[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Nota naar aanleiding van het verslag

Wijzigingen van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerking te verstevigen en enkele andere wijzigingen (Verzamelwet gegevensverwerking VWS II.a)

Nota n.a.v. het (nader/tweede nader/enz.) verslag

Nummer: 2024D41878, datum: 2024-11-05, bijgewerkt: 2024-11-26 09:04, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-36579-6).

Gerelateerde personen: Bijlagen:

Onderdeel van kamerstukdossier 36579 -6 Wijzigingen van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerking te verstevigen en enkele andere wijzigingen (Verzamelwet gegevensverwerking VWS II.a).

Onderdeel van zaak 2024Z11234:

Onderdeel van zaak 2024Z17392:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2024-2025

36 579 Wijzigingen van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerking te verstevigen en enkele andere wijzigingen (Verzamelwet gegevensverwerking VWS II.a)

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 6 november 2024

Inhoudsopgave blz.
Introductie 2
Leeswijzer 2
1. Inleiding 2
2. Hoofdlijnen van het voorstel 6
2.1 Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C) 6
2.2 Formeel handhavingsinstrumentarium 14
2.3 Inzagerecht VN-Subcomité en het Europese Comité tegen foltering (Artikel II, V en VI) 15
2.4 Vektis (Artikel III en VII) 23
2.5 Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV) 28
3. Verhouding hoger recht 28
3.1 Mensenrechtelijke bescherming 28
3.2 Vektis (Artikel III en VII) 30
3.3 Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten (Artikel IV) 30
4. Regeldruk 30
5. Advies en consultatie 31
6. Overige 32

Introductie

Met belangstelling heb ik kennisgenomen van het verslag van de vaste commissie voor Volksgezondheid, Welzijn en Sport over het voorstel houdende wijziging van een aantal wetten op het terrein van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerkingen te verstevigen (Verzamelwet gegevensverwerking VWS II.a). Er zijn door de leden van de fracties van de PVV, GroenLinks-PvdA, VVD, NSC, D66, BBB en SP vragen gesteld en opmerkingen gemaakt. Ik hoop met de beantwoording van de gestelde vragen de nog bestaande onduidelijkheden te kunnen wegnemen.

Leeswijzer

In deze nota naar aanleiding van het verslag wordt de volgorde van de hoofdstukken van het verslag aangehouden.

1. Inleiding

De leden van de PVV-fractie begrijpen dat een tweetal wetsonderdelen van het wetsvoorstel een spoedeisend karakter hebben. De leden van de PVV-fractie vragen waarom er niet gekozen is om alleen de twee spoedeisende delen te behandelen, namelijk het onderdeel dat ziet op het inzagerecht voor de comités tegen foltering en het onderdeel dat ziet op gegevensverwerking door Vektis, in plaats van vijf wetsonderdelen. Daarnaast vragen genoemde leden waarom de eerder genoemde wetsonderdelen plotseling met spoed behandeld dienen te worden. Was dit niet voorzien of spelen hier andere factoren?

De samenstelling van onderhavig wetsvoorstel is met zorg gekozen. Zoals in het nader rapport is aangegeven hebben twee wetsonderdelen (hierboven in de vraag benoemd) een dringend karakter. Deze wetsonderdelen krijgen voorrang in het wetgevingsproces. Daarnaast is gekeken naar de meest beleidsarme en juridisch onbesproken wetsonderdelen uit het wetgevingstraject van de Verzamelwet gegevensverwerking VWS II. Vervolgens is besloten om deze wetsonderdelen mee te laten lopen met de wetsonderdelen Vektis en comités tegen foltering, omdat ze naar verwachting geen vertraging opleveren voor de twee dringende wetsonderdelen. De genoemde wetsonderdelen zijn samengebracht in het voorliggende wetsvoorstel Verzamelwet gegevensverwerking VWS II.a.

De (geanonimiseerde) beleidsinformatie waarin Vektis, als verwerker namens de zorgverzekeraars en Wlz-uitvoerders in voorziet, is van zwaarwegend algemeen belang. Het gaat hierbij namelijk om het te voeren beleid van het Ministerie van VWS, zoals beleidsontwikkeling en -verantwoording, waaronder aan uw Kamer. Betrokken partijen kwamen gezamenlijk tot de conclusie dat er voor Vektis een expliciete wettelijke grondslag nodig is voor het verwerken van persoonsgegevens – waaronder gegevens over gezondheid – voor het genereren van anonieme informatie voor het te voeren beleid van het Ministerie van VWS. Gezien het bovenstaande wordt voor het wetsonderdeel «Vektis» ingezet op een zo spoedig mogelijke invoering van die wettelijke grondslag. In afwachting van de wettelijke grondslag heeft Vektis de verwerking voor de productie van anonieme beleidsinformatie voor het Ministerie van VWS stopgezet.1

Ten aanzien van het wetsonderdeel dat ziet op de comités tegen foltering wordt het volgende opgemerkt. Het Europese Comité tegen foltering (CPT) heeft eerder bezwaar gemaakt tegen de houding van Nederland, omdat men in de huidige situatie in sommige gevallen geen inzage krijgt in medische dossiers. In het eindrapport over het bezoek van het CPT aan Nederland in 2022, merkte het CPT op ernstig te zijn gehinderd in zijn taakuitoefening door geen inzage te krijgen in de medische dossiers, zonder instemming van de betrokken gedetineerde. Het CPT riep wederom op onvoorwaardelijk toegang te krijgen tot de medische dossiers van alle personen die van hun vrijheid zijn beroofd. Deze dringende oproep deed het CPT ook al na de bezoeken in 2002, 2007, 2011 en 2016.

De spoedige behandeling van de twee genoemde wetsonderdelen (met een dringend karakter) is noodzakelijk gebleken, omdat deze wetsonderdelen tijdens het wetgevingstraject, intern, complexe vragen opriepen. Hierdoor is de noodzaak ontstaan om deze specifieke wetsonderdelen versneld af te ronden. Dit was niet volledig voorzien, maar grotendeels voortgekomen uit signalen vanuit de praktijk. Overigens heeft de gemaakte knip (II.a en II.b) mijns inziens meerdere voordelen. Zo kunnen de wetsonderdelen uit de Verzamelwet gegevensverwerking VWS II.a al aan uw Kamer worden aangeboden én mogelijk voorspoedig worden behandeld in de Staten-Generaal. Dit gaf mij eveneens de tijd om de adviezen die zijn uitgebracht op de resterende onderdelen, die zijn ondergebracht in de thans genoemde Verzamelwet gegevensverwerking VWS II.b, nader te bestuderen. Dit heeft ertoe geleid dat de toelichting van dit laatste wetsvoorstel nader kon worden onderbouwd, zonder dat de wetsonderdelen uit het wetsvoorstel Verzamelwet gegevensverwerking VWS II.a daar tijdsgerelateerde hinder van zouden ondervinden.

Verder vragen de leden van de PVV-fractie waarom nog steeds een overkoepelende visie en samenhangende aanpak van de problemen rondom grondslagen voor gegevensverwerking ontbreekt. Is de regering nog van plan hiermee te komen of blijft het bij ad-hoc wijzigingen middels verzamelwetten?

In dit antwoord zal ik eerst ingaan op het nut en de noodzaak van het instrument van (verzamel)wetgeving. Vervolgens zal ik de lopende trajecten rondom grondslagen voor primaire, secundaire en organisatorische processen (binnen VWS) bespreken.

Allereerst het nut en de noodzaak achter de Verzamelwet gegevensverwerking VWS. Wet- en regelgeving over grondslagen voor gegevensverwerking is belangrijk om burgers het vertrouwen te geven dat hun medische gegevens veilig zijn en blijven. De Verzamelwet gegevensverwerking VWS II.a bevat afgebakende, apolitieke en niet-complexe wetgevingsonderdelen die zien op gegevensverwerking. Deze onderdelen zijn dermate klein, dat het juridisch en beleidsmatig niet te rechtvaardigen is om voor ieder onderdeel een separaat wetgevingstraject te doorlopen. Daarom is beoogd om, naast de grotere beleidstrajecten die zien op gegevensverwerking, ook regelmatig verzamelwetten gegevensverwerking VWS te blijven voorbereiden.

Als het gaat om een overkoepelende visie en samenhangende aanpak ten aanzien van problemen rondom grondslagen wil ik de volgende drie fundamentele trajecten die op grondslagen voor gegevensuitwisseling zien kort bespreken.

Eén van die trajecten is «Heroriëntatie grondslagen voor primair gebruik» (dit ziet op zorgprofessionals onderling). Over de stand van zaken rondom dat traject en de stappen die daarbij worden genomen is de Tweede Kamer bij brief van april 2023 en 2024 geïnformeerd.2 Zoals in genoemde brieven is geduid, wordt er door het Ministerie van VWS ingezet op een goede borging van zeggenschap in de regelgeving, ter implementatie van de European Health Data Space (EHDS).

Een ander grondslagentraject ziet op secundair gebruik van gegevens. Voor grondslagen voor gegevensuitwisseling ten behoeve van secundair datagebruik wordt – overeenkomstig de toezegging in de Kamerbrief van april 2024 – de komende tijd een beleidsstandpunt over de nationale invulling van zeggenschap en toestemmingsmodaliteiten uitgewerkt. Gezien de recente ontwikkelingen op Europees niveau is het begrijpelijk dat er tot op heden nog geen grootschalige nationale aanpak is geĂŻmplementeerd.3 Bij het uit te werken beleidsstandpunt ten aanzien van secundair gebruik wordt bezien of, en zo ja hoe, het mogelijk is te differentiĂ«ren op gebruiksdoel, gegevensverwerker of gegevenscategorie. Het genoemde beleidsstandpunt zal de komende maanden worden opgesteld en vervolgens breed in de maatschappij worden getoetst.

Tot slot wordt, voor knelpunten ten aanzien van grondslagen voor gegevensuitwisseling ten behoeve van het Ministerie van VWS zelf, interbestuurlijk nagedacht over een structurele oplossing. Dit is overheidsbreed een aandachtspunt, en ook het Netwerk Publieke Dienstverlening (NPD) en de Interbestuurlijke Datastrategie (IBDS) werken hieraan. Het uitgangspunt is dat wij als Ministerie van VWS handelen conform privacy wet- en regelgeving en daarmee verantwoordelijk en transparant omgaan met gegevensverwerking.

De leden van de D66-fractie hebben nog enkele vragen bij het wetsvoorstel. Allereerst vragen de genoemde leden of er kan worden toegelicht welke redenen er ten grondslag liggen aan het opknippen van de Verzamelwet gegevensverwerking VWS II in onderdeel a en b? Voorts vragen genoemde leden wat er gebeurt als dit wetsvoorstel vertraging oploopt, specifiek in internationaal verband en het inzagerecht door de verschillende internationale comités.

Gezien het dringende karakter van de onderdelen «Vektis» en «ComitĂ©s tegen foltering», is ervoor gekozen om deze wetsonderdelen voorrang te geven in het wetgevingsproces. Daarnaast is gekeken naar de meest beleidsarme en juridisch onbesproken wetsonderdelen uit het wetgevingstraject van de Verzamelwet gegevensverwerking VWS II. Vervolgens is besloten om deze wetsonderdelen mee te laten lopen met de wetsonderdelen Vektis en comitĂ©s tegen foltering, omdat ze naar verwachting geen vertraging opleveren voor de twee dringende wetsonderdelen. De genoemde wetsonderdelen zijn samengebracht in het voorliggende wetsvoorstel Verzamelwet gegevensverwerking VWS II.a. Ten aanzien van het onderdeel Vektis kwamen betrokken partijen (die samenwerken met Vektis) in de loop van de tijd tot de conclusie dat er een expliciete wettelijke grondslag nodig is voor het verwerken van persoonsgegevens – waaronder gegevens over gezondheid – voor het produceren van anonieme informatie die wordt gebruikt voor het maken van beleidsinformatie voor het te voeren beleid van het Ministerie van VWS, daar waar er eerder nog vanuit werd gegaan dat dit reeds geregeld was in de Zvw. Zonder deze grondslag kunnen essentiĂ«le gegevens die noodzakelijk zijn voor het te voeren van VWS-beleid niet langer worden verwerkt. Er is immers geen rechtmatige verwerkingsgrondslag. Dit kan ertoe leiden dat essentiĂ«le zorggelden mogelijk niet effectief worden ingezet. Gezien het bovenstaande wordt voor het wetsonderdeel «Vektis» ingezet op een zo spoedig mogelijke invoering van die wettelijke grondslag. In afwachting van de wettelijke grondslag heeft Vektis de verwerking voor de productie van anonieme beleidsinformatie voor het Ministerie van VWS stopgezet.4

Bij het onderdeel dat ziet op de comités tegen foltering waren er andere beweegredenen. Zo heeft het CPT in 2002, 2007, 2011 en 2016 bezwaar gemaakt bij Nederland, omdat men in de huidige situatie in sommige gevallen geen inzage krijgt in medische dossiers. In het eindrapport over het bezoek van het CPT aan Nederland in 2022, merkte het CPT op ernstig te zijn gehinderd in zijn taakuitoefening door geen inzage te krijgen in de medische dossiers, zonder instemming van de betrokken gedetineerde. Nederland dient zich te houden aan de internationale rechtsorde en heeft zich bovendien gebonden aan verdragen tegen foltering. Om tegemoet te komen aan de wensen van de CPT, bestaat een brede beleidswens om genoemd wetsonderdeel zo spoedig mogelijk in werking te laten treden.

Overigens heeft de gemaakte knip mijns inziens meerdere voordelen. Zo kunnen de wetsonderdelen uit de Verzamelwet gegevensverwerking VWS II.a al aan uw Kamer worden aangeboden en mogelijk voorspoedig worden behandeld in de Staten-Generaal. Dit gaf mij eveneens de tijd om de adviezen die zijn uitgebracht op de resterende onderdelen, die zijn ondergebracht in de thans genoemde Verzamelwet gegevensverwerking VWS II.b, nader te bestuderen. Dit heeft ertoe geleid dat de toelichting van dit laatste wetsvoorstel nader kon worden onderbouwd, zonder dat de onderdelen uit het wetsvoorstel Verzamelwet gegevensverwerking VWS II.a daar tijdsgerelateerde hinder van zouden ondervinden.

De leden van de SP-fractie merken op dat de bevoegdheid voor de GGD-GHOR om meldingen van onverzekerden te verwerken niet wordt geregeld in dit wetsvoorstel. Eerder bleek dat deze grondslag ontbrak, waardoor deze meldingen niet meer konden worden verwerkt en onverzekerden minder makkelijk aan een zorgverzekering konden worden geholpen. In reactie op vragen vanuit de SP-fractie kondigde de Minister van VWS aan daar een grondslag voor te zullen creëren.5 Waarom is deze nog niet opgenomen in dit wetsvoorstel? Zou dit alsnog kunnen worden geregeld? Zo nee, wanneer wordt deze grondslag dan gecreëerd?

Het is juist dat in voorliggend wetsvoorstel geen onderdeel is opgenomen dat de zorg aan onverzekerden regelt. Dit onderdeel is wel opgenomen in de Verzamelwet gegevensverwerking VWS II.b, die inmiddels bij uw Kamer is ingediend.6 Er is gekozen om dit onderdeel niet in de Verzamelwet gegevensverwerking VWS II.a op te nemen, vanwege het urgente karakter van een tweetal andere onderdelen. Het in dit wetsvoorstel opnemen van het onderdeel dat ziet op zorg aan onverzekerden kan er – gezien de opmerkingen van de Afdeling Advisering van de Raad van State (hierna: de Afdeling) – mogelijk toe leiden dat de behandeling van dít wetsvoorstel vertraging op zou lopen.

2. Hoofdlijnen van het voorstel

2.1 Toevoegen handhavingsmogelijkheden IGJ (Artikel I, onderdeel A en C)

De leden van de PVV-fractie lezen dat het wenselijk is dat de Inspectie Gezondheidszorg en Jeugd (IGJ) in het kader van toezicht de expliciete bevoegdheid heeft ook wanneer er geen directe relatie is tot de kwaliteit van geleverde zorg. Kan dit verduidelijkt worden met een aantal voorbeelden en hoe vaak komen deze situaties voor?

De IGJ heeft op dit moment reeds een toezichthoudende taak in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) als het gaat om informatiebeveiliging. Echter, tot op heden is het toezicht door de IGJ op de Wavbpz vormgegeven in relatie tot het begrip «goede zorg» uit artikel 2 van de Wet kwaliteit, klachten en geschillen zorg (hierna: Wkkgz). Dit betekent dat de IGJ alleen handhavend kan optreden – het inzetten van formele instrumenten – bij overtreding van de Wabvpz, als hieruit eveneens een overtreding van artikel 2 Wkkgz volgt. Maar dit is niet altijd het geval of is dit niet altijd duidelijk. Hieronder wordt dit verduidelijkt met een voorbeeld.

De IGJ houdt toezicht naar aanleiding van incidenten, zoals een ransomware-aanval, en voert daarnaast ook risicogestuurd toezicht uit. Dit toezicht omvat onder andere het controleren van de naleving van de NEN 7510 door zorgaanbieders. Wanneer de IGJ constateert dat een zorgaanbieder niet voldoet aan de NEN 7510, hoeft dit niet te betekenen dat deze zorgaanbieder kwalitatief slechte zorg levert. Sterker nog, bij haar toezicht kan haar eindoordeel zijn dat de zorg an sich op dat moment goed wordt geleverd. Bij niet-naleving van de wettelijk verplichte informatiebeveiligingsnormen, ontstaat een risico voor de kwaliteit van zorg, maar dit risico hoeft zich dus niet onmiddellijk te manifesteren. Een concreet voorbeeld: het niet op orde hebben van de informatiebeveiliging betekent niet dat er direct een ransomware-incident plaatsvindt, waardoor de informatiesystemen niet meer werken en de voortgang van de zorg problemen ondervindt. Dit kan ook jaren later plaatsvinden, mogelijk zelfs nooit.

Echter, bij het houden van toezicht van de IGJ op de Wavbpz wil ik alle mogelijke onduidelijkheid in de bevoegdheid van de IGJ om handhavend op te mogen treden wegnemen. Zelfs al is er bij een niet-naleven van bijvoorbeeld NEN 7510 mogelijk ook een gevaar voor de kwaliteit van zorg, niet in alle gevallen is dat even helder. Dit grijze gebied zorgt voor onduidelijkheid en dat is onwenselijk. Middels onderhavige wetswijziging wordt expliciet gemaakt dat de IGJ ook al kan optreden voordat risico’s daadwerkelijk tot gevolgen leiden, en niet per geval eerst de relatie met kwaliteit van zorg nadrukkelijk moet worden onderbouwd.

Tot slot wil ik benadrukken dat in tijden van steeds verdergaande digitalisering, de naleving van en handhaving op de informatiebeveiligingsnormen essentieel is. Voornoemde draagt bij aan de verbetering van informatiebeveiliging en het tijdig en adequaat aanpakken van dreigingen op dit gebied. Hierdoor wordt de kwaliteit van zorg beter geborgd.7

Verder benadrukken de leden van de PVV-fractie dat patiënten en zorgverleners er op dienen te kunnen vertrouwen dat toegankelijkheid, continuïteit, en betrouwbaarheid van de informatievoorziening gegarandeerd is, maar ze dienen er ook op te kunnen vertrouwen dat bescherming van de privacy en het medisch beroepsgeheim worden gegarandeerd. Zijn deze zaken nog wel in balans of slaat de balans door richting informatievoorziening?

Er is begrip voor de vragen en zorgen rondom privacy en het medisch beroepsgeheim. Er vindt bij het maken van beleid, een continue afweging plaats ten aanzien van het vinden van de juiste balans tussen genoemde aspecten. Dit was ook het geval bij onderhavige wetswijziging, waarbij enerzijds de privacyrechten van de patiĂ«nt en het medisch beroepsgeheim centraal staan, en anderzijds de noodzaak voor de IGJ om adequaat toezicht te kunnen houden op de naleving van informatiebeveiligingsnormen. Het is – zeker in tijden van verdergaande digitalisering – essentieel om informatieveiligheid te borgen en de kwaliteit en continuĂŻteit van zorg te bevorderen. Daarom heb ik, na de genoemde afweging, besloten onderhavige wetswijziging door te voeren.

De leden van de GroenLinks/PvdA-fractie lezen dat in 2025 aanvullende wettelijke eisen gaan gelden voor zorgaanbieders, die zijn vastgelegd in de Cyberbeveiligingswet. De rechten en plichten (zoals de meld- en zorgplicht) gelden voor zorgaanbieders (vallend onder de Wkkgz) van >50 FTE of met een jaarbalans of jaaromzet van meer dan 10 miljoen euro. Gelden er geen aanvullende eisen voor zorgaanbieders die buiten deze criteria vallen? Op welke manier voldoen deze organisaties aan de juiste cyberbeveiliging?

De aanvullende wettelijke eisen voor zorgaanbieders onder de Cyberbeveiligingswet (Cbw), gelden alleen voor de zorgaanbieders die zijn gecategoriseerd als «belangrijke» of «essentiële» entiteiten. Hieruit volgt dat zorgaanbieders aan de Cbw dienen te voldoen, wanneer zij minimaal 50 fte in dienst hebben. Indien dit niet het geval is, valt een zorgaanbieder onder de Cbw, als zowel de jaaromzet, als het balanstotaal meer dan 10 miljoen euro bedragen. Deze ondergrens wordt ook wel de «size cap» genoemd.

Verder heeft het Ministerie van VWS de mogelijkheid om individuele zorgaanbieders aan te wijzen, ook wanneer zij niet onder de genoemde «size cap» vallen. Zorgaanbieders die door het Ministerie van VWS zijn aangewezen onder de Wet weerbaarheid kritieke entiteiten (Wwke), vallen automatisch ook onder de Cbw vanwege hun kritieke rol in de samenleving.

Zorgaanbieders die niet onder de Cbw vallen, dienen nog steeds te voldoen aan de wettelijke eisen op het gebied van informatiebeveiliging. Het is verplicht voor zorgaanbieders om aantoonbaar te voldoen aan de NEN 7510, die gebaseerd is op de internationale standaarden ISO 27001, ISO 27002 en de ISO 27799. De NEN 7510 stelt eisen aan een managementsysteem voor informatiebeveiliging (NEN 7510-1) en biedt beheersmaatregelen (NEN 7510-2 en ISO 27799) om de beschikbaarheid, vertrouwelijkheid en integriteit van persoonlijke gezondheidsinformatie te waarborgen. Dit normenkader blijft van toepassing, ongeacht of de zorgaanbieder onder de Cbw valt.

De leden van de GroenLinks-PvdA-fractie lezen dat de IGJ bij inspecties bij zorgaanbieders geregeld constateert dat de naleving van de belangrijkste norm voor informatiebeveiliging (NEN 7510) te wensen overlaat. Genoemde leden zijn benieuwd hoe vaak dit wordt geconstateerd? Op welke manieren laat het te wensen over? Kan de regering hier voorbeelden van geven? Hoe vaak treedt de IGJ handhavend hiertegen op? Neemt dat toe of af?

Zoals eerder aangegeven voldoen niet alle zorgaanbieders aantoonbaar aan de NEN 7510.8 Er zijn meerdere factoren waarop de naleving tekortschiet. Ten eerste ten aanzien van het creëren van voldoende bewustzijn op het onderwerp informatiebeveiliging. Ten tweede kan het zijn dat er onvoldoende middelen (tijd, geld, expertise) voor het onderwerp beschikbaar zijn. Ten derde is het mogelijk dat er onvoldoende aandacht is voor borging van het onderwerp binnen de organisatie; denk hierbij aan een niet-werkende PDCA-cyclus.9 Tot slot gaat bovenstaande vaak gepaard met het ontbreken van een Information Security Management System (ISMS). De IGJ ziet daarbij vaak een combinatie van verschillende oorzaken/manieren waar de naleving tekort schiet.

De vormen van handhaving die de IGJ inzet bij gebrekkige naleving van de NEN 7510 zijn informele interventies. Denk hierbij aan het aanspreken van de raad van bestuur op tekortkomingen en het opvragen van verbeterplannen met termijnen. De IGJ past deze vormen van handhaving toe bij zorgaanbieders die na inspectiebezoeken niet aantoonbaar voldoen aan de NEN 7510. Door middel van informele interventies probeert de IGJ te bereiken dat zorgaanbieders zelf actie ondernemen. Met de toename van het aantal risicogestuurde bezoeken en incidentmeldingen sinds 2018 is ook het gebruik van deze informele handhavingsmaatregelen toegenomen.

Voorts zijn de leden van de GroenLinks/PvdA-fractie benieuwd of de regering verwacht dat de IGJ, na invoering van onderliggend wetsvoorstel, vaker handhavend zal optreden?

Ja. Op basis van het toezicht en de mate waarin zorgaanbieders nu aan de NEN 7510 voldoen, is de verwachting dat er in de toekomst meer opgetreden zal worden tegen zorgaanbieders. De IGJ houdt op grond van de Wavbpz reeds toezicht en kan (op grond van de Wkkgz) al handhaven als de kwaliteit van zorg in het geding is. Echter, bij het houden van toezicht van de IGJ op de Wavbpz wil ik alle mogelijke onduidelijkheid in de bevoegdheid van de IGJ om handhavend op te mogen treden wegnemen. Zelfs al is er bij een niet-naleven van bijvoorbeeld NEN 7510 mogelijk ook een gevaar voor de kwaliteit van zorg, niet in alle gevallen is dat even helder. Dit grijze gebied zorgt voor onduidelijkheid en dat is onwenselijk dat de IGJ moet wachten, totdat een dergelijk risico zich daadwerkelijk voordoet. Middels onderhavige wetswijziging wordt expliciet gemaakt dat de IGJ ook al kan optreden voordat risico’s daadwerkelijk tot gevolgen leiden, en niet per geval eerst de relatie met kwaliteit van zorg nadrukkelijk moet worden onderbouwd. Kortom, middels onderhavige wetswijziging kan de IGJ adequater en met een preventief karakter optreden.

De leden van de GroenLinks-PvdA-fractie constateren dat er drie handhavingsinstrumenten zijn opgenomen: schriftelijke aanwijzing, schriftelijk bevel en last onder dwangsom. Kan de regering bij alle drie de instrumenten voorbeelden geven bij welk soort overtreding welk instrument wordt ingezet?

De in de vraag genoemde instrumenten kunnen worden gezien als herstelsancties. Dit soort sancties zijn bedoeld om een overtreding geheel of gedeeltelijk ongedaan te maken, herhaling te voorkomen, of de gevolgen ervan te beperken.

De schriftelijke aanwijzing is een van de mildste instrumenten en wordt gebruikt voor lichtere overtredingen of situaties waar correctie nodig is, maar geen onmiddellijke dreiging bestaat. Een schriftelijk bevel wordt ingezet bij ernstiger overtredingen of situaties die sneller ingrijpen vereisen. De last onder dwangsom is het zwaarste instrument en wordt gebruikt bij hardnekkige overtredingen of situaties waar financiële prikkels nodig zijn om naleving van de gestelde regels af te dwingen. Het ligt dus in de rede dat de IGJ begint met mildere sancties, zoals een schriftelijke aanwijzing of bevel, maar bij blijvend niet-naleven (van bijvoorbeeld informatiebeveiligingsnormen) een last onder dwangsom oplegt.

Voorts vragen de leden van de GroenLinks-PvdA-fractie hoe vaak de verschillende instrumenten worden ingezet? Neemt dit toe of af?

De IGJ heeft informele en formele instrumenten tot haar beschikking. De in dit wetsvoorstel genoemde instrumenten zijn formele instrumenten. Op dit moment worden geen van de drie formele handhavingsinstrumenten ingezet, wanneer er sprake is van een gebrekkige naleving van de NEN 7510. De IGJ volgt hierbij haar interventiebeleid, waarbij eerst informele interventies worden ingezet als eerste stap (op een escalatieladder) naar betere naleving. Bij het blijvend niet-naleven van (bijvoorbeeld) informatiebeveiligingsnormen, kan de IGJ – middels dit wetsvoorstel – grijpen naar formele instrumenten.

De reden dat genoemde instrumenten (nog) niet worden ingezet is dus tweeledig. Enerzijds, is de inzet niet altijd nodig, omdat zorgaanbieders in beweging kunnen worden gebracht met informele interventies. Anderzijds kan de IGJ op dit moment bij niet naleving van de NEN 7510 slechts informele interventiemogelijkheden inzetten, tenzij er een direct verband is met de kwaliteit van zorg (Wkkgz). Dankzij dit wetsvoorstel krijgt de IGJ de mogelijkheid om handhavend op te treden bij het niet naleven van de Wabvpz.

De leden van de VVD-fractie lezen dat de IGJ bij inspecties geregeld constateert dat de naleving van de NEN 7510 te wensen overlaat. Kan dit nader worden toegelicht? De leden van de VVD-fractie willen graag weten waaraan zij moeten denken wanneer de naleving te wensen overlaat en wat zijn de (mogelijke) gevolgen van het niet of niet volledig naleven van de norm?

Het toezicht op informatieveiligheid van zorgaanbieders is reeds belegd bij de IGJ. De toetsingseisen die de IGJ hanteert staan beschreven in het E-health toetsingskader.10 Dit kader is gebaseerd op bestaande wet- en regelgeving en veldnormen zoals de NEN 7510. Uit de toezichtsresultaten op de website van de IGJ blijkt dat niet alle zorgaanbieders die zij hebben bezocht, aantoonbaar voldoen aan de NEN 7510. De ziekenhuizen hebben overigens een stevige inhaalslag gemaakt. Uit publicaties (eind 2023) van de IGJ blijkt dat bijna alle ziekenhuizen aantoonbaar voldoen aan de NEN 7510.

Voorbeelden van het niet voldoen aan de NEN 7510 zijn onder meer het niet volledig inrichten van een managementsysteem voor informatiebeveiliging, het niet nemen van technische beheersmaatregelen, het niet investeren in bewustzijn bij medewerkers en het niet onafhankelijk/deskundig laten toetsen van de mate waarin men werkt volgens de genoemde norm.

Wanneer het aankomt op de mogelijke gevolgen van het niet naleven van informatiebeveiligingsnormen, wil ik allereerst benadrukken dat het inregelen van informatiebeveiliging, de eigen verantwoordelijkheid van de zorgaanbieder is. Wanneer een zorgaanbieder de informatiebeveiliging niet op orde heeft, kan het zo zijn dat een zorgaanbieder «makkelijker» getroffen wordt door bijvoorbeeld een ransomware-aanval. Dit heeft tot gevolg dat de informatiesystemen niet meer werken en de voortgang van de zorg problemen ondervindt. Kortom, een direct gevolg voor de kwaliteit van zorg. Wanneer de naleving van informatiebeveiligingsnormen te wensen overlaat, kan de IGJ op dit moment reeds informele interventies inzetten, zoals het aanspreken van de raad van bestuur op tekortkomingen en het opvragen van verbeterplannen met termijnen. Formele interventies zijn op dit moment alleen mogelijk op het moment dat de kwaliteit van zorg, overeenkomstig (Wkkgz) in het geding is. Dit zorgt in de praktijk voor onduidelijkheden. Middels onderhavige wetswijziging maak ik het mogelijk dat de IGJ ook de noodzakelijke, formele interventies kan plegen, voordat risico’s daadwerkelijk tot gevolgen leiden, en niet per geval eerst de relatie met kwaliteit van zorg nadrukkelijk moet worden onderbouwd.

Verder willen de leden van de VVD-fractie weten wat er wordt gedaan om te zorgen dat de naleving van de NEN 7510 wordt vereenvoudigd.

Zorgaanbieders zijn primair zelf verantwoordelijk voor het aantoonbaar naleven van de wettelijk verplichte informatiebeveiligingsnormen.11

Ondanks deze eigen verantwoordelijkheid worden momenteel implementatie- en beheertools ontwikkeld. De implementatietools van NEN hebben als doel gebruikers (zoals zorgaanbieders) van de NEN 7510 te ondersteunen in het proces van implementatie van deze NEN-norm. De implementatiehandvatten zullen kosteloos ter beschikking worden gesteld en in 2025 worden geïntroduceerd. De tools worden ontwikkeld voor zowel organisaties die voor het eerst NEN 7510 implementeren, alsmede organisaties die NEN 7510 al hebben geïmplementeerd en moeten overstappen op de nieuwe versie van de genoemde norm. De genoemde tools zijn ontwikkeld in overleg met verschillende zorgkoepels en vertegenwoordigers uit het (zorg)veld.

De leden van de NSC-fractie willen weten hoe vaak de IGJ in de afgelopen jaren heeft geconstateerd dat de naleving van de NEN 7510 bij zorgaanbieders te wensen overlaat? Daarnaast vragen de genoemde leden ook een reflectie van de regering over het feit dat bij veel zorgaanbieders de informatiebeveiliging te wensen overlaat.

Sinds 2018 houdt de IGJ toezicht op de inzet van digitale zorg door zorgaanbieders, gebaseerd op een toetsingskader. Onder dit kader vallen thema's zoals informatiebeveiliging en de naleving van de NEN 7510 door zorgaanbieders.

Genoemd toezicht omvat onder andere 100 inspectiebezoeken (vanaf 2018) gericht op e-health en digitale zorg, evenals gerichter toezicht binnen diverse sectoren, waaronder ziekenhuizen, particuliere klinieken en huisartsenposten.12 Bij een meerderheid van deze themabezoeken bleek dat niet alle zorgaanbieders aantoonbaar voldeden aan de NEN 7510.13

Zorgaanbieders zijn primair zelf verantwoordelijk voor het op orde hebben van informatiebeveiliging binnen de eigen organisatie. Echter, ondersteun ik het (zorg)veld wel op verschillende manieren, omdat ik informatiebeveiliging een essentieel onderdeel vind voor het verlenen van goede zorg. Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Daarom wordt allereerst ingezet op het stimuleren van informatieveilig gedrag van zorgprofessionals. Daarvoor is in 2019 het project «informatieveilig gedrag» gestart. Via dit project werk ik aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. Ook stimuleer ik, op basis van een risico gebaseerde aansluitstrategie, dat steeds meer zorgaanbieders lid worden van expertisecentrum Z-CERT. Dit is een computer emergency respons team, speciaal gericht op de zorgsector. Op dit moment zijn ruim 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Ik blijf me inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector. Tot slot blijf ik, samen met het (zorg)veld, de NEN-normen voor informatiebeveiliging (door)ontwikkelen. Bovendien worden deze normen actief onder de aandacht gebracht bij zorgaanbieders. Zo heeft de NEN in 2022 de opdracht gekregen om een herziening van de NEN 7510 te coördineren. De definitieve herziening zal naar alle waarschijnlijkheid eind 2024 worden gepubliceerd.

Verder willen de leden van de NSC-fractie weten of de regering een beeld heeft van de gevolgen die een mogelijk datalek bij een zorgaanbieder kan hebben voor een patiënt/cliënt. Voorts zijn genoemde leden benieuwd of de regering bereid is om hierover in gesprek te gaan met privacy-experts en ervaringsdeskundigen die te maken hebben gehad met (ernstige) datalekken.

De gevolgen van een datalek kunnen ernstig zijn. Denk hierbij aan financiële schade voor betrokkenen, ontstaan vanuit identiteitsfraude en oplichting. Daarnaast kan een betrokkene als gevolg van een datalek immateriële schade lijden, wanneer gevoelige informatie over (mentale) gezondheid of problemen in de thuissituatie zijn gelekt.

Daarom zet ik stappen om zorgaanbieders te helpen datalekken te voorkomen. Het computer emergency respons team voor de zorg en expertisecentrum (Z-CERT) heeft bijvoorbeeld een factsheet gemaakt over hoe om te gaan met een datalek. Onderdeel van deze factsheet is het voorkomen van een volgend datalek door te evalueren en verbeterpunten te implementeren.

Daarnaast hebben zorgverleners op grond van de Algemene verordening gegevensbescherming (AVG) de verplichting om persoonsgegevens die ze verwerken, goed te beveiligen. Wanneer gezondheidsgegevens worden verwerkt moeten zorgverleners voldoen aan extra beveiligingseisen. Ondanks die strenge eisen kunnen er datalekken ontstaan bij zorgverleners. De Autoriteit Persoonsgegevens (AP) laat in haar ambtsbericht weten dat er in het geval van grote datalekken overleg tussen de IGJ en AP plaats kan vinden. Zo is bij een ransomware-aanval de continuïteit van zorg én de privacy van patiënten in acuut gevaar. Onder de nieuwe Cbw gaat de AP intensiever samenwerken met sectorale toezichthouders, zoals de IGJ.

De leden van de NSC-fractie vragen ook naar de rol van de AP in het toezicht op de informatiebeveiliging bij zorgaanbieders.

In haar ambtsbericht laat de AP weten dat zorgaanbieders wettelijk verplicht zijn om te voldoen aan de eisen in de AVG. Artikel 32 AVG verplicht zowel de verwerkingsverantwoordelijke als de verwerker, om «passende technische en organisatorische maatregelen te nemen om een beveiligingsniveau te garanderen dat is afgestemd op het risico». Het toezicht hierop is een van de kerntaken van de AP. De AP richt zich met name op situaties, signalen en meldingen waarbij de verwerking van persoonsgegevens centraal staat. In het toezicht van de AP ligt de focus dus op de controle of er door zorgaanbieders de vereiste technische en organisatorische maatregelen zijn getroffen en of die passend zijn om een op het risico afgestemd beveiligingsniveau te (kunnen) waarborgen. De taak van de AP, voortvloeiend uit de AVG, omvat echter niet alle aspecten die in NEN 7510 zijn vastgelegd.

En daaropvolgend wordt de vraag gesteld of de IGJ contact heeft gehad met de AP in gevallen waarin informatiebeveiliging (NEN 7510) tekortschiet en welke acties de AP hierop heeft ondernomen?

De AP geeft in haar ambtsbericht aan dat contact met de IGJ aan de orde is wanneer de IGJ situaties tegenkomt waarbij de beveiligingseis van artikel 32 AVG niet wordt nageleefd. In zo’n geval neemt een zorgaanbieder geen passende technische en organisatorische maatregelen om een risico gebaseerd beveiligingsniveau te waarborgen en derhalve de bescherming van persoonsgegevens voldoende te borgen. Tot nu toe is er geen contact geweest tussen IGJ en AP over zulke situaties. In de samenwerkingsafspraken tussen IGJ en AP is wel in dergelijk contact voorzien. In het houden van toezicht kan het zo zijn dat men op zaken stuit die niets met persoonsgegevens te maken hebben. In dat geval valt een kwestie duidelijk buiten het toezichtsveld van de AP en binnen het toezichtsveld van de IGJ.

Vervolgens vragen de leden van de NSC-fractie of de regering het verstandig vindt om gegevensverwerking en -uitwisseling verder op te schalen als de basisinformatiebeveiliging nog niet overal op orde is?

Elektronische gegevensuitwisseling en databeschikbaarheid (wat de Wegiz en EHDS allebei beogen) zijn cruciale pijlers onder mijn huidige beleid bij het Ministerie van VWS. Deze elementen dragen in de eerste plaats bij aan het verminderen van administratieve lasten voor zorgverleners, verhogen het werkplezier door bijvoorbeeld overtypen te voorkomen, geven patiënten meer regie, bieden meer inzicht in nieuwe behandelmethoden en leiden tot betere en veiligere zorg.

Hoewel deze voordelen zwaar wegen, kan elektronische gegevensuitwisseling en databeschikbaarheid alleen plaatsvinden wanneer privacy en beveiliging goed zijn geregeld. Dit is voornamelijk van belang omdat het hierbij vaak gaat om de verwerking van bijzondere persoonsgegevens.

Hieruit volgt dat er een voortdurende noodzaak bestaat om aandacht te besteden aan informatiebeveiliging, ook in een tijd waarin elektronische gegevensuitwisseling steeds meer wordt verplicht. Normering (ten aanzien van informatiebeveiliging) en toezicht op de naleving daarvan zijn essentieel.

Gezien de noodzakelijke, elektronische gegevensuitwisseling in de zorg en de toenemende digitale dreigingen die daarmee samenhangen, is het tevens noodzakelijk om de digitale en fysieke weerbaarheid van zorgaanbieders te versterken. Daarom zet ik in op een tijdige implementatie van de NIS II en CER richtlijnen. Verder maak ik het dus mogelijk voor de IGJ om formele handhavingsinstrumenten in te zetten, teneinde een versterkte naleving van de NEN-normen te bewerkstelligen. De focus ligt hierbij op de NEN 7510, NEN 7512 en NEN 7513 (de informatiebeveiligingsnormen).

De leden van de NSC-fractie hebben ook vragen over de implementatie van de NIS2-richtlijn. Hoever zijn zorgaanbieders met de implementatie van de NIS2-richtlijn, die vanaf 2025 zal gaan gelden? Welke instantie houdt toezicht op de implementatie van genoemde richtlijn? En tot slot wordt gevraagd hoe de regering ervoor gaat zorgen dat ook zorgaanbieders die niet onder de wettelijke verplichtingen van NIS2-richtlijn vallen, hun cliënten kunnen verzekeren van adequate informatiebeveiliging.

Zorgaanbieders moeten aan de Cbw voldoen als zij minimaal 50 fte in dienst hebben. Indien dit niet het geval is, valt een zorgaanbieder onder de genoemde wet, als zowel de jaaromzet, als het balanstotaal hoger zijn dan 10 miljoen euro. Deze ondergrens wordt ook wel de «size cap» genoemd.

De omzetting van de NIS2-richtlijn naar de nationale Cbw is in volle gang en het streven is dat de Cbw in het derde kwartaal van 2025 in werking treedt. Tot die tijd hoeven zorgaanbieders die onder de Cbw zullen vallen, niet te voldoen aan aanvullende wettelijke eisen. Daarom zijn er momenteel geen cijfers beschikbaar over de implementatie van de NIS2-richtlijn binnen de zorgsector. Relevante ontwikkelingen rond de Cbw voor de zorgsector worden gecommuniceerd via de website www.datavoorgezondheid.nl, waar zorgaanbieders ook blijvend worden aangemoedigd om aan de NEN 7510 te voldoen. Het voldoen aan NEN 7510 is momenteel al verplicht voor zorgaanbieders en dekt een aantal verplichtingen voortvloeiend uit de NIS2-richtlijn en de Cbw. Dit maakt het een goede eerste

stap voor zorgaanbieders ter voorbereiding op de invoering van de Cbw. De IGJ zal toezicht gaan houden op de naleving van de Cbw en houdt momenteel al toezicht op de NEN 7510.

Zorgaanbieders die niet onder de Cbw vallen, dienen nog steeds te voldoen aan de wettelijke eisen op het gebied van informatiebeveiliging. Het is verplicht voor zorgaanbieders om aantoonbaar te voldoen aan de NEN 7510, die is gebaseerd op de internationale standaarden ISO 27001, ISO 27002 en ISO 27799.

2.2 Formeel handhavingscriterium

De leden van de NSC-fractie constateren verder dat de AP heeft aangegeven dat de Wabvpz niet expliciet hoeft voor te schrijven welke toezichthouder toeziet op de artikelen uit de Wabvpz. Is het niet beter om de rollen van de IGJ en de AP gescheiden te houden, gezien het verschil in expertise tussen toezicht op zorgkwaliteit en toezicht op de AVG en cyberveiligheid? De leden van genoemde fractie stellen vervolgens nog een vraag die hier verband mee houdt, namelijk waarom de regering ervoor kiest de verantwoordelijkheid voor cyberveiligheid (gedeeltelijk) bij de IGJ te beleggen, in plaats van deze volledig bij de AP te laten. Zou intensivering van de samenwerking tussen IGJ en AP, vastgelegd in een samenwerkingsprotocol, een beter alternatief zijn? Kan de regering hierop reflecteren?

De IGJ heeft op dit moment op grond van de Wavbpz reeds een toezichthoudende taak op het terrein van informatiebeveiliging, namelijk ten aanzien van de naleving van de informatiebeveiligingsnormen. Er vindt met dit wetsvoorstel geen verschuiving van de toezichthoudende taak van de AP naar de IGJ plaats.

Wat momenteel echter ontbreekt is een adequaat handhavingsinstrumentarium voor de IGJ. Handhaving moet op dit moment over de band van artikel 2 Wkkgz gebeuren, waardoor altijd een direct verband met de kwaliteit van zorg moet worden aangetoond, voordat een formeel handhavingsinstrument kan worden ingezet. Het wetsonderdeel ten aanzien van het formeel handhavingscriterium voor de IGJ in de Wabvpz leidt dus uitdrukkelijk niet tot dubbele handhaving, maar vereenvoudigt de bestaande handhavingsbevoegdheid van de IGJ op grond van de Wabvpz. Onderhavig wetsvoorstel regelt namelijk dat niet langer de koppeling met artikel 2 Wkkgz moet worden gemaakt, zodat de IGJ direct kan handhaven als de Wabvpz niet wordt nageleefd. Overigens is de memorie van toelichting aangepast naar aanleiding van de reactie van de AP, waarbij het belang van het expliciteren van het IGJ-instrumentarium in de Wabvpz is verduidelijkt.

Daarnaast wordt in het verlengde van bovenstaande de vraag gesteld waarom de verantwoordelijkheid voor cyberveiligheid gedeeltelijk bij de IGJ wordt belegd, in plaats van volledig bij de AP te laten. Dit is uitdrukkelijk niet het geval. De IGJ laat in haar handhaving (de praktijk) de koppeling met de kwaliteit van zorg niet los. Waar het om gaat is dat bij niet-naleving van de informatiebeveiligingsnormen, er een risico bestaat voor de kwaliteit van zorg. Dit risico hoeft zich niet direct te manifesteren. Echter, wil ik ten aanzien van toezicht niet dat de IGJ alle mogelijke onduidelijkheid wegnemen. Waar het hier om gaat is dat expliciet wordt gemaakt dat de IGJ ook al kan optreden voordat risico’s daadwerkelijk tot gevolgen leiden, en niet per geval in de handhaving eerst de relatie met kwaliteit van zorg nadrukkelijk moet onderbouwen.

Een herijking van (bestaande) verantwoordelijkheden tussen de AP en de IGJ is niet aan de orde, er is reeds een Samenwerkingsprotocol tussen de AP en IGJ opgesteld. De voorgestelde wetswijziging geeft geen aanleiding tot een wijziging hierin. De rolverdeling en daarmee het Samenwerkingsprotocol tussen de IGJ en de AP blijven onveranderd.

Hoe verhouden de voorgestelde handhavingsmogelijkheden voor de IGJ zich tot de bestaande handhavingsmogelijkheden van de AP in vergelijkbare situaties?

De AP laat in haar ambtsbericht weten dat het handhavingsrepertoire van de AVG, en dus ook van de AP, steviger en gevarieerder is. De voorgestelde handhavingsmogelijkheden van de IGJ in de Wabvpz beperken die niet. En daar waar de IGJ overtredingen constateert die ook vallen binnen de beschermende werking van de AVG, is de IGJ gebonden aan het in artikel 4, lid 3 Verdrag betreffende de Europese Unie (VEU) neergelegde beginsel van (het actief zoeken naar) loyale samenwerking met de AP. Ik ben blij te melden dat de samenwerking tussen de IGJ en de goed is.

Heeft de uitbreiding van handhavingsmogelijkheden voor de IGJ ook personele gevolgen? Zijn er extra personeelsleden nodig, en vereist dit aanvullende expertise?

De IGJ heeft de afgelopen jaren het aantal inspecteurs op het gebied van digitale zorg en informatiebeveiliging uitgebreid. Aanvullende expertise die wordt gezocht betreft onder meer gedragskundige kennis van informatiebeveiliging. De IGJ verwacht dat vanaf 2025–2026 extra personeel nodig is.

2.3 Inzagerecht VN-Subcomité en het Europese Comité tegen foltering

De leden van de PVV-fractie vragen aan de regering waarom de comités inzage in het medisch dossier krijgen als er sprake is van «vrijwillige» zorg? Waarom is het geven van toestemming in die gevallen opeens geen rechtmatige verwerkingsgrondslag meer?

Het geven van toestemming blijft een rechtmatige verwerkingsgrondslag, echter deze grondslag volstaat niet in het geval van de werkzaamheden van de comités.

Nederland heeft zich verbonden aan de naleving van het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing (Trb. 2005, 243) en het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107). Deze verdragen regelen het bestaan en de werkwijze van de twee verschillende comités die toezicht houden op de naleving van de verplichtingen die in deze verdragen zijn opgenomen. Deze comités zien er op toe dat personen die (door de overheid) van hun vrijheid zijn beroofd, niet worden onderworpen aan folteringen of onmenselijke of vernederende behandelingen of bestraffingen.

Om hun taak te kunnen uitoefenen is in de genoemde verdragen vastgelegd dat de comités niet alleen toegang moeten hebben tot elke locatie waar personen verblijven van wie de vrijheid is ontnomen, maar ook dat de comités alle inlichtingen verkrijgen die noodzakelijk zijn voor de comités om hun taken te vervullen. Medische dossiers horen daar ook bij, omdat zij aanwijzingen kunnen

bevatten dat er sprake is van bijvoorbeeld foltering. Daarbij mag geen onderscheid worden gemaakt tussen gedwongen zorg en vrijwillige zorg, zoals in de huidige situatie wel het geval is.

Met «vrijwillige zorg» wordt in dit verband gedoeld op alle zorg die wordt verleend op verzoek of met instemming van een persoon van wie de overheid de vrijheid heeft ontnomen. Deze term wordt hier gebruikt in tegenstelling tot «gedwongen zorg».

Gedwongen zorg mag, ook ten aanzien van een persoon wiens vrijheid door de overheid is ontnomen, alleen verleend worden als daarvoor een grondslag in een wet (de Wet zorg en dwang of de Wet verplichte geestelijke gezondheidszorg) is opgenomen (bijvoorbeeld het toedienen van medicatie aan een persoon, tegen diens wil).

Het belang van het onderscheid tussen vrijwillige en gedwongen zorg in verband met het wetsvoorstel dat bij u voorligt, kan worden geĂŻllustreerd met twee voorbeelden:

1. Wanneer een gedetineerde een arm breekt, dan krijgt de gedetineerde in de regel vrijwillige zorg. Deze zorg wordt (normaliter) niet verleend tegen de wil van de gedetineerde. Echter, in het theoretische geval van foltering binnen een instelling kan een gebroken arm een aanwijzing zijn voor dergelijke praktijken, vooral als meerdere gedetineerden dit overkomt. Het comité kan echter moeilijk achterhalen of er sprake is van foltering als het nodig is om toestemming van elke gedetineerde te vragen voor inzage in hun medische dossiers. In zo'n situatie kan een kwaadwillende instelling gedetineerden onder druk zetten om deze toestemming te weigeren. Daarom mag inzage in de medische dossiers ten eerste niet beperkt blijven tot gedwongen zorg en mag ten tweede deze ook niet afhankelijk zijn van toestemming van een persoon wiens vrijheid door de overheid is ontnomen.

2. Een ander voorbeeld is de situatie van iemand die, bijvoorbeeld vanwege een psychische stoornis, op last van de rechter gedwongen is opgenomen. In de instelling waar deze persoon verblijft, kan een deel van de zorg toch op vrijwillige basis zijn. Dit kan, net als in het eerdere voorbeeld, betrekking hebben op zorg na een gebroken arm. Het is cruciaal dat de commissies kunnen onderzoeken of er in deze instelling een patroon van foltering of onmenselijke of vernederende behandeling is. Daarbij is het goed mogelijk dat de persoon in kwestie wilsonbekwaam is en daardoor geen toestemming kan geven voor inzage in zijn dossier.

In de huidige wetgeving is alleen geregeld dat inzage mogelijk is als er gedwongen zorg wordt verleend, waardoor in het geval van vrijwillige zorg, met toestemming moet worden gewerkt. Zoals hierboven toegelicht is dat te beperkt om aan de verplichtingen op grond van de verdragen te voldoen. Het wetsvoorstel behelst dus een correctie van een eerdere te beperkte implementatie van internationale verplichtingen.

De leden van de GroenLinks-PvdA fractie vragen of de regeling een lijst kan geven van locaties waar de comités toegang toe heeft, waar zorg wordt verleend en waar de bevoegdheid tot inzage in de medische dossiers bestaat ten aanzien van

personen van wie de vrijheid door de overheid is ontnomen. Ook vragen zij hoe vaak deze comités Nederland bezoeken en zij locaties onderzoeken en hoe vaak medische dossiers bekeken worden.

De comités hebben op grond van de twee verdragen toegang tot locaties waar personen verblijven die van hun vrijheid zijn beroofd.

De comités krijgen toegang tot iedere locatie waar een persoon verblijft die van zijn vrijheid is beroofd, dit kan, zowel op strafrechtelijke of vreemdelingrechtelijke titel als op een zorgtitel zijn. Als dit een locatie betreft waar ook zorg wordt geboden, dan hebben de comités daar toegang tot de medische dossiers.

Dit betreft alle inrichtingen binnen het strafrecht waar zorg wordt geboden. Dat zijn in totaal 54 locaties.

Daarnaast betreft dit alle zorgaanbieders die gedwongen zorg verlenen op grond van de Wet verplichte geestelijke gezondheidszorg of de Wet zorg en dwang, als zij accommodatie hebben waarin personen gedwongen zijn opgenomen. In genoemde wetgeving is voor hen de verplichting opgenomen dat zij hun locatie moeten hebben geregistreerd in het openbare locatieregister. Rijksinstellingen voor het verlenen van forensische zorg zijn van deze registratieverplichting uitgezonderd, zij hoeven niet in het openbaar locatieregister te staan.

De comités hebben geen vast bezoekpatroon. Gemiddeld brengen de comités eens per vier tot vijf jaar een bezoek aan een lidstaat. Tijdens een bezoek bezoeken de comités diverse locaties, maar niet alle locaties waar personen verblijven die van hun vrijheid zijn beroofd.

Het departement wordt niet per individueel geval op de hoogte gesteld van inzageverzoeken. Over het algemeen kan ervan uit worden gegaan dat de comités bij ieder bezoek vragen om medische dossiers in te zien.

Verder vragen de leden van de GroenLinks/PvdA-fractie waarom er eerder een onderscheid was tussen onvrijwillige zorg en vrijwillige zorg in de toegang tot medische gegevens van personen die door de overheid van hun vrijheid zijn beroofd? En in hoeverre heeft dit onderscheid voor problemen gezorgd?

Het onderscheid leidde er in 2022 toe dat de comités in sommige gevallen geen inzage kregen in medische dossiers. In het eindrapport over het bezoek van het CPT aan Nederland in 2022, merkte het CPT op ernstig te zijn gehinderd in zijn taakuitoefening door geen inzage te krijgen in de medische dossiers tenzij de betrokken gedetineerde uitdrukkelijk toestemming verleende. Het CPT riep wederom op onvoorwaardelijk toegang te krijgen tot de medische dossiers van alle personen die van hun vrijheid zijn beroofd. Deze dringende oproep deed het CPT ook na de bezoeken in 2002, 2007, 2011 en 2016.

Na de oproep van het CPT uit 2016, zijn destijds de Wet zorg en dwang, de Jeugdwet, en de Wet verplichte geestelijke gezondheidszorg gewijzigd. Bij genoemde wijzigingen is uitgegaan van de veronderstelling dat inzage voor de comités alleen zou moeten zien op de gedwongen zorg. Destijds is niet onderkend dat personen die van hun vrijheid zijn beroofd ook niet gedwongen zorg ontvangen, zoals bijvoorbeeld de zorgverlening nadat een arm is gebroken (eerder als voorbeeld genoemd). Deze omissie wordt nu hersteld.

Tot slot constateren de leden van de GroenLinks/PvdA-fractie dat tot op heden de cliĂ«nt die vrijwillige zorg ontving, toestemming moest geven voor inzage. De leden vragen de regering nog iets uitgebreider stil te staan waarom zij deze grondslag verder wil verbreden? Deze leden begrijpen de risico’s die worden geschetst, maar zijn ook van mening dat het hier om gevoelige medische gegevens gaat, dus vragen daarom om een extra motivatie.

Allereerst is het in het belang van personen van wie de vrijheid door de overheid is ontnomen, dat voortdurend wordt bewaakt dat zij niet worden onderworpen aan foltering of onmenselijke of vernederende behandeling.

Nederland heeft daartoe een tweetal verdragen ondertekend en geratificeerd en zich daarmee verbonden om de inhoud daarvan na te leven.

Nederland heeft zich verbonden aan de naleving van het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing (Trb. 2005, 243) en het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107). Deze verdragen regelen het bestaan en de werkwijze van de twee verschillende comités die toezicht houden op de naleving van de verplichtingen die in deze verdragen zijn opgenomen. Deze comités zien er op toe dat personen die (door de overheid) van hun vrijheid zijn beroofd, niet worden onderworpen aan folteringen of onmenselijke of vernederende behandelingen of bestraffingen.

Om hun taak te kunnen uitoefenen is in de genoemde verdragen vastgelegd dat de comités niet alleen toegang moeten hebben tot elke locatie waar personen verblijven van wie de vrijheid is ontnomen, maar ook dat de comités alle inlichtingen verkrijgen die noodzakelijk zijn voor de comités om hun taken te vervullen. Medische dossiers horen daar ook bij, omdat zij aanwijzingen kunnen bevatten dat er sprake is van bijvoorbeeld foltering. Daarbij mag geen onderscheid worden gemaakt tussen gedwongen zorg en vrijwillige zorg, zoals in de huidige situatie wel het geval is.

Met «vrijwillige zorg» wordt in het verband van dit wetsvoorstel gedoeld op alle zorg die wordt verleend op verzoek of met instemming van een persoon, van wie de overheid de vrijheid heeft ontnomen. Deze term wordt hier gebruikt in tegenstelling tot «gedwongen zorg». Gedwongen zorg mag, ook ten aanzien van een persoon wiens vrijheid door de overheid is ontnomen, alleen verleend worden als daarvoor een grondslag in een wet (de Wet zorg en dwang of de Wet verplichte geestelijke gezondheidszorg) is opgenomen (bijvoorbeeld het toedienen van medicatie aan een persoon tegen diens wil).

Het belang van het onderscheid tussen vrijwillige en gedwongen zorg in verband met het wetsvoorstel dat bij u voorligt, kan worden geĂŻllustreerd met twee voorbeelden:

1. Wanneer een gedetineerde een arm breekt, dan krijgt de gedetineerde in de regel vrijwillige zorg. Deze zorg wordt (normaliter) niet verleend tegen de wil van de gedetineerde. Echter, in het theoretische geval van foltering binnen een instelling kan een gebroken arm een aanwijzing zijn voor dergelijke praktijken, vooral als meerdere gedetineerden dit overkomt. Het comité kan echter moeilijk achterhalen of er sprake is van foltering als het nodig is om toestemming van elke gedetineerde te vragen voor inzage in hun medische dossiers. In zo'n situatie kan een kwaadwillende instelling gedetineerden onder druk zetten om deze toestemming te weigeren. Daarom mag inzage in de medische dossiers ten eerste niet beperkt blijven tot gedwongen zorg en mag ten tweede deze ook niet afhankelijk zijn van toestemming van een persoon wiens vrijheid door de overheid is ontnomen.

2. Een ander voorbeeld is de situatie van iemand die, bijvoorbeeld vanwege een psychische stoornis, op last van de rechter gedwongen is opgenomen. In de instelling waar deze persoon verblijft, kan een deel van de zorg toch op vrijwillige basis zijn.

Dit kan, net als in het eerdere voorbeeld, betrekking hebben op zorg na een gebroken arm. Het is cruciaal dat de commissies kunnen onderzoeken of er in deze instelling een patroon van foltering of onmenselijke of vernederende behandeling is. Daarbij is het goed mogelijk dat de persoon in kwestie wilsonbekwaam is en daardoor geen toestemming kan geven voor inzage in zijn dossier.

Het huidige voorstel is verder een correctie van een eerdere, (niet onderkende) te beperkte implementatie van verdragsverplichtingen. In de huidige wetgeving is alleen geregeld dat inzage mogelijk is als er gedwongen zorg wordt verleend, waardoor in het geval van vrijwillige zorg met toestemming moet worden gewerkt. Zoals hierboven toegelicht is toestemming te beperkt om aan de verplichtingen op grond van de verdragen te voldoen.

Het Europese comité ter preventie van foltering en onmenselijke en vernederende behandeling heeft in haar laatste rapport Nederland verzocht om de verdragsverplichting correct na te komen.

Geregeld is dat de leden van deze comités slechts van hun bevoegdheden gebruik mogen maken voor zover dit redelijkerwijs noodzakelijk is voor de uitoefening van hun taken. In de verdragen zijn voorts eisen gesteld aan het karakter en de achtergrond van de leden van de comités en aan hun onpartijdigheid en onafhankelijkheid. De leden van het Comité worden gekozen uit personen met een hoogstaand zedelijk karakter, die bekend zijn wegens hun bekwaamheid op het gebied van de rechten van de mens of met beroepservaring op de gebieden vallende onder dit verdrag en zij zijn onafhankelijk en onpartijdig (zie artikel 4 Europees Verdrag ter voorkoming van foltering en onmenselijke of vernederende behandeling en artikel 5 van het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing). Vanuit het verdrag is dus ook oog voor de gevoeligheid van het werk van deze leden.

Dit alles rechtvaardigt volgens de regering de genoemde inbreuk op het medische beroepsgeheim.

De leden van de VVD-fractie vragen aan de regering wat er wordt verstaan onder «redelijkerwijs» in het kader van de bevoegdheid van comités om inzage te krijgen in medische dossiers en toegang te hebben tot locaties waar personen gedwongen zijn opgenomen. De leden willen weten wie het uiteindelijke besluit neemt of inzage redelijkerwijs nodig is.

De comités besluiten zelf wanneer redelijkerwijs inzage noodzakelijk is. Per comité is de grondslag daarvoor verschillend.

Het Subcomité is ingesteld door het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke on onterende behandeling of bestraffing. Artikel 14 van het Protocol stelt dat de verdragspartijen het Subcomité onbeperkt toegang dienen te geven tot alle informatie met betrekking tot de behandeling van die personen aan wie de vrijheid is ontnomen en hun omstandigheden van die plaatsen. Het Subcomité dient dus zelf te kunnen kiezen welke informatie zij nodig hebben.

Het andere comité, het CPT, is ingesteld door de «European Convention for the Prevention of Torture and Inhuman or Degrading Treatment or Punishment».

Artikel 8 van de genoemde conventie stelt dezelfde verplichting als artikel 14 van het Protocol.

Voorts constateren de leden van de VVD-fractie dat in de brief over het CPT1 wordt aangegeven dat het werk van de delegatie ernstig werd belemmerd doordat toegang tot medische dossiers afhankelijk was van individuele schriftelijke toestemming. De leden willen van de regering uitsluitsel hebben of het hier gaat om het proces van toestemming vragen of om het weigeren van toestemming door de betrokken personen?

In voorgaande bezoeken heeft het CPT zowel hinder ervaren in het tijdig krijgen van toestemming tot het inzien van medische gegevens als het niet geven van toestemming tot inzage door de betrokkene.

Tot slot stellen de leden van de VVD-fractie op dit onderwerp de vraag, in hoeverre de hierboven genoemde toegang anders is voor het Comité dan voor de Inspectie Gezondheidszorg en Jeugd? Welke verschillen in bevoegdheden zijn er tussen het Comité en de IGJ en wat wordt beoogd?

Op grond van verschillende wetten heeft de IGJ verschillende taken en bevoegdheden, ook op terreinen die voor de werkzaamheden van de comités niet van belang zijn, zoals bijvoorbeeld de Geneesmiddelenwetgeving. Omdat deze bevoegdheden niet van belang zijn bij dit wetsvoorstel ga ik daar verder niet op in.

Waar het gaat om inzage in medische dossiers van personen van wie de vrijheid is ontnomen, heeft de IGJ bevoegdheden die grotendeels vergelijkbaar zijn met de leden van de comités. In het wetsvoorstel Verzamelwet gegevensverwerking VWS I, die onlangs door de Tweede Kamer is aangenomen, is verduidelijkt dat de IGJ ook de bevoegdheid heeft om kopieën te maken van medische dossiers en om medische dossiers korte tijd mee te nemen als het maken van kopieën niet ter plaatse kan geschieden. Deze bevoegdheid is voor leden van de comités niet nodig geacht. Daarom is voor leden van de comités volstaan met de bevoegdheid tot louter inzage in de medische dossiers.

De leden van de NSC-fractie constateren dat eenieder wordt verplicht om leden van de comités inzage te geven in medische dossiers en te faciliteren dat deze comités hun bevoegdheden kunnen uitoefenen. Is deze doorbreking van het beroepsgeheim in dergelijke situaties gerechtvaardigd?

Deze doorbreking van het medische beroepsgeheim wordt gerechtvaardigd geacht. Het voorkomen van folteringen en onmenselijke of vernederende behandelingen of bestraffingen is te kwalificeren als een zwaarwegend algemeen belang. De comités kunnen middels hun werk knelpunten en problemen in een inrichting aan de kaak stellen. Een inrichting die hier niet aan mee wil werken kan het beroepsgeheim «misbruiken» en bij de justitiabelen/patiënten afdwingen dat zij geen informatie delen met de comités. Dat zou de justitiabelen/patiënten in een moeilijke positie brengen. Om toezicht te kunnen houden, hebben de comités dus inzage nodig in de medische dossiers van personen van wie de vrijheid door de overheid is ontnomen. Alleen op die wijze kan effectief worden nagegaan of er geen sprake is van praktijken die strijdig zijn met de genoemde verdragen. Zouden de leden van de comités geen inzage hebben in de medische dossiers, dan kunnen belangrijke aanwijzingen over foltering of een onmenselijke of vernederende behandeling niet worden opgespoord of worden geverifieerd.

Het realiseren van inzage voor de comités betreft bovendien de nakoming van internationale verplichtingen. Immers, Nederland heeft het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing (Trb. 2005, 243) en het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107) ondertekend en geratificeerd.

Daarmee heeft Nederland zich verplicht om ervoor te zorgen dat leden van de comités die op grond van deze verdragen zijn opgericht, in Nederland toezicht kunnen houden op de naleving van de verdragsbepalingen. Deze comités zien er op toe dat personen die (door de overheid) van hun vrijheid zijn beroofd, niet worden onderworpen aan folteringen of onmenselijke of vernederende behandelingen of bestraffingen. De comités hebben daartoe het recht om alle informatie te krijgen die noodzakelijk is om hun taak uit te oefenen. De leden van het Comité zijn personen met een hoogstaand zedelijk karakter, die bekend zijn wegens hun bekwaamheid op het gebied van de rechten van de mens of met beroepservaring op de gebieden vallende onder dit verdrag. Verder zijn de genoemde leden onafhankelijk en onpartijdig (zie artikel 4 Europees Verdrag ter voorkoming van foltering en onmenselijke of vernederende behandeling en artikel 5 van het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing). Zij kunnen van hun bevoegdheden slechts gebruik maken voor zover dit redelijkerwijs nodig is voor hun uit het verdrag voortvloeiende taak.

De naleving van de genoemde verdragen en het toezicht wat daarop wordt gehouden, draagt bij aan een permanente alertheid op een humane en menswaardige behandeling van personen van wie de vrijheid door de overheid is ontnomen. Het is daarom belangrijk dat de comités effectief toezicht kunnen houden op de naleving van verdragsverplichtingen door Nederland.

Vervolgens constateren de leden van de NSC-fractie dat het wetsvoorstel stelt dat de comités alleen recht op inzage hebben, maar ook dat zij gegevens over gezondheid en mogelijk van strafrechtelijke aard verwerken. Kan de regering toelichten wat er met «verwerken» wordt bedoeld in dit geval? Wordt deze verwerking anoniem gedaan of zijn de gegevens herleidbaar naar een persoon?

Onder verwerken wordt in dit geval bedoeld dat de leden van de Comités inzage krijgen in de medische dossiers van personen van wie de vrijheid door de overheid is ontnomen. Zij raadplegen dan deze gegevens, hetgeen op grond van de AVG als «verwerken» wordt beschouwd. Omdat deze inzage op dossierniveau plaatsvindt, betreft het naar een persoon herleidbare informatie.

De verwerking ten behoeve van hun rapportages wordt verder anoniem gedaan. De comités gaan in hun rapporten niet in op individuele zaken.

Daarnaast willen de leden van de NSC-fractie weten wie precies onder de verplichting valt om medewerking te verlenen. Wat zijn concrete voorbeelden van «anderen» die de comités kunnen helpen hun bevoegdheden uit te oefenen?

Het gaat om het verschaffen van toegang tot locaties waar gedwongen zorg wordt verleend zoals omschreven in het voorgestelde artikel 24a, eerste lid onder c of d («gedwongen opnames») en het meewerken aan het recht op inzage door het ter beschikking stellen van medische dossiers van personen van wie de vrijheid is ontnomen.

Het wetsvoorstel schrijft voor dat «een ieder» verplicht is om medewerking te verlenen. Naast de zorgaanbieder, die de locaties en de dossiers beheert, kan dit gaan om zorgverleners onder wie het medisch dossier berust of om personen die de leden van de comités toegang kunnen geven tot de locaties waar personen verblijven die gedwongen zijn opgenomen. Toegang tot de penitentiaire inrichtingen is reeds geregeld in de Wet forensische zorg en valt daarmee niet onder dit wetsvoorstel.

De leden van de NSC-fractie stellen een vraag over de grens tussen vrijwillige en onvrijwillige zorg. Ze willen weten of de bevoegdheid van de comités, zoals vastgelegd in de verdragen, uitsluitend van toepassing is op personen die gedwongen zijn opgenomen vanwege hun (psychische) gezondheid en de zorglocatie niet mogen verlaten, en niet op personen die vrijwillige zorg ontvangen. Kan de regering dit bevestigen?

De verdragen zien op alle personen van wie de vrijheid door de overheid is ontnomen. In de verdragen wordt geen onderscheid gemaakt tussen bijvoorbeeld gedetineerden, personen die in vreemdelingenbewaring zijn genomen of personen die onvrijwillig zijn opgenomen vanwege een psychische of een psychogeriatrische beperking of een verstandelijke handicap.

De werkzaamheden van de comités zien dus niet op personen, van wie de vrijheid niet is ontnomen door de overheid. Voor zover aan hen zorg wordt verleend zonder vrijheidsbeneming (of dit nu gedwongen zorg is of vrijwillige zorg), vallen zij niet onder de werkingssfeer van de verdragen en hebben de comités ook geen bevoegdheid om medische dossiers in te zien.

Tot slot vraagt de NSC-fractie of de regering van mening is dat de verwerkingsgrondslag toestemming geen redelijk alternatief is voor personen die vrijwillige zorg krijgen. Is er in dit kader ook met ervaringsdeskundigen gesproken over de vraag of toestemming al dan niet mogelijk is en zo niet, is de regering bereidt om een gesprek hierover met ervaringsdeskundigen te laten plaatsvinden?

Omdat het hier gaat om de naleving van verdragsverplichtingen, heeft er geen raadpleging van ervaringsdeskundigen plaatsgevonden. Een gesprek met ervaringsdeskundigen kan ook niets afdoen aan de internationale verplichtingen waaraan Nederland zich heeft verbonden en waar dit wetsvoorstel een uitvloeisel is.

Zoals eerder benoemd heeft Nederland zich verbonden aan de naleving van het Facultatief Protocol bij het Verdrag tegen foltering en andere wrede, onmenselijke of onterende behandeling of bestraffing (Trb. 2005, 243) en het Europees Verdrag ter voorkoming van folteringen en onmenselijke of vernederende behandelingen of bestraffingen (Trb. 1988, nr. 19), zoals gewijzigd door Protocol 1 en Protocol 2 (Trb. 1994, 106 en 107). Deze verdragen regelen het bestaan en de werkwijze van de twee verschillende comités die toezicht houden op de naleving van de verplichtingen die in deze verdragen zijn opgenomen.

Deze comités zien er op toe dat personen die (door de overheid) van hun vrijheid zijn beroofd, niet worden onderworpen aan folteringen of onmenselijke of vernederende behandelingen of bestraffingen.

Om hun taak te kunnen uitoefenen is in de genoemde verdragen vastgelegd dat de comités niet alleen toegang moeten hebben tot elke locatie waar personen verblijven van wie de vrijheid is ontnomen, maar ook dat de comités alle inlichtingen verkrijgen die noodzakelijk zijn voor de comités om hun taken te vervullen. Medische dossiers horen daar ook bij, omdat zij aanwijzingen kunnen bevatten dat er sprake is van bijvoorbeeld foltering. Daarbij mag geen onderscheid worden gemaakt tussen gedwongen zorg en vrijwillige zorg, zoals in de huidige situatie wel het geval is.

Met «vrijwillige zorg» wordt in dit verband gedoeld op alle zorg die wordt verleend op verzoek of met instemming van een persoon van wie de overheid de vrijheid heeft ontnomen. Deze term wordt hier gebruikt in tegenstelling tot «gedwongen zorg». Gedwongen zorg mag, ook ten aanzien van een persoon wiens vrijheid door de overheid is ontnomen, alleen verleend worden als daarvoor een grondslag in een wet (de Wet Zorg en Dwang of de Wet verplichte geestelijke gezondheidszorg) is opgenomen (bijvoorbeeld het toedienen van medicatie aan een persoon tegen diens wil).

Het belang van het onderscheid tussen vrijwillige en gedwongen zorg in verband met het wetsvoorstel dat bij u voorligt, kan worden geĂŻllustreerd met twee voorbeelden:

1. Wanneer een gedetineerde een arm breekt, dan krijgt de gedetineerde in de regel vrijwillige zorg. Deze zorg wordt (normaliter) niet verleend tegen de wil van de gedetineerde. Echter, in het theoretische geval van foltering binnen een instelling kan een gebroken arm een aanwijzing zijn voor dergelijke praktijken, vooral als meerdere gedetineerden dit overkomt. Het comité kan echter moeilijk achterhalen of er sprake is van foltering als het nodig is om toestemming van elke gedetineerde te vragen voor inzage in hun medische dossiers. In zo'n situatie kan een kwaadwillende instelling gedetineerden onder druk zetten om deze toestemming te weigeren. Daarom mag inzage in de medische dossiers ten eerste niet beperkt blijven tot gedwongen zorg en mag ten tweede deze ook niet afhankelijk zijn van toestemming van een persoon wiens vrijheid door de overheid is ontnomen.

2. Een ander voorbeeld is de situatie van iemand die, bijvoorbeeld vanwege een psychische stoornis, op last van de rechter gedwongen is opgenomen. In de instelling waar deze persoon verblijft, kan een deel van de zorg toch op vrijwillige basis zijn. Dit kan, net als in het eerdere voorbeeld, betrekking hebben op zorg na een gebroken arm. Het is cruciaal dat de commissies kunnen onderzoeken of er in deze instelling een patroon van foltering of onmenselijke of vernederende behandeling is. Daarbij is het goed mogelijk dat de persoon in kwestie wilsonbekwaam is en daardoor geen toestemming kan geven voor inzage in zijn dossier.

In het eindrapport over het bezoek van het CPT aan Nederland in 2022, merkte het CPT op ernstig te zijn gehinderd in zijn taakuitoefening door geen inzage te krijgen in de medische dossiers zonder instemming, tenzij de betrokken gedetineerde uitdrukkelijk toestemming verleende.

Het CPT riep wederom op onvoorwaardelijk toegang te krijgen tot de medische dossiers van alle personen die van hun vrijheid zijn beroofd. Deze dringende oproep deed het CPT ook al na bezoeken in 2002, 2007, 2011 en 2016.

2.4 Vektis

De leden van de PVV-fractie vragen hoe de verwerking van persoons- en gezondheidsgegevens door Vektis ten behoeve van beleidsontwikkeling bij het Ministerie van VWS tot nu toe was geregeld? Waarom voldoet de bestaande regeling niet meer?

Aanvankelijk voorzag Vektis in anonieme beleidsinformatie ten behoeve van het Ministerie van VWS, dat deze anonieme beleidsinformatie nodig heeft voor het beheer van het Nederlandse gezondheidszorgstelsel. De AVG staat verwerking van (bijzondere) persoonsgegevens voor dit doel toe, mits daarvoor een wettelijke grondslag bestaat.14 Anonieme gegevens gelden evenwel niet als persoonsgegevens in de zin van de AVG; het Ministerie van VWS verwerkt dan ook geen persoonsgegevens en heeft zodoende geen wettelijke grondslag nodig voor het gebruik van anonieme beleidsinformatie.

De betrokken partijen (het Ministerie van VWS, zorgverzekeraars en Wlz-uitvoerders) kwamen echter gezamenlijk tot de conclusie dat een expliciete wettelijke grondslag alsnog nodig is, omdat de zorgverzekeraars en Wlz-uitvoerders de verzekerden- en declaratiedata (waaronder ook gegevens over gezondheid) die zij reeds hebben verwerkt voor de uitvoering van hun wettelijke taken, verder verwerken voor de productie van deze anonieme beleidsinformatie. Voor deze verwerking ontbreekt nu dus een grondslag.

De verwerking van persoonsgegevens geschiedt door Vektis als verwerker van de zorgverzekeraars en Wlz-uitvoerders. De verdere verwerking bestaat in de eerste plaats uit het pseudonimiseren van de persoonsgegevens zodat die niet meer herleidbaar zijn tot individuele verzekerden met gebruik van een pseudo-burgerservicenummer (pseudo-BSN). Dat maakt het mogelijk om vast te stellen dat verschillende data betrekking hebben op eenzelfde persoon zonder diens identiteit te kennen. Dat is essentieel voor het kunnen leggen van verbanden. De verdere verwerking door Vektis bestaat in de tweede plaats uit het doen van onderzoek waaronder het uitvoeren van analyses en het aggregeren van informatie. De verdere verwerkingen door Vektis bestaan in derde plaats uit de productie en verstrekking van anonieme beleidsinformatie aan het Ministerie van VWS.

Het wetsvoorstel voorziet in een wettelijke grondslag voor deze verwerking door de zorgverzekeraars en Wlz-uitvoerders via Vektis. In afwachting van de wettelijke grondslag heeft Vektis de verwerking voor de productie van anonieme beleidsinformatie voor het Ministerie van VWS stopgezet.

Tot slot stellen de leden van de PVV-fractie dat het verbeteren van beleidsontwikkeling geen rechtvaardige reden is om persoons- en gezondheidsgegevens zonder toestemming uit te wisselen. Deelt de regering deze mening?

De regering deelt die mening niet en heeft daarom de voorgestelde regelingen in dit wetsvoorstel opgenomen.

Expliciete toestemming van de betrokkene is op grond van de AVG Ă©Ă©n van de geldige grondslagen voor de verwerking van persoonsgegevens, waaronder gegevens over gezondheid. De AVG vereist daarvoor geen wettelijke grondslag. Maar het vragen van expliciete toestemming is gezien het aantal betrokkenen praktisch onmogelijk, levert een flinke toename van administratieve lasten op en kost de zorgverzekeraars en Wlz-uitvoerders onevenredige inspanning. Het gebruik van de expliciete toestemming als verwerkingsgrondslag doet bovendien ernstig afbreuk aan de kwaliteit en representativiteit van de anonieme beleidsinformatie, omdat naar verwachting niet alle verzekerden expliciete toestemming zullen geven. De verwerking van de beschikbare verzekerden- en declaratiedata is echter wel noodzakelijk voor de kwaliteit, representativiteit en volledigheid van de anonieme beleidsinformatie.

Het Ministerie van VWS gebruikt deze anonieme beleidsinformatie voor het beheer van het Nederlandse gezondheidszorgstelsel. De AVG staat dat verwerkingsdoel toe, mits daarvoor een wettelijke grondslag bestaat.15 Het wetsvoorstel voorziet daarom in een expliciete grondslag voor de verdere verwerking van (bijzondere) persoonsgegevens door zorgverzekeraars en Wlz-uitvoerders via Vektis. Vektis hanteert de nodige voorwaarden bij de verwerkingen voor het Ministerie van VWS ter bescherming van persoonsgegevens. Zo gebruikt Vektis alleen verzekerden- en declaratiedata die het al voor de uitvoering van de wettelijke taken van zorgverzekeraars en Wlz-uitvoerders heeft verwerkt. Vektis verwerkt geen extra persoonsgegevens en vraagt ook geen extra gegevens op. Vektis pseudonimiseert eerst de verzekerden- en declaratiedata, zodat die niet meer herleidbaar zijn tot individuele verzekerden voordat zij onderzoek doet, waaronder het uitvoeren van analyses, en de informatie aggregeert. Het eindproduct bestaat slechts uit anonieme beleidsinformatie die wordt verstrekt aan het Ministerie van VWS.

De leden van de GroenLinks/PvdA-fractie benadrukken dat de gegevens die Vektis verwerkt voor beleidsinformatie geaggregeerd moeten zijn en niet herleidbaar tot individuele verzekerden. Dit moet – volgende de genoemde leden – niet verder worden opgerekt, zoals dit bijvoorbeeld wel is gedaan bij de verzamelde HoNos+ data door de Nederlandse Zorgautoriteit (NZa). Genoemde leden zijn benieuwd hoe het staat met de uitvoering van de aangenomen motie Joseph c.s. (Kamerstuk 25 424, nr. 697) die ervoor zorgt dat de NZa de nu al verzamelde HoNoS+ data vernietigt en voortaan slechts gebruikmaakt van geaggregeerde data?

Vektis pseudonimiseert eerst de betrokken verzekerden- en declaratiedata zodat die niet meer herleidbaar zijn tot individuele verzekerden. Het pseudonimiseren door Vektis is een verwerkingshandeling ter bescherming van persoonsgegevens. Vektis kan met de gepseudonimiseerde data op basis van een pseudo-BSN wel vaststellen dat verschillende data betrekking hebben op eenzelfde persoon zonder diens identiteit te kennen. Dat is essentieel voor het kunnen leggen van verbanden. Vektis doet vervolgens met de gepseudonimiseerde data onderzoek, waaronder het uitvoeren van analyses, en aggregeert informatie. Het aan het Ministerie van VWS te verstrekken eindproduct bestaat louter uit anonieme beleidsinformatie.

Mijn ambtsvoorganger heeft bij Kamerbrief van 24 juni 202416 de acties in verband met de uitvoering van de motie Joseph c.s. toegelicht.17 Het Ministerie van VWS voert gesprekken met de NZa over het gebruik van de HoNOS+ gegevens. Ik heb bovendien de Adviescommissie zorgvraagtypering gevraagd naar reflectie op de motie.18 Die commissie houdt zich op verzoek van de NZa namens de partijen in de GGZ-sector bezig met de doorontwikkeling van de zorgvraagtypering. De zorgvraagtypering heeft tot doel een verband te leggen tussen zorgvraag en de inzet van zorg. Dit is relevant voor een adequate inkoop en bekostiging van GGZ-aanbieders en daarmee voor de continuïteit van zorg aan patiënten, met name voor patiënten met een hoge zorgvraag. Uw Kamer wordt dit najaar geïnformeerd over de laatste stand van zaken.

De leden van de VVD-fractie stellen op het wetsonderdeel «Vektis» twee vragen. Allereerst constateren de genoemde leden dat in het wetsvoorstel het «zwaarwegend algemeen belang» beperkt lijkt tot beleidsontwikkeling en begrotingsonderbouwing van het Ministerie van VWS. Klopt deze beperking, en betekent dit dat de gecombineerde Vektis gegevens alleen voor dit doel geanonimiseerd beschikbaar gesteld kunnen worden?

De in het wetsvoorstel opgenomen wettelijke verwerkingsgrondslag ziet op de productie van anonieme informatie ten behoeve van het te voeren volksgezondheidsbeleid door VWS-bewindspersonen. Het gaat om het onderbouwing en verantwoording van beleid, zoals de inhoud en omvang van de verzekerde pakketten, de kwaliteit en toegankelijkheid van zorg en het financieel beheer van de collectief verzekerde zorg. De beschikbaarstelling van gecombineerde Vektis-data voor ĂĄndere doelen dan beleidsvorming zou een aanvullende verwerkingsgrondslag in de Zvw en Wlz vergen.

Ten tweede constateren de leden van de VVD-fractie dat voor het gebruik van Vektis data, voor de verbetering van kwaliteit van zorg door zorgprofessionals en door wetenschappelijk onderzoekers, elke compliance officer van elke betrokken zorgverzekeraar toestemming moet geven, wat tot enorme bureaucratie en vertraging leidt. Wat vindt de regering van deze belemmeringen en de mogelijke nadelen die dat heeft? Wordt deze belemmering met dit wetsvoorstel verminderd?

De regeling voor het gebruik van Vektis-data in dit wetsvoorstel ziet op anonieme beleidsinformatie, ten behoeve van het Ministerie van VWS en diens agentschappen. Het gebruik van de gezondheidsgegevens voor wetenschappelijk onderzoek valt dus buiten de scope van dit wetsvoorstel. Voor de verwerking van gegevens over gezondheid voor (wetenschappelijk) onderzoek bestaan slechts de algemene kaders van de AVG en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).19 De zorgverzekeraars en Wlz-uitvoerders moeten als verwerkingsverantwoordelijken bij een aanvraag voor (wetenschappelijk) onderzoek aan die algemene kaders toetsen. De EHDS bevat een specifieke regeling voor wetenschappelijk onderzoek en innovatie in de zorg. De onderzoekers die data willen gebruiken en daarvoor een vergunning hebben gekregen van de nog op te richten Health Data Access Body (HDAB) kunnen de onderzoeksgegevens opvragen bij datahouders zoals zorgverzekeraars en Wlz-uitvoerders.

De regering zet in op het vergroten van de databeschikbaarheid voor secundair gebruik (wetenschappelijk onderzoek, beleid en innovatie). Databeschikbaarheid is dan ook een belangrijke pijler van de Nationale visie en strategie gezondheidsinformatiestelsel.20 De uitvoering daarvan leidt, indien dit noodzakelijk blijkt, tot wetsvoorstellen met aanvullende verwerkingsgrondslagen voor secundair datagebruik, zoals voor Vektis-data.

De leden van de NSC-fractie vragen de regering te benoemen welke specifieke agentschappen onder de verantwoordelijkheid van het Ministerie van VWS vallen (aanvullende) rapportages nodig hebben voor beleid?

De agentschappen die vallen onder het Ministerie van VWS zijn het College ter Beoordeling van Geneesmiddelen (CBG), het Centraal Informatiepunt Beroepen Gezondheidszorg (CBIG) en het Rijksinstituut voor Volksgezondheid en Milieu (RIVM). De verwerkingsgrondslagen die met dit wetsvoorstel worden geregeld, gelden ook voor deze organisaties. Vektis kan dan ook ten behoeve van deze agentschappen namens de zorgverzekeraars en Wlz-uitvoerders (bijzondere) persoonsgegevens verwerken tot anonieme beleidsinformatie.

Daarnaast willen genoemde leden weten wat de noodzaak is van extra beleidsinformatie en welke concrete voorbeelden heeft de regering hiervan in gedachten?

Dit wetsvoorstel voorziet in wettelijke grondslagen voor verwerkingen ten behoeve van een bestaande informatiebehoefte, waarin Vektis als verwerker namens de zorgverzekeraars en de Wlz-uitvoerders momenteel niet kan voorzien vanwege het ontbreken van wettelijke grondslagen. Voorbeelden van de noodzakelijke verwerkingen zijn de monitoring van niet gecontracteerde wijkverpleging en GGZ, het onderzoek voor het macrokader GGZ en de analyse van Wlz-zorg in natura. Overigens dragen de vragen vanuit uw Kamer ook bij aan die informatiebehoefte.

De leden van de NSC-fractie vragen waarom niet eerst wordt gefocust op het optimaal benutten van de reeds beschikbare data. Voorts vragen zij welke stappen er worden genomen om bestaande gegevens beter te benutten en de beveiliging daarvan te verbeteren voordat nieuwe regelgeving voor bredere dataverwerking en data uitwisseling wordt geĂŻmplementeerd.

De in het wetsvoorstel voorgestelde regelingen voor de verwerking van Vektis-data houden de optimale benutting van bestaande data in. Het gaat om secundair gebruik van reeds verwerkte verzekerden- en declaratiedata. De voorgestelde regelingen leiden niet tot extra informatie-uitvragen bij zorgaanbieders of burgers. Verzekerden- en declaratie die Vektis reeds heeft verwerkt als verwerker van de zorgverzekeraars en Wlz-uitvoerders ter uitvoering van hun wettelijke taken op grond van de Zvw en Wlz, verwerkt Vektis verder ten behoeve van anonieme beleidsinformatie voor het Ministerie van VWS. De verdere verwerking bestaat uit het pseudonimiseren, onderzoeken waaronder analyseren, en aggregeren van de gepseudonimiseerde data en ten slotte de productie en verstrekking van anonieme beleidsinformatie. Het wetsvoorstel maakt deze verdere verwerking derhalve op een veilige wijze mogelijk.

De leden van de D66-fractie stellen de volgende vragen. Kan de regering de proportionaliteit en noodzakelijkheid van elke grondslag in het wetsvoorstel (voor het wetsonderdeel «Vektis») verder motiveren? En kan de regering hierbij ook aangeven of er alternatieven mogelijk zijn, en zo ja, welke?

Momenteel kan Vektis reeds verwerkte verzekerden- en declaratiedata niet verder verwerken voor de verstrekking van anonieme beleidsinformatie aan het Ministerie van VWS. Het gaat om noodzakelijke verwerkingen voor het beheer van het Nederlandse gezondheidszorgstelsel, een in de AVG toegestaan verwerkingsdoel voor gegevens over gezondheid.21 Concreet gaat het om de onderbouwing en verantwoording van beleid, zoals de inhoud en omvang van de verzekerde pakketten, de kwaliteit en toegankelijkheid van zorg en het financieel beheer van de collectief verzekerde zorg. Vektis hanteert de nodige voorwaarden bij de verwerkingen van persoonsgegevens voor het Ministerie van VWS ter bescherming van persoonsgegevens. Zo gebruikt Vektis alleen verzekerden- en declaratiedata die het al voor de uitvoering van de wettelijke taken van zorgverzekeraars en Wlz-uitvoerders heeft verwerkt. Vektis verwerkt geen extra persoonsgegevens. Vektis pseudonimiseert eerst de verzekerden- en declaratiedata zodat die niet meer herleidbaar zijn tot individuele verzekerden voordat zij onderzoek doet, waaronder het uitvoeren van analyses, en de informatie aggregeert. Het eindproduct bestaat slechts uit anonieme beleidsinformatie. De door Vektis gehanteerde voorwaarden waarborgen de proportionaliteit. Vektis beschikt als enige partij in hoedanigheid van verwerker voor de zorgverzekeraars en de Wlz-uitvoerders over de verzekerden- en declaratiedata. Dit betekent dat er geen alternatieven mogelijk zijn.

De leden van de SP-fractie willen weten of de regering helder kan formuleren wat momenteel de wettelijke bevoegdheden van Vektis zijn? Wat zou dit wetsvoorstel veranderen aan de huidige wettelijke bevoegdheden van Vektis?

Vektis treedt op als verwerker namens de zorgverzekeraars en Wlz-uitvoerders. Dit wetsvoorstel wijzigt deze positie van Vektis niet, maar voorziet in een wettelijke grondslag, zodat Vektis reeds verwerkte verzekerden- en declaratiedata verder kan verwerken ten behoeve van anonieme beleidsinformatie voor het Ministerie van VWS. De verdere verwerkingen door Vektis bestaan in de eerste plaats uit het pseudonimiseren van de persoonsgegevens zodat die niet meer herleidbaar zijn tot individuele verzekerden. De verdere verwerkingen door Vektis bestaan in de tweede plaats uit het doen van onderzoek met deze gepseudonimiseerde gegevens, waaronder het uitvoeren van analyses, en het aggregeren van deze informatie tot anonieme gegevens. De verdere verwerkingen door Vektis bestaan in derde plaats uit de productie en verstrekking van anonieme beleidsinformatie.

2.5 Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten

De leden van de GroenLinks/PvdA-fractie zouden graag zien dat mensen met een levenslange en levensbrede beperking niet steeds opnieuw een herindicatie moeten aanvragen, maar dat dit voor een lange termijn wordt afgegeven. Als dit wetsonderdeel in de toekomst beleid wordt, hoe zal het dan gaan met de bewaartermijn van gegevens? Kunnen de gegevens van genoemde cliënten dan wel langer worden bewaard of gooit dit wetsvoorstel hier de deur voor dicht?

Wanneer een gemeente een beschikking afgeeft die langer geldt dan 7 jaar, ontstaan er met dit wetsvoorstel geen problemen met het bewaren van de gegevens. De bewaartermijn van 7 jaar geldt telkens vanaf het moment van de laatst vastgelegde wijziging van de persoonsgegevens. Het CAK geeft aan dat gedurende de periode dat iemand ondersteuning ontvangt, er wijzigingen in het dossier plaatsvinden, bijvoorbeeld door het sturen van een jaarbeschikking met daarin de eigen bijdrage die betaald moet worden. In de praktijk betekent dit dat de bewaartermijn pas kan aflopen wanneer iemand geen ondersteuning meer ontvangt en dat het dus niet afhankelijk is van het afgeven of de duur van de beschikking.

3. Verhouding hoger recht

3.1 Mensenrechtelijke bescherming

De leden van de NSC-fractie vragen waarom het nodig is dat zorgverzekeraars en Wlz-uitvoerders een wettelijke grondslag nodig hebben om gegevens te verwerken en te anonimiseren, als deze gegevens al niet-anoniem naar Vektis gaan en daar worden verwerkt? Waarom blijft de uitvoering van gegevensverwerking niet beperkt tot verwerking bij Vektis? Vervolgens vragen genoemde leden of de regering kan aangeven waarom het nodig is dat een Wlz uitvoerder (art 89a) gegevens aan een zorgverzekeraar zou moeten verstrekken en dit niet rechtstreeks via Vektis gaat?

Het kan noodzakelijk zijn dat een Wlz-uitvoerder gegevens verstrekt aan een zorgverzekeraar, ten behoeve van de afstemming van Wlz- en Zvw-zorg aan een verzekerde. Dit betreft primaire verwerkingen van gegevens voor de uitvoering van wettelijke taken. De ontwikkelingen op het gebied van de Wlz kunnen echter in een aantal gevallen doorwerken in de ontwikkelingen op het gebied van de Zvw. Zodoende kan de gevraagde beleidsinformatie de verwerking van Wlz-informatie en Zvw-informatie noodzakelijk maken. Vektis is verwerker voor zowel de zorgverzekeraars als de Wlz-uitvoerders. De daadwerkelijke verdere verwerking van de Wlz-informatie tot anonieme beleidsinformatie voor het Ministerie van VWS gaat dan ook rechtstreeks via Vektis.

Verder willen de leden van de NSC-fractie weten hoe het staat met de informatiebeveiliging in de zorguitwisseling tussen zorgverzekeraars, Wlz-uitvoerders en Vektis? Zij vragen of de regering ook privacy bevorderende maatregelen, zoals multi-party computation (MPC), heeft overwogen als manier om tot beleidsinformatie te komen, met minder gevaren voor de privacy van personen.

De voorgestelde verwerkingsgrondslagen betreffen verdere verwerkingen van reeds door Vektis verwerkte persoonsgegevens ter uitvoering van de wettelijke taken van de zorgverzekeraars en Wlz-uitvoerders. Vektis past de bestaande beveiligingsmaatregelen ter bescherming van de persoonsgegevens voor de primaire verwerkingen ook ten volle toe bij de verdere verwerkingen.

De bestaande beveiligingsmaatregelen bieden gezien de grote hoeveelheid verwerkte gegevens over gezondheid bij de primaire verwerkingen door Vektis als verwerker voor de zorgverzekeraars en de Wlz-uitvoerders een hoog beschermingsniveau en moeten dat op grond van de AVG ook doen.

De verdere verwerkingen door Vektis bestaan uit het pseudonimiseren van verzekerden- en declaratiedata, het onderzoeken, waaronder het uitvoeren van analyses van de gepseudonimiseerde data, het aggregeren van informatie en de productie en verstrekking van anonieme beleidsinformatie aan het Ministerie van VWS.

In het kader van de verwerking door Vektis, ten behoeve van het beleid van het Ministerie van VWS, is Vektis primair de aangewezen partij om te zorgen voor een gedegen gegevensverwerking. Dit impliceert nadrukkelijk niet dat de Rijksoverheid geen voorstander is van het gebruik van MPC, noch dat er geen onderzoek wordt gedaan naar MPC. Ik overweeg om zogenoemde privacy enhancing techniques (PET’s), zoals MPC, toe te passen wanneer het inzichten uit gegevens wil verkrijgen. Het Ministerie van VWS werkt volgens het principe van privacy-by-design. Onder andere is bij verwerkingen binnen VWS het in kaart brengen van de risico’s, en vervolgens ook het nemen van maatregelen (in een DPIA), verplicht. In dit proces kan ook de toepassing van PET’s worden besproken. Op dit moment signaleer twee nadelen bij het gebruik van MPC. Ten eerste zijn er nog geen goede standaarden, wat brede adoptie door de industrie lastig maakt. Daarnaast kan in sommige gevallen niet worden gecontroleerd of de juiste actie is uitgevoerd, door een gebrek aan transparantie. Dit vraagt om verder onderzoek voordat MPC breed toepasbaar kan zijn.

3.2 Vektis

De leden van de VVD-fractie constateren dat om beleid te kunnen ontwikkelen, maar ook om kwaliteit van zorg te verbeteren, veel data nodig zijn. Ziet de regering mogelijkheden voor versoepelingen of andere vereenvoudigingen vanuit de AVG die het makkelijker maken om gegevens te delen die de kwaliteit van zorg in zowel de zorgplannen als wetenschappelijk onderzoek kunnen bevorderen?

De regeling voor het gebruik van Vektis-data in dit wetsvoorstel ziet op anonieme beleidsinformatie ten behoeve van het Ministerie van VWS en diens agentschappen. Het gebruik van de gezondheidsgegevens voor wetenschappelijk onderzoek valt dus buiten de scope van dit wetsvoorstel. De toekomstige EU-verordening voor de EHDS bevat een specifieke regeling voor wetenschappelijk onderzoek en innovatie. De onderzoekers die data willen gebruiken en daarvoor een vergunning hebben gekregen van de nog op te richten HDAB kunnen de onderzoeksgegevens opvragen bij datahouders zoals zorgverzekeraars en Wlz-uitvoerders. De regering zet in op het vergroten van de databeschikbaarheid voor secundair gebruik (wetenschappelijk onderzoek, beleid en innovatie). Databeschikbaarheid is dan ook een belangrijke pijler van de Nationale visie en strategie gezondheidsinformatiestelsel.22 De uitvoering daarvan leidt zo nodig tot wetsvoorstellen met aanvullende verwerkingsgrondslagen voor secundair datagebruik zoals voor Vektis-data.

3.3 Bewaartermijn van gegevens van Wmo-cliënten (momenteel 15 jaar) verkorten

De leden van de NSC-fractie willen weten in welke situaties het noodzakelijk is dat het CAK en de SVB gegevens langer dan zeven jaar bewaren. Kan deze toevoeging uit het conceptwetsvoorstel worden geschrapt?

Er kunnen zich situaties voordoen waarin het voor een zorgvuldige uitvoering van de taken op grond van de Wmo 2015 toch noodzakelijk is een bewaartermijn te hanteren die langer is dan 7 jaar, te rekenen vanaf de laatst vastgelegde wijziging. Het CAK kan bijvoorbeeld te maken krijgen met een vordering die is gestuit, waardoor deze niet binnen vijf jaar (art. 4:104 BW) verjaart. Zonder de toevoeging «of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van taken op grond van deze wet noodzakelijk is» zou het voor kunnen komen dat het CAK deze vordering dan niet langer kan innen. Het CAK geeft daarom aan, dat het belangrijk is om deze toevoeging te behouden. Uiteraard kan enkel op grond van deze toevoeging worden geacteerd als dat noodzakelijk is in verband met de uitvoering van taken op grond van deze wet. Zoals bovengenoemd voorbeeld ook aangeeft zal dit zich slechts in uitzonderlijke situaties voordoen.

4. Regeldruk

De leden van de VVD-fractie hebben vragen gesteld met betrekking tot de regeldruk. Allereerst vragen de genoemde leden of de regering concreet kan maken welke handelingen en administratieve lasten niet meer nodig zijn na implementatie van de Verzamelwet gegevensverwerking VWS II.a?

Het wetsvoorstel Verzamelwet gegevensverwerking VWS II is, zoals te doen gebruikelijk, voorgelegd aan het Adviescollege toetsing regeldruk (ATR). De ATR laat weten dat de wetswijzigingen de regeldruk beperken, omdat handelingsverlegenheid onder uitvoerenden en discussies over de juridische houdbaarheid van de gegevensverwerkingen en verstrekkingen daarmee tot het verleden gaan behoren. Het voorkomt ook dat een toevlucht moet worden genomen tot (het vragen van) toestemming van cliënten om rechtmatig te kunnen handelen.

Verder leiden de wetswijzigingen tot minder (ervaren) regeldruk voor zorgaanbieders, patiĂ«nten en cliĂ«nten. Overigens dient wel benadrukt te worden dat met het wetsvoorstel wordt beoogd de grondslagen bij bestaande taken aan te vullen of te verduidelijken. De uitvoering van bestaande taken worden door deze wetswijzigingen vereenvoudigd, dit levert – zoals gezegd – in potentie een verlichting van de regeldruk op. Echter, de specifieke gevolgen hiervan zijn lastig te kwantificeren. In ieder geval worden geen negatieve regeldrukgevolgen verwacht.

Vervolgens constateren de leden van de VVD-fractie dat de omvang van deze verlichting beperkt is (zo schrijft ook de ATR). Op welke manier kan verdere verlichting worden ingezet?

De afgelopen jaren is duidelijk geworden dat de regeldruk een hardnekkig en ingewikkeld probleem is, dat alleen kan worden aangepakt met gezamenlijke inspanningen op meerdere niveaus. Daarom zijn er verschillende (sub)thema’s opgenomen in het regeerprogramma, denk hierbij aan: 1) het afwenden van een onbeheersbaar arbeidsmarkttekort; 2) halveren van de administratietijd in 2030, en; 3) het vergroten van vakmanschap en werkplezier. Aan de hand van de genoemde thema’s wordt onder andere ingezet op het stimuleren van het gebruik van kunstmatige intelligentie (AI) in de zorg. Daarnaast zal wet- en regelgeving welke tot onnodige administratietijd leidt, worden geschrapt. Verder wordt toegewerkt naar meer databeschikbaarheid (gegevensuitwisseling in de zorg), uiteraard met oog voor bescherming van bijzondere persoonsgegevens.

5. Advies en consultatie

De Raad van State geeft aan dat een «betere» uitvoering van een wettelijke taak op zichzelf geen rechtvaardiging is, zeker nu in de huidige situatie gewerkt wordt met expliciete toestemming. Volgens de toelichting is het vragen van toestemming echter geen werkbare en wenselijke optie. Met betrekking tot bevolkingsonderzoeken en screenings zou het onthouden van toestemming kunnen leiden tot een vertekend beeld. Hoe kijkt de regering naar dit advies van de Raad van State?

De hierboven gestelde vraag richt zich op het onderwerp dat een verwerkingsgrondslag regelt tussen zorgverleners en het RIVM en wordt besproken in het advies van de Afdeling. In het voorliggend wetsvoorstel is voornoemde verwerkingsgrondslag niet opgenomen. Het onderdeel dat die grondslag regelt, is opgenomen in de Verzamelwet gegevensverwerking VWS II.b. De reactie op de opmerkingen van de Afdeling over dat onderdeel, is in het bijbehorende nader rapport van de Verzamelwet gegevensverwerking VWS II.b opgenomen. Voor een antwoord op deze vraag verwijs ik de leden van de VVD-fractie daarom naar het nader rapport, zoals dat onlangs met het genoemde wetsvoorstel bij Uw Kamer aanhangig is gemaakt.23

Is de regering bereid het wetsvoorstel aan te passen zodat het medisch beroepsgeheim gewaarborgd blijft, gezien de opmerkingen van de Raad van State over gegevensverwerkingen in bevolkingsonderzoeken, screenings en vaccinaties?

Allereerst moet worden benadrukt dat deze vraag niet gaat over het onderhavige wetsvoorstel, maar over de Verzamelwet gegevensverwerking VWS II.b. Desalniettemin is naar aanleiding van het advies van de Afdeling de toelichting op de Verzamelwet gegevensverwerking VWS II.b en het wetsvoorstel aangepast.

6. Overig

De leden van de BBB-fractie merken op dat een bezwaarsysteem in de praktijk niet minder hoeft te vergen van zorgverleners dan een toestemmingssysteem. Hoe ziet de regering de situatie waarin privacy alleen gewaarborgd wordt als er bezwaar wordt gemaakt, in plaats van dat dit de uitgangssituatie is? Indien de regering het met de BBB eens is, wat is dan volgens de regering de noodzaak van deze wetswijziging?

De hierboven gestelde vraag richt zich op het onderwerp dat een verwerkingsgrondslag regelt tussen zorgverleners en het RIVM en wordt besproken in het advies van de Afdeling. Het voorliggend wetsvoorstel ziet echter niet op de genoemde verwerkingsgrondslag. Het onderdeel dat die grondslag regelt is opgenomen in de Verzamelwet gegevensverwerking VWS II.b. De reactie op de opmerkingen van de Afdeling over dat onderdeel, is in het bijbehorende nader rapport van de Verzamelwet gegevensverwerking VWS II.b opgenomen.

Voor een antwoord op deze vraag verwijs ik de leden van de BBB-fractie naar het nader rapport, zoals dat onlangs met het wetsvoorstel bij Uw Kamer aanhangig is gemaakt.24

De Minister van Volksgezondheid, Welzijn en Sport,
M. Agema


  1. Voorbeelden van stopgezette verwerkingen zijn de monitoring van niet gecontracteerde wijkverpleging en GGZ (de wet bevordering zorgcontractering), onderzoek voor het macrokader GGZ en analyse van Wlz-zorg in natura.↩

  2. Kamerstukken II 2022/23, 27 529, nr. 295 en Kamerstukken II 2023/24, 27 529, nr. 317.↩

  3. Dit is ook van toepassing op primair gebruik.↩

  4. Voorbeelden van stopgezette verwerkingen zijn de monitoring van niet gecontracteerde wijkverpleging en GGZ (de wet bevordering zorgcontractering), onderzoek voor het macrokader GGZ en analyse van Wlz-zorg in natura.↩

  5. Kamerstukken II 2021/22, Aanhangsel Handelingen, nr. 2908 (2022D21872).↩

  6. Kamerstukken II 2024/25, 36 621, nr. 2.↩

  7. De IGJ geeft aan dat voor het noemen van exacte aantallen extra context nodig is. Als voorbeeld kan wel de uitvraag (2022) bij ziekenhuizen worden genoemd. Van de 77 ziekenhuizen voldeden er toen 51 nog niet aan de norm. In 2023 deed de IGJ iets dergelijks ook voor 21 ZBC’s/particuliere klinieken met 50 fte of meer. Daar voldeed geen van de uitgevraagde zorgaanbieders aan de norm. In 2023 bezocht de IGJ zes aanbieders in de gehandicaptenzorg met het IGJ-toetsingskader «inzet van digitale zorg». Geen van de aanbieders voldeed toen aan de norm.↩

  8. De IGJ geeft aan dat voor het noemen van exacte aantallen extra context nodig is. Als voorbeeld kan wel de uitvraag (2022) bij ziekenhuizen worden genoemd. Van de 77 ziekenhuizen voldeden er toen 51 nog niet aan de norm. In 2023 deed de IGJ iets dergelijks ook voor 21 ZBC’s/particuliere klinieken met 50 fte of meer. Daar voldeed geen van de uitgevraagde zorgaanbieders aan de norm. In 2023 bezocht de IGJ zes aanbieders in de gehandicaptenzorg met het IGJ-toetsingskader «inzet van digitale zorg». Geen van de aanbieders voldeed toen aan de norm.↩

  9. De PDCA-cyclus is een manier om continu te verbeteren aan de hand van een vaste structuur. De vier letters van de PDCA-cyclus staan voor de vier fases die doorlopen worden: Plan, Do, Check, Act.↩

  10. Inspectie Gezondheidszorg en Jeugd, «Toetsingskader Digitale Zorg, de inzet van digitale zorg door zorgaanbieders», Utrecht mei 2024.↩

  11. Hiermee worden de NEN 7510, 7512 en 7513 bedoeld.↩

  12. Naast inspectiebezoeken doet de IGJ verschillende andere soorten interventies, zoals bezoeken n.a.v. een uitvraag (ziekenhuizen, klinieken en dit jaar de huisartsenposten), of n.a.v. een cyberincident (3 x in 2023) of focusbezoeken (gericht op een specifiek thema zoals thuismonitoring in 2022, en domotica dit jaar).↩

  13. De IGJ geeft aan dat voor het noemen van exacte aantallen extra context nodig is. Als voorbeeld kan wel de uitvraag (2022) bij ziekenhuizen worden genoemd. Van de 77 ziekenhuizen voldeden er toen 51 nog niet aan de norm. In 2023 deed de IGJ iets dergelijks ook voor 21 ZBC’s/particuliere klinieken met 50 fte of meer. Daar voldeed geen van de uitgevraagde zorgaanbieders aan de norm. In 2023 bezocht de IGJ zes aanbieders in de gehandicaptenzorg met het IGJ-toetsingskader «inzet van digitale zorg». Geen van de aanbieders voldeed toen aan de norm.↩

  14. Artikelen 6, vierde lid, en 9, tweede lid, onderdeel h, AVG.↩

  15. Artikelen 6, vierde lid, en 9, tweede lid, onderdeel h, AVG.↩

  16. Kamerstukken II 2023/24, 25 424, nr. 703.↩

  17. Kamerstukken II 2023/24, 25 424, nr. 697.↩

  18. Kamerstukken II 2023/24, 25 424, nr. 703, p. 2.↩

  19. Zie artikel 24 UAVG.↩

  20. Kamerstukken II 2022/23, 27 529, nr. 292.↩

  21. Zie artikel 9, tweede lid, onderdeel h, AVG.↩

  22. Kamerstukken II 2022/23, 27 529, nr. 292.↩

  23. Kamerstukken II 2024/25, 36 621, nr. 4.↩

  24. Kamerstukken II 2024/25, 36 621, nr. 4.↩