15p en 15q, waarbij er niet langer uitgegaan van het aansluiten van zorgaanbieders op het NCPeH-NL door middel van een aanvraagprocedure. De zorgaanbieders zullen van rechtswege toegang tot het NCPeH-NL hebben, indien zij voldoen aan bij AMvB te stellen voorwaarden.

10.2.3 Bevoegdheid om aanvragen te weigeren en in te trekken

In artikel 15n van het conceptwetsvoorstel ontbraken de bevoegdheden voor het NCPeH-NL om aanvragen te weigeren, in te trekken en eventueel te schorsen en de gronden op basis waarvan het NCPeH-NL dit mag doen. Het CIBG heeft aangegeven dat het voor de uitvoering noodzakelijk is om deze bevoegdheden in het wetsvoorstel te regelen.

Gezien de eerder genoemde wijziging in het voorstel, is er niet langer sprake van een aanvraagprocedure en is het niet langer nodig een bevoegdheid te regen om een aanvraag te weigeren. Naar aanleiding van de constatering van het CIBG, zijn in artikel 15p wel de bevoegdheden opgenomen om de toegang tot het NCPeH-NL te ontzeggen.

10.3 Toets Autoriteit Persoonsgegevens

Het conceptvoorstel is voor advies voorgelegd aan de Autoriteit Persoonsgegevens (AP). De AP heeft bij brief van 17 december 2024 haar advies gegeven over het wetsvoorstel. De AP heeft bezwaar tegen het concept omdat in artikel 15m, vierde lid, van het concept, onvoldoende bepaald is met welke derde partijen persoonsgegevens mogen worden uitgewisseld en aan welke eisen die derde partijen moeten voldoen. Daarnaast heeft de AP nog enkele aanmerkingen waarvan zij aangeeft dat die om aanvulling en aanpassing van het concept en de toelichting vragen. Hierna wordt op hoofdlijnen ingegaan op het advies van de AP. Naar aanleiding van het advies is het wetsvoorstel op een aantal punten aangepast. Tevens is de toelichting naar aanleiding van het advies van de AP op meerdere punten aangepast en nader gemotiveerd. Voor zover het advies van de AP niet is overgenomen, is dit nader toegelicht.

10.3.1 Uitwisseling met derde partijen

De concept wetstekst (artikel 15m, vierde lid), voorzag in een grondslag voor het NCPeH-NL om gegevens uit te wisselen met een derde partij waarvan een Nederlandse zorgaanbieder gebruikt maakt. Hierbij valt te denken aan een elektronisch uitwisselingssysteem. De AP geeft in het advies aan dat het onvoldoende voorzienbaar is met welke andere «derde partijen» gegevens mogen worden uitgewisseld op grond van deze bepaling. Bovendien gaat het concept niet in op eisen waar deze derde partijen aan moeten voldoen. Mocht blijken dat het alleen maar gaat om uitwisseling met elektronische uitwisselingssystemen, dan zou de bepaling ook alleen daar op moeten zien. De AP adviseert dit in de wettekst te specificeren. In reactie hierop is in de voorgestelde wettekst (artikel 15r, vijfde lid) gespecificeerd dat deze bepaling alleen ziet op elektronische uitwisselingssystemen zoals bedoeld in artikel 1, onderdeel j, Wabvpz. In de Wabvpz is reeds nader gespecificeerd aan welke eisen een elektronisch uitwisselingssysteem moet voldoen.

10.3.2 Aanwezigheid van geregistreerde toestemming

De AP merkt terecht op dat voor de verstrekking van gegevens toestemming van de patiënt aan zijn zorgaanbieder nodig is voor uitwisseling via MyHealth@EU. Slechts de feitelijke uitvoering van de uitwisseling via dit systeem wordt als wettelijke taak aan de Minister opgedragen, waardoor deze een eigen (e) grondslag in de wet heeft voor de nodige verwerkingen. Dat neemt niet weg dat de aanwezigheid van toestemming, net als bij gegevensverstrekkingen tussen Nederlandse zorgaanbieders, voor de patiënt onder de huidige wetgeving een belangrijke waarborg is. De AP ziet het controleren van de toestemming als een belangrijke waarborg voor rechtmatigheid van de uitwisseling. Voorzien is dat het NCPeH-NL de toestemming controleert via een online toestemmingsvoorziening of een elektronisch uitwisselingssysteem. De AP adviseert om de voorgenomen wijze van uitvoering als verplichting in de wet zelf op te nemen.

Behalve de waarborgfunctie die dit heeft, blijkt uit de wet dan ook duidelijker hoe de verwerkingsgrondslagen zich tot elkaar verhouden, namelijk: toestemming wordt verleend aan de zorgaanbieder en het hoort bij de publieke taak van het NCPeH-NL om te controleren of die toestemming er is voordat de uitwisseling wordt gefaciliteerd. In reactie hierop is deze waarborg opgenomen in de voorgestelde wettekst. In artikel 15r, derde lid, is daarom opgenomen dat de uitwisseling alleen plaatsvindt indien vaststaat dat die toestemming is verleend. Tevens is dit nader toegelicht in paragraaf 3.4 van de memorie van toelichting.

10.3.3 Verwerkingsgrondslag Minister dubbelop

De AP concludeert dat de bepaling in artikel 15k, derde lid, van het conceptwetsvoorstel op grond waarvan de Minister persoonsgegevens mag verwerken, waaronder gegevens over gezondheid, als dat noodzakelijk is voor de uitoefening van zijn taken geen meerwaarde lijkt te hebben ten opzichte van de (meer) concrete verwerkingsgrondslagen in artikel 15l, 15m en 15n van het concept.

De AP concludeert dat artikel 15k, derde lid, van het concept dubbelop is en adviseert de bepaling te schrappen. Dit advies is overgenomen. De grondslag is niet meer specifiek benoemd in de betreffende bepaling. De doelstellingen waarnaar de overige artikelen verwijzen zijn wel opgenomen in de bepaling.

10.3.4 Kwalificatie NCPeH-NL en MyHealth@EU in Nederlands en Europees recht

De AP geeft aan dat in de memorie van toelichting een nadere motivering ontbreekt voor het standpunt dat het NCPeH-NL niet functioneert als een elektronisch uitwisselingssysteem in de zin van artikel 15a Wabvpz. De AP concludeert dat MyHealth@EU wel degelijk onder die definitie lijkt te vallen en dat dit zich mogelijk niet verdraagt met de voorrangspositie die het Europese recht heeft ten opzichte van lidstatelijk recht. De AP adviseert daarom bij wet nog wel expliciet te bepalen dat de bepalingen die voor elektronische uitwisselingssystemen gelden niet van toepassing zijn op MyHealth@EU. In reactie op dit advies is in paragraaf 5.1 van de memorie van toelichting nader gemotiveerd waarom het NCPeH-NL niet onder de definitie van een elektronisch uitwisselingssysteem valt.

Op grond van artikel 1 onderdeel j van de Wabvpz wordt een elektronisch uitwisselingssysteem (EUS) gedefinieerd als een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder. Om als EUS gekwalificeerd te worden is het ingevolge de definitie van artikel 1 onder j van de Wabvpz onder meer van belang dat het een systeem betreft waarmee zorgaanbieders op elektronische wijze gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken. De Wabvpz gaat daarbij uit van een zorgaanbieder in de zin van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz, artikel 1, onder c). De zorgaanbieder in de andere lidstaat waarmee het NCPeH-NL uitwisselt valt echter niet onder de kwalificatie van zorgaanbieder in de zin van de Wkkgz. Het NCPeH-NL kan daarom niet worden gekwalificeerd als een EUS in de zin van artikel 1, onder j, van de Wabpvz.

Voor MyHealth@EU geldt dat deze term specifiek ziet op de digitale infrastructuur (voorheen: The eHealth Digital Service Infrastructure, eHDSI). Het is daarmee een federatief digitaal netwerk dat de verschillende nationale contactpunten met elkaar verbindt. Het valt daarmee niet onder de definitie van een elektronisch uitwisselingssysteem.

Zoals aangegeven onder 10.3.1 kan een zorgaanbieder ervoor kiezen om de gegevens via een elektronisch uitwisselingssysteem beschikbaar te stellen aan het NCPeH-NL. Naar aanleiding van het advies van de AP is in artikel 15r, vijfde lid, gespecificeerd dat deze bepaling alleen ziet op elektronische uitwisselingssystemen, als bedoeld in artikel 1, onderdeel j, Wabvpz, zoals het LSP. Zoals hiervoor toegelicht beperkt de definitie van elektronisch uitwisselingssysteem zich tot het uitwisselen van informatie tussen zorgaanbieders. Dat betekent dat het uitwisselingssysteem in zoverre niet als elektronisch uitwisselingssysteem fungeert, wanneer een zorgaanbieder dit systeem gebruikt voor het uitwisselen van gegevens met het NCPeH-NL. Artikel 8, tweede lid, dat de grondslag voor de beheerder van het elektronisch uitwisselingssysteem bevat om het BSN te mogen verwerken, alsmede de bepalingen inzake de elektronische verwerking van gegevens in hoofdstuk 3a van de Wabvpz, missen daardoor hun toepassing. Nu bij de uitwisseling van gegevens met het NCPeH-NL voor digitale zorg het BSN wordt verstrekt en omdat het wenselijk is dat bij die uitwisseling ook de waarborgen uit hoofdstuk 3a gelden, is in het zesde lid bepaald dat de beheerder bevoegd is tot het ontvangen en verstrekken van het BSN en dat de bepalingen uit hoofdstuk 3a van overeenkomstige toepassing zijn.

10.3.5 Gegevens cliënt opvragen uit eigen land bij een andere lidstaat

De AP wijst erop dat het wetsvoorstel toelaat dat zorgaanbieders gegevens van hun cliënt uit eigen land opvragen bij een andere lidstaat, maar dat dit niet de bedoeling van de wetgever lijkt te zijn. De AP overweegt hierbij dat uit de wettekst helder moet blijken of zorgaanbieders al dan niet ook gegevens van hun cliënt uit eigen land kunnen opvragen bij een andere lidstaat. Verduidelijking van de wettekst en/of memorie van toelichting op dit punt is volgens de AP daarom aangewezen. Hoewel het wetsvoorstel niet is geschreven met het oog op de door de AP geconstateerde situatie, is het inderdaad mogelijk dat de situatie zich in de praktijk zou kunnen voordoen. De situatie is echter niet bezwaarlijk, aangezien het in lijn is met de het doel dat de richtlijn nastreeft.

Nu het uitwisselen van gegevens via nationale contactpunten alleen mogelijk is na identificatie van de cliënt aan de hand van het persoonsidentificerende nummer dat wordt gebruikt in de lidstaat waar de gegevens zijn vastgelegd, kan die situatie zich in de praktijk alleen voordoen in het geval iemand beschikt over het in die lidstaat gebruikte persoonsidentificerende nummer. In reactie op de constatering van de AP is een nadere toelichting opgenomen in paragraaf 3.1 van de memorie van toelichting, waarin deze situatie beschreven wordt.

10.4 Toets Adviescollege toetsing regeldruk (ATR)

Het conceptwetsvoorstel is voor advies voorgelegd aan het Adviescollege toetsing regeldruk (hierna: ATR). De ATR heeft het dossier niet geselecteerd voor een formeel advies, omdat het geen gevolgen voor de regeldruk heeft.

Artikelsgewijze toelichting

Artikel I: Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

Onderdeel A – Artikel 1 (begripsbepalingen)

Met dit wetsvoorstel wordt geregeld dat het beheer van het NCPeH-NL een wettelijke taak van de Minister is en wordt voorzien in de vereiste grondslagen voor het uitwisselen van patiëntinformatie met nationale contactpunten van andere lidstaten via het digitale e-gezondheidsnetwerk MyHealth@EU.

Om duidelijk te maken dat het gaat om het uitwisselen van medische informatie door middel van informatie- en communicatietechnologie, waarbij het NCPeH-NL als schakel tussen zorgaanbieders in Nederland en soortgelijke NCPeH’s in andere lidstaten fungeert, is aan artikel 1 de begripsbepaling «nationaal contactpunt voor digitale gezondheid» toegevoegd. Aansluiting met een NCPeH op het MyHealth@EU-netwerk is op grond van Richtlijn 2011/24/EU mogelijk voor lidstaten van de Europese Unie en andere landen die partij zijn bij de EER. Daarom is ook de begripsbepaling «lidstaat» in artikel 1 opgenomen.

Onderdeel B – Artikelen 15o, 15p, 15q en 15r (wettelijke taak, aansluiting op het NCPeH-NL en grondslagen voor het uitwisselen van persoonsgegevens)

Artikel 15o Het beheer van het NCPeH-NL

Aan de Wabvpz wordt het hoofdstuk 3c. nationaal contactpunt voor digitale gezondheid toegevoegd dat aanvangt met artikel 15o. In het eerste lid van deze bepaling wordt de taak tot het zorgdragen voor het NCPeH-NL bij de Minister belegd. In de praktijk zal het CIBG deze taak namens de Minister uitvoeren.

In het tweede lid wordt verduidelijkt welk doel met de taak wordt gediend, te weten het uitwisselen van patiëntinformatie tussen zorgaanbieders in verschillende lidstaten door tussenkomst van nationale contactpunten met het oog op de verlening van zorg. Het gaat hier om het uitwisselen van gegevens van een cliënt uit een andere lidstaat ten behoeve van zorg in Nederland (onderdeel a) of van een cliënt uit Nederland met het oog op zorg in een andere lidstaat (onderdeel b). Deze uitwisselingen en de benodigde grondslagen daarvoor worden in de artikelen 15q en 15r nader uitgewerkt.

Het derde lid bevat een geheimhoudingsplicht voor eenieder die in het kader van de uitoefening van de taak informatie over natuurlijke personen heeft verkregen.

Zoals toegelicht in paragraaf 3.3.1 van het algemene deel van deze toelichting is het opnemen van een geheimhoudingsplicht op grond van artikel 9, derde lid, van de AVG vereist, nu het de uitwisseling van gezondheidsgegevens betreft en de uitzondering op het verwerkingsverbod is gelegen in het tweede lid, onder h.

De patiëntgegevens die worden uitgewisseld via nationale contactpunten bestaan uit verschillende categorieën gezondheidsinformatie. Zoals in het algemene deel is toegelicht zien de bestaande categorieën op het uitwisselen van patient summaries (patiëntsamenvattingen) en e-prescriptions (elektronische recepten). In de toekomst zullen daar nog andere categorieën bijkomen.

De introductie daarvan zal op grond van het vierde lid plaatsvinden bij AMvB, waarin nader wordt geregeld welke gegevens tussen wie zullen worden uitgewisseld. Verder kunnen ingevolge het vijfde lid bij of krachtens AMvB nadere regels worden gesteld over de inrichting, beschikbaarstelling, beveiliging, instandhouding en werking van het NCPeH-NL.

Artikel 15p Toegang tot het NCPeH-NL

Voor het doen van een verzoek om verstrekking van gegevens ten behoeve van zorg in Nederland aan een cliënt uit een andere lidstaat, als bedoeld in artikel 15q, zal de zorgaanbieder toegang tot het NCPeH-NL moeten verkrijgen. Ingevolge artikel 15p, eerste en tweede lid, hebben zorgaanbieders die voldoen aan bij of krachtens AMvB te stellen voorwaarden toegang tot het NCPeH-NL. Deze voorwaarden zullen betrekking hebben op het beroep dat de zorgaanbieder uitoefent en op het inlogmiddel waarmee de zorgaanbieder inlogt op het portaal op de website van het NCPeH-NL. Bij AMvB zal tevens worden geregeld onder welke voorwaarden de toegang van zorgaanbieders dan wel de onder hen ressorterende zorgverleners tot het NCPeH-NL kan worden opgeschort en ontzegd.

De voordracht voor deze AMvB wordt niet eerder gedaan dan twee weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd. Dit is reeds geregeld in artikel 17b van de Wabvpz.

Artikel 15q Grondslagen voor het verwerken (bijzondere) persoonsgegevens ten behoeve van zorg in Nederland aan een cliënt uit een andere lidstaat

Eerste lid

Artikel 15q betreft de uitwerking van de in artikel 15o, onderdeel a, bedoelde situatie dat een cliënt uit een andere lidstaat in Nederland zorg behoeft. Voor een uitvoerige beschrijving van het proces van uitwisselen van persoonsgegevens wordt verwezen naar paragraaf 3.2.3 van het algemeen deel van de memorie van toelichting.

Het eerste lid van artikel 15q ziet op de fase waarin een zorgaanbieder in Nederland zich tot het NCPeH-NL wendt met het verzoek om gegevens te verstrekken in verband met het verlenen van zorg aan een cliënt uit een andere lidstaat. In veel gevallen zal dit verzoek worden gedaan door een onder die zorgaanbieder ressorterende zorgverlener.

Om via het NCPeH-NL een verzoek om patiëntgegevens te doen, dient de onder de zorgaanbieder ressorterende zorgverlener op de website van het NCPeH-NL in te loggen. Daarbij worden diverse gegevens van de zorgaanbieder en zorgverlener vastgelegd, waaronder identificerende gegevens zoals het UZI-nummer en de AGB-code, alsook een indicatie van een behandelrelatie met de patiënt. Verder zullen ter identificatie van de cliënt persoonsgegevens van deze cliënt moeten worden ingevoerd. Welke dit zijn kan per lidstaat verschillen, maar de eis van dataminimalisatie staat hierbij voorop. Het zal daarom niet om meer gegevens gaan dan voor- en achternaam, geslacht, geboortedatum, nationaliteit en het persoonsidentificerende nummer dat in de desbetreffende lidstaat wordt gebruikt. Deze gegevens worden via het NCPeH-NL met het NCPeH in de andere lidstaat gedeeld om de patiëntgegevens die in dat land beschikbaar zijn te achterhalen.

De grondslagen voor het NCPeH-NL om de door de zorgaanbieder verstrekte persoonsgegevens te mogen verwerken en te verstrekken aan een NCPeH in een andere lidstaat, zoals hiervoor uiteengezet, zijn in het eerste lid opgenomen. Daarbij is ook de bevoegdheid geregeld om gegevens over de gezondheid van de cliënt te verwerken, omdat de indicatie van de behandelrelatie tussen zorgaanbieder en cliënt een gezondheidsgegeven is. Dit vormt tevens de uitzonderingsgrond voor het doorbreken van het verbod op het verwerken van bijzondere persoonsgegevens (artikel 9, tweede lid AVG, onder h).

Tweede lid

Het tweede lid ziet op de volgende fase in het opvragen van gegevens over een cliënt uit een andere lidstaat die in Nederland zorg behoeft. Wanneer in het land van herkomst patiëntgegevens beschikbaar zijn, zal het NCPeH uit die lidstaat deze gegevens aan het NCPeH-NL verstrekken.

De gegevens worden vervolgens door het NCPeH-NL door middel van een geautomatiseerd proces vertaald en verstrekt aan de zorgaanbieder die erom heeft verzocht. Voor deze verwerkingen worden in het tweede lid de benodigde grondslagen gegeven, alsmede een uitzonderingsgrond voor het doorbreken van het verbod op het verwerken van bijzondere persoonsgegevens, nu het bij uitstek om gezondheidsgegevens gaat.

Artikel 15r Grondslagen voor het verwerken (bijzondere) persoonsgegevens ten behoeve van zorg in een andere lidstaat aan een cliënt uit Nederland

Eerste lid

Artikel 15r betreft de uitwerking van de in artikel 15o, onderdeel b, bedoelde situatie, waarin een cliënt uit Nederland in een andere lidstaat zorg behoeft. In dat geval vraagt het NCPeH uit die lidstaat het NCPeH-NL om gegevens over die cliënt te verstrekken. Voor een gedetailleerde weergave van de wijze waarop de uitwisseling van gegevens plaatsvindt, wordt verwezen naar paragraf 3.2.2 van het algemeen deel van deze toelichting.

In het eerste lid van artikel 15r worden de grondslagen gegeven voor het verwerken van de persoonsgegevens die het NCPeH-NL in het kader van dat verzoek ontvangt, alsook voor de verdere verstrekking daarvan aan de zorgaanbieders van de cliënt in Nederland. Daarbij wordt tevens voorzien in een uitzonderingsgrond voor het doorbreken van het verbod op het verwerken van bijzondere persoonsgegevens, omdat het NCPeH-NL van het contactpunt uit de andere lidstaat gegevens over de behandelrelatie of het specialisme van de onder de zorgaanbieder ressorterende zorgverlener ontvangt die als gezondheidsgegeven kunnen kwalificeren.

Tweede lid

Wanneer de cliënt zijn zorgaanbieders (bijvoorbeeld op een eerder moment) toestemming voor het delen van zijn gegevens heeft gegeven, zullen deze gegevens aan het NCPeH-NL voor digitale zorg worden verstrekt, die het op zijn beurt zal verstrekken aan het NCPeH dat erom heeft verzocht. Alvorens het NCPeH-NL de gegevens aan dat nationaal contactpunt verstrekt, vindt door middel van een geautomatiseerd proces een vertaling van die gegevens plaats. Het tweede lid bevat de grondslag voor deze verwerking door het NCPeH -NL en de daaropvolgende verstrekking aan het NCPeH uit de andere lidstaat.

Derde lid

De verstrekking van gegevens door zorgaanbieders in Nederland aan het NCPeH-NL, waarbij het medisch beroepsgeheim wordt doorbroken en de verdere verstrekking aan het NCPeH in de lidstaat waar de cliënt zorg behoeft, kan alleen plaatsvinden als de cliënt daarvoor toestemming heeft gegeven. Dit is, net als bij gegevensverstrekkingen tussen Nederlandse zorgaanbieders onderling, voor de cliënt onder de huidige wetgeving een belangrijke waarborg. Daarom is in dit lid uitdrukkelijk bepaald dat de in het tweede lid beschreven verwerking en uitwisseling van persoonsgegevens alleen is toegestaan met toestemming van de cliënt. Of een cliënt toestemming aan de zorgaanbieder heeft verleend om gegevens te verstrekken, zal moeten zijn vastgelegd in een online toestemmingsvoorziening of een elektronisch uitwisselingssysteem.

Vierde lid

Uit artikel 46 van de Uitvoeringswet Algemene verordening gegevensbescherming volgt dat het verwerken van het BSN slechts is toegestaan voor bij wet bepaalde doeleinden. Voor de verwerking van het BSN door het NCPeH-NL ter identificatie van de cliënt en voor de uitwisseling van het BSN tussen het NCPeH-NL en zorgaanbieders zijn grondslagen aanwezig in de Wet algemene bepalingen burgerservicenummer en de Wabvpz. Deze wetten bieden evenwel geen grondslag voor de verstrekking van het BSN door het NCPeH-NL aan het NCPeH in een andere lidstaat. In het vierde lid is daarom opgenomen dat ook het BSN aan het NCPeH in een andere lidstaat wordt verstrekt.

Vijfde lid

Zorgaanbieders kunnen voor het uitwisselen van patiëntgegevens gebruik maken van een elektronisch uitwisselingssysteem, zoals het Landelijk Schakel Punt (LSP). Blijkens de definitie in artikel 1, aanhef en onder j, van de Wabvpz wordt een elektronisch uitwisselingssysteem door een zorgaanbieder gebruikt voor het beschikbaar stellen van gegevens aan andere zorgaanbieders.

In de praktijk kan een dergelijk systeem ook worden aangewend voor het uitwisselen van gegevens met het NCPeH-NL, als bedoeld in het eerste en tweede lid.

Wanneer de beheerder van een elektronisch uitwisselingssysteem zelf verwerkingsverantwoordelijke is, zoals bijvoorbeeld bij het LSP het geval is, volstaan de grondslagen voor het uitwisselen van gegevens zoals beschreven in het eerste en tweede lid niet. De beheerder treedt dan immers niet op als verwerker van gegevens ten behoeve van de verwerkingsverantwoordelijke zorgaanbieder, zodat geen sprake is van het uitwisselen van gegevens tussen het NCPeH-NL en de zorgaanbieder. In het vijfde lid is daarom uitdrukkelijk opgenomen dat in het geval een zorgaanbieder gebruik maakt van een elektronisch uitwisselingssysteem waarvoor de beheerder zelf de verwerkingsverantwoordelijke is, de uitwisseling van gegevens zoals beschreven in het eerste en tweede lid plaatsvindt met die beheerder.

Zesde lid

Zoals hiervoor toegelicht beperkt de definitie van elektronisch uitwisselingssysteem zich tot het uitwisselen van informatie tussen zorgaanbieders. Dat betekent dat het uitwisselingssysteem in zoverre niet als elektronisch uitwisselingssysteem fungeert, wanneer een zorgaanbieder dit systeem gebruikt voor het uitwisselen van gegevens met het NCPeH-NL. Artikel 8, tweede lid, dat de grondslag voor de beheerder van het elektronisch uitwisselingssysteem bevat om het BSN te mogen verwerken, alsmede de bepalingen inzake de elektronische verwerking van gegevens in hoofdstuk 3a van de Wabvpz, missen daardoor hun toepassing. Nu bij de uitwisseling van gegevens met het NCPeH-NL voor digitale zorg het BSN wordt verstrekt en omdat het wenselijk is dat bij die uitwisseling ook de waarborgen uit hoofdstuk 3a gelden, is in het zesde lid bepaald dat de beheerder bevoegd is tot het ontvangen en verstrekken van het BSN alsmede dat de bepalingen uit hoofdstuk 3a van overeenkomstige toepassing zijn.

Artikel 15s Het bewaren van gegevens

Zoals volgt uit het eerste lid worden persoonsgegevens niet langer bewaard dan de duur van de sessie. Een sessie beslaat de periode van het moment van opvraging van patiëntgegevens door de onder de zorgaanbieder ressorterende zorgverlener tot het moment dat verstrekking van die gegevens aan die onder de zorgaanbieder ressorterende zorgverlener plaatsvindt. In het tweede lid wordt een uitzondering gemaakt voor loggegevens, die voor maximaal vijf jaar worden bewaard teneinde achteraf de rechtmatigheid van de opvraging te kunnen controleren. Welke gegevens dat precies zijn, zal bij AMvB worden geregeld.

Artikel II: Inwerkingtreding

Beoogd wordt om deze wet bij koninklijk besluit in werking te laten treden op 1 april 2026.

De Minister van Volksgezondheid, Welzijn en Sport,
J.A. Bruijn

---

1. Zorgcijferdatabank, Totale zorgkosten Zorgverzekeringswet. Grensoverschrijdende zorg: https://www.zorgcijfersdatabank.nl/databank?infotype=zvw&label=00-totaal&geg_zvw=j2023NEW&geg_wlz=j2022NEW&meta_tabel=kosten&tabel=B_kost&item=215↩︎

2. Richtlijn (EU) 2011/24 van het Europees Parlement en de Raad, 9 maart 2011, PbEU 2011, L 88/45.↩︎

3. MyHealth@EU Readiness Criteria Checklist ; Requirements catalogue V7.0.0 RC - eHN guidelines.↩︎

4. Data Protection Working Party (2018): Agreement between National Authorities or National Organisations responsible for National Contact Points for eHealth on the Criteria required for the participation in Cross-Border eHealth Information Services.↩︎

5. De ambitie voor zorginformatiedeling in de internationale context, zoals geschetst in Kamerstuk 7529 nr. 160, is uitgewerkt in dit beleid.↩︎

6. CIBG staat voor Centraal Informatiepunt Beroepen Gezondheidszorg en is een uitvoeringsorganisatie van het Ministerie van VWS.↩︎

7. https://health.ec.europa.eu/ehealth-digital-health-and-care/electronic-cross-border-health-services_en↩︎

8. Article 29 Data Protection Working Party.↩︎

9. Uitvoeringsbesluit (EU) 2019/1765 van de Europese Commissie, 22 oktober 2019, PhEU 2019, L 270/83, te vinden op: eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32019D1765↩︎

10. Subsidieovereenkomst: INEA/CEF/ICT/A2017/1539618↩︎

11. Subsidieovereenkomst: 101128473↩︎

12. Peter Ekamper (2023), Nederlanders elders in Europa. Demos: bulletin over bevolking en samenleving 39 (7): (ook gepubliceerd in het Financieel Dagblad van 4 september 2023.↩︎

13. Eurobarometer 425.↩︎

14. Kamerstukken II 2022/23, 27 529, nr. 293↩︎

15. System Architecture Specifications - My Health @ EU - eHealth Digital Service Infrastructure (eHDSI) - EC Extranet Wiki (europa.eu)↩︎

16. Het gaat hier om toestemming voor verwerking van gegevens door de behandelend zorgverlener in het B-land. Afhankelijk van de wet- en regelgeving van het betreffende land kan dit aanvullend nodig zijn. Dit staat los van de toestemming die de cliënt heeft gegeven aan de zorgaanbieder in Nederland om verstrekking mogelijk te maken. De toestemming van de Nederlandse cliënt aan de Nederlandse zorgaanbieder wordt niet in de andere lidstaat gecontroleerd, het NCPeH-NL controleert of toestemming van de Nederlandse cliënt is geregistreerd. Indien deze niet aanwezig is kan er niet worden uitgewisseld.↩︎

17. Zoals opgenomen in het programma van eisen PIEZO PS-A (versie 1.0, 25-08-2023, gebaseerd op MyHealth@EU Requirements Catalogue) geldt het volgende criterium; de cliënt moet uniek en veilig geïdentificeerd worden op nationaal niveau (door de nationale infrastructuur van het land van herkomst).↩︎

18. MyHealth@EU Readiness Criteria Checklist.↩︎

19. Het op 4 november 1950 te Rome tot stand gekomen Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (Trb. 1951, 154).↩︎

20. Het op 7 december 2000 tot stand gekomen en op 12 december 2007 te Straatsburg aangepaste Handvest van de grondrechten van de Europese Unie, is juridisch bindend ingevolge artikel 6 van het Verdrag betreffende de Europese Unie, zoals dat is gewijzigd op grond van het op 13 december 2007 te Lissabon tot stand gekomen Verdrag van Lissabon tot wijziging van het Verdrag betreffende de Europese Unie en het Verdrag tot oprichting van de Europese Gemeenschap (Trb. 2008, 11).↩︎

21. Article 29 Data Protection Working Party.↩︎

22. HR, ECLI:NL:HR:2017:288, r.o. 2.3.2, (vgl. HR 19 december 1995, NJ 1996/249, r.o. 6.4.2); HR, ECLI:NL:HR:2020:639, r.o. 2.5.2.↩︎

23. Kamerstukken II 2019/20, 35 447, nr. 4, Advies Afdeling Advisering Raad van State en nader rapport, WGS, p. 26.↩︎

24. Patiëntsamenvatting, elektronische recepten, elektronische verstrekkingen, medische beelden en verslagen, medische testresultaten en ziekenhuisontslagverslagen.↩︎

25. Kamerstuk II 2024/2025, 27 529 nr. AJ↩︎

26. Kamerstukken II 2024/25 27 529, nr. 328↩︎

27. 01.01. Uniquely identify and authenticate the Health Professional (HP) in Country of treatment - My Health @ EU - eHealth Digital Service Infrastructure (eHDSI) - EC Extranet Wiki (europa.eu)↩︎

28. ibo-grensoverschrijdende-zorg-grenzeloos-binnen-de-perken-bijlage.pdf (rijksbegroting.nl)↩︎