Voortzetting behandeling Cliëntenrechten bij elektronische gegevensverwerking



Verslag van de vergadering van 27 september 2016 (2016/2017 nr. 1)

Aanvang: 16.38 uur
Status: gecorrigeerd


Aan de orde is de voortzetting van de behandeling van:

het wetsvoorstel Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens) (33509).

(Zie vergadering van heden.)

De beraadslaging wordt hervat.


Bekijk de video van deze spreekbeurt

Minister Schippers:

Voorzitter. Ik beantwoord de vragen niet op volgorde van spreker, maar zo veel mogelijk gebundeld. Ik wil de leden danken voor hun inbreng in eerste termijn. Het belang van elektronische uitwisseling van gegevens in de zorg is onomstreden. Zorgverleners kunnen de behandeling beter later aansluiten op de situatie van de patiënt als ze op het juiste moment kunnen beschikken over de juiste informatie. Ook het aantal fouten kan omlaag. Fouten, die vaak schadelijk zijn en soms zelfs levensbedreigend. De KNMP heeft dit, samen met een aantal patiëntenorganisaties, treffend beschreven in de brief die ze aan de Kamer heeft gestuurd. Dat mevrouw Smit van een ggz-instelling een antidepressivum krijgt voorgeschreven dat samen met de pijnstiller van de huisarts tot een dodelijke cocktail leidt, moet tot het verleden gaan behoren. Behandelaren moeten in zo'n situatie beschikken over een compleet overzicht. Goede uitwisseling van gegevens kan irritatie wegnemen bij patiënten die onder behandeling zijn bij meerdere artsen. Zij ervaren dat zij steeds opnieuw hun verhaal moeten doen. Het verhaal van Anne-Miek Vroom tijdens de eHealth Week blijft mij bij. Door haar ziekte komt ze vaak bij een nieuwe zorgverlener. Ze verbaast zich erover waarom haar behandelhistorie, waaronder vele röntgenfoto's, met de huidige stand van de techniek niet kan worden gedeeld met de volgende zorgverlener. Dat moet echt anders. Ten slotte, maar niet onbelangrijk, draagt elektronische gegevensuitwisseling bij aan kostenbeheersing in de zorg. Artsen zijn minder tijd kwijt om de noodzakelijke informatie te krijgen; overbehandeling en fouten kunnen worden voorkomen.

Het elektronisch uitwisselen van medische gegevens — een aantal leden heeft dat terecht benadrukt — is helemaal niet nieuw. Het wordt ook niet voorgeschreven met dit wetsvoorstel. Elektronische uitwisseling van gegevens is aan de orde van de dag. Het belang van elektronische gegevensuitwisseling neemt toe. In juni organiseerde VWS tijdens het EU-voorzitterschap de internationale eHealth Week. Het was indrukwekkend om te zien hoe innovatie de zorg verandert. Het belang van elektronische uitwisseling van gegevens wordt hierdoor de komende jaren versterkt. Juist daarom moeten mensen ervan op aankunnen dat dit op een veilige en verantwoorde manier gebeurt. Mensen moeten hier regie op kunnen voeren. Dit geldt in het bijzonder voor medische gegevens. Niet voor niets wordt het wetsvoorstel aangeduid als Wet cliëntenrechten bij elektronische verwerking van gegevens.

Tijdens de behandeling van dit wetsvoorstel zijn er vragen gesteld als: wat regelt dit wetsvoorstel en wat is de meerwaarde ervan? Het wetsvoorstel regelt randvoorwaarden aan elektronische gegevensuitwisseling en het regelt de rechten voor patiënten. Kern van het wetsvoorstel is de plicht van de zorgverlener om vooraf toestemming te vragen aan de patiënt om gegevens beschikbaar te stellen voor raadpleging via een elektronisch uitwisselingssysteem. Ik wil hiermee gelijk het misverstand wegnemen dat dit wetsvoorstel alleen voor het LSP is gemaakt. Het geldt voor alle elektronische uitwisselingssystemen. Ook alternatieven, zoals Whitebox, kunnen ontstaan, maar ze kunnen zich ook ontwikkelen binnen het systeem. Het is het recht van de patiënt om aan te geven welke zorgbieders of welke categorieën van zorgaanbieders zijn gegevens beschikbaar mogen stellen én aan welke categorie zorgaanbieders, met wie hij een behandelrelatie heeft of krijgt, hij zijn gegevens beschikbaar wil laten stellen. Ook is er het recht op elektronische inzage in zijn dossier en het recht een elektronisch afschrift daarvan te krijgen, en het recht op het stellen van specifieke functionele, technische en organisatorische eisen aan de elektronische gegevensuitwisseling en het voorkomen van misbruik van elektronische uitwisselingssystemen door zorgverzekeraars door het stellen van een verbod op toegang en het sanctioneren van het misbruik. Met dit wetsvoorstel wordt tegemoetgekomen aan een aantal uitdrukkelijke wensen van beide Kamers.

Waarom moeten we het wetsvoorstel nu behandelen? Het wetsvoorstel is medio 2014 in de Tweede Kamer aangenomen. In de Eerste Kamer heeft het tot de nodige vragen en discussies geleid: drie schriftelijke rondes, twee technische briefings en twee deskundigenbijeenkomsten. Ik ben dan ook heel blij dat ik hier nu sta om met deze Kamer te debatteren over dit wetsvoorstel. Tijdens de bijeenkomst met deskundigen in deze Kamer hebben enkele partijen hun zorgen uitgesproken over de uitvoerbaarheid van de bepaling rond de gespecificeerde toestemming. Uit overleg met de KNMG, de KNMP, de LHV, de NPCF en Nictiz is gebleken dat een aantal bepalingen nog niet uitvoerbaar is. Dat geldt voor het vragen en registreren van gespecificeerde toestemming en voor het recht op elektronische inzage en het afschrift. Mijn voorstel is om deze bepalingen over drie jaar in werking te laten treden. Dat voorstel vindt ook steun bij de partijen die werken aan gespecificeerde toestemming, zo is te lezen in de brief van deze partijen die deze Kamer ook heeft ontvangen. Het uitstel van deze bepalingen is geen belemmering voor het aannemen van het wetsvoorstel, integendeel. Het aannemen van het wetsvoorstel heeft een belangrijke aanjagende functie voor de zorg; het geeft duidelijkheid aan zorgpartijen en aan ICT-leveranciers over de eisen die nu en later worden gesteld. Die duidelijkheid is nodig om de investeringen te doen die nodig zijn om een veilige uitwisseling van gegevens breed te realiseren, met de regie bij de patiënt.

Dat het zorgveld hier ook behoefte aan heeft, blijkt wel uit de brief: een helder perspectief voor patiënt, zorgverleners en leveranciers is gewenst om het doel van het programma op verantwoorde en effectieve wijze te kunnen realiseren. Meer regie door de patiënt. Wachten tot alle bepalingen uitvoerbaar zijn, vind ik een gemiste kans, omdat enkele onomstreden bepalingen dan ook worden uitgesteld. Te denken valt aan het verbod op inzage voor verzekeraars en bedrijfsartsen et cetera. Ik denk dat de overheid soms het voortouw en de regie moet nemen en dat je niet altijd alles aan partijen moet overlaten en tegen de sector moet zeggen: regelt u het maar! Eigenlijk zou je dat van een liberaal niet verwachten, want liberalen zeggen: zelfregulering. Maar zelfregulering gaat het hier niet regelen. Zelfregulering gaat in ieder geval niet regelen dat wij de patiënten rechten geven waarvan wij vinden dat ze die moeten krijgen. Als we dit laten liggen omdat we het nu nog niet allemaal kunnen, ben ik ervan overtuigd dat we over drie jaar niet staan waar we moeten staan. En eigenlijk zegt de hele sector dat. Partijen schrijven dat ook aan de Kamer. Ze hebben behoefte aan richting. Ze willen wel investeren, maar ze moeten wel weten waarin ze moeten investeren.

Ik ben ervan overtuigd dat het in het belang van de patiënt is dat we dit wetsvoorstel nu wel behandelen en dat we heel helder aangeven: over drie jaar willen we daar staan! Beste mensen, beste investeerders, beste zorgverleners, beste ziekenhuizen: u moet daarin investeren! Dit is het tijdpad, dit is het traject! Beste ICT-leveranciers: wij willen dit, dit en dit geregeld hebben, dus u weet waar u op moet inzetten met de ontwikkeling van uw systemen! Ik kan het ook niet doen, en zeggen: nou ja, we kunnen al zo veel en het zal zich vanzelf wel regelen. Maar dit gaat zich niet vanzelf regelen. Dat hebben we de afgelopen tien, vijftien jaar ook helder kunnen zien. Het gaat zich niet spontaan regelen, in ieder geval niet in de richting waarin wij vinden dat het zich zou moeten regelen, zoals de rechten die patiënten volgens ons zouden moeten hebben.

Mevrouw Gerkens (SP):

Waarom heeft de minister er dan niet voor gekozen om te zeggen: over drie jaar treedt de gespecificeerde toestemming in werking? In plaats daarvan zegt ze: de komende drie jaar hebben we generieke toestemming.

Minister Schippers:

Nee, ik zeg het volgende: als het aan mij ligt, zou ik morgen die gespecificeerde toestemming willen invoeren. Maar dat kan technisch niet. Ik heb met het veld, zoals met de ICT-leveranciers, goed gekeken wanneer het wel kan. Dat traject heb ik scherp gesteld op drie jaar. Dan is het te realiseren, maar daar zit wel ambitie in. Dan gaan we het dus doen. In de tussentijd blijft het systeem zoals het nu is. Als de Kamer dit wetsvoorstel verwerpt, blijft het systeem ook zoals het nu is, maar dan hebben we niet het perspectief van: over drie jaar wil ik dat de sector en de leveranciers daar staan en dan zijn dit de rechten van de patiënt. Punt. Als de Kamer dit wetsvoorstel aanneemt, hebben we in de tussentijd een aantal dingen geregeld die we sowieso allemaal willen regelen.

Mevrouw Gerkens (SP):

Over dat laatste komen we later nog te spreken. Volgens mij doet de minister toch wel iets meer dan zeggen: we laten de situatie zoals deze nu is. Volgens mij geeft zij eigenlijk carte blanche om de situatie nu in die generieke toestemming te laten. Op welke manier krijgen we nu gegarandeerd dat straks al die generieke toestemmingen vervallen? Moet die gespecificeerde toestemming opnieuw gegeven worden? Hoe kunnen we garanderen dat alles wat nu kennelijk generiek wordt gegeven, maar wat volgens mij wettelijk al niet mogelijk is, onder deze wet niet nog verder doorgang vindt?

Minister Schippers:

Nee, de vraagstelling is specifiek. Een arts moet dus specifiek om toestemming vragen. Het enige is dat je nu met één "ja" kunt zeggen: ik wil dat iedereen die bij mijn behandeling betrokken is — je geeft immers geen toestemming aan iedereen — in mijn dossier moet kunnen kijken. Dat kun je nu met één "ja" aangeven. Bij de gespecificeerde toestemming kun je straks zeggen: huisarts Jansen vind ik prima, maar die Pietersen vind ik zo'n vervelende vent, die mag niet in mijn gegevens kijken. Dat kun je over drie jaar doen. Wij vinden dat patiënten die dat willen, daadwerkelijk die gespecificeerde toestemming moeten kunnen geven. Dat kunnen wij nu niet realiseren. Als het wetsvoorstel wordt verworpen, realiseren wij het ook niet. Als het wetsvoorstel wordt aangenomen, weten wij in ieder geval dat er een traject is en dat het over drie jaar wel gerealiseerd is.

Mevrouw Gerkens (SP):

Maar nogmaals …

De voorzitter:

Graag via de voorzitter, mevrouw Gerkens. Er zit hier nu een andere voorzitter, maar het is toch nog steeds de voorzitter.

Mevrouw Gerkens (SP):

Het komt ook doordat ik op een andere plek sta. Ik moet dat toch wat beter leren. Excuus, voorzitter.

Mijn laatste vraag is: waarom de komende drie jaar dan toch die generieke toestemming mogelijk maken?

Minister Schippers:

Die is al mogelijk. Het is nu zoals het is: je moet specifieke vragen stellen aan een patiënt, maar hij of zij kan gewoon zeggen: ja, je kunt mijn gegevens delen. Wij vinden dat het eigenlijk beter zou moeten kunnen. Wij zetten dit traject in, zodat het over drie jaar door aanneming van het wetsvoorstel daadwerkelijk beter wordt. Als het wetsvoorstel niet wordt aangenomen, weet ik één ding zeker: dan staan wij daar over drie jaar niet.

Mevrouw Bredenoord (D66):

Voordat wij over termijnen gaan praten, heb ik wel behoefte aan wat meer duidelijkheid. Kan de minister ingaan op onze vragen over die specificeerde toestemming? Wat is dat precies? Kan de minister de spraakverwarring hierover wat verminderen? Hoe gaan we dat aanpakken? Hoe zorgen wij ervoor dat patiënten het formulier over gespecificeerde toestemming goed en geïnformeerd kunnen invullen?

Ik heb ook nog vragen over de aansprakelijkheid. Ik vind het belangrijk om daarmee te beginnen, want dan weet je ook hoe belangrijk die termijn is. Als we dit niet kunnen regelen op korte termijn, dan kan het misschien technisch wel, maar dan zijn de morele criteria niet op orde. Kan de minister daar wellicht op ingaan?

Minister Schippers:

Daar ga ik zeker op in. Ik ben nog bezig met mijn inleiding. Ik ga later in op de verschillende vragen. Ik kan wel zeggen dat ik de term "gespecificeerde toestemming" niet zelf bedacht heb. Die is via een amendement van de Tweede Kamer in het wetsvoorstel gekomen. Ik kan zo wel aangeven wat die inhoudt. Ik wil heel even mijn inleiding afmaken. In het eerste mapje zitten de antwoorden op die vragen, maar ik kan het wel alvast zeggen: de aansprakelijkheid blijft zoals die is. Een zorgverlener heeft de wettelijke plicht om jouw dossier goed bij te houden. Hij moet de dingen die in dat dossier horen, erin zetten. Hij is er ook aansprakelijk voor dat die dingen daarin blijven. Kan een patiënt zomaar iets daaruit halen? Nee, dat kan hij na aanneming van deze wet ook niet over drie jaar. Dat blijft zoals het is. De patiënt kan wel dingen toevoegen. Hij kan daar bijvoorbeeld in zetten "ik heb dat medicijn geprobeerd, maar het beviel me helemaal niet, want ik kreeg er maagpijn van" of "ik ben met dat medicijn gestopt, want ik kreeg daar hoofdpijn van" of "ik ben het daar niet mee eens". Dat soort zaken kan de patiënt toevoegen in een aparte paragraaf. Hij kan echter niet zomaar dingen uit het medisch dossier halen.

De voorzitter:

Mevrouw Bredenoord, op dit punt nog één keer.

Mevrouw Bredenoord (D66):

Kan de minister specifiek ingaan op de aansprakelijkheid? Het gaat mij er niet zozeer om dat iemand daar iets aan toevoegt of eruit haalt. Het gaat mij erom dat iemand bij gespecificeerde toestemming eigenlijk zegt: ik wil dat deze gegevens niet gedeeld worden. Iemand kan denken dat gegevens over bepaalde medicatie absoluut niet relevant zijn, maar later blijken die medicijnen dan ineens interfereren met andere medicijnen. Met aansprakelijkheid bedoel ik dat iemand toch zegt: haal het niet uit het dossier, maar kies ervoor om het niet te ontsluiten.

Minister Schippers:

Dit wetsvoorstel verandert daar niets aan. De WGBO blijft gewoon van toepassing. Daarin staat nu al dat een arts, hoewel hij misschien niet in dossiers kan kijken, er alles aan moet doen om de informatie die hij nodig heeft van een patiënt te krijgen en dat hij eventueel op zoek moet gaan naar gegevens die nodig zijn om die patiënt goed te kunnen behandelen. Dat blijft zo. Aan die aansprakelijkheid verandert niets. Het is niet zo dat de arts de plichten die hij nu op basis van WGBO heeft, niet meer heeft als een patiënt aangeeft dat hij niets gedeeld wil hebben. Dit wetsvoorstel komt erbovenop en niet in de plaats van.

De voorzitter:

Als dit antwoord op dit punt helderheid geeft, dan wil ik u in overweging geven om de minister de kans te geven om voorbij haar aanleiding te komen, mijnheer Ganzevoort. Of hebt u een punt dat hier nog echt op aansluit?

De heer Ganzevoort (GroenLinks):

Zeker, voorzitter. Anders was ik zeker blijven zitten. Er is vandaag een ander debat uitgevallen, dus er is misschien minder sprake van tijdsdruk dan vanmorgen.

De voorzitter:

Dat lijkt mij een verkeerde conclusie.

De heer Ganzevoort (GroenLinks):

Het is in ieder geval wel een conclusie die mij aanspreekt. Ik denk dat dit punt over de formulering en de definities, met name als het gaat om de termen "specifiek" en "generiek", wel wezenlijk is. De vraag hoe dat allemaal wordt uitgewerkt, komt later in het debat wel terug.

Als ik het goed heb begrepen, zegt de minister dat de vraag specifiek moet zijn, maar dat het antwoord nu generiek is. Dat draagt bij aan de verwarring hierover. Waar hebben we het nu precies over? Hebben we het over specifieke toestemming of over generieke toestemming? Het moet toch altijd specifiek zijn in de huidige situatie? Dat blijft toch zo?

Minister Schippers:

Wij kunnen nu niet vastleggen dat een verzekerde zegt "ik wil wel die en die huisarts, maar niet die en die huisarts" en "ik wil wel dat hij in mijn medicatiegegevens kan kijken, maar niet in die en die gegevens". Uiteraard kan een behandelaar alleen maar in de gegevens van een patiënt zien wat voor zijn of haar behandeling relevant is. Dat blijft ook zo. Het is dus niet zo dat er hele dossiers heen-en-weer worden geschoven. Wat voor de behandeling relevant is, is ter inzage van de behandelaar. Dat blijft hetzelfde. Wij kunnen nu niet heel specifiek vooraf in een systeem vastleggen "Jansen wel en Pieterse niet" en "dat wel en dat niet".

De heer Van Hattem (PVV):

De minister zegt hoe het straks geregeld is. Dat is voor straks, maar wat gebeurt er nu als het met een generieke toestemming plaatsvindt? Hoever strekt die generieke toestemming? Dat is voor mij nog echt onduidelijk.

Minister Schippers:

Als ik bij een arts kom, kan hij gewoon aan mij vragen: ik stuur u door naar de pijnpoli van het ziekenhuis, vindt u het goed als ik gegevens deel? Die vraag kan een huisarts stellen, maar ik kan niet vooraf allerlei heel specifieke dingen laten vastleggen in een systeem dat iemand op een andere plek kan raadplegen en waarin te zien is wat ik allemaal heb vastgelegd. Dat kan niet, want daar hebben we de technische mogelijkheden niet voor. Dat willen we straks wel graag. We werken dus toe naar een systeem waarin mensen veel specifieker toestemming kunnen geven dan ze nu vooraf kunnen doen.

De heer Van Hattem (PVV):

Als een patient nu met een generiek antwoord komt, als hij bij wijze van spreken overal waar je "ja" kunt invullen, "ja" invult, is er dan enige begrenzing aan de toestemming? Waar ligt de grens?

Minister Schippers:

Het moet in een behandelrelatie zijn. Een hersenchirurg met wie ik niets te maken heb omdat ik niet bij hem onder behandeling ben, kan niet zomaar in mijn gegevens kijken. Het moet in het kader van een behandeling zijn. Het moet betrekking hebben op gegevens die relevant zijn voor de behandeling.

De heer Van Hattem (PVV):

Waar ligt dan de grens van de behandelrelatie? Ik haalde het voorbeeld van die toepassingen van eHealth al aan. Is er daarbij ook sprake van een behandelrelatie? Ligt dat ook in het verlengde van een dergelijke toestemming? Daar is nog veel onduidelijkheid over.

Minister Schippers:

Dat kan zijn, want we zeggen niet hoe de behandeling gegeven moet worden. Dat kan soms face to face zijn. Dat kan soms via een eHealth-consult of via een E-Health-toepassing zijn. Dat maakt in de essentie niet anders. Je verleent die zorg dan alleen op een andere manier, maar dat doet verder niets aan dit wetsvoorstel of aan de bestaande situatie af. Ik kom daar straks nog op terug. Er bestaat een misverstand over dat artsen in noodsituaties nu in jouw dossier kunnen kijken, maar als je geen toestemming hebt gegeven, kunnen artsen ook in noodsituaties onder de bestaande wet niet in jouw dossier kijken.

De voorzitter:

Vervolgt u uw betoog.

Minister Schippers:

De Autoriteit Persoonsgegevens, die in de deskundigenbijeenkomst erg positief was over het wetsvoorstel, ziet de beveiligingseisen als een grote meerwaarde van dit wetsvoorstel. Zolang de bepalingen over toestemming nog niet in werking zijn getreden, blijven de eisen van de WGBO en de Wbp van kracht. Dit wetsvoorstel is aanvullend. Het haalt niets weg; het voegt alleen dingen toe. Zorgverleners moeten de komende drie jaar gewoon toestemming vragen om gegevens beschikbaar te stellen. Zij moeten patiënten informeren over de personen aan wie deze gegevens beschikbaar worden gesteld, over de gegevens die het betreft en het doel waarvoor die gegevens worden gebruikt. Dat het recht op elektronische inzage en -afschrift de komende drie jaar nog niet wettelijk is geregeld, neemt overigens niet weg dat zorgverleners dat wel mogen aanbieden, mits ze dat veilig doen. Gelukkig zijn hier al de nodige voorbeelden van. Denk aan het patiëntenportaal van het UMC Utrecht, medischegegevens.nl van MC Haaglanden en de app mijnhuisarts.nl. Uit de monitor van Nictiz blijkt dat ongeveer 25% van de ziekenhuizen al digitaal inzage geeft in onderzoeksresultaten.

Ik ben nog steeds bij de vraag: waarom wachten we niet met het wetsvoorstel tot gespecificeerde toestemming mogelijk is, zoals wij dat willen? Neem ik met de uitgestelde inwerkingtreding geen sluiproute langs de Eerste Kamer? Nee, de weg is heel helder en die ligt hier ook voor. Het is de vraag of u deze weg wilt inslaan. Door deze weg te kiezen zeggen wij: over drie jaar willen wij hier staan op deze onderdelen. Wij hebben nu een wetsvoorstel dat de rechten, de bescherming en de privacy opplust. Wij doen daar niets aan af, wij plussen alleen maar op. Dit is dus een patiëntenrechtenwet. De vraag is of u dat wilt of dat u wilt dat het blijft zoals het nu is. Eventueel zegt u: er zou een ander wetsvoorstel moeten komen. Dat is er alleen niet. Dit wetsvoorstel is wat er voorligt.

De PvdA-fractie vindt het van belang dat ik een stimulerende en, zo nodig, sturende rol speel om de ambities uit dit wetsvoorstel waar te maken. Zij wil dat ik daar veel partijen bij betrek en die, zo nodig, faciliteer. Zij vraagt of ik dit belang onderken en hoe ik die rol wil invullen. Daar ga ik even niet op in, want het is evident dat gegevensuitwisseling veilig moet gebeuren met respect voor de privacy van de cliënt. Het is mijn taak om hiertoe wettelijke kaders en waarborgen te creëren. Ten aanzien van onderdelen die voor de sector helemaal nieuw zijn, zoals de gespecificeerde toestemming en elektronische inzage, vind ik het ontzettend belangrijk dat wij die stimulerende rol hebben. Die vervul ik ook. Wij hebben alle zorgpartijen rond de tafel. Iedereen denkt mee, iedereen kan valkuilen aangeven. Met elkaar gaan we dit traject in. Ik zeg niet in mijn eentje even vanuit Den Haag: zo gaan we het doen. Nee, in dat Informatieberaad zit iedereen. In die groep, waarin met Nictiz zaken ontwikkeld worden, zit iedereen die daarbij zou moeten zijn. Wij hebben voor de komende drie jaar geld uitgetrokken om een en ander financieel te faciliteren. Wij steunen en faciliteren de brancheorganisaties, die druk doende zijn met het verder brengen van het concept persoonlijke gezondheidsomgeving. U weet misschien dat de NPCF dat trekt. Ook daaraan bieden wij financiële steun, samen met de zorgverzekeraars. Ik ondersteun en faciliteer ook zorgpartijen die samen met Nictiz gespecificeerde toestemming in de praktijk uitvoerbaar willen maken. Daarvoor is 1,8 miljoen over drie jaar beschikbaar gesteld. Inzage in elektronische afschriften is afhankelijk van de implementatie van veilige authenticatiemiddelen. We ontwikkelen samen met de partijen in het Informatieberaad een strategie om die zo snel mogelijk in de zorg te implementeren.

Mevrouw Nooren (PvdA):

Ik ben blij met het antwoord van de minister, maar tijdens de deskundigenbijeenkomst bleek dat de koepels van zorgaanbieders nog niet aangesloten waren bij het overleg over de gespecificeerde toestemming. Dat waren toen wel de LAV, de apothekers en de patiëntenorganisaties. De ziekenhuizen, ouderenzorg en gehandicaptenzorg, die gezamenlijk volgens mij aan heel veel mensen met chronische ziekten zorg verlenen, waren nog niet aangesloten bij dit traject. Kan ik uit het antwoord van de minister concluderen dat daar inmiddels verandering in is gekomen?

Minister Schippers:

Dat klopt. Zij zijn nu allemaal betrokken. Met de authenticatiemiddelen zitten we bovendien in een traject onder leiding van Binnenlandse Zaken. Eerder heeft dat ministerie de Tweede Kamer een brief geschreven dat de zorg en de Belastingdienst early adopters, dus voorlopers zijn — ik weet dat ik geen Engels mag spreken — en dat zij een nieuwe variant van DigiD in het leven gaan roepen. DigiD is, zeg maar, een basisbeveiliging. Dan heb je een tweede beveiliging. Dat is een hogere beveiliging, waarmee we in 2017 in de zorg van start gaan. Uiteindelijk willen we naar de hoogste beveiliging van die gegevens. Ook daar komen wij dus tegemoet aan onder andere de Autoriteit Persoonsgegevens die stelt dat je eigenlijk een dubbele identificatie moet hebben, dus hetzij een wachtwoord met een sms of een DigiD met een sms-achtige structuur.

Of ik de ambitie deel dat de patiënt eigenaar is van zijn elektronische dossier en of ik bezig ben met ondersteunend beleid en wetgeving om ervoor te zorgen dat er een veilig persoonsdossier komt? Ik vind het ontzettend belangrijk dat de patiënt de regie heeft over zijn eigen medische gegevens en dat hij zelf kan kiezen met wie hij die wil delen, bijvoorbeeld met andere zorgverleners of met de mantelzorger. Ik ondersteun MedMij van het programma Meer Regie over Gezondheid. Het Informatieberaad, waarin de gehele zorgsector bij elkaar zit, heeft daartoe besloten. In dit programma zijn diverse partijen verenigd, waaronder de beroepsverenigingen van huisartsen, verzorging, verpleging, thuiszorg, apothekers, patiëntenfederaties en de overheid. MedMij staat voor een set eisen, standaarden en afspraken voor en door het veld waar persoonlijke gezondheidsomgevingen aan moeten voldoen en zal eraan bijdragen dat gezondheidsgegevens veilig en begrijpelijk uitgewisseld kunnen worden en ter inzage liggen voor de patiënt. Ik trek de komende drie jaar ook extra geld uit voor de medische specialistische zorg, zodat patiënten zelf eenvoudig en digitaal toegang krijgen tot hun gegevens bij het ziekenhuis. Overigens is en blijft iedere hulpverlener op grond van de WGBO verplicht om een medisch dossier in te richten en te bewaren.

We gaan naar het patiëntgeheim. We hebben berichten gekregen over gemeenten, arbodiensten en uitkeringsinstanties die patiënten vragen om hun medisch dossier bij de huisarts op te vragen en door te geven aan die instelling. Dit wetsvoorstel regelt de rechten en de plichten op het vlak van gegevensuitwisseling tussen zorgverleners onderling en zorgverleners en patiënten. Het regelt niet wat de patiënt er vervolgens mee doet. Dat is nu ook niet zo. Overigens mogen deze instanties dat helemaal niet. Gemeenten mogen dus een patiënt niet vragen om aan hen hun dossier te geven. Dat is al geregeld. Een verbetering van de informatiepositie van de patiënt doordat hij of zij inzage krijgt in zijn of haar medische gegevens, brengt nieuwe vraagstukken met zich. Ik vind dat mensen toegang moeten hebben tot hun eigen medische gegevens. Dat is echt hun recht. Mevrouw Martens vroeg hiernaar. Ik deel het standpunt van het CDA dat instanties geen oneigenlijke invloed mogen uitoefenen om gegevens via de patiënt te krijgen. Dat mag al niet. We krijgen er wel berichten over, maar het mag niet. De toezichthouder moet daartegen optreden.

Mevrouw Martens (CDA):

Ik heb een vraag, maar is de minister klaar met het onderdeel patiëntgeheim of wil zij daarover nog iets zeggen?

Minister Schippers:

Ik heb daarover nog één A4'tje. Voor zorgverleners geldt een beroepsgeheim. De vraag is welke afspraken er moeten worden gemaakt om de gegevens waarover een patiënt beschikt beter te beschermen. Laten we wel zijn, instanties mogen er niet om vragen. Dat is een.

Ten tweede heeft een aantal van u gevraagd wat er gebeurt als een patiënt zijn gegevens zelf bij de aankoop van een appje afgeeft of die gewoon op internet gaat zetten. Dit wetsvoorstel ziet daar niet op. Is dit een probleem? Dat zou het kunnen zijn. Je zou daar misschien ook iets op kunnen vinden, maar ik zou niet een-twee-drie weten wat. Mensen kunnen van alles op internet zetten. Ook nu kunnen zij hun medicatiegegevens op internet zetten of afgeven. Er is dus in principe geen verandering ten opzichte van de huidige situatie. Dit wetsvoorstel ziet daar niet op en voorziet evenmin in maatregelen daartegen.

Mevrouw Martens (CDA):

Helder. Dit wetsvoorstel ziet daar niet op. Tegelijkertijd is er een probleem. Mijn vraag was ook niet hoe het in de wet stond, maar of de minister het probleem ziet en of zij bereid is om na te denken over een manier waarop daartegen iets kan worden gedaan. Nu zegt de minister: nou ja, het is aan de mensen zelf. Zo hoor ik het tenminste. Ook zegt zij dat druk uitoefenen niet mag en dat patiënten het zelf maar moeten weten, een beetje kort door de bocht door mij samengevat. Er is wel een probleem. Al mag het niet, mensen worden toch onder druk gezet. Misschien komt de minister nog op de relatie met bedrijven die big data gaan beheren, maar goed. Patiënten kunnen dergelijke bedrijven vragen om hun gegevens te gaan beheren. Die bedrijven vallen echter niet onder de wet. Zij hebben evenmin een beroepsgeheim. Daar kan ook juridisch of anderszins druk op uitgeoefend worden, zeker als er bijvoorbeeld servers in Amerika staan. Is daar iets mee te doen? Wordt daarover nagedacht? Dat was eigenlijk de aanleiding van mijn vraag naar de mening van de minister over het idee om te denken aan een patiëntgeheim.

Minister Schippers:

Dat zijn twee dingen. Het eerste punt is dat instanties dat niet mogen opvragen. De Autoriteit Persoonsgegevens moet daar dus toezicht op houden. Die heeft ook het instrumentarium om op te treden in situaties waarin het niet mag. Ik heb het dan over het UWV en dergelijke; Kassa had daar laatst een uitzending over. Het is heel helder: instanties mogen dat al niet. Daar verandert deze wet niks aan. Het mag niet.

Het tweede punt zien wij ook. Daar wordt inderdaad over nagedacht. Ik zeg alleen dat de oplossing nog niet zo makkelijk is. Er wordt wel over nagedacht hoe je dat tegengaat en er worden ook experts over geraadpleegd, maar we hebben er nog geen oplossing voor. Mevrouw Martens vroeg of daar over nagedacht wordt. Ja, daar wordt over nagedacht.

Mevrouw Bredenoord (D66):

Ik wil graag nog even doorgaan op de verheldering van de reikwijdte van de wet. Als ik de minister goed begrijp, gaat het over uitwisseling van elektronische medische gegevens tussen hulpverleners onderling, maar ook tussen hulpverlener en patiënt. Als hulpverleners bijvoorbeeld e-mailtjes naar elkaar sturen of appen, of als een patiënt een e-mail stuurt naar de hulpverlener, zou dat dan ook onder deze wetgeving vallen? Heb ik dat goed begrepen?

Minister Schippers:

Het gaat over elektronische gegevensuitwisseling. Het heeft betrekking op medische gegevens. Deze wet gaat met name over "pull" — daar hebben we het al een paar keer over gehad — maar heeft ook betrekking op het krijgen van inzagerecht in al je medische gegevens. Dat is dus weer vanuit de patiënt gezien. Maar het gaat eigenlijk niet over derden. Het gaat bijvoorbeeld niet over de vraag wat de patiënt vervolgens met zijn eigen gegevens doet. Dit gaat echt over de informatie-uitwisseling van medische gegevens tussen zorgverleners onderling en tussen zorgverlener en patiënt.

Mevrouw Bredenoord (D66):

In dat geval, of we dat nou "push" of "pull" noemen, gaat het dus eigenlijk over alle communicatie tussen patiënt en hulpverlener over medische gegevens?

Minister Schippers:

Nee. Als ik een doorverwijzing krijg van een arts naar een medisch specialist, dan geeft de huisarts automatisch berichten mee over mijn medische situatie, want anders weet de medisch specialist niet waarvoor ik kom en waarom ik doorgestuurd ben. Dat zijn dus medische gegevens, de "push", die meegaan met de patiënt. Daar verandert helemaal niks aan. We hebben het er hier over dat wij er met deze regelgeving als het ware een extra beveiligingsklem op zetten als je gegevens actief wilt ophalen.

Ik vind het ontzettend belangrijk dat beroepsgroepen en de sectorvertegenwoordiging hun verantwoordelijkheid nemen om via richtlijnen en voorlichting bij te dragen aan een zorgvuldige behandeling van patiënten, maar ook aan een goede informatievoorziening. Als deze wet is aangenomen, is dat extra aanleiding om daar weer opnieuw aandacht aan te schenken. Wat betekent het eigenlijk? Moet een patiënt ergens op ingaan of niet? De informatievoorzieningsplicht ligt al bij de aanbieder, maar het is natuurlijk ongelooflijk belangrijk dat hij dat goed doet in de richting van de patiënt.

De opslag van gegevens in de cloud is aan dezelfde eisen onderworpen als de opslag in een eigen omgeving. Op grond van dit wetsvoorstel mogen medische gegevens alleen worden uitgewisseld in het kader van een behandelrelatie en met uitdrukkelijke toestemming. Dat geldt ook voor gegevens in de cloud.

De heer Van Hattem (PVV):

Ik heb nog een vraag op het vorige punt. De minister zegt: er moet extra aandacht zijn voor de informatie-uitwisseling tussen de zorgaanbieder en de patiënt. Maar is er ook een inschatting van hoeveel extra tijd dit de zorgaanbieder gaat kosten? Gaat dit niet ten koste van directe medische zorg, doordat er heel veel tijd gaat naar het verhaal om het dossier heen?

Minister Schippers:

De zorgverlener heeft die informatieplicht nu al. Hij moet dat nu al helder voor het voetlicht brengen en de patiënt goed informeren over zijn rechten, zijn plichten en de mogelijkheden. Wij proberen te ontwikkelen dat de patiënt straks zelf meer de regie krijgt en zelf kan aanpassen wie er wel en niet in zijn gegevens kijkt. Dan heb je een beetje een situatie zoals bij internetbankieren. Bij internetbankieren kan een burger zelf ook heel veel bepalen. Je kunt straks zelf thuis of via een portaal aan- en uitzetten wie in jouw gegevens mag kijken. Dat kan te allen tijde veranderen; de patiënt hoeft niet te wachten tot hij een zorgverlener ziet. De patiënt neemt dan zelf een deel van die tijd voor zijn rekening. Dan nog moet een zorgverlener, net als nu, een patiënt altijd vertellen wat de consequenties zijn van zijn besluit.

De heer Van Hattem (PVV):

Gaat dit er dan voor zorgen dat de zorgaanbieders nog meer tijd kwijt zijn? Is daar al een inschatting of een prognose van gemaakt?

Minister Schippers:

Nee. We hebben alle partijen betrokken bij de ontwikkeling van de manier waarop we hiermee verdergaan. Al die partijen zitten ook aan tafel. Ook bijvoorbeeld de huisartsen zitten dus aan tafel. We proberen natuurlijk om de drukte voor de huisarts en voor de aanbieder zo veel mogelijk te reduceren en zo klein mogelijk te houden.

Kan ik aangeven op welke manier de veiligheid wordt geborgd wanneer patiënten hun eigen dossier beheren. Waarop baseer ik de inschatting dat dit binnen drie jaar geborgd is? Wat als dat niet zo is? Wij zetten in op een authenticatiemiddel op het hoogste beveiligingsniveau. Onderzoek bevestigt de noodzaak van het hoogste niveau voor bijzondere persoonsgegevens zoals medische gegevens. De Autoriteit Persoonsgegevens heeft op 14 september jongstleden laten weten dit te onderschrijven. De autoriteit schrijft dat DigiD-basis, naam en wachtwoord, onvoldoende is. Volgens de huidige stand van de techniek is minimaal tweefactorauthenticatie noodzakelijk, bijvoorbeeld DigiD en sms. De brief van de autoriteit geeft de zorg de ruimte om volgend jaar te starten met het implementeren van een nieuw authenticatiemiddel met een hoger betrouwbaarheidsniveau. De ontwikkeling en toepassing daarvan vergen meer tijd.

De termijn van drie jaar is een voorstel dat in overleg met het veld tot stand is gekomen. Drie jaar uitstel lijkt een redelijke termijn en sluit goed aan bij de ontwikkeling van veilige authenticatiemiddelen die medio 2017 beschikbaar komen. Ik juich het uiteraard toe als zorgaanbieders eerder in staat zijn om te werken volgens de uitgestelde bepalingen. Zij ondervinden in de huidige wetgeving geen belemmering om inzage in dossiers te bieden, om digitale afschriften te geven of om toestemming gespecificeerd te vragen, mits dit op een veilige en verantwoorde manier plaatsvindt, conform de huidige wetten: de Wbp en de WGBO.

Er is gevraagd of ik duidelijkheid kan geven over de toegang tot big data. Op alle dataverzamelingen waarin persoonsgegevens worden verwerkt — dus ook als er sprake is van big data — is de Wet bescherming persoonsgegevens van toepassing. De betrokkene moet op de hoogte zijn van de identiteit van de organisatie die de persoonsgegevens verwerkt en van het doel daarvan. De verwerking mag alleen gebeuren voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De Wet bescherming persoonsgegevens regelt ook recht op inzage. Hierop is slechts een limitatief aantal uitzonderingen van toepassing, bijvoorbeeld als een verwerking bij wet is geregeld of plaatsvindt door instellingen of diensten voor wetenschappelijk onderzoek of voor statistiek. De Autoriteit Persoonsgegevens ziet toe op de juiste toepassing.

De heer Van Hattem (PVV):

Ik heb een vraag over het vorige punt. De minister heeft het over een authenticatiemiddel. Wordt de inzet van de minister om niet alleen authenticatie maar ook autorisatie via dat middel te regelen, zodat de patiënt via dat middel ook zelf zijn dossier kan beheren en de toestemming kan specifiëren?

Minister Schippers:

Uiteindelijk willen we toe naar een situatie waarin de patiënt zelf specifiek aangeeft wie welke informatie mag hebben. Dat is over drie jaar. In de tussentijd werken we in verband met de inzage ook toe naar het hoogste beveiligingsniveau, zodat je weet dat degene die erin kijkt ook echt degene is die je denkt dat erin kijkt en niet iemand anders.

De heer Van Hattem (PVV):

Moet ik dan denken aan de richting van een persoonlijke zorgpas, al dan niet met pincode, maar toch met een middel waarmee mensen thuis kunnen inloggen en waarmee ze zelf hun dossier kunnen beheren?

Minister Schippers:

Nee, ik denk niet aan een zorgpas. Ik heb verschillende malen met de Kamer gecommuniceerd over de grote nadelen die aan een zorgpas, usb-achtig of anderszins, zitten.

De voorzitter:

Tot slot.

De heer Van Hattem (PVV):

Ik bedoel dus niet een pas waarop het dossier zelf wordt opgeslagen, maar enkel een pas die dient als authenticatie- en autorisatiemiddel. Het dossier wordt dus nog wel beheerd via het elektronisch systeem en staat niet op de pas zelf. Het is gewoon een toegangspas.

Minister Schippers:

Nee, nu doen we bijvoorbeeld DigiD plus sms, waarmee we het op twee manieren checken. Medio volgend jaar maken we een tussenstap vanaf het huidige basisniveau. Wij vinden dit een basisniveau, want DigiD alleen is onvoldoende; DigiD plus sms kan wel. Volgend jaar gaan we omhoog naar een substantieel niveau en uiteindelijk willen we over drie jaar op het hoogste niveau zitten.

Mevrouw Gerkens (SP):

Ik vind het toch verbazingwekkend dat de minister zo lang een wat slechter niveau toestaat, maar daar wil ik het niet over hebben. De minister zei dat mensen van alle data die verzameld wordt, moeten weten met welk doel dat gebeurt en daarvoor toestemming moeten geven. Dat klopt; dat is ook waar. Daarom had ik in mijn tekst ook de vraag: wanneer hebt u voor het laatst de algemene voorwaarden gelezen bij de app die u hebt gedownload? Het probleem is namelijk niet zozeer dat mensen die toestemming moeten vragen. Het probleem is dat wij, zonder daarbij na te denken, die toestemming geven. We kijken vaak niet goed naar de consequenties die dat heeft. Zouden we de patiënt hiertegen niet meer in bescherming moeten nemen? Zouden we er niet voor moeten zorgen dat die data niet zomaar gegeven kan worden, aangezien het vergaande consequenties kan hebben als die in de big data terechtkomt?

Minister Schippers:

Wat zegt u daar dan mee? Dat een patiënt geen eigen, persoonlijke gezondheidsomgeving zou mogen hebben? De patiënt heeft het belangrijke recht om te weten wat er in zijn dossier staat en daaraan eventueel toevoegingen te kunnen doen.

Mevrouw Gerkens (SP):

Dat heeft de patiënt zeker; dat ben ik ook met de minister eens. Op dit moment kun je echter al een afschrift krijgen van het dossier. Als ik mijn dossier dus wil hebben, dan krijg ik dat op papier mee. Daar zitten allerlei veiligheidsprotocollen omheen. Ik moet ervoor tekenen en ik ben er verantwoordelijk voor. Als ik het bijvoorbeeld in de trein laat slingeren, kan de heer Bruijn het lezen en de inhoud aan De Telegraaf vertellen, voor zover die al geïnteresseerd is. Dat weet ik. Op het moment dat ik die data digitaal meekrijg, is er niet alleen voor mij veel meer mogelijk om die te delen, maar is het ook voor andere partijen veel makkelijker om die van mij te vragen. We hadden het er al over dat het onwettig is dat het gevraagd wordt, maar we weten dat het gebeurt. Mijn stelling is dat de patiënt niet voldoende geëquipeerd is om te beseffen welke risico's er zitten aan het digitaal delen van data. Dan voldoet alles en iedereen aan de wet, want dan heeft iemand van tevoren toestemming gegeven, maar niemand leest vandaag de dag meer de privacyvoorwaarden of de algemene voorwaarden van een app, omdat die bijna onbegrijpelijk zijn. Moet de politiek hier niet juist zeggen: laten we de patiënt tegen zichzelf in bescherming nemen?

Minister Schippers:

Er zijn al zorgverleners die elektronische inzage hebben. Wij worden dus aan alle kanten door de werkelijkheid ingehaald. Met dit wetsvoorstel worden eigenlijk de huidige beveiligingsniveaus omhoog gegooid. Vervolgens vraagt mevrouw Gerkens of we ons niet druk moeten maken over iets wat ik niet in dit wetsvoorstel regel, omdat dit wetsvoorstel daar niet op ziet. Dat gaat over de kwetsbaarheid van het delen van je gegevens met apps. Ik lees die dingen ook niet. Als ik "cookies" zie staan, druk ik ook op "ja". Experts zijn momenteel aan het nadenken over de vraag hoe je dat zou moeten doen. Het is nog niet zo makkelijk om daarvoor een oplossing te vinden, maar dit wetsvoorstel ziet daar niet op. Dit wetsvoorstel ziet op de relatie tussen patiënt en zorgverlener en de relatie tussen zorgverlener en zorgverlener.

Mevrouw Gerkens (SP):

Dan komen we precies bij de kern van het debat, want misschien had dit voorstel er juist wel op moeten zien dat die bescherming beter wordt geleverd. Ook is de vraag of er niet meer waarborgen moeten zitten aan de manier waarop het nu wel gebeurt. Die zie ik onvoldoende terug in het wetsvoorstel.

Minister Schippers:

Er zijn allerlei ontwikkelingen, die razendsnel gaan. Dit wetsvoorstel is ook al een jaar of vier, vijf oud. We zien allerlei ontwikkelingen waarvan we ons afvragen of we er in de wet niet iets aan moeten doen. Dat kan, maar dat is een andere vraag. Dit ziet op een andere relatie. Dat laat onverlet dat je kunt nadenken over de zorgen die mevrouw Gerkens terecht heeft: moeten we niet bekijken hoe we wat meer kunnen borgen dat er een echt besluit ten grondslag ligt aan het afgeven van je gegevens? Dat is een breder vraagstuk dan alleen de zorg. Mevrouw Gerkens heeft volgens mij ook kinderen. Als ik zie wat er door kinderen gedeeld wordt, maak ik me daar ook zorgen over. Die dingen hebben implicaties. Dit is daarvan onderdeel. In dat opzicht is het iets waarover je kunt nadenken, maar dit wetsvoorstel ziet op andere dingen. Dan kan mevrouw Gerkens vragen of dat niet een gemiste kans is. Ja, misschien had het vijf jaar geleden gekund, maar het is niet gebeurd. Dat neemt niet weg dat de zaken die hierin geregeld worden, heel belangrijk zijn. Het is echt opmerkelijk dat er, doordat mensen geen persoonlijke gezondheidsomgeving hebben, een heleboel dingen gemist worden. Dat merk je ook bij mensen die veel gebruikmaken van de zorg. Die check van de patiënt zit er niet in. De patiënt kan niet zeggen: het klopt niet. We zien vaak dat het wel van belang is dat patiënten daar veel meer bij betrokken worden. De patiënt weet het allerbeste wat zijn situatie is. Hij weet dat hij gestopt is met een geneesmiddel omdat hij er buikpijn van krijgt, en kan dat toevoegen. Dan krijg je een veel robuuster en betrouwbaar dossier doordat de patiënt, of een naaste als de patiënt het zelf niet kan, actief betrokken is. Is dat een plicht? Nee, het is een recht.

De heer Van Hattem (PVV):

Voorzitter …

De voorzitter:

Mijnheer Van Hattem, kan mevrouw Gerkens wellicht even haar punt afmaken? Dat is wat efficiënter. Dank u.

Mevrouw Gerkens (SP):

Ik ben niet tegen een patiëntendossier. De vraag is alleen hoe je dat wilt inrichten. Ik probeerde bij mijn vorige interruptie, over de generieke toestemming, echter te zeggen dat veel meer zorgverleners nu aangesloten worden op dat geheel. We zitten eigenlijk al met een onwenselijke situatie. De minister wil daaraan over drie jaar een einde maken, maar in de komende drie jaar wordt het wel eerst uitgebreid. Dat maakt dat al die informatie voor veel meer mensen beschikbaar komt en daardoor veel meer risico's meebrengt.

De heer Van Hattem (PVV):

Aansluitend daarop heb ik een vraag. Deze wet is gericht op zorgverleners die gebonden zijn aan het medisch beroepsgeheim. Dat is de oorspronkelijke insteek, maar zet de mogelijkheid om generieke toestemming te geven, niet de deur open voor zorgverleners die niet aan het medisch beroepsgeheim zijn gebonden? Zoals de minister zelf al zei, zijn er mogelijkheden via apps en clouds om ook medische informatie te verwerken. In hoeverre is dat nu echt uitgesloten? Dat risico zie ik namelijk met deze wet via een zijdeur binnensluipen.

Minister Schippers:

Deze wet ziet toe op de behandelrelatie. Als je geen behandelrelatie hebt, is deze wet helemaal niet van toepassing. De heer Van Hattem kan dus allerlei zorgen hebben over ontwikkelingen die hij in de samenleving ziet, maar dat laat onverlet dat wij hier een situatie hebben van verkeer tussen zorgverlener en zorgverlener, of tussen zorgverlener en patiënt, waaraan wij meer eisen zouden willen stellen. We willen die beter beveiligen en er meer privacyverzwaringen aan toevoegen. We willen meer rechten voor patiënten regelen, dus we verzwaren alles boven op wat er nu is. En dan zegt de heer Van Hattem: ja, maar je hebt dát niet geregeld. De heer Van Hattem heeft dus eigenlijk over een totaal andere relatie. Dit gaat over medische gegevens die tussen zorgverleners onderling worden uitgewisseld.

De heer Van Hattem (PVV):

Dan is het volgende nog altijd van belang. Als tussen zorgverleners informatie wordt uitgewisseld, zit daar natuurlijk een stuk techniek in van de bewerker van die informatie. Valt de bewerker van die informatie, dus het commerciële bedrijf dat de cloud of andere technische middelen tussen die zorgverleners beheert, ook onder die strikte voorwaarden? Daar zit wat mij betreft echt het knelpunt.

Minister Schippers:

Ja. Dat is niet anders dan nu. Het is niet zo dat een bewerker in mijn medisch dossier mag kijken en daar even in kan shoppen. Dat mag allemaal niet. Dat is al geregeld. Dat verandert niet. Dat blijft zoals het is.

De heer Van Hattem (PVV):

Er is altijd één maar. Ze mogen het niet zomaar, maar wel als door de patiënt brede, generieke toestemming is gegeven. In hoeverre is dan uitgesloten dat een bewerker van een app medische gegevens tot zich kan nemen in het verlengde van de toestemming die wordt gegeven? Hoe ver strekt die verlengde toestemming?

Minister Schippers:

Die toestemming gaat over mensen die sowieso een medisch beroepsgeheim hebben en die als arts of verpleegkundige betrokken zijn bij de behandeling. De een heeft een face-to-facebehandeling en de ander doet "blended care". Dat is een verschrikkelijke term, maar het betekent dat je bij een arts zowel op het spreekuur komt als een deel via het internet doet. Het is iets tussen jou en die arts. Het gaat niet over bewerkers. Die mogen sowieso niet in de inhoud van de gegevens kijken. Ze mogen er dus ook niks mee doen.

Wat betekent de algemene verordening gegevensbescherming voor alle gegevens die eHealth-bedrijven over ons verzamelen en samenvoegen tot big data? De algemene verordening gegevensbescherming zal de Wet bescherming persoonsgegevens zoals deze nu bestaat vervangen. Per 25 mei 2018 is de avg rechtstreeks van toepassing in alle lidstaten. Momenteel worden de exacte gevolgen van die algemene verordening gegevensbescherming in kaart gebracht. Dat geldt ook voor big data. Gegevens over iemands gezondheid mogen ook op grond van de avg worden verwerkt. De beperkingen die daarbij gelden, komen overeen met de beperkingen zoals die op grond van de Wbp gelden. De verordening biedt ook waarborgen in verband met big data, zoals in artikel 22: "Burgers hebben het recht niet te worden onderworpen aan een louter op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit (data analytics, big data)". Ook biedt de verordening meer rechten voor betrokkenen, en in artikel 17 het recht op vergetelheid. Dat wil zeggen dat zij het recht hebben om zich te laten verwijderen uit databases. Artikel 15 en 16 geven het recht van inzage van betrokkenen en het recht op rectificatie van onjuiste persoonsgegevens. De conclusie lijkt te zijn dat de avg voldoende ruimte laat voor nationale regelgeving als voorgesteld en ook dat de avg waarborgen biedt.

Opgemerkt is dat in de Wet op de geneeskundige behandelingsovereenkomst en de Wet bescherming persoonsgegevens werd geregeld dat arts en patiënt het samen konden regelen. Nu zou alles bij de patiënt komen te liggen. Gevraagd is hoe ik dat zie. De kern van het wetsvoorstel is dat de patiënt meer regie kan krijgen over zijn gegevens. Dat hoeft echter niet. Het is niet zo dat iedereen ineens zijn eigen gegevens moet gaan beheren of een persoonlijke gezondheidsomgeving moet krijgen. Zorgverleners blijven er wettelijk voor verantwoordelijk om een medisch dossier bij te houden. Bovendien ligt bij zorgverleners een grote rol in de voorlichting van de patiënt met betrekking tot zijn rechten. Het wetsvoorstel is een aanvulling op de rechten en plichten die al in de bestaande wetten staan.

Gevraagd is hoe ik ervoor zorg dat alle Nederlanders een goed beeld krijgen van de inhoud en de betekenis van dit wetsvoorstel en dat zij goed begeleid worden in de keuzes die zij kunnen maken. De PvdA vroeg hoe we voorkomen dat mensen afhankelijk worden van de opvattingen en de bereidheid van een individuele zorgverlener om medische gegevens beschikbaar te stellen aan andere zorgverleners die bij de cliënt betrokken zijn, en om informatie elektronisch beschikbaar te stellen aan cliënten. Het is heel belangrijk dat zorgaanbieders en patiënten weten wat hun rechten en plichten zijn bij elektronische uitwisseling van gegevens. Daarom wil ik met de koepels inzetten op goede voorlichting als de wet door de Kamer is aangenomen. Zorgverleners krijgen op grond van dit wetsvoorstel een belangrijk rol bij het informeren van patiënten over hun rechten als medische gegevens elektronisch worden uitgewisseld. Om te voorkomen dat zorgverleners patiënten te veel beïnvloeden, zullen zij niet de enige bron van informatie moeten zijn. Voor gespecificeerde toestemming is het informeren van aanbieders en patiënten onderdeel van het plan.

Wat is nou het verschil tussen specifieke toestemming en gespecificeerde toestemming? Bij specifieke toestemming geeft de cliënt toestemming op grond van specifieke informatie. Het moet duidelijk zijn welke verwerking van welke gegevens voor welk doel zal plaatsvinden. Op basis van die specifieke informatie geeft de patiënt uitdrukkelijk toestemming. Die toestemming kan generiek zijn. De patiënt kan namelijk simpelweg met "ja, ik ga akkoord" toestemming geven om alle gegevens die er over hem of haar zijn, zonder beperkingen, voor de toegang van bepaalde aangesloten zorgaanbieders beschikbaar te maken in een elektronisch uitwisselingssysteem.

Bij gespecificeerde toestemming volstaat een enkel "ja, ik ga akkoord" niet. Vereist is dat de cliënt expliciet aangeeft welke gegevens aan welke zorgaanbieders met wie hij een behandelrelatie heeft of krijgt beschikbaar worden gesteld. Gekozen is voor de term "gespecificeerde toestemming" naar aanleiding van het amendement van het lid Bruins Slot. Zo is deze term ook in de wet gekomen. Bij gespecificeerde toestemming moet de patiënt dus specificeren of deze zorgaanbieder alle, of bepaalde gegevens beschikbaar mag stellen en aan welke zorgaanbieders of categorieën van zorgaanbieders hij die gegevens beschikbaar mag stellen. Gespecificeerde toestemming wordt verder uitgewerkt in een zorgbreed programma waarin ActiZ, InEen, KNMG, KNMP, LHV, NPCF en NVZ gefaciliteerd worden door het ministerie van VWS en Nictiz. Het uitgangspunt is een werkbare invulling.

De toestemmingsvraag is dus niet met een eenvoudig ja of nee te beantwoorden. De patiënt moet gespecificeerd aangeven welke gegevens hij voor welke zorgaanbieders beschikbaar stelt. Uiteraard mag de patiënt toestemming geven aan alle zorgaanbieders. Je moet dan dus gewoon al die vakjes op ja zetten.

Gevraagd is hoe ik er nou voor kan zorgen dat voor de patiënt helder en ondubbelzinnig blijft voor welke zorgverleners en informatie hij toestemming heeft gegeven, ook als hij brede toestemming geeft. Ik heb al aangegeven dat de zorgverlener nu en ook straks de taak heeft om de patiënt te informeren over de gevolgen van wel of geen toestemming. Het is mogelijk dat de patiënt beslist dat hij toestemming wil geven om alle medische gegevens met alle zorgverleners uit te wisselen. Dan kun je dus al die hokjes aanvinken. Dat is niet hetzelfde als generieke toestemming, maar het resultaat is wel gelijk.

De meerwaarde van gespecificeerde toestemming ligt in het feit dat de patiënt expliciet met beschikbaarstelling voor bepaalde categorieën van zorgaanbieders en voor bepaalde gegevens akkoord is gegaan. Dat doet hij dan bewust. Uiteindelijk moet je dat overzicht krijgen in bijvoorbeeld zo'n toestemmingsportaal, waar het veld nu aan denkt. De volgende stap zou dynamic consent kunnen zijn. D66 vroeg daar al aandacht voor. Dat betekent dat je dit via een app heel makkelijk, overal en zelfs vlak van tevoren kunt wijzigen. Je kunt altijd wijzigen, maar het gaat erom dat je ook toegang hebt tot het systeem om dat te doen. Uiteindelijk is dat één stapsgewijze ontwikkeling.

Mevrouw Gerkens (SP):

Ik moet de minister toch even ergens op wijzen. Ze gebruikt nu al een aantal keer het voorbeeld van een app. Niets is echter onveiliger dan een app, zeker waar het over een openbaar wifinetwerk gaat. Als we inderdaad naar beveiligingsniveau STORK 4 willen, zal een app niet de goede oplossing zijn.

Minister Schippers:

Iets vergelijkbaars met een app, wat je bij je draagt en wat je via je telefoon zou kunnen bedienen, zal er uiteindelijk toe leiden dat je iets hebt wat je als het ware dynamisch, op het moment zelf en zonder de zorgverlener kunt aanpassen, zonder dat dit via het portaal moet. Momenteel werken de veldpartijen aan een toestemmingsportaal.

Mevrouw Bredenoord (D66):

Je zou inderdaad kunnen denken aan een vorm van dynamic consent, waarbij patiënten te allen tijde hun voorkeur kunnen veranderen. Dan weet je ook zeker dat ze dat via een veilig systeem doen, veilig qua privacy, maar ook veilig in die zin dat mensen snappen wat ze aan het veranderen zijn. Als je thuis een vinkje verandert, dan moet er in het systeem sprake zijn van een soort waarschuwing van: let op, dit en dit zijn er misschien de consequenties van dat je een vinkje verandert. In dat systeem moet dus iets worden ingebouwd dat ervoor zorgt dat mensen weten wat ze aan het veranderen zijn en wat de implicaties ervan zijn. Ik maak mij daar echt zorgen over.

Minister Schippers:

De eisen aan zo'n portaal zijn ook behoorlijk. Ten eerste moet zo'n portaal een heel helder overzicht geven. Als ik door de bomen het bos niet zie, dan krijg ik ook geen goed overzicht van wat ik wel en wat ik niet heb gedaan. Er moet ook goede voorlichting in zitten, zodanig dat die oppopt als je iets aanklikt, zodat je weet wat je keus betekent. Er wordt niet voor niets een paar jaar genomen om dit stapsgewijs goed te ontwikkelen. Zes umc's zijn al verder, want daar kun je via de portalen al in uitslagen en dergelijke kijken. De zevende gaat al vrij snel aansluiten. Het is wel de bedoeling om die portalen goed te ontwikkelen. Ook de voorlichting moet erin worden gestopt. Als je geen zorgverlener voor je hebt zitten die het je kan vertellen, dan moet het portaal dat doen.

Mevrouw Bredenoord (D66):

Ik ben zelf werkzaam in een van de umc's. Ik vind de patiëntenportalen een mooie ontwikkeling. Ik zie dat ook. Ik plaats wel de kanttekening dat zelfs de al wat verder ontwikkelde portalen toch nog heel incompleet zijn. De beeldvormende diagnostiek zit nog niet in de portalen. De portalen kunnen ook niet met elkaar communiceren. Met alles wat erover wordt gezegd, zijn de portalen nog heel incompleet en immature.

Minister Schippers:

Daarom vind ik dat wij wat dat betreft meer de regie moeten nemen, want het gaat niet aan dat ieder ziekenhuis in dit land een eigen portaal ontwikkelt waarmee de andere portalen geen connectie hebben omdat ze allemaal net wat anders in elkaar zitten. Stel je voor dat je bij het LUMC een andere oppopping hebt dan bij het Medisch Centrum Haaglanden. Uiteindelijk willen wij, door de regie te pakken, naar eenduidigheid in de portalen, ook qua voorwaarden, zodat die leidt tot dezelfde oppoppingen. Wij gaan de komende jaren voor die ontwikkeling.

De voorzitter:

Kan de minister een indicatie geven van haar spreektijd?

Minister Schippers:

Ik ben voorlopig nog niet klaar. Ik kan ook stoppen, maar …

De voorzitter:

Dat wil ik niet suggereren, maar ik heb inzage in de spreektijden voor de tweede termijn. We willen proberen om het debat voor de avondpauze af te ronden, maar we gaan het wel zorgvuldig doen. Kan de minister enige indicatie geven?

Minister Schippers:

Ik heb nog wel een uurtje nodig, maar ik probeer het sneller.

De voorzitter:

Doet u het zorgvuldig, want dat is belangrijk.

Minister Schippers:

Ik probeer het zorgvuldig en snel te doen.

Wat gebeurt er als de gespecificeerde toestemming binnen drie jaar niet mogelijk is? Behouden we dan wat we nu hebben? Wij proberen stapsgewijs naar die nieuwe situatie toe te gaan. Er zullen zorgverleners zijn die het al eerder kunnen. Dat is heel mooi, maar uiteindelijk moet iedereen er na drie jaar zijn. Met de aanvaarding van deze wet, als die wordt aanvaard, gaan alle onderdelen direct in. Alles wat een deadline heeft, gaat voor iedereen op de deadline in.

D66 vraagt hoe ik ervoor zorg dat mensen bewust zijn van hun keus als ze geen toestemming geven. Garandeer ik dat ze die keus altijd kunnen veranderen? In het wetsvoorstel wordt de informatieplicht ook geregeld. De zorgaanbieder is verplicht zijn patiënten te informeren over hun rechten bij elektronische gegevensuitwisseling, dus ook over het recht om geen toestemming te geven voor elektronische gegevensuitwisseling. De patiënt heeft het recht geen toestemming te geven voor die uitwisseling. Hij hoeft dat niet te doen, net zoals nu. Nu hoef je dat ook niet te doen. Het is een opt-in en geen opt-out.

Acht ik het in de toekomst mogelijk dat de patiënt toestemming geeft op het moment dat iemand de gegevens wil inzien? Toestemming is nodig voordat de gegevens beschikbaar worden gesteld. Toestemming moet dan ook bekend zijn bij de zorgaanbieder die de gegevens beheert, zodat de gegevens beschikbaar worden gesteld. Verschillende partijen in de zorg — daar zitten ook patiënten en veiligheidsexperts bij — zijn, gefaciliteerd door het ministerie, op zoek naar een werkwijze waarbij de patiënt vooraf toestemming kan geven, bijvoorbeeld via een internetportaal. Daarnaast wordt ook goed nagedacht over een mogelijkheid om pas op het moment van zorgverlening toestemming te geven. Dat hangt allemaal samen met hoe veilig je dat kunt doen. Hoe verder de techniek komt, hoe veiliger en flexibeler dat gaat. We streven wat dat betreft naar het hoogste veiligheidsniveau.

Hoe staat het op dit moment met de implementatie van de artikelen die worden getemporiseerd? Verschillende partijen in de zorg zijn, door ons gefaciliteerd, op zoek naar een werkwijze waarbij de patiënt vooraf toestemming kan geven, bijvoorbeeld via een internetportaal. In november is het bedrijfsplan gereed. Begin 2017 wordt er gestart. Dan blijkt of het in de praktijk ook werkt. Dat is de proof of concept. De verwachting is dat de betreffende artikelen drie jaar na inwerkingtreding van het wetsvoorstel in kunnen gaan. De minister van Binnenlandse Zaken werkt hard aan authenticatiemiddelen voor burgers. Hij heeft onlangs een brief aan de Tweede Kamer gestuurd over de voortgang van het programma Impuls elektronische identificatie (eID). Op 29 september spreekt de minister hierover met de Tweede Kamer. Het kabinet heeft ervoor gekozen om de implicatie stapsgewijs vorm te geven en per 1 oktober aanstaande te starten met een centraal gestuurde programmatische operatie, voor de duur van twee jaar. Dit programma eID dient erin te resulteren dat per uiterlijk oktober 2018 in beginsel alle dienstverleners in het burgerservicenummerdomein in staat zijn om grootschalig alle door de minister van Binnenlandse Zaken toegelaten inlogmiddelen in hun digitale dienstverlening te accepteren. Ik vertrouw erop, gezien deze ontwikkelingen, dat over drie jaar, na inwerkingtreding van deze wet, de authenticatiemiddelen op hoog betrouwbaarheidsniveau beschikbaar zijn.

Waarop baseer ik dat de gespecificeerde toestemming beschikbaar zal zijn na drie jaar? De termijn van drie jaar is na overleg met de partijen die betrokken zijn bij de uitwerking van de gespecifieerde toestemming tot stand gekomen.

Hoe borgen wij dat minder zelfredzame patiënten beschermd worden en dat zorgverleners niet beperkt worden in het verlenen van zorg aan deze groep? Als de patiënt zelf geen regie kan of wil voeren — dat geldt voor bijzonder veel patiënten — dan blijft de zorgverlener op grond van de WGBO verantwoordelijk voor verantwoorde zorg, dus ook voor het verkrijgen van de benodigde informatie. Ook kwetsbare patiënten, zoals laaggeletterden en minder mondige patiënten, hebben baat bij dit wetsvoorstel. Ook zij profiteren van de beveiligingseisen en de versterking van de rechten van de patiënt. Daarbij is goede voorlichting aan en ondersteuning van deze doelgroepen essentieel om welke rechten dan ook waar te kunnen maken. Ten aanzien van de rechten van deze cliënten zal men derhalve informatie moeten aanbieden die aansluit bij hun belevingswereld. Voor bepaalde groepen patiënten, zoals dementerenden of handelingsonbekwame patiënten, kunnen de rechten die voortvloeien uit dit wetsvoorstel worden uitgeoefend door de wettelijk vertegenwoordiger.

Kan de minister toezeggen dat het beheer van het eigen dossier een recht wordt en geen plicht? Ja, dat kan ik volmondig zeggen. Het beheer van het eigen dossier is een recht van de patiënt. Dat wordt geen plicht. Zorgaanbieders houden de plicht om een dossier bij te houden. Als de patiënt zelf geen regie wil of kan voeren, blijft de zorgverlener op grond van de WGBO verantwoordelijk voor verantwoorde zorg, dus ook voor het verkrijgen van de benodigde informatie.

Hoe verhoudt de elektronische gegevensuitwisseling waarbij de patiënt de regie krijgt zich tot de dossierplicht van de zorgprofessional? Ik heb dat eigenlijk al gezegd. De patiënt zal niet kunnen muteren in de dossiervoering die wordt bijgehouden door de zorgaanbieder, zoals de arts of de apotheker. De zorgprofessional is en blijft verantwoordelijk voor de inhoud en de juistheid van het dossier, dat medicatiegegevens bevat op grond van de WGBO. Als de patiënt inzage krijgt en er zelf ook dingen in kan zetten, krijg je wel een waardevolle toevoeging en als het ware ook feedback in het dossier. De patiënt krijgt namelijk ook het recht om gegevens over zelfmedicatie toe te voegen. Dan kun je aangeven hoeveel Ibuprofen je per week slikt. Dan kun je ook aangeven wat je bij de drogisterij haalt, want dat komt namelijk niet via de apotheek in het dossier. Dan kun je ook aangeven wanneer een medicatiedossier niet actueel is of fouten bevat. Dat is een enorme vooruitgang ten opzichte van nu. Dat vergroot echt de kwaliteit. Patiënten kunnen echter niet zomaar gegevens muteren die een zorgverlener bijhoudt.

De heer Bruijn (VVD):

Wat de minister zegt, is helder en stelt mij gerust. Ik begrijp uit de uitspraken van de minister in het AO over ICT in de zorg dat patiënten zelf metingen moeten kunnen doen die automatisch in het dossier zitten — een paar regels daarvoor ging het over het elektronisch patiëntendossier — en dat wij nu een statisch dossier hebben dat wordt gedreven door de aanbieders maar veel meer iets wordt van de patiënt, die er zelf aan kan bijdragen en er iets in kan zetten of uit kan halen. Die opmerking gaat over de elektronische zorgomgeving die een patiënt kan beheren, maar niet over het onderdeel van het dossier dat wordt bijgehouden door zorgverleners en dat onder de dossierplicht, die ook kwalitatief is, blijft vallen. Moet ik deze uitspraak op die manier lezen?

Minister Schippers:

Ja.

De heer Bruijn (VVD):

Dank u wel.

Minister Schippers:

Dan kom ik bij de eindverantwoordelijkheid van de persoonlijke gezondheidsomgeving, de beschikbaarheid, de financiering, de juistheid van de gegevens en wie er verantwoordelijk is als het mis gaat. De zorgverlener is verantwoordelijk voor zijn deel. Als hij vergeet medicatie op te nemen of er een calamiteit niet in zet, is dat zijn verantwoordelijkheid. Wij hebben daarvoor in de Wet kwaliteit, klachten en geschillen zorg eisen opgesteld. Hij kan ook niet aansprakelijk zijn als een ander daar zomaar dingen uit kan halen. Dat is helder. De zorgverlener is voor dat onderdeel verantwoordelijk. Hij is ook er verantwoordelijk voor dat er een patiëntendossier is en ook voor de financiering daarvan. Dat is nu ook zo. Dat verandert niet. Het is wel zo dat wij, omdat er ontzettend veel nodig is, de voortgang die wij graag willen om het te verbeteren, vanuit het ministerie faciliteren, stimuleren en ondersteunen.

Mij is gevraagd of ik kan bevestigen en toezeggen dat bestaande voorwaarden voor noodsituaties niet worden aangetast met deze wet. De huidige situatie is dat in een noodsituatie een arts inlogt en ziet dat er niets is, want geen toestemming. Dat is nu ook al het geval. De zorgverlener moet dan op zoek en gaat misschien dingen vragen aan degene die bij de patiënt is in die noodsituatie. Deze wet verandert daar helemaal niets aan. Wij zijn, niet als VWS maar als partijen, aan het onderzoeken of er een mogelijkheid is van een "nee, tenzij"-optie, zodat je in noodsituaties specifiek die optie kunt hebben. Dat zou een verbetering zijn ten opzichte van de situatie die wij nu hebben.

Dan kom ik bij de reactie op de brief van Privacy First en hun actie op de website www.specifieketoestemming.nl. Ik heb daarop in een brief gereageerd. Helaas leven er nog steeds verkeerde veronderstellingen over het wetsvoorstel. Bij uitstel van gespecificeerde toestemming geldt uitdrukkelijke toestemming op basis van voldoende specifieke informatie. Wij noemen dat wel "informed consent". De WGBO is gewoon van toepassing. Bij gespecificeerde toestemming, waar wij naartoe gaan werken, geeft de cliënt expliciet aan welke gegevens aan welke zorgaanbieders beschikbaar worden gesteld. Zolang dat niet is geregeld, blijft de huidige uitdrukkelijke toestemming gelden die gebaseerd is op voldoende en specifieke informatie. Overigens mag een zorgverlener de gegevens alleen raadplegen in het kader van een behandelrelatie. Hij mag dus niet zomaar op een zondagmiddag willekeurig in dossiers gaan zitten kijken. Dat zorgaanbieders medische gegevens via de cloud aan commerciële partijen beschikbaar zouden stellen, is niet juist. Daarmee zou het beroepsgeheim worden doorbroken en dat is in strijd met het Wetboek van Strafrecht. Overigens krijgen commerciële partijen geen toegang tot uitwisselingssystemen en dit wetsvoorstel gaat over die uitwisselingssystemen. Als de patiënt geen toestemming geeft, blijft gewoon de WGBO van kracht en moet de zorgaanbieder zijn informatie bij de patiënt opvragen.

Een aantal leden heeft gerefereerd aan een ander wetsvoorstel en gevraagd of een verzekeraar uiteindelijk in uitzonderlijke situaties in een dossier mag kijken. Dat heeft overigens niets te maken met deze wet die gaat tussen zorgverlener-zorgverlener en zorgverlener-patiënt. Wat is de situatie bij dat wetsvoorstel dat inmiddels door de Tweede Kamer is aangenomen? Wij hadden de Europsyche-casus, waar sprake was van een restitutieverzekering zonder betalingsovereenkomst. De verzekerde betaalde namelijk Europsyche door overdracht, een cessie van het recht op de restitutievergoedingen. De verzekeraar kan al decennialang in het kader van de naturapolissen op de rechtmatigheid beoordelen. De naturapolis die wij nu tien jaar in de Zorgverzekeringswet kennen, kenden wij daarvoor al in de Ziekenfondswet. Onder strikte voorwaarden, waarop toezicht wordt gehouden door de NZa, kan een verzekeraar in uitzonderlijke situaties, als je op geen enkele andere manier tot die informatie kunt komen, in een deel van het dossier kijken dat betrekking heeft op de veronderstelling van die fraude. Dat kan bijvoorbeeld alleen maar zijn of er een afspraak heeft plaatsgevonden. Als je namelijk betaalt zonder dat een afspraak heeft plaatsgevonden of zonder dat er überhaupt een afspraak is geweest, is dat ook onderdeel van het medisch dossier. Je moet eerst negen stappen doorlopen en opschrijven wat je allemaal hebt gedaan. Voordat je de vorige stap hebt afgerond, mag je de volgende niet doen. Het gebeurt heel weinig dat de medisch adviseur van de verzekeraar, die onafhankelijk is en een medisch beroepsgeheim kent, in een deel van het dossier kan kijken waarop dit toezicht betrekking heeft. In de Europsyche-casus bleek het niet mogelijk te zijn. Wel voor de naturapolissen, want daar gelden deze zaken niet, maar dit was voor de restitutiepolissen. Er was toen een bijzonder grote rel. De Tweede Kamer heeft mij en masse Kamerbreed gevraagd daar iets aan te doen. Men vroeg: hoe kan het zijn dat een verzekeraar dit niet kan controleren? Men vond het een schande: hier ging premiegeld op aan fraude. Met het wetsvoorstel, dat wij later met elkaar zullen bespreken, heb ik niet anders gedaan dan de restitutiepolis gelijk te schakelen aan een naturapolis. Ik heb daar niets aan toegevoegd of afgedaan. Wij komen daar nog over te spreken.

Mevrouw Martens (CDA):

Bedoelt de minister te zeggen dat er geen relatie is? Er was enige zorg dat wij met de wet die wij nu bespreken, regelen dat de verzekeraar er niet in mag en volgens de andere wet wel. Ik begrijp dat het een heel andere wet is met een ander doel, maar het formele antwoord van de minister is nu dat er geen relatie is. Is dat juist?

Minister Schippers:

Er is geen relatie. Deze wet ziet toe op de informatie-uitwisseling van medische gegevens tussen zorgverlener en zorgverlener en tussen zorgverlener en patiënt en niet aan iemand anders of een instituut of andere instelling.

Mevrouw Bredenoord (D66):

Het kan aan mij liggen, maar ik snap het niet. Als hierin expliciet wordt opgenomen dat de zorgverzekeraar nooit toegang heeft, hoe kan hij dan toch toegang hebben?

Minister Schippers:

De zorgverzekeraar heeft een wettelijke plicht om te controleren op rechtmatigheid. Bij Europsyche werd bijvoorbeeld zorg verleend die helemaal niet onder de Zorgverzekeringswet viel. Dat moet een zorgverzekeraar controleren. Als hij dat niet doet, kan hij een boete krijgen van de NZa. Wij moeten een zorgverzekeraar in staat stellen om te controleren of er een therapie is gevolgd die geen aanspraak is via de Zorgverzekeringswet maar wel als zodanig is gedeclareerd. De zorgverzekeraar zelf kijkt er niet in. De onafhankelijke medisch adviseur met een beroepsgeheim kijkt of de zorg die daar verleend is zorg is waar een verzekerde recht op heeft in het kader van de Zorgverzekeringswet. Die kijkt niet wat voor aandoening je hebt of welke pillen je slikt.

Mevrouw Bredenoord (D66):

Is dan uw antwoord eigenlijk niet: in principe heeft de zorgverzekeraar geen inzage, tenzij in uitzonderlijke gevallen, zoals de bepalingen in 33890? Zou dat uw antwoord niet moeten zijn?

Minister Schippers:

Nee, dit wetsvoorstel ziet toe op gegevensuitwisseling die in het kader van de behandeling nodig is en op het recht op gegevensinzage van de patiënt. De andere wet ziet toe op hoe wij een zorgverzekeraar in staat stellen om zijn wettelijke taakopdracht, het controleren van de rechtmatigheid van de uitvoering van de Zorgverzekeringswet, daadwerkelijk inhoud te geven. Er zijn allerlei waarborgen, opdat er geen relatie is tussen toetsing op rechtmatigheid door de medisch adviseur en acceptatie door de verzekeraar. Daar zitten Chinese muren tussen en er wordt ook niets uitgewisseld. We hebben op een gegeven moment een enorm gedoe gehad over spooknota's. Er bleken allemaal nota's uitgeschreven te worden voor consulten die een zorgverlener helemaal niet had gegeven. Dat soort dingen moet je nakijken. Als je dat wilt nakijken, mag een onafhankelijke medisch adviseur met een beroepsgeheim in het uiterste geval, als dat proportioneel is en als je het niet op andere manieren kunt verkrijgen, daarin kijken.

Mevrouw Bredenoord (D66):

Maar wel in opdracht van de zorgverzekeraar. Die medisch adviseur zal niet ineens zelf bedenken: goh, ik moet het uitzoeken. Iemand moet die medisch adviseur een opdracht geven. Ook al zit er van alles tussen, al zijn het twintig stappen, indirect geeft de zorgverzekeraar in uitzonderlijke gevallen de opdracht om toch in dat digitale medisch dossier te kijken.

Minister Schippers:

Maar niet om te kijken welke ziekte je hebt, welke risico's …

Mevrouw Bredenoord (D66):

Maar ze kijken. Daar gaat het mij om.

De voorzitter:

Via de voorzitter graag. Anders wordt het te rommelig.

Mevrouw Bredenoord (D66):

Excuses, voorzitter. Al kijken ze naar de metadata, ze hebben de mogelijkheid om te kijken. Dat is eigenlijk de vraag.

Minister Schippers:

Je kunt een taak bij iemand neerleggen. Je kunt wel met een blinddoek om blind betalen, maar uiteindelijk moet je als zorgverzekeraar kunnen controleren of zorg rechtmatig is verleend. Wij hebben daarvoor een heel stelsel opgetuigd met een toezichthouder. Dat is helemaal niet nieuw; het is al decennia zo. Iemand zei hier: ik kan mij niet voorstellen dat het 40 jaar geleden van toepassing was. Ik kan u vertellen dat het toen ook al van toepassing was. De verzekeraar heeft altijd de taak om te controleren of hij iets vergoedt wat hij conform de Zorgverzekeringswet zou moeten vergoeden. De medisch adviseur met dat beroepsgeheim bekijkt alleen of iets bijvoorbeeld onderdeel is van de Zorgverzekeringswet.

De voorzitter:

Mevrouw Bredenoord, tot slot op dit punt.

Mevrouw Bredenoord (D66):

Wij komen nog te spreken over dat andere wetsvoorstel. De minister zegt dat in principe niet erin wordt gekeken tenzij via allerlei muren in geval van vermoeden van fraude. Ik kan echter niet anders dan concluderen dat indirect toch erin wordt gekeken. Ik kan dat verbod op inzage door de zorgverzekeraar dus niet als een absoluut verbod zien.

Minister Schippers:

De verzekeraar kijkt niet in het dossier van iemand. Hij heeft geen toegang tot het elektronische systeem. De verzekeraar mag een stukje van het dossier opvragen. Hij kan niet zomaar kijken in het dossier van mevrouw Schippers, maar hij kan een stukje van het dossier opvragen: geeft u mij de agenda van deze zorgverlener, is er eigenlijk wel een contact geweest tussen mevrouw Schippers en die zorgverlener? Als hij dat nodig heeft voor bijvoorbeeld fraudeopsporing, mag hij alleen dat stukje vragen. Als hij wil zien of datgene wat voorgeschreven is ook daadwerkelijk onder de Zorgverzekeringswet valt, mag hij alleen dat stukje vragen. Hij mag niet zomaar in het elektronische gegevenssysteem kijken. Hij, de medisch adviseur met zijn beroepsgeheim, krijgt een stukje van dat dossier.

De heer Ganzevoort (GroenLinks):

Het zij zo dat 33890 in die zin niet iets heel nieuws is. Dat brengt wel iets aan het licht voor heel veel mensen, namelijk dat de zorgverzekeraar onder die omstandigheden wel een stukje van dat dossier mag zien. Dat is precies het punt van mevrouw Bredenoord; dat herken ik er in ieder geval in. Het roept toch de vraag op wat de waarde is van wat de minister bij herhaling heeft gezegd: ook als je op al die andere punten discussie en kritiek hebt, dit regelt het voorstel in ieder geval; de zorgverzekeraar kijkt onder geen beding in het uitwisselingssysteem. Mede dankzij 33890 is dat nu aan het licht gekomen. De minister zegt nu: dat is wel zo, maar et cetera. Dat roept toch de vraag op wat de waarde is van het steeds door deze minister herhaalde punt dat we de zorgverzekeraar nu in ieder geval buiten de deur houden.

Minister Schippers:

Het staat los van het systeem, want de zorgverzekeraar kan ook in een stukje van het papieren dossier kijken. Dat deed hij 30 jaar geleden. Inmiddels is dat een elektronisch systeem geworden, maar de medisch adviseur van de zorgverzekeraar mag ook niet in het elektronische systeem kijken. Om op rechtmatigheid te toetsen mag hij volgens die wet in laatste instantie, als ultimum remedium, als al het andere heeft gefaald, een deel van het dossier opvragen. Dat kan dan uitgedraaid en gegeven worden. Hij gaat niet even in het dossier zoeken. Nee, hij vraagt specifieke informatie: ik heb dat stukje nodig. De zorgverlener is gehouden om dat kleine stukje, en niet meer dan dat, te geven dat de medisch adviseur voor zijn beoordeling nodig heeft.

De heer Ganzevoort (GroenLinks):

Ik moet de minister toch echt adviseren om deze lijn van argumentatie niet verder te volgen, omdat zij hiermee haar eigen positie enorm verzwakt. Dat zou ik echt jammer voor haar vinden. Zij zegt namelijk: nee, die zorgverzekeraar mag dat wel en dat het elektronisch is, doet er niet toe. Wat in dit wetsvoorstel staat, namelijk dat hij niet zomaar in het elektronische uitwisselingssysteem mag, is eigenlijk helemaal niet zo'n sterk punt. Dat is niet overtuigend voor diegenen die zich afvragen waarom deze wet nu überhaupt ingevoerd moet worden. Dat de zorgverzekeraar er niet in mag, verliest daarmee heel veel van zijn kracht om mij te overtuigen.

Minister Schippers:

Toch zie ik dat niet. Deze wet plust de huidige wetgeving op ten aanzien van beveiliging, privacy en rechten van cliënten. Nemen we deze wet niet aan, dan wordt er ook niet opgeplust. Op een aantal onderdelen die we niet kunnen invoeren, willen we de rechten nog veel meer specificeren dan nu mogelijk is. Wij zetten een pad daarnaar uit. Je kunt het ook door de sector zelf laten reguleren. We hebben de private partijen, de WGBO en de Wet bescherming persoonsgegevens; als u daarbinnen blijft, prima. Dan hebben we niks in handen om het anders te doen. Deze wet verzwaart de cliëntenrechten, de beveiliging en de privacy. Daarnaast wordt er een sanctie ingevoerd. Een verzekeraar die in de gegevens kijkt, kan niet alleen een boete van €500.000 of 10% van de omzet krijgen, maar kan door de toezichthouder ook opgelegd krijgen dat het publiek wordt gemaakt. Ik kan u één ding vertellen: als het publiek wordt gemaakt dat een verzekeraar in gegevens heeft gekeken terwijl dat niet mag, dan gaat zijn hele klantenbestand naar de haaien. Dat wordt een rel van hier tot Tokio. Daar zitten heel grote consequenties aan, die de verzekeraar nu niet heeft. Met dit wetsvoorstel wordt dat wel degelijk ernstig verzwaard. Als we het wetsvoorstel niet aannemen, wordt dat allemaal niet verzwaard. Dan laten we het binnen de huidige wetgeving over aan de sector.

Mevrouw Nooren (PvdA):

Is het essentiële verschil tussen dit wetsvoorstel en het wetsvoorstel dat we nog gaan bespreken niet dat dit wetsvoorstel gaat over de elektronische uitwisseling en dat we daarover structurele afspraken maken? Volgens dit wetsvoorstel vallen onder die structurele afspraken niet bedrijfsartsen, verzekeringsartsen, zorgverzekeraars; die krijgen bij geen toegang tot de klantgegevens van de zorgaanbieders. Het andere wetsvoorstel gaat toch over individuele casuïstiek waarbij je eenmalig actie onderneemt en bij wijze van spreken altijd gegevens opgestuurd krijgt door de zorgaanbieder? Het lijkt mij heel raar dat die zorgverzekeraar dan wel ineens toegang krijgt tot het systeem van de zorgaanbieder.

Minister Schippers:

Het andere wetsvoorstel regelt een uitzondering op wat we met dit wetsvoorstel regelen. Met dit wetsvoorstel regelen we een verzwaring, met het andere wetsvoorstel een uitzondering. Die uitzondering is er al voor de naturapolissen en die gaan we ook regelen voor de restitutiepolissen. Dat is een uitzondering op de regel die we met dit wetsvoorstel verzwaren.

Mevrouw Nooren (PvdA):

Het gaat toch altijd om een individuele verstrekking, een individuele casus, waarschijnlijk in een systeem waarin de zorgaanbieder de gegevens aanlevert aan de verzekeraar? Het gaat er toch niet om dat de verzekeraar eenmalig toegang krijgt tot het systeem?

Minister Schippers:

Dat is precies wat ik net probeerde te zeggen. Er is geen ingang in het systeem. De zorgverlener draait het onderdeeltje uit dat hij nodig heeft en geeft dat aan de medisch adviseur. De medisch adviseur kan niet zomaar in het systeem.

De voorzitter:

Ik maak even gebruik van het verwachtingsmanagement. Ik weet dat er ongeveer drie kwartier aan tweede termijn is. Er zijn nogal wat interrupties. We gaan zo meteen schorsen voor de dinerpauze. Weest u er in elk geval op bedacht dat wij na de dinerpauze nog even door zullen moeten gaan. Ik weet niet of u daarmee rekening hebt gehouden in uw schema.

Minister Schippers:

Ik ben zo lang als nodig tot uw beschikking.

De voorzitter:

Dat stelt me gerust. Gaat u verder.

Minister Schippers:

Kan een zorgverzekeraar aan een verzekerde, bijvoorbeeld voor een aanvullende verzekering, de voorwaarde stellen dat de zorgverzekeraar toegang krijgt tot het dossier? Dat vroeg mevrouw Martens. Het antwoord is nee. Welke toegang verzekeraars tot medische informatie hebben is allemaal wettelijk vastgelegd. Daarbuiten mogen ze geen toegang vragen, ook niet als voorwaarde. Dit wetsvoorstel regelt ook een uitdrukkelijk verbod op toegang tot elektronische uitwisselingssystemen. Zorgverzekeraars kunnen dit niet met voorwaarden voor verzekerden omzeilen, ook niet voor aanvullende verzekeringen.

Kan de minister bevestigen dat de verzekerde terstond op de hoogte wordt gesteld wanneer een zorgverzekeraar gegevens heeft ingezien en bij wie ligt die taak? Dat vraagt de VVD. Toezicht op onterechte toegang door zorgverzekeraars wordt met dit wetsvoorstel belegd bij de NZa. Als de NZa een aanwijzing geeft, doet zij daarvan mededelingen aan de verzekerde die het betreft. Deze verzekerden mogen binnen zes weken na die mededeling opstappen.

Hoe zit het met de opzegbaarheid wanneer de zorgverzekeraar ten onrechte een aanwijzing heeft gekregen? Alleen degene wiens gegevens het betreft krijgt van de NZa te horen dat er inzage is geweest. Hij mag direct opzeggen. Pas als onherroepelijk een boete is opgelegd wordt dit openbaar gemaakt. De aanwijzing is dan niet ten onrechte geweest, want dan is het al onherroepelijk. Na de openbaarmaking van de NZa stappen er waarschijnlijk meer verzekerden op. Bij een onterechte aanwijzing zijn er dus mogelijk enkele verzekerden opgestapt.

Zowel D66 als CDA vroeg mijn bevestiging dat dit wetsvoorstel alleen gaat over uitwisseling in systemen met toegang van meerdere zorgaanbieders. Het wetsvoorstel stelt regels voor uitwisseling via een elektronisch uitwisselingssysteem, pullverkeer, en voor interne systemen. Gespecificeerde toestemming geldt alleen voor pullverkeer, maar het recht op elektronische inzage geldt breed.

Kan ik ingaan op de wenselijkheid en de noodzaak van uitwisseling via pullsystemen? Niet in alle situaties volstaan pushberichten. Apothekers hebben bijvoorbeeld de behoefte aan een actueel medicatieoverzicht en dat gaat alleen met pullverkeer. De aanleiding van dit wetsvoorstel is ook gelegen in het goed reguleren van dat pullverkeer. Pullverkeer wordt toegepast en de cliëntenrechten moeten daarom goed worden geregeld.

Erken ik dat de huidige wetgeving voldoende mogelijkheden biedt voor zorgverleners en patiënten om informatie te delen? De huidige wetgeving, Wbp en WGBO, staat toe dat een patiënt uitdrukkelijk toestemming geeft om buiten de behandelrelatie zijn gegevens te delen. De motie-Tan c.s. is aanleiding geweest om dit helder te regelen in het geval de uitwisseling elektronisch plaatsvindt. Dit wetsvoorstel geeft daar duidelijk een meerwaarde. De toestemming moet straks gespecificeerd zijn. Dat regelt de huidige wetgeving niet. Dit wetsvoorstel geeft de patiënt meer bescherming.

Kan ik reflecteren op de oplossing van de heer Van 't Noordende? Met dit wetsvoorstel stel ik randvoorwaarden aan elektronische gegevensuitwisseling. Het wetsvoorstel richt zich niet op specifieke systemen. Dat betekent dat er ook voor de heer Van 't Noordende, die zelf privacyvriendelijke oplossingen voor communicatie in de zorg ontwikkelt, bijvoorbeeld de Whitebox, alle mogelijkheden zijn om goede oplossingen te bedenken.

Mevrouw Bredenoord (D66):

Ik hoor de minister zeggen dat de toestemming gespecificeerd moet zijn. Bedoelt ze niet dat hij gespecificeerd mag zijn, want het is geen verplichting?

Minister Schippers:

Die verplichting zit wel in de wet. Die gaat over drie jaar in. Dan zal het zo zijn dat je wel materieel-generieke toestemming kunt geven, maar wel al die boxen zult moeten aantikken. Je kunt niet met één "ja, ik ga akkoord" zomaar weer die toestemming geven. Dat is precies wat we regelen.

Mevrouw Bredenoord (D66):

Dan dwing je toch iemand om een gespecifieerde keuze te maken? Er komt geen optie waarbij mensen het met één vink allemaal vrijgeven of juist niet.

Minister Schippers:

Klopt, dat zat in het wetsvoorstel, maar de Tweede Kamer vond dat onwenselijk en wilde dat dat gespecificeerd werd. Dat is met het amendement veranderd.

De voorzitter:

Mevrouw Bredenoord, tot slot.

Mevrouw Bredenoord (D66):

Ik heb het toch altijd als wenselijker gezien dat mensen dan kunnen kiezen of ze het gespecificeerd willen doen, maar dat het geen plicht wordt om gespecificeerde toestemming te geven.

Minister Schippers:

Uiteindelijk kun je in een gespecificeerde toestemming alles met ja aanklikken. Dan heb je materieel een generieke toestemming. Dat is nou wat de Tweede Kamer heeft gewijzigd. In het oorspronkelijke wetsvoorstel bestond ook de mogelijkheid voor een generieke toestemming. Die is er uitgehaald.

De heer Van Hattem (PVV):

Ik hoor de minister net een uitleg geven van de motie-Tan. Ik mis in het verhaal dat die motie ook bedoeld was om een individueel autorisatiemiddel mogelijk te maken. Die slag mis ik in het verhaal.

Minister Schippers:

Het ministerie van Binnenlandse Zaken is er nu mee bezig om dat middel ook daadwerkelijk te ontwikkelen. De zorg en de Belastingdienst zullen daar de voortrekkers in zijn. Wij zijn dus ook als eerste aan de beurt.

De heer Van Hattem (PVV):

Als dat het middel wordt, begrijp ik dat het een soort verbeterde DigiD moet worden. Maar in onze eerdere vraag hierover liet de minister juist weten dat het bezwaar tegen een persoonlijke zorgpas was dat het risico bestond dat mensen hun pincode konden kwijtraken en daardoor die pas niet konden benutten in bepaalde situaties. Als je de DigiD toepast, is er ook sprake van een pincode. Wat is het essentiële verschil tussen een persoonlijke zorgpas, waar al dan niet een pincode op zit — dat kan ook met een certificaat — of de DigiD waar altijd een pincode op zit?

Minister Schippers:

Op het moment dat ik die zorgpas wil materialiseren heb ik de pincode nodig. Met een DigiD kan ik vooraf bijvoorbeeld vastleggen welke zorgverleners er allemaal in mijn dossier kunnen kijken. Een arts kan gewoon zonder belemmering bekijken wie ik wel en niet toestemming heb gegeven. Als ik mijn pincode, of mijn zorgpas überhaupt, kwijt ben, is nergens vastgelegd wie wel en niet in mijn gegevens kan kijken. Dat is een heel ouderwetse en dus kwetsbare manier. Het idee dat het veiliger is, is hierdoor kwetsbaar, maar ook door het feit dat het op afstand uitgelezen zou kunnen worden. Er zijn allerlei kwetsbaarheden die aan zo'n middel zitten.

De heer Van Hattem (PVV):

De minister interpreteert mijn bedoeling met de zorgpas verkeerd. Ik bedoel geen zorgpas die uitgelezen moet worden en waar een bestand op staat met het medisch dossier erin, maar een zorgpas die toegang geeft tot het medisch dossier dat ergens centraal opgeslagen is. Die pas geeft daar een autorisatie voor. Dat is de bedoeling. Daar zit volgens mij geen essentieel verschil met een pincode via de DigiD. Het is allebei een authenticatiemiddel dat ook als autorisatiemiddel gebruikt kan worden.

Minister Schippers:

Ik wil iets opmerken over die centrale opslag. Wij kiezen niet voor een systeem. Wij stellen randvoorwaarden waar systemen aan moeten voldoen. Het LSP kent bijvoorbeeld geen centrale opslag. Dat betekent dat de gegevens van de huisarts bij de huisarts blijven en die van de medisch specialist bij de medisch specialist. Je hebt als het ware een snelweg op basis waarvan je die ontsluit. Er kunnen ook andere systemen zijn waarin misschien wel een bepaalde dossieropslag bestaat. Wij schrijven dat verder niet voor. Het gaat ons erom dat we nu bezig zijn om die DigiD verder te ontwikkelen. De DigiD zelf is onvoldoende. We zetten daar tussenstappen in. We zitten nu op een basisniveau. De Autoriteit Persoonsgegevens zegt dat de DigiD alleen niet genoeg is, maar dat het echt met bijvoorbeeld een sms moet worden aangevuld. Volgend jaar gaan we naar een tweede niveau, een substantieel niveau. Dat wordt doorontwikkeld. Men is daar nu mee bezig. Volgend jaar gaat dat van start. Dat vergt geen pas.

De heer Van Hattem (PVV):

Ter verduidelijking: met centrale opslag bedoel ik geen landelijke centrale opslag. De opslag kan inderdaad gewoon bij de huisarts zelf zijn. Het is in ieder geval op een locatie die niet op de pas zelf staat. Dat bedoelde ik ermee te zeggen: in een systeem en niet op de pas.

Minister Schippers:

Ik begrijp dat de heer Van Hattem een pas bedoelt waarmee je je identificeert als je hem ergens in stopt of tegenaan houdt, waardoor je dan je gegevens kunt veranderen. Die gegevensveranderingen blijven in het systeem zodat het niet erg is als je die pas verliest. Dan staat het namelijk in het systeem en kan de arts toch zien wat je wel en niet aangepast. Begrijp ik het zo goed?

De heer Van Hattem (PVV):

Ja, exact.

Minister Schippers:

Dan gaat het erom wat het beste identificatiemiddel is. Dat laat ik aan de techniek en aan de professionals over. Als de professionals tegen mij zeggen dat dat uiteindelijk het beste middel is, zal ik er niet voor gaan liggen. Als zij zeggen dat zij dat op een andere manier kunnen doen, met bijvoorbeeld een vingerafdruk, of wat men ook verzint om bij dat hoogste niveau te komen, laat ik dat aan hen.

Wat ik dus maar wil zeggen, is dat de randvoorwaarden geen systeem uitsluiten. Alle ondernemers die systemen ontwikkelen, kunnen meedoen. De Whitebox, die ook door een ondernemer is ontwikkeld, kan gewoon uitgezet en verkocht worden. Dat belemmer ik niet. Daar is ruimte voor.

Hoe ga ik voorkomen dat in het LSP medische gegevens worden opgenomen? Het LSP is alleen een verwijsindex, geen dossier. Verder heb ik al gezegd dat je natuurlijk wel dossiers kunt opvragen binnen het systeem, maar die moeten voldoen aan de privacy- en beveiligingseisen.

Kan ik zeggen dat er geen sprake is van een financiële stimulans voor deelname of niet-deelname aan het LSP? Voor zover mij bekend is daarvan geen sprake en krijgen zorgaanbieders alleen een tegemoetkoming in de door hen te maken kosten. Zoals eerder aan de Kamer toegezegd, zal ik actie ondernemen als mij signalen bereiken dat zorgaanbieders zich gedwongen voelen door financiële prikkels aan te sluiten.

Kan ik aangeven hoe het staat met de procedure van de Vereniging Praktijkhoudende Huisartsen? Die zaak ligt voor bij de rechter. Het is aan de Hoge Raad om hier uitspraak over te doen. Ik zie die met belangstelling tegemoet. Ik heb begrepen dat dit nog wel even kan duren, maar ik kan er niet voor instaan hoe lang dat zal zijn.

Het wetsvoorstel regelt alleen randvoorwaarden en schrijft geen specifiek systeem of verplichtingen voor een elektronische uitwisseling voor. Als zorgaanbieders van mening zijn dat uitwisseling van medische gegevens onderdeel uitmaakt van verantwoorde zorg, kunnen ze met elkaar komen tot een richtlijn of een veldnorm, waarin bijvoorbeeld wordt afgesproken hoe elektronische gegevens uitgewisseld moeten worden. Als zij uiteindelijk een richtlijn of een veldnorm maken, kunnen verzekeraars daar rekening mee houden in de contractering, maar wij schrijven dat verder niet voor.

Over de uitvoerbaarheid heb ik aangegeven dat de zorgpartijen en ik een gezamenlijk toekomstperspectief hebben, waarin de patiënt zelf de regie voert over zijn toestemmingsprofiel. Ik ben dus ook heel blij dat de KNMP, de KNMG, de LHV en de NCPF met steun van Nictiz de verantwoordelijkheid hebben genomen om samen te werken aan een zorgbrede oplossing. Inmiddels zijn ook ActiZ, InEen en NVZ betrokken bij de uitwerking. Daar had mevrouw Nooren naar gevraagd. Ik faciliteer dit proces met een subsidie. Ik heb begrepen dat de partijen een portaal voor ogen hebben waarin de patiënt zelf zijn toestemmingsprofiel online kan vastleggen, inzien en aanpassen.

De heer Van Hattem (PVV):

Mij beklijfde de vorige opmerking van de minister. Er wordt een veldnorm ontwikkeld. Dan moet gekeken worden in hoeverre de zorgverzekeraars daarbij aansluiten. Is dat niet al een beetje sturen richting één bepaald systeem? Als dat de standaard wordt, blijft voor alternatieve systemen te weinig ruimte over.

Minister Schippers:

Dat is niet zo, maar het kan. Dat kan in de zorg altijd. We werken in de zorg met veldnormen en richtlijnen. Het is dus niet zo, maar het kan altijd dat men in de zorg met elkaar tot de conclusie komt dat voor goede zorgverlening iets wel of iets niet moet gebeuren. Dat heb ik bedoeld te zeggen. Dan kunnen zij een richtlijn maken en dan zullen alle systemen aan die richtlijn moeten voldoen. Dat is een standaardprocedure in de zorg.

De heer Van Hattem (PVV):

Is het, dat in het achterhoofd houdend, dan misschien niet verstandig om te proberen uit te sluiten dat het te veel één richting uitgaat en te zorgen dat er in ieder geval enige waarborgen zijn dat er ook voor alternatieven voldoende ruimte is? Want als eenmaal zo'n keuze wordt gemaakt, gebeurt het straks alsnog dat alles alleen richting een LSP kan gaan.

Minister Schippers:

Uiteindelijk gaan daar de professionals zelf over, dus de huisartsen, de medisch specialisten en de verpleegkundigen. Die maken hun eigen richtlijn. Zij worden geacht, goede dossiers bij te houden en een goede uitwisseling te hebben. Zij kunnen op een gegeven moment daar meer specifieke eisen aan stellen. Dat kunnen ze doen. Ik heb in ieder geval niet één systeem uitgerold, wat in veel landen wel is gebeurd. Dat heeft wel voordelen. Je hebt helderheid en je hebt één systeem dat voor iedereen geldt. Na verwerping van het wetsvoorstel in de Eerste Kamer, is dat niet meer aan de orde. Wij komen nu met randvoorwaarden. Binnen die randvoorwaarden kan iedereen zijn eigen systeem maken. Er is ook een veelheid van systemen, regionaal en in allerlei sectoren.

De voorzitter:

Mijnheer Van Hattem, tot slot. U hebt ook nog een tweede termijn.

De heer Van Hattem (PVV):

Heel kort dan. Ik zie het risico van een fuik. Er is nu al zo grootschalig een LSP uitgerold, met, geloof ik, wel een paar miljoen gebruikers. Dan krijg je op een gegeven moment de situatie dat we gewoon met zijn allen voor dat systeem gaan, omdat er al veel in geïnvesteerd is en omdat er al veel gebruikers zijn. Dan is er eigenlijk al geen gelijk speelveld meer voor alternatieven. Als je het dan toch op een bepaalde manier wilt gaan sturen, is het dan niet verstandig om een iets meer sturende hand te hebben in het zorgen voor een gelijk speelveld?

Minister Schippers:

Ik ga het LSP niet voorschrijven, maar ik ga het ook niet verbieden. Het is echt aan partijen in de zorg zelf of zij daarbij willen aansluiten. Het wordt heel groot als veel mensen het doen. Dat is zo. Als minder mensen het doen, wordt het minder groot. Maar dat laat ik echt aan partijen zelf over. Ik ga niet voorschrijven dat ze het wel moeten doen, maar ook niet dat ze het niet moeten doen.

Hoe ben ik tot een periode van drie jaar gekomen? Dat heb ik al aangegeven. Dat is in overleg met het veld gebeurd. Deze termijn is het uitgangspunt geworden bij het traject dat we met elkaar lopen.

Zie ik een mogelijkheid om te versnellen en in te zetten op maximaal drie jaar? Ik stel een termijn van maximaal drie jaar voor. Over drie jaar moet iedereen eraan voldoen. Als ze eerder kunnen, mag dat. Wat ik niet zeg in het wetsvoorstel, is: als iedereen het kan, doe ik het in twee jaar. In drie jaar is het voor iedereen verplicht. Iedereen die eerder kan voldoen, kan gewoon aan de slag en het toepassen.

Wat gebeurt er als we het in drie jaar niet redden? Behouden we dan de situatie zoals die is? Ja, dan behouden we de situatie zoals die is. Mocht er twijfel zijn over de haalbaarheid, dan zal ik met uw Kamer in overleg treden. Mevrouw Nooren heeft gevraagd of ik een jaarlijkse voortgangsrapportage kan sturen. Dat lijkt mij een goed idee. Dan bent u er voor die drie jaar om zijn al achter wat de stand van zaken is.

Mevrouw Nooren (PvdA):

U zegt dat het wetsvoorstel belangrijk is, omdat het veld duidelijkheid wil over de richting die het moet gaan. Betekent dit dat we in de tussenfase het wetsvoorstel moeten zien als een veldnorm? Er is namelijk geen wettelijk vereist systeem. U zei zelf in uw inleiding dat de gespecificeerde toestemming niet tot stand komt zonder deze wet, als u het aan het veld overlaat, vat ik even kort samen. Hoe zorgen we nu dat als partijen binnen die drie jaar aan de gang gaan zoals het wetsvoorstel beoogt, er daarna geen discussie komt, van: ja, het was binnen die drie jaar en nu moet het anders? Verzekeraars mogen het niet sturen, hebt u gezegd. Cliënten zijn niet sterk genoeg. Als het eerder klaar is, wat zijn dan de wettelijke vereisten waaraan de elektronische uitwisseling moet voldoen?

Minister Schippers:

Juist als dit wetsvoorstel wordt aangenomen, is het heel helder welk traject we lopen, waar je in moet investeren, waar we naartoe gaan en welke stappen we nemen. Daarvoor zitten we met elkaar in dit proces, echt aan elkaar gebonden. Ik loop dit proces niet in mijn eentje. Nee, we doen dit traject gezamenlijk. Als instellingen eerder klaar zijn, kunnen ze van start gaan op de manier zoals we het vastleggen. Na drie jaar moeten ze.

Mevrouw Nooren (PvdA):

Als ze dan aan de slag gaan, wat is dan het kader voor hun handelen? Monitort u in de voortgangsgroep de kant die het opgaat om te voorkomen dat het niet een verkeerde kant opgaat? Hoe zorg je dat dat in lijn met het wetsvoorstel gebeurt?

Minister Schippers:

Door de investeringen en de stimuleringen daarvan afhankelijk te stellen. Anders gaat iedereen alle kanten op. Dan krijgen we nog niet wat we willen.

Mevrouw Gerkens (SP):

Ik ben een beetje verward. Volgens mij heeft deze Kamer een aantal jaren geleden duidelijk gezegd: generieke toestemming is een no-go, dat doen we niet. De minister komt hier met een wetsvoorstel. Zij heeft met het werkveld gesproken en haar argumentatie voor de uitstel van drie jaar is dat het werkveld heeft aangegeven over drie jaar gespecificeerde toestemming te kunnen hebben. Dat kost dan nog drie jaar. Maar we moeten nu dit wetsvoorstel aannemen, want anders is er geen druk en komen we niet zover. Het werkveld zou om die druk en om die horizon vragen. Maar daarna zegt de minister dat als we het niet halen, het blijft zoals het is. Dat vind ik een beetje vreemd. Dan wil ik tegen de minister zeggen: neem dan een horizonbepaling op. Dan heb je immers pas echt druk. Want dan heb je over drie jaar of gespecificeerde toestemming of is het einde verhaal. Waarom zegt de minister dat niet?

Minister Schippers:

Alles is erop gericht om die drie jaar te halen. Maar als het drie jaar en twee maanden wordt en als dat om de een of andere reden niet anders kan, dan wordt het drie jaar en twee maanden. Dat bedoel ik ermee te zeggen. Ik bedoel er niet mee te zeggen dat als we die drie jaar niet halen, het allemaal gewoon blijft zoals het is en er niks verandert. Nee, we lopen met elkaar het traject. Die drie jaar staat er heel strak en daarin moet het ook gebeuren. Als het kan, hebben we dan alles technisch voor elkaar en is alles gerealiseerd. We investeren en we doen er alles voor om dat met elkaar te bereiken. Maar als we dat na drie jaar en twee maanden hebben, dan duurt het twee maanden langer voordat iedereen moet. Waar we naartoe gaan en welk pad we lopen, is echter heel helder en daarom zullen heel veel instellingen, in mijn opinie, al voor het einde van die drie jaar conform het wetsvoorstel gaan werken. Uiteindelijk zit na drie jaar iedereen daar dan in.

Mevrouw Gerkens (SP):

Dat is wat wenselijk is en wat sommige partijen hier vragen. Maar kijk ook even naar de harde realiteit. Die harde realiteit kan ook zijn dat deze minister over drie jaar en twee maanden er niet meer is. De woorden die zij hier nu zegt, worden dan misschien door een andere minister als volgt opgevat: als we drie jaar en twee maanden niet gaan redden, doen we maar twee jaar erbij en dan is het echt gebeurd. Ik vraag nogmaals aan de minister waarom zij geen harde eindbepaling op de drie jaar in deze wet heeft opgenomen. Op die twee maanden gaan we haar niet afrekenen. Dat snapt iedereen wel. Maar ik wil graag voorkomen dat er straks een minister is die zegt: we moeten er nog twee jaar bij hebben; doe me nog twee jaar. Ik denk dat het een beter signaal geweest zou zijn als de minister had gezegd: na drie jaar is het klaar, of het is afgelopen. Dan zetten we pas echt het veld onder druk.

Minister Schippers:

Precies, en dat staat ook in het wetsvoorstel. Als de Kamer het aanneemt, treden over drie jaar de onderdelen van die wet in werking. Het veld moet er dus aan voldoen. Als het veld er niet aan voldoet, hebben we toezichthouders die erop toezien dat het wel voldoet.

Mevrouw Gerkens (SP):

Betekent dat dat over drie jaar generieke toestemming absoluut niet meer mogelijk is?

Minister Schippers:

Als deze wet wordt aangenomen, is dat zo.

De voorzitter:

Mevrouw Martens had ook nog een vraag.

Mevrouw Martens (CDA):

Ik snap de minister als zij zegt dat er drie jaar staat en dat ze daar alles aan gaat doen. En als het onverhoopt toch niet mogelijk blijkt, dan kan het niet. Je kunt niet het onmogelijke vragen. Maar er blijft aan gewerkt worden dat het wel kan. Geldt dat voor het geheel en niet alleen voor het realiseren van de gespecificeerde toestemming? Geldt dat ook voor de authenticatie en de identificatie? Is het, zeg maar, één geheel?

Minister Schippers:

Het geldt voor alle artikelen die we nu uitstellen. Over alle artikelen die we nu uitstellen, ligt dat ze over drie jaar ingaan. Dat ligt hier nu voor in de Kamer.

Mevrouw Martens (CDA):

Dat is dus gezamenlijk. Het is niet mogelijk dat één ding wel kan en een ander ding niet. De authenticatie is natuurlijk belangrijk in relatie tot de gespecificeerde toestemming en de identificatie.

Minister Schippers:

Stel dat we over twee jaar en zes maanden tot de conclusie komen dat het net niet lukt of anderszins, dan moet de wetgever wat doen. Want zoals het hier voorligt, gaat het gewoon in.

De heer Van Hattem (PVV):

Wat we nu horen, is merkwaardig. "Dan gaat het gewoon in" volgens de wetgever. De minister zegt dat het dan blijft zoals het is. Maar wat blijft er dan zoals het is? Blijven die drie artikelen die nu gefaseerd worden en uitgesteld zijn, dan alsnog uitgesteld, tot in lengte der dagen? De minister zegt: het treedt dan gewoon in werking en de toezichthouder moet er dan op toezien. Maar waar moet een toezichthouder op toezien als het technisch niet mogelijk is? Moet hij dan toezien op iets wat niet kan? Dit is een erg open en vage toekomstblik. Misschien kan de minister iets meer duidelijkheid geven.

Minister Schippers:

Dit is juist heel gesloten. Vrij digitaal gaan de artikelen die we nu uitstellen over drie jaar automatisch in werking. Stel: er zijn onvoorziene omstandigheden. Dan moet de wetgever actie ondernemen en op die onvoorziene omstandigheden reageren. Die deadline van drie jaar is zo belangrijk. Mijn pleidooi is juist om niet te herhalen wat we de afgelopen tien jaar op dit vlak bereikt hebben. Laten we dat niet herhalen. Laten we ervoor zorgen dat de overheid veel meer de regie neemt en zegt: daar gaan we heen, dit is het proces en over drie jaar staan we daar. En dan gaan alle uitgestelde artikelen gewoon in.

De heer Van Hattem (PVV):

De minister zegt dan dat de wetgever iets moet gaan regelen. Als de wetgever het dan niet regelt — het kan zomaar dat er op dat moment weer bezwaren bestaan of nog steeds bestaan — dan moet de toezichthouder erop gaan toezien dat het zo wordt uitgevoerd. Maar als die technische mogelijkheden er nog steeds niet zijn, waar moet dan op worden toegezien? Is het dan niet beter om de hele wet drie jaar uit te stellen, totdat we echt over alles duidelijkheid hebben, in plaats van nu met een half voorstel te komen, waarvan we eigenlijk niet weten waar het naartoe gaat?

Minister Schippers:

Het grote probleem van dit onderwerp is dat er onvoldoende gerichte investeringen zijn, met een eindplaatje dat onvoldoende is. Dat is echt het manco van waar wij tot nu toe mee bezig zijn. Er gebeuren allerlei dingen, maar daar stellen we verder geen randvoorwaarden aan. De vraag is of we ons dat in deze snel veranderende tijd kunnen veroorloven. Ik zeg dat we dat niet moeten doen. De overheid moet daar meer regie op nemen en ervoor zorgen dat we dat niet aan zelfregulering overlaten.

De heer Ganzevoort (GroenLinks):

Met dat punt over de regie ben ik het op zich wel eens. De vraag is hoe het proces er de komende drie jaar uit gaat zien en wat daarin haalbaar is. De minister zegt dat er misschien onvoorziene omstandigheden zijn. Ik kan vandaag profeteren dat er onvoorziene omstandigheden zúllen zijn. Ik denk dat de Noord/Zuidlijn in Amsterdam een eenvoudiger project was dan dit. De minister denkt dat het over drie jaar allemaal helder is, maar ik vermoed dat we over drie jaar zullen zeggen dat dat niet zo is. Dat er technische complicaties zullen ontstaan bij de authenticatie, is te voorzien. Neem van mij aan dat er technische problemen zullen ontstaan bij het portal en dat soort dingen. Neem het liever nog van anderen aan, want dat werkt misschien nog beter. De vraag is dan wat we vandaag precies aan het doen zijn. De minister zegt dat zij graag de regie wil nemen. Ik heb graag dat zij die neemt. De echte regie, op concreet niveau, zit echter niet in dit wetsvoorstel. De concretisering gaat komen in maatregelen van bestuur et cetera. Daar kan zij mee werken en daar kan zij richtlijnen mee opbouwen en dergelijke. Maar de driejaarstermijn die nu bij de inwerkingtreding wordt genomen, zit zo vol met onzekerheden, dat ik niet weet wat we hier aan het doen zijn.

Minister Schippers:

Ik zie dat echt anders. Om regie te kunnen voeren, heb ik namelijk wel een wet nodig. De sector zegt het zelf ook. We moeten weten waar we naartoe gaan, we moeten focus kunnen hebben in de investeringen en in de stappen die we met elkaar gaan nemen. Natuurlijk wordt dat ingevuld via AMvB's. Die worden hier ook gewoon voorgehangen. Daarin wordt het geconcretiseerd. Natuurlijk hebben we in de Wet bescherming persoonsgegevens omschrijvingen waarin staat dat je moet voldoen aan een goed veiligheidsniveau et cetera. Maar dat is niet concreet, want het kan een NEN-norm zijn of het moet er "gelijkwaardig aan" zijn. Dan verzand je al weer helemaal in de modder. Hier worden echter heel helder de NEN 710, de NEN 712 en de NEN 713 vastgesteld. Die worden niet zomaar vastgesteld, maar dat gaat in overleg met veldpartijen. Dat gaat dus niet zomaar buiten iedereen om. Maar het is wel heel helder waar iedereen aan moet voldoen. Op grond van het burgerservicenummer moeten mensen nu ook aan die dingen voldoen. Maar ga maar eens kijken: dat is niet zo. Wij moeten dat handhaafbaar maken. Ik vind het dus van groot belang dat wij niet met algemene teksten komen, maar gewoon via een AMvB werken. Je moet daarin voorspelbaar zijn. Dan moet je zeggen welke normen je wilt en hoeveel tijd men daarvoor heeft: een halfjaar of een jaar tijd of iets anders, afhankelijk van hoe ingewikkeld het is. En dan moeten ze eraan voldoen en gaan we erop handhaven. Als we het niet via die weg doen, komt het niet snel genoeg in beweging.

De heer Ganzevoort (GroenLinks):

De specificaties worden, heb ik begrepen, opgehangen aan de Wbp. Zo staat het er wel, maar goed, dat kunt u nog verder uitleggen. Verder blijven op mijn andere punt, de onvoorziene omstandigheden, dus de termijn van drie jaar, de technische mogelijkheden het grootste probleem. Die overzien we gewoon niet.

Minister Schippers:

Als we zien wat er momenteel in de zorgsector gebeurt en hoe sommige aanbieders al behoorlijk op weg zijn naar het bereiken van de te realiseren doelen, terwijl er nog drie jaar te gaan is, dan ben ik daar veel optimistischer over dan u. Maar we moeten wel druk zetten. We moeten ervoor zorgen dat die katalysator er echt komt. Dat red ik niet met management by speech in de trant van: beste mensen, zorg nou eens dat je je zaken beter beveiligt. De beveiligingseisen en de privacy-eisen worden opgeplust, maar hetzelfde geldt voor de rechten van patiënten, die hier concreet en hard worden ingevuld. Ik denk dat dat echt nodig is.

De heer Van Hattem (PVV):

De minister zegt dat sommige aanbieders al heel dicht zijn bij wat we willen regelen. Ik vind dat wat in strijd met wat ze eerder zei, namelijk dat ze niet wil voorschrijven wat er geregeld moet worden op dat vlak. Klopt dat?

Minister Schippers:

Mijn oordeel ging over het recht van de patiënt om over zijn eigen gezondheidsomgeving te beschikken. We hebben nu allerlei dossiers die bij de zorgverleners liggen. Je moet dan met de pet in de hand vragen of je alsjeblieft in je eigen gegevens mag kijken. Sommige zorgverleners hebben al nagedacht over de service die ze de patiënt willen geven. Je moet die informatie al beschikbaar hebben, het moet niet nodig zijn om daarnaar te vragen. Ik geef mevrouw Bredenoord gelijk als zij zegt dat daar heel wat verbetering in kan worden aangebracht, maar er zijn de afgelopen tijd grote stappen gezet. Daarom heb ik er vertrouwen in dat, als we druk op de ketel blijven zetten, er sprake blijft van vooruitgang.

De voorzitter:

Het woord "regie" is vanavond een paar keer gevallen. Even over ónze regie: de gedachte is dat de minister voor de dinerpauze haar betoog afrondt. We mikken op kwart voor zeven, waarna we schorsen tot half acht, waarna we doorgaan met de tweede termijn. Is dat een werkbaar voorstel?

Minister Schippers:

Ik ga het proberen.

In de wet staat dat er drie jaar na inwerkingtreding van de wet zal worden geëvalueerd. De Eerste Kamer zal die evaluatie ook ontvangen. Ik zeg mevrouw Nooren een jaarlijkse voortgangsrapportage toe, die ik naar beide Kamers zal sturen.

Kan ik een reactie op de deskundigenbijeenkomst geven? Veel van de inbrengen daarbij zijn inmiddels achterhaald. Die partijen hebben de Kamer namelijk geschreven dat ze het belangrijk vinden dat dit wetsvoorstel wordt ingevoerd, zodat er een helder perspectief ontstaat. Dat komt omdat we die partijen veel meer betrekken bij een proces dat we samen willen doorlopen. Zorgbreed zijn partijen betrokken bij de uitwerking van die gespecificeerde toestemming. Zij bereiden dit besluit voor. Dan heb ik het over al die partijen en afkortingen die ik al eerder heb genoemd. Ik zal dit blijven doen.

De AMvB zal gaan over de functionele, technische en organisatorische eisen die worden gesteld aan de elektronische gegevensuitwisseling. Dat doen we dus niet bij wet, maar bij AMvB, omdat we dan de flexibiliteit hebben om op nieuwe technologieën in te spelen. Met de AMvB wordt een nadere invulling gegeven aan artikel 13 van de Wet bescherming persoonsgegevens. De AP was daar positief over. De NEN-normen die daarbij worden ingevoerd, komen in overleg met het veld tot stand. Nadat het daar inspraak in gehad heeft, hebben we niet nog eens met het veld overlegd over de AMvB. Het veld kan zich gewoon bij NEN aanmelden om de in ontwikkeling zijnde normen mee vorm te geven. De AMvB zal op 1 juli in werking treden, is mijn voornemen. Dat geeft partijen tijd om zich voor te bereiden. Ze zijn openbaar en voor alle partijen toegankelijk. Ik heb geen cijfers over het aantal zorginstellingen dat al voldoet aan de NEN-normen. Ik kom middels een voorhang bij de Kamer terug; naar verwachting zal dat in oktober gebeuren.

Kan ik de zorg van ActiZ en VNG verlichten? Ik ben heel blij dat partijen in het veld het belang van veilige gegevensverwerking in de zorg onderschrijven. Dat VGN en ActiZ hun achterban willen mobiliseren, is precies wat je bereikt door de behandeling van het wetsvoorstel niet uit te stellen. Dan krijg je dat er ineens actie komt.

Mevrouw Nooren (PvdA):

In het wetsvoorstel ligt het accent sterk op de curatieve zorg, omdat daar heel veel uitwisseling is. Maar de beveiligingsnormen die in NEN 7510, 7512 en 7513 zitten, gelden voor het hele zorgveld. Gemiddeld duurt het een jaar voordat je volledig aan al die eisen voldoet. Dat betekent niet dat het nu niet veilig is, maar met name de AP heeft gezegd: als je de drie genoemde normen uitvoert, weten we zeker dat het goed is. Moeten partijen niet nadrukkelijker worden gemotiveerd om alle benodigde stappen te zetten? Is de datum van 1 juli daarbij haalbaar?

Minister Schippers:

Over de termijnen valt in die zin te praten dat ik vind dat het op een gegeven moment wel moet gebeuren. NEN 7510 en NEN 7512 moeten al volgens wet; NEN 7513 is nieuw. Daar zitten we wel wat mee, want het bsn in de zorg schrijft beide eerstgenoemde normen al voor. Wij denken dat het haalbaar is, ook omdat de partijen zelf hebben meegesproken over die normen. Maar ik ga geen strijd aan over een paar maanden. Dat vind ik minder relevant, want er is ineens een enorme alertheid op het invoeren van die normen.

Ben ik bereid open-sourceprofielen te betrekken? Waar mogelijk sluit de zorg aan bij internationale standaarden, voorzieningen en afspraken. Ik neem aan dat in dit geval wordt geduid op de IHE-profielen. Met IHE, Integrating the Healthcare Enterprise, vinden al gesprekken plaats over de toepasbaarheid van de profielen in de Nederlandse context. Over toepasbare profielen zullen in het zogenaamde informatieberaad zorgbrede afspraken worden gemaakt met het veld.

Ben ik bereid onderzoek te doen naar de mogelijkheden om het toezicht op de elektronische uitwisseling van gegevens aanzienlijk te intensiveren en de Kamer over die mogelijkheden te informeren? De AP is onafhankelijk in het bepalen van zijn toezichtprioriteiten. Ik zal met de AP in gesprek gaan om het belang van toezicht op uitwisseling van medische gegevens te benadrukken. Aan de inspectie heb ik in ieder geval verzocht, het toezicht in haar werkplan voor 2017 expliciet op te nemen. In 2016 heeft de IGZ een pilot toezicht op e-Health gedaan. De inspectie werkt in 2017 verder met de opgedane ervaringen, waarbij bewustwording van elektronische informatie-uitwisseling een aandachtspunt is. Inwerkingtreding van dit wetsvoorstel zal de aandacht van de toezichthouders verder aanjagen.

Wil ik een afschrift van de toezegging die ik heb gedaan in de Tweede Kamer op het punt van onderzoek naar de gedragscultuur naar de Eerste Kamer sturen? Dat zal ik doen. De uitvoeringslasten vallen heel erg samen met de manier waarop we een en ander vormgeven. Je kunt lasten krijgen. Maar kijk naar internetbankieren: je kunt ook enorm besparen op lasten.

Kan ik dan een Actaltoets doen? Dat heeft nu nog weinig zin, omdat we midden in de ontwikkeling zitten. Ik zal in de voortgangsrapportage in ieder geval terugkomen op de administratieve lasten, de rol van Actal en het moment van inzet van Actal.

De heer Bruijn (VVD):

Voor de Handelingen: het ging niet om een afschrift van de toezegging, maar om een afschrift van de quickscan waarover de toezegging gedaan was. Ik neem aan dat de minister dat ook bedoelt.

Minister Schippers:

Ik heb een onderzoek naar de gedragscultuur op het gebied van informatieveiligheid in de zorg toegezegd en daarvan geef ik u een afschrift.

Mevrouw Martens (CDA):

Wat Actal betreft, is het ons duidelijk dat zo'n toets nu niet mogelijk is. Wij hebben gevraagd of, als er meer duidelijkheid is, de Actaltoets dan kan worden uitgevoerd. En of ze, als zou blijken dat sommige zorgverleners of zorginstanties onevenredig zwaar belast worden, dan nog eens wil kijken wat daaraan te doen valt.

Minister Schippers:

Ik probeerde dat net toe te zeggen. In de voortgangsrapportage geef ik een update van hoever we zijn en of Actal al is in te schakelen of niet.

Dan kom ik bij de investeringen in ICT en de afstand tussen zorgverlener en patiënt omdat je eerst moet uitleggen hoe het werkt. Je vormt consent in een heleboel opzichten en je moet als zorgverlener nu ook een toelichting geven op die gegevensuitwisseling. Dat zal complexer worden. Aan de ander kant willen we dat in dit portaal natuurlijk ook voor een deel weer opvangen.

Het ging een beetje snel, voorzitter, maar volgens mij heb ik de vragen nu beantwoord.

De voorzitter:

Ik stel voor te schorsen voor de dinerpauze en de vergadering te hervatten met de tweede termijn van de Kamer.

De vergadering wordt van 18.45 uur tot 19.30 uur geschorst.

Voorzitter: Broekers-Knol


Bekijk de video van deze spreekbeurt

De voorzitter:

We zijn toegekomen aan de tweede termijn van de kant van de Kamer.


Bekijk de video van deze spreekbeurt

Mevrouw Martens (CDA):

Voorzitter. Onze fractie dankt de minister van harte voor haar antwoorden. We hebben in de eerste termijn geconstateerd dat medische gegevens allang digitaal worden opgeslagen en uitgewisseld. Elektronische gegevensuitwisseling kan bijdragen aan een verbetering van de kwaliteit en de efficiency in de zorg. ICT-ontwikkelingen gaan snel, de mogelijkheden nemen per dag toe. Het is dus van groot belang de randvoorwaarden voor de beveiliging, de rechten en de privacy van de patiënten en de plichten van de zorgverlener goed te regelen. Ook al is nu nog niet alles uitvoerbaar wat we zouden willen met deze wet, toch ondersteunt onze fractie het belang om een perspectief te schetsen en om duidelijkheid te geven over wat nu en straks wordt gevraagd.

We hadden nog een aantal vragen. We zijn blij met de toezeggingen en verhelderingen. De minister heeft nog eens helder geformuleerd dat het wetsvoorstel niets verandert aan het gegeven dat de zorgverleners alleen bij gegevens mogen die relevant zijn voor de behandeling en dat zij dus niet zomaar het hele dossier mogen raadplegen. We zijn ook blij met de toezegging dat het beheer van het medische dossier voor patiënten een recht wordt en geen plicht, alsook met het feit dat de minister nog eens heeft bevestigd dat het veld betrokken wordt bij de verdere uitwerking. Dat is nu het geval; er is overleg. Het aantal partijen waarmee het ministerie in overleg is, is uitgebreid. Wij zijn blij met de toezegging van de minister dat dit traject, nu en in de toekomst, gezamenlijk wordt afgelegd.

Wat betreft push en pull, waarover de minister ook helder heeft gesproken, zijn wij tevreden met de antwoorden.

Ten aanzien van de eindverantwoordelijkheid voor het dossier hebben wij geconstateerd dat de patiënt niets kan muteren in het dossier van de zorgverlener of apotheker. Alleen de zorgverlener en de apotheker kunnen dat. De patiënt kan wel informatie toevoegen, maar de zorgverlener, of de apotheker, blijft uiteindelijk verantwoordelijk voor zijn of haar deel van de inhoud alsook voor de financiering. Dat zegt ook alles over de aansprakelijkheid: als ik het goed begrijp, is die daarmee dan ook geregeld.

Met betrekking tot authenticatie en identificatie heeft de minister aangegeven dat er gestreefd wordt naar het hoogste authenticatieniveau, dat het veld verwacht dat drie jaar voldoende is en dat er hard door Binnenlandse Zaken wordt gewerkt om dat te realiseren. Eigenlijk moeten we het doen met vertrouwen, maar ook met de in onze ogen realistische visie van de minister dat als het echt niet blijkt te lukken, we moeten kijken hoe we dat kunnen oplossen. Ze komt daarmee vervolgens terug bij de Kamer; de wetgever is dan aan zet. Onze fractie kan dat begrijpen.

Ook zijn wij tevreden over het antwoord van de minister dat de internationale profielen worden betrokken bij het veiligheidskader.

Wat betreft het patiëntgeheim blijft natuurlijk toch nog iets onduidelijk. De minister zegt terecht dat de regering niet kan regelen wat patiënten doen met hun eigen dossier; dat staat de patiënt vrij. Tegelijkertijd zijn wij blij met het gegeven dat volop wordt nagedacht over de vraag hoe je de privacy van de patiënten kunt borgen als het gaat over big data bij bedrijfsmatige instanties of services in het buitenland, en dat dit een punt van aandacht is. Onze fractie waardeert dat, alsook het feit dat gegevens in de cloud alleen mogen worden uitgewisseld bij een behandelrelatie, en dat de Wbp van toepassing is.

Kortom, wij zien wel dat niet alles volmaakt is. Dat is bij geen enkele wet het geval. Geen enkele wet is zoals je het helemaal zou willen. Ik zal onze fractie adviseren om de voordelen van de wet te laten prevaleren boven de tekortkomingen die er nog zijn.


Bekijk de video van deze spreekbeurt

De heer Bruijn (VVD):

Voorzitter. Ik dank de minister voor de heldere beantwoording van de vragen in eerste termijn. In dit wetsvoorstel is het patiëntbelang zonder meer veel beter geregeld met het recht op toestemming vooraf, het inzagerecht en het recht op intrekking van de toestemming op elk moment. De discussie hier heeft zich toegespitst op de noodzaak tot gefaseerde invoering. Aanleiding daarvoor is dat twee onderdelen op dit moment nog niet uitvoerbaar zijn. Argumenten om de wet nu toch in te voeren zijn onder andere: het scheppen van duidelijkheid met betrekking tot de normen waaraan moet worden voldaan en de systemen waarvoor men moet kiezen, wat volgens de Autoriteit Persoonsgegevens en ook volgens Nictiz noodzakelijk is; druk op de ketel als het gaat om het ontwikkelen van specifieke toestemming en inzage; het invoeren van sancties voor een zorgverzekeraar die zich onrechtmatig toegang verschaft tot een elektronisch uitwisselingssysteem en het inbouwen van een systematiek waarbij een verzekeringnemer zijn verzekering reeds kan opzeggen onmiddellijk nadat de Zorgautoriteit aan een zorgverzekeraar een bestuurlijke boete heeft opgelegd of een aanwijzing heeft gegeven. De minister heeft onderbouwd dat voor elektronische gegevensuitwisseling de kaders helder moeten zijn en dus dat het wetsvoorstel, al is het nog niet in zijn geheel, zo snel mogelijk in werking moet treden. De minister is tegemoetgekomen aan de motie-Tan, waarin deze Kamer eerder haar zorgen en ook haar wensen heeft weergegeven.

Het wetsvoorstel gaat niet over de digitale awareness en ICT-vaardigheden inzake de communicatie tussen de patiënt en de wereld om hem heen. Mijn fractie is echter wel gerustgesteld door eerdere mededelingen van de staatssecretaris van Onderwijs dat in Curriculum 2032, waar hij hard aan werkt, dat digitale awareness en ICT-vaardigheden heel hoog op de agenda van deze regering staan. Wij zien dat als heel mooi flankerend beleid.

De persoonlijke gezondheidsomgeving, zo hebben wij van de minister begrepen, omvat de status — om maar een ouderwets woord te gebruiken — die door de zorgverlener is aangelegd en bijgehouden en die onder de dossierplicht valt. Daarmee is ook de kwaliteit geregeld, of in ieder geval dat de verantwoordelijkheid bij de zorgverlener ligt. Dat deel van de omgeving kan de patiënt niet muteren, zo hebben wij begrepen. De patiënt kan wel in zijn persoonlijke gezondheidsomgeving zaken toevoegen of weghalen, buiten dat deel van het dossier dat door de zorgverlener wordt bijgehouden. Dat lijkt mijn fractie ook voor de hand liggend, want anders zouden er levensgevaarlijke toestanden kunnen ontstaan. Het toevoegen van zaken kan natuurlijk heel goed zijn, maar als de zorgverlener niet meer kan zien wie wat ooit in die status heeft gezet en de patiënt toch een zekere kennisachterstand op medisch gebied heeft, dan zouden daardoor ook zeer gevaarlijke toestanden kunnen ontstaan.

De driejaarstermijn komt mijn fractie zeer redelijk voor. Garanties zijn gelukkig geen criterium in deze Kamer, want anders zouden we nooit meer een wet kunnen aannemen. Dat kunnen en willen we de minister ook niet vragen.

Alles overziend overwegen de argumenten voor invoering nu. Ik zal mijn fractie dan ook van harte adviseren om voor het wetsvoorstel te stemmen.


Bekijk de video van deze spreekbeurt

De heer Van Hattem (PVV):

Voorzitter. Voor de PVV blijft de kern van het bezwaar dat nog drie jaar lang de mogelijkheid van een generieke toestemming openblijft. Waarvoor geeft men dan toestemming? Veel burgers zullen om gezondheidsrisico's te mijden, denken het zekere voor het onzekere te nemen en voor een opt-in kiezen. Zij zullen kiezen voor "ja" en wellicht zelfs voor de brede generieke toestemming, want je zult toch maar in het ziekenhuis belanden; dan kun je toch maar beter alles goed geregeld hebben. Met die gedachte zullen veel burgers er waarschijnlijk mee gaan instemmen.

Wat gebeurt er dan? Dan is de kans toch groot dat zij in het landelijk schakelpunt (LSP) terechtkomen. Dat wordt grootschalig en met de nodige ondersteuning uitgerold. Dat is een fuik waar veel patiënten in zullen belanden, zoals ik al zei, en dat terwijl het LSP nog steeds niet echt een veilig systeem is. De privacy is daarin ook niet keihard geborgd. Het LSP is immers een verwijsindex met ontsleuteling op een centrale plek. Daarvoor zijn de veiligheidsnormen eigenlijk nog te onduidelijk. De minister noemt dan wel de NEN-normen, in het bijzonder de NEN 7510-norm, maar uit de deskundigenbijeenkomst die we hier eerder hebben gehad, bleek dat dit geen beveiligingsnorm is, maar een informatiemanagementsysteem. Dat zijn toch twee heel verschillende zaken, althans zo is het duidelijk gemaakt door de heer Verheul van KeyControls van de Radboud Universiteit, die daar toch in gespecialiseerd is.

Er bestaan dus nog steeds risico's, onder andere op hacken, zoals we laatst nog hebben gezien bij de grootschalige hack van medische dossiers van olympische sporters bij de antidopingautoriteit WADA. Zoiets moet kost wat kost voorkomen worden bij patiëntendossiers. Ik krijg dus nog graag een reactie van de minister hierop. Hoe kijkt zij aan tegen deze verwijsindex met centrale ontsleuteling en de rol van de NEN-normen? Het vermijden van ontsleuteling op een centrale plek zou verstandig zijn.

We willen ook graag een reactie van de minister op de positie van de grote zorgondernemers, zoals Philips, die toch zelf geen zorgverlener zijn en ondertussen wel een heel sterke lobby voeren om deze wet aangenomen te krijgen. Wat is hun belang daarbij? Hoe kijkt de minister ertegen aan dat de grote zorgondernemers zo nadrukkelijk vragen om de invoering van deze wet?

Tot slot. De PVV-fractie heeft er al eerder voor gepleit: zij wil graag zien dat er een persoonlijke vorm van authenticatie en autorisatie komt. Dat kan inderdaad in de vorm van een zorgpas met een verificatiedocument. Dat is voor ons een belangrijk issue op dat vlak. Wij zien dat in de toekomst graag uitgevoerd.

Vooralsnog hebben we onvoldoende vertrouwen in deze wet, maar ik wil nog wel graag het oordeel van de minister in tweede termijn horen.


Bekijk de video van deze spreekbeurt

Mevrouw Bredenoord (D66):

Voorzitter. In het digitale tijdperk is duidelijkheid over de rechten, plichten en verantwoordelijkheden van alle partijen die betrokken zijn bij de elektronische uitwisseling van gegevens van levensbelang. Ik heb het vanmiddag ook al gezegd: we zijn het, denk ik, wel eens over het uiteindelijke doel, namelijk een veilige uitwisseling van gegevens en een zinnige regie bij de patiënt. Het moge duidelijk zijn dat mijn fractie in principe voorstander is van een elektronische uitwisseling van gegevens en zeker ook van de digitale inzage. Wij staan in principe ook positief tegenover stappen in de richting van dynamic consent. De ontwikkelingen die gaande zijn, zoals het toenemende aanbod van patiëntenportalen, vinden wij positief, maar veel van de systemen zijn vooralsnog incompleet, of kunnen niet goed met elkaar communiceren, of zijn nog onvoldoende veilig, of kampen nog met al deze problemen.

Onze zorgen bij het onderhavige wetsvoorstel gaan over de uitvoerbaarheid van gespecificeerde toestemming en over de privacyvoorwaarden. Een deel van die zorgen is ook na vanmiddag blijven bestaan. Ik kan toch niet anders dan concluderen dat verzekeraars in uitzonderlijke gevallen toegang blijven houden tot het dossier, ook afhankelijk van wat er gaat gebeuren met dat andere wetsvoorstel. Ook al zijn het maar stukjes dossier en ook al is het bij uitzondering, het wordt niet categorisch verboden.

Uit een iets andere context, namelijk de discussies rondom de Europese verordening gegevensbescherming, blijkt al dat het zogenaamde "consent or anonymize"-paradigma, toestemming vragen of anonimiseren, steeds vaker in de knel komt, omdat toestemming geven in een tijdperk van big data met een ongelofelijke hoeveelheid gegevens steeds ingewikkelder wordt. Datzelfde geldt voor anonimiseren, maar dat is hier niet relevant.

Het is vanmiddag ook al gezegd: bijna niemand leest de terms of agreement van een appje. We zitten nog drie jaar met generieke toestemming, maar ook gespecificeerde toestemming, als dat lukt in de gestelde termijn, is buitengewoon ingewikkeld, zeker als het een soort van verplicht wordt, wat toch ook wel een beetje bleek vanmiddag. Er zijn dus hoe dan ook additionele waarborgen nodig.

Ik dien twee moties in. Beide moties gaan over die additionele waarborgen en over privacy. De eerste gaat over de eisen die gesteld zouden moeten worden aan de elektronische uitwisseling van gegevens. De tweede gaat over het toezicht daarop.

De voorzitter:

Door de leden Bredenoord, Rinnooy Kan, Backer, Bruijn, Martens, Gerkens en Ganzevoort wordt de volgende motie voorgesteld:

De Kamer,

gehoord de beraadslaging,

overwegende dat bij de inrichting van een systeem voor de elektronische uitwisseling van medische gegevens de veiligheid daarbij voorop dient te staan;

overwegende dat bij elektronische uitwisseling van medische gegevens de privacy van de patiënt geborgd dient te worden;

van oordeel dat aanvullende waarborgen voor de beveiliging van digitale patiëntgegevens noodzakelijk zijn;

constaterende dat de Europese verordening gegevensbescherming bij de verwerking van persoonsgegevens vraagt om dataprotectie-by-design;

verzoekt de regering, dataprotectie-by-design verder uit te werken als het uitgangspunt voor de elektronische verwerking van medische gegevens, en de Kamer daarover te informeren,

en gaat over tot de orde van de dag.

Zij krijgt letter O (33509).

De voorzitter:

Door de leden Bredenoord, Backer, Rinnooy Kan, Martens, Gerkens en Ganzevoort wordt de volgende motie voorgesteld:

De Kamer,

gehoord de beraadslaging,

overwegende dat het toezicht op de elektronische uitwisseling van medische gegevens versterkt dient te worden om zo de veiligheid van digitale uitwisseling van dergelijke persoonsgegevens zo goed mogelijk te waarborgen;

van oordeel dat het toezicht door en het instrumentarium van de Autoriteit Persoonsgegevens geïntensiveerd dienen te worden om zo haar taak adequaat uit te kunnen oefenen in relatie tot de ontwikkelingen op het terrein van digitalisering in de zorg;

verzoekt de regering, hierover in overleg te treden met de Autoriteit Persoonsgegevens, voorstellen te doen voor intensivering van het toezicht op de veiligheid van digitale uitwisseling van gegevens en daarvoor budget vrij te maken, en de Kamer daarover te informeren,

en gaat over tot de orde van de dag.

Zij krijgt letter P (33509).

Mevrouw Bredenoord (D66):

Het moge duidelijk zijn: ik vind het een buitengewoon complex dossier. Het blijft voor ons een dilemma dat wij gevraagd worden om in te stemmen met wetsbepalingen die nu nog niet technisch mogelijk zijn en dat wij nu al een oordeel moeten vellen over de uitvoerbaarheid daarvan. Ik ga terug naar mijn fractie. Wij zullen ons nog buigen over de afweging.


Bekijk de video van deze spreekbeurt

Mevrouw Nooren (PvdA):

Voorzitter. De minister geeft duidelijk aan dat dit wetsvoorstel een aanvulling is op de rechten die nu al gelden in een behandelrelatie die betrekking heeft op de elektronische uitwisseling van gegevens en het gebruik van die gegevens door de cliënt. De veiligheid van cliënten staat daarbij altijd voorop, hoe die uitwisseling ook plaatsvindt. Ze heeft wat de PvdA-fractie betreft voldoende duidelijk gemaakt waarom er gekozen is voor een gefaseerde invoering en wat er nodig is om een veilig systeem te realiseren met gespecificeerde toestemming en een daarin voorgestelde termijn van drie jaar om dat voor elkaar te krijgen.

Wij danken de minister voor de gepassioneerde wijze waarop zij de vragen over dit wetsvoorstel heeft beantwoord en bij herhaling heeft duidelijk gemaakt waarom de wet nu ingevoerd moet worden: om het veld richting te geven, om wettelijke regelingen voor cliëntveiligheid vast te leggen, om vast te stellen hoe zorgaanbieders onderling met informatie om moeten gaan en hoe zij toewerken naar gespecificeerde toestemming als ambitie, die vast te leggen en zo het veld te richten. Wij zijn blij met de actieve rol die de minister wil blijven vervullen, zowel in het realiseren van dit wetsvoorstel als in andere activiteiten zoals het toewerken naar een persoonlijke zorgomgeving, bijvoorbeeld MedMij.

Ook zijn wij blij met de mate waarin zij heeft toegezegd alle relevante veldpartijen de komende jaren te blijven betrekken bij het toewerken naar een systeem dat werkt en waarvoor draagvlak is.

Wij zijn blij om te horen dat de minister toewerkt naar een hoger beveiligingsniveau voor de informatie en dat zij probeert om de zorg de komende drie jaar met voorrang een plek te geven in de activiteiten die ook de minister van Binnenlandse Zaken vormgeeft.

Wij danken de minister voor de onder andere door haar toegezegde rapportage aan deze Kamer en de redelijke of, beter gezegd, de reële termijn die zij zal opnemen in de AMvB wat betreft het voldoen aan de NEN-normen en andere eisen zoals de nieuwe wettelijke inzichten en de wetenschappelijke mogelijkheid voor veiligheid van systemen.

Ik wil de minister nog een vraag stellen, naast uiteraard de rol die zorgaanbieders hebben en houden om te zorgen dat zij passende informatie hebben over de betekenis van dit wetsvoorstel en de keuze die men kan maken uit gespecificeerde toestemming tot en met alles aankruisen en dan generieke toestemming realiseren. Ik denk dat het belangrijk is dat de rijksoverheid dit gaat ondersteunen met adequate informatie, met cliënteninformatie, waarbij mensen de informatie niet alleen van de aanbieder krijgen, maar zich daarin ook zelf kunnen verdiepen. Ik wil de minister vragen om hierop te reageren.

Al met al zal ik mijn fractie positief adviseren over dit wetsvoorstel.


Bekijk de video van deze spreekbeurt

Mevrouw Gerkens (SP):

Voorzitter. Ik dank de minister voor de beantwoording. Ik heb eens naar haar geluisterd. Zij ging uitleggen hoe de generieke, gespecificeerde toestemming over een tijd ging werken. Ik moet concluderen dat het allemaal wel heel veel gedoe is om al die toestemmingen te krijgen. Waarom heeft de minister geen simpeler voorstel gedaan? Ik voorzie toch dat er mensen zullen zijn die door al die bomen het bos niet meer zien en dan maar gewoon bij alles "ja" aanvinken, op alles "ja" zeggen, omdat anders de medicatie niet meegegeven kan worden. Nee, dat mag niet, maar ja, dat gebeurt wel. Het gebeurt ook veel. Dat baart mij zorgen en het baart mij ook zorgen dat wij in deze cultuur dit soort wetgeving aannemen.

Ik zei het al: wat een ingewikkeld systeem! Dat, terwijl er veel systemen denkbaar zijn waarin veel eenvoudiger gespecificeerde toestemming gegeven kan worden op het moment dat dit nodig is en onder regie van de patiënt. Het klopt als de minister zegt dat dit wetsvoorstel geen andere systemen uitsluit. Dat heb ik ook niet betoogd en de heer Van Hattem evenmin. Wel faciliteert dit wetsvoorstel onwenselijke systemen. Dat noemt de minister "opplussen". Mooi woord: opplussen. Ik noem het "afminnen". De minister had er namelijk ook voor kunnen kiezen om het deze onwenselijke systemen wat lastiger te maken en om ervoor te zorgen dat andere systemen die privacyvriendelijker zijn, de voorkeur krijgen. Waarom heeft de minister dat niet gedaan? De minister zegt dat we nu naar een substantieel niveau gaan en dat we dat volgend jaar al zullen hebben, maar het rapport van PrivacyCare wijst uit dat we technisch nog lang niet zo ver zijn. Ondertussen zijn er dus patiëntenportalen die onvoldoende beveiligd zijn. Hoe oordeelt de minister daarover? Dit wetsvoorstel regelt dit niet.

Dan de apps. De minister zegt dat eHealth-apps ook behandelaars zijn. Dat vind ik een heel interessante opmerking. Hoe zit het precies met die e-health-apps? Is de ontwikkelaar daarvan de behandelaar of is dat degene die de gegevens verwerkt? Genereert de software, dus de app zelf, op basis van gegevens die ik in de app invoer, een medisch advies? Is dan de app de behandelaar? Valt de app dan onder het medisch beroepsgeheim of de softwareontwikkelaar? Hoe zit dat?

Ook wil ik graag van de minister weten of clustersystemen pullsystemen zijn. Ik denk dan bijvoorbeeld aan die van PharmaPartners, waarin zowel apothekers als huisartsen zitten, dus in één systeem. Is dat dan een pullsysteem? Ik verbaasde mij in de pauze even, want ik had mijn jongste kind aan de telefoon. Ik dacht even dat zij het debat van vandaag had gevolgd, dus vroeg haar: heb jij vandaag het debat gevolgd? Zij vroeg mij namelijk: "vind jij het goed dat ik toegang krijg tot mijn patiëntendossier in het ziekenhuis?" Ik heb in een minuut uitgelegd wat ik daarvan vond en al vrij snel zei zij tegen mij: "Ja, dat is niet veilig, mamma, want als het op mijn computer kan, dan kan iemand dat zomaar hacken". Het is een 13-jarig kind. Het is vrij snel uitgelegd, maar hier kost het wat meer moeite. Dit is dus niet veilig. We streven naar veiligheid, maar ondertussen laat de minister deze onveilige situatie voortduren. Daarom zou ik de minister willen vragen om de patiënt de mogelijkheid te geven, te voorkomen dat gegevens in de cloud worden gezet. Mijn kind is nu per definitie overgeleverd aan een onveilig systeem, ook al maakt ze geen gebruik van dat portaal. Haar gegevens staan daar namelijk al in.

Als de minister het belang van de patiënt voorop had gesteld, had zij ervoor gezorgd dat ik als patiënt invloed had kunnen uitoefenen op de vraag of en hoe mijn gegevens worden opgeslagen en al dan niet worden uitgewisseld. Dat is nog een stap vóór die uitwisseling dus. Nu ben ik als patiënt overgeleverd aan de systemen die mijn medisch dossier met behulp van deze wetgeving overlaten aan de stand van de huidige techniek. Daarvan weten we allemaal absoluut zeker dat die op dit moment onvoldoende is. Ik voorzie dan ook dat mensen zullen weigeren om die gegevens te delen omdat zij de gevolgen niet kunnen overzien of misschien juist wel overzien, of dat mensen maar ja gaan zeggen en inderdaad hun eigen data gaan uploaden naar allerlei apps en andere leuke hebbedingetjes.

De druk op de patiënt zal groter en groter worden en als er geen druk is, zal er verleiding ontstaan. Ik wijs dan ook even op de richtlijnen op Europees niveau waarbij men nu aan het nagaan is hoe men kan betalen met persoonsgegevens. Dat wordt later dus een dingetje. Dan kun je betalen met je eigen persoonsgegevens. Straks wordt het ook heel interessant om te betalen met je medische dossier. Dat is niet ondenkbaar. Ook al regelt dit wetsvoorstel dat de patiënt het recht krijgt om zijn eigen data in te zien of te beheren, de patiënt krijgt één recht niet: het recht tot een opt-out uit de systemen die niet standalone zijn. Van deze kant zou ik de minister van harte willen vragen om naar de optie te kijken dat de patiënt het recht krijgt om een opt-out te doen uit de systemen die niet standalone zijn.

Het mag de minister niet verbazen dat wij niet voor dit wetsvoorstel zijn. Ik dank u.


Bekijk de video van deze spreekbeurt

De heer Ganzevoort (GroenLinks):

Voorzitter. Ik dank de minister voor de beantwoording en de collega's voor het debat dat we met elkaar gehad hebben. Zijn we veel verder gekomen vandaag? Misschien is het te veel gevraagd om dat te willen als je hier al twee jaar lang in schriftelijke rondes en hoorzittingen aan het debatteren bent. Om dan in één middag veel verder te komen is misschien wat veel. Ik constateer eerlijk gezegd dat ik met mijn vragen niet heel veel verder gekomen ben. Op heel veel vragen is het antwoord: "dat blijft ongeveer zoals het nu is", "nee, dat verandert niet" en "nee, dat is nu al geregeld in de wet en dat blijft ook zo".

Dan is de vraag wat er wel extra is, dus het opplussen van deze minister. Waar zien we de winstpunten, behalve dan in mijn spreektijd, die nog steeds stilstaat? Ik zal die niet nodig hebben, hoor, die drie minuten, maar toch, ik zeg het voor de eerlijkheid, voorzitter. Waar zien we dan wel de winst in dat opplussen? Eerlijk gezegd, ik zie die nergens. We zitten dan in de stappen die mogelijk zijn, de stip op de horizon en de regie die daar mogelijk wordt. Ja, mogelijkerwijs, maar ik ben er niet van overtuigd dat deze wet daar nu voor nodig is. Er zijn allerlei andere mogelijkheden. Zo zijn er onder de huidige wetgeving mogelijkheden voor een AMvB en dergelijke die die richting ook kunnen inzetten.

Zit die dan in de stappen die mogelijk zijn? In de stip op de horizon? In de regie die daar mogelijk wordt? Ja, mogelijkerwijs, maar eerlijk gezegd ben ik er nog steeds niet van overtuigd waarom deze wet daar nou voor nodig is. Er zijn allerlei andere mogelijkheden. Er zijn onder de huidige wetgeving mogelijkheden voor een AMvB en dergelijke, waarmee ook precies de richting kan worden ingezet.

Heeft deze wet dan gevaar in zich? Dat is de andere kant. Je kunt zeggen: het is gewoon een zinloze wet die niks toevoegt, maar misschien ook wel geen kwaad doet. Dat is nog een beetje de vraag. Er wordt over een termijn van drie jaar gesproken. Er wordt ons een worst voorgehouden: over drie jaar zijn al die voordelen er en worden al die goede stappen voorwaarts wel gezet. Die termijn van drie jaar blijkt toch redelijk flexibel en wordt eerlijk gezegd nogal optimistisch ingevuld. De zorgverzekeraars mogen er toch in kijken, zij het alleen in de agenda, zo zegt de minister. Als dat alleen maar betekent dat de zorgverlener door de zorgverzekeraar kan worden gevraagd om een kopietje uit zijn agenda te maken, dan hebben we nog helemaal niets gedaan aan fraudebestrijding. Eerlijk gezegd lijkt mij het toesturen van agendagegevens — ik heb toen een afspraak met die patiënt gehad — de meest fraudeerbare informatie die je maar kunt bedenken. Oftewel: de zorgverzekeraar heeft pas echt iets in handen als hij ook daadwerkelijk in de bestaande systemen van de zorgaanbieder kan kijken. Als dat zo niet is, hebben we dus nog steeds niks geregeld. Óf die zorgverzekeraar kan er wel in kijken, en dan hebben we een probleem met de wet die hier voorligt, waarin de zorgverzekeraar dat niet mag, óf de zorgverzekeraar kan er niet de facto in kijken, en dan wordt er niks geregeld. Op dit soort punten word ik niet heel erg gerustgesteld dat er nu echt goede stappen gezet worden.

Waar zitten dan de risico's? Als er namelijk niks geregeld wordt en als er niet echt iets toegevoegd wordt, waar zit dan het probleem met deze wet? Voor mij zit dat op een al eerder genoemd punt, namelijk dat er — ook al regelt deze wet dat niet de jure — de facto een druk ontstaat in de richting van het aansluiten bij allerlei centrale systemen, bij een landelijk schakelpunt en dergelijke. Dat is al gaande. Op het moment dat je nu bij een apotheek komt, word je er al naar gevraagd. Dat stimuleringsproces wordt alleen maar versterkt door nu deze wet aan te nemen, die wel die richting ondersteunt maar nog niet de waarborgen inbouwt die we daarbij zo graag zouden willen. Op één vraag heb ik in die zin ook nog helemaal geen antwoord gehad. Waarom denkt de minister dat het voor iemand als ik nodig is om überhaupt in dat soort systemen te staan?

Ik constateer dat er een nogal magere winst in dit voorstel zit en dat mijn vraag of de berg meer dan een muis gebaard heeft, negatief beantwoord moet worden. Er wordt ons weliswaar in het vooruitzicht gesteld dat er mooie ontwikkelingen kunnen komen, maar dat is in onze visie toch een vrij riskant vertrouwen. Er ligt een wet voor waarmee de minister allerlei dingen wil en wil gaan regelen, waarvan wij moeten zeggen dat die op dit moment niet uitvoerbaar zijn. Dan ontstaat toch de vraag: waren de twee jaar die we gewacht hebben met het afronden van deze wet wel genoeg? Hadden we niet gewoon vijf jaar moeten wachten, totdat er iets zou liggen dat wel klaar zou zijn en dat gedragen zou zijn door alle regie die de minister ondertussen natuurlijk neemt om tot die verbetering te komen? We willen namelijk niet dat ze gaat zitten wachten. We willen dat ze stappen zet en dan uiteindelijk komt met een wet die uitvoerbaar is.

Ik weet dat het beroemde gedicht dat spreekt over "… tussen droom en daad/staan wetten in de weg en praktische bezwaren" eigenlijk over een ongelukkig huwelijk gaat en over het doodslaan van de partner, wat je dan toch weer niet wilt, "… want tussen droom en daad/staan wetten in de weg en praktische bezwaren/en ook weemoedigheid, die niemand kan verklaren,/en die des avonds komt, wanneer men slapen gaat". Maar in dit geval staat deze wet wellicht inderdaad in de weg tussen de droom van een beter geregeld systeem van cliëntenrechten en de daad.

Alle praktische bezwaren die voor de werkingskracht meespelen, maken het voor ons wel erg lastig om hiermee in te stemmen.


Bekijk de video van deze spreekbeurt

Mevrouw Teunissen (PvdD):

Voorzitter. Ik dank de minister hartelijk voor de antwoorden in de eerste termijn. Die antwoorden hebben de twijfels en bezwaren van mijn fractie helaas niet kunnen wegnemen. De wijze waarop de minister is ingegaan op het door mij aangedragen alternatief van Whitebox Systems is wat mij betreft niet toereikend. Zij heeft aangegeven dat deze wet ruimte biedt voor alternatieven, maar het is zeer de vraag hoeveel kansen deze alternatieven hebben. Het gaat om een fundamenteel ander decentraal systeem, waarin geen centrale opslag van patiëntgegevens plaatsvindt maar waarin de gegevens in de database van de eigen arts staan en waarin patiënten een code krijgen waarmee ze andere behandelend artsen toegang geven tot hun gegevens. Dat is een fundamenteel ander systeem. Het lijkt erop dat we nu een heel andere kant opgaan. In de eerste termijn heb ik naar de twee aangenomen moties-Tan verwezen waarmee in dit huis breed afstand genomen werd van het LSP. Binnen de kaders die de minister stelt, heeft het LSP alsnog de centrale rol die deze Kamer niet wilde. Dat bevreemdt mijn fractie. Het lijkt er sterk op dat we in de richting van een centraal portaal gaan en dat alternatieven het onderspit delven. De minister heeft me op dit punt niet gerustgesteld. Ik krijg hier heel graag nog een reactie op.

Verder is het mijn fractie niet duidelijk geworden waarom we niet kunnen wachten tot er meer helderheid is over de technische en organisatorische uitvoerbaarheid van de gespecificeerde toestemming. We hebben van de minister wel de termijn van drie jaar gehoord, maar ze heeft ook aangegeven dat er momenteel ontzettend veel ontwikkelingen gaande zijn. Ook heeft de KNMG al eerder aangegeven dat er veel kennis is op dit gebied en dat zij ook over een aantal maanden of een jaar meer duidelijkheid heeft over de uitvoerbaarheid. Ik vraag me dus af waarom we niet kunnen wachten met deze wet totdat er meer helderheid is, zodat we in ieder geval wat meer te weten komen over hoe die gespecificeerde toestemming er uiteindelijk uit gaat zien.

Dat zou ook heel veel zorgen over de aantasting van de privacy wegnemen. We hebben eerder de brief van Privacy First gezien. De minister heeft daar goed op geantwoord. Ze heeft daar ook nog in de eerste termijn naar verwezen. Maar omdat er nog zo veel onduidelijkheid is over de invulling van de gespecificeerde toestemming, denk ik dat het zaak is om ook naar die partijen meer helderheid te kunnen scheppen over de privacy.

Daarnaast blijft er bij mijn fractie nog een groot bezwaar over het feit dat er geen volledig verbod rust op het inzien van de gegevens door zorgverzekeraars. Het is ook onduidelijk wat de strekking van die informatie is. Wat is de aard van de informatie die zorgverzekeraars kunnen gebruiken? De minister zei dat zij bijvoorbeeld de agenda kunnen inzien, maar het zou ook over andere gegevens kunnen gaan.

Alles overziend, is mijn fractie van mening dat dit voorstel niet klaar is om in stemming te worden gebracht, vanwege alle onduidelijkheden. Wij zullen dan ook tegen dit wetsvoorstel stemmen.

De voorzitter:

Als u het niet in stemming wilt brengen, hoe gaat u dan stemmen? Nee, dat is flauw van mij. Snapt u wat ik bedoelde?

Mevrouw Teunissen (PvdD):

Ja, ik snap het, voorzitter.

De voorzitter:

Dank u wel, mevrouw Teunissen. Nee, dat was flauw van mij.

Ik geef het woord aan de minister van Volksgezondheid, Welzijn en Sport, maar niet dan nadat ik gevraagd heb of zij meteen kan antwoorden. Ik zie dat zij knikt.


Bekijk de video van deze spreekbeurt

Minister Schippers:

Voorzitter. Ik dank de Kamer hartelijk voor haar inbreng in tweede termijn en voor de gedachtewisseling die wij vandaag met elkaar gehad hebben. Er zijn mij een aantal vragen gesteld.

De heer Van Hattem zei dat de NEN 7510 geen beveiligingsnorm is. Het is een norm voor informatiebeveiliging in de zorg, ook voor het LSP. Ik heb in de AMvB echter wel de opmerkingen meegenomen die de heer Verheul heeft gemaakt in de sessie die de Kamer met een aantal partijen heeft gehad. Die AMvB is aangevuld met een bepaling over privacybevorderende maatregelen. Die adviezen hebben wij dus ter harte genomen.

De voorzitter:

De heer Van Hattem, kort graag.

De heer Van Hattem (PVV):

De minister zegt: we hebben het aangevuld met privacybeschermende maatregelen. Maar de essentie is nu juist dat het gaat om de beveiliging van het systeem tegen hacken en alle andere mogelijke inbreuken. Daarvan is privacy één aspect, maar je dicht de algemene veiligheid niet alleen af met een NEN-norm. Daar is veel meer voor nodig.

Minister Schippers:

Precies, en we doen het ook niet met één NEN-norm, maar met een heel samenstel van beveiligingsmaatregelen die het beveiligingsniveau nu moeten verhogen ten opzichte van de situatie waarin je die normen niet toepast.

De heer Van Hattem (PVV):

Maar is de minister het niet met mij eens dat het beter is om te kiezen voor een systeem waarin er geen sprake is van ontsleuteling op een centrale plek, wat altijd een groot risico is bij zo'n verwijsindex?

Minister Schippers:

Ik zie de situatie zoals die nu is. Daar gaan wij van uit, en dit wordt daarbovenop gezet. In de huidige situatie zijn er systemen die vrij eenvoudig te hacken zijn. Af en toe wordt dat ook aangetoond. Het is dus niet alleen hard nodig dat de zorgverleners hun verantwoordelijkheid nemen en hun systemen beter beveiligen, maar ook dat we daaraan centraal zwaardere eisen stellen.

De voorzitter:

Tot slot op dit punt, mijnheer Van Hattem.

De heer Van Hattem (PVV):

Maar is het dan niet beter om meteen te gaan voor een systeem dat echt goed is in plaats van voor een systeem dat misschien iets beter is, maar nog altijd niet goed genoeg?

Minister Schippers:

Nee, we hebben hier afgesproken, naar aanleiding van de motie-Tan en het hele debat dat daaraan voorafging, dat de overheid geen uitspraken doet over welke systemen gebruikt worden. Wij hebben overigens ook niet gezegd dat we het LSP niet willen. We hebben ook niet gezegd dat het LSP niet mag. We hebben gezegd: het LSP, het landelijk schakelpunt, is niet hét verplichte systeem dat door de overheid wordt opgelegd. Dat is hier gewisseld. Vervolgens zijn er in de motie een aantal eisen gesteld waaraan nieuwe wetgeving zou moeten voldoen. Die zijn stuk voor stuk in deze nieuwe wetgeving vormgegeven. Er zullen dus systemen ontstaan die geen centrale verwijsindex hebben en systemen die die wel hebben. Wij maken daar gewoon geen keuze in. Wij stellen wel randvoorwaarden, bijvoorbeeld aan de beveiliging. Die moet zo hoog mogelijk zijn naar de stand van wat wij technisch kunnen. Dat regelen we in AMvB's, om daarin flexibel te zijn. De eerste AMvB krijgt de Kamer in oktober. Die eisen leggen wij ook dwingend op, door specifieke normen te stellen. We zeggen dus niet: u moet voldoen aan een hoog beveiligingsniveau. Nee, we zeggen: u moet aan NEN 710, NEN 712 of NEN 713 voldoen. En tegen de tijd dat de technologie voortschrijdt, gaan wij weer andere, opgepluste eisen stellen. Wij moeten het vergelijken met de situatie waarin we dit voorstel niet aannemen. Als we dat doen, zien we dat dit wetsvoorstel in ieder geval op al die punten — rechten, patiënten, beveiliging en privacy — voortgang boekt.

Maakt dit het voor elektronicagiganten zoals Philips, Google en Apple makkelijker om namens de patiënt medische dossiers op te halen of op te slaan in de eigen systemen of in de cloud? Het wetsvoorstel biedt geen grondslag voor commerciële partijen om bijvoorbeeld voor bigdataonderzoek gebruik te maken van gegevens die beschikbaar zijn via een elektronisch uitwisselingssysteem. Het raadplegen van gegevens via zo'n systeem is alleen toegestaan binnen de behandelrelatie en met toestemming van de patiënt. Gegevens die beschikbaar zijn via een elektronisch uitwisselingssysteem kunnen daardoor nooit door commerciële partijen voor bijvoorbeeld big data worden gebruikt. Zorgaanbieders die gegevens wél beschikbaar zouden stellen aan die commerciële partijen, doorbreken hun beroepsgeheim, zoals neergelegd in onder meer artikel 272 in het Wetboek van Strafrecht. Als cliënten via persoonlijke gezondheidsomgevingen de beschikking krijgen over hun eigen gegevens, bestaat wel de mogelijkheid dat zij deze gegevens zonder tussenkomst van een zorgverlener beschikbaar stellen aan derden, waardoor gegevens uiteindelijk bij commerciële partijen of in de cloud kunnen belanden. Dat is nu zo en dat is straks zo. Het is mijn taak om wettelijke kaders en waarborgen te creëren waarbinnen men veilig gebruik kan maken van de persoonlijke gezondheidsomgeving. Cliënten moeten goed geïnformeerd worden over de mogelijkheden en de risico's. Ik zal dat zeker in de privacybescherming meenemen. Zoals ik in eerste termijn al heb gezegd, zijn ook experts aan het bedenken hoe wij blokkades voor de geheimhoudingsplicht beter kunnen regelen. Maar dat heeft geen betrekking op dit wetsvoorstel.

Mevrouw Bredenoord zegt dat haar zorgen voor een deel blijven bestaan, omdat verzekeraars in uitzonderlijke gevallen toegang hebben tot het dossier. Dit wetsvoorstel regelt dat verzekeraars en hun medisch adviseurs geen toegang hebben tot het dossier. In dit wetsvoorstel worden de boetes voor wie dat wel doet, zelfs heel fors verhoogd. De blokkade om erin te kijken, wordt dus heel erg verhoogd met dit wetsvoorstel.

Mevrouw Bredenoord refereert aan een ander wetsvoorstel, waarin er in de gangbare praktijk een ontheffing kan zijn voor de zorgverzekeraar, als aan een heleboel eisen is voldaan. Dat is geen ontheffing om in het systeem te kijken, want ze mogen nooit in het uitwisselingssysteem kijken. Het gaat ten eerste om de medisch adviseur met een beroepsgeheim. Hij mag nooit in het systeem kijken, ook niet volgens die andere wet. Bij de zorgaanbieder mag hij een deel van de gegevens opvragen. Hij kijkt dus niet zelf in het systeem, maar de zorgaanbieder zal dan moeten zeggen: inderdaad, dit is mijn agenda voor die datum. Of: ik heb die medicijnen voorgeschreven, of een bepaalde behandeling gedaan. Hij kan zelf echter nooit in het systeem kijken. In deze wet wordt namelijk geregeld dat hij dat niet kan en dat daar een behoorlijk hoge boete op staat.

Er zijn additionele waarborgen nodig. Daarover zijn twee moties ingediend. Ik denk dat ik die meteen even behandel. Over de motie op letter O hebben we het ook in de eerste termijn gehad. Daarin word ik verzocht om dataprotectie-by-design verder uit te werken als uitgangspunt voor de elektronische verwerking van medische gegevens en de Kamer daarover te informeren. Ik heb al in de eerste termijn aangegeven dat ik dat zal doen. Overigens is dat iets wat ik zal moeten doen, omdat de Europese verordening straks wet wordt. Dataprotectie-by-design is daar onderdeel van en wordt daarmee ook wettelijk verankerd. Dat is ook de reden waarom ik het oordeel aan de Kamer laat. Ik vind dat sowieso een goed idee.

De tweede motie is die op letter P, waarin ik verzocht word in overleg te treden met de Autoriteit Persoonsgegevens, voorstellen te doen voor intensivering van het toezicht op uitwisseling van gegevens, daarvoor budget vrij te maken en de Kamer daarover te informeren. Ik ben zeker bereid om met de Autoriteit Persoonsgegevens in gesprek te gaan om te kijken wat haar prioriteiten zijn en of dit verzwaard kan worden. Hier staat "budget vrij te maken". Ik weet niet over hoeveel budget dat gaat. Dat moet ik natuurlijk ook dekken. Ik laat het oordeel over deze motie dus aan de fracties. Ik teken daarbij aan dat er dan wel dekking moet zijn voor de in deze motie gevraagde middelen. Ik zal sowieso het gesprek met de Autoriteit Persoonsgegevens aangaan over haar toezichtsrol op deze wet. Dat zeg ik sowieso toe.

Het is complex. Het is ook complex omdat ik van deze Kamer de opdracht heb gekregen om te regelen dat patiënten kunnen aangeven welke artsen wel en niet in hun dossier kunnen kijken en over welke gegevens het dan gaat. Dat maakt het wel complexer. Ik ben het er dus mee eens dat het complexer is geworden. Aan de andere kant kunnen we met technologie die complexiteit ook omzetten in een overzichtelijk en makkelijk navigeerbaar portaal, of een navigeerbaar toestemmingsblad. Ik denk dat de belangrijke uitdaging is dat wij dat op zo'n manier regelen dat de patiënt in één oogopslag goed kan zien waar zij toestemming voor hebben gekregen. De Kamer heeft er zelf op gewezen dat het van belang is dat, als je ergens ja of nee invult, je dan bij wijze van spreken een pop-up krijgt die zegt wat de gevolgen zijn. Ik neem dat ter harte. Ik neem dat mee bij de ontwikkeling hiervan. Ik denk dat dit belangrijk is.

Ook denk ik dat je die informatievoorziening niet alleen aan de zorgverleners moet overlaten. Zij hebben die wettelijke taak. Ik denk dat de rijksoverheid hier ook daadwerkelijk een inspanning te plegen heeft en deze informatievoorziening ook wel degelijk moet versterken. Mevrouw Nooren vroeg daar ook naar. Dat is ook mijn antwoord aan haar. Wij moeten adequate informatie geven en daarmee dit proces ondersteunen.

Mevrouw Gerkens zegt: het is een hoop gedoe. Zij vraagt of het niet simpeler kan, omdat je door de bomen het bos niet meer ziet. Deze Kamer heeft gevraagd om specifiek aan te geven wie er inzicht krijgt in iemands gegevens en in welke informatie. Dat geeft natuurlijk altijd een zekere complexiteit. De Tweede Kamer heeft gezegd: wij willen echt geen generieke toestemming. De eenvoudige knop "ja, iedereen die met mijn behandeling te maken heeft" wordt daarmee onmogelijk.

Mevrouw Gerkens wijst in haar hele betoog de status quo af. Dat doe ik ook. Dat is ook de reden waarom ik met dit wetsvoorstel kom. Ik vind de status quo niet goed genoeg. Ik vind de status quo van de beveiliging van de systemen, de privacy van de patiënt en de rechten van de patiënt onvoldoende. Dat is waarom ik met dit wetsvoorstel kom. Bijna alle dingen kunnen al in gang worden gezet met het aannemen van het wetsvoorstel. Een paar dingen worden uitgesteld. Wij gaan niet zitten wachten tot er drie jaren om zijn. We gaan dat stapsgewijs in drie jaar verbeteren, met de sector, waarin iedereen zich daartoe gecommitteerd heeft. Het moet er dan volgend jaar dus beter uitzien dan dit jaar en het jaar daarop weer beter. Over drie jaar zijn we dan klaar.

Mevrouw Gerkens (SP):

Dat laatste zien we niet terug in het wetsvoorstel. In het wetsvoorstel staat dat het over drie jaar zover moet zijn en niet dat het volgend jaar al een stukje beter kan zijn, of wat dan ook. Per definitie laat deze minister de status quo voortduren. Daar komt bij dat het wetsvoorstel het in mijn visie niet echt heel veel veiliger maakt.

Minister Schippers:

We hebben een heel traject opgetuigd, waarin iedereen betrokken is. Daarin zetten we die stappen met elkaar om dit stapsgewijs beter te maken: met de hele sector, met de artsen, de verpleeghuizen en de ziekenhuizen. De overheid heeft gezegd dat ze dit ondersteunt en faciliteert. We faciliteren dit in het traject. Dit wetsvoorstel heeft die drie jaar genomen om focus te hebben en een straf pad naar invoering, en niet om op onze lauweren te rusten tot de drie jaar om zijn.

De heer Van Hattem (PVV):

In de eerste termijn heb ik hierover een vraag gesteld aan de minister. Volgens mij heb ik daar geen duidelijk antwoord op gekregen. Daarom herhaal ik de vraag nog een keer. Die ging over de aanwijzing voor de regelgeving. Daarin staat dat er geen regeling wordt voorgesteld als er onvoldoende zicht is op handhaving van de regelgeving. Kan de minister nog op die vraag antwoorden?

Minister Schippers:

Als de artikelen die we nu uitstellen over drie jaar ingaan, is er ook handhaving van die artikelen. Het punt is dat we de stappen daarnaartoe nu met elkaar nemen. Als ik ze nu zou laten ingaan, kunnen we niet handhaven. Dat is dan niet te realiseren. We denken dat het nodig is dat we de regie nemen, zodat niet iedereen zijn eigen systeempje, portaaltje en dingetje zit te doen. We kunnen dat dan uniform met elkaar gaan doen, volgens de eisen die dit wetsvoorstel stelt. Dat geeft juist het vertrouwen dat dit over die jaar ook daadwerkelijk handhaafbaar is.

De heer Van Hattem (PVV):

Dat vind ik een beetje een vreemde opvatting van het vertrouwen dat het handhaafdbaar is. Ik heb begrepen dat in de aanwijzing voor de regelgeving staat dat het handhaafbaar moet zijn. Voldoet het in die zin wel aan de aanwijzing? Dat is waar het mij om gaat.

Minister Schippers:

Daarom hebben we die drie artikelen juist uitgesteld. We hebben ze uitgesteld omdat ze in het traject dat we met elkaar doorlopen uiteindelijk ook handhaafbaar zijn als ze ingevoerd worden. Als we dat niet hadden gedaan, had de heer Van Hattem een punt.

De heer Van Hattem (PVV):

Zou het dan niet wetsystematisch logischer zijn geweest om nu te zeggen: we voeren de hele wet niet in?

Minister Schippers:

Dan weet ik één ding zeker: dat we over drie jaar niet de patiëntenrechten hebben versterkt, niet de beveiliging hebben versterkt en ook niet de privacy hebben versterkt. Als we terugkijken op de afgelopen tien jaar, is dat precies het geval geweest.

Ik ben dus voor versterking van de privacy en ook voor versterking van de beveiliging. Dat is de hele aanleiding voor dit wetsvoorstel. Anders had ik het er natuurlijk allang bij laten zitten nadat het epd afketste. Ik vond dat echter niet te verantwoorden. Ik vond dat we die randvoorwaarden hier echt publiek moesten vaststellen en dat niet aan de private sector moesten overlaten.

Wie is de behandelaar bij de eHealth-app? Tja, er zijn allerlei apps. Waar het mij om gaat, is dat de BIG-geregistreerde behandelaar of dokter zegt: "In mijn behandeling kom je drie keer bij mij op het spreekuur. We zien elkaar dan face-to-face. Er is ook een internetprogramma waarin jij aan mij vragen kunt stellen, die ik dan beantwoord. We zijn dan dus niet fysiek bij elkaar in één ruimte, maar jij kunt als je 's avonds thuis bent nog eens een deel van die behandeling bij mij volgen." Dat zijn inmiddels heel gangbare behandelingen. In de ggz worden ze heel veel toegepast. Dan is de behandelaar gewoon de dokter die aan de andere kant van de computer zit en die jouw vragen beantwoordt of met jou die behandelsessie heeft. Dat gebeurt dan alleen niet live, maar ook via het programma. Dan geldt gewoon het medisch beroepsgeheim voor die behandelaar aan de andere kant.

De heer Van Hattem (PVV):

Dat is een beperkte opvatting van eHealth-apps en andere mogelijkheden op dit vlak. Er zijn ook al snelle glasvezelverbindingen waaraan allerlei apparatuur aan is gekoppeld. Daar worden medische gegevens ook mee uitgewisseld, vanuit patiënten thuis. In hoeverre is deze wet dan van toepassing op dat soort eHealth-toepassingen? Dat is interessanter dan de situatie waarbij een arts in persoon betrokken is bij de toepassing ervan.

Minister Schippers:

De metingen komen, waar het al kan — dat zal natuurlijk toenemen — in jouw dossier bij de behandelaar bij wie je onder behandeling bent. Je bent bijvoorbeeld bij een cardioloog onder behandeling en die heeft bepaalde meetapparatuur. In de toekomst zal het zeker gebeuren dat de gegevens, ook al kijkt de cardioloog er niet naar, automatisch in je dossier komen. Als het niet goed gaat, gaat er een piepje. Dan word je opgeroepen voor een afspraak met de cardioloog. Dat wordt een methode van zorg die massaal zal worden toegepast. De behandelaar blijft de cardioloog. Jij blijft, aan de andere kant, gewoon de patiënt.

De heer Van Hattem (PVV):

Dan wordt het interessant, want wat is dan de positie van de verwerker van de gegevens van de apparatuur, het bedrijf dat de software beheert en registreert? Dat bedrijf zit er ook tussen. Dat bedrijf krijgt ook toegang tot de medische data. Op dat vlak vind ik deze wetgeving nog heel onduidelijk.

Minister Schippers:

Dat is niet anders dan nu. Nu zijn er bewerkers die systemen maken. Voor hen geldt geen rechtvaardiging. Het is die bewerkers niet geoorloofd om in dossiers te kijken, om gegevens in te kijken. Dat is iets tussen de behandelaar en de patiënt.

De heer Van Hattem (PVV):

Het blijft onduidelijk of die gegevens in de fase tussen de patient en de behandelaar goed beschermd zijn, zodat de verwerker van de gegevens daar geen onrechtmatige dingen mee kan doen.

Minister Schippers:

Daarom is het zo van belang dat de beveiliging wordt versterkt, juist omdat dit soort systemen massaal op de markt gaat komen. De komende drie jaar gaan heel veel medici daarmee werken. Via een AMvB kunnen we dan de beveiliging opplussen. Daarvoor hoeven wij geen wet te veranderen. De beveiliging van die systemen kan dan, waar het kan, vrij snel worden opgehoogd. Als deze wet er dan niet is, lopen wij achter de feiten aan. Dat is dus juist een belangrijk argument voor deze wet.

Patiënten hebben het recht op een opt-out, maar voor elektronische uitwisselingssystemen, niet voor stand alone — daarvoor hoef je niets te regelen — voor een uitwisselingssysteem geldt juist een opt-in. Als je niets doet, doe je niet mee, maar dit is sterker dan een opt-out.

Mevrouw Gerkens (SP):

Dit geeft aan dat de minister niet helemaal door heeft wat het probleem is. Zelfs al ik zou aangeven dat ik niet wil dat mijn gegevens worden uitgewisseld, zelfs al zou ik nergens toestemming voor geven, dan nog ben ik niet veilig, omdat de gegevens in een systeem zitten dat in verbinding staat met de hele wereld. Met één hack liggen mijn gegevens op straat, al heb ik tien keer nee gezegd. Daar valt niets tegen te doen. Het zou zo fijn zijn als ik als patiënt het recht krijg om te zeggen: ik wil niet dat mijn gegevens op enigerlei wijze in verbinding staan met andere systemen. Ik wil dat die op een stand-alone computer worden bewaard.

Minister Schippers:

Zeker ook met de laatste wet die wij hier hebben behandeld, de Wet kwaliteit, klachten en geschillen zorg, stellen wij juist aan de zorgverlener allerlei eisen als het gaat om zaken die hij in jouw persoonlijke dossier moet opschrijven. Dan kun je je er later op beroepen dat die zaken zijn gebeurd en dat die goed zijn opgeschreven. De inspectie stelt verder eisen aan hoe het dossier eruitziet en of daar voldoende instaat. Die eisen gelden voor iedereen. Met deze wet willen wij, zeker in vergelijking met nu, een betere beveiliging van de uitwisselingssystemen. Enige tijd geleden is al gebleken dat de hackers in de systemen komen. Wij willen de systemen dus beter beveiligen ten opzichte van nu.

Mevrouw Gerkens (SP):

De beste beveiliging is en zal blijven dat men van buitenaf niet bij die systemen kan. Dat kan door middel van een stand-alone computer. Met die computer kan precies worden voldaan aan de eisen die de minister heeft gesteld aan de zorgverleners. Ik loop dan niet het risico dat mijn gegevens bij een hack toch uitlekken. Het enige wat ik de minister nu vraag is: krijg ik als patiënt het recht om te zeggen dat ik niet wil dat mijn gegevens in systemen terechtkomen die met de buitenwereld in contact kunnen komen?

Minister Schippers:

Dat is een stap terug naar een soort papieren dossier met een soort schijnveiligheid, in die zin dat je gegevens veilig zijn opgeborgen in een kast met een sleutel. Totale veiligheid is niet te leveren, ook niet op een stand-alone systeem.

Mevrouw Gerkens (SP):

De gegevens zijn op papier net zo veilig als in een computer. Zolang dat allemaal in de kamer van de huisarts zit, is het goed, tenzij daar iemand inbreekt. Zo zit de werkelijkheid in elkaar. Wat er nu gebeurt, is dat men verplicht wordt die gegevens te digitaliseren. Ik kan mij daar nog iets bij voorstellen, in die zin dat dit handig is. Ik wil echter dat mijn gegevens in ieder geval bij de arts blijven en never nooit naar buiten gaan. Ik wil dat mijn gegevens op die manier zijn beveiligd en niet in contact kunnen komen met andere systemen, want dan is de kans op lekken per definitie aanwezig.

Minister Schippers:

Wat je als patiënt kunt aangeven en wat wij regelen, is dat je niet meedoet aan een uitwisseling. Dat kun je regelen.

Mevrouw Gerkens (SP):

Dan zijn de gegevens nog niet veilig.

Minister Schippers:

100% veiligheid van gegevens kan ik niet garanderen. Dat kan ik ook niet beloven.

Ik begrijp uit de inbreng van de heer Ganzevoort dat ik hem niet helemaal heb kunnen overtuigen. Dat is jammer. Ik vind dat de huidige situatie versterkt moet worden. Dit wetsvoorstel biedt de versterking die wij op dit moment kunnen geven. In de AMvB's stoppen wij flexibiliteit, waardoor wij, als er als gevolg van de stand van de wetenschap sprake is van technologie die beter beveiligt dan de huidige, een en ander vrij snel kunnen opplussen. We kunnen daar heel concreet in zijn. Nu zien wij dat de algemene bepalingen in de praktijk eigenlijk niet werken. Ik denk dat dit wetsvoorstel de facto een enorme vooruitgang is in een wereld die heel snel digitaliseert, in een wereld die te snel digitaliseert, zodanig snel dat je als overheid ook snel veel sterkere randvoorwaarden moet kunnen stellen aan de elektronische gegevensuitwisseling. De WGBO en de Wbp zijn goede wetten, maar ze zijn niet toegesneden op de elektronische gegevensuitwisseling. Deze wet trekt dat been bij.

De heer Van Hattem (PVV):

Het is goed om te horen dat de minister onze zorgen deelt als het gaat om de ontwikkelingen, maar de vraag is in hoeverre datgene wat de minister voorstelt toegesneden is op dat alles. De minister geeft enerzijds aan dat er sprake is van een wet die sec toeziet op de gegevensuitwisseling. Anderzijds geeft zij aan dat er met behulp van AMvB's allerlei risico's kunnen worden ingeperkt, zowel als het gaat om het gegevensuitwisselingssysteem als om de tools waaraan ik zojuist refereerde. Hoe verstrekkend kunnen die AMvB's eigenlijk worden ingezet? Ik ben het zicht daarop een beetje kwijt. Ik hoor verschillende invalshoeken, maar ik wil daar meer duidelijkheid over.

Minister Schippers:

Je kunt met de AMvB's concrete eisen stellen aan het veld. Je zegt niet: uw beveiliging moet op orde zijn. Je zegt: u moet gewoon aan die en die norm voldoen. Dat is enorm belangrijk. Met de veel vagere omschrijving waarmee heel lang is gewerkt, kon je het veld onvoldoende richting bieden. Daardoor was de uitkomst ook onvoldoende.

Ik zie overigens niet alleen zorgen, ik zie ook heel veel kansen in de digitalisering. Ik zet het niet op. Ik ben niet degene die het aanjaagt. Het gebeurt. Het komt vanzelf binnen. Patiënten vragen er om en patiënten gaan het doen. Patiënten gaan absoluut allerlei dingen zelf meten. Zij gaan in overleg met hun arts, die daar steeds meer op voorbereid zal zijn en steeds meer de voordelen incorporeert in zijn reguliere behandeling. Je moet een mix vinden van dingen die je zelf meet en dingen die je met elkaar via eHealth-achtige toepassingen kunt doen. Ik zie daar enorme voordelen voor de patiënt en voor de patiëntveiligheid ten aanzien van medicatiefouten en andere fouten. Ik zie wel dat wij de randvoorwaarden moeten opplussen om het allemaal netjes te laten gebeuren. Daarvoor maken wij deze wet.

De heer Van Hattem (PVV):

Dat is een heel mooi antwoord van de minister, maar dat is niet waar ik naar gevraagd heb. Ik vroeg namelijk wat de kaders zijn waarbinnen AMvB's op dit gebied kunnen worden ingezet. Kunnen wij eindeloos voor alle mogelijke toepassingen AMvB's inzetten of zit daar ook een bepaalde begrenzing aan? Nu zie ik een tweeledig beeld ontstaan. Aan de ene kant is er de uitwisseling tussen de zorgaanbieders, maar aan de andere kant hoor ik dat wij de AMvB's ook kunnen inzetten voor alle mogelijke andere toepassingen op zorggebied. Ik vraag mij af in hoeverre er beleidsruimte voor de minister is om AMvB's in te zetten.

Minister Schippers:

Het gaat over normen en eisen die je stelt aan privacy en beveiliging. Die kun je aangeven in een AMvB. Dat kan ik niet zomaar even uit de losse pols doen, want het zijn AMvB's die ik ook moet voorhangen. In oktober krijgt u de eerste AMvB. U weet al precies wat erin zal staan, want ik heb u dat vandaag al een paar keer verteld. U kunt zelf in die voorhang beoordelen of de eisen die wij aan het veld gaan stellen, gesteld moeten worden en of u de invoeringstermijn van die AMvB redelijk vindt. Het is niet zo dat ik te pas en te onpas met een kanon van AMvB's op het veld ga schieten. Dat is helemaal niet mijn intentie. Mijn intentie is om met een AMvB dingen sneller te kunnen aanpassen aan de ontwikkelingen die wij zien in de technologie. Als ik dat in de wet zou doen, zou ik daar steeds een wetswijziging voor moeten doen.

Mevrouw Teunissen zegt dat in de motie-Tan staat dat wij het LSP niet een centrale rol moeten laten vervullen. De motie-Tan ging er echter ook niet vanuit dat het LSP niet mag. Daarin staat: laat het veld het nu doen, het veld doet het tot nu toe zelf ook, dus laat dat aan het veld over. Dat doe ik ook. Je ziet ook dat het LSP niet het enige systeem is. Er zijn veel meer systemen en die systemen zijn groter of kleiner. Er waren al meerdere systemen. Er zijn ongelooflijk veel regionale uitwisselingssystemen. Ik vind dat ook die regionale systemen moeten voldoen aan een beveiligingsniveau en privacyniveau dat wij als politiek, als overheid vaststellen.

Waarom wacht ik niet tot er meer helderheid is? Ik heb dat meerdere malen betoogd. Als ik ga wachten tot wij het helemaal hebben afgerond, krijg ik niet het resultaat dat ik beoog en dat ik met dit wetsvoorstel denk te krijgen. Het is van groot belang dat de overheid hierin de regie pakt. Wij moeten helder stellen waar wij heen gaan, wat de agenda is, waarin mensen moeten investeren, waarmee zij rekening moeten houden en aan welke normen zij moeten voldoen. Dat is precies wat voorligt.

De heer Ganzevoort (GroenLinks):

Ik heb bij herhaling gevraagd, maar helaas nog steeds geen antwoord gekregen, of er niet de facto wordt toegewerkt naar een veel hogere aansluitingsgraad. Is de minister van mening dat het voor mensen zoals ik, die geen complex medisch verhaal hebben, nodig is om aangesloten te zijn? Het gaat om de reikwijdte van de wet en om het stimuleren. Deze wet gaat niet over het LSP als zodanig, maar wordt hier niet de facto gestimuleerd dat wij bij allerlei centrale aansluitingssystemen aangesloten zijn? Ik heb op die vraag geen antwoord gekregen.

Minister Schippers:

Als u nooit naar een arts gaat, heeft die arts natuurlijk ook geen gegevens. Dan is het niet relevant. Als u wel eens naar een arts gaat en u vindt het belangrijk dat de gegevens van die arts bij bepaalde anderen terechtkomen, is het aan u om te beoordelen of u daaraan mee wilt doen. Dat is nu juist de vrijheid die deze wet biedt met de opt-in. Iemand die helemaal niets heeft, heeft nooit te maken met de medische sector, dus daar zal het niet relevant zijn. Iemand die wel eens wat heeft, maar over het algemeen gezond is, kan toch zeggen: als ik in Maastricht ben en er overkomt mij wat omdat ik allergisch ben voor iets, vind ik het prettig als men mijn gegevens heeft. Dat kan. Heel veel mensen hier in Den Haag wonen ergens anders en hebben vaak twee apotheken of hebben hier zorgverleners en thuis zorgverleners. Voor hen kan het een overweging zijn om wel toestemming te geven. Als zij dat niet willen, moeten zij dat niet doen. Moet je daarvoor bij een landelijk schakelpunt aangesloten zijn? Dat bepaal je zelf met de toestemming die je geeft. Ik heb net al een paar keer het systeem genoemd dat in de regio Amsterdam wordt ontwikkeld, maar ik ken heel veel regionale systemen waar volop gegevens worden uitgewisseld. Ik denk dat wij ook daar de normen strakker moeten stellen. Daarom vind ik die NEN-normen zo belangrijk.

De beraadslaging wordt gesloten.

De voorzitter:

Ik kom tot afhandeling van het wetsvoorstel. Wenst een van de leden stemming over het wetsvoorstel? Dat is het geval. Dan stel ik voor, volgende week dinsdag over het wetsvoorstel en de moties te stemmen.

Daartoe wordt besloten.