Brief regering; Tweede voortgangsrapportage Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg - Informatie- en Communicatietechnologie (ICT) in de Zorg - Hoofdinhoud
Deze brief is onder nr. 167 toegevoegd aan dossier 27529 - Informatie- en Communicatietechnologie (ICT) in de Zorg.
Inhoudsopgave
| Officiële titel | Informatie- en Communicatietechnologie (ICT) in de Zorg; Brief regering; Tweede voortgangsrapportage Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg |
|---|---|
| Documentdatum | 20-12-2018 |
| Publicatiedatum | 27-12-2018 |
| Nummer | KST27529167 |
| Kenmerk | 27529, nr. 167 |
| Commissie(s) | Volksgezondheid, Welzijn en Sport (VWS) |
| Externe link | origineel bericht |
| Originele document in PDF |  |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2018-
2019
27 529
Informatie- en Communicatietechnologie (ICT) in de Zorg
BRIEF VAN DE MINISTER VOOR MEDISCHE ZORG
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 20 december 2018
Op 4 oktober 2016 heeft uw Kamer de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg1 aangenomen (Handelingen I 2016/17, nr. 2, item 8). Hierbij is toegezegd dat de Kamers jaarlijks geïnformeerd zullen worden over de voortgang van deze wet. De eerste voortgangsrapportage stuurde ik op 12 december 2017 naar uw Kamer (Kamerstuk 27 529, nr. 152). Deze brief vormt de tweede voortgangsrapportage en betreft de periode van oktober 2017 tot en met 4 december 2018.
In mijn vorige rapportage heb ik u gemeld dat de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg is opgenomen in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: Wabvpz).
De Wabvpz regelt de randvoorwaarden voor elektronische gegevensuitwisseling en de beschikbaarheid van gegevens via een elektronisch uitwisselingssysteem, zoals bijvoorbeeld gespecificeerde toestemming. Deze voortgangsrapportage heeft daarom raakvlakken met de brief over gegevensuitwisseling die tijdens het Algemeen Overleg (AO) van 30 mei 2018 (Kamerstukken 29 515, 32 012, 32 620 en 27 529, nr. 433) is toegezegd toe te sturen. De brief over gegevensuitwisseling zal binnenkort verzonden worden naar de Tweede Kamer.
In deze voortgangsrapportage zal ik ingaan op de onderwerpen waar ontwikkelingen te melden zijn: het Besluit elektronische gegevensverwerking door zorgaanbieders, privacy als uitgangspunt bij gegevensverwerking, overleg met de Autoriteit Persoonsgegevens en gespecificeerde toestemming.
1 Kamerstuk 33 509.
kst-27529-167 ISSN 0921 - 7371 's-Gravenhage 2018
Besluit elektronische gegevensverwerking door zorgaanbieders
Bij de Wabvpz zijn in een algemene maatregel van bestuur, het Besluit elektronische gegevensverwerking door zorgaanbieders2, specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling gesteld. Dit besluit is inwerking getreden op 1 januari 2018. In dit besluit zijn de eisen die gelden voor gegevensverwerking in de zorgsector opgenomen: de NEN 7510:2017 en in aanvulling daarop NEN 7512:2015 en NEN 7513:2018.
Privacy als uitgangspunt bij gegevensverwerking
In de vorige voortgangsrapportage heb ik aangegeven dat dataprotectie by design geldt als uitgangspunt voor elektronische verwerking van gegevens en dat het toepassen van privacy-by-design principes volgt uit de regelgeving rondom privacy: de Algemene Verordening Gegevensbescherming (AVG). Dit principe is ook vastgelegd in het Besluit elektronische gegevensverwerking door zorgaanbieders. De AVG is sinds 25 mei 2018 van toepassing. Dat betekent dat in de gehele Europese Unie dezelfde privacywetgeving geldt. Alle organisaties, dus ook zorgorganisaties, zijn verplicht om de bescherming van persoonsgegevens vanaf het begin in het ontwerpproces van registraties of systemen mee te nemen.
In de aanloop naar 25 mei 2018, kwamen uit het zorgveld signalen dat er grote twijfels en onzekerheden waren bij de transitie van de Wet bescherming persoonsgegevens naar de AVG. Daarom heb ik, in een unieke samenwerking met twaalf koepelorganisaties in de zorg en het sociaal domein, de «AVG-Helpdesk voor Zorg en Welzijn» opgezet. Deze helpdesk is op 15 mei 2018 live gegaan.
De AVG-Helpdesk1 2 is een website waarop informatie en praktische tips over gegevensverwerking en privacy staan vermeld. Het doel is om informatie en kennis te delen en toegankelijk te maken voor alle medewerkers in het zorgveld.
Voor zorgaanbieders en sociaalwerkorganisaties die verantwoordelijk zijn voor de implementatie van de AVG is van 22 mei 2018 tot en met 31 december 2018 een telefonische hulplijn ingesteld die op werkdagen beschikbaar is3. Ook bestaat de mogelijkheid om per e-mail4 vragen te stellen.
Tot en met oktober 2018 bezochten 14.129 unieke bezoekers de AVG-Helpdesk. Daarnaast heeft de AVG-Helpdesk in diezelfde periode meer dan 1.000 vragen via de e-mailpostbus van de website beantwoord. De vragen zijn vaak niet enkel gericht op privacy, maar ook bijvoorbeeld over het gebruik van het burgerservicenummer (bsn), beveiliging of toestemming. Deze onderwerpen betreffen de Wabvpz. Voor de beantwoording van deze vragen worden veelal juristen en ervaringsdeskundigen ingezet. De antwoorden worden eerst afgestemd met de Autoriteit Persoonsgegevens en deze worden ook op de website geplaatst als FAQ's. Vanuit koepelorganisaties komen steeds meer modellen en handreikingen beschikbaar. Zo beweegt de AVG-Helpdesk mee met wat er leeft in het veld en wordt het een echte informatie- en kennisbank. Per 1 november 2018 is Sport toegevoegd aan het aandachtsgebied van de AVG-Helpdesk. De activiteiten van de AVG-Helpdesk worden in 2019 gecontinueerd.
Overleg met de Autoriteit Persoonsgegevens
In de vorige rapportage heb ik aangegeven dat de Autoriteit Persoonsgegevens (AP) onder meer de thema's bijzondere persoonsgegevens en beveiliging van persoonsgegevens bovenaan de agenda heeft gezet. Deze thema's raken specifiek privacy in de zorg. Met de AP ben ik van mening dat patiënten erop moeten kunnen vertrouwen dat de informatie die zij met hun arts delen geheim blijft. Daarom gelden voor de bescherming van gezondheidsgegevens extra hoge eisen. Ook in het Toezichtkader van de AP voor 2018-2019 is de gezondheidszorg één van de belangrijke speerpunten. De AP legt bij zorginstellingen extra focus op de beveiliging van medische gegevens en op de vraag of de verwerking gebaseerd is op de juiste grondslag. Daarnaast zal de AP toezien op de naleving van de verplichting om een register van verwerkingen op te stellen, de verplichting om een functionaris gegevensbescherming (FG) aan te stellen, alsmede de wijze waarop de organisatie de FG positioneert en hem in staat stelt de taken en verplichtingen te vervullen die hij op grond van de AVG heeft5.
Een specifiek onderwerp betreft patiëntauthenticatie. De komende jaren neemt het aanbod van online-dienstverlening in de zorg verder toe.
Omdat in het zorgveld onduidelijk was op welk niveau patiëntauthenticatie gebruikt moet worden voor het uitwisselen van gegevens tussen zorgverleners en patiënten, heb ik van de AP op 4 oktober 2018 een brief hierover ontvangen. In die brief benadrukt de AP dat technologische ontwikkelingen kunnen bijdragen aan kwalitatief goede, veilige en doelmatige zorg voor patiënten. De AP heeft herbevestigd dat voor toegang tot medische persoonsgegevens voor patiënten het betrouwbaar-heidsniveau «substantieel»6 geldt en als het gaat om gegevens over gezondheid waarop het medisch beroepsgeheim rust betrouwbaarheids-niveau «hoog». Deze betrouwbaarheidsniveaus zijn momenteel niet breed beschikbaar. De AP acht van belang dat de nodige voortvarendheid wordt betracht bij de ontwikkeling en het beschikbaar maken van de benodigde betrouwbaarheidsniveaus binnen het eID-stelsel. Daarnaast moet binnen de zorgsector gebruik worden gemaakt van deze betrouwbaarheidsniveaus, zodra die breed beschikbaar komen. In de tussentijd dient patiëntauthenticatie plaats te vinden met ten minste tweefactorauthenti-catie7. Daarbij moeten zo nodig aanvullende maatregelen genomen worden om risico's te beperken.
Het is de bedoeling dat per 1 juli 2020 de bepaling uit de Wabvpz over gespecificeerde toestemming in werking treedt. In de vorige rapportage meldde ik u dat het programma Gespecificeerde Toestemming Structureel (GTS) sinds juni 2016 bezig is om gespecificeerde toestemming te realiseren door een online toestemmingsvoorziening te ontwikkelen. Dit gebeurt in een samenwerking met de Patiëntenfederatie, zorgkoepels en zorgverzekeraars. De cliënt krijgt daarmee zelf de gelegenheid om gespecificeerd toestemming te geven. Zo kan hij aangeven en specificeren of en welke zorgaanbieder alle of een deel van de gegevens beschikbaar mag stellen aan andere zorgaanbieders met wie hij een behandelrelatie heeft.
Uit de informatie die ik van het programma GTS heb ontvangen, blijkt dat het programma GTS diverse onderzoeken heeft afgerond. De onderzoeksresultaten van de eerste onderzoeksfase van het programma zijn:
-
1.artikel 15a lid 2 van de Wabvpz over gespecificeerde toestemming is vertaald naar een juridisch kader;
-
2.er is een toestemmingsmodel ontwikkeld voor het registeren van het toestemmingen passend bij het juridisch kader en in lijn met informa-tiestandaarden in de zorg;
-
3.het juridisch kader en toestemmingsmodel zijn ter toetsing voorgelegd aan PBLQ8 die deze uitwerking als juridisch optimum heeft betiteld;
-
4.er is een prototype ontwikkeld passend bij het toestemmingsmodel en in een eerste oriëntatie op uitvoerbaarheid en werkbaarheid aan cliënten voorgelegd;
-
5.een eerste versie van het architectuurmodel is opgesteld die op technische haalbaarheid wordt beproefd.
De Proof of Concept om de complexiteit van het programma GTS te beheersen - waarover ik u in de vorige rapportage informeerde - vindt nog plaats. Deze zal begin 2019 afgerond zijn.
Het programma heeft als opdracht hoe gespecificeerde toestemming werkbaar en uitvoerbaar gemaakt kan worden voor de burger - de cliënt -en zorgaanbieder.
Uit informatie van de stuurgroep maak ik op dat de stuurgroep serieuze zorgen heeft over met name werkbaarheid en uitvoerbaarheid van gespecificeerde toestemming voor burgers en zorgaanbieders. De stuurgroep heeft dit op 12 juni 2018 besproken in een technische briefing die zij verzorgde voor de Eerste Kamer. Ook heeft de stuurgroep het vorenstaande besproken met verschillende organisaties, waaronder het Adviescollege toetsing regeldruk (ATR), de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en het Platform voor de Informatiesamenleving (ECP). De stuurgroep heeft haar zorgen recent, op 4 december 2018, ook voorgelegd aan de Tweede Kamer in een technische briefing. De stuurgroep heeft haar zorgen in een brief aan mij geuit. De brief van de stuurgroep heb ik als bijlage bijgevoegd bij deze voortgangsrapportage9. Graag ga ik met uw Kamer in gesprek over het voorstel van de stuurgroep om na te denken over een scenario, waarbij de bedoeling van het wetsartikel als uitgangspunt worden genomen en dat een burger bepaalt hoe gespecificeerd hij zijn toestemmingsprofiel wil vastleggen. Dit omdat er verschillende behoeften zijn in bijvoorbeeld: de zorgvraag, digitale vaardigheden, privacybehoeften et cetera.
Ik vertrouw erop u hiermee voldoende geïnformeerd te hebben over de implementatie van de wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg. Volgend jaar zal ik u verder informeren over de voortgang.
De Minister voor Medische Zorg,
B.J. Bruins
Tweede Kamer, vergaderjaar 2018-2019, 27 529, nr. 167 4
Gepubliceerd op 28 november 2017 in het Stb. 2017, nr. 446.
088-6788969
Pagina 7 van het Toezichtkader, beschikbaar via de website van de AP.
Laag = gebruikersnaam en wachtwoord, Midden = gebruikersnaam, wachtwoord met SMS of i.p.v. een sms gebruikmaken van de DigiD App, Substantieel = gebruikersnaam, wachtwoord en een eenmalige controle van een identiteitsbewijs via de DigiD App.
Bijvoorbeeld het inloggen middels DigiD met SMS of met de App (niveau «Midden»).
PBLQ is een adviesbureau voor verandervraagstukken in de informatiesamenleving.
Raadpleegbaar via www.tweedekamer.nl