MvT - versie internetconsultatie en toetsing

Inhoudsopgave

  1. Kerngegevens
  2. Tekst
  3. Meer informatie
  4. Parlementaire Monitor

1.

Kerngegevens

Document­datum 20-06-2024
Publicatie­datum 21-06-2024
Externe link originele PDF
Originele document in PDF

2.

Tekst

MEMORIE VAN TOELICHTING

Inhoud

ALGEMEEN DEEL................................................................................................................. 3

1.1    Aanleiding wetsvoorstel...............................................................................................3

1.2    Digitale grensoverschrijdende zorgdiensten...................................................................4

1.3    Doel wetsvoorstel.......................................................................................................5

2.1    Verhouding met de European Health Data Space    verordening..........................................5

3.1    Probleemomschrijving.................................................................................................6

3.2. Oplossingsrichting.....................................................................................................7

3.3    Instrumentkeuze.......................................................................................................10

3.4    Reikwijdte wetsvoorstel..............................................................................................12

4.1    Bescherming persoonlijke levenssfeer en gegevensbescherming......................................13

4.2    EVRM.......................................................................................................................13

4.3    Grondwet (Gw).........................................................................................................15

4.4    Concept EHDS-verordening.........................................................................................16

5.1. Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)..............16

5.2    Wet op de geneeskundige behandelingsovereenkomst (WGBO) en Wet op de beroepen in de

individuele gezondheidszorg (Wet BIG)..............................................................................17

5.3    Wet aanvullende bepalingen Burgerservicenummer (Wabb)............................................17

5.4    Wet elektronische gegevensuitwisseling in de zorg (Wegiz).............................................17

6.1    Gevolgen voor zorgaanbieders en zorgverleners............................................................17

6.2    Gevolgen voor burgers...............................................................................................17

6.3    Gevolgen voor IT-leveranciers en -dienstverleners.........................................................18

6.4    Gevolgen voor de overheid.........................................................................................18

6.5    Gevolgen voor de gegevensbescherming (DPIA)............................................................18

6.6    Effecten op de arbeidsmarkt.......................................................................................19

6.7    Fraude.....................................................................................................................20

7.1    Financiële gevolgen voor zorgverleners en zorgaanbieders..............................................20

7.2    Besparing zorgkosten.................................................................................................20

7.3    Patiënten..................................................................................................................21

7.4    Effecten regeldruk.....................................................................................................21

10.1 Toets Autoriteit Persoonsgegevens (AP)......................................................................22

10.2 Toets Adviescollege toetsing regeldruk (ATR) ..............................................................22

ARTIKELGEWIJS DEEL.........................................................................................................23

ALGEMEEN DEEL

  • 1. 
    Inleiding

1.1 Aanleiding wetsvoorstel

Toenemende mobiliteit van burgers tussen landen in de Europese Unie (EU) maakt dat steeds meer mensen een beroep doen op zorg buiten hun eigen regio of land. Grensoverschrijdende zorg neemt daarmee een steeds belangrijkere plaats in binnen de EU. Als een burger die zich in een andere lidstaat (met lidstaat wordt bedoeld: landen binnen de Europese Economische Ruimte) bevindt en zorg nodig heeft, is het van belang dat de zorgverlener in die lidstaat kan beschikken over de relevante medische gegevens. Zowel uit het oogpunt van patiëntveiligheid en het welzijn van de patiënt als uit kostenoverwegingen, is het onwenselijk dat zorgverleners over de grens onbekend zijn met de gezondheidssituatie van een patiënt. Als er geen gegevens kunnen worden uitgewisseld, kan dit namelijk leiden tot een verkeerde inschatting van de urgentie waarmee iemand behandeld moet worden (triage), verkeerde diagnoses en niet passende of later ingezette behandelingen. Iedere lidstaat heeft een eigen zorginformatiesysteem met eigen unieke kenmerken en hanteert daarbij eigen informatiestandaarden, waardoor de zorginformatiesystemen van de lidstaten niet interoperabel zijn. Het gebrek aan interoperabiliteit tussen lidstaten vormt in de huidige situatie een obstakel voor het digitaal uitwisselen van medische gegevens tussen zorgverleners

De toenemende grensoverschrijdende zorgverlening wordt gefaciliteerd door bestaande Europese regelgeving die de coördinatie rondom de levering van grensoverschrijdende zorg regelt, te weten de Europese richtlijn betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (hierna: richtlijn 2011/24/EU).1 Deze richtlijn beoogt de vaststelling van voorschriften om de toegang tot veilige en hoogwaardige grensoverschrijdende geplande en ongeplande gezondheidszorg in de Unie te bevorderen en de mobiliteit van patiënten, overeenkomstig de door het Hof van Justitie vastgelegde beginselen, te waarborgen. Om de rechten van patiënten bij grensoverschrijdende zorg te faciliteren, voorziet richtlijn 2011/24/EU in artikel 14 in het bewerkstelligen van de interoperabiliteit van elektronische gezondheidszorgoplossingen (e-gezondheid of eHealth) zodat gezondheidsgegevens elektronisch grensoverschrijdend kunnen worden uitgewisseld. Daartoe voorziet de richtlijn 2011/24/EU in de oprichting van het Europese eHealth Netwerk waar alle lidstaten vrijwillig samenwerken om de digitale uitwisseling van gezondheidsgegevens te bevorderen door de grensoverschrijdende interoperabiliteit van zorginformatiesystemen te stimuleren en het daarmee technisch mogelijk te maken om gezondheidsgegevens uit te wisselen.

Om de interoperabiliteit tussen zorginformatiesystemen van lidstaten te vergroten en te zorgen dat zorgverleners over de grens over de benodigde medische gegevens kunnen beschikken, werkt het Europese eHealth Netwerk al sinds de oprichting in 2012 samen met de Europese Commissie (EC) aan een digitale infrastructuur, genaamd MyHealth@EU (voorheen: The eHealth Digital Service Infrastructure, eHDSI). MyHealth@EU is een federatief digitaal netwerk van zogenoemde nationale contactpunten voor eHealth2 (NCPeH). Lidstaten kunnen vrijwillig kiezen om het nationale zorginformatiestelsel aan te sluiten op MyHealth@EU middels een NCPeH. Op deze wijze worden de nationale zorginformatiestelsels zoveel mogelijk ongemoeid gelaten, maar biedt het de mogelijkheid om ondanks het gebrek aan technische en semantische interoperabiliteit tussen de nationale zorgstelsels medische gegevens grensoverschrijdend beschikbaar te maken voor de zorgverlener in een andere lidstaat die de patiënt onder behandeling heeft.

Een NCPeH is een door een lidstaat op te richten nationaal knooppunt dat als communicatiepoort fungeert tussen het nationale informatiestelsel en de NCPeH's van andere lidstaten. De inrichting van een NCPeH gebeurt conform de Europese richtlijnen die in het eHealth Netwerk zijn afgesproken en zien op wetgeving, techniek, organisatie en semantiek.3 Voordat een NCPeH wordt aangesloten op het MyHealth@EU netwerk wordt de naleving uitgebreid getoetst door de Europese

Commissie op naleving van de vereisten.4 De publieke taak voor een NCPeH en de grondslagen die nodig zijn voor het verwerken van gezondheidsgegevens moeten worden vastgelegd in nationale wetgeving.5 Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft medio 2018 besloten om voorbereidingen te treffen voor de aansluiting op MyHealth@EU.6 De implementatie van het Nederlandse NCPeH is eind 2018 van start gegaan en op 8 februari 2022 voltooid. Sindsdien is het Nederlandse NCPeH operationeel. Het Nederlandse NCPeH wordt namens de minister beheerd door het CIBG onder de naam Nationaal Contactpunt voor eHealth Nederland (hierna: NCPeH-NL).

1.2 Digitale grensoverschrijdende zorgdiensten

Via het MyHealth@EU netwerk kunnen digitale grensoverschrijdende zorgdiensten (Crossborder eHealth Information Services, CBeHIS) tussen zorgverleners uit toegelaten lidstaten worden uitgewisseld. Een digitale grensoverschrijdende zorgdienst is een vastgestelde set gegevens op basis van een Europees uitwisselformaat. Op dit moment zijn twee digitale grensoverschrijdende zorgdiensten beschikbaar in de EU: ePrescriptions7 8/eDispensation8 (elektronische recepten en de elektronische verstrekkingen) en Patient Summaries (patiëntsamenvattingen). De patiëntsamenvatting bevat gegevens over onder andere medische aandoeningen, medicatiegebruik en allergieën en zijn daarmee van waarde in het geval van bijvoorbeeld spoedzorg, medicatieverstrekking en doorverwijzing. De technische en semantische specificatie van de patiëntsamenvatting is op Europees niveau vastgesteld in de zogenoemde Patient Summary Guidelines (meest actuele versie, 3.3 van juni 2023). De grensoverschrijdende zorgdiensten kunnen in twee richtingen worden uitgewisseld:

  • A. 
    Het versturen van gegevens van Nederlandse patiënten naar een zorgverlener in een andere lidstaat (in deze situatie is Nederland het A-land);
  • B. 
    Het ophalen van gegevens van patiënten uit andere lidstaten op verzoek van een zorgverlener in Nederland (in deze situatie is Nederland het B-land).

In 2022 is het NCPeH-NL gestart met de eerste digitale grensoverschrijdende zorgdienst: patiëntsamenvatting B (PS-B). Het is momenteel dus alleen mogelijk om een patiëntsamenvatting van een patiënt uit een andere lidstaat op te vragen door een zorgverlener in Nederland die aangesloten is op het NCPeH-NL. Deze uitwisseling van patiëntgegevens vindt tijdelijk plaats op basis van de grondslag uitdrukkelijke toestemming, maar een wettelijke grondslag is gewenst.9

In 2023 is gestart met de voorbereidingen voor de implementatie van de grensoverschrijdende zorgdienst patiëntsamenvatting A (PS-A). Hiermee wordt het mogelijk gemaakt dat de patiëntsamenvatting van Nederlandse patiënten naar een zorgverlener in een andere lidstaat kan worden gestuurd indien de patiënt daar onder behandeling is. Het streven is dat per januari 2026 deze uitwisseling operationeel is. Ook voor de uitwisseling van persoonsgegevens in het kader van deze zorgdienst dient een wettelijke grondslag te worden gecreëerd.

Naar alle waarschijnlijkheid zal op termijn de reeks zorgdiensten die door zorgverleners kan worden opgevraagd via het NCPeH-NL nog verder worden uitgebreid. De zorgdienst ePrescriptions is door verschillende lidstaten al geïmplementeerd en behoort in de toekomst ook tot de mogelijkheden voor uitwisseling via het NCPeH-NL. De uitwisseling van persoonsgegevens in het kader van deze zorgdiensten vraagt eveneens om een wettelijke grondslag.

1.3 Doel wetsvoorstel

In het kader van de grensoverschrijdende zorgdiensten verwerkt het NCPeH-NL (bijzondere) persoonsgegevens. Zoals eerder benoemd moet worden voorzien in wettelijke grondslagen voor het uitvoeren van een publieke taak en het verwerken van de daarvoor noodzakelijke persoonsgegevens. Dit wetsvoorstel beoogt te voorzien in de wettelijke grondslagen voor het NCPeH-NL voor het uitvoeren van een publieke taak en het verwerken van (bijzondere) persoonsgegevens bij het uitwisselen van patiëntinformatie met andere NCPeH's. Met dit wetsvoorstel wordt dus een belangrijke stap gezet in het verbeteren van de kwaliteit van grensoverschrijdende (spoedeisende) zorg. Dit wetstraject brengt geen wijzigingen aan in de grondslagen voor verwerking van (bijzondere) persoonsgegevens en de doorbreking van het beroepsgeheim van Nederlandse zorgverleners. Daarnaast regelt dit wetsvoorstel geen verplichting voor zorgaanbieders om aan te sluiten op het NCPeH-NL, zorgaanbieders kunnen op vrijwillige basis aansluiten. De scope van de voorgestelde wetgeving beperkt zich tot de borging van de wettelijke taak en de grondslag voor een rechtmatige verwerking door het NCPeH-NL.

2. Implementatiewetgeving

Zoals hiervoor aangegeven steunt en bevordert de EU de samenwerking en de digitale uitwisseling van medische gegevens tussen de lidstaten in het Europese eHealth Netwerk. In dit netwerk worden door de lidstaten aangewezen nationale autoriteiten, die verantwoordelijk zijn voor e-gezondheid, met elkaar verbonden. Dit is bepaald in artikel 14, eerste lid, van richtlijn 2011/24/EU. Het eHealth Netwerk voorziet erin dat lidstaten door middel van NCPeH's op een veilige, efficiënte en interoperabele wijze gezondheidsgegevens met elkaar kunnen uitwisselen, zodat Europese burgers ook op goede gezondheidszorg kunnen rekenen als zij naar een andere lidstaat reizen.

Uitvoeringsbesluit (EU) 2019/1765 van 22 oktober 2019 van de Europese Commissie bevat voorschriften voor de oprichting, het beheer en de werking van het digitaal federatief netwerk MyHealth@EU. Deelname aan het vrijwillige MyHealth@EU vindt plaats op basis van een tussen de lidstaten gesloten overeenkomst. De Europese Commissie stelt subsidiegelden beschikbaar ten behoeve van het oprichten van een NCPeH en het uitbreiden van de dienstverlening door nieuwe zorgdiensten te implementeren.

Nederland heeft gebruik gemaakt van deze mogelijkheid en een subsidieovereenkomst gesloten voor het oprichten van een NCPeH en het implementeren van zorgdienst PS-B.10 Sinds 8 februari 2022 is het NCPeH-NL operationeel en daarmee is Nederland op MyHealth@EU aangesloten. De implementatie van zorgdienst PS-A, waarvoor eveneens een subsidieovereenkomst is gesloten11, wordt ten tijde van dit wetsvoorstel voorbereid.

Dit wetsvoorstel regelt de wettelijke taken en grondslagen voor verwerking van (bijzondere) persoonsgegevens voor de uit de richtlijn voortgekomen activiteiten, als het gaat om inrichting en het beheer van een NCPeH en de (vrijwillige) deelname aan het MyHealth@EU netwerk.

2.1 Verhouding met de European Health Data Space verordening

Op 3 mei 2022 heeft de Europese Commissie het voorstel gepubliceerd voor de verordening inzake een Europese ruimte voor gezondheidsgegevens (European Health Data Space, hierna: EHDS). Het doel van de EHDS is om op een veilige, transparante en verantwoorde wijze data beschikbaar te stellen voor de levering van zorg (primair gebruik) en wetenschappelijk onderzoek, innovatie en beleid (secundair gebruik). Hierbij staat centraal dat burgers meer rechten krijgen in het voeren van de regie op de eigen gezondheidsgegevens en daarin worden gefaciliteerd. Een belangrijk onderdeel van deze verordening is gericht op primair datagebruik. Onder dit voorstel zal het inrichten van een NCPeH en het aansluiten op het MyHealth@EU netwerk verplicht worden voor lidstaten. Uit het EHDS-voorstel volgt tevens een uitbreiding van de grensoverschrijdende digitale zorgdiensten. Op termijn zullen alle lidstaten de volgende zorgdiensten verplicht moeten implementeren:

  • 1. 
    Patiëntsamenvattingen
  • 2. 
    Elektronische recepten
  • 3. 
    Elektronische verstrekkingen
  • 4. 
    Medische beelden en gerelateerde verslagen daarover
  • 5. 
    Laboratoriumresultaten en gerelateerde verslagen daarover
  • 6. 
    Ziekenhuis-ontslagverslagen

Op 25 april 2024 is er politiek akkoord bereikt over het EHDS-voorstel. Naar verwachting zal eind 2024 de EHDS definitief worden gepubliceerd en in werking treden. Vier jaar na inwerkingtreding moet het NCPeH operationeel zijn en de zorgdiensten patiëntsamenvattingen, elektronische recepten en elektronische verstrekkingen kunnen uitwisselen. Zes jaar na inwerkingtreding moeten de overige zorgdiensten operationeel zijn. Met het dit wetsvoorstel wordt dus vooruitgelopen op de implementatie van enkele verplichtingen uit de EHDS.

3. Hoofdlijnen van het wetsvoorstel

3.1 Probleemomschrijving

In de huidige situatie is het in de meeste gevallen niet mogelijk om relevante medische gegevens van een patiënt digitaal uit te wisselen met een zorgverlener in andere lidstaat, waar die patiënt onder behandeling is. Informatie over medische aandoeningen, medicatiegebruik of contra-indicaties kunnen relevant en soms zelfs essentieel zijn voor de gestelde diagnose en de gekozen behandelinzet. Door het ontbreken van gegevens over de patiënt ontstaat dus een groter risico op fouten in de zorgverlening. Zorgverleners verliezen tijd met (extra) administratieve handelingen, bijvoorbeeld omdat ze moeten wachten totdat een zorgverlener in het land van herkomst de gegevens verstrekt. Dit is tijd die ten koste gaat van de zorgverlening aan de patiënt. Daarnaast kan het ertoe leiden dat zorgverleners overbodige, soms kostbare, onderzoeken (over) moeten doen. Hierdoor lopen zorgkosten onnodig op. Bovendien spreken zorgverlener en patiënt in het kader van grensoverschrijdende zorg vaak niet dezelfde taal. Het is daardoor voor de patiënt, indien bij bewustzijn, moeilijker om de medische voorgeschiedenis met de zorgverlener te bespreken. Dit geldt ook voor zorgverleners uit verschillende lidstaten die een andere taal spreken en gewend zijn aan andere semantische standaarden als het gaat om medische gegevens en hoe die worden genoteerd in het medisch dossier.

Nederlanders maken regelmatig gebruik van zorg over de grens, bijvoorbeeld tijdens een vakantie, het werken in het buitenland of als grensarbeider. Dit betreft een substantiële groep voor wie het van groot belang is om de grensoverschrijdende uitwisseling van gezondheidsgegevens goed te regelen. De meest recente gegevens dateren uit 2014, waarin 1% van de Nederlanders behoefte had aan geplande zorg over de grens en 2% aan ongeplande zorg.12 Daarnaast publiceert het Zorginstituut Nederland jaarlijks cijfers over de (gedeclareerde) zorgkosten bij grensoverschrijdende zorg op grond van de Zorgverzekeringswet (Zvw). In 2023 ging het om een bedrag van 500 miljoen Euro voor gemaakte kosten bij buitenlandse zorgverleners door personen die Zvw-verzekeringsplichtig waren in Nederland en 309 miljoen Euro voor verdragsgerechtigden, zoals gepensioneerden.

Het probleem laat zich verder illustreren met een aantal voorbeelden uit de praktijk:

  • Als iemand een verminderde nierfunctie heeft, is dat een contra-indicatie voor het voorschrijven van bepaalde medicijnen. Als onbekend is dat een patiënt deze contra-indicatie heeft, bijvoorbeeld door het ontbreken van de samenvatting van het medisch dossier op het moment van behandelen, dan kan dit ernstige gevolgen hebben. Stel dat iemand vocht afdrijvende medicijnen (diuretica) toegediend krijgt vanwege hartfalen of antibiotica bij een urineweginfectie, dan kan deze patiënt als gevolg daarvan een ernstige en levensbedreigende vermindering van de nierfunctie ontwikkelen.
  • Een vrouw uit Portugal komt tijdens haar vakantie in Nederland bij de huisartsenpost en heeft pijn op de borst. Zij beheerst de Nederlandse taal niet. Op grond van haar klachten zou er een probleem kunnen zijn met haar hart. In dat geval zou de vrouw zo snel mogelijk met de ambulance naar het ziekenhuis vervoerd moeten worden. Door de taalbarrière is communicatie met haar niet goed mogelijk en kunnen de zorgverleners geen aanvullende informatie inwinnen. Ook haar echtgenoot kan de situatie niet toelichten. De zorgverleners maken een elektrocardiogram (ECG) waarop geen indicaties voor hartproblemen zichtbaar zijn. Door via het NCPeH-NL een patiëntsamenvatting van het medisch dossier te raadplegen kan de zorgverlener aanvullende informatie inwinnen over de voorgeschiedenis van de patiënt. De vrouw is bekend met refluxklachten. Aan de hand van de klachten, het ECG en de geraadpleegde gegevens uit de patiëntsamenvatting kan worden uitgesloten dat er een probleem is met haar hart. De vrouw kan na overleg met de zorgverlener in de huisartsenpost terecht. Ze hoeft niet naar het ziekenhuis.

3.2. Oplossingsrichting

3.2.1    Werking MyHealth@EU

Het gebrek aan technische en semantische interoperabiliteit tussen zorginformatiestelsels van lidstaten is een probleem voor het werkelijk digitaal delen van medische gegevens. Daarom werken de lidstaten samen met de Europese Commissie aan het federatieve digitale netwerk MyHealth@EU. Aansluiting op het MyHealth@EU gebeurt door middel van een NCPeH. Een NCPeH is een nationaal knooppunt dat als communicatiepoort fungeert tussen de zorginformatiestelsels van lidstaten en daarmee de benodigde medische gegevens digitaal doorgeeft ten behoeve van uitwisseling tussen zorgverleners. Het berichtenverkeer tussen het NCPeH-NL en de andere Europese NCPeH's verloopt via het beveiligd netwerk TESTA, dat is opgezet en wordt beheerd door de EC. Waar deze infrastructuur aan moet voldoen is vastgelegd in 'MyHealth@EU, EHealth Digital Service Infrastructure, System Architecture Specifications, versie 7.0.0, 19-07-2023.' Door de introductie van de infrastructuur op Europees niveau kunnen de verschillen tussen nationale zorginformatiestelsels worden overbrugd en kunnen medische gegevens alsnog grensoverschrijdend worden uitgewisseld met de zorgverlener die de patiënt onder behandeling heeft. Hierdoor zijn er geen aanpassingen nodig aan de nationale zorginformatiestelsels, maar is het wel mogelijk medische gegevens grensoverschrijdend beschikbaar te maken voor de behandelaar van de patiënt.

3.2.2    Circle of trust

Voordat een NCPeH wordt aangesloten op het MyHealth@EU netwerk wordt getoetst door een onafhankelijke partij, aangewezen door de EC, of het NCPeH voldoet aan de op Europees niveau door de lidstaten gestelde eisen. Alle NCPeH's zijn gebonden aan dezelfde Europese overeenkomsten als het gaat om uitwisseling van gegevens op het terrein van semantiek, technische standaarden, gegevensbescherming en beveiliging. Dit creëert een circle of trust, een zogeheten vertrouwenscirkel, waarbij lidstaten ervoor verantwoordelijk zijn dat de nationale infrastructuren goed worden ingezet en dat de uitwisseling van medische gegevens tussen de lidstaten op een veilige manier plaatsvindt. Bij de eerste livegang en bij de implementatie van iedere nieuwe digitale grensoverschrijdende zorgdienst, wordt het NCPeH onderworpen aan nalevingscontroles. Voorafgaand aan de livegang dient het NCPeH een zelfbeoordelingstoets uit te voeren.13 Vervolgens wordt er een uitgebreide audit door de EC uitgevoerd. Deze audit zorgt ervoor dat alle NCPeH's aan de gestelde interoperabiliteits- en veiligheidseisen voldoen. Nadat een NCPeH is aangesloten, wordt de naleving van de vereisten structureel door de EC gemonitord om de integriteit van MyHealth@EU te waarborgen. Wanneer een NCPeH niet voldoet kan de EC overgaan tot (tijdelijke) opschorting van de dienstverlening van het NCPeH via MyHealth@EU.

Zorgaanbieders die willen aansluiten op het NCPeH in de betreffende lidstaat moeten eveneens voldoen aan Europees gestelde eisen. Daarnaast moeten zorgverleners die medische gegevens via het NCPeH willen opvragen van een patiënt die zij onder behandeling hebben, geautoriseerd zijn en daartoe een Europees erkend identificatie- en autorisatiemiddel gebruiken met een hoog betrouwbaarheidsniveau.

3.2.3 Scenario A. Opvragen zorgdienst door zorgaanbieder andere lidstaat Als een Nederlandse burger zich meldt bij een zorgaanbieder in een andere lidstaat (vanaf nu: Bland) die is aangesloten op MyHealth@EU, verloopt het proces als volgt. De behandelende zorgverlener in het B-land beoordeelt of het voor de behandeling nodig is om medische gegevens van de patiënt op te vragen. Wanneer tot opvragen besloten wordt, zal eerst de patiënt hierover geïnformeerd worden. Elk land heeft daartoe een patient information notice (PIN) opgesteld. Dit is een formulier, volgens een standaard format en in alle talen beschikbaar waarin wordt toegelicht hoe de gegevens en informatie van de patiënt worden verwerkt en welke regels daarvoor gelden in het betreffende B-land. De patiënt krijgt het PIN-formulier uitgereikt of wordt verwezen naar een website waar het formulier staat. Afhankelijk van de wetgeving in het land van behandeling is mogelijk instemming van de patiënt vereist voor opvraging van de gegevens. Als de behandelende zorgverlener wil nagaan of van deze Nederlandse patiënt een zorgdienst, bijvoorbeeld een patiëntsamenvatting, kan worden opgevraagd bij zorgaanbieders in Nederland, dan logt de zorgverlener in via het portaal van het eigen NCPeH met een inlogmiddel. De zorgverlener in het Bland controleert het identiteitsbewijs van de patiënt zodat de identiteit van de patiënt kan worden vastgesteld. De zorgverlener voert in het NCPeH portaal van het B-land in dat de patiënt uit Nederland komt en voert het voor Nederland unieke persoonsidentificerende nummer - het Burgerservicenummer (BSN) en de geboortedatum - in. De geboortedatum wordt uitgevraagd om te voorkomen dat door een fout bij het invullen van het BSN de persoonsgegevens van een ander dan de beoogde patiënt worden verstrekt.

Het NCPeH-NL ontvangt het BSN en de geboortedatum van de Nederlandse patiënt via het NCPeH van het B-land. Voordat medische gegevens opgevraagd en uitgewisseld mogen worden, moet de identiteit van de Nederlandse patiënt worden vastgesteld.14 Het NCPeH-NL verstrekt het BSN van de Nederlandse patiënt aan de Rijksdienst voor Identiteitsgegevens (RvIG) via de Beheervoorziening BSN. De RvIG levert aanvullende persoonsgegevens die horen bij het opgegeven BSN aan het NCPeH-NL. Het NCPeH-NL controleert of het BSN en de geboortedatum, die zijn aangeleverd door het NCPeH van het B-land, bij elkaar horen. Indien de controle uitwijst dat de gegevens niet kloppen stopt het proces en wordt dit via het NCPeH van het B-land teruggekoppeld aan de zorgverlener in het B-land. Indien de gegevens wel juist zijn, verstrekt het NCPeH-NL aanvullende identificerende gegevens van de patiënt via het NCPeH van het B-land aan de behandelend zorgverlener in het B-land. Alle verwerkingen vinden automatisch plaats en nemen enkele seconden in beslag. De zorgverlener controleert met behulp van de aanvullende gegevens de identiteit van de patiënt door deze te vergelijken met de persoonsgegevens op het identiteitsbewijs van de patiënt. De zorgverlener in het B-land geeft aan in het NCPeH van het Bland welke zorgdienst moet worden opgevraagd.

Het NCPeH-NL ontvangt de aanvraag voor de zorgdienst van het NCPeH van het B-land. Het NCPeH-NL controleert of de patiënt toestemming heeft gegeven voor verstrekking aan het NCPeH-NL ten behoeve van uitwisseling met zorgverleners in andere lidstaten. Als er geen toestemming is, wordt teruggekoppeld dat er geen zorgdienst beschikbaar is. Als er wél toestemming is geregistreerd door de Nederlandse patiënt, worden de bronsystemen bevraagd en wordt de zorgdienst samengesteld. Het NCPeH-NL voegt de ontvangen gegevens samen en converteert deze naar het formaat van de betreffende zorgdienst. Hierbij worden de gezondheidsgegevens vertaald naar Europese coderingen. Het NCPeH-NL verstrekt de zorgdienst aan het NCPeH van het B-land via het MyHealth@EU netwerk. Het NCPeH verwerkt daarmee (bijzondere) persoonsgegevens, maar de gegevens uit de zorgdiensten worden niet opgeslagen door het NCPeH-NL. De verwerking neemt enkele seconden in beslag en vervolgens worden de gegevens verwijderd. Het NCPeH van het B-land vertaalt de Europese coderingen naar de codes en taal van het betreffende land. Tevens kan de zorgverlener een Nederlandse versie van de patiëntsamenvatting opvragen die aan de patiënt kan worden uitgereikt zodat overleg met de zorgverlener in de andere lidstaat makkelijker kan plaatsvinden. In onderstaand figuur wordt dit weergegeven.

eHealth Digital Service Infrastructure - Systems and Data Flows

Country B {Country of Treatment

Country A (Country of Affiliation)

Actors

National Interface

Patient Summary

National Infrastructure

Patient Summary

ePrescription

Existing National

infrastructure

National

infrastructure

«Prescription

National Connaetot-S

NCPeH Gateway

NCPeH Gateway

Local Terminology

Repository

Local Terminology

Repository

(National Contact

Point for eHealth

Gateway)

Patient Summary and

eP rescript on are translated in the

Country B language

Patient Summary and

ePrescription are translated in

English and transcoded

e network)

TESTA-ng

Private Network (provided by EC)

Assures seturi encrypieo connection ire a at a tran&mt sun

(TÊSTA-ng pnv ïe network)

Central Terminology

Configuration Services

eHDSI Central

Configuration information

Services

(provided by EC)

semantics

Expen

gebruikmaking van een inlogmiddel om een patiënt te kunnen zoeken via het portaal van het NCPeH-NL. Dan geeft de zorgverlener aan uit welk land de patiënt komt, omdat per lidstaat de vereiste unieke persoonsidentificerende gegevens verschillen. De lidstaten bepalen zelf welke gegevens nodig zijn voor het opvragen van een zorgdienst. Vervolgens zal de zorgverlener deze persoonsgegevens verstrekken aan het NCPeH-NL. Bij een unieke match toont het NCPeH-NL de patiëntgegevens en de mogelijkheid om een zorgdienst op te vragen. Nadat de zorgverlener de keuze voor een zorgdienst heeft gemaakt, wordt de vraag door het NCPeH-NL naar het NCPeH van de andere lidstaat gestuurd. Daar worden vervolgens de bronsystemen bevraagd. Het NCPeH-NL ontvangt, indien beschikbaar, de betreffende zorgdienst uit de andere lidstaat waarbij twee versies kunnen worden opgevraagd: een gestructureerd XML document met Europese codes en/of een PDF met de zorgdienst in de taal van de betreffende lidstaat. Het NCPeH-NL vertaalt de Europese codes naar de Nederlandse codes en taal en zorgt dat de zorgdienst beschikbaar is voor de Nederlandse zorgverlener die de patiënt uit de andere lidstaat onder behandeling heeft.

Momenteel vindt de verwerking door het NCPeH-NL voor scenario PS-B plaats op basis van toestemming, dan wel uitdrukkelijke toestemming van de patiënt uit een andere lidstaat als bedoeld in artikel 6, eerste lid, respectievelijk artikel 9, tweede lid, onder a, van de Algemene verordening gegevensbescherming (AVG). Dit is echter een tijdelijke oplossing in afwachting van een wettelijke grondslag in het nationale recht, omdat (uitdrukkelijke) toestemming geen ideale grondslag wordt geacht; in zijn algemeenheid geldt dat tussen burger en overheid een afhankelijkheidsrelatie bestaat. Er wordt op dit moment gewerkt aan het technisch implementeren van zorgdienst PS-A. Een voorwaarde voor implementatie is dat de grondslagen zijn opgenomen in nationale wetgeving. Met dit wetsvoorstel worden de wettelijke grondslagen gecreëerd.

3.3 Instrumentkeuze

Goede gezondheidszorg is een publiek belang. Het treffen van maatregelen ter bevordering van de volksgezondheid is een verantwoordelijkheid van de overheid en is neergelegd in artikel 22 van de Grondwet (hierna: Gw). Zoals in hoofdstuk 1 geduid, is het voor de kwaliteit van grensoverschrijdende zorg van belang dat gezondheidsgegevens beschikbaar zijn. Vastgesteld kan worden dat de uitwisseling van de in de digitale zorgdiensten zoals de in de patiëntsamenvatting opgenomen medische gegevens noodzakelijk zijn om de binnen Europa gestelde doelen te bereiken. Zonder deze uitwisseling kunnen deze doelen niet, althans niet op een voor de privacy van de betrokkene minder ingrijpende wijze, worden bereikt. Deze verwerking dient primair het belang van de betrokkene, omdat deze gericht is op een optimale informatievoorziening met het oog op de uitvoering van een (urgente) medische behandeling.

Tegelijkertijd heeft de overheid een belangrijke rol om ervoor te zorgen dat er zorgvuldig met gezondheidsgegevens wordt omgegaan, met het oog op de vrije toegang voor de zorg voor iedereen en met het oog op de privacy. Er zijn meerdere internationale verdragen die het recht op de bescherming van persoonsgegevens regelen, zoals het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden15 (hierna: EVRM) en het Handvest van de grondrechten van de Europese Unie16 (hierna: EU-Handvest). Daarnaast worden persoonsgegevens beschermd als een onderdeel van de persoonlijke levenssfeer in de zin van artikel 10 Gw en als onderdeel van het privéleven. Het is bij uitstek de overheid die de samenhang tussen deze verschillende belangen moet bewaken.

In paragraaf 3.1 is uitgebreid toegelicht dat de verscheidenheid in de informatiesystemen van lidstaten een obstakel is voor het digitaal delen van gezondheidsgegevens. Daarom wordt er gezamenlijk gewerkt aan de infrastructuur MyHealth@EU, waarbij het NCPeH de toegangspoort is tot de informatiesystemen van andere lidstaten. Bij het uitbreiden van de digitale grensoverschrijdende zorgdiensten door het NCPeH-NL en het verwerken van (bijzondere) persoonsgegevens zijn grondslagen vereist. Dit kan alleen door middel van wet- en regelgeving. De conclusie is daarmee dat overheidsinterventie gerechtvaardigd is en wetgeving noodzakelijk. Dit wetsvoorstel laat de rechten van betrokkenen op grond van de AVG onaangetast. Het wetsvoorstel bevat wijzigingen van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), die hieronder zullen worden toegelicht.

3.3.1 Wettelijke taak en grondslag verwerking van (bijzondere) persoonsgegevens door het NCPeH-NL

In de kern komt de taak van het NCPeH-NL neer op het uitwisselen van persoonsgegevens, waaronder gegevens over de gezondheid. Daarbij functioneert het NCPeH-NL als een communicatiepoort waarbij de medische gegevens voor de betreffende zorgdiensten worden omgezet in Europese formats. Dit wetsvoorstel regelt de wettelijke taak voor de minister voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL. Tevens moeten de benodigde grondslagen voor het verwerken van (bijzondere) persoonsgegevens voor het uitvoeren van deze taak worden geregeld.

In het Europese Commissie Uitvoeringsbesluit 2019/1765/EU met betrekking tot de vaststelling van de voorschriften voor de oprichting, het beheer en de werking van het netwerk van nationale autoriteiten die verantwoordelijk zijn voor e-gezondheid, en tot intrekking van Uitvoeringsbesluit 2011/890/EU is in artikel 7, eerste lid, vastgesteld dat NCPeH's worden gezien als verwerkingsverantwoordelijken als het gaat om de verwerking van persoonsgegevens via MyHealth@EU. De minister van VWS is als beheerder van het NCPeH-NL, daarmee verwerkingsverantwoordelijke. De basis voor het inrichten van een NCPeH is de richtlijn 2011/24/EU. Op basis van hoofdstuk IV, artikelen 11 en 14 van deze richtlijn is er ook een overeenkomst die door de deelnemende lidstaten moet worden ondertekend; de 'Agreement between National Authorities or National Organisations responsible for National Contact Points for eHealth on the Criteria required for the participation in CBeHIS. Deze overeenkomst is op vrijwillige basis en de maatregelen die zijn ontwikkeld door de lidstaten en Europese Commissie met betrekking tot de interoperabiliteit zijn niet juridisch bindend. In een advies van de artikel 29 WP (inmiddels de 'EDPB') wordt ingegaan op de benodigde grondslag voor het NCPeH.17 De conclusie is dat de richtlijn 2011/24/EU in combinatie met de 'Overeenkomst' onvoldoende basis vormt voor de grondslag van het NCPeH. Er moet ook sprake zijn van verankering in nationale wetgeving. De richtlijn 2011/24/EU en genoemde stukken hebben namelijk geen rechtstreekse werking. In het bijzonder heeft de European Data Protection Board erop gewezen dat voor een NCPeH een specifieke wettelijke grondslag in het nationale recht, in overeenstemming met artikel 9, tweede lid, van de AVG is vereist voor het verwerken van gezondheidsgegevens. Er is dus een noodzaak om te voorzien in een nationale wettelijke grondslag voor verwerking van persoonsgegevens door het NCPeH-NL.

Voor het uitvoeren van de wettelijke taak is het noodzakelijk dat het NCPeH-NL persoonsgegevens verwerkt. De grondslag voor deze verwerking is daarmee artikel 6, eerste lid, onderdeel e, AVG 'noodzakelijk voor de vervulling van een taak van algemeen belang die aan de verwerkingsverantwoordelijke is opgedragen.' De rechtsgrond voor de in het eerste lid, onderdeel e, bedoelde verwerking moet worden vastgesteld bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

De verwerkingen die door de minister van VWS worden gedaan ten behoeve van de beheertaak van het NCPeH-NL bevatten tevens bijzondere persoonsgegevens, als bedoeld in artikel 9, eerste lid, AVG aangezien ze betrekking hebben op de gezondheid van de persoon. De zogenoemde gezondheidsgegevens. Voor het verwerken van bijzondere persoonsgegevens geldt een verwerkingsverbod, tenzij aan een van de voorwaarden uit artikel 9, tweede lid AVG is voldaan.

Voor deze voorgenomen verwerking is sprake van een uitzonderingsgrond als bedoeld in artikel 9, tweede lid, onderdeel h, AVG, de verwerking is noodzakelijk voor het beheren van gezondheidszorgstelsels en -diensten / of noodzakelijk voor het verstrekken van gezondheidszorg op grond van Unierecht of lidstatelijk recht. Er moet dus sprake zijn van een wettelijke taak waarbij het voor de uitvoering van die taak noodzakelijk is om bijzondere persoonsgegevens (namelijk gezondheidsgegevens) te verwerken.

3.3.2    Een grondslag voor het ontvangen en verstrekken van het BSN over de grens (aan NCPeH's in andere EER-landen).

Op basis van artikel 10 Wet aanvullende bepalingen Burgerservicenummer (Wabb) kunnen overheidsorganen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun taak gebruik maken van het BSN. Indien de beheertaak voor het NCPeH is vastgelegd in de wet en wordt belegd bij een bestuursorgaan, kan voor deze taak het BSN worden verwerkt. Voor de grensoverschrijdende uitwisseling van het BSN met de nationale contactpunten voor eHealth in andere EU-lidstaten zal een basis moeten worden gecreëerd (dat volgt niet uit de Wabb). Voor de grensoverschrijdende uitwisseling van het BSN met andere EU-landen geldt het regime dat is neergelegd in artikel 46 Uitvoeringswet algemene verordening gegevensbescherming (UAVG), waaruit volgt dat de verwerking van het BSN bij wet in formele zin dient te zijn vastgelegd.

Voor de (eventuele) verwerking van een nationaal identificatienummer van patiënten uit andere lidstaten hoeft er niets te worden geregeld. Iedere lidstaat heeft op basis van de AVG een mogelijkheid om bij lidstatelijk recht specifiek voorwaarden te stellen aan de verwerking van een nationaal identificatienummer of enig andere identificator van algemene aard. Voor die identificatienummers geldt het eventuele nationale recht ten aanzien van het nummer uit het land van herkomst.

3.3.3    Structuur van de wet

Dit wetsvoorstel regelt de wettelijke taak voor de minister van VWS voor de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL en tevens de benodigde grondslagen voor het verwerken van (bijzondere) persoonsgegevens voor het uitvoeren van deze taak door het NCPeH-NL.

In het wetsvoorstel is in artikel 15k, vierde lid, opgenomen dat bij algemene maatregel van bestuur nadere regels worden gesteld met betrekking tot de uitwisseling van gegevens ten behoeve van specifieke digitale zorgdiensten. Momenteel is alleen de zorgdienst PS-B geïmplementeerd en is een programma gestart om PS-A te ontwikkelen en implementeren. Verbreding van het aantal zorgdiensten is zeer waarschijnlijk. Zoals eerder beschreven is nu reeds de zorgdienst ePrescription beschikbaar en wordt voorzien dat onder de EHDS meerdere uitwisselingen van zorgdiensten verplicht worden. In de AMvB wordt een nadere uitwerking gegeven van de verwerkingen en bijbehorende persoonsgegevens voor die specifieke zorgdienst. Voor elke nieuwe zorgdienst wordt tevens een Data Protection Impact Assessment (DPIA) uitgevoerd. Daarmee is het wetsvoorstel voldoende duurzaam en flexibel en biedt de gekozen structuur transparantie op het niveau van de zorgdienst.

De voordracht voor een krachtens deze wet vast te stellen AMvB wordt niet eerder gedaan dan twee weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd. Dit is reeds geregeld in artikel 17b Wabvpz.

3.4 Reikwijdte wetsvoorstel

Van belang is te benadrukken dat de scope van de voorgestelde wetgeving zich beperkt tot de borging van de wettelijke taak en de grondslag voor het NCPeH-NL voor een rechtmatige verwerking van gegevens. De verwerkingen die plaatsvinden door het NCPeH-NL zijn alléén ten behoeve van uitwisseling van medische gegevens tussen zorgaanbieders die zich in verschillende lidstaten bevinden en waarbij sprake is van een behandelrelatie met de patiënt. Uitwisseling kan alleen plaatsvinden op verzoek van de zorgaanbieder die de patiënt onder behandeling heeft en wanneer de patiënt daar toestemming voor heeft gegeven.

Dit wetsvoorstel wijzigt daarmee dus niet de grondslag voor de Nederlandse zorgverleners om het medisch beroepsgeheim te doorbreken en de benodigde medische gegevens te verstrekken aan het NCPeH-NL. De kaders en regels rondom grondslagen voor gegevensverwerking (in onder meer de AVG en de UAVG) en het (doorbreken van) het medisch beroepsgeheim zijn onverminderd van kracht. Voor het beschikbaar stellen van de gegevens, benodigd voor het samenstellen van de digitale zorgdiensten en het delen van deze gegevens met een zorgverlener binnen een andere lidstaat, blijft uitdrukkelijke toestemming van de Nederlandse patiënt nodig. Indien een patiënt geen uitdrukkelijke toestemming heeft geregistreerd kunnen de gegevens niet worden uitgewisseld.

Daarnaast regelt dit wetsvoorstel geen verplichting voor het aansluiten van zorgaanbieders op het NCPeH-NL. Aansluiten op het NCPeH-NL door zorgaanbieders gebeurt op vrijwillige basis.

4. Verhouding tot hoger recht

4.1    Bescherming persoonlijke levenssfeer en gegevensbescherming

Dit wetsvoorstel beoogt een wettelijke grondslag te creëren voor het verwerken van persoonsgegevens van Nederlandse patiënten en patiënten uit andere lidstaten door het NCPeH-NL ten behoeve van het ter beschikking stellen van patiëntgegevens die noodzakelijk zijn voor goede zorg, ongeacht in welke lidstaat die zorg verleend wordt en raakt daarmee de persoonlijke levenssfeer van burgers. Verschillende internationale verdragen en (nationale) regelingen, waaronder de Gw, bevatten uitdrukkelijke voorschriften en waarborgen ter bescherming van de persoonlijke levenssfeer of van natuurlijke personen ten aanzien van persoonsgegevens. In dit verband kan worden gewezen op de volgende voorschriften:

  • In artikel 8 van het EVRM en artikel 17 van het Internationaal verdrag inzake burgerlijke en politieke rechten is het recht op bescherming van de persoonlijke levenssfeer gewaarborgd.
  • In artikel 7 van het Handvest van de grondrechten van de Europese Unie (2016/C 202/02, hierna: het Handvest) is het recht op eerbiediging van het privéleven opgenomen. In artikel 8 van het Handvest is het recht vastgelegd van eenieder op bescherming van persoonsgegevens.
  • Artikel 16, tweede lid, van het Verdrag betreffende de werking van de Europese Unie (hierna: VWEU) bevat een rechtsgrondslag voor het stellen van voorschriften betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, alsook door de lidstaten, bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen, alsmede de voorschriften betreffende het vrij verkeer van die gegevens. Ter uitvoering van deze opdracht is in 2012 een voorstel ingediend voor de AVG, welke verordening uiteindelijk op 24 mei 2016 in werking is getreden.
  • Artikel 10, eerste lid, van de Gw erkent het recht op eerbiediging van de persoonlijke levenssfeer.

Hieronder wordt uiteengezet op welke wijze in dit wetsvoorstel rekening is gehouden met de bovenstaande rechten.

4.2    EVRM

Het recht op bescherming van persoonsgegevens is niet als zelfstandig recht vastgelegd in het EVRM. Volgens de rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) is het recht op bescherming van persoonsgegevens, bedoeld in artikel 8 van het EVRM, in algemene zin van fundamentele betekenis voor het recht op eerbiediging van de persoonlijke levenssfeer. Aangezien de onderwerpen uit het wetsvoorstel voorschriften over de verwerking van persoonsgegevens bevat, raken deze aan het recht op eerbiediging van het privéleven en zal moeten worden beoordeeld of sprake is van een gerechtvaardigde inmenging. De cumulatieve voorwaarden waaronder inmenging kan worden gerechtvaardigd op grond van artikel 8, tweede lid, EVRM zijn: wanneer het bij wet is voorzien én het noodzakelijk is in een democratische samenleving in het belang van een of meer van de in het tweede lid genoemde doeleinden (nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen).

Om te bepalen of in een concreet geval sprake is van een gerechtvaardigde beperking van een van de in de artikelen 8 tot en met 11 EVRM neergelegde mensenrechten, heeft het EVRM in zijn rechtspraak een bepaalde systematiek ontwikkeld. Uit deze systematiek kan een toetsingskader worden afgeleid waarbij drie met elkaar samenhangende vragen kunnen worden onderscheiden. Deze vragen luiden achtereenvolgens als volgt:

  • 1. 
    Is de beperking bij wet voorzien?
  • Berust de inmenging op een naar behoren bekend gemaakt wettelijk voorschrift?
  • Kunnen burgers daaruit met voldoende precisie opmaken welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt?
  • 2. 
    Dient de beperking tot bescherming van een legitieme doelstelling (legitimate aim), namelijk één of meer van de in het tweede lid van artikel 8 EVRM opgesomde rechtsbelangen?
  • 3. 
    Is de beperking noodzakelijk in een democratische samenleving (necessary in a democratic society)?
  • Is de beperking ingegeven door een dringende maatschappelijke behoefte (pressing social need)?
  • Bestaat er een redelijke verhouding (proportionality) tussen de zwaarte van de beperking en het gewicht van het belang dat met de inbreuk wordt gediend?

De eerste vraag, of de voorgestelde beperking bij wet is voorzien, kan zonder meer bevestigend worden beantwoord. Het wetsvoorstel voorziet nu juist in een beschrijving van de taak en het doel van de verwerkingen door het NCPeH-NL. Gekozen is voor de systematiek waarbij voor de verschillende (mogelijke) digitale grensoverschrijdende zorgdiensten bij algemene maatregel van bestuur een nadere uitwerking wordt gegeven van de verwerkingen en bijbehorende persoonsgegevens, voor welk doel en welke partijen een rol spelen bij die specifieke zorgdienst. Daarmee is het wetsvoorstel voldoende duurzaam en flexibel en biedt de gekozen structuur transparantie op het niveau van de zorgdienst. Hiermee krijgt de burger voldoende inzicht in welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van een bepaalde overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt.

Ook de tweede vraag kan bevestigend beantwoord worden. Zoals in hoofdstuk 3 is aangegeven, beoogt dit wetsvoorstel ertoe te leiden dat: patiëntgegevens die noodzakelijk zijn voor goede zorg, ongeacht in welke lidstaat die zorg verleend wordt, beschikbaar zijn voor de zorgverlener die de patiënt onder behandeling heeft. Dit geldt zowel voor een burger uit een andere lidstaat die zorg nodig heeft in Nederland als voor de Nederlandse burger die onder behandeling is van een zorgverlener in een andere lidstaat (bescherming van de gezondheid).

De derde vraag - of de voorgestelde beperking noodzakelijk is in een democratische samenleving -wordt eveneens bevestigend beantwoord. Zoals geschetst in paragraaf 3.3 zijn de beoogde grondslagen voor gegevensverwerking nodig om de verscheidene taken uit te kunnen voeren. Het is belangrijk dat gegevens over een patiënt toegankelijk worden, óók als de patiënt zich in een andere lidstaat bevindt. De toegang tot gegevens is namelijk randvoorwaardelijk voor de kwaliteit van zorg, de continuïteit van zorg en de kwaliteit van leven ook bij het vrije verkeer van personen. Dit speelt in het bijzonder bij spoedeisende situaties (ongeplande zorg): dan is de toegang tot de benodigde informatie van wezenlijk of zelfs levensbelang. Het kan immers gaan om levensbedreigende situaties waarin weinig tijd of mogelijkheid is om op het moment van de zorgvraag nog telefonisch of via andere wegen, informatie op te vragen die nodig is voor het verlenen van goede zorg. Deze informatie kan van invloed zijn op het bepalen van de medische urgentie, de diagnose en de behandeling. Het wetsvoorstel voorziet in een redelijke verhouding tussen de zwaarte van de beperking en het gewicht van het belang dat met de beperking wordt gediend. De eventuele inbreuk op de privacy van burgers gaat zodoende niet verder dan noodzakelijk is voor het doel.

Wat betreft de subsidiariteit geldt dat niet kan worden volstaan met lichtere, mindere ingrijpende maatregelen. Momenteel is tussen de zorgaanbieders van verschillende lidstaten geen sprake van technische of semantische interoperabiliteit. Dit betekent dat een digitale zorgdienst zoals een patiëntsamenvatting niet rechtstreeks kan worden uitgewisseld. Vooralsnog zijn nationale contactpunten die bijdragen aan de technische en semantische interoperabiliteit de snelste en meest effectieve wijze om dit gestalte te geven. Los van de technische interoperabiliteit, vindt bij het NCPeH-NL een mapping en zo nodig transcodering plaats van de aangeleverde data uit de Nederlandse bron naar het Europees vastgestelde formaat van de betreffende digitale grensoverschrijdende zorgdienst. In het B-land vindt door het NCPeH van het betreffende land de vertaling plaats vanuit de internationale coderingen naar de eigen taal c.q coderingen. Dit is in de huidige situatie alleen mogelijk met behulp van de NCPeH's die deze rol vervullen. Via de MyHealth@EU infrastructuur kan technisch uitgewisseld worden met een andere lidstaat waarbij het NCPeH van de betreffende lidstaat zorgdraagt dat uitwisseling met de zorgaanbieder waar de Nederlandse patiënt zicht bevindt kan plaatsvinden. Uiteraard blijft het voor de zorgverlener in de andere lidstaat mogelijk om rechtstreeks contact op te nemen (telefonisch) met de huisarts van de Nederlandse patiënt waarbij informatie kan worden uitgewisseld. Daarbij kan echter geen patiëntsamenvatting of andere zorgdienst worden verstrekt in een gestandaardiseerde vertaling zoals bovenstaand beschreven.

Het doel om voor Nederlandse patiënten in andere lidstaten kwalitatief betere zorg te verlenen, kan alleen worden bereikt door het uitwisselen van (bijzondere) persoonsgegevens. Door het gebrek aan interoperabiliteit tussen zorginformatiesystemen in verschillende lidstaten is als oplossing gekozen voor het uitwisselen via nationale contactpunten. Voor het uitwisselen van (bijzondere) persoonsgegevens door het NCPeH-NL zijn wettelijke grondslagen vereist. Zoals eerder beschreven is de grondslag toestemming voor uitwisseling van (bijzondere) persoonsgegevens door het NCPeH-NL geen alternatieve oplossing.

4.3 Grondwet (Gw)

De Gw geeft in artikel 10, eerste lid, eenieder, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. De woorden "behoudens bij of krachtens de wet te stellen beperkingen" in artikel 10 van de Gw brengen mee dat beperkingen op het recht op eerbiediging van de persoonlijke levenssfeer slechts kunnen worden gerechtvaardigd door of krachtens een wet in formele zin.18 De beperkingen op het grondrecht moeten op het niveau van de formele wet worden gespecificeerd en, in elk geval op hoofdlijnen, dient een belangenafweging plaats te vinden in het licht van artikel 10 van de Gw. De hoofdelementen die in algemene zin in ieder geval in de formele wet moeten worden neergelegd zijn de reikwijdte en de structurele elementen van een regeling.19 Een nadere uitwerking van de beperking kan plaatsvinden bij AMvB, indien een wet in formele zin hiervoor de delegatiegrondslag biedt. In dit wetsvoorstel worden de hoofdelementen zoals vereist neergelegd. De partijen met wie het NCPeH-NL uitwisselt, worden benoemd in het wetsvoorstel, te weten het NCPeH van een andere lidstaat en de Nederlandse zorgaanbieders. Verder is duidelijk voor welk doel er wordt uitgewisseld, namelijk ten behoeve van het verlenen van zorg aan een patiënt uit een andere lidstaat die in Nederland wordt behandeld door een Nederlandse zorgaanbieder (artikel 15k, tweede lid, jo. artikel 15m) dan wel het verlenen van zorg aan een Nederlandse patiënt die wordt behandeld door een zorgaanbieder in een andere lidstaat (artikel 15k, tweede lid 2, jo. artikel 15n). Tevens is geregeld dat de minister van VWS ten behoeve van het uitvoeren van de taak van het NCPeH-NL (bijzondere) persoonsgegevens verwerkt. Het wetsvoorstel biedt ten slotte een delegatiegrondslag voor een nadere uitwerking van de beperking bij AMvB. De hierboven geschetste lijn ter rechtvaardiging van de inbreuk op het recht op respect voor het privéleven in artikel 8 van het

EVRM, geldt evenzeer ter onderbouwing van de belangenafweging in het licht van artikel 10 van de Grondwet.

4.4 Concept EHDS-verordening

Gelet op het feit dat er een politiek akkoord is bereikt over het voorstel voor een Verordening betreffende de Europese ruimte voor gezondheidsgegevens wordt de EHDS-verordening ook betrokken in dit hoofdstuk. Het doel van de EHDS is betere en snellere zorg door verbeterde databeschikbaarheid voor de levering van zorg. Op basis van de EHDS-verordening krijgen burgers rechten waarmee zij meer regie kunnen nemen op hun gezondheidsdata. Een belangrijk onderdeel van deze verordening is gericht op primair-datagebruik. In het onderdeel dat het primair gebruik van data betreft zal het vrijwillige karakter van het aansluiten op MyHealth@EU verdwijnen en zullen lidstaten tevens verplicht worden om een eigen NCPeH in te richten. Uit het EHDS-voorstel volgt ook een uitbreiding van de digitale zorgdiensten. Zes digitale grensoverschrijdende zorgdiensten worden aangewezen die moeten kunnen worden uitgewisseld via het NCPeH.20

Als het gaat om de grondslag in het EHDS-voorstel (politiek akkoord 14 maart 2024) voor het NCPeH om (bijzondere) persoonsgegevens uit te wisselen dan wordt in de overwegingen aangegeven dat de verordening de wettelijke basis vormt voor het verwerken van persoonlijke elektronische gezondheidsdata in de infrastructuur als een taak van algemeen belang, vastgesteld bij Unierecht (zoals bedoeld in artikel 6, eerste lid, onder e, AVG). Er moet nog nader worden bezien of de grondslagen voor het NCPeH hiermee voldoende worden of afgedekt of dat nationale wetgeving is vereist. Indien de EHDS-verordening in werking treedt, is, op basis van het EHDS-voorstel, in ieder geval nationale wetgeving noodzakelijk voor het creëren van een wettelijke taak voor de minister van VWS voor het beheer van het NCPeH-NL.

Eerder is aangegeven dat het NCPeH-NL vier jaar na inwerkingtreding van de EHDS operationeel moet zijn en de zorgdiensten patiëntsamenvattingen, elektronische recepten en elektronische verstrekkingen moeten kunnen uitwisselen. Rekening houdend met de implementatietermijn van een zorgdienst is het van belang dat hier nu al stappen voor worden gezet. Hiervoor is het belangrijk dat de benodigde grondslagen wettelijk zijn geregeld. Het wetgevingsproces voor een uitvoeringswet EHDS kan jaren in beslag nemen. Aangezien er op dit moment geen grondslag is voor het NCPeH-NL, deze wel nodig is en het onvoldoende duidelijk is of de EHDS-verordening alle benodigde grondslagen regelt, is het verstandig om deze grondslagen nu op te nemen in nationale wetgeving voor een rechtmatige verwerking. De grondslagen die met dit wetsvoorstel geregeld worden zijn in lijn met de grondslagen zoals die zullen volgen uit de EHDS.

5. Verhouding tot nationale regelgeving

5.1. Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)

Op grond van artikel 15a van de Wabvpz mogen zorgaanbieders gegevens van de cliënt slechts beschikbaar stellen via een Elektronisch uitwisselingssysteem (EUS)21, voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven (eerste lid) en voor zover bij het raadplegen van die gegevens door een andere zorgaanbieder, de persoonlijke levenssfeer van een ander dan de cliënt niet wordt geschaad (derde lid). Op dit moment functioneert het NCPeH-NL echter niet als een elektronisch uitwisselingssysteem in de zin van de Wabvpz waardoor artikel 15a niet van toepassing is.

De overige bepalingen die gesteld zijn bij of krachtens de Wabvpz gelden onverkort. Dit wetsvoorstel brengt geen veranderingen aan in deze eisen.

5.2    Wet op de geneeskundige behandelingsovereenkomst (WGBO) en Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)

Met dit wetstraject wordt geen wettelijke verplichting tot doorbreking van het beroepsgeheim van Nederlandse zorgverleners geregeld. Zoals beschreven in paragraaf 3.4 is er geen sprake van wijziging in de grondslagen voor doorbreking van het medisch beroepsgeheim zoals geregeld in de WGBO en Wet BIG.

5.3    Wet aanvullende bepalingen Burgerservicenummer (Wabb)

Op basis van artikel 10 Wabb kunnen overheidsorganen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun taak gebruik maken van het BSN. Indien de beheertaak voor het NCPeH bij een overheidsorgaan, zoals onze minister, is vastgelegd in de wet, kan voor deze taak het BSN worden verwerkt. Voor de grensoverschrijdende uitwisseling van het BSN met de nationale contactpunten voor eHealth in andere EU-lidstaten zal een basis moeten worden gecreëerd (hiervoor is namelijk geen grondslag opgenomen in de Wabb). Voor de grensoverschrijdende uitwisseling van het BSN met andere EU-landen geldt het regime dat is neergelegd in artikel 46 UAVG, waaruit volgt dat de verwerking van het BSN bij wet in formele zin dient te zijn vastgelegd. Daar voorziet dit wetsvoorstel in.

5.4    Wet elektronische gegevensuitwisseling in de zorg (Wegiz)

Zoals in paragraaf 1.1 al is toegelicht, heeft dit wetsvoorstel enkel als doel om te voorzien in de wettelijke grondslagen voor het NCPeH-NL voor het uitvoeren van een publieke taak en het verwerken van (bijzondere) persoonsgegevens in het kader van grensoverschrijdende zorgdiensten. De manier waarop de gegevens worden uitgewisseld tussen de zorgaanbieders in de verschillende lidstaten wordt niet in dit wetsvoorstel geregeld. Dit wetsvoorstel is geen aanvulling op de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) en past derhalve binnen (of naast) het stelsel van de Wegiz

6. Effecten van het wetsvoorstel

Dit hoofdstuk geeft een overzicht van de effecten die het wetsvoorstel naar verwachting op de Nederlandse samenleving zal hebben, met uitzondering van de zuiver financiële gevolgen (zie paragraaf 7 van dit algemeen deel).

6.1    Gevolgen voor zorgaanbieders en zorgverleners

Het wetsvoorstel regelt geen verplichte aansluiting voor zorgaanbieders op het NCPeH-NL. Zorgaanbieders kunnen er voor kiezen vrijwillig aan te sluiten op het NCPeH-NL. Wanneer zorg aanbieders besluiten om aan te sluiten, geldt dat zij de aansluiting zelf binnen hun eigen organisatie moeten inregelen. Zij moeten tevens zelf zorg dragen voor het voldoen aan de WGBO en de AVG als het gaat om de grondslag voor doorbreking van het medisch beroepsgeheim en het verwerken van (bijzondere) persoonsgegevens. De aansluiting op het netwerk kan tijdelijk een intensivering van de werkdruk aan de zijde van zorgaanbieders en zorgverleners tot gevolg hebben. Zo zullen onder meer het inrichten en/of wijzigen van processen en het trainen van personeel tijd vergen. Op de lange termijn zal dit wetsvoorstel een vermindering van de werkdruk tot gevolg hebben. Een zorgverlener zal sneller en eenvoudiger over noodzakelijke medische informatie beschikken en kan zo passende zorg verlenen. Bovendien zullen zorgdiensten zoals de patiëntsamenvatting in de Nederlandse taal en in de moedertaal van de patiënt beschikbaar komen, waardoor de kans op miscommunicatie wordt verkleind. Gelet op het voorgaande zal dit wetsvoorstel ook positieve gevolgen hebben voor de kwaliteit van de zorg.

6.2    Gevolgen voor burgers

De baten voor burgers (patiënten) zijn gelegen in het feit dat persoonlijke gezondheidsgegevens elektronisch beschikbaar kunnen worden gesteld aan zorgverleners in andere EU-lidstaten, indien zij (on)geplande zorg nodig hebben in het buitenland. Dit kan fouten voorkomen en bevordert daarmee de veiligheid van de patiënt en voorkomt onnodige en soms invasieve onderzoeken. De administratieve lasten voor burgers zijn minimaal. Zij dienen alleen toestemming te geven als zij gebruik willen maken van de zorgdiensten. Het verwerken van (bijzondere) persoonsgegevens heeft effect op de privacy van een individu, maar de burger kan zelf bepalen of de gezondheidsgegevens mogen worden uitgewisseld met zorgaanbieders in andere lidstaten. Indien de burger geen toestemming geeft, worden geen gegevens uitgewisseld.

6.3    Gevolgen voor IT-leveranciers en -dienstverleners

IT-leveranciers en -dienstverleners vervullen bij de aansluiting van zorgaanbieders en zorgverleners met het NCPeH-NL een ondersteunende rol. Daarnaast moet de software van de leverancier ingericht zijn op het beantwoorden van een verzoek om gegevens ten behoeve van het vullen van de patiëntsamenvatting. Uitgangspunt is zoveel mogelijk gebruik te maken van bestaande interacties, waardoor dit wetsvoorstel weinig extra ontwikkelwerk vergt van leveranciers. Voor toekomstige zorgdiensten zou dit anders kunnen worden, het is nog onduidelijk of dit veel ontwikkelwerk vergt.

6.4    Gevolgen voor de overheid

6.4.1    Gevolgen toezicht en handhaving

De Autoriteit Persoonsgegevens (AP) is verantwoordelijk voor de bestuurlijke handhaving op de gegevensverwerkingen die in het kader van dit wetsvoorstel plaatsvinden. Deze taken liggen in het verlengde van de taken die de AP al heeft in het kader van de AVG en UAVG.

6.4.2    Gevolgen voor Caribisch Nederland

Dit wetsvoorstel heeft geen gevolgen voor Caribisch Nederland. Met het wetsvoorstel wordt niet beoogd om verwerkingen buiten de Europese Economische Ruimte (EER) te laten plaatsvinden.

6.5    Gevolgen voor de gegevensbescherming (DPIA)

In de fase van beleidsontwikkeling is een gegevensbeschermingseffectbeoordeling (data protection impact assessment, DPIA) uitgevoerd op dit wetsvoorstel. Met behulp hiervan is de noodzaak onderzocht van de voorgenomen verwerkingen van persoonsgegevens en zijn op gestructureerde wijze de gevolgen en risico's van de maatregelen en het systeem voor gegevensbescherming in kaart gebracht.

Zoals eerder beschreven en zoals uit de gegevensbeschermingseffectbeoordeling volgt, wijzigt dit wetsvoorstel niets aan de grondslag voor de Nederlandse zorgverlener voor het doorbreken van het beroepsgeheim en aan de zeggenschap van patiënten over de eigen gegevens. Voorafgaand aan het delen van gegevens met zorgverleners uit andere lidstaten die de patiënt onder behandeling hebben (via de NCPeH's), is uitdrukkelijke toestemming van de betrokkene vereist.

Zoals uit de gegevensbeschermingseffectbeoordeling volgt, leidt het wetsvoorstel ertoe dat al bestaande risico's bij gegevensuitwisseling tussen zorgverleners naar verwachting een grotere impact zullen hebben. Het gaat daarbij met name om de risico's dat gegevens onrechtmatig opgevraagd (en vervolgens geraadpleegd) worden. Deze risico's bestaan ook bij uitwisseling tussen zorgaanbieders binnen Nederland wanneer op grond van toestemming gegevens worden gedeeld. De impact van onrechtmatige opvraging zal echter onder dit wetsvoorstel naar verwachting groter zijn omdat gegevens nu ook door zorgverleners vanuit andere lidstaten kunnen worden opgevraagd en daarmee het aantal uitwisselingen kan toenemen. Het risico op onbevoegde opvraging wordt zoveel mogelijk gemitigeerd. Zoals beschreven in paragraaf 3.2 moeten alle NCPeH's binnen de infrastructuur van MyHealth@EU voldoen aan de specifieke Europese vereisten en zijn gebonden aan dezelfde Europese overeenkomsten als het gaat om uitwisseling van gegevens op het terrein van semantiek, technische standaarden en veiligheid. Dit creëert een 'circle of trust' tussen de verschillende NCPeH's. Door middel van audits wordt ook getoetst of wordt voldaan aan alle subsidie- en aansluiteisen vanuit de EC. Bij aansluiting door een lidstaat op het MyHealth@EU netwerk gelden verschillende waarborgen die zijn opgenomen in het MyHealth@EU afsprakenstelsel om ervoor te zorgen dat Europese zorgverleners rechtmatig gegevens opvragen;

  • Pas wanneer er sprake is van een behandelrelatie mag een zorgverlener uit een andere lidstaat of een Nederlandse zorgverlener gegevens opvragen in het belang van de behandeling van de patiënt. Deze behandelrelatie moet bevestigd worden door de zorgverlener bij het opvragen van gegevens.
  • De Nederlandse patiënt moet de uitdrukkelijke toestemming voor uitwisseling met andere lidstaten registreren in een online toestemmingsvoorziening. Indien een patiënt geen toestemming heeft geregistreerd, kan de uitwisseling technisch niet plaatsvinden. De patiënt kan de toestemming voor uitwisseling aan en uit zetten zodat het mogelijk is om alleen tijdelijk toestemming te geven voor uitwisseling, bijvoorbeeld tijdens de vakantie. Bevragingen buiten de aangegeven periode zijn dan niet mogelijk. Tevens krijgt de patiënt altijd een melding vanuit de online toestemmingsvoorziening als een opvraging uit een andere lidstaat is gedaan. Daarmee kan de patiënt controleren of sprake is geweest van een onrechtmatige opvraging.
  • De zorgverlener uit een andere lidstaat die gegevens nodig heeft van een Nederlandse patiënt en de Nederlandse zorgverlener die gegevens wil opvragen van een patiënt uit een andere lidstaat, moet zich authentiseren bij het NCPeH, waarbij Europese en nationale weten regelgeving gevolgd dienen te worden. Binnen Europa is afgesproken dat op betrouwbaarheidsniveau ’hoog' geauthentiseerd moet worden.
  • Een zorgverlener moet geautoriseerd zijn door de betreffende lidstaat om een opvraging te kunnen doen. Ieder land heeft lokale wet- en regelgeving die bepaalt welk type zorgverleners geautoriseerd zijn. Deze lokale wet- en regelgeving wordt tevens getoetst bij de audit vanuit de Europese Commissie.
  • Alle bevragingen worden gelogd, de logging bevat Unieke Zorgverlener Identificatie (UZI)-nummers van betrokken zorgverleners (respectievelijk hun equivalenten in andere lidstaten); auditgegevens over het bestaan van een behandelrelatie en de rolcodes van de zorgverlener. Indien onrechtmatig wordt opgevraagd kan door middel van de logging (net zoals bij uitwisseling tussen zorgaanbieders in Nederland) worden achterhaald door wie de opvraging is gedaan.
  • Ten slotte bestaat de mogelijkheid om indien een lidstaat zich niet houdt aan de criteria en vereisten dat deze door middel van afgesproken procedures door de Europese Commissie wordt afgesloten. Tevens kan het NCPeH-NL op landcode bepalen of bevragingen vanuit een bepaalde lidstaat worden stopgezet.

Uit de gegevensbeschermingseffectbeoordeling komt tevens een nieuw risico naar voren; in de huidige situatie is het standpunt dat de lidstaten als afzonderlijk verwerkingsverantwoordelijken worden beschouwd. Hierbij is in termen van verdeling van verwerkingsverantwoordelijkheid een opmerkelijke situatie ontstaan. In overwegingen 20 en 21 van het uitvoeringsbesluit22 wordt de noodzaak benoemd om de onderlinge verwerkingsverantwoordelijkheid van de lidstaten af te kaderen. Dit is evenwel nog niet gebeurd. Hierdoor is een situatie ontstaan waarin waarschijnlijk sprake is van gemeenschappelijke verwerkingsverantwoordelijkheid van de lidstaten, zonder een onderlinge regeling als bedoeld in artikel 26 AVG. Dit is wél vastgelegd in het EHDS-voorstel, hierin is vastgesteld dat sprake is van gezamenlijke verwerkingsverantwoordelijkheid van de lidstaten voor de MyHealth@EU infrastructuur. Naar verwachting zal eind 2024 de EHDS definitief worden gepubliceerd en in werking treden.

De maatregel die hier gepast is, is een zogenaamd artikel 26 AVG protocol waarin de afbakening van de verwerkingsverantwoordelijkheden en de rechten van betrokkenen onderling geregeld wordt tussen de lidstaten. Zolang deze voorgenomen maatregel nog niet is geïmplementeerd wordt hiervoor door het NCPeH-NL een zorgvuldige procedure opgesteld waarbij deze afbakening wordt vastgelegd en helder is voor de betrokkene op welke wijze de rechten kunnen worden uitgeoefend.

6.6 Effecten op de arbeidsmarkt

Het wetsvoorstel kan effecten hebben op de werkgelegenheid en arbeidsvoorwaardenontwikkeling in de zorg. In de huidige situatie heeft de Nederlandse zorgverlener die zorg verleent aan een patiënt uit een andere Europese lidstaat lang niet altijd de beschikking over de medische gegevens van deze patiënt. Zoals al eerder is benoemd ontstaat door het gebrek aan medische informatie druk op de kwaliteit van de zorg en op de zorgkosten, wat weer leidt tot negatieve beeldvorming over de zorg als arbeidsmarkt. Door de grensoverschrijdende gegevensuitwisseling via de MyHealth@EU infrastructuur te bewerkstelligen zal de druk op de zorg, in geval van de zorgverlening aan patiënten uit andere lidstaten, worden weggenomen. Het gevolg is dat meer tijd overblijft voor de zorg voor de patiënt of dat de schaarse capaciteit op een andere manier beter kan worden benut. Wanneer dit wordt gerealiseerd, kan het werkplezier toenemen en de beeldvorming over de zorg als arbeidsmarkt positief veranderen. Aangezien de zorgsector kampt met tekorten aan personeel en de vraag naar voldoende opgeleid zorgpersoneel de komende jaren naar verwachting alleen maar toeneemt, is de verwachting dat geen banen komen te vervallen als gevolg van het automatiseren van werkzaamheden.

6.7 Fraude

Het berichtenverkeer tussen het Nederlandse NCPeH en de andere Europese NCPeH's verloopt via een beveiligd netwerk dat is opgesteld conform een Europees vastgestelde standaard welke wordt beheerd door de EC. De uitwisseling van (bijzondere) persoonsgegevens tussen de lidstaten brengt echter wel een kans op misbruik van gegevens met zich mee. Zo bestaat de mogelijkheid dat het NCPeH-NL onrechtmatig wordt bevraagd vanuit een andere lidstaat. Zoals beschreven in paragraaf 6.5 wordt het risico op onrechtmatige opvraging zoveel mogelijk gemitigeerd.

7. Financiële gevolgen en regeldruk

De realisatie van het NCPeH-NL is in eerste instantie vormgegeven via het Programma Implementatie Europese Zorgdiensten (PIEZO) PS-B (2018-2022), waarmee het opvragen van buitenlandse patiëntsamenvattingen in Nederland reeds mogelijk gemaakt is. Dit is dus reeds gefinancierd. De doorontwikkeling van het NCPeH-NL om ook PS-A, het verzenden van Nederlandse patiëntsamenvattingen naar het buitenland, mogelijk te maken is in het huidige programma PIEZO PS-A belegd en reeds via die lijn gefinancierd. Verdere ontwikkelkosten zullen pas ontstaan bij de vormgeving van nieuwe zorgdiensten in de toekomst, waarover nog geen kosten bekend zijn, dit zal dan opnieuw moeten worden onderzocht.

Daarnaast zijn er structurele kosten voor het beheer van het NCPeH-NL. Er zal jaarlijks een budget gereserveerd worden voor het CIBG om het contactpunt in beheer te nemen en te onderhouden. Hiervoor is een kostenprognose gemaakt tot en met 2026 van ongeveer 2,4 miljoen euro per jaar.

7.1    Financiële gevolgen voor zorgverleners en zorgaanbieders

Dit wetsvoorstel heeft in mindere mate financiële gevolgen voor zorgverleners en zorgaanbieders. Een groot deel wordt gefinancierd door het ministerie van VWS. De koppeling met het Nederlandse contactpunt kost de zorgorganisatie wel geld. Daarnaast zijn de zorgaanbieders verantwoordelijk voor de bekostiging van de eigen activiteiten die benodigd zijn om aan te kunnen sluiten op het NCPeH-NL. Hierbij valt te denken aan het inrichten en/of wijzigen van processen, het trainen van eigen personeel, het opstellen van een DPIA en andere acties die benodigd zijn als onderdeel van de aansluitvoorwaarden.

7.2    Besparing zorgkosten

Het wetsvoorstel heeft potentieel ook structurele positieve financiële effecten voor zorgaanbieders. Wanneer gegevens van patiënten niet toegankelijk zijn, kan een aanzienlijke belemmering zijn voor de kwaliteit van de te verlenen zorg. Zonder deze informatie kan het diagnosticeren bemoeilijkt worden, en genetische factoren en allergieën over het hoofd worden gezien. Dit kan leiden tot vertraagde behandeling en zelfs de veiligheid van de patiënt in gevaar brengen. Zorgverleners verliezen tijd met (extra) administratieve handelingen, bijvoorbeeld omdat ze moeten wachten totdat een zorgverlener in het land van herkomst de gegevens verstrekt. Dit is tijd die ten koste gaat van de zorgverlening aan de patiënt. Bovendien kan het niet inzichtelijk zijn van gegevens ertoe leiden dat zorgverleners onnodige, soms kostbare, onderzoeken (over) moeten doen.

Hierdoor lopen de zorgkosten onnodig op. Het faciliteren van de grensoverschrijdende uitwisseling van noodzakelijke (gezondheids)gegevens zal derhalve een besparing van de zorgkosten opleveren.

7.3    Patiënten

Het wetsvoorstel heeft potentieel positieve financiële gevolgen voor patiënten (en zorgverzekeraars). Doordat medische gegevens over de grens beschikbaar zijn, kunnen onnodige onderzoeken en behandelingen voorkomen worden. Dit leidt tot lagere zorgkosten.

7.4    Effecten regeldruk

Zoals eerder in dit voorstel is aangegeven regelt dit wetsvoorstel geen verplichting voor zorgaanbieders om aan te sluiten op het NCPeH-NL. Nu dit op vrijwillige basis gebeurt, is er geen uitgebreide regeldrukberekening gemaakt. Er zijn wel aansluitvoorwaarden waaraan zorgaanbieders moeten voldoen als zij willen deelnemen. Deze voorwaarden zijn opgesteld om te zorgen dat de waarborgen van het MyHealth@EU netwerk gehandhaafd blijven.

8. Uitvoering

Op grond van dit wetsvoorstel is de minister van VWS belast met de inrichting, beschikbaarstelling, instandhouding, werking, beveiliging en het beheer van het NCPeH-NL. De oprichting van het NCPeH-NL op basis van de Richtlijn 2011/24/EU is een publieke taak. Een publiekrechtelijke organisatie is in beginsel de aangewezen organisatie om de publieke taak uit te voeren. In de toekomst zal onder de EHDS-verordening het beheer van het NCPeH ook moeten worden uitgevoerd door een publiekrechtelijk organisatie. Dit kan een dienstonderdeel van het ministerie, een agentschap of een publiekrechtelijk zelfstandig bestuursorgaan zijn. Daarom is in het wetsvoorstel tevens opgenomen dat de beheertaak met de bijbehorende bevoegdheden bij algemene maatregel van bestuur kan worden overgedragen aan een ander bestuursorgaan indien daar aanleiding voor is in het kader van de inwerkintreding van de EHDS.

Sinds juni 2019 is het CIBG door de minister van VWS aangewezen als beheerder van het NCPeH-NL. Het CIBG heeft ervaring in het beheer van registers, verwerken van (gecertificeerde) gegevens en het bieden van dienstverlening aan zorg professionals. Conform de Europese kaders houdt de beheertaak voor het NCPeH-NL onder meer in:

  • Regie en audit: het (beleggen van) de wettelijke/contractuele afspraken en de verantwoording aan de EU in de vorm van auditeren, conformeren, en testen aan de hand van Europese kaders.
  • Aanbieden diensten: zorgdragen voor het operationeel beheer van de technische faciliteiten en het leveren van de ondersteuning aan de gebruikers en het inrichten en onderhouden van de software volgens de Europese richtlijnen.
  • Terminologiediensten: het maken en beheren van de vertaaltabellen om semantische interoperabiliteit te bereiken, de Master ValueSet Catalogue.
  • NCPeH-NL portaal en applicatie: onderhouden van de software die als portaal dient voor de uitwisseling van de data.
  • Verbinding MyHealth@EU: zorgdragen voor de technische aansluiting op het MyHealth@EU netwerk, zodat het berichtenverkeer tussen het NCPeH-NL en de contactpunten van andere lidstaten goed verloopt.
  • Aansluiting zorgaanbieders: zorgdragen voor de technische aansluiting op wat genoemd wordt *de lokale zorginfrastructuur' zodat het berichtenverkeer tussen de Nederlandse zorgaanbieders en het NCPeH-NL goed verloopt.
  • Stakeholdermanagement: zorgaanbieders/gebruikers ondersteunen bij de implementatie van digitale grensoverschrijdende zorgdiensten en de (technische) aansluiting op de NCPeH-NL infrastructuur. Kennis-inhoudelijke ondersteuning bieden aan zorgaanbieders/gebruikers faciliteren van contacten en kennisuitwisseling tussen zorgaanbieders.

Voor het uitwisselen van digitale grensoverschrijdende zorgdiensten behelst de taak van het NCPeH-NL:

  • Het bieden van een service voor het controleren van de patiëntidentiteit.
  • Het opvragen van relevante patiëntgegevens bij bronsystemen.
  • Het samenvoegen en eventueel converteren van gegevens naar het formaat van de betreffende zorgdienst.
  • Het vertalen van codes vanuit Nederlandse codestelsels naar het intermediaire formaat.

Het CIBG heeft deze taak geaccepteerd en er is invulling gegeven aan deze rol middels beheerafspraken en overeenkomsten tussen de minister van VWS en het CIBG. Door de meerjarige programmatische ontwikkeling van het NCPeH-NL is in gezamenlijkheid uitvoering gegeven aan de Europese voorwaarden en richtlijnen.

9.    Toezicht en handhaving

De AP heeft ingevolge artikel 57 van de AVG en artikel 6, derde lid, UAVG tot taak toe te zien op de verwerking van persoonsgegevens overeenkomstig deze verordening en wet. De bestuursrechtelijke handhaving is ingevolge artikel 51 AVG in samenhang met artikel 14 UAVG toebedeeld aan de AP. De instrumenten die aan de AP zijn toegekend om de regels te kunnen handhaven staan in de artikelen 58, tweede lid, 83 en 84 AVG en in paragraaf 2.2 UAVG. De AP kan bijvoorbeeld een boete opleggen wanneer er sprake is van inbreuk op de artikelen 5, 6 of 9 AVG (artikel 83, vijfde lid, AVG). Verder kan de AP bijvoorbeeld een waarschuwing geven, een berisping opleggen, of een verwerkingsverbod opleggen (artikel 58, tweede lid, onder a, b en f) als er (waarschijnlijk) sprake is van inbreuk op de AVG. Ook kan de AVG een last onder dwangsom opleggen ter handhaving van de bij of krachtens de AVG gestelde plichten (artikel 16, eerste lid, UAVG). Daaronder vallen - na inwerkingtreding van dit wetsvoorstel - ook de hierboven genoemde bijkomende voorwaarden die gestoeld zijn op artikel 9, vierde lid, AVG. Artikel 15 UAVG regelt het aanwijzen van toezichthouders en geeft aan welke bevoegdheden de toezichthouders hebben, in aanvulling op de bevoegdheden zoals beschreven in titel 5.2 Algemene wet bestuursrecht.

10.    Advies en consultatie

10.1    Toets Autoriteit Persoonsgegevens (AP)

De AP wordt gevraagd om advies, gelijktijdig aan de internetconsultatie. Wanneer de resultaten hiervan ontvangen zijn, zullen de reacties worden verwerkt in het huidige voorstel. Deze paragraaf zal dan overeenkomstig worden aangevuld.

10.2    Toets Adviescollege toetsing regeldruk (ATR)

Het conceptwetsvoorstel wordt voor advies voorgelegd aan het ATR, gelijktijdig met de internetconsultatie. Wanneer de resultaten zijn ontvangen, zal deze paragraaf overeenkomstig worden aangevuld.

ARTIKELGEWIJS DEEL

Artikel 1: Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

Onderdeel A - Artikel 1 (begripsbepalingen)

Met dit wetsvoorstel wordt geregeld dat het beheer van het NCPeH-NL een wettelijke taak van de minister is en wordt voorzien in de vereiste grondslagen voor het uitwisselen van patiëntinformatie met nationale contactpunten van andere lidstaten via het digitale e-gezondheidsnetwerk MyHealth@EU. De taak van het NCPeH-NL behelst in de kern de uitwisseling van persoonsgegevens tussen zorgverleners ten behoeve van zorg over de grens. Daarom is ervoor gekozen deze taak in de Wabvpz te beleggen.

Om duidelijk te maken dat het gaat om het uitwisselen van medische informatie door middel van informatie- en communicatietechnologie, waarbij het nationaal contactpunt als schakel tussen zorgaanbieders in Nederland en nationale contactpunten in andere lidstaten fungeert, zijn aan artikel 1 de begripsbepaling en "nationaal contactpunt voor e-gezondheid" opgenomen. Aansluiting met een nationaal contactpunt op het MyHealth@EU-netwerk is op grond van richtlijn 2011/24/EU mogelijk voor lidstaten van de Europese Unie en andere landen die partij zijn bij de EER. Daarom is ook de begripsbepaling "lidstaat" in artikel 1 opgenomen. Tot slot is gedefinieerd wat onder een patiënt uit Nederland moet worden verstaan, te weten degene die op grond van de Wet langdurige zorg verzekerd is.

De nieuw in te voegen begripsbepalingen zijn overeenkomstig aanwijzing 5.69 geletterd met een #. Dit symbool wordt in de drukproeffase van het Staatsblad vervangen door de juiste lettering, op dat moment is namelijk duidelijk op welk onderdeel het nieuwe onderdeel zal aansluiten. Er zijn namelijk meerdere wetsvoorstellen die aan artikel 1 nieuwe onderdelen beogen toe te voegen, zoals de Verzamelwet gegevensverwerking VWS I en de Wet digitale identificatie en autorisatie in de zorg.

Onderdeel B - Artikelen 15k, 15l en 15m (wettelijke taak, grondslagen voor het uitwisselen van

persoonsgegevens en aansluiting op het NCPeH-NL)

Artikel 15k (nieuw) - Het beheer van het NCPeH-NL

Aan de Wabvpz wordt het hoofdstuk 3b. "Nationaal contactpunt voor e-gezondheid'' toegevoegd dat aanvangt met artikel 15k. In het eerste lid van deze bepaling wordt de taak tot het inrichten en in stand houden van het NCPeH-NL bij de minister belegd. Aldus is sprake van een taak als bedoeld in artikel 6, eerste lid, onder e, van de AVG, voor de uitoefening waarvan de verwerking van persoonsgegevens noodzakelijk is.

Het CIBG voert de taak namens de minister uit, hetgeen erop neerkomt dat een service wordt geboden voor het controleren van de patiëntidentiteit, relevante gegevens worden opgevraagd bij bronsystemen en indien toestemming is verleend door de patiënt deze gegevens worden samengevoegd en geconverteerd naar het format van de betreffende zorgdienst. De codes vanuit het Nederlandse codestelsel worden vertaald naar het intermediaire formaat als het gaat om Nederlandse patiënten die worden behandeld in een andere lidstaat en de intermediaire codes vanuit een andere lidstaat worden vertaald naar de Nederlandse codes en taal zodat ze gebruikt kunnen worden door een zorgverlener in Nederland die een patiënt onder behandeling heeft uit een andere lidstaat.

In het tweede lid wordt verduidelijkt welk doel met deze taak wordt gediend, te weten het uitwisselen van patiëntinformatie tussen zorgaanbieders in verschillende lidstaten door tussenkomst van nationale contactpunten met het oog op de verlening van zorg. Het gaat hier om het uitwisselen van gegevens van een patiënt uit een andere lidstaat ten behoeve van zorg in Nederland (onderdeel a) of van een patiënt uit Nederland met het oog op zorg in een andere lidstaat (onderdeel b), hetgeen nader wordt uitgewerkt in de artikelen 15l en 15n.

Omdat de taak in de kern erop neerkomt dat de minister als beheerder van het NCPeH-NL (bijzondere) persoonsgegevens ontvangt, verwerkt en verstrekt, voorziet het derde lid in de bevoegdheid voor de minister om ten behoeve van die taak persoonsgegevens te verwerken.

Het uitwisselen van patiëntgegevens via nationale contactpunten vindt plaats door middel van verschillende digitale grensoverschrijdende zorgdiensten. Zoals in het algemene deel is toegelicht zijn de reeds bestaande zorgdiensten het uitwisselen van patient summaries (patiëntsamenvattingen) en ePrescriptions (elektronische recepten). In de toekomst zullen daar nog andere zorgdiensten bijkomen. De introductie van zorgdiensten zal steeds plaatsvinden door middel van een AMvB, waarin nader wordt geregeld welke gegevens tussen wie zullen worden uitgewisseld. De mogelijkheid tot het stellen van nadere regels bij AMvB wordt geregeld in het vierde lid.

Tot slot is in het vijfde lid een delegatiegrondslag opgenomen die het mogelijk maakt de taak tot beheer van het NCPeH-NL aan een ander bestuursorgaan over te dragen. Niet uitgesloten is dat het in de toekomst wenselijk kan zijn het beheer van het NCPeH-NL bij een ander bestuursorgaan te beleggen. Dat kan bijvoorbeeld aan de orde zijn wanneer de EHDS in werking treedt, waarmee voor lidstaten de verplichting ontstaat tot het oprichten van een digitale gezondheidsautoriteit, waarvan ook het nationaal contactpunt onderdeel mag uitmaken.

Artikel 15l (nieuw) - Grondslagen voor het verwerken (bijzondere) persoonsgegevens ten behoeve van zorg in Nederland aan een patiënt uit een andere lidstaat

Eerste lid

Artikel 15l betreft de uitwerking van de in artikel 15k, onderdeel a, bedoelde situatie dat een patiënt uit een andere lidstaat in Nederland zorg behoeft. Het eerste lid ziet op de fase waarin een zorgaanbieder zich tot het NCPeH-NL wendt met het verzoek om in het land van herkomst gegevens over de patiënt op te vragen.

Om via het NCPeH-NL een verzoek om patiëntgegevens te doen, dient de zorgaanbieder op de website van het NCPeH-NL in te loggen. Daarbij worden diverse gegevens van de zorgaanbieder vastgelegd, waaronder identificerende gegevens zoals UZI-nummer en AGB-code, alsook een indicatie van een behandelrelatie met de patiënt. Verder zullen ter identificatie van de patiënt persoonsgegevens van deze patiënt moeten worden ingevoerd. Welke dit zijn kan per lidstaat verschillen, maar de eis van dataminimalisatie staat hierbij voorop. Het zal daarom niet om meer gegevens gaan dan voor- en achternaam, geslacht, geboortedatum, nationaliteit en het persoonsidentificerende nummer dat in de desbetreffende lidstaat wordt gebruikt. Deze gegevens worden via het NPCeH-NL met het nationaal contactpunt uit het land van herkomst gedeeld om de patiëntgegevens die in dat land beschikbaar zijn op te vragen.

De grondslagen voor NPCeH-NL om de door de zorgaanbieder verstrekte persoonsgegevens te mogen verwerken en te verstrekken aan een nationaal contactpunt in een andere lidstaat, zoals hiervoor uiteengezet, zijn in het eerste lid opgenomen. Daarbij is ook de bevoegdheid geregeld om gegevens over de gezondheid van de patiënt te verwerken, omdat de indicatie van de behandelrelatie tussen zorgaanbieder en patiënt een gezondheidsgegeven is. Daarmee is in overeenstemming met artikel 9, tweede lid, onder h, van de AVG een grondslag gecreëerd voor het doorbreken van het verbod op het verwerken van bijzondere persoonsgegevens.

Tweede lid

Het tweede lid ziet op de volgende fase in het opvragen van gegevens over een patiënt uit een andere lidstaat die in Nederland zorg behoeft. Wanneer in het land van herkomst patiëntgegevens beschikbaar zijn, zal het nationaal contactpunt uit die lidstaat deze gegevens aan het NCPeH-NL verstrekken. De gegevens worden door het NCPeH-NL door middel van een geautomatiseerd proces vertaald en tezamen met de originele versie verstrekt aan de zorgaanbieder die erom heeft verzocht. Voor deze verwerkingen worden in het tweede lid de benodigde grondslagen gegeven, waaronder een grondslag in overeenstemming met artikel 9, tweede lid, onder h, van de AVG voor het doorbreken van het verbod op het verwerken van bijzondere persoonsgegevens, nu het bij uitstek om gezondheidsgegevens gaat.

Artikel 15m (nieuw) - Grondslagen voor het verwerken (bijzondere) persoonsgegevens ten behoeve van zorg in een andere lidstaat aan een patiënt uit Nederland

Eerste en tweede lid

Artikel 15m betreft de uitwerking van de in artikel 15k, onderdeel b, bedoelde situatie, waarin een patiënt uit Nederland in een andere lidstaat zorg behoeft. In dat geval vraagt het nationaal contactpunt uit die lidstaat het NCPeH-NL om gegevens over die patiënt te verstrekken. In het eerste lid worden de grondslagen gegeven voor het verwerken van de persoonsgegevens die het NCPeH-NL in het kader van dat verzoek ontvangt, alsook voor de verdere verstrekking daarvan aan de zorgaanbieders van de patiënt in Nederland.

Wanneer de patiënt zijn zorgaanbieders toestemming voor het delen van zijn gegevens heeft gegeven, zullen deze gegevens aan het NCPeH-NL worden verstrekt, die het op zijn beurt zal verstrekken aan het nationaal contactpunt die erom heeft verzocht. Het tweede lid bevat de grondslag voor de verwerking door het NCPeH-NL van de door de zorgaanbieders aangeleverde gegevens, waaronder gezondheidsgegevens, en de verstrekking aan het nationaal contactpunt uit de andere lidstaat. Daarmee is in overeenstemming met artikel 9, tweede lid, onder h, van de AVG een grondslag gecreëerd voor het doorbreken van het verbod op het verwerken van bijzondere persoonsgegevens.

Derde lid

Een verzoek van een nationaal contactpunt uit een andere lidstaat aan het NCPeH-NL om patiëntgegevens te verstrekken bevat het BSN en de geboortedatum van de Nederlandse patiënt, zodat de identiteit van de patiënt door het NCPeH-NL kan worden vastgesteld en bij zorgaanbieders de gegevens over deze patiënt kunnen worden opgevraagd. Het derde lid voorziet er daarom in dat het NCPeH-NL het BSN verwerkt voor zover dat noodzakelijk is voor de uitvoering van de taak. Daaronder valt het delen van het BSN met het RvIG. Verder is uitdrukkelijk bepaald dat daaronder ook het delen van het BSN nationale contactpunten van andere lidstaten en zorgaanbieders wordt begrepen. Aldus wordt voldaan aan de in artikel 46 van de Uitvoeringswet AVG gestelde eis dat de verwerking van een BSN slechts is toegestaan in bij wet bepaalde gevallen.

Vierde lid

In het geval zorgaanbieders voor het uitwisselen van patiëntgegevens gebruik maken van de diensten van een derde partij, zoals bijvoorbeeld het Landelijk Schakelpunt (LSP) dat een elektronisch uitwisselingssysteem is waarvoor het LSP zelf verwerkingsverantwoordelijk is, vindt de uitwisseling plaats met die derde partij.

Artikel 15n (nieuw) - Aansluiting op het NCPeH-NL

Tot de taak als bedoeld in artikel 15k, eerste lid, behoort ook de aansluiting op het NCPeH-NL van zorgaanbieders. Een zorgaanbieder die wil worden aangesloten, zal hiertoe een aanvraag bij de minister moeten doen (lid 1). Deze aanvraag geschiedt door middel van een door de minister beschikbaar gesteld aanvraagformulier (lid 2). In de praktijk zal dit een online aanvraagformulier zijn dat op de website van het CIBG dient te worden ingevuld. De minister toetst vervolgens aan de hand van de aanvraag of een zorgaanbieder voldoet aan de aansluitvoorwaarden. Het gaat hier om voorwaarden op het gebied van onder meer van software, beveiliging en registratie in het UZI-register. Het vierde lid bepaalt dat deze voorwaarden bij of krachtens AMvB worden vastgesteld, waarbij - in overeenstemming met aanwijzing 2.24 - geldt dat de minister bij ministeriële regeling slechts voorschriften mag vaststellen die van administratieve aard zijn, die zich beperken tot de uitwerking van (technische) details of die regelmatig dan wel met grote spoed wijziging behoeven.

Artikel II: Inwerkingtreding

Beoogd wordt om deze wet, met uitzondering van onderdeel [P.M.], bij koninklijk besluit in werking te laten treden op 1 januari 2026.

26

1

Richtlijn 2011/24/EU van het Europees Parlement en de Raad, 9 maart 2011, PbEU 2011, L 88/45.

2

In de wetsartikelen wordt dit aangeduid als Nationaal contactpunt voor e-gezondheid.

3

Guideline on an Organisational Framework for the National Contact Point for eHealth.

4

   MvHealth@EU Readiness Criteria Checklist: Requirements catalogue V7.0.0 RC - eHN guidelines.

5

   Zo volgt uit het advies van European Data Protection Board: 'In particular, a specific legal requirement, in accordance with Article 9.2 GDPR, is necessary for the supranational processing operations that are developed on top of the existing national eHealth systems for the purpose of cross-border healthcare by means of CBeHIS [...]. To this end the sole provisions of the Crossborder Healthcare Directive along with the Agreement do not appear to fulfil the necessary requirements set forth by Article 9 GDPR for the lawful processing of this special category of personal data. Nevertheless, in the light of Article 9.2.h GDPR, national transposition laws adopted by Member States on the basis of the Directive 2011/24/EU and the Agreement, combined with the general national provisions on eHealth, could be taken into consideration as an adequate ground for the lawful cross-border exchange of health data within the EU, if they provide for specific and suitable measures so as to ensure legal certainty and protect the fundamental rights of the individuals in relation to their personal data'.

6

   De ambitie voor zorginformatiedeling in de internationale context, zoals geschetst in Kamerstuk 7529 nr. 160, is uitgewerkt in dit beleid.

7

   Een digitaal recept waarmee burgers in een andere lidstaat medicijnen kunnen ophalen.

8

   Een digitaal afgiftebewijs dat wordt teruggezonden naar het thuisland wanneer een burger in een andere lidstaat medicijnen ophaalt.

9

   Aanvankelijk voorzag de Verzamelwet gegevensverwerking VWS II in de wettelijke basis voor specifiek de verwerkingen die plaatsvinden in het kader van zorgdienst PS-B. Na een advies van de Autoriteit Persoonsgegevens op dit wetsvoorstel en de beleidskeuze om de zorgdiensten verder uit te breiden is besloten een apart wetsontwerp te maken. De verwerkingen die thans gedaan worden voor PS-B vinden plaats op grond van uitdrukkelijke toestemming. De patiënt uit de andere lidstaat geeft schriftelijk toestemming aan de Nederlandse zorgverlener. De zorgverlener moet zorgen dat de uitdrukkelijke toestemming naar het NCPeH-NL wordt gestuurd zodat deze kan voldoen aan de verantwoordingsplicht onder de AVG. Dit wordt als omslachtig en beveiligingsrisico gezien. Bovendien gaat het hier om toestemming aan de overheid, waarbij zich al gauw de vraag aandient of de toestemming wel in volledige vrijheid is gegeven, gezien de afhankelijke positie waarin een burger ten opzichte van de overheid verkeert. Verder biedt de grondslag uitdrukkelijke toestemming geen duurzame oplossing voor zorgdienst PS-A en andere toekomstige zorgdiensten. Een wettelijke grondslag is daarom gewenst.

10

   Subsidieovereenkomst: INEA/CEF/ICT/A2017/1539618

11

   Subsidieovereenkomst: 101128473

12

Eurobarometer 425

13

MyHealth@EU Readiness Criteria Checklist

14

Zoals opgenomen in het programma van eisen PIEZO PS-A (versie 1.0, 25-08-2023, gebaseerd op MyHealth@EU Requirements Catalogue) geldt het volgende criterium; de patiënt moet uniek en veilig geïdentificeerd worden op nationaal niveau (door de nationale infrastructuur van het land van herkomst).

Figuur 1: weergave gegevensstroom binnen MyHealth@EU

3.2.4 Scenario B. Opvragen zorgdienst voor patiënt uit andere lidstaat door Nederlandse zorgaanbieder

Als een burger uit een andere lidstaat zich meldt bij een Nederlandse zorgaanbieder die is aangesloten op MyHealth@EU, verloopt het proces als volgt. De Nederlandse zorgverlener wil nagaan of van deze patiënt een digitale zorgdienst zoals een patiëntsamenvatting kan worden opgevraagd bij zorgaanbieders in het land van herkomst. Als eerste logt de zorgverlener in door

15

   Het op 4 november 1950 te Rome tot stand gekomen Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (Trb. 1951, 154).

16

   Het op 7 december 2000 tot stand gekomen en op 12 december 2007 te Straatsburg aangepaste Handvest van de grondrechten van de Europese Unie, is juridisch bindend ingevolge artikel 6 van het Verdrag betreffende de Europese Unie, zoals dat is gewijzigd op grond van het op 13 december 2007 te Lissabon

tot stand gekomen Verdrag van Lissabon tot wijziging van het Verdrag betreffende de Europese Unie en het Verdrag tot oprichting van de Europese Gemeenschap (Trb. 2008, 11).

17

Article 29 Data Protection Working Party

18

   HR, ECLI:NL:HR:2017:288, r.o. 2.3.2, (vgl. HR 19 december 1995, NJ 1996/249, r.o. 6.4.2); HR, ECLI:NL:HR:2020:639, r.o.

2.5.2.

19

   Kamerstukken II 2019/20, 35447, nr.4, Advies Afdeling Advisering Raad van State en nader rapport, WGS, p. 26.

20

   Patiëntsamenvatting, elektronische recepten, elektronische verstrekkingen, medische beelden en verslagen, medische testresultaten en ziekenhuisontslagverslagen.

21

   Een EUS is volgens de Wabvpz kort gezegd een systeem waarmee zorgaanbieders op elektronische wijze gegevens voor andere zorgaanbieders raadpleegbaar kunnen maken. Het gaat daarbij niet om systemen die door zorgaanbieders intern gebruikt worden voor het bijhouden van een elektronisch dossier.

22

Zie de initiële tekst van Uitvoeringsbesluit 2019/1765/EC van 22 oktober 2019, 'tot vaststelling van de voorschriften voor de oprichting, het beheer en de werking van het netwerk van nationale autoriteiten die verantwoordelijk zijn voor e-gezondheid, en tot intrekking van Uitvoeringsbesluit 2011/890/EU', overweging 20 en 21, te vinden op https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32019D1765

 
 
 

3.

Meer informatie

 

4.

Parlementaire Monitor

Met de Parlementaire Monitor volgt u alle parlementaire dossiers die voor u van belang zijn en bent u op de hoogte van alles wat er speelt in die dossiers. Helaas kunnen wij geen nieuwe gebruikers aansluiten, deze dienst zal over enige tijd de werkzaamheden staken.