Wijziging van het Besluit elektronische gegevensuitwisseling in de zorg (aanwijzen van het versturen van een recept door huisarts aan terhandsteller als aangewezen gegevensuitwisseling en beschikbaar stellen voor een persoonlijke gezondheidsomgeving).

Bij Kabinetsmissive van 28 juni 2023, no.2023001521, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit tot wijziging van het Besluit elektronische gegevensuitwisseling in de zorg (aanwijzen van het versturen van een recept door huisarts aan terhandsteller als aangewezen gegevensuitwisseling en beschikbaar stellen voor een persoonlijke gezondheidsomgeving), met nota van toelichting.

Het ontwerpbesluit geeft uitvoering aan de Wet elektronische gegevensuitwisseling in de zorg (hierna: Wegiz). Daarin is een grondslag opgenomen om bij algemene maatregel van bestuur (amvb) gegevensuitwisselingen aan te wijzen waarvoor diverse wettelijke verplichtingen gelden. Het besluit wijst een gegevensuitwisseling aan, te weten het versturen van een recept door een huisarts aan de terhandsteller (de apotheek). Daarnaast regelt het besluit dat als een cliënt verzoekt om inzicht in een medicatieafspraak, deze informatie verplicht via een persoonlijke gezondheidsomgeving (hierna: PGO) aan de cliënt beschikbaar moet worden gesteld. (zie noot 1)

Uitgangspunt van beide gegevensuitwisselingen is een wettelijke verplichting om de gegevens elektronisch te verstrekken. Voor het van overheidswege waarborgen van een betrouwbare, veilige en gestandaardiseerde gegevensuitwisseling gaan twee nogal uiteenlopende regimes gelden. De waarborgen voor de gegevensuitwisseling tussen zorgaanbieders onderling lopen via een wettelijk geregeld certificeringsstelsel. De waarborgen voor de gegevensuitwisseling tussen zorgaanbieder en cliënt via een PGO kunnen vanwege de overheid alleen door subsidievoorwaarden worden gesteld. De Afdeling advisering van de Raad van State adviseert nader in te gaan op de gevolgen daarvan. In verband daarmee is aanpassing van de toelichting wenselijk.

1. Inhoud en achtergrond van het besluit

Het besluit wijst een gegevensuitwisseling in de zorg aan die elektronisch moet plaatsvinden. Het gaat om het versturen van een recept door een huisarts aan een apotheker. In de praktijk bestaat deze werkwijze al. (zie noot 2)  (zie noot 3) Daarnaast regelt het besluit dat, als de patiënt verzoekt om inzicht in een medicatieafspraak, deze informatie verplicht via een PGO aan de patiënt beschikbaar moet worden gesteld. (zie noot 4) Een PGO is een app of website waarmee een cliënt onder meer kopieën van gegevens over zijn gezondheid kan verzamelen, beheren of delen. (zie noot 5)

Voorwaarde daarvoor is dat het te gebruiken informatietechnologieproduct of de -dienst voldoet aan de gegevensdienst ‘Verzamelen Huisartsgegevens, versie 2.0’ (zie noot 6), die valt onder het Medmij-afsprakenstelsel. Daarin staan juridische en technische richtlijnen en informatiestandaarden die een veilige en betrouwbare gegevensuitwisseling waarborgen. (zie noot 7) In de praktijk betekent dit dat de huisartsen wettelijk verplicht worden tot een PGO-aansluiting. (zie noot 8)

Deze wettelijke verplichting vloeit voort uit een amendement bij de Wegiz. (zie noot 9) Blijkens de toelichting op het amendement is sprake van een veilige en betrouwbare gegevensdeling als (vooralsnog) wordt voldaan aan het nationale MedMij-afsprakenstelsel.

2. Uiteenlopende publiekrechtelijke waarborgen voor een veilige en betrouwbare gegevensuitwisseling

De Afdeling ziet dat dit besluit past binnen de keuze van de wetgever om gegevensuitwisselingen in de zorg in toenemende mate verplicht elektronisch te laten verlopen en om, verplicht, cliënten in staat te stellen zelf hun gezondheidsgegevens te verzamelen, te beheren en te delen. Daarbij is steeds oog geweest voor het belang van het waarborgen van een veilige en betrouwbare gegevensuitwisseling. De Afdeling merkt tegen deze achtergrond het volgende op.

Voor beide wettelijke verplichtingen zijn twee verschillende regimes ontstaan waar het gaat om de waarborgen voor een betrouwbare, veilige en gestandaardiseerde gegevensuitwisseling. Voor een aangewezen gegevensuitwisseling tussen zorgaanbieders onderling moeten gecertificeerde informatietechnologieproducten of -diensten worden gebruikt. (zie noot 10) In de Wegiz is daartoe een certificeringsstelsel opgenomen. De Minister van Volksgezondheid, Welzijn en Sport (VWS) wijst als stelselverantwoordelijke geaccrediteerde en certificerende instellingen aan die verplichte (product)certificaten kunnen afgeven aan (leveranciers van) informatietechnologieproducten of -diensten in de zorg. De minister bepaalt aan welke eisen die instellingen moeten voldoen om aangewezen te kunnen worden en kan de aanwijzing ook weer intrekken of schorsen. Een product of dienst ontvangt een certificaat als het voldoet aan de in de norm gestelde eisen voor taal en techniek waarnaar in deze amvb wordt verwezen. (zie noot 11)

Voor de gegevensuitwisseling die erop ziet de medicatieafspraak tussen zorgaanbieder en cliënt via een PGO uit te wisselen, geldt dit certificerings-regime niet. Volgens de toelichting bij artikel 15ea van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: Wabvpz) voldoet het MedMij-label als geschikt afsprakenstelsel voor deze gegevensuitwisseling. (zie noot 12) Dit uitgangspunt is overgenomen in de toelichting op het ontwerpbesluit. (zie noot 13)

De Stichting MedMij (hierna: de Stichting) beheert en ontwikkelt de nodige randvoorwaarden waaronder gegevens kunnen worden uitgewisseld met de PGO’s en gaat na of het informatietechnologieproduct of de -dienst voldoet aan het ‘MedMij-afsprakenstelsel’. Bij een positieve score wordt het MedMij-label verstrekt, wat de zorgaanbieder verzekert van een veilige en betrouwbare gegevensuitwisseling. Het ministerie van VWS verstrekt een instellingssubsidie aan de Stichting. (zie noot 14) De minister kan alleen via de subsidievoorwaarden eisen stellen aan de Stichting MedMij. Wordt aan de voorwaarden niet voldaan dan kan de minister de subsidie geheel of gedeeltelijk terugvorderen, maar daarmee is niet verzekerd dat alsnog aan de voorwaarden wordt voldaan.

Uit de nota van toelichting blijkt niet of het de wetgever duidelijk voor ogen staat wat de gevolgen zijn van het ontstaan van deze twee verschillende regimes. Niet valt in te zien waarom voor de ene wettelijk verplichte elektronische gegevensuitwisseling een publiekrechtelijk certificeringsregime geldt en voor de andere wettelijk verplichte elektronische gegevensuitwisseling een privaatrechtelijk regime volstaat. Ook is niet duidelijk hoe ervoor wordt zorg gedragen dat de voorwaarden voor een betrouwbare, veilige en gestandaardiseerde gegevensuitwisseling op elkaar aansluiten. Dat verdient aandacht, nu de Wegiz uiteindelijk beoogt dat de gegevensstroom tussen zorgaanbieders onderling en die tussen zorgaanbieder en cliënt dezelfde zal worden.

De Afdeling adviseert in de toelichting nader in te gaan op de gevolgen van het ontstaan van deze twee verschillende regimes en de wijze waarop harmonisatie en afstemming in de implementatie wordt verzekerd.

De Afdeling advisering van de Raad van State heeft een opmerking bij het ontwerpbesluit en adviseert daarmee rekening te houden voordat een besluit wordt genomen.

De waarnemend vice-president van de Raad van State

Nader rapport (reactie op het advies)van 20 oktober 2023

2. Uiteenlopende publiekrechtelijke waarborgen voor een veilige en betrouwbare gegevensuitwisseling

De Afdeling ziet dat dit besluit past binnen de systematiek van de Wegiz om gegevensuitwisselingen in de zorg aan te wijzen die elektronisch moet worden uitgewisseld, maar ook dat via de Wegiz een zorgaanbieder kan worden verplicht om gegevens aan een cliënt beschikbaar te stellen via een PGO. Volgens de Afdeling zijn er twee afzonderlijke regimes ontstaan voor deze twee wettelijke verplichtingen, waarbij het onvoldoende duidelijk is wat daarvan de gevolgen zijn binnen de systematiek van de Wegiz. Om die reden adviseert de Afdeling om in de toelichting nader in te gaan op de gevolgen van de twee regimes en in welke mate daartussen harmonisatie en afstemming in de implementatie wordt verzekerd.

In antwoord op de opmerking van de Afdeling merk ik het volgende op.

Alvorens in te gaan op het onderhavige besluit geef ik eerst in algemene zin de harmonisatie en afstemming in de implementatie weer. Het uitgangspunt van de Wegiz is een genormaliseerde uitwisseling (de zogenaamde spoor-2 aanwijzing). In de opdrachtverlening aan het Nederlands Normalisatie instituut (hierna: NEN) wordt een richtinggevend kader meegegeven. In dit richtinggevende kader wordt onder andere opgenomen dat de norm zoveel mogelijk rekening dient te houden met bestaande afsprakenstelsels, zoals het afsprakenstelsel van MedMij. Verder is er een directe verbinding tussen het recht dat artikel 15ea Wabvpz de cliënt geeft (recht van cliënt om gegevens via PGO te ontvangen) en de Wegiz, omdat binnen een aangewezen gegevensuitwisseling alleen relevante gegevens van een client gedeeld hoeven te worden op grond van de Wegiz. In artikel 1.4, zesde lid, Wegiz is gekozen voor een kan-bepaling, zodat per aangewezen gegevensuitwisseling steeds kan worden bekeken of, en zo ja, op welke wijze uitgewisseld kan worden met een PGO, zodat afstemming in de implementatie wordt verzekerd.

In paragraaf 3.7 van de memorie van toelichting bij de Wegiz is beschreven waarom er in de Wegiz is gekozen voor een stelsel van certificering door geaccrediteerde certificerende instellingen die worden aangewezen door de minister. Daarin wordt onder andere aangegeven dat er verschillende manieren zijn om te borgen dat informatietechnologieproducten en -diensten en zorgaanbieders voldoen aan normen. Dit varieert van zeer lichte middelen, zoals zelfbeoordeling door aanbieders, tot zwaardere middelen, zoals certificering door een geaccrediteerde certificerende instelling. Voor de uitwisseling tussen zorgaanbieders is (in beginsel) gekozen voor certificering door geaccrediteerde en aangewezen instellingen. Deze accreditatie vindt plaats op basis van de EN-ISO/IEC 17065. Dit zorgt namelijk voor een kwalitatief goede en transparante toetsing, zodat gebruikers en aanbieders van informatietechnologieproducten of -diensten zekerheid wordt geboden over de mate waarin aan (delen van) de norm voldaan wordt. Om de minister de mogelijkheid te geven stelseltoezicht te houden, wordt voorgesteld dat naast het vereiste van accreditatie, certificerende instellingen aangewezen moeten worden door de Minister (artikel 3.2, eerste en tweede lid). De Minister kan namelijk deze aanwijzing intrekken of schorsen wanneer een certificerende instelling onvoldoende opereert. Daarmee heeft de Minister altijd het laatste woord en kan invulling worden gegeven aan zijn stelselverantwoordelijkheid. Het regime voor PGO's, zoals de Afdeling opmerkt, verschilt weliswaar van het regime  voor uitwisseling tussen zorgaanbieders, maar in de praktijk komt het in grote mate overeen. De Minister heeft ook bij de PGO zeggenschap, maar in plaats van het aanwijzen van certificerende instellingen kan hij door middel van de subsidierelatie sturen op het resultaat. Bij de PGO is alleen Stichting MedMij de beoordelaar of wordt voldaan aan de eisen van het MedMij-afsprakenstelsel, terwijl bij de uitwisseling tussen zorgaanbieders meerdere certificerende instellingen op de markt kunnen opereren. Maar in beide gevallen heeft de Minister het laatste woord met betrekking tot de vraag of partijen onder de Wegiz kunnen opereren. In geval van certificerende instellingen kan de Minister de aanwijzing intrekken en in geval van MedMij de subsidie intrekken of niet langer verlenen.

Daarbij komt dat ook met betrekking tot de uitwisseling tussen zorgaanbieders er niet sprake is van één regime, er kan immers ook uitwisseling in spoor 1 plaatsvinden, zoals in het ontwerpbesluit het geval is. Er is dan geen sprake van gecertificeerde informatietechnologieproducten en -diensten die gebruikt moeten worden voor de uitwisseling van de gegevens in de aangewezen gegevensuitwisseling.

Ten slotte wil ik graag nog opmerken dat welk regime ook geldt, zowel in spoor 1 als spoor 2 en voor ontsluiting naar een PGO, in alle gevallen de gegevens op grond van de Wabvpz veilig en zorgvuldig moeten worden uitgewisseld: NEN 7510 (voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg), NEN 7512 (met nadere invulling van NEN 7510 betreffende de veiligheid van gegevensuitwisseling tussen partijen in de zorg), en NEN 7513 (voor stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot het patiëntdossier, die controle van de rechtmatigheid ervan mogelijk maakt), zijn van toepassing.

In de toelichting wordt in paragrafen 3.2, 3.3 en 4.1 nader ingegaan op de verschillen tussen spoor 1 en spoor-2 aanwijzingen en hoe deze zich verhouden met de PGO-verplichtingen in het besluit. Daarin wordt ook besproken hoe de zeggenschap van het MedMij-afsprakenstelsel is geregeld en op welke wijze via de NEN-normen wordt voldaan aan de gewenste zorgvuldigheidsnormen.

Voorts zijn de overleggen tussen Nictiz en de Stichting Medmij aangescherpt om te borgen dat de voorwaarden waaraan PGO’s moeten voldoen een hoog niveau van betrouwbaarheid en veiligheid blijven houden. Deze eisen en voorwaarden worden in het MedMij-afsprakenstelsel opgenomen. Zo zal Stichting MedMij de uitwisseling en doorontwikkeling van randvoorwaarden beheren, waaronder ook begrepen wordt het kwalificeren (afgeven van een MedMij-label) van leveranciers van PGO’s en informatietechnologieproducten en -diensten van zorgaanbieders voor het correct inbouwen van de benodigde informatiestandaarden en gegevensdiensten. Deze dienstverlening borgt hierdoor de optimale vertrouwelijkheid, veiligheid en betrouwbaarheid van de gegevensuitwisseling en stimuleert het gebruik van het MedMij-afsprakenstelsel door (potentiële) deelnemers en eindgebruikers.

Voor het toezicht en handhaving op de PGO-verplichting werd in de nota van toelichting zoals deze is voorgelegd aan de Afdeling verwezen naar de zorgaanbiederslijst (de zogenaamde ZAL-lijst). Dit is een reeds bestaande lijst waarop alle zorginstellingen en -aanbieders staan die bij MedMij aangesloten zijn, gespecificeerd naar gegevensdiensten. Voor een doelgerichte handhaving op de PGO-verplichting door de inspectie is ervoor gekozen om niet langer de ZAL-lijst als toezichtsbron te hanteren, maar een nog te ontwikkelen register. Dit register zal voor  de inwerkingtreding van het PGO-deel van dit besluit (artikel 3.1.2) openbaar zijn via https//register.medmij.nl. In dit register worden de zorgaanbieders opgenomen die zijn aangesloten op het MedMij-netwerk en de gegevensdiensten die ze aanbieden. Er is gekozen voor dit register, omdat deze in de praktijk overzichtelijker, en daarmee bruikbaarder, zal zijn voor de inspectie dan de eerder genoemde ZAL-lijst. De verwijzing naar de ZAL-lijst is om die reden uit de toelichting verwijderd.

Bovendien is de toelichting nader aangevuld wat betreft de PGO. Daarbij wordt ingegaan op de verschillende wijzen van implementatie en wat daarvan de gevolgen zijn voor het verplichtingsregime van de Wegiz. Er zal eind 2023 een onderzoek worden opgestart om te bekijken of, en zo ja op welke wijze, er meer publieke sturing nodig is op het MedMij-afsprakenstelsel en het beheer ervan. De huidige governance van MedMij (en daaropvolgend mogelijk de financiering) zal worden aangepast indien dit nodig blijkt.

In reactie op de opmerking van de Afdeling merk ik concluderend het volgende op. Zowel het stelsel van normering via een aangewezen gegevensuitwisseling (in geval van spoor 2) alsook de verplichte ontsluiting met een PGO als de client daarom vraagt, berust (in de kern) op een privaatrechtelijk regime, waarbij de minister zeggenschap blijft houden.

Binnen het certificeringsstelsel, waarvan bij een spoor 2-aanwijzing gebruik wordt gemaakt, zal de beoordeling en uitgifte van een certificaat door een private partij gebeuren, namelijk de certificerende instelling. Dat deze instelling door de minister wordt aangewezen doet niets af aan het feit dat hij op afstand staat van de daadwerkelijke uitgifte van certificaten. Eenzelfde kan worden gezegd over de systematiek rondom de PGO’s. PGO’s moeten voldoen aan het MedMij-afsprakenstelsel. Een aanvraag voor een MedMij-label wordt eveneens door MedMij afgehandeld. De Minister kan hier echter door middel van de subsidierelatie sturen op het resultaat.

In reactie op de opmerking van de Afdeling merk ik concluderend het volgende op. Zowel het stelsel van normering via een aangewezen gegevensuitwisseling (in geval van spoor 2) alsook de verplichte ontsluiting met een PGO als de client daarom vraagt, berust (in de kern) op een privaatrechtelijk regime, waarbij de minister zeggenschap blijft houden.

Binnen het certificeringsstelsel, waarvan bij een spoor 2-aanwijzing gebruik wordt gemaakt, zal de beoordeling en uitgifte van een certificaat door een private partij gebeuren, namelijk de certificerende instelling. Dat deze instelling door de minister wordt aangewezen doet niets af aan het feit dat hij op afstand staat van de daadwerkelijke uitgifte van certificaten. Eenzelfde kan worden gezegd over de systematiek rondom de PGO’s. PGO’s moeten voldoen aan het MedMij-afsprakenstelsel. Een aanvraag voor een MedMij-label wordt eveneens door MedMij afgehandeld. De minister kan hier echter door middel van de subsidierelatie sturen op het resultaat.

Overeenkomstig bovenstaande alinea’s zijn in de toelichting verschillende onderdelen aangepast.

Zo zijn paragrafen 3.2, 3.3 en 4.1 nader aangevuld met informatie over de verhouding tussen de spoor 1 en spoor 2-aanwijzingen en de PGO’s. Ook wordt in die paragrafen verder ingegaan op de zeggenschap die de Minister heeft over de verschillende regimes en hoe door middel van NEN-normen of standaarden de zorgvuldigheid van PGO’s kan worden geborgd.

In paragrafen 3.1.3, 3.3.3 en 3.3.4 is de informatie over de verhouding en dienstverlening van Stichting MedMij en Nictiz tegenover de minister aangevuld. Zo is daar nu in opgenomen hoe het versiebeheer van nieuwe standaarden wordt bijgehouden, maar ook hoe het beheer van die standaarden vorm krijgt door middel van afspraken.

Tot slot is van de gelegenheid gebruik gemaakt om nog enkele wijzigingen door te voeren in het ontwerpbesluit en de daar bij horende toelichting.

1. In het besluit is in artikel 3.1.2 de verwijzing naar de nationale bibliotheek aangepast. Zoals werd aangegeven in de nota van toelichting kon de nationale bibliotheek worden gezien als een compleet en centraal overzicht van alle informatie over relevante ICT-standaarden in de zorg. In de nationale bibliotheek staan onder andere antwoorden op vragen over welke informatiestandaarden er per sector beschikbaar zijn, welke standaarden de voorkeur genieten en welke standaarden in het kader van de wet verplicht zijn gesteld. Om meer rechtszekerheid te bieden over welke eisen specifiek voor de gegeven "medicatieafspraak’ gelden is besloten rechtstreeks te verwijzen naar de relevante websites in plaats via de ‘omweg’ van de nationale bibliotheek. Inhoudelijk zijn de eisen echter niet gewijzigd. Ook blijft de nationale bibliotheek zijn functie houden als centrale plek waar alle relevante informatiestandaarden te vinden zijn, maar dan als serviceverlening richting betrokken partijen. Daarom is het besluit op dat punt gewijzigd. Daaropvolgend is ook het artikelsgewijze onderdeel in de toelichting aangepast.

2. In de toelichting is nu uitgebreider ingegaan op de effecten voor de gegevensbescherming van de cliënt en hoe deze bescherming past binnen het bestaande wettelijke kader. Daarbij zijn nu ook de verwerkingsgrondslagen voor persoonsgegevens, zoals gezondheidsgegevens, opgenomen en beschreven. Dit geldt zowel voor het deel dat ingaat op de VRHT (hoofdstuk 2) alsook het PGO-deel in de toelichting (hoofdstuk 4).

3. Ten slotte zijn er in de toelichting nog enkele taaltechnische verbeteringen en actualisaties aangebracht. Deze hebben de inhoud van het besluit en bijbehorende nota van toelichting niet veranderd.

Ik bied U hierbij het gewijzigde ontwerpbesluit en de gewijzigde nota van toelichting aan en verzoek U overeenkomstig dit ontwerp te besluiten.

De Minister van Volksgezondheid, Welzijn en sport

Voetnoten

(1) Voorgesteld artikel 3.1.2, derde lid.
(2) De KNMG-richtlijn Elektronisch voorschrijven verplicht huisartspraktijken om recepten digitaal voor te schrijven.
(3) Nota van toelichting, paragraaf 2.1.5.
(4) Artikel 3.1.2, derde lid, Nota van toelichting, paragraaf 1.
(5) Nota van toelichting, paragraaf 3.2.
(6) Voorgesteld artikel 3.1.2, eerste lid.
(7) Nota van toelichting, paragraaf 3.2.
(8) Nota van toelichting, paragraaf 4.3.2.
(9) Kamerstukken II 2022/23, 35824, nr. 46.
(10) Artikel 1.4, derde lid, onder b, en vierde lid, Wegiz. Zie ook Kamerstukken II 2020/21, 35824, nr. 3, paragrafen 2.2.3, 3.3, 3.7 en 3.8.
(11) Zie ook Kamerstukken II 2020/21, 35824, nr. 3, paragrafen 3.3, 3.7 en 3.8.
(12) Kamerstukken II 2022/23, 35824, nr. 46.
(13) Nota van toelichting, artikelsgewijze toelichting op artikel 3.2.1, vierde lid.
(14) Nota van toelichting, paragraaf 3.3.1.