Preview document (🔗 origineel)

---

No.W13.12.0254/III	's-Gravenhage, 9 oktober 2012

Bij Kabinetsmissive van 17 juli 2012, no.12.001645, heeft Uwe Majesteit,
op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij
de Afdeling advisering van de Raad van State ter overweging aanhangig
gemaakt het voorstel van wet houdende wijziging van de Wet
cliëntenrechten zorg, de Wet gebruik burgerservicenummer in de zorg, de
Wet marktordening gezondheidszorg en de Zorgverzekeringswet
(cliëntenrechten bij elektronische verwerking van gegevens), met
memorie van toelichting.

Het wetsvoorstel strekt tot wijziging van een aantal wetten teneinde
aanvullende randvoorwaarden te scheppen voor de eventuele elektronische
uitwisseling van medische persoonsgegevens door zorgaanbieders. Daarbij
wordt gehoor gegeven aan enkele moties.   

Aan de Afdeling advisering van de Raad van State is tevens gevraagd in
haar advies in te gaan op de wijze waarop in dit wetsvoorstel uitvoering
wordt gegeven aan de motie Kuiken c.s. in het licht van de Europese
richtlijnen inzake het schadeverzekeringsbedrijf, en ter vervanging
daarvan richtlijn 2009/138/EG (Solvency II).

De Afdeling advisering van de Raad van State onderschrijft de strekking
van het wetsvoorstel, maar maakt een aantal opmerkingen met betrekking
tot onder meer de kwaliteit van zorg en de verantwoordelijkheid
daarvoor, de reikwijdte van het voorstel en de bescherming van
persoonsgegevens. Zij is van oordeel dat in verband daarmee enige
aanpassing van het voorstel wenselijk is.

1.	Inleiding

Nadat het voorstel van wet tot wijziging van de Wet gebruik
burgerservicenummer  in de zorg in verband met de elektronische
informatieuitwisseling in de zorg (hierna: wetsvoorstel EPD) op 5 april
2011 door de Eerste Kamer is verworpen, is in debatten met de beide
Kamers aangegeven dat er geen nieuw wetsvoorstel zal komen met
betrekking tot de elektronische uitwisseling van gegevens in de zorg.
Wel zou worden bekeken in hoeverre bestaande wetten reeds adequate
voorzieningen bevatten, respectievelijk dienen te worden aangepast met
het oog op veilige en betrouwbare elektronische gegevensuitwisseling in
de zorg.

Daartoe heeft een juridische analyse plaatsgevonden, waaruit naar voren
is gekomen dat slechts op een beperkt aantal punten de huidige wetgeving
aanpassing behoeft. Daaraan geeft het wetsvoorstel uitvoering. Voorts
zal een algemene maatregel van bestuur (amvb) op basis van artikel 26
Wet bescherming persoonsgegevens (Wbp) uitwerking geven aan specifieke
eisen op het punt van de elektronische gegevensuitwisseling.

Met betrekking tot de regels omtrent het verwerken van medische
persoonsgegevens, de dossierplicht van de hulpverlener en de rechten van
de cliënt met betrekking tot dat dossier zijn thans  de Wet op de
Geneeskundige Behandelingsovereenkomst (WGBO) en de Wbp van belang.
Voorts worden in het   voorstel van Wet cliëntenrechten zorg (Wcz), dat
voortbouwt op de artikelen in de WGBO, de cliëntenrechten uitgebreid en
verder versterkt. 

Ingevolge artikel 454, eerste lid, WGBO moet iedere hulpverlener een
dossier inrichten met betrekking tot de behandeling van de patiënt. Het
begrip dossier is vormvrij, zodat ook een elektronisch dossier onder
deze bepaling valt.

Voor de zorgverlener geldt een beroepsgeheim. Alleen met instemming van
de patiënt mag door hem informatie worden verstrekt over of inzage
verleend in het dossier van deze bij hem onder behandeling zijnde
patiënt. Dat is alleen anders voor degenen die rechtstreeks betrokken
zijn bij zijn behandeling, zij mogen zonder toestemming de gegevens
inzien. De regels van de WGBO zijn op dit punt een "lex specialis" ten
opzichte van de algemene bepalingen in de artikelen 16, 21 en 23 Wbp.   
  

In het wetsvoorstel is een bepaling opgenomen die de uitdrukkelijke
toestemming van de cliënt vereist voordat zijn gegevens worden
opgenomen in een elektronisch uitwisselingssysteem (opt-in). Daarbij
heeft de cliënt ook het recht om bepaalde hulpverleners op voorhand uit
te sluiten. Verder wordt voorgesteld een expliciete verplichting voor de
zorgaanbieder op te nemen om toestemming te vragen aan de cliënt voor
het verstrekken en opvragen van gegevens uit een elektronisch
uitwisselingsysteem (ten behoeve van andere zorgaanbieders). Uit de
toelichting blijkt dat dit aanvullende voorwaarden zijn ten opzichte van
de bepalingen in de WGBO en de Wbp. De Afdeling stelt op grond hiervan
vast dat geen wijziging wordt aangebracht in de huidige omvang van het
beroepsgeheim van de zorgverlener zoals hiervoor vermeld.

Ook zonder dit wetsvoorstel is de huidige regelgeving toereikend voor
het beschikbaar stellen van medische gegevens via een elektronisch
uitwisselingssysteem. De Afdeling heeft er echter begrip voor dat gelet
op de verschillende vormen van elektronische gegevensuitwisseling en de
vele noodzakelijke technische beveiligingen, het wenselijk wordt geacht
de voorgestelde aanvullende verplichtingen expliciet in de wet op te
nemen.     

 

Na de verwerping van het wetsvoorstel EPD heeft de Minister van
Volksgezondheid, Welzijn en Sport (VWS) haar medewerking aan het
Landelijk Schakelpunt (LSP) beëindigd. Door een tekort aan financiële
dekking is een doorstart van het LSP niet meer mogelijk gebleken en is
het aan zorgaanbieders om vorm te geven aan informatie-uitwisseling.   

Omdat de koepels van zorgaanbieders van mening zijn dat het vervallen
van de LSP-infrastructuur buitengewoon onwenselijk zou zijn voor de
kwaliteit van de gezondheidszorg, hebben zij besloten te komen tot een
private doorstart van het LSP. 

Naar aanleiding van deze berichtgeving heeft de vaste commissie voor VWS
van de Eerste Kamer de minister gevraagd met een aantal kaders en
randvoorwaarden rekening te houden. Zo dient de reikwijdte van de
voorziening zich te beperken tot digitaal gegevensverkeer op regionaal
niveau. De minister heeft hierop geantwoord dat aan de nu voorgestelde
infrastructuur regionaal op private wijze is vorm gegeven en dat de
patiënt in dat verband toestemming geeft voor regionale uitwisseling
van zijn gegevens, zij het dat hij wel expliciet kan aangeven dat zijn
gegevens landelijk beschikbaar moeten zijn. Verder wijst de commissie
naast de noodzakelijke juridische inkadering op de bijzondere taak van
de minister voor de standaardisatie op het terrein van de
gegevensuitwisseling in de zorg, alsmede ten aanzien van de bewaking van
eenheid in taal en terminologie op dit terrein. De juridische vereisten
zijn opgenomen in het voorliggende wetsvoorstel terwijl de sector, naar
het oordeel van de minister, zelf verantwoordelijk is voor de
inhoudelijke ontwikkeling. 

Met de private doorstart van het LSP is de
verantwoordelijkheidsverdeling veranderd. De vereniging van
zorgaanbieders voor zorgcommunicatie (VZVZ) heeft de
verantwoordelijkheid op zich genomen voor het servicecentrum (het
voormalige LSP). Zij is daarmee verantwoordelijke in de zin van de Wbp.
De minister is niet betrokken bij de wijze waarop het servicecentrum
functioneert. Uitgangspunt is dat het servicecentrum en de VZVZ moeten
voldoen aan de geldende regelgeving, waarop door het College Bescherming
Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ)
wordt toegezien. Het VZVZ legt geen verantwoording af aan de minister.
Ook bij de communicatie naar de burger toe heeft de minister geen
betrokkenheid. De minister is wel verantwoordelijk voor het stellen van
aanvullende regels met betrekking tot elektronische uitwisseling van
medische gegevens in de Wcz.   

Verder streven de bij de doorstart betrokken partijen naar een zo hoog
mogelijke aansluiting van de zorgaanbieders op de infrastructuur, omdat
adequate gegevensuitwisseling als randvoorwaarde wordt gezien voor
verantwoorde zorg. Zorgverzekeraars zullen bij het afsluiten van de
contracten de aansluiting op het LSP niet betrekken voordat de koepels
van zorgaanbieders aansluiting op het LSP als kwaliteitseis voor de
beroepsgroep hebben vastgesteld. 

Ter uitvoering van de in de juridische analyse geschetste tekortkomingen
in de huidige regeling voorziet het wetsvoorstel in aanpassingen op het
vlak van onder meer de elektronische inzage door de cliënt, en de
toestemming van de cliënt alvorens gegevens elektronisch kunnen worden
opgevraagd. Dit heeft geresulteerd in een regeling die zich beperkt tot
een aantal juridische punten. Het is niet op voorhand duidelijk hoe deze
regeling in de praktijk zal gaan werken. Daarenboven bestaat op dit
moment nog geen zicht op de inhoud van de regeling op grond van artikel
26 Wbp, die specifieke eisen aan de elektronische gegevensuitwisseling
zal stellen.

Beide aspecten staan in de weg aan een goede beoordeling van het
voorliggende voorstel. In het onderstaande wordt hierop nader ingegaan. 
 

2.	Kwaliteit van zorg en verantwoordelijkheid

Blijkens de toelichting bevat het wetsvoorstel aanvullende
randvoorwaarden voor het eventuele gebruik van een elektronisch
uitwisselingssysteem, maar schrijft dit het gebruik daarvan niet voor.
Iedere gegevensuitwisseling die op elektronische wijze plaatsvindt, zal
moeten voldoen aan de vereisten van het wetsvoorstel. Dit geldt voor
alle systemen, waaronder het LSP. 

Op de zorgaanbieder rust, anders dan in het wetsvoorstel EPD, geen
verplichting om zich aan te sluiten op een elektronisch
uitwisselingssysteem. Wel zal de zorgaanbieder bij de vorming van het
dossier van de cliënt de geldende regels van de Wbp en de WGBO in acht
moeten nemen.

    

Het wetsvoorstel beperkt zich tot het formuleren van rechten van de
cliënt bij elektronische dossiervorming, bij gegevensuitwisseling door
zorgaanbieders en bij het opvragen van gegevens. Op welke wijze deze
elektronische uitwisseling zal plaatsvinden, wordt niet in dit
wetsvoorstel geregeld.

Aldus is de zorgaanbieder verantwoordelijk voor de wijze waarop de
uitwisseling van cliëntgegevens plaatsvindt. Nu het wetsvoorstel geen
vereisten formuleert waaraan elektronische gegevensuitwisseling moet
voldoen, zal de zorgaanbieder zich moeten richten op de door de
beroepsgroep te formuleren kwaliteitsnorm(en).      

Ingevolge artikel 5 Wcz heeft de cliënt jegens de zorgaanbieder recht
op goede zorg. Ook het gebruikmaken van hulpmiddelen en apparatuur bij
het verlenen van zorg, waaronder de wijze waarop persoonsgegevens worden
verwerkt, maakt onderdeel uit van de verplichting tot het leveren van
goede zorg. In die zin is ook de elektronische uitwisseling van gegevens
een kwaliteitsaspect en dient deze veilig, volledig en accuraat te
geschieden. Kwaliteit van gegevensuitwisseling wordt dan ook mede
bepaald door de technische en organisatorische randvoorwaarden zoals
beveiliging, werkprocessen en een betrouwbare authenticatie- en
identificatie-infrastructuur. 

De overheid heeft de verantwoordelijkheid voor de bescherming van het
recht op privacy. Dat geldt ook voor het terrein van de zorg. De
overheid kan deze verantwoordelijkheid niet ter zijde schuiven. Zij
beschikt over doorzettingsmacht en verkeert in de positie om
technologische onveiligheid aan te pakken en afwenteling van negatieve
gevolgen te reguleren. Zonder een afgewogen
verantwoordelijkheidsverdeling zouden burgers uitsluitend op zichzelf
zijn aangewezen om eventuele problemen die voortkomen uit onveiligheid
van uitwisselingsystemen op te lossen.     

Het wetsvoorstel leidt ertoe dat private partijen weliswaar
verantwoordelijk zijn/worden voor de uitwisselingssystemen, maar dat
neemt niet weg dat de minister, als de bewaker in laatste instantie van
de kwaliteit van de zorg, uiteindelijk aanspreekbaar blijft op de
kwaliteit van de gegevensuitwisseling, met name in situaties waarin
private partijen tekort (dreigen te) schieten. De vraag hoe de minister
dan zijn verantwoordelijkheid invult, is nog onbeantwoord. 

De Afdeling wijst in dit verband op het volgende.  

De voorgestelde wijziging van de Wcz bevat geen normerende voorschriften
wat betreft de infrastructuur, de identificatie en authenticatie van
cliënten, zorgaanbieders en zorgverleners en de autorisatiestructuur
voor de toegang tot de gegevens. De functionele, technische en
organisatorische eisen voor de elektronische gegevensverwerking zullen
worden opgenomen in een amvb op grond van artikel 26 Wbp. Deze regeling
is echter nog niet gereed. De Afdeling merkt in dit verband op dat
uniformering van de hiervoor bedoelde eisen van groot belang is, opdat
een adequate uitwisseling van patiëntgegevens via een elektronisch
uitwisselingssysteem op verantwoorde wijze kan plaatsvinden.

Het wetsvoorstel heeft betrekking op iedere gegevensuitwisseling die op
elektronische wijze plaatsvindt. In de praktijk kunnen zorgaanbieders
gebruik (moeten) maken van verschillende systemen. Ook cliënten die
onder behandeling zijn van meer dan één zorgaanbieder, kunnen
geconfronteerd worden met verschillende uitwisselingssystemen. Niet valt
uit te sluiten dat cliënten zich daardoor moeten bedienen van
verschillende inlogsystemen. Uit de toelichting blijkt niet of hiermee
is rekening gehouden, noch of dit aan de toegankelijkheid van het
verkrijgen van gegevens door een cliënt in de weg staat. Dit geldt
mutatis mutandis ook voor zorgverleners zelf. Uit de toelichting wordt
niet duidelijk hoe voorzien zal worden in een juiste aansluiting van de
elektronische uitwisselingssystemen op elkaar en of de bescherming van
de persoonsgegevens daarbij voldoende geborgd is. Het goed functioneren
van de onderlinge uitwisseling zal dan ook afhangen van de eisen die nog
gesteld moeten worden aan de elektronische uitwisselingssystemen.

De Afdeling adviseert daarom in het licht van het vorenstaande in de
toelichting een schets van de contouren van de amvb op grond van art 26
Wbp op te nemen. Daarnaast adviseert zij in de toelichting duidelijkheid
te verschaffen over de interventiemogelijkheden van de minister, als
uiteindelijke verantwoordelijke voor de kwaliteit van de zorg, in
situaties dat private partijen hun verantwoordelijkheid voor een veilig
en betrouwbaar elektronisch uitwisselingssysteem, niet (meer) kunnen of
willen waarmaken. 

 

3.	Reikwijdte van het voorstel

Uit de definitie van een elektronisch uitwisselingssysteem kan worden
opgemaakt dat het wetsvoorstel niet ziet op een systeem voor de
uitwisseling van gegevens binnen een zorgaanbieder. De toelichting sluit
hierbij aan: het wetsvoorstel heeft betrekking op uitwisseling van
gegevens tussen zorgaanbieders en niet op een systeem binnen een
zorginstelling.

Deze keuze roept enige onduidelijkheid op. 

a. De zorgaanbieder 

In artikel 1, eerste lid, onderdeel f, onder 1e en 2e , Wcz wordt met
zorgaanbieder aangeduid de natuurlijke persoon die, het verband van
natuurlijke personen dat of de rechtspersoon die bedrijfsmatig zorg doet
verlenen, alsook de solistische werkende zorgverlener. De zorgaanbieder
kan ook een organisatorisch verband van instellingen in standhouden,
waarin de zorg wordt verleend door meerdere personen.  

“In de Wcz is duidelijk dat de primaire verantwoordelijkheid voor
naleving van rechten van de cliënt en voor goede zorg ligt bij de
zorgaanbieder. De zorgaanbieder moet zodanige afspraken maken met de
individuele zorgverleners dat hij zijn verantwoordelijkheden kan
waarmaken.“, aldus de nota naar aanleiding van het nader verslag.     


Uit de toelichting bij het voorliggende voorstel blijkt niet of
bovenstaande betekent dat een zelfstandige
beroepsbeoefenaar/zorgverlener die niet in dienst is van een instelling
een overeenkomst moet sluiten met de instelling waar hij werkzaam is om
deel te nemen aan het zorginformatiesysteem van die instelling. Deze
zorgverlener kan ook een samenwerkingsverband aangaan met andere
instellingen/zorgaanbieders. Dat kan betekenen dat hij, afhankelijk van
de instelling waar hij de zorg verleent, kan worden geconfronteerd met
zowel verschillende interne informatiesystemen alsook met verschillende
uitwisselingssystemen. Door het ontbreken van uniformiteit in de
verwerking, kan gegevensverwerking door de grote hoeveelheid
inlogmogelijkheden kwetsbaar worden. 

Dat geldt ook in die situaties waar de zorgaanbieder, zijnde de
rechtspersoon, op verschillende locaties een instelling exploiteert waar
de verschillende instellingen (nog) een eigen elektronisch
uitwisselingssysteem gebruiken. In dat verband zou ook ingegaan moeten
worden op de vraag of de toestemming die de cliënt heeft verstrekt bij
een zorgverlener in instelling A voor interne gegevensuitwisseling, ook
geldt voor instelling B.

b. Samenwerkende zorgaanbieders

De zorgaanbieder is primair verantwoordelijk voor de zorg die hij
levert. Het streven naar kwaliteitsverbetering en efficiency heeft
geleid tot verdergaande specialisatie en daardoor tot
samenwerkingsverbanden tussen zorgaanbieders en zorgverleners.
Ziekenhuizen gaan zich toeleggen op bepaalde specialismen en
behandelingswijzen waardoor deze op minder locaties dan voorheen zullen
worden verricht. Het voor- en natraject zal daardoor in minder
gespecialiseerde instellingen kunnen plaatsvinden. Cliënten zullen door
deze ontwikkelingen voor de behandeling van een bepaald type aandoening
meer dan voorheen in aanraking  komen met verschillende zorgaanbieders. 

Uit de toelichting blijkt niet of het wetsvoorstel beoogt dat de cliënt
in een dergelijk geval jegens iedere zorgaanbieder binnen een
samenwerkingsverband van zorgaanbieders en zorgverleners uitdrukkelijke
toestemming moet verlenen alvorens zijn persoonsgegevens via een
elektronisch uitwisselingssysteem beschikbaar mogen worden gesteld.
Voorkomen moet worden dat het veelvuldig vragen om toestemming een goede
zorgverlening belemmert en leidt tot meer administratieve lasten.     

c. Beveiliging van uitwisselingssystemen 

In beginsel is de zorgaanbieder, als verantwoordelijke in de zin van de
Wbp, gehouden tot het treffen van passende organisatorische en
technische beveiligingsmaatregelen om medische persoonsgegevens te
beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Een
eerste vereiste is dat de zorgaanbieder intern aan de eisen van de Wbp
voldoet. Schiet hij hierin tekort, dan is ook veilige
gegevensuitwisseling naar andere (externe) zorgaanbieders niet goed
mogelijk.  

De amvb ter uitvoering van artikel 26 Wbp zal eisen  bevatten voor zowel
het individuele zorginformatiesysteem van een zorgaanbieder als voor de
uitwisseling tussen systemen en derhalve een ruim bereik hebben.

De voorgestelde wijziging van de Wcz heeft deze brede reikwijdte echter
niet. Gelet op de nauwe relatie tussen het voorliggende wetsvoorstel en
de nadere invulling van het normatieve kader in de amvb is de
uitzondering voor uitwisselingssystemen binnen een instelling daarin dan
ook niet aanstonds duidelijk.

De Afdeling vat het vorenstaande als volgt samen.

Gelet op de primaire verantwoordelijkheid van de zorgaanbieder voor de
kwaliteit van de informatieverstrekking nopen alle vorengenoemde
situaties tot het stellen van eisen aan de toegang tot de
cliëntendossiers, zowel binnen de afzonderlijke instellingen als via de
uitwisselingssystemen tussen instellingen en zorgaanbieders. Het
voorstel maakt niet duidelijk op welke wijze aan de kwaliteit van de
informatiesystemen invulling kan en zal worden gegeven gelet op de
dynamisch ontwikkelingen in de aard van de zorgverlening. In het licht
van die ontwikkelingen hoort vast te staan wanneer, of in welk stadium,
een cliënt uitdrukkelijk toestemming moet verlenen voor de
gegevensverstrekking.  

De Afdeling adviseert in de toelichting op het voorgaande in te gaan en
zo nodig het wetsvoorstel aan te vullen.

4.	Bescherming persoonsgegevens

Het CBP heeft geadviseerd de toelichting op een aantal punten aan te
vullen.  De opmerkingen hebben met name betrekking op de verhouding
tussen het wetsvoorstel en de Wbp dan wel de WGBO en op de gelijktijdige
inwerkingtreding van de nog op te stellen amvb op grond van artikel 26
Wbp.    

De toelichting is dienovereenkomstig aangevuld. Op twee aspecten wordt
hier nog in het bijzonder ingegaan.

a. In het voorgestelde artikel 23a, eerste lid, Wcz wordt bepaald dat de
zorgaanbieder gegevens van de cliënt slechts beschikbaar stelt via een
elektronisch uitwisselingssysteem voor zover de cliënt hem daartoe
toestemming heeft gegeven. De toelichting vermeldt dat voor het
verwerken van persoonsgegevens betreffende iemands gezondheid op grond
van artikel 23, eerste lid, onderdeel a, Wbp, ook nu al uitdrukkelijke
toestemming moet worden gegeven. 

Zoals in de inleiding reeds aan de orde is gekomen is ook zonder dit
wetsvoorstel het beschikbaar stellen van medische gegevens via
elektronische uitwisselingssystemen toereikend geregeld. Nu evenwel uit
de toelichting zelf niet blijkt welke overwegingen geleid hebben tot het
expliciteren van de voorgestelde aanvullende verplichtingen, geeft de
Afdeling in overweging de toelichting op dit punt aan te vullen.     

b. Het CBP wijst erop dat de door de cliënt aan de zorgaanbieder te
verlenen toestemming bij het beschikbaar stellen van zijn gegevens via
een elektronisch uitwisselingssysteem moet voldoen aan de eisen van
artikel 23, eerste lid, onder a, Wbp. Het gaat hier om een
uitdrukkelijke toestemming, die een vrije, specifieke en op informatie
berustende wilsuiting dient te zijn.     

Het voorgestelde artikel 23a, eerste lid, onder a, Wcz vereist eveneens
toestemming (het zogenoemde opt-insysteem), maar spreekt niet van
uitdrukkelijke toestemming. Dit is niet bevreemdend, nu ook artikel 16
van de Wcz, dat de toestemming voorafgaand aan de geneeskundige
behandeling regelt, uitsluitend spreekt van toestemming. In deze
toestemming is immers mede inbegrepen dat de cliënt daaraan voorafgaand
voldoende is geïnformeerd. Verder wordt met het vereiste van de
registratie ingevolge het voorgestelde artikel 23b, tweede lid, Wcz
zeker gesteld dat expliciet toestemming wordt gevraagd. 

Deze registratieplicht beperkt zich tot de toestemming van de cliënt
wat betreft het beschikbaar stellen van gegevens (of te wel het opnemen
van gegevens: artikel 23a, eerste lid), maar ziet niet op de toestemming
die de cliënt eveneens 

moet geven indien andere zorgaanbieders zijn gegevens willen inzien
(het verstrekken van gegevens: artikel 24, eerste lid, Wcz, zoals
voorgesteld in gewijzigde vorm). Nu de eis van uitdrukkelijke
toestemming ingevolge artikel 23, eerste lid, onder a, van de Wbp geldt
voor het verwerken van persoonsgegevens en het inzien en verstrekken van
persoonsgegevens ook valt onder het verwerken, zal in de systematiek van
het wetsvoorstel tevens moeten worden voorzien in uitdrukkelijke
toestemming voor deze vorm van verwerking.

Het vorenstaande betekent dat in artikel 23b, tweede lid, niet alleen
verwezen moet worden naar artikel 23a, eerste lid, maar ook naar artikel
24, eerste lid, Wcz.

De Afdeling adviseert het artikellid in die zin aan te vullen.    

5.	Reacties zorgaanbieders

Paragraaf 1.3 van de toelichting bevat een overzicht van de reacties van
de koepels van zorgaanbieders op de juridische analyse, maar geeft niet
aan in hoeverre deze opmerkingen verwerking gevonden hebben in het
wetsvoorstel.    

Voor zover de reacties betrekking hebben op de amvb ter uitvoering van
artikel 26 Wbp, zullen deze in dat kader worden meegenomen.

Daarnaast zijn kanttekeningen geplaatst die weliswaar strikt genomen tot
de technische uitwerking behoren van de werking van het elektronisch
uitwisselingssysteem, maar die voor een goed begrip van het wetsvoorstel
niet gemist kunnen worden. Zo vraagt de KNMG zich af wie als
verantwoordelijke in de zin van de Wbp moet worden aangemerkt, wanneer
er sprake is van het opvraagbaar maken ten behoeve van elektronische
uitwisseling, wat de inhoud van het medisch dossier moet zijn, hoe de
inzage in een elektronisch dossier door de cliënt verloopt, hoe veilig
de toegang is en of de hulpverlener dagelijks het logbestand moet
controleren.

Soortgelijke vragen over de inhoud van het medisch dossier, de
veiligheid van het systeem en de uitvoerbaarheid door systemen zijn
gesteld door de NVZ. 

Mede in licht van het vorenstaande adviseert de Afdeling in de
toelichting op deze aspecten in te gaan.  

6.	Ontbrekende aspecten

a. Aansprakelijkheid 

De toelichting bevat geen passage omtrent de aansprakelijkheid in het
geval van fouten in het systeem. De aansprakelijkheid is geregeld in het
BW, niet in de Wcz. De minister heeft toegezegd alsnog een analyse aan
de toelichting toe te voegen.  

b. Financiering

De zorgverzekeraars zullen met de zorgaanbieders afspraken maken over de
financiering. De structurele financiering van het LSP gaat binnen de
reguliere bekostiging van de zorg plaatsvinden, als onderdeel van de
reguliere tariefsonderhandelingen. Niet duidelijk is of dit ook voor
andere uitwisselingssystemen zal gelden, noch wat het voor
zorgaanbieders kan gaan betekenen als de zorgverzekeraars de andere
(reeds bestaande) systemen buiten die bekostiging zullen laten vallen. 

c. Sancties

De minister heeft toegezegd na te gaan in hoeverre er specifieke
aandacht is voor de medische gegevens met betrekking tot het
wetsvoorstel. Een en ander laat onverlet dat niet duidelijk is wat de
gevolgen zijn als het bepaalde in het voorstel niet juist of niet
volledig wordt uitgevoerd en welke sancties ter handhaving dan mogelijk
of nodig zijn, onverminderd de bevoegdheid van het Cbp op grond van de
Wbp.

De Afdeling adviseert de toelichting op de voorgaande punten aan te
vullen.

7.	Toetsing Solvency II richtlijn 

De regering heeft de Afdeling verzocht in haar advies in te gaan op de
wijze waarop in dit wetsvoorstel uitvoering wordt gegeven aan de motie
Kuiken c.s., in het licht van de Europese richtlijnen inzake het
schadeverzekeringbedrijf, en ter vervanging daarvan richtlijn
2009/138/EG (Solvency II). De Afdeling leidt uit de toelichting af dat
haar in het bijzonder wordt verzocht in te gaan op de verhouding tussen
de punten 2 en 3 van de motie Kuiken c.s. (hierna: de motie) en artikel
54 van de Derde richtlijn Schadeverzekering, deze bepaling wordt op
termijn vervangen door artikel 206 van de richtlijn Solvency II. 

In punten 2 en 3 van de motie wordt de regering verzocht de wetgeving zo
aan te passen dat, bij overtreding door een verzekeraar van het verbod
zich toegang te verschaffen tot het EPD, de verzekerde, wiens polis het
betreft, de mogelijkheid wordt gegeven de zorgverzekering en de
aanvullende verzekering per direct op te zeggen en bij een tweede
overtreding binnen vijf jaar alle verzekeringsnemers van de
zorgverzekeraar het recht wordt verleend de zorgverzekering en de
aanvullende polis op te zeggen.

In de memorie van toelichting wordt hierover het volgende opgemerkt: "Op
grond van de Europese richtlijnen inzake het schadeverzekeringbedrijf,
en ter vervanging daarvan richtlijn 2009/138/EG (Solvency II), mag een
lidstaat alleen regels aan verzekeraars (waaronder zorgverzekeraars) en
hun verzekeringen stellen, voor zover dat noodzakelijk is ter
bescherming van het algemeen belang. Een opzegrecht voor alle
verzekeringnemers dat ertoe kan leiden dat de verzekeraar zijn
verplichtingen ten aanzien van verzekeringnemers die niet opzeggen, niet
meer kan nakomen, is een disproportionele sanctie waarmee het algemeen
belang niet is gediend. De sanctie zou daarmee strijd opleveren met de
Europese schaderichtlijnen en Solvency II". 

Bij de totstandkoming van de Zorgverzekeringswet (Zvw) is aan de orde
geweest dat de toen geldende Europese richtlijnen inzake het
verzekeringsbedrijf van toepassing waren. De vraag die in dit verband op
kwam was, of een inbreuk op de voorschriften van deze richtlijnen
gerechtvaardigd kan worden met een beroep op het algemeen belang op
grond van artikel 54 van de Derde richtlijn Schadeverzekering. In de
memorie van toelichting bij de Zvw werd deze vraag bevestigend
beantwoord en werd hierbij met name verwezen naar een brief van de
Europese Commissie. Meer in het bijzonder werd opgemerkt dat vanwege de
aard en gevolgen van een privaat ziektekostenverzekeringssysteem de
Derde richtlijn Schadeverzekering het een lidstaat toestaat om
specifieke wettelijke voorschriften op te leggen aan verzekeraars om het
algemeen belang te beschermen. Voor zover dergelijke voorschriften de
vrijheid van vestiging en het vrij verkeer van diensten beperken, moeten
ze noodzakelijk en proportioneel zijn.

Een wettelijk voorschrift ter zake van verzekeringsovereenkomsten, zoals
in de punten 2 en 3 van de motie Kuiken voorgesteld, is zonder
onderscheid van toepassing en moet aldus kunnen worden gerechtvaardigd
met een beroep op het algemeen belang en moet voorts noodzakelijk en
proportioneel zijn. 

Ziet de Afdeling het goed dan wordt met de motie beoogd de belangen van
de verzekeringsnemers, in het bijzonder hun privacy, te beschermen. De
bescherming van de consument / verzekerde in het algemeen is in de
jurisprudentie van het Hof van Justitie reeds als gerechtvaardigd
algemeen belang erkend. 

Voor een beoordeling van de proportionaliteit van de voorschriften moet
naar het oordeel van de Afdeling een onderscheid worden gemaakt tussen
de punten 2 en 3 van de motie. Een wettelijk voorschrift dat een
verzekerde tot wiens EPD de verzekeraar zich ten onrechte toegang heeft
verschaft, de mogelijkheid biedt de zorgverzekering en de aanvullende
verzekering per direct op te zeggen (punt 2 van de motie), heeft een
beperkt bereik. De mogelijkheid om de verzekeringsovereenkomst op te
zeggen, komt slechts de individuele verzekerde toe die ten onrechte in
zijn privacy is aangetast. 

De Afdeling onderschrijft dan ook de wijze waarop in de artikelen III en
IV van het wetsvoorstel uitvoering is gegeven aan punt 2 van de motie. 

Dit is anders indien op basis van punt 3 van de motie alle
verzekeringsnemers van de zorgverzekeraar het recht zou worden verleend
de zorgverzekering en de aanvullende polis met onmiddellijke ingang op
te zeggen. Het bereik van een dergelijke bepaling is aanmerkelijk
ruimer. Daarbij wijst de toelichting op de mogelijkheid dat een zodanig
groot aantal verzekeringnemers van deze mogelijkheid gebruik zal maken
dat de financiële soliditeit van de zorgverzekeraar in gevaar komt (in
zekere zin is dan sprake van een 'bank-run' op een verzekeraar). Een
dergelijk gevolg is naar het oordeel van de Afdeling onwenselijk. Om die
reden ligt het geven van bijvoorbeeld een aanwijzing of het gebruik van
het instrument van "naming en shaming" door de toezichthouder, waardoor
herhaling van de overtreding zou kunnen worden voorkomen, meer in de
rede.  

De Afdeling is, met de regering, van oordeel dat hiermee niet langer
sprake is van een wettelijk voorschrift dat noodzakelijk en
proportioneel is. Punt 3 van de motie staat daarmee op gespannen voet
met artikel 54 van de derde richtlijn schadeverzekering en artikel 206
van de Solvency II richtlijn.    

8.	Voor redactionele kanttekeningen verwijst de Afdeling naar de bij het
advies behorende bijlage.

De Afdeling advisering van de Raad van State geeft U in overweging het
voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal,
nadat met het vorenstaande rekening zal zijn gehouden.

De vice-president van de Raad van State,

Bijlage bij het advies van de Afdeling advisering van de Raad van State
betreffende no.W13.12.0254/III met redactionele kanttekeningen die de
Afdeling in overweging geeft.

In artikel I, onderdeel A, in het nieuwe onderdeel o, van artikel 1,
eerste lid, Wcz, de woorden "kunnen verzenden" wijzigen in "kan
verzenden".

In artikel III, onderdeel B, de verwijzing naar artikel 9b, wijzigen in
9d.

	Kamerstukken II 2011/12, 27 529, nr. 99.

	Bij de verwerping van het wetsvoorstel EPD is ook de motie Tan
(Kamerstukken I 2010/11, 31 466, Y) aangenomen, waarbij de regering
onder meer is gevraagd om binnen de wettelijke kaders van de Wbp, de Wet
BIG en de WGBO te komen tot een nadere wettelijke regeling van :

	1. normen en standaarden voor zowel digitale dossiervorming en
-ontsluiting, als de overdracht van gegevens;

	2. eisen met betrekking tot de veiligheid;

	3. toezicht, handhaving en sancties; en

	4. inzage door de patiënt, het verstrekken van afschrift aan de
patiënt en transport van gegevens op verzoek van de patiënt.

	Voor de volledige juridische analyse zij verwezen naar Kamerstukken II
2010/11, 27 529, nr. 82.

	Burgerlijk Wetboek, boek 7, artikelen 446 t/m 468.

	Kamerstukken II 2009/10, 32 402. 

	Artikel 19 Wcz geeft iedere cliënt het echt jegens de zorgaanbieder
dat de ze laatste en dossier inricht met betrekking tot de
zorgverlening. 

	Artikel 457 WGBO. Artikel 24 Wcz formuleert hetzelfde in de vorm van
een recht van de cliënt.

	Paragraaf 1.5 van het Algemeen deel van de toelichting. 

	Dit blijkt ook uit de juridische analyse (Kamerstukken II, 2010/11, 27
529, nr. 82).

	Kamerstukken II 2010/11, 27 529, nr. 82, blz. 6.

	Motie Tan (Kamerstukken I, 2010/11, 31 466, nr. X).

	Brief van de minister van 8 november 2011 (Kamerstukken II 2011/12, 27
529, nr. 89).

	De partijen (NPCF, VHN, LHV, KNMP en NVZ)  hebben daartoe een
Organisatie van Zorgaanbieders opgericht die zou gaan fungeren als
Verantwoordelijke voor de gegevensuitwisseling. Voor de inhoud van het
Doorstartmodel (van de koepels van apothekers, huisartsen,
huisartsenposten en ziekenhuizen) zij verwezen naar Kamerstukken II
2011/12, 27 529, nr. 102 met bijlagen. Uitgangspunt voor rechtmatige
verwerking is de uitdrukkelijke toestemming van de patiënt. Elke
zorgaanbieder die gegevens uit het dossier van zijn patiënt voor
raadpleging (pull) door andere zorgaanbieders beschikbaar wil stellen,
vraagt daarvoor toestemming aan de patiënt. De zorgaanbieder
registreert de toestemming of het onthouden van toestemming in zijn
eigen zorginformatiesysteem. Geïnformeerd door hun zorgaanbieder
bepalen patiënten door middel van uitdrukkelijke toestemming of hen
betreffende gegevens beschikbaar mogen worden gesteld voor raadpleging
via de infrastructuur. De patiëntgegevens worden uitsluitend voor
zorgaanbieders of zorginstellingen in de regio beschikbaar gesteld.

	Verwezen zij ook naar motie Mulder (Kamerstukken II 2011/12, 27 529,
nr. 90, blz. 1).

	Kamerstukken II 2011/12, 27 529, nr. 90, blz. 2-3; Kamerstukken I,
2011/12, 27 529, A, blz. 5.

	Wat betreft de persoonsgegevens.

	Wat betreft de kwaliteit van zorg.

	Kamerstukken II 2011/12, 27 529, nr. 106, blz. 2-3 en Kamerstukken I
2011/12, 27 529, E, blz. 4. . 

	Het LSP is één van de mogelijkheden.

	Kamerstukken II 2011/12, 27 529, nr. 103, blz.13 en Kamerstukken I
2011/12, 27 529, E, blz. 5.

	Paragraaf 1.1 van de toelichting.

	De systemen als hier bedoeld zijn de zogenoemde schakelsystemen
waardoor gegevensuitwisseling tussen zorgaanbieders en met zorgverleners
buiten de instelling mogelijk is. De zorgaanbieder is verantwoordelijk
voor de gegevensuitwisseling binnen de instelling; deze
gegevensuitwisseling valt buiten de reikwijdte van het voorstel.

	Kamerstukken II 2011/12, 27 529, nr. 86, blz. 8-9: De elektronische
gegevensuitwisseling vindt niet alleen via het LSP plaats, maar ook via
alle regionale systemen. Zie ook: Kamerstukken II, 27 529, nr. 112, blz.
22, midden, en Kamerstukken I 2011/12, 27 529, E, blz. 3.

	Wel kunnen verzekeraars in contracten afspraken maken over veilige en
gestandaardiseerde elektronische communicatie tussen zorgaanbieders
onderling. De zorgverzekeraars hebben aangegeven de eis niet in
contracten op te nemen voordat deze is vastgesteld als kwaliteitseis
door de beroepsgroep zelf (zie Kamerstukken II 2011/12, 27 529, nr. 112,
blz. 23)

	Zoals hierboven reeds is gesteld, is dit een gevolg van de verschuiving
van verantwoordelijkheden en taken. Stond aanvankelijk de rol van de
overheid meer voorop bij de instandhouding van het LSP en de invoering
van de verplichting tot deelname aan het EPD, nu zijn het primair de
zorgaanbieders zelf die verantwoordelijk zijn voor de instandhouding van
de netwerken van elektronische gegevensuitwisseling. Dit heeft ook
gevolgen gehad voor de aard van de wetaanpassingen, die nu worden
voorgesteld (Kamerstukken II 2010/11, 27 529, nr. 82, blz. 1).

	Memorie van toelichting bij artikel 5 Wcz (Kamerstukken II 2009/10, 32
402, nr. 3, blz. 109).

	Rapport WRR – iOverheid, maart 2011, blz. 217.

	Artikel 8 EVRM op grond waarvan volgens vaste rechtspraak de overheid
een positieve verplichting heeft om het recht op privacy actief te
beschermen. Verwezen zij ook naar: WRR – iOverheid, blz. 81-82.

	De overheid kan voorschrijven wie welke risico's moet dragen. Zie ook
WRR – iOverheid, blz. 168 en 219 en de kabinetsreactie op dit rapport
(Kamerstukken II 2011/12, 26 643, nr. 211, blz. 5): "Met betrekking tot
de private sector heeft de Rijksoverheid vooral een faciliterende rol.
Indien het op dat niveau mis dreigt te gaan, kan met regelgeving worden
ingegrepen."

	De overheid heeft ter zake van de volksgezondheid een uitdrukkelijke
zorgplicht. Zie artikel 22, eerste lid, Grondwet, artikel 11 ESH en
artikel 12 IVESCR.

	Daarbij kan gedacht worden aan huisarts, apotheek en ziekenhuis. 

	Vergelijkbaar met de onderling verschillende inlogsystemen bij banken.

	Memorie van toelichting, Deel II Artikelsgewijze toelichting, onder
artikel I, onderdeel A, voorlaatste alinea.

	Bij nota van wijziging is de definitie van zorgaanbieder gewijzigd
(Kamerstukken II 2010/11, 32 402, nr. 7). 

	Verwezen zij naar de toelichting bij dit artikelonderdeel (Kamerstukken
II 2009/10, 32 402, nr. 3, blz. 90).  

	Kamerstukken II 2011/12, 32 402, nr. 9, blz. 7, gelezen in samenhang
met de blz. 16-17.

	Verwezen zij ook naar het Bestuurlijk hoofdlijnenakkoord 2012-2015
tussen de Nederlandse Vereniging van Ziekenhuizen, de Nederlandse
Federatie van Universitair Medische Centra, Zelfstandige Klinieken
Nederland, Zorgverzekeraars Nederland het Ministerie van Welzijn,
Volksgezondheid en Sport van 4 juli 2011 (bijlage bij Kamerstukken II
20101/11, 29 248, nr. 215). Zie ook: NZA – Marktscan Medisch
specialistische zorg, Weergave van de markt 2006-2011, mrt. 2012.

	In het rapport "Staat van de Gezondheidszorg 2011" heeft de IGZ er op
gewezen dat de dossiervoering in veel zorginstellingen onder de maat is.
Daarnaast is de manier waarop de informatie uitgewisseld wordt binnen en
buiten zorginstellingen vaak slecht geregeld (Kamerstukken II 2011/12,
27 529, nr. 108, blz. 3). Verwezen zij ook naar de Rapportage van
definitieve bevindingen van het CBP inzake het onderzoek naar
toegangsbeveiliging van medische gegevens in het Ruwaard van Putten
Ziekenhuis van 31 augustus 2012 (z2012-00179), waaruit blijkt dat het
ziekenhuis niet voldoet aan de in de NEN 7510 voorgeschreven
maatregelen. Dit betekent dat niet is zeker gesteld dat in het
ziekenhuis toegang tot medische persoonsgegevens uitsluitend mogelijk is
voor medewerkers die daartoe gerechtigd zijn. (blz. 7)    

	Kamerstukken II 2010/11, 27 529, nr. 82, blz. 8-10.

	Advies van 4 april 2012.

	Toelichting bij Artikel I, onderdeel D en Artikel II, Onderdeel B,
eerste tekstblok. Zie ook Toelichting, Algemeen, par. 1.7. Dit geldt ook
met betrekking tot het voorgestelde artikel 24, eerste lid, Wcz. 

	Paragraaf 1.2 van het Algemeen deel van de toelichting volstaat met de
verwijzing naar de juridische analyse (Kamerstukken II 2010/11, 27 529,
nr. 82).

	Voor deze laatste omschrijving zij verwezen naar de definitie van
toestemming, zoals geformuleerd in artikel 1, onderdeel i, Wbp.

	Kamerstukken II 2009/10, 32 402, nr. 3, blz. 50-51.

	Zie ook toelichting bij artikel 23b Wcz. 

	Kamerstukken II 2010/11, 27 529, nr. 82.

	Koninklijke Nederlandsche Maatschappij ter bevordering der Geneeskunst.

	Nederlandse Vereniging van Ziekenhuizen.

	Kamerstukken II 2011/12, 27 529, nr. 112, blz. 26.

	Kamerstukken II 2011/12, 27 529, nr. 112, blz. 28.

	Kamerstukken II 2011/12, 27 529, nr. 112, blz. 29.

	Kamerstukken II 2011/12, 27 529, nr. 99. Bij brief van 12 april 2012
heeft de Minister van VWS gereageerd op onderdeel 4 van de motie Kuiken
(Kamerstukken II 2011/12, 27 529, nr. 106, blz. 4-5). Op onderdeel 5 van
de motie is de minister ingegaan in haar brief van 22 juni 2012
(Kamerstukken II 2011/12, 27 529, nr. 109, blz. 4-5).

	Richtlijn 92/49/EEG van de Raad van 18 juni 1992 tot coördinatie van
de wettelijke en bestuursrechtelijke bepalingen betreffende het directe
verzekeringsbedrijf, met uitzondering van de levensverzkeringsbranche,
en houdende wijziging van de Richtlijnen 73/239/EEG en 88/357/EEG (derde
richtlijn schadeverzekering PbEG 1992 L228). 

	Richtlijn 2009/138/EG van het Europees Parlement en de Raad van 25
november 2009 betreffende de toegang tot en uitoefening van het
verzekerings- en herverzekeringsbedrijf (PbEU 2011 L 335) 

	Artikel 54 van de Derde richtlijn schadeverzekering wordt vervangen
door artikel 206 van de richtlijn Solvency II. In het nader rapport bij
de Implementatiewet richtlijn Solvabiliteit II heeft de regering
opgemerkt 'dat artikel 206 in richtlijn solvabiliteit II vrijwel
identiek is aan artikel 54 (oud) uit de derde richtlijn
schadeverzekering. Beide artikelen hebben dan ook eenzelfde betekenis
voor de Nederlandse wetgeving.' (Kamerstukken II 2011/12, 33 273, nr. 4)

	Kamerstukken II 2003/04, 29 763, nr. 3. 

	Commissie tegen Duitsland 205/84 Jur., 1986, 3806- 3807.

	Verwezen zij onder meer naar het Protocol tussen DNB en de NZa inzake
samenwerking en coördinatie op het gebied van toezicht, regelgeving,
beleid, (inter)nationaal overleg en andere taken met een
gemeenschappelijk belang van december 2006.  

 PAGE    

  PAGE  2 

 PAGE   I 

AAN DE KONINGIN

........................................................................
...........