[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Regie op elektronische gegevensuitwisseling in de zorg

Informatie- en Communicatietechnologie (ICT) in de Zorg

Brief regering

Nummer: 2021D38913, datum: 2021-10-15, bijgewerkt: 2024-02-19 10:56, versie: 4

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-27529-268).

Gerelateerde personen: Bijlagen:

Onderdeel van kamerstukdossier 27529 -268 Informatie- en Communicatietechnologie (ICT) in de Zorg.

Onderdeel van zaak 2021Z18111:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2021-2022

27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg

35 824 Regels inzake het elektronisch delen en benaderen van gegevens tussen zorgverleners in aangewezen gegevensuitwisselingen (Wet elektronische gegevensuitwisseling in de zorg)

Nr. 268 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 oktober 2021

Voor zorgverleners en voor de mensen aan wie zij zorg verlenen is het belangrijk dat zij tijdig over de juiste informatie beschikken, zodat de juiste zorg op de juiste plaats en op het juiste moment geleverd kan worden. Dit is op dit moment nog niet altijd het geval. Zorgverleners wisselen nog steeds veel uit op papier of via de fax. Daarnaast moet er nog vaak informatie worden overgetypt, dit zorgt soms voor fouten en levert een flinke bijdrage aan de administratieve lastendruk in de zorg. Ook moeten mensen hun verhaal vaker vertellen, omdat zorgverleners niet over alle informatie beschikken. Om het uitwisselen van gegevens in de zorg beter, sneller en eenvoudiger te laten verlopen is het noodzakelijk om de gegevensstromen te digitaliseren; dit is een grote opgave.

Over dit onderwerp zijn aan uw Kamer door mijn voorgangers meerdere brieven gezonden en met uw Kamer debatten gevoerd. De urgentie is groot en mede daarom heeft het zorgveld mij samen met uw Kamer gevraagd nog meer regie te nemen. Dit onder meer met de gewijzigde motie van de leden Aukje De Vries (VVD), Dijkstra (D66) en Van den Berg (CDA) die verzoekt «regie te nemen en tevens te onderzoeken of het mogelijk is een wettelijke basis te creëren voor het verplichten van een goede, verantwoorde en veilige elektronische gegevensuitwisseling tussen zorgaanbieders»1. Een dergelijke verplichting is een volgende stap in de stapsgewijs toegenomen rol van de overheid in het versnellen van elektronische gegevensuitwisseling in de zorg in de afgelopen jaren. Ik onderschrijf de noodzaak daartoe en werk nauw samen met de partijen in het zorgveld om versnelling te realiseren, want zowel de overheid als het veld kunnen dit niet alleen.

Het wetsvoorstel elektronische gegevensuitwisseling in de zorg is op 3 mei van dit jaar aan uw Kamer aangeboden (Kamerstuk 35 824, nrs. 1 tot en met 4). Mijn voorgangers op dit dossier hebben uw Kamer daaraan voorafgaand met voortgangsbrieven geïnformeerd (Kamerstuk 27 529, nrs. 219, 230, 263 en 189).

Gelijktijdig met deze brief bied ik uw Kamer zowel de nota naar aanleiding (Kamerstuk 35 824, nr. 6) van het verslag als een nota van wijziging (Kamerstuk 35 824, nr. 7) aan, waarmee in het wetsvoorstel verduidelijkt wordt dat dit wetsvoorstel niet verplicht tot het uitwisselen van gegevens en daarmee het mogelijk breken van het medisch beroepsgeheim. Dit mede gezien de vragen vanuit uw Kamer hierover.

In het eerste deel van deze brief leg ik uit hoe de Wegiz werkt en hoe deze wet de komende jaren elektronische uitwisseling in de zorg gaat versnellen. Ik schets welke afspraken ik met de zorg wil gaan maken om tot implementatie te komen en hoe de planning eruit ziet. De Wegiz is een kaderwet; nadere invulling en implementatie zullen dus stapsgewijs plaatsvinden.

In het tweede deel van de brief neem ik uw Kamer mee in de randvoorwaarden om te komen tot zorgbrede elektronische uitwisseling. De Wegiz verplicht elektronische uitwisseling voor specifieke situaties, bijvoorbeeld als er een beeld uitgewisseld moet worden tussen ziekenhuizen. Dat is noodzakelijk, maar niet voldoende om zorgbreed informatie te laten stromen. Daarom zet ik ook maximaal in op het scheppen van de juiste randvoorwaarden. In deze brief ga ik onder meer in op de ontwikkeling en het beheer van informatiestandaarden, op het digitaal identificeren en adresseren van zorgverleners, op het kunnen vaststellen dat – indien nodig – toestemming is gegeven voor uitwisseling, en op herijking van de grondslagen voor gegevensuitwisseling passend bij de omslag van papier naar digitaal. Daarnaast ga ik in op informatieveiligheid, op de rol van leveranciers en op maatschappelijk acceptabele kosten van elektronische gegevensuitwisseling. Tot slot ga ik in het tweede deel van deze brief ook in op hergebruik van informatie voor betere zorg van morgen en op de internationale context.

I De Wegiz

Met het wetsvoorstel Elektronische gegevensuitwisseling in de zorg en de aanwijzing van verplichte elektronische gegevensuitwisselingen neemt de overheid weer een grotere rol in de totstandkoming van gegevensuitwisseling in de zorg. Dit wetsvoorstel zorgt ervoor dat gegevens die tussen zorgverleners worden uitgewisseld voor het verlenen van goede zorg verplicht elektronisch worden uitgewisseld. Hieronder beschrijf ik eerst hoe het wetsvoorstel eruit ziet; ik leg uit welke afspraken ik met de zorg wil gaan maken en wat er vastgelegd gaat worden in de onderliggende AMVB’s. Het zorgveld heeft zelf een rol in het bepalen welke gegevensuitwisseling wanneer verplicht elektronisch wordt, ik licht op welke wijze deze planning tot stand komt.

Het wetsvoorstel

Het wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) is een heel zichtbare stap in de toenemende regie van de overheid op de digitalisering van de informatiestromen in de zorg. Dit wetsvoorstel zorgt ervoor dat gegevens die tussen zorgverleners worden uitgewisseld voor het verlenen van goede zorg verplicht elektronisch worden uitgewisseld. De Wegiz bepaalt niet welke gegevens nodig zijn voor goede zorg, dat bepalen zorgprofessionals zelf. De Wegiz schrijft alleen voor dat dit moet zijn vastgelegd in een kwaliteitsstandaard of in wet- en regelgeving. De Wegiz bepaalt voor aangewezen gegevensuitwisselingen wel dat deze ten minste elektronisch moeten verlopen en kan ook aanwijzen hoe, met welke eisen aan taal en techniek, dit moet.

De Wegiz kent een lange aanloop. Al in 2000 werd vastgesteld dat de potentie van elektronische gegevensuitwisseling groot was, maar dat er in de zorg nog onvoldoende gebruik werd gemaakt van de beschikbare mogelijkheden (Kamerstuk 27 529, nr. 1). In de jaren erna is vervolgens gewerkt aan de totstandkoming van wat het landelijk Elektronisch Patiëntendossier (EPD) ging heten. Hoewel de naam anders doet vermoeden werd hierbij gewerkt aan digitalisering van de gegevensuitwisseling en niet aan een landelijk dossier. Een kernelement daarvan was het Landelijk Schakelpunt, waarlangs gegevens elektronisch worden uitgewisseld. Het toenmalige wetsvoorstel dat regels stelde omtrent de infrastructuur en inrichting van een landelijk EPD (Kamerstuk 31 466, A) werd in 2011 door de Eerste Kamer verworpen. Onder meer omdat het zorgveld minder overheidsbetrokkenheid wilde. Op basis daarvan diende het lid Tan c.s. (Kamerstuk 31 466, X) een motie in. Daarin werd gevraagd om elke beleidsinhoudelijke, financiële en organisatorische medewerking aan de landelijke infrastructuur voor elektronische gegevensverwerking te beëindigen. De koepelorganisaties in de zorgsector hebben vervolgens het beheer van het Landelijk Schakelpunt – dat destijds al door de overheid was gerealiseerd – in eigen beheer genomen.

Door het veld zijn – met ondersteunende programma’s en maatregelen vanuit mijn ministerie – vervolgens nieuwe stappen in de richting van elektronische uitwisseling gezet. Er is een basis gelegd voor een genormaliseerde uitwisseling van gegevens. Dat wil zeggen: onafhankelijk van een specifieke elektronische infrastructuur. Het zorglandschap en de bijbehorende gegevensuitwisselingen zijn echter decentraal ingericht. Mede daardoor is de gewenste elektronische gegevensuitwisseling – ondanks de stappen die de afgelopen jaren door het zorgveld zijn gezet – nog niet voldoende tot stand gekomen. Zoals ik in de memorie van toelichting bij het wetsvoorstel (Kamerstuk 35 824, nr. 3) heb aangegeven, komt dat onder andere door een gebrek aan eenduidigheid in taal en techniek. Maar ook door het ontbreken van een samenhangende en centrale aanpak van alle betrokken partijen. Dat leidt in de praktijk tot vermijdbare fouten (zoals verkeerd gestelde diagnoses). Maar ook tot een toename van administratieve lasten (zoals overtypen) en een toename van de zorgkosten (bijvoorbeeld wanneer onderzoek moet worden overgedaan door het ontbreken van gegevens).

Gestimuleerd door de verzoeken vanuit zowel het zorgveld als uw Kamer2 trekt het kabinet sinds 2018 de regie meer naar zich toe om de totstandkoming van elektronische gegevensuitwisseling in de zorg te versnellen. Het aanbieden van de Wegiz aan uw Kamer vormt daarin een belangrijke mijlpaal.

Spoor 1 en spoor 2

Het doel van de Wegiz is het interoperabel uitwisselen van gegevens volgens een voor die aangewezen gegevensuitwisseling aangewezen norm. In die norm staan in ieder geval de eisen aan taal en techniek zodat systemen elkaar begrijpen en bereiken. Dit wordt ook wel aangeduid als spoor 2. Soms moeten voor een bepaalde gegevensuitwisseling eerst nog (grote) stappen worden gezet. Dan kan er met het oog op het behoud van tempo voor worden gekozen om eerst verplicht de aangewezen gegevens elektronisch uit te wisselen (spoor 1).

Maximale interoperabiliteit is dan nog niet verplicht, maar wel beoogd. Uiteraard worden het zorgveld en de ICT-leveranciers nauw betrokken bij het normalisatieproces. Zo wordt hun deskundigheid optimaal benut. Ook de (vertegenwoordigers van) cliënten worden betrokken.

In de kaders voor normen is expliciet opgenomen dat er een open standaard geldt ten aanzien van infrastructuren voor gegevensuitwisseling. Er wordt dus geen specifieke ICT-infrastructuur of -voorziening aangewezen voor de uitwisseling van gegevens. Anders dan bij het wetsvoorstel voor het landelijk EPD, houden zorgaanbieders hierdoor hun keuzevrijheid op het gebied van ICT-infrastructuur, -producten en -voorzieningen, tenzij in andere wetgeving ander is bepaald. Denk daarbij bijvoorbeeld aan het gebruik van de UZI-pas, waarop ik in het tweede deel van deze brief in ga.

Koppeling met het stelsel van kwaliteitsstandaarden

Met de Wegiz wordt het mogelijk om voor bij AMvB aangewezen gegevensuitwisselingen te bepalen hoe gegevens uitgewisseld moeten worden. Welke gegevens tussen zorgverleners worden uitgewisseld voor het verlenen van goede zorg wordt echter bepaald door de zorgprofessionals zelf. Wat goede zorg is leggen zorgprofessionals neer in onderdelen van de professionele standaard of in kwaliteitsstandaarden. Onderdelen van de professionele standaard, waaronder bijvoorbeeld veldnormen, zijn echter niet toereikend om naar te verwijzen in een AMvB onder de Wegiz, omdat deze vormvrij en eenvoudig te wijzigen zijn. Ook is de kenbaarheid en transparantie niet geborgd. Soms is een onderdeel van de professionele standaard niet meer dan «bestaande praktijk» en niet schriftelijk vastgelegd. Dit maakt dat onderdelen van de professionele standaard op een hoog tempo, zonder afstemming met alle betrokkenen en zonder berichtgeving kunnen worden aangepast. Daarom is in de Wegiz ervoor gekozen om aan te sluiten bij het stelsel van kwaliteitstandaarden.

Door de keuze voor een kwaliteitsstandaard als kenbare bron wordt geborgd dat gegevens daadwerkelijk worden uitgewisseld, zodat vanuit de Wegiz vervolgens eisen gesteld kunnen worden hoe deze gegevens worden uitgewisseld. Dat gegevens daadwerkelijk worden uitgewisseld wordt geborgd doordat de kwaliteitsstandaarden tripartiet tot stand komen, dat wil zeggen door organisaties van cliënten, zorgaanbieders of zorgverleners en zorgverzekeraars of Wlz-uitvoerders. Daarnaast is geborgd dat de gegevensuitwisseling kenbaar is voor de zorgverleners, door registratie ervan in het openbaar register van het Zorginstituut Nederland. Ten slotte geldt dat het uitgangspunt van een kwaliteitsstandaard is dat de kwaliteitsstandaard door de zorgverlener wordt toegepast. Dit geldt daarmee ook voor de vraag of het noodzakelijk is gegevens uit te wisselen.

De koppeling van gegevensuitwisseling aan kwaliteitsstandaarden moet met de komst van de Wegiz het uitgangspunt worden, waarbij ik merk dat deze praktijk vaak nog moet gaan aansluiten. Daarom is, om de snelheid te houden voor de vier geprioriteerde gegevensuitwisselingstrajecten, gekozen voor de mogelijkheid tijdelijk af te wijken van de eis dat de gegevensuitwisseling moet zijn neergelegd in een kwaliteitsstandaard (of in wet- en regelgeving). Dit is voor een periode van maximaal vijf jaar.

Ik heb het Zorginstituut Nederland gevraagd een actieve bijdrage te leveren ter ondersteuning van het zorgveld bij de realisatie van de relevante kwaliteitsstandaarden voor de op de Meerjarenagenda Wegiz geprioriteerde uitwisselingen. De komende jaren wordt er maximaal ingezet om de kwaliteitstandaarden die nodig zijn om de Wegiz een stap verder te brengen. In gesprek met het Zorginstituut Nederland en het zorgveld bekijk ik op welke wijze ook ik daarbij kan ondersteunen.

Planning en snelheid

Vliegwieleffect

De Wegiz verplicht elektronische gegevensuitwisseling stapsgewijs. Dat zou de indruk kunnen wekken dat dit leidt tot traagheid in de digitalisering van de zorg. Maar het maken van afspraken over de eenheid van taal en techniek hoeft niet te wachten op een aankomende verplichting onder de Wegiz. Daar waar dat nodig is vormt de aanwijzing van een gegevensuitwisseling onder de Wegiz het sluitstuk van landelijke implementatie door afspraken wettelijk te verplichten. De prioritering van gegevensuitwisselingen geeft ook focus voor landelijke initiatieven, zo sluit de Meerjarenagenda Wegiz aan bij grote programma’s in het zorgveld.

Elke aangewezen gegevensuitwisseling leidt tot verdere invulling van gezamenlijk gedragen standaarden, afspraken en eisen die breder toepasbaar zijn. Door hergebruik van afspraken wordt het met iedere gegevensuitwisseling makkelijker om een volgende gegevensuitwisseling te digitaliseren. Informatiebouwstenen die bijvoorbeeld eerder door een spoor 2-aanwijzing verplicht zijn, kunnen onderdeel worden van andere nieuwe elektronische uitwisselingen. Ook wanneer deze (nog) niet onder de Wegiz zijn genormeerd.

Het vliegwieleffect geldt ook voor het gebruik van persoonlijke gezondheidsomgevingen (PGO), waarin mensen zelf regie hebben op de eigen (medische) gegevens. Door de wettelijke verplichting voor zorgaanbieders bepaalde gegevens volgens standaarden elektronisch uit te wisselen, zijn deze gegevens ook eenvoudig te ontsluiten in een PGO. Daarbij geef ik Nederlands Normalisatie Instituut (NEN) als kader mee dat bij elke normontwikkeling in het kader van gegevensuitwisseling aan moet worden gesloten bij het afsprakenstelsel van MedMij.

Meerjarenagenda Wegiz

Welke gegevensuitwisselingen zullen worden verplicht is kenbaar voor iedereen. In de Meerjarenagenda Wegiz geef ik, samen met de zorgsector, de prioriteiten aan voor de komende jaren voor het bevorderen van elektronische gegevensuitwisseling in de zorg. Dat doen we vanuit de zorginhoud en de integraliteit, waarbij we op samenhang sturen. Uit de gegevensuitwisselingen die in 2019 zijn geselecteerd (op basis van advies van het Informatieberaad Zorg) zijn vier gegevensuitwisselingen geselecteerd. Deze «geprioriteerde gegevensuitwisselingen» worden met voorrang gerealiseerd.

Dit zijn Uitwisseling van beeld en bijbehorend verslag tussen MSZ-instellingen, Overdracht van de Basisgegevensset Zorg (BgZ) tussen MSZ-instellingen, digitaal voorschrijven en ter hand stellen en Verpleegkundige Overdracht.

Met de Wegiz zal ik de Meerjarenagenda Wegiz van een wettelijke basis voorzien. De Meerjarenagenda Wegiz zal, zodra deze wettelijke basis er is, alle gegevensuitwisselingen omvatten waarvan ik voornemens ben om deze onder de Wegiz aan te wijzen bij AMvB. Ik wil benadrukken dat de Meerjarenagenda niet een lijst van op zichzelf staande gegevensuitwisselingen is, maar dat er een grote mate van samenhang bestaat tussen de gegevensuitwisselingen. Zo komen de bouwstenen uit de Basisgegevensset Zorg (BgZ) ook voor in andere gegevensuitwisselingen en komt de uitwisseling van radiologische beelden de oncologische zorg weer ten goede.

Door het inbouwen van bouwstenen voor gegevensuitwisseling in het domein van de curatieve zorg kunnen in de toekomst ook eenvoudiger gegevens worden uitgewisseld met zorgaanbieders in de langdurige zorg. Door bijvoorbeeld de uitwisseling van medicatiegegevens en de BgZ in de curatieve zorg te realiseren ontstaan zo ook effecten over de zorgdomeinen heen. Deze samenhang geeft focus en biedt mogelijkheden voor versnelling. Het is mijn streven om in de komende jaren voort te bouwen op de samenhang tussen de gegevensuitwisselingen op de Meerjarenagenda Wegiz en deze verder te bevorderen. Om de prioriteiten aan te geven voor het veld en aan te sluiten bij de ontwikkelingen wordt de Meerjarenagenda Wegiz periodiek geactualiseerd.

Geactualiseerde Meerjarenagenda Wegiz

De Meerjarenagenda Wegiz is in de periode januari tot juni 2021 geactualiseerd in nauwe samenwerking met het zorgveld.3 De aanleiding om de Meerjarenagenda te actualiseren is dat sinds het opstellen van de oorspronkelijke Roadmap met gegevensuitwisselingen in 2019 meer duidelijkheid is gekomen over de gekozen systematiek van het wetsvoorstel en de redenen om een gegevensuitwisseling al dan niet aan te wijzen onder de Wegiz. Om uw Kamer een concreter beeld te geven van de beoogde werking van de Meerjarenagenda Wegiz en de gegevensuitwisselingen informeer ik u met deze brief over de uitkomsten van de actualisatie. Als bijlage bij deze brief treft uw Kamer de geactualiseerde Meerjarenagenda Wegiz aan en het daarbij behorende eindrapport.4

De Meerjarenagenda Wegiz bevat na actualisatie in totaal nog elf gegevensuitwisselingen, waarvan de vier eerdergenoemde gegevensuitwisselingen inmiddels met voorrang worden gerealiseerd. Bij de aanbieding van de Wegiz aan uw Kamer heb ik de verwachting uitgesproken om in de zomer met de geactualiseerde Meerjarenagenda Wegiz van deze vier gegevensuitwisselingen een zo volledig mogelijk tijdpad aan uw Kamer toe te kunnen zenden (Kamerstuk 27 529, nr. 263). Om invulling te geven aan mijn toezegging heb ik hieronder de te verwachten ingangsdatum van de AMvB voor de vier geprioriteerde gegevensuitwisselingen opgenomen en aanvullend daarop de fase waarin zij zich momenteel bevinden.

Bij het selecteren en uitwerken van een gegevensuitwisseling tot een aanwijzing bij AMvB onder de Wegiz worden vier fasen doorlopen. In de voorfase worden gegevensuitwisselingen door middel van een eerste toets beoordeeld op toegevoegde waarde, draagvlak en realiseerbaarheid. Daarna worden in de voorbereidingsfase twee verdiepende onderzoeken uitgevoerd, de maatschappelijke kosten baten analyse (MKBA) en de Volwassenheidsscan (VHS). De Volwassenheidsscan is ontwikkeld om te kunnen beoordelen in welke mate zorgaanbieders klaar zijn voor implementatie van een gegevensuitwisseling. In de uitvoeringsfase wordt vervolgens de aanwijzing bij AMvB uitgewerkt, waarna in de nazorgfase wordt toegezien op het nakomen van de gemaakte afspraken.5

Ingangsdatum en fase per gegevensuitwisseling

1. Uitwisseling van beeld en bijbehorend verslag tussen instellingen voor Medisch Specialistische Zorg (MSZ)

De onderzoeken die gedaan worden in de voorbereidingsfase (Volwassenheidsscan en MKBA) zijn afgerond en geven een positieve uitkomst. Door het veld is een voorstel voor een kwaliteitsstandaard ingediend bij het Zorginstituut en door Nictiz wordt een informatiestandaard ontwikkeld. Inmiddels is begonnen met de uitvoeringsfase. Daarbij is een begin gemaakt met het ontwikkelen van de benodigde NEN-norm en met de uitwerking van een AMvB. De beoogde spoor 2-aanwijzing kan naar verwachting in 2024 in werking treden, er wordt onderzocht of een eerdere stap gezet kan worden met een spoor 1-aanwijzing.

2. Overdracht van de Basisgegevensset Zorg (BgZ) tussen MSZ-instellingen

De onderzoeken die gedaan worden in de voorbereidingsfase (Volwassenheidsscan en MKBA) zijn afgerond. De uitkomsten van de MKBA zijn positief. De uitkomsten van de Volwassenheidsscan laten zien dat er nog behoorlijke stappen te zetten zijn richting implementatie. De vooruitzichten worden echter, mede door de uitvoering van het VIPP 5-programma en, de ontwikkeling van de benodigde kwaliteitsstandaard en informatiestandaard die onlangs is opgeleverd, toch als positief ingeschat. Op basis van de uitgevoerde onderzoeken is ervoor gekozen om meteen een spoor 2-aanwijzing uit te werken. Inmiddels is ook een start gemaakt met de ontwikkeling van de benodigde NEN-norm en de uitwerking van een AMvB. De beoogde spoor 2-aanwijzing kan naar verwachting in 2024 in werking treden.

3. Digitaal voorschrijven en ter hand stellen

De spoor 1-aanwijzing die momenteel wordt voorbereid bevindt zich in de uitvoeringsfase. Wanneer de Wegiz wordt aangenomen, kan de spoor 1-aanwijzing naar verwachting in 2023 in werking treden. Beoogd is om uiteindelijk een spoor 2-aanwijzing te realiseren. De voorbereidingsfase voor de spoor 2-aanwijzing loopt momenteel. Voor de herziening van de benodigde NEN-norm6 heeft recent de openbare commentaarronde plaatsgevonden. De uitkomsten hiervan worden nu door NEN in een volgende versie van de norm verwerkt. Een spoor 2-aanwijzing voor deze gegevensuitwisseling kan naar verwachting in 2026 in werking treden.

4. Verpleegkundige Overdracht

De voorbereidingsfase wordt momenteel doorlopen. Van de verdiepende onderzoeken in de voorbereidingsfase is de MKBA inmiddels afgerond. Door het zorgveld wordt momenteel de benodigde kwaliteitsstandaard opgesteld. Het stimuleringsprogramma InZicht loopt tot eind 2022. Naar verwachting kan eind 2022 ook een goede inschatting worden gemaakt van wat er aanvullend moet gebeuren om de Verpleegkundige overdracht breed te implementeren door middelen van een spoor 2-aanwijzing. In afstemming met het veld onderzoek ik momenteel of een spoor 1-aanwijzing voorafgaand aan een spoor 2-aanwijzing een reële mogelijkheid is. Naar verwachting is hier eind van dit jaar zicht op.

Voor de overige gegevensuitwisselingen op de Meerjarenagenda Wegiz is de ambitie om te komen tot een spoor 2-aanwijzing. Als opmaat naar een spoor 2-aanwijzing kan eerst een spoor 1-aanwijzing worden overwogen. Door middel van een spoor 1-aanwijzing kunnen namelijk lopende ontwikkelingen binnen het veld naar elektronische uitwisseling van gegevens worden versneld, afgerond en geborgd. De overige gegevensuitwisselingen op de Meerjarenagenda Wegiz zijn:

5. Medicatie- en toediengegevens;

6. Laboratoriumgegevens voor medicatie;

7. Contra-indicatie en overgevoeligheden;

8. De gegevensuitwisseling rondom geboortezorg;

9. Gegevensuitwisseling tussen geboortezorg en jeugdgezondheidszorg;

10. Beelduitwisseling pathologie;

11. Gegevensuitwisseling in de oncologische zorg.

De gegevensuitwisselingen vijf tot en met zeven zijn onderdeel van het lopende VWS-programma Medicatieoverdracht. Meer gedetailleerde informatie over de gegevensuitwisselingen en het gevolgde proces bij de actualisatie is te vinden in de Meerjarenagenda Wegiz en het bijbehorende eindrapport die als bijlage zijn bijgevoegd bij deze brief7.

Als het wetsvoorstel wordt aangenomen zal ik de Meerjarenagenda Wegiz voorafgaand aan de inwerkingtreding opnieuw actualiseren. Daarvoor zal ik een nieuwe uitvraag doen aan het zorgveld om gegevensuitwisselingen aan te dragen voor op de Meerjarenagenda, en zal ik ook zelf onderwerpen meegeven aan het veld waarvan ik van mening ben dat deze meer aandacht verdienen.

Vaststellen van geschiktheid voor aanwijzing

Als onderdeel van de voorbereidingsfase van een gegevensuitwisseling worden twee onderzoeken gedaan: de MKBA en de volwassenheidsscan. De MKBA is een bekend instrument om maatschappelijke kosten en baten in kaart te brengen. De volwassenheidsscan is door VWS samen met de Healthcare Information and Management Systems Society (HIMSS) ontwikkeld. De scan is bedoeld om te beoordelen in welke mate zorgaanbieders klaar zijn voor de implementatie van een gegevensuitwisseling. De volwassenheidsscan is onlangs getoetst in twee pilots. Een belangrijke uitkomst van de pilots is dat er bij zorgaanbieders inderdaad behoefte is aan een instrument als de volwassenheidsscan, als hulpmiddel bij het implementeren van een gegevensuitwisseling. Nictiz zal het instrument nu verder ontwikkelen naar een zelfscan voor zorgaanbieders en ook een voorstel doen voor beheer.

Rapportage ICT-landschap paramedische zorg

Specifieke afspraken zijn belangrijk om gegevens elektronisch te laten stromen. De voortgang op dit gebied wisselt erg per sector. Dit wordt nogmaals geïllustreerd in het als bijlage gevoegde rapport waarin Nictiz concludeert dat er op dit moment nauwelijks sprake is van gestructureerde elektronische gegevensuitwisseling in de eerstelijns paramedische zorg8. Naar aanleiding van het rapport van Nictiz verken ik samen met de partijen van de bestuurlijke afspraken paramedische zorg op welke manier gestructureerde elektronische gegevensuitwisseling vorm kan krijgen binnen deze sector. Deze verkenning moet in ieder geval inzicht geven in de baten en lasten die hiermee gepaard gaan.

Gateway review programma Elektronische gegevensuitwisseling in de zorg

Voor de zomer is op het programma Elektronische gegevensuitwisseling in de zorg een Gateway Review (Health Check) uitgevoerd. Op verzoek van uw Kamer heb ik bij de uitvoering van de Gateway Review tevens aandacht laten besteden aan de aandachtspunten die worden genoemd in de motie van het lid Renkema (Kamerstuk 27 529, nr. 226). Momenteel werk ik de opvolging van de aanbevelingen van de Gateway Review uit. Ik zal uw Kamer voor het eind van dit jaar over de vervolgstappen informeren.

II De randvoorwaarden

Het wetsvoorstel Wegiz kan alleen goed geïmplementeerd en uitgevoerd worden als het informatielandschap in de zorg op orde is. Gegevens moeten eenvoudig, veilig en op een toegankelijke manier uitgewisseld kunnen worden. Ik ben van plan op een aantal van deze onderwerpen steviger te gaan sturen. In dit tweede deel van deze brief beschrijf ik per onderwerp welke stappen ik al gezet heb en welke stappen in van plan de komende tijd nog te gaan zetten. Achtereenvolgens ga ik in op houderschap van informatiestandaarden, zorgbrede afspraken en voorzieningen, passende grondslagen voor gegevensuitwisseling, informatieveiligheid, kosten, hergebruik van informatie en de internationale context.

A. Houderschap van informatiestandaarden in de zorg

Bij de realisatie van elektronische gegevensuitwisseling in de zorg is een belangrijke rol weggelegd voor het gebruik van informatiestandaarden. Een informatiestandaard is kortweg een verzameling afspraken van veldpartijen die er voor moeten zorgen dat de zorginformatie met de juiste kwaliteit kan worden vastgelegd, opgevraagd, gedeeld, uitgewisseld en overgedragen.

Die standaarden moeten in samenhang beheerd en doorontwikkeld worden, dat ontbreekt op dit moment. In een eerder onderzoek naar houderschap van informatiestandaarden heeft adviesbureau Berenschot geadviseerd om het houderschap van informatiestandaarden bij een publiekrechtelijke organisatie neer te leggen (Kamerstuk 27 529, nr. 210). Het adviesbureau VKA heeft daarom een verkenning uitgevoerd op hoe publieke houderschap op beheer van informatiestandaarden vorm zou kunnen krijgen. Dit heeft geleid tot het advies «Governance van Informatiestandaarden in de zorg» dat ik u hierbij toezendt9.

VKA adviseert om het houderschap van informatiestandaarden voor een termijn van maximaal drie jaar onder te brengen bij een regie-organisatie waarin het veld en het Ministerie van VWS vertegenwoordigd zijn en samen wordt gewerkt op basis van een convenant. Dit betreft houderschap van die informatiestandaarden die niet bij een andere veldpartij als houder belegd kunnen worden of wanneer een programma een informatiestandaard heeft ontwikkeld, waarbinnen het houderschap was geborgd, eindigt. Zo kan ik er bijvoorbeeld op toezien dat normen onder de Wegiz aansluiten op afsprakenstelsels zoals MedMij, wat belangrijk is voor het ontsluiten in PGO’s.

Voor de inrichting van de governance voor informatiestandaarden op de lange termijn vormt de NEN 7522 norm een belangrijk uitgangspunt. In die drie jaar wordt onderzocht hoe invulling te geven aan de verschillende rollen die in de NEN 7522 zijn genoemd en of het houderschap ondergebracht moet worden bij een zelfstandig bestuursorgaan. Het VKA adviseert het beheer van het stelsel van informatiestandaarden als wettelijke taak bij Nictiz te beleggen, naast het functioneel en technisch beheer van specifieke informatiestandaarden. Dit zou Nictiz een rechtspersoon met een wettelijke taak als bedoeld in de Comptabiliteitswet 2016 maken. VKA stelt verder voor dat VWS het houderschap en beheer financiert.

Ik heb een kwartiermaker aangesteld om te onderzoeken of de inrichting die VKA adviseert wenselijk en noodzakelijk is en in dat geval ook zo te organiseren. De kwartiermaker bekijkt ook voor welke informatiestandaarden het nodig is om het houderschap en beheer nader vorm te geven. De resultaten van de kwartiermakerfase verwacht ik begin volgend jaar. Op basis van deze resultaten besluit ik hoe de feitelijke realisatie van publiek houderschap op de korte en lange termijn wenselijk is en in gang kan worden gezet.

B. Zorgbrede afspraken en voorzieningen

Elektronische gegevensuitwisseling kan niet zonder zorgbrede afspraken en voorzieningen. Denk aan het kunnen inloggen als zorgprofessional. In lijn van versterking van de publieke regie, en daartoe onder meer opgeroepen met de moties van de leden Van den Berg en Kerstens (Kamerstuk 27 529, nrs. 222 en 223) neem ik meer regie op een landelijk dekkend stelsel van infrastructuur, generieke functies en aanpalende ICT-voorzieningen.

Op dit moment bezie ik op welke wijze dit het beste vorm kan krijgen. Denk daarbij aan eisen aan toegang tot gegevens in systemen, zoals (open) Application Programming Interfaces (API’s)10. Of aan eisen aan interoperabiliteit tussen (delen van) infrastructuren, zoals de bestaande veldnorm NTA7516 voor veilige mail. Voor dergelijke overkoepelende afspraken onderzoek ik op welke wijze deze verplicht kunnen worden gesteld voor de zorg, in aansluiting en aanvulling op de eisen per gegevensuitwisseling die de Wegiz zal stellen.

Ook het Informatieberaad Zorg heeft mij geadviseerd over de behoefte aan landelijke ICT-voorzieningen en afspraken en over wat er door het zorgveld gezamenlijk tot stand kan worden gebracht. Het betreft onder andere afspraken of voorzieningen op het gebied van:

• Identificatie (manieren om de identiteit van cliënt en zorgaanbieder vast te stellen)

• Authenticatie (vaststellen wie de gebruiker is)

• Autorisatie (toekennen van rechten aan zorgaanbieders om gegevens in te zien)

• Toestemming (toestemming van de cliënt voor het delen van gegevens)

• Lokalisatie (wie heeft welke gegevens van welke cliënt)

Ik constateer met het Informatieberaad Zorg dat de invulling van dergelijke generieke functies in de zorg-ICT op dit moment ontoereikend is of soms zelfs ontbreekt, terwijl zonder deze functies geen elektronische gegevensuitwisseling tot stand komt. Als onderdeel daarvan heb ik aan NEN gevraagd om een plan van aanpak te maken hoe NEN-normen voor generieke functies in het plaatje kunnen passen. Duidelijk is dat het zorgveld als eerste behoefte heeft aan voorzieningen die op de korte termijn breed inzetbaar zijn, zoals de toestemmingsvoorziening Mitz voor het vaststellen van door mensen gegeven toestemming voor uitwisseling via uitwisselingssystemen en een goed elektronische inlogmiddel voor zorgverleners.

Vast staat dat ik steviger ga sturen op de totstandkoming van generieke voorzieningen in de zorg. Zorgverleners kunnen op dit moment in sommige sectoren gebruik maken van voorzieningen als Mitz en het ZorgAB (zorgadresboek voor adressering). Ik ga in gesprek met de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) om het implementatietempo en het gebruik van Mitz en het ZorgAB bij medicatieoverdracht en in de spoedzorg op te voeren en met hen te bezien welke ondersteuning ik daarbij kan bieden.

Daarnaast ontwikkel ik zelf een opvolger van de UZI-pas voor identificatie en authenticatie (hierover verderop in deze brief meer) en heb ik een voorziening ontwikkeld waarmee zorginstellingen via inlogmiddelen zoals DigiD hun digitale dienstverlening naar burgers kunnen ontsluiten (toegangsverleningsservice/TVS).

Aanvullend op bovenstaande initiatieven breng ik indien nodig ICT-voorzieningen onder mijn verantwoordelijkheid tot stand en beheer deze, zoals met de UZI-pas en bijbehorend register al het geval is. Zoals eerder aan uw Kamer is gemeld (Kamerstuk 27 529, nr. 230), stel ik een afwegingskader op om mijn precieze rol en sturingsvorm te bepalen. Vooruitlopend op dit kader wil ik bestaande initiatieven vanuit het zorgveld zo veel mogelijk ondersteunen om op de korte termijn knelpunten op te lossen. Zoals ik al doe met de voorziening Mitz in de gegevensuitwisseling bij spoed en medicatieoverdracht (Kamerstuk 27 529, nr. 219). Ik zal uw Kamer voor het einde van het jaar informeren over de vormgeving van het afwegingskader inzake regie op de landelijke infrastructuur, generieke functies en aanpalende ICT-voorzieningen en de wijze waarop deze voorziening geïmplementeerd gaan worden

Regie op het Landelijk Schakelpunt (LSP)

De moties van de leden Van den Berg en Kerstens (Kamerstuk 27 529, nrs. 222 en 223) verzoeken mij om meer regie te nemen op de bestaande landelijke infrastructuur het Landelijk Schakelpunt (LSP) en in gesprek te gaan met de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ). Het doel daarvan is ervoor zorgen dat de Patiëntenfederatie twee zetels krijgt in het bestuur van VZVZ en dat er een onafhankelijke voorzitter komt.

Het LSP is een zorginfrastructuur onder beheer van VZVZ. VZVZ is een vereniging opgericht door en met uitsluitend koepelorganisaties uit de zorg als leden. Op dit moment zijn dat er 1411. Ik kan uw Kamer melden dat Patiëntenfederatie Nederland lid is van de vereniging en statutair een kwart van de stemrechten heeft toegewezen gekregen. Gelet op het aantal leden en de stemverhoudingen komt dit momenteel neer op deelname aan de Algemene Vergadering door vier personen. De voorzitter wordt benoemd door de Algemene Vergadering; de Raad van Bestuur is eenhoofdig. Gezien de organisatievorm van een (private) vereniging waar het Ministerie van VWS geen deel van uitmaakt, is het niet mogelijk dat de Minister van VWS een bestuurder benoemt. Dit is voorbehouden aan de Raad van Toezicht van VZVZ12. De Patiëntenfederatie Nederland en VZVZ hebben aangegeven tevreden te zijn met de wijze waarop de betrokkenheid en zeggenschap door de Patiëntenfederatie Nederland is ingevuld.

Publieke voorziening voor Zorgverlener identificatie (UZI)

Om elektronische gegevensuitwisseling de komende jaren op te kunnen schalen moet er een veilig, betrouwbaar en gebruiksvriendelijk inlogmiddel beschikbaar zijn. Daartoe is het nodig om de UZI-pas en het bijbehorende register te herzien. Zodat in de toekomst alle professionals kunnen beschikken over een middel om als zorgverlener in te loggen.

In de afgelopen maanden heb ik in dat kader de wensen van het zorgveld ten aanzien van de digitale identificatie en authenticatie van zorgverleners in kaart gebracht. Hiertoe heb ik reeds beschikbare documentatie vanuit het zorgveld13 verzameld, expertsessies georganiseerd en gesprekken gevoerd14.

Uit deze verkenning blijkt dat zorgveld behoefte heeft aan een register en een inlogmiddel die toegankelijk, breed beschikbaar en betrouwbaar zijn. Dat betekent dat elke zorgaanbieder in het register moet staan en dat het inlogmiddel door elke zorgverlener in elke zorginstelling te gebruiken moet zijn. aandachtspunten die zijn meegegeven zijn gebruiksvriendelijkheid, inpasbaarheid binnen de eigen werkprocessen, locatie onafhankelijk kunnen werken en keuzevrijheid voor inlogmiddelen belangrijk te vinden en wil daarbij gebruik maken van erkende. In dat verband moet een zorgverlener (bijvoorbeeld een wijkverpleegkundige) locatie onafhankelijk kunnen inloggen om zo de benodigde gegevens over een cliënt op te halen.

Mede op basis van de geïdentificeerde wensen zijn een eerste herontwerp en implementatie gerealiseerd waarbij gebruik wordt gemaakt van bestaande publieke inlogmiddelen (DigiD). In de toekomst kan worden aangesloten op alle onder het wetsvoorstel Digitale Overheid erkende inlogmiddelen. Dit ontwerp wordt in de komende periode besproken met het zorgveld, leveranciers en andere belanghebbenden. Ik zal uw Kamer begin volgend jaar informeren over de voortgang van de uitfasering van de UZI-pas en de opvolger van het UZI-register.

C. Passende grondslagen

Ik vind het belangrijk dat gegevens beschermd zijn en uitwisseling van deze gegevens op stevige juridische gronden berust. Het wetsvoorstel elektronische gegevensuitwisseling in de zorg verplicht nadrukkelijk niet tot het uitwisselen van gegevens. Het doel van en de grondslag voor de verwerking van persoonsgegevens worden bepaald in andere regelgeving. De verplichting ziet alleen op het hoe van de uitwisseling, namelijk op elektronische wijze. Als binnen het bestaande wettelijke kader geen grondslag bestaat voor de uitwisseling van (bijzondere) persoonsgegevens, kan deze niet plaatsvinden.

Gegevens kunnen uitgewisseld worden, mits er een verwerkingsgrondslag als bedoeld in de AVG en een uitzonderingsgrond op het verbod om bijzondere persoonsgegevens als bedoeld in de AVG is. Tevens moet er een doorbrekingsgrond van het medisch beroepsgeheim als bedoeld in de Wgbo en de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) aanwezig zijn.

Als de verwerkingsgrondslag en uitzonderingsgrond «toestemming» is, dan vereist de AVG dat deze toestemming uitdrukkelijk is. Daarnaast bepaalt de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) dat ook uitdrukkelijke toestemming gegeven moet worden (zonder uitzondering) indien gebruik wordt gemaakt van een elektronisch uitwisselingssysteem. Het woord uitwisselingssysteem is hierbij verwarrend, omdat het niet gaat om alle elektronische uitwisseling. Het begrip ziet alleen op die vormen van uitwisseling waarbij gegevens van cliënten vooraf raadpleegbaar worden gemaakt voor nog onbekend later gebruik door andere zorgaanbieders (waarop de zorgprofessional die de gegevens beschikbaar stelt geen invloed meer heeft).

Daarom bepaalt de Wegiz dat een aangewezen gegevensuitwisseling niet slechts via een elektronisch uitwisselingssysteem mag verlopen. Zo wordt voorkomen dat als er een grondslag voor uitwisseling is maar de uitdrukkelijke toestemming voor uitwisseling via een elektronisch uitwisselsysteem ontbreekt, de gebruikte techniek die elektronische uitwisseling alsnog in de weg staat. Dat geen uitdrukkelijke toestemming is gegeven om een gegeven raadpleegbaar te maken voor later onbekend gebruik, wil namelijk niet zeggen dat op een later moment in de toekomst dat gegeven niet alsnog voor het verlenen van goede zorg wordt uitgewisseld. Ook in dat geval dient er sprake te zijn van een interoperabele gegevensuitwisseling, zodat de juiste gegevens op de juiste plek komen.

Analyse problemen rondom grondslagen

Tijdens het Algemeen Overleg van oktober 2020 is aan uw Kamer toegezegd om een separate brief over toestemming rondom gegevensuitwisseling te sturen. Deze brief volgt rond de jaarwisseling, ik geef hier alvast een tussenstand.

Zorgverleners beschikken soms niet over alle reeds beschikbare informatie voor zorg of behandeling wegens ontbrekende of onbekende toestemming.

Ik onderzoek op dit moment welke problemen bestaan rondom het verlenen van toestemming voor gegevensverwerking in de zorg. Hierbij onderzoek ik onder meer of de wettelijke grondslagen voor gegevensverwerking nog in lijn zijn met de omslag van papier naar digitaal. Over het pad dat ik wil bewandelen bij spoedzorg heb ik u eerder dit jaar reeds geïnformeerd (Kamerstuk 27 529, nr. 262). Bij het onder de loep nemen van de huidige wet- en regelgeving moet zowel het verlenen van goede zorg als de privacy van de cliënt worden meegenomen. Ik vind het van belang is dat hier zorgvuldig naar gekeken wordt. Uw Kamer heeft mij gevraagd hier ook het model dat in Estland gebruikt wordt15 in mee te nemen. Ik zal uw Kamer hier rond de jaarwisseling verder over informeren.

Toegankelijke toestemmingsregistratie en MITZ

Toestemmingsregistraties zijn op dit moment versnipperd. Zorgverleners hebben hierdoor vaak moeite te achterhalen of hun cliënten toestemming hebben gegevens voor het delen van hun gegevens.

Uw Kamer is tijdens het afgelopen AO ook toegezegd om te onderzoeken of de toestemmingsvoorziening Mitz als centrale voorziening voor toestemmingsregistraties ingezet kan gaan worden. De roep vanuit het zorgveld en patiëntenorganisaties om een breed beschikbare toestemmingsvoorziening is groot, daarom wordt VZVZ alvast in staat gesteld deze voorziening ter beschikking te stellen. Omdat het hier vaak medische gegevens betreft, moet het inloggen op Mitz gebeuren met een veilig inlogmiddel. In overleg met mijn collega van BZK is daarom overeengekomen dat Mitz onder strenge voorwaarden nu al op DigiD mag aansluiten. Voor een DigiD aansluiting is het vereist dat een aangesloten partij zelfstandig BSN-gerechtigd is. Hiertoe is een wettelijke grondslag nodig, die op dit moment wordt voorbereid.

Aantal bezoekers volgjezorg.nl

Tijdens het AO gegevensuitwisseling van 8 oktober 2020 (Kamerstuk 27 529, nr. 221) is uw Kamer een toezegging gedaan over in hoeverre door burgers gebruik gemaakt wordt van inzage in loggegevens via een andere toestemmingsvoorziening, namelijk de website volgjezorg.nl.

Volgjezorg is een website van VZVZ waarin burgers online toestemming kunnen regelen voor gegevens die uitgewisseld worden via het LSP. De website biedt daarnaast de mogelijkheid om inzage te krijgen wat er met je gegevens gebeurt en waar deze zijn ingezien. In 2020 hebben 300 duizend unieke bezoekers de persoonlijke omgeving van volgjezorg.nl bezocht.

In de eerste 5 maanden van 2021 waren dit er al 150 duizend. De beheerder van de website ziet de bezoeken stabiliseren op ongeveer 1,5 keer zoveel bezoeken als voor de coronapandemie.

D. Informatieveiligheid

De zorg kan alleen elektronisch gegevens uit te wisselen als zowel cliënten en zorgverleners erop kunnen vertrouwen dat de toegankelijkheid, continuïteit, vertrouwelijkheid, integriteit, betrouwbaarheid en betaalbaarheid van de informatievoorziening gegarandeerd is. Om dit te realiseren is het nodig dat partijen in de zorg zich voldoende bewust zijn van de risico’s op het gebied van informatieveiligheid en dat informatieveiligheid volledig geïntegreerd is in alle werkprocessen van en tussen de verschillende partijen, in en buiten de zorgsector.

De noodzaak van goede cyberweerbaarheid in Nederland is onlangs onderstreept door het recente adviesrapport van de Cyber Security Raad.16

Ik vind het belangrijk om te benadrukken dat informatieveiligheid primair de verantwoordelijkheid van zorgaanbieders zelf is. Ik neem wel meer regie op informatieveiligheid. Regie betekent dat ik waar nodig de zorg op dit vlak wil ondersteunen en dat ik in de komende jaren meer aandacht wil schenken aan het stellen van kaders. Bij de uitvoering van het door mij eerder gedeelde 4B-model: bewust worden, beveiligen, bewaken en blussen17, zal de komende twee jaar de nadruk van mijn informatieveiligheidsbeleid liggen op het verhogen van de bewustwording over digitale veiligheid, digitaal veilig gedrag en de geldende wet- en regelgeving. Dit doe ik door het project informatieveilig gedrag te steunen, intensief samen met Z-CERT te werken, bijvoorbeeld aan een risico gestuurde aanpak, en een herijking van de vitaliteitsbeoordeling van de zorg uit te voeren.

Project Informatieveilig gedrag

In eerdere brieven bent u geïnformeerd over het project «Informatieveilig gedrag in de zorg» dat ik in samenwerking met Brancheorganisaties Zorg (BoZ) uitvoer. Er lopen op dit moment meerdere pilots, binnen de gehandicaptenzorg, de GGZ, een algemeen ziekenhuis en een universitair medisch centrum, om gestructureerd gedragsverandering van informatieveilig gedrag in de praktijk toepasbaar te maken. Deze pilots hebben als doel dat zorgorganisaties effectieve aanpakken voor gedragsverandering kennen en gebruiken voor hun belangrijkste informatieveiligheidsproblemen. De eerste bevindingen uit de pilots laten een positieve trend zien; de ontwikkelede aanpak leidt tot positieve veranderingen in informatieveilig gedrag. De opgedane ervaringen uit de pilots zijn gebundeld, in de aanpak «Aan de slag met informatieveilig gedrag»18, waarmee zorgorganisaties zelf gestructureerde gedragsverandering van informatieveilig gedrag toe kunnen passen in de eigen organisatie. De aanpak focust op concreet en meetbaar veilig gedrag, leidt de zorgorganisatie stap voor stap door het proces en voorziet hen van tips, voorbeelden en formats.

Z-CERT als sectorale CERT voor de zorg

Bij de oprichting van Z-CERT, het expertisecentrum voor cybersecurity in de zorg, lag de focus op het leveren van basis CERT-diensten19, aan grote(re) zorginstellingen binnen de tweedelijnszorg (met name ziekenhuizen en GGZ-instellingen). Momenteel ontwikkelt Z-CERT zich tot een landelijk informatieknooppunt voor informatieveiligheid binnen de zorgsector en dit ondersteun ik. Z-CERT werkt zeer nauw samen met het Nationaal Cyber Security Centrum en met andere expertisecentra en zorg gerelateerde partners in het binnen- en buitenland. Op 1 februari 2021 heeft Z-CERT het eerste dreigingsbeeld voor de zorg gepubliceerd.20 Naast diensten specifiek voor de bij Z-CERT aangesloten organisaties ontwikkelt Z-CERT ook openbare kennisproducten, zoals de recent verschenen handreiking verlopen domeinnamen21 die op verzoek van en in samenspraak met het Ministerie van VWS is opgesteld, naar aanleiding van eerdere datalekken in de jeugdzorg.22

In februari 2019 verzocht uw Kamer om te verkennen of deelname van zorgaanbieders aan Z-CERT verplicht gesteld kon worden, in reactie op de motie van het Kamerlid Ellemeet over verplichte deelname van zorgaanbieders aan Z-CERT (Kamerstuk 27 529 nr. 177). Zoals gemeld in de vierde brief elektronische gegevensuitwisseling in de zorg gaat de voorkeur er naar uit de deelname aan Z-CERT in beheerst tempo laten verlopen, zodat de continuïteit en kwaliteit van de dienstverlening van Z-CERT gelijke tred kan houden.23 Daarom wordt deelname niet verplicht gesteld.

Ook is in genoemde brief aangegeven dat samen met Z-CERT onderzoek werd gedaan naar welke sectoren in de zorg de meeste risico’s lopen en dus het meeste baat hebben bij deelname aan Z-CERT. In de bijlage 1 treft u het rapport «Onderzoek naar de prioriteitstelling en aansluitbaarheid van zorgsectoren bij Z-CERT»24. Graag deel ik met u de eerste resultaten van deze risico gestuurde aanpak.

Bij vijf sectoren is gebleken dat ICT falen door cyberincidenten een relatief hoge impact heeft op de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening en hiermee op de continuïteit van de zorgverlening. Dit wil zeggen dat uitvallen van digitale systemen een verstorende werking kan hebben op het zorgproces waardoor de kwaliteit en de veiligheid van de zorg in gevaar kan komen. Deze vijf sectoren kennen daarmee een hogere prioriteit om aangesloten te worden bij Z-CERT. Dit zijn, in willekeurige volgorde:

A. Jeugdzorg (gecertificeerde jeugdzorginstellingen).

B. Publieke gezondheidszorg (Gemeentelijke Gezondheidsdiensten en GHOR).

C. Huisartsenzorg (huisartsenposten en huisartspraktijken).

D. Farmaceutische zorg (apotheken).

E. Ambulancezorg (ambulancediensten).

Om een vervolg te geven aan de uitkomsten van de risico gestuurde aanpak wordt momenteel in samenwerking met Z-CERT de aansluiting van deze sectoren bij Z-CERT aan het organiseren. Z-CERT is momenteel bezig met de voorbereiding voor de aansluiting van Jeugdzorg. Parallel hieraan lopen er verkennende gesprekken met de Ambulancezorg en de GGD GHOR. Ik zal verder opdracht geven om de toegepaste systematiek uit de risico gestuurde aanpak door te ontwikkelen zodat ook andere zorgsectoren op een snelle en effectieve wijze kunnen worden aangesloten bij Z-CERT. Hiermee heb ik uitvoering gegeven aan de motie Ellemeet.

Stand van zaken herbeoordelen vitaal verklaren zorg

In een eerdere brief bent u geïnformeerd over het wel of niet vitaal verklaren van de zorg (Kamerstuk 27 529, nr. 158). De rijksoverheid benoemt vitale processen om maatregelen te kunnen treffen die het risico op ernstige crises verkleinen en om in geval van een crisis sneller prioriteiten te kunnen stellen voor de respons op de crisis. Op dit moment word, door een externe partij de herijking van de vitaliteitsbeoordeling van het proces gezondheidszorg uitgevoerd. Het veld wordt hierbij betrokken. De eerste resultaten hiervan verwacht ik later dit jaar.

E. Kosten

De intensivering van elektronische gegevensuitwisseling zal van zorgaanbieders ook om investeringen in hun ICT-systemen vragen. Met dat in het achterhoofd is aan uw Kamer toegezegd te verkennen hoe kosten voor ICT terug te kunnen brengen middels versterking van de inkoop van ICT.

Versterking van de inkoop acht ik niet alleen belangrijk vanuit het oogpunt van het beperken van ICT kosten in de zorg, maar ook omdat het bij kan dragen aan de interoperabiliteit. De afgelopen tijd zijn de eerste stappen gezet op het versterken van de inkoopkracht. Zo heb ik aandacht besteed aan het bij elkaar brengen van de reeds ontstane gebruikersverenigingen.

Belangrijk is dat een gezamenlijke inkoop binnen de wettelijke kaders van marktwerking plaatsvindt. Het recent door de ACM gepubliceerde25 communiqué geeft aan dat daarin meer ruimte benut kan worden. De ACM stelt een leidraad op voor het verduidelijken van de uit de mededingingsregels vloeiende verplichtingen voor ICT-leveranciers en andere marktpartijen. De ACM geeft ook advies over de inkoopsamenwerking en technische afstemming ten behoeve van interoperabiliteit. In het verlengde daarvan wordt verder gewerkt aan samenwerking tussen de inkopende zorgorganisaties, koepels en hun gebruikersverenigingen. Aan de hand van dat onderzoek kan verder inzichtelijk gemaakt worden welke stappen mogelijk zijn om marktrisico’s weg te nemen. Zodra het ACM het definitieve rapport publiceert, zal ik deze met uw Kamer delen begeleid door een beleidsreactie.

F. Hergebruik van informatie

Het is belangrijk dat er bij het standaardiseren van uitwisselingen rekening wordt gehouden met hergebruik. Zo kan er geprofiteerd worden van de ontwikkelingen van het gebruik van data voor onderzoek en kwaliteit. Door gegevens vanaf het begin gestructureerd en genormaliseerd vast te leggen, wordt de herbruikbaarheid van die gegevens voor wetenschappelijk onderzoek, innovatie maar ook toezicht en beleid vergroot. Kamerleden Veldman en Van den Berg (Kamerstuk 35 570 XVI, nr. 112) hebben hierover op 3 december 2020 een motie ingediend. Graag ga ik in op deze motie.

Op dit moment ben ik met het veld in gesprek om inzicht te krijgen in welke wettelijke en beleidsmatige knelpunten het gebruik van data voor wetenschappelijk onderzoek en beleid bemoeilijken. Ik wil ook samen met het veld tot oplossingen komen. De (voorwaardelijk) toegewezen financiële middelen uit het Groeifonds aan Health-RI26 vormen hiervoor de basis.

Het verzoek in de hiervoor genoemde motie om te onderzoeken of er op Europees niveau eisen gesteld kunnen worden, hangen samen met de ontwikkelingen rondom het Europese project Towards a European Health Data Space Joint Action (TEHDAS JA). Bij het aantreden van de nieuwe Europese Commissie in november 2019, is het creëren van een Europese ruimte voor gezondheidsdata ook wel de European Health Data Space (EHDS) aangemerkt als één van haar speerpunten voor de periode 2019–2025.

Met het ontwikkelen van een gezamenlijke ruimte voor zorgdata wil de Commissie de beschikbaarheid van verschillende typen zorgdata bevorderen voor het verbeteren van behandelingen en onderzoek, innovatie en beleid, volgens de principes van transparantie en privacy conform de AVG. De Europese Commissie is voornemens om vóór het einde van dit jaar met een wetgevend voorstel te komen voor een Europese verordening die eisen stelt aan wie wat mag met welke gezondheidsdata en hoe zorgdata uitgewisseld worden, aan datakwaliteit, en aan de te gebruiken infrastructuren op het gebied van eenheid van taal en techniek (interoperabiliteit). Hierna zal het triloog zal plaatsvinden.

Parallel hieraan zal het kabinetsstandpunt worden geformuleerd waarover ik uw Kamer zal informeren. In voorbereiding op dit wetgevend voorstel, vindt er een openbare raadpleging Digitale gezondheidsgegevens en -diensten- Europese ruimte voor gezondheidsgegevens» plaats. Mijn reactie op deze openbare raadpleging zal ik met uw Kamer delen.

De Europese Commissie heeft ter voorbereiding op het wetgevend voorstel op de Europese ruimte voor gezondheidsgegevens een project opgezet genaamd Towards a European Health Data Space Joint Action (TEHDAS JA) waarin 26 landen (EU-landen, EER-landen) deelnemen. De TEHDAS JA heeft als doel ideeën en concepten te ontwikkelen die nodig zijn voor de implementatie van de Europese ruimte voor gezondheidsgegevens. Daarmee creëert het concrete voorstellen voor de wetgeving van de Europese Commissie. Ik heb het RIVM opdracht gegeven namens Nederland actief deel te nemen en input te leveren op dit wetgevend voorstel om ervoor te zorgen dat de Nederlandse belangen goed zijn geborgd. Dit betekent concreet dat de RIVM meeschrijft aan voorstellen over zowel de nationale en de Europese governancestructuur.

Waardevolle AI voor gezondheid

Hierboven heb ik uw Kamer meegenomen in mijn inspanningen gericht op secundair gebruik van data. Ook voor inzet van Artificiële Intelligentie (AI) voor gezondheid is het van belang dat er – op een veilige, betrouwbare en transparante manier – voldoende en kwalitatief goede data beschikbaar is.

Slimme inzet van artificiële intelligentie kan ons helpen om de juiste zorg op de juiste plek (op het juiste moment) te realiseren. Bijvoorbeeld door het gebruik van voorspelmodellen in preventie, diagnostiek of behandeling of door zorgverleners te ondersteunen met beeld-, spraak- of tekstherkenning. Om de ontwikkeling en implementatie van AI te versnellen en op te schalen ben ik in 2019 met het programma Waardevolle AI voor gezondheid gestart. Dit programma heeft als doel AI concreet van waarde te maken voor cliënten en zorgverleners.

Vanuit dat programma heb ik vorig jaar een inventarisatie laten maken van welke AI-toepassingen op dit moment in Nederland voor gezondheid en zorg worden ingezet in de praktijk27 en welke initiatieven en/of constructies er in Nederland bestaan om (zorg)data beschikbaar te maken voor AI28. Uit deze inventarisaties blijkt dat er op zich geen gebrek is aan gezondheidsdata, maar dat er wel beperkingen zijn aan het hergebruik van deze data voor de ontwikkeling en opschaling van AI-toepassingen voor de praktijk. Ook komt naar voren dat de geïnventariseerde AI-toepassingen veelal nog op kleine schaal toepast worden en zich concentreren op toepassingsgebieden waar het nut van AI zich inmiddels laat bewijzen: beeld-verwerkende technieken, veelal in de diagnostiek en aan het begin van het zorgproces.

Opschaling en verbreding van AI

De potentie van AI reikt echter veel verder, daarom werk ik samen met de Nederlandse AI Coalitie (NL AIC)29 aan opschaling en verbreding van AI naar alle zorgsectoren. Dit doen we door met praktische hulpmiddelen kansrijke AI initiatieven naar de praktijk te brengen en op te schalen, en daarbij zoveel mogelijk belemmeringen weg te nemen. De NL AIC richt zich daarnaast ook op het decentraal op zorgvuldige wijze beschikbaar maken van gezondheidsdata. Dit maakt regionale en nationale samenwerking door zorgprofessionals mogelijk en is daarom een belangrijke voorwaarde om de kracht van AI te kunnen benutten.

Een veldnorm voor AI

Ten slotte richt ik mij met het programma ook op het ondersteun van de zorg om te komen tot een veldnorm medische kwaliteit AI. Hiermee wil ik zorgverleners helpen de kwaliteit van aangeboden AI te beoordelen en ontwikkelaars helpen om kwalitatieve, betrouwbare AI te ontwerpen en realiseren. Hierbij werk ik samen met experts en vertegenwoordigers van (koepel)organisaties. Deze norm geeft ook eisen en criteria hoe met de data voor hergebruik omgegaan moet worden om daarmee tot betrouwbare en medisch inhoudelijk goede algoritmes te komen. Inzicht in de kwaliteit van AI vanuit medisch perspectief, helpt vertrouwen in het gebruik van dit soort intelligente algoritmes voor gezondheid te realiseren. De medisch inhoudelijke (veld)norm draagt ook bij aan uniformiteit en het proces van markttoelating en vergoeding door verzekeraars.

Begin 2022 zal ik bij uw Kamer terugkomen met alle resultaten van mijn programma Waardevolle AI voor gezondheid en hoe ik mijn beleid hierop voortzet.

G. Internationale context

De zorg stopt niet bij de grens. Het is daarom ook steeds belangrijker om goed aan te sluiten op de ontwikkelingen in de EU. Door de EU worden er ook eisen gesteld aan hoe patiëntgegevens uitgewisseld moeten en mogen worden. Denk bijvoorbeeld aan de EIDAS verordening30 die randvoorwaarden aan digitale inlogmiddelen voor burgers stelt.

Met deze Europese randvoorwaarden houd ik nu al rekening in de stappen die ik zet om tot een veilig inlogmiddel voor zorgverleners te komen.

Er lopen ook verschillende initiatieven om elektronische gegevensuitwisseling van patiëntgegevens binnen de EU te intensiveren. Zo zijn verschillende Nederlandse ziekenhuizen op dit moment bezig met de implementatie van het Nationaal Contact Punt voor eHealth (NCPeH). Dit knooppunt zorgt ervoor dat Nederlandse zorgverleners in de toekomst patiëntgegevens sneller en makkelijker met hun Europese collega’s kunnen uitwisselen. Ook wordt er binnen de EU nu een Europese gezondheidsdata ruimte gecreëerd, ook wel de European Health Data Space (EHDS). Met de EHDS wil de EU de beschikbaarheid van gezondheidsdata bevorderen.

Beide projecten betekenen dat de randvoorwaarden die we in Nederland aan elektronische gegevensuitwisseling stellen getoetst moeten worden aan de eisen die gesteld worden in Europese wet- en regelgeving. Dit gebeurt via het Europese eHealth Netwerk en verschillende zogenaamde «joint actions». Het eHealth Netwerk is een vrijwillig netwerk waarin alle EU lidstaten in vertegenwoordigd zijn. In het eHealth Netwerk worden door de 27 landen afgestemde strategische besluiten genomen op digitale zorgonderwerpen. Deze besluiten worden vervolgens door de lidstaten in samenwerking met elkaar geïmplementeerd via joint actions. In november 2020 is Nederland31 verkozen tot de eHealth Netwerk covoorzitter namens de lidstaten.

Grensoverschrijdende gegevensuitwisseling

In het Europese eHealth Netwerk wordt gewerkt aan het bevorderen van de grensoverschrijdende interoperabiliteit. Zo moeten burgers in geval van ongeplande zorg overal in Europa toegang kunnen krijgen tot hun zorggegevens, ook in het geval van spoedzorg. Om dit te bewerkstelligen wordt gewerkt aan het opzetten van een Europese infrastructuur die de uitwisseling van patiëntsamenvattingen en digitale recepten faciliteert; het Nationaal Contact Punt voor eHealth (NCPeH). Patiëntsamenvattingen bevatten een vastgestelde set gegevens over bijvoorbeeld medicatie en allergieën zijn daarmee vooral van waarde zijn in het geval van spoed. Nederland heeft begin 2018 een aanvraag ingediend voor aansluiting op het NCPeH. We richten ons daarbij in eerste instantie op het ontvangen van patiëntsamenvattingen uit Europese lidstaten bij zes Nederlandse ziekenhuizen (OLVG, Maastricht UMC+, Erasmus MC, ZorgSaam, Saxenburgh Groep en het Spaarne Gasthuis). De aansluiting zal eind 2021 zijn gerealiseerd. Het kunnen verzenden van patiëntsamenvattingen volgt op een later, nog te bepalen moment.

Voor de daadwerkelijke uitwisseling via het NCPeH moeten nog een aantal juridische grondslagen worden gecreëerd. De voorbereidingen voor deze juridische grondslagen zijn reeds gestart. Uw Kamer zal conform de geldende wetgevingsprocedures hierbij worden betrokken.

Europese interoperabiliteit en COVID-19

Sinds de pandemie heeft het eHealth Netwerk een prominente plek gekregen in het oplossen van interoperabiliteitsvraagstukken in de bestrijding van COVID-19. Zo heeft het eHealth Netwerk de technische specificaties ontwikkeld van de European Federated Gateway (EFGS) waarmee alle bron- en contactonderzoek apps (zoals de CoronaMelder-app in Nederland) binnen Europa grensoverschrijdend werkt. De Nederlandse aansluiting op de EFGS is medio december 2020 gerealiseerd. Ook heeft het eHealth Netwerk de technische specificatie van de Europese digitale interoperabiliteitsoplossing voor het EU Digitaal COVID-19 Certificaat (DCC) ontwikkeld.

Tot slot

Goede zorg vraagt om goede gegevensuitwisseling. De stapsgewijze verplichting tot het elektronisch uitwisselen van gegevens onder de Wegiz is onderdeel van een brede aanpak om zorginformatie te laten stromen en daarmee de zorg te verbeteren. Die brede aanpak, zo schetste ik in deze brief, vraagt ook om versterkte publieke regie. Ik wil samen met alle betrokkenen tot zichtbare verbeteringen komen waar zowel zorgprofessionals als cliënten direct profijt van hebben. Zodat zorgverleners minder moeite moeten doen om de gegevens van hun cliënten boven water te krijgen en mensen hun verhaal minder vaak opnieuw hoeven te vertellen.

De Minister van Volksgezondheid, Welzijn en Sport,
H.M. de Jonge


  1. Kamerstuk 29 515, nr. 432.↩︎

  2. Dit is onder andere verwoord in de motie van het lid Aukje De Vries c.s. (Kamerstuk 29 515, nr. 432), de motie van het lid Ellemeet (Kamerstuk 29 515, nr. 427), de motie van het lid Raemakers c.s. (Kamerstuk 35 000 XVI, nr. 46) en de motie van de leden Van den Berg en Kerstens (Kamerstuk 27 529, nr. 222).↩︎

  3. De Meerjarenagenda Wegiz stond eerder bekend onder de naam Roadmap.↩︎

  4. Raadpleegbaar via www.tweedekamer.nl.↩︎

  5. Een uitgebreide toelichting op het hier beschreven proces («Van idee naar AMvB») is te vinden in de Vierde brief over elektronische gegevensuitwisseling in de zorg (Kamerstuk 27 529, nr. 219).↩︎

  6. NEN 7503 Gegevensuitwisseling in de zorg – Elektronische verwerking en uitwisseling van gegevens voor het voorschrijven en ter hand stellen van medicatie.↩︎

  7. Raadpleegbaar via www.tweedekamer.nl.↩︎

  8. Raadpleegbaar via www.tweedekamer.nl.↩︎

  9. Raadpleegbaar via www.tweedekamer.nl.↩︎

  10. Een API maakt communicatie mogelijk tussen verschillende (software) applicaties/programma’s. Door een API hoef je niet te weten hoe een applicatie werkt en kun je er toch mee communiceren.↩︎

  11. Patiëntenfederatie Nederland, KNMP, InEen, NVZ, de Nederlandse GGZ, NVAVG, SAN, NCJ, ActiZ en AZN, VGN, GGD-GHOR, FNT en ZKN.↩︎

  12. De Raad van Toezicht bestaat uit acht personen. Vier leden worden benoemd op bindende voordracht door Patiëntenfederatie Nederland, Zorgverzekeraars Nederland en de koepels die VZVZ hebben opgericht. De overige leden worden op voordracht van de Raad van Toezicht benoemd door de Algemene Vergadering.↩︎

  13. O.a. discussiestuk Kaders zorgverleners authenticatie NVZ, Ineen, KNMP, LHV en VZVZ uit 2019; Factsheet Identificatie en Authenticatie opgesteld door BIG5 en VIPP uit 2020; Visie Actiz voor Identificatie en Authenticatie uit 2020; ontwikkelingen op het gebied van eID vanuit het Ministerie van BZK.↩︎

  14. Ik heb gesproken met de Autoriteit Persoonsgegevens, het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Actiz, V&VN, VZVZ en NICTIZ.↩︎

  15. In Estland geldt het zogenaamde opt-out model waarbij zorgverleners toestemming hebben voor het delen van gegevens behalve als de patiënt die toestemming actief intrekt.↩︎

  16. Bijlage bij Kamerstukken 26 643 en 32 761, 751.↩︎

  17. Kamerstuk27 529, nr. 193.↩︎

  18. https://www.brancheorganisatieszorg.nl/nieuws_list/1203/↩︎

  19. CERT staat voor Computer Emergency Response Team. Een CERT team is een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen in het geval van een beveiligingsincident met computers of netwerken.↩︎

  20. https://www.z-cert.nl/nieuws/eerste-cyberdreigingsbeeld-voor-de-zorg-gepubliceerd/↩︎

  21. https://www.z-cert.nl/wp-content/uploads/2021/05/Z-CERT_Handreiking2021.pdf↩︎

  22. https://www.samen-veilig.nl/datalek-laatste-up-date-16-april-2019/ & https://kenterjeugdhulp.nl/nieuws/datalek-blootgelegd-door-rtl-nieuws/.↩︎

  23. Kamerstuk 27 529, nr. 219.↩︎

  24. Raadpleegbaar via www.tweedekamer.nl.↩︎

  25. https://www.acm.nl/nl/publicaties/marktordening-informatiesystemen-en-gegevensuitwisseling-de-ziekenhuiszorg.↩︎

  26. Health-RI is een bestaande alliantie van gerenommeerde organisaties die nationaal en internationaal wetenschappelijk onderzoek doen op basis van zorgdata. De voorlopige toewijzing van de financiële middelen is opgenomen in Kamerstuk 35 570 XIX, nr. 28.↩︎

  27. Kamerstuk27 529, nr. 220.↩︎

  28. https://www.datavoorgezondheid.nl/actueel/nieuws/2020/11/6/resultaten-onderzoek-naar-databeschikbaarheid-voor-artificiele-intelligentie-in-de-zorg-bekend↩︎

  29. De NL AIC is een publiek privaat samenwerkingsverband waarbij overheid, bedrijfsleven, onderwijs- en onderzoeksinstellingen en maatschappelijke organisaties zich inzetten om AI-ontwikkelingen in Nederland te versnellen en AI initiatieven in Nederland met elkaar te verbinden. Met de ambitie om Nederland in een voorhoede positie te krijgen op het gebied van kennis en toepassing van AI voor welvaart en welzijn met inachtneming van Nederlandse en Europese normen en waarden.↩︎

  30. De Europese eIDAS-verordening stelt dat publieke organisaties en private organisaties met een publieke taak alleen nog Europees erkende inlogmiddelen accepteren binnen hun de digitale dienstverlening.↩︎

  31. Dit voorzitterschap wordt ingevuld door de directeur Informatiebeleid van het Ministerie van VWS.↩︎