FAQ: Wat houdt het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) in en wat is de verhouding tot de AVG?
(Digitale) gegevensuitwisseling in de zorg is een actueel thema. Illustratief is een item bij EenVandaag van april 2021 waarin de analoge werkwijze bij gegevensuitwisseling in de zorg wordt aangekaart, maar ook dit artikel in het NRC van afgelopen maand waarin verslag werd gedaan van een datalek waardoor duizenden gevoelige patiëntgegevens op straat kwamen te liggen.
Dat gegevensuitwisseling in de zorg ook op de radar is van de Autoriteit Persoonsgegevens (AP) blijkt bovendien uit de boetes die de AP met enige regelmaat oplegt aan zorgaanbieders (zie bijvoorbeeld de boetes opgelegd aan het HagaZiekenhuis en het OLVG).
Een van de stappen die de regering heeft gezet om het functioneren van elektronische gegevensuitwisseling tussen zorgverleners te verbeteren, is het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz). Dit Wetsvoorstel is op 3 mei 2021 op voordracht van de Minister voor Medische Zorg en Sport ingediend en is op dit moment in behandeling bij de Tweede Kamer. De Wegiz heeft tot doel om – op termijn – gegevensuitwisseling in de zorg verplicht elektronisch te laten verlopen en daarmee kwalitatief betere zorg te kunnen bieden. De Tweede Kamer heeft zelfs kenbaar gemaakt het wetsvoorstel nog voor het zomerreces te willen behandelen.
In dit blogbericht bespreken wij in FAQ-vorm de voornaamste wijzigingen die de Wegiz met zich brengt en hoe het wetsvoorstel zich verhoudt tot de AVG. De AVG bevat immers het kader voor iedere verwerking van persoonsgegevens en dus ook de gegevens die zorgverleners (al dan niet verplicht) uitwisselen.
Wat is de systematiek van de Wegiz?
De Wegiz beoogt een einde te maken aan de (vaak nog analoge) wijze waarop gegevens tussen zorgverleners worden uitgewisseld.
De Wegiz moet worden gezien als een kaderwet, die de basis vormt om bij AMvB voor een specifieke gegevensuitwisseling te verplichten dat deze uitwisseling ten minste elektronisch plaatsvindt. Middels een meerjarenagenda Wegiz wordt vastgesteld welke gegevensuitwisselingen als eerste onder de Wegiz moeten worden gebracht. Blijkens de Beleidsbrief bij aanbieding wetsvoorstel Wegiz wordt bijvoorbeeld prioriteit gegeven aan Medicatie-Digitaal receptenverkeer en de verpleegkundige overdracht, maar een update van de Meerjarenagenda kunnen wij deze zomer nog verwachten. De aanwijzing dat een gegevensuitwisseling elektronisch moet verlopen gebeurt bij AMvB.
De Wegiz voorziet er bovendien in dat bij AMvB wordt bepaald welke gegevensuitwisselingen eisen opgelegd krijgen ten aanzien van taal en techniek. Deze aanwijzing houdt tevens in dat verplicht gebruik wordt gemaakt van een informatietechnologieproduct of –diensten die gecertificeerd zijn.
Deze aanwijzingen vinden niet direct plaats bij de inwerkingtreding van de Wegiz, maar de wet zet twee sporen uiteen. Gegevensuitwisselingen die in spoor 1 zijn aangewezen moet in elk geval elektronisch plaatsvinden. Gegevensuitwisselingen die in spoor 2 zijn aangewezen moeten verlopen volgens eisen ten aanzien van taal en techniek, die in NEN-normen zullen zijn vastgelegd. Welke NEN-normen gelden zal worden vastgelegd in de AMvB.
De AMvB (Besluit elektronische gegevensuitwisseling in de zorg, Begiz) is reeds in concept aangeboden aan de Tweede Kamer en geeft al een indruk van de wijze waarop de spoor 1 en spoor 2 aanwijzingen zullen plaatsvinden, maar ook de wijze waarop de certificering van ICT-producten of –diensten plaatsvindt. Heel veel onderwerpen zijn daarin ook nog niet uitgewerkt.
Voor wat betreft de timing van de aanwijzingen van gegevensuitwisselingen in spoor 1 en spoor 2 heeft de Minister in de eerdergenoemde Beleidsbrief laten weten dat de eerste aanwijzingen naar verwachting zullen plaatsvinden in 2022, opgevolgd door aanwijzingen in 2024 en vervolgens weer in 2026 en 2027. Het zal dus nog geruime tijd duren voordat elektronische gegevensuitwisseling tussen zorgverleners in alle gevallen verplicht is.
Creëert de Wegiz een nieuwe verwerkingsgrondslag voor de gegevensuitwisselingen?
Nee, de Wegiz blijft binnen de bestaande wettelijke kaders van de AVG en creëert daarmee geen nieuwe grondslag voor uitwisseling van (bijzondere) persoonsgegevens van patiënten. De regels rondom grondslagen voor gegevensverwerkingen uit de AVG staan volgens de MvT niet ter discussie en zijn onverminderd van kracht: als binnen het bestaande wettelijke kader geen grondslag bestaat voor de uitwisseling van gegevens, kan deze ook niet plaatsvinden en wordt er evenmin toegekomen aan de regels uit de Wegiz. Kort gezegd beantwoordt de Wegiz dus niet de vraag of gegevens tussen zorgverleners mogen worden uitgewisseld, maar wel – als de grondslag bestaat – hoe de gegevensuitwisseling plaats moet vinden.
De Wegiz (en het daaronder vallende Begiz) zijn dus aangewezen op de verwerkingsgrondslagen uit art. 6, eerste lid, AVG. In de praktijk zal vaak worden aangesloten bij het ‘verkrijgen van toestemming van betrokkene’, als bedoeld in art. 6, eerste lid, onder a, AVG. Een patiënt geeft bijvoorbeeld toestemming aan zijn huisarts om zijn gegevens te delen met een specialist (NB: vgl. art. 15a, eerste lid, Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), dat lijkt te suggereren dat gegevensuitwisseling door de zorgaanbieder louter is toegestaan na verkrijging van uitdrukkelijke toestemming van patiënt: daarmee lijken andere verwerkingsgrondslagen uit de AVG op voorhand te worden uitgesloten).
‘Toestemming’ als verwerkingsgrond is overigens niet uitvoerbaar als niet bekend is op welke gegevens de toestemming precies ziet. De MvT bij het wetsvoorstel stelt dan ook dat dit betekent dat in de AMvB een duidelijke koppeling moet worden gemaakt tussen welke gegevens uitgewisseld worden die noodzakelijk zijn voor het leveren van goede zorg aan de patiënt en hoe die uitwisseling plaats moet vinden. Met het oog op de rechtszekerheid is het daarbij essentieel dat kenbaar en actueel voldoende nauwkeurig wordt omschreven welke gegevens elektronisch uitgewisseld moeten worden, zodat er ook daadwerkelijk sprake kan zijn van een ‘gespecificeerde toestemming’ als verwerkingsgrondslag. Tot op heden is hier in ieder geval nog géén sprake van. Het (concept) Begiz (hoofdstuk 2) bevat nu nog geen bepalingen over de aan te wijzen gegevensuitwisselingen.
Zorgaanbieders moeten tot slot ook rekening houden met het beginsel van dataminimalisatie (art. 5, eerste lid, onder c, AVG): de gegevens waarvoor toestemming wordt gevraagd dienen toereikend, ter zake dienend en noodzakelijk zijn voor het doel waarvoor zij worden verwerkt.
Wie zijn de actoren onder de Wegiz?
Belangrijke actoren onder de Wegiz zijn naast de patiënt: de zorgverlener, de zorgaanbieder en de ICT-leverancier.
- De zorgverlener: De Wegiz ziet op gegevensuitwisseling tussen zorgverleners. De MvT benadrukt dat zorgverleners bepalen welke gegevens nodig zijn als onderdeel van de goede zorg. Zorgverleners leggen dit neer in onderdelen van de professionele standaard of in kwaliteitsstandaarden. Op grond van de Wet kwaliteit, klachten en geschillen zorg (“Wkkgz”) moeten zorgaanbieders ervoor zorgen dat zorgverleners overeenkomstig kwaliteitsstandaarden handelen. Echter moet de zorgverlener wel altijd nog een eigen afweging maken.
- De zorgaanbieder: De Wegiz richt zich heel duidelijk op de zorgaanbieder. De verplichting van zorgaanbieders is neergelegd in art. 2.1 lid 1 van het voorstel Wegiz: “Een zorgaanbieder ziet er op toe dat in een aangewezen gegevensuitwisseling bij het uitwisselen van gegevens door onder hem ressorterende zorgverleners ten minste gebruik wordt gemaakt van een elektronische infrastructuur”. Daarnaast blijkt uit lid 2 dat de zorgaanbieder erop toeziet dat als er eisen zijn gesteld, de zorgverlener hieraan voldoet tenzij het eisen betreffen die zien op informatietechnologieproducten en –diensten. Het is dus de verantwoordelijkheid van de zorgaanbieder dat de uitwisseling door zorgverleners plaatsvindt overeenkomstig de verplichtingen uit de Wegiz. Blijkens de MvT bij de Wegiz kan de zorgaanbieder een instelling zijn, maar ook een solistisch werkende zorgverlener, in zijn rol als bestuurder. Dit is in overeenstemming met de definitie van ‘zorgaanbieder’ in de Wkkgz, waarnaar in artikel 1 Wegiz ook expliciet wordt verwezen. De Wkkgz kent een ruime definitie van het begrip zorgaanbieder.Van belang voor de verantwoordelijkheid van de zorgaanbieder onder de Wegiz is, dat deze niet zo ver gaat, dat de zorgaanbieder ook verantwoordelijk is voor het functioneren van het ICT-product. Een certificering van ICT-leveranciers is hiervoor de oplossing.
- De ICT-leverancier: Certificering van ICT-leveranciers is geregeld in paragraaf 3 van het Wetsvoorstel. Daarnaast hebben ICT-leveranciers op grond van de Wegiz een eigen verantwoordelijkheid gekregen, waarop de Minister toezicht kan houden. Artikel 4.3 Wegiz bepaalt namelijk dat de ICT-leverancier een boete kan krijgen als hij niet over de juiste certificering beschikt. De wijze van certificering wordt uitgewerkt in de Begiz. Het conceptvoorstel voor de Begiz bepaalt bijvoorbeeld dat een instelling door de Minister kan worden aangewezen als een certificerende instelling. Aanvragen voor certificering kunnen door ICT-leveranciers worden ingediend bij deze door de Minister aangewezen gecertificeerde instellingen.
Wie is (verwerkings-)verantwoordelijk(e) voor de gegevensuitwisselingen tussen zorgverleners?
Zoals hierboven al aangestipt bepaalt artikel 2.1 dat een zorgaanbieder erop toeziet dat bij een uitwisseling van gegevens waarop de Wegiz van toepassing is, ten minste gebruik wordt gemaakt van een elektronische infrastructuur. De zorgaanbieder is hiermee verantwoordelijk voor de materiële middelen waarvan gebruik wordt gemaakt en voor de organisatie van de informatiehuishouding voor deze gegevensuitwisseling. De verplichtingen uit de Wegiz zijn daarom opgelegd aan de zorgaanbieder en niet aan de zorgverlener. Hoewel de verplichtingen op grond van de Wegiz dus zien op de uitwisseling van gegevens tussen zorgverleners, is de zorgaanbieder ervoor verantwoordelijk dat de uitwisseling plaatsvindt overeenkomst de verplichtingen uit de Wegiz.
Dit vertaalt zich onder de AVG naar het volgende: gelet op bovenstaande zal het de zorgaanbieder zijn die de context, het doel en de middelen van de gegevensuitwisseling (de verwerking) bepaalt. Hij is hiermee ‘verwerkingsverantwoordelijke’ als bedoeld in artikel 4, onder 7, AVG en zal moeten voldoen aan de daarbij horende verplichtingen uit Hoofdstuk IV AVG. Denk hierbij aan het treffen van passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd en dat patiënten (betrokkenen) hun rechten onder de AVG kunnen effectueren.
In de praktijk zal de zorgaanbieder afhankelijk zijn van zorgverleners om zijn verantwoordelijkheid onder de Wegiz (en de AVG) waar te kunnen maken, zo stelt ook de MvT bij het wetsvoorstel. Immers, het zijn de zorgverleners die (in opdracht van de zorgaanbieder) daadwerkelijk onderling gegevens moeten uitwisselen. De MvT suggereert dan ook dat de zorgaanbieder het zo moet organiseren, dat de zorgverleners verantwoording aan hem afleggen. Het is daarbij niet relevant of deze zorgverleners in loondienst zijn van de zorgaanbieder of op andere wijze door de zorgaanbieder worden ingeschakeld. Wij stellen ons voor dat deze afspraken worden vastgelegd in een private (verwerkers)overeenkomst tussen zorgaanbieder en de verschillende zorgverleners (zie ter illustratie deze in de praktijk al veelvuldig gebruikte modelverwerkersovereenkomst voor de zorgsector uit 2017, die mogelijk nog zal worden geüpdatet na de inwerkingtreding van de Wegiz).
Wat zijn de rechten van patiënten onder de Wegiz?
De rechten van patiënten uit de AVG (en overigens ook uit de Wabvpz en andere voor de zorg relevante wetgeving) blijven met de invoering van de Wegiz zoals gezegd onverminderd van toepassing. Zo dient een zorgaanbieder te verzekeren dat een patiënt zijn gegevens kan inzien en rectificeren, indien zijn gegevens fouten bevatten. Bovendien kent de AVG de patiënt het recht toe om zijn gegevens te (laten) wissen, uiteraard met inachtneming van de dossierplicht en de bewaarplicht van de zorgaanbieder.
Hierbij is ook relevant om op te merken dat als de toestemming van patiënt wordt gehanteerd als verwerkingsgrondslag van de gegevensuitwisseling, een patiënt altijd het recht moet hebben om deze toestemming vrijelijk in te trekken. Indien er niet tevens een andere grondslag voor de verwerking is, kan deze ook niet meer plaatsvinden. Dit maakt reeds uitgevoerde verwerkingen overigens niet met terugwerkende kracht onrechtmatig. Het betekent wel dat er geen nieuwe verwerkingshandelingen met de gegevens mogen worden uitgevoerd.
Moeten zorgaanbieders straks verplicht een gecertificeerd product afnemen?
Ja, de Wegiz bevat de grondslag om bij AMvB (de Begiz) te bepalen dat er eisen gelden om gegevens uit te wisselen op genormaliseerde wijze (dus bijvoorbeeld volgens NEN-normen). Dit is de spoor 2 aanwijzing, waarover wij eerder spraken. Als sprake is van een spoor 2 aanwijzing, dan wordt bij AMvB certificering verplicht gesteld, maar alleen voor wat betreft de eisen die zien op de ICT-producten of –diensten. De MvT verduidelijkt dat de certificering niet ziet op organisatorische aspecten, omdat deze eisen zich richten tot de zorgaanbieder. De ICT-leverancier kan hier dus niet verantwoordelijk voor zijn. De norm die van toepassing wordt verklaard (bijvoorbeeld een NEN-norm) zal hierover duidelijkheid moeten geven. Op dit moment is er een nieuwe NEN-norm in ontwikkeling over gegevensuitwisseling in de zorg (NEN 7503:2021). Deze zal naar verwachting eind 2021 gereed zijn, volgens informatie op de website van NEN.
Wanneer een certificaatplicht is opgenomen in de Begiz, dan geldt op grond van artikel 2.1 lid 2 Wegiz de verplichting voor zorgaanbieders om erop toe te zien dat hun zorgverleners slechts gebruikmaken van het gecertificeerde product. Het is overigens op basis van het Wetsvoorstel op zichzelf mogelijk dat er een aanwijzing in spoor 2 heeft plaatsgevonden voor een gegevensuitwisseling, maar dat de verplichting over een certificaat te beschikken daarin niet is opgenomen. Uit het Wetsvoorstel, noch uit de MvT, blijkt wat daarvan het gevolg is. Duidelijk is wel dat de verplichting voor zorgaanbieders om een gecertificeerd product af te nemen en te gebruiken op grond van artikel 2.1 lid 3 van de Wegiz alleen geldt wanneer daadwerkelijk een certificaatplicht geldt.
Hoe is handhaving onder de Wegiz geregeld en wat is de rol van de AP?
Handhaving is geregeld in de artikelen artikel 4.1 tot 4.4 Wegiz. De Minister heeft deze taak gekregen en zal deze taak en bijbehorende bevoegdheden in de praktijk mandateren aan de Inspectie Gezondheidszorg en Jeugd (IGJ), zo blijkt uit de MvT. Ambtenaren die toezicht houden worden ook door de Minister aangewezen.
Het toezicht van de IGJ zal met name gericht zijn op de volgende aspecten van de Wegiz:
- Toezicht op de verplichting om gegevensuitwisselingen elektronisch te laten verlopen;
- Toezicht op de verplichting om een vastgelegde norm na te leven;
- Toezicht op de verplichting om een gecertificeerd ICT-product of –dienst te gebruiken;
- Toezicht op de verplichting om ICT-producten en –diensten alleen aan te bieden wanneer er een certificaat is verkregen
Toezicht op de ICT-producten en –diensten zelf vindt niet plaats door de IGJ. Het Wetsvoorstel voorziet erin dat er certificerende instellingen zijn die moeten beoordelen of aan alle eisen voor het certificaat is voldaan. Deze certificerende instellingen worden aangewezen door de Minister (artikel 3.2 Wegiz). Zij verstrekken en verlengen de certificaten en kunnen de certificaten schoren of intrekken. Volgens de MvT bij het wetsvoorstel handelen deze certificerende instellingen als zelfstandig bestuursorgaan, maar alleen voor zover het de uitvoering van de publieke taak betreft. De certificerende instellingen blijven voor het overige privaatrechtelijke organen en vallen ook niet onder de Kaderwet zbo’s, zo blijkt expliciet uit artikel 3.2 lid 6 Wegiz.
De Minister is bevoegd op grond van de Wegiz in het geval van overtredingen verschillende herstelsancties toe te passen. Van belang is tot slot dat het wetsvoorstel ook een bevoegdheid tot boeteoplegging bevat, maar alleen voor gevallen waarin een ICT-product of –dienst ten onrechte zonder certificaat wordt aangeboden. In dat geval is de Minister bevoegd een boete op te leggen van ten hoogste de zesde categorie (€ 870.000 in 2020) of – als dat hoger is – 10% van de omzet van de onderneming.
Naast deze handhavingsmogelijkheden op grond van de Wegiz bestaan er natuurlijk ook handhavingsmogelijkheden op grond van de AVG. De AP kan verschillende ‘corrigerende maatregelen’ opleggen, als een waarschuwing, een bestuurlijke boete of een tijdelijke of definitieve verwerkingsbeperking (art. 58, tweede lid, AVG). Daarnaast biedt de Uitvoeringswet AVG (UAVG) de AP ook de mogelijkheid tot oplegging van een last onder dwangsom (art. 16 UAVG). Zie uitgebreider over de bestuurlijke handhaving onder de AVG dit blog.
Het valt te verwachten dat op veel ‘Wegiz-aangelegenheden’ kan worden gehandhaafd door zowel de IGJ als de AP. In dit kader wijzen wij dan ook op het Samenwerkingsprotocol AP-IGJ, waarin de IGJ en de AP afspraken maken over de behandeling van handhaving bij samenlopende bevoegdheden.
Tot slot
Het is de bedoeling dat de behandeling in de Tweede Kamer van de Wegiz nog vóór het zomerreces plaatsvindt (9 juli 2021). Daarnaast kunnen wij deze zomer nog een update verwachten van de Meerjarenagenda, zodat ook duidelijk wordt welke gegevensuitwisselingen als eerste onder de Wegiz zullen worden gebracht. Dit is van belang voor zorgaanbieders, die hun datahuishouding tijdig in lijn met de Wegiz moeten brengen. Maar ook voor ICT-leveranciers die Wegiz-proof ICT-producten en diensten willen aanbieden.
Dit is een blog in de “FAQ”-serie. Een overzicht van alle blogs in deze serie kunt u hier vinden.