Verslag van een wetgevingsoverleg : Verslag van een wetgevingsoverleg, gehouden op 27 januari 2025, over Verzamelwet gegevensverwerking VWS II.a

Nr. 11 VERSLAG VAN EEN WETGEVINGSOVERLEG

Vastgesteld 14 februari 2025

De vaste commissie voor Volksgezondheid, Welzijn en Sport heeft op 27 januari 2025
overleg gevoerd met mevrouw Agema, Minister van Volksgezondheid, Welzijn en Sport,
Vice-Minister-President, over:

– het wetsvoorstel Wijzigingen van een aantal wetten op het terrein van het Ministerie
van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerking te
verstevigen en enkele andere wijzigingen (Verzamelwet gegevensverwerking VWS II.a)
(Kamerstuk 36 579).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de commissie, Mohandis

De griffier van de commissie, Esmeijer

Voorzitter: Tielen

Griffier: Sjerp

Aanwezig zijn vijf leden der Kamer, te weten: Bushoff, Claassen, De Korte, Rikkers-Oosterkamp
en Tielen,

en mevrouw Agema, Minister van Volksgezondheid, Welzijn en Sport, Vice-Minister-President.

Aanvang 10.00 uur.

De voorzitter:

Goedemorgen, allemaal. Het is maandag 27 januari. Ik heet u van harte welkom bij de
vaste Kamercommissie voor Volksgezondheid, Welzijn en Sport. Wij gaan een wetgevingsoverleg
beginnen, over de wet met de titel Wijzigingen van een aantal wetten op het terrein
van het Ministerie van Volksgezondheid, Welzijn en Sport om de grondslagen voor gegevensverwerking
te verstevigen en enkele andere wijzigingen. We noemen dat ook wel een «verzamelwet».
In dit geval is dat de Verzamelwet gegevensverwerking VWS II.a. Voor de enthousiastelingen:
dat is Kamerstuk 36 579.

Welkom aan de Minister van Volksgezondheid, Welzijn en Sport, Minister Agema, en aan
de leden van de Kamer. Mevrouw De Korte is er namens Nieuw Sociaal Contract, meneer
Claassen namens de PVV, meneer Bushoff namens GroenLinks-PvdA en mevrouw Rikkers namens
de BBB. Ikzelf ben deels uw voorzitter, maar ik wil straks ook nog wat zeggen, dus
dan zal meneer Bushoff het voorzitterschap kort overnemen. Ook welkom aan de mensen
op de publieke tribune en aan iedereen die vanaf een afstandje meekijkt. We hebben
tot 14.00 uur ingepland voor dit debat. We gaan echt niet langer door, maar ik denk
dat dat ook niet nodig is. Iedereen van de Kamer heeft zich ingeschreven met een bepaalde
spreektijd. Dat mag altijd bij wetten. Dan mag je zo lang spreken als je wil, maar
het is fijn als we van tevoren weten hoelang, want dan kan ik u daar een beetje aan
houden. Ik wil voorstellen om in de eerste termijn van de Kamer vijf interrupties
toe te staan.

Als er verder geen vragen zijn, gaan we gewoon beginnen. We beginnen met de bijdrage
van mevrouw De Korte, namens de fractie van Nieuw Sociaal Contract.

Mevrouw De Korte (NSC):

Dank u wel, voorzitter. Vandaag spreken we over het eerste deel van de Wet gegevensverwerking.
U en de leden van deze commissie kennen de standpunten van NSC. We zijn zeer kritisch
over het verzamelen en beheren van grote datasets aan patiëntgegevens. Deze wet bestaat
uit een aantal onderdelen. In een deel gaat het erom de Inspectie Gezondheidszorg
en Jeugd en het Europese comité gericht op foltering toegang te verlenen tot medische
dossiers in het geval van calamiteiten. Daar zijn wij het volledig mee eens. Echter,
over één onderdeel van de wet, dat betrekking heeft op de veiligheid en privacy van
patiëntgegevens in de vorm van declaratiegegevens, zijn wij zeer bezorgd.

Een deel van deze wet regelt de grondslag waarmee de private organisatie Vektis alle
landelijke declaratiedata van zorgverzekeraars en Wlz-uitvoerders kan verzamelen en
analyseren. Tot enkele jaren geleden had elk ziekenhuis, elke zorgverzekeraar en elk
zorgkantoor een eigen databestand. Dat was op kleine schaal. Eigenlijk heb ik er een
hekel aan om te spreken over «databestanden», want het zijn patiëntgegevens, en elke
patiënt heeft een eigen verhaal. Natuurlijk is er een databestand bij elke zorgverzekeraar.
Dat is tegenwoordig nodig om de ziekenhuizen uit te betalen. We werken niet meer met
brieven en Excelsheets. Maar juist de grote hoeveelheid patiëntgegevens die nu via
Vektis op landelijke schaal worden verwerkt, maakt dat deze bestanden interessant
zijn voor hackers, zo is mij verteld door deskundigen. De veiligheid van gegevens
is steeds meer in het geding. We willen precies weten hoe de processen lopen vanaf
de zorgverzekeraar naar Vektis, naar de beleidsinformatie, en hoe de patiëntgegevens
beveiligd zijn. We hebben hierover vragen gesteld. Ook na het kerstreces heb ik gezocht
naar antwoorden. Ik heb bij Vektis, de zorgverzekeraars en het ministerie extra navraag
gedaan. Er zijn een paar stappen die ik heb gevonden. Van de Minister hoor ik graag
of die kloppen.

Allereerst leveren alle zorgverzekeraars en Wlz-uitvoerders declaratiegegevens van
patiënten aan Vektis; dat is duidelijk. Het is onduidelijk of Vektis declaratiegegevens
krijgt met bsn-nummer of met een versleuteld bsn-nummer, want dan zijn het gepseudonimiseerde
gegevens. Ik citeer letterlijk een antwoord van het ministerie: «Er bestaan twee bestanden
naast elkaar: de ongepseudominiseerde brondata en de gepseudonimiseerde data. Beide
zijn noodzakelijk voor het vervullen van wettelijke taken en verplichtingen.» Ik begrijp
hieruit dat de declaratiedata van de zorgverzekeraars en de Wlz-aanbieders niet gepseudonimiseerd
naar Vektis gaan en ook niet gepseudonimiseerd in een bronbestand zitten. Vervolgens
worden deze brondata door Vektis gepseudonimiseerd. Voor beleidsonderzoek worden ze
geanonimiseerd. Ik wil de Minister vragen of het klopt dat bronbestanden van Vektis
niet-gepseudonimiseerde declaratiedata bevatten. Wij nemen aan dat brondata van Vektis
waarschijnlijk bsn-nummers bevatten, net als enkele medische gegevens van alle Nederlandse
patiënten die zorg hebben ontvangen. Met een bsn-nummer is de identiteit van personen
direct herleidbaar.

Maar ook gepseudonimiseerde gegevens kunnen risico's met zich meebrengen. Bij pseudonimisering
is het bsn-nummer versleuteld. Maar er staan daarnaast wel andere gegevens vermeld,
zoals het type behandeling, de start van de behandeling, het aantal keren dat er behandeld
wordt en de zorginstelling. Personen zijn met name herkenbaar als er sprake is van
verschillende aandoeningen en specifieke zorginstellingen. Dat kan leiden tot afpersing.
Denk bijvoorbeeld aan een hoogleraar die meerdere aandoeningen heeft, aan een CEO
met een sluipende ongeneeslijke ziekte of aan dat meisje dat een abortus heeft ondergaan
terwijl haar familie dat niet weet. Deze gegevens mogen niet in handen komen van afpersers,
maar ook niet van families.

We zagen al eerder een datalek bij de GGD, in coronatijd. En in Finland zijn patiëntgegevens
gelekt van mensen die psychotherapie kregen. We zien en horen van deskundigen dat
de privacy en de veiligheid van mensen in het geding is bij grote databestanden. Mijn
vraag is: hoe voorkomt de Minister dat gegevens, zelfs als ze gepseudonimiseerd zijn,
herleidbaar zijn naar individuen?

Voorzitter. Na deze wet komen er nog meer wetten waarbij er sprake is van zeer grote
landelijke databestanden. Er komt nog een vervolg op deze verzamelwet, het wetsvoorstel
Verzamelwet gegevensverwerking VWS II.b. Ook staat het wetsvoorstel Wet kwaliteitsregistraties
zorg op de agenda. Bij dat laatste voorstel worden zelfs ziekenhuizen verplicht om
data te leveren voor kwaliteitsdoeleinden. Dan is er niet één organisatie die patiëntgegevens
krijgt, maar dan kunnen meer dan 60 private organisaties patiëntgegevens krijgen om
de kwaliteit van zorg te toetsen.

Voorzitter. Ik begrijp het belang van gegevens voor onderzoek en beleid, maar hier
worden grote stappen gezet om landelijke databases te creëren. Als Kamer weten wij
onvoldoende over de informatiebeveiliging. Bij de feitelijke vragen hebben wij specifiek
gevraagd naar de manier van beveiligen. Patiënten verdienen namelijk de allerbeste
beveiliging. We vroegen of de regering ook privacybevorderende maatregelen heeft genomen,
zoals de multi-party computation. Dat is een manier om tot beleidsinformatie te komen
die minder gevaren voor de privacy van personen kent. Volgens de deskundigen die ik
heb gesproken, is dit de beste beveiligingsmethode. Hiermee zijn namelijk niet alleen
de bsn-nummers, maar ook de andere gegevens beveiligd.

Als antwoord gaf de Minister aan dat Vektis de bestaande veiligheidsmaatregelen ter
bescherming van persoonsgegevens neemt. De Minister vindt dat Vektis de meest aangewezen
partij is. De Minister overweegt ook om privacy-enhancing technologies te onderzoeken.
Maar we weten niet wat de beveiliging van de declaratiegegevens bij Vektis nu precies
inhoudt. Ik ben verder op zoek gegaan naar antwoorden over de beveiliging. Vektis
verwees mij naar de zorgverzekeraars. Van de zorgverzekeraars kreeg ik te horen dat
Vektis voldoet aan het toetsingskader van DNB voor informatiebeveiliging, en voortdurend
bezig is met het versterken van de privacy en de databescherming, door middel van
certificeringen en de inzet van privacybevorderende technologieën. Deze beantwoording
is wat mij en Nieuw Sociaal Contract betreft niet precies genoeg. Ik wil als controlerend
Kamerlid precies weten hoe die beveiliging is geregeld en of dit de allerhoogste standaard
is. Kan de Minister precies vertellen over de specifieke manier van informatiebeveiliging
bij Vektis? Kan de Minister vertellen of dit de allerhoogste standaard is? Misschien
is het een te specifieke vraag, die beter per brief beantwoord kan worden. Is de Minister
dan bereid om een brief te sturen? Maar dan nog is het belangrijk dat wij ons als
Kamer verdiepen in de databeveiliging van patiëntengegevens. Het zou goed zijn als
wij als commissie, wellicht samen met de commissie Digitale Zaken, een rondetafelgesprek
met deskundigen houden voordat we dit onderdeel van de wet en de komende wetten over
gegevensdeling in behandeling nemen.

Voorzitter. Nieuw Sociaal Contract vindt dat we eerst een fundamentele discussie moeten
voeren over hoe we omgaan met landelijke databestanden van patiënten. Moeten die wel
ondergebracht worden bij private instellingen? Hoe moet de data beveiligd worden?
Of nog basaler: is het wel wenselijk om landelijke databases te hebben? Omdat ik zo
lang op zoek was naar antwoorden, heb ik pas laat mijn amendement ingediend. Wij willen
dat Vektis nog niet de data van alle zorgverzekeraars en Wlz-gebruikers verwerkt.
We willen geen landelijke database van patiënten voordat we weten of de privacy van
patiënten voldoende is gewaarborgd. Daarom hebben we een amendement ingediend waarin
het onderdeel gegevensverzameling door Vektis eruit gehaald wordt en de rest blijft
staan. Het beschermen van de persoonlijke levenssfeer in verband met het vastleggen
en verstrekken van persoonsgegevens staat immers in de Grondwet.

Dank u wel, voorzitter.

De voorzitter:

Dank u wel, mevrouw De Korte. Als u de microfoon uitzet, kan ik meneer Bushoff de
gelegenheid geven om een interruptie te doen.

De heer Bushoff (GroenLinks-PvdA):

Ik deel met Nieuw Sociaal Contract het belang van dat je gegevens, zeker medische
gegevens, heel goed beschermt. Je maakt altijd een afweging tussen in hoeverre het
delen van gegevens noodzakelijk is en in hoeverre de privacy en de bescherming van
die gegevens goed geregeld zijn. Inzake het amendement van Nieuw Sociaal Contract ...
Zowel in de inbreng zojuist als in de toelichting van het amendement lees en beluister
ik dat Nieuw Sociaal Contract helemaal geen voorstander is van de gegevensverwerking
door Vektis. Dan zou mijn vraag zijn: is daar nu geen sprake van? Of is daar eventueel
al wel sprake van?

Mevrouw De Korte (NSC):

Ik heb het niet zo in uitersten aangegeven. Ik heb aangegeven dat we op dit moment
onvoldoende weten over de beveiliging. We moeten eerst precies weten wat de aller-,
allerbeste beveiliging is voor patiëntgegevens. Pas daarna kunnen we beslissingen
nemen. Ik besef ook dat er een aantal landelijke databases nodig zijn in de toekomst,
maar op dit moment kunnen we daar niet over besluiten.

De heer Bushoff (GroenLinks-PvdA):

Dan ga ik toch even heel specifiek naar het amendement. Het amendement stelt namelijk
voor om artikel 3 en artikel 7 van de verzamelwet te laten vervallen. Daarmee wordt
alleen de grondslag verwijderd om die gegevens, die al verzameld zijn door Vektis,
te gebruiken voor het Ministerie van VWS. Maar daarmee wordt de wet niet dusdanig
veranderd dat er helemaal geen gegevensverzameling door Vektis meer plaats kan vinden.
Klopt dat?

Mevrouw De Korte (NSC):

Wij willen juist dat dit, inderdaad, nu stopgezet wordt. Maar we willen in ieder geval
niet dat het een voortgang heeft in de wet. Nogmaals, dit is een verzamelwet. Desnoods,
als we het er met z'n allen over eens zijn dat het door moet gaan, kan het in een
volgende verzamelwet komen. Maar op dit moment willen we hier niet mee verdergaan.

De voorzitter:

Meneer Bushoff, in laatste instantie op dit onderwerp.

De heer Bushoff (GroenLinks-PvdA):

Tot slot. Als Nieuw Sociaal Contract hier aangeeft «wij willen helemaal niet verdergaan
met die gegevensverwerking door Vektis», zal er toch echt een ander amendement moeten
komen dan wat hier nu voorligt. Want dit amendement regelt volgens mij niet dat er
helemaal geen gegevensverwerking meer kan plaatsvinden. Dit amendement regelt dat
in de huidige verzamelwet die voorligt, artikel 3 en artikel 7 vervallen, waarmee
alleen de grondslagen vervallen voor het Ministerie van VWS om die gegevens te gebruiken
voor beleidsmatige doeleinden. Die grondslag verdwijnt. Maar met dit amendement stopt
u niet in één keer de hele gegevensverwerking door zorgverzekeraars, Wlz-uitvoerders
en Vektis. Dus wat wilt u nu? Wilt u dat helemaal stoppen en een ander amendement
indienen? Of zegt u: nee, ik wil alleen dat datgene wat er al gebeurt door mag gaan,
maar VWS mag deze gegevens niet gebruiken voor beleidsmatige doeleinden?

Mevrouw De Korte (NSC):

We hebben niet gekozen voor een extra amendement. We willen nu alleen maar stilzetten
wat er in de verzamelwet staat. De Minister kan vertellen wat eventueel wel doorgaat
en wat niet. Dat horen we graag van de Minister.

De heer Bushoff (GroenLinks-PvdA):

Nog een ander punt: de beveiliging van persoonsgegevens. Ik ben het met Nieuw Sociaal
Contract eens dat dat ontzettend belangrijk is. Ik denk dat het op zichzelf goed is
dat er daarom een grondslag wordt gecreëerd voor de IGJ om als de beveiliging niet
op orde is, daar al vroegtijdig op te gaan handhaven, nog voordat de kwaliteit van
zorg in het geding komt. Mijn vraag aan Nieuw Sociaal Contract is: zouden we niet
ook juist moeten kijken of we zorgaanbieders kunnen helpen met het verbeteren van
de beveiliging van gegevens?

Mevrouw De Korte (NSC):

Ja. Ik heb ook aangegeven dat het belangrijk is dat wij als Kamer bezig zijn met de
manier waarop patiëntgegevens beveiligd zijn. Ik lees ook in andere stukken dat heel
veel zorgorganisaties hun beveiliging nog niet op orde hebben. Laten we daar inderdaad
ook naar kijken.

De voorzitter:

Tot slot, meneer Bushoff.

De heer Bushoff (GroenLinks-PvdA):

Tot slot dan. Op zichzelf lijkt het me inderdaad zinvol om te kijken hoe we die zorgorganisaties
kunnen helpen. Maar dan zou ik niet een handreiking willen doen door opnieuw een rondetafel
te organiseren met de commissie voor Digitale Zaken en allerlei partijen over de stand
van zaken rondom gegevensbeveiliging in de zorg. Een dergelijke rondetafel hebben
we vrij recentelijk gehad, met een hele magere opkomst, moet ik erbij zeggen. Dan
zouden we volgens mij beter kunnen kijken naar hoe we die zorgaanbieders met z'n allen
kunnen helpen om die beveiliging op orde te krijgen. Voelt NSC ervoor om die stap
te zetten?

Mevrouw De Korte (NSC):

We weten nog niet wat de allerbeste beveiliging is. Daar moeten we eerst een discussie
over voeren. Ik hoor dat de nationale politie een veel strengere beveiliging heeft
dan Vektis. Daar moeten we dus echt wat preciezer en nader op ingaan. Als die discussie
onvoldoende is gevoerd in een vorig rondetafelgesprek, dan wil ik nogmaals voorstellen
om daarmee door te gaan, voordat we hier stappen mee zetten.

De voorzitter:

Dank u wel. Ik heb twee punten naar aanleiding van uw inbreng en dit interruptiedebatje.
Als de commissie een activiteit wil doen, dan is de procedurevergadering daar de geëigende
procedure voor; daarom heet die ook zo. Als u een rondetafel of iets anders wil, dan
zou u dat bij de volgende procedurevergadering moeten voorstellen. Die is aanstaande
woensdag. Vooralsnog staat dit wetsvoorstel gewoon op de stemmingslijst van volgende
week dinsdag, voor 4 februari. Dat zeg ik even als antwoord op de suggestie die wordt
gewekt dat we hier niet verder mee moeten voordat enzovoort.

Mevrouw De Korte (NSC):

Voorzitter, we willen niet dat deze wet helemaal niet naar voren wordt gebracht. We
willen alleen één onderdeel uit deze wet. Wat ons betreft kan deze wet in stemming
gebracht worden. Dan halen we het onderdeel van Vektis eruit.

De voorzitter:

U bedoelt dat u dat doet met het amendement op stuk nr. 9 dat u heeft ingediend?

Mevrouw De Korte (NSC):

Ja.

De voorzitter:

Helder. Dat helpt de leden om hun wegingen te doen. We zijn toegekomen aan de inbreng
van de heer Claassen namens de fractie van de PVV.

De heer Claassen (PVV):

Waarvoor dank, voorzitter. De wijzigingen in dit wetsvoorstel voorzien in het verstevigen
van enkele grondslagen van gegevensverwerking. In dit voorstel van de regering is
het wijzigen van de grondslagen voor gegevensverwerking opgedeeld in drie wetten.
Zoals door de voorzitter zojuist is gezegd, behandelen we vandaag II.a. Net als bij
wijziging I en de wetten die komen gaan wordt op onderdelen aan de stoelpoten van
het eigenaarschap van medische gegevens van burgers en het beroepsgeheim van zorgprofessionals
gezaagd. Net als bij wijziging I maakt de PVV-fractie zich zorgen over deze twee fundamentele
wijzigingen. Zo'n fundamentele wijziging vraagt om proportionaliteit. Heiligt het
doel de middelen, om het zo maar te zeggen? Dat is de afweging die wij als PVV-fractie
zullen maken bij deze wijziging en de wijzigingen die komen gaan. De Raad van State
concludeerde namelijk ook al dat de noodzaak en proportionaliteit onvoldoende zijn
gemotiveerd, mede in het licht van het feit dat het medisch beroepsgeheim wordt doorbroken.
Bovendien is het onduidelijk hoe een bezwaarsysteem in de praktijk wordt geëffectueerd.
Gaat de Minister dit regelen? En hoe gaat dat er dan uitzien? Kan er worden voorzien
in een opt-outregeling met duidelijke voorlichting aan burgers, zodat zij een keuze
hebben?

Het toevoegen van handhavingsmogelijkheden aan de IGJ gaat niet primair over gegevensverwerking.
Het onderdeel expliciteert de toezichts- en handhavingstaken van de IGJ door het toevoegen
van een bepaling, zodat ook het bsn van de wettelijke vertegenwoordiger en de gemachtigde
mag worden verwerkt. Het doel van deze verwerking is authenticatie en autorisatie
van de wettelijke vertegenwoordiger of de gemachtigde. De IGJ krijgt met dit wetsvoorstel
de expliciete bevoegdheid om toe te zien op de naleving hiervan. Dat is volgens onze
fractie op onderdelen noodzakelijk, maar bij andere onderdelen van de wet is het wat
ons betreft disproportioneel. Dan heiligt het doel wat ons betreft het middel niet.

Bij het verwerken van bsn-nummers van vertegenwoordigers en gemachtigden door zorgaanbieders
treedt Vektis op als verwerker namens zorgverzekeraars en de Wlz-uitvoerders. Vektis
beheert in die hoedanigheid een database met verzekerden en declaratiedata van afzonderlijke
zorgverzekeraars. Vektis kan door het samenvoegen van deze data via gepseudonimiseerde
– jemig de pemig! – bsn-nummers en het uitvoeren van verdere databewerkingen en statistische
analyses inzicht geven in het gebruik van zorg in de volle breedte. Ten aanzien van
Vektis adviseert de RvS, de Raad van State, beter te motiveren dat is voldaan aan
de eisen die de AVG stelt aan het verwerken van gegevens over gezondheid. De PVV-fractie
ziet het belang van de gegevensverwerking door Vektis, zeker nu Vektis de anonieme
beleidsinformatie voor het Ministerie van VWS heeft stopgezet in afwachting van de
wettelijke grondslag. De PVV-fractie vindt het echter ongewenst dat niet-gecontracteerde
wijkverpleging en ggz-zorg hierdoor bijvoorbeeld niet gemonitord worden. Hierdoor
kan de Kamer ook niet volledig geïnformeerd worden over het gevoerde beleid.

Aansluitend hierop heb ik de volgende vragen. Hoe borgt de Minister dat de Kamer te
allen tijde goed geïnformeerd blijft? Hoe gaat de Minister ervoor zorgen dat de AVG
nageleefd wordt? Hoe weren we ons, met het oog op het amendement dat zojuist door
NSC werd toegelicht, tegen bijvoorbeeld cybercrime? Wat zijn de gevolgen met betrekking
tot Vektis en gemaakte prijsafspraken als het amendement wordt aangenomen?

Voorzitter. Ten aanzien van het inzagerecht voor het VN-subcomité en het Europese
comité tegen foltering is gebleken dat de huidige regelingen te beperkt zijn, omdat
de comités niet in alle gevallen de mogelijkheid hebben om dossiers in te zien als
cliënten van hun vrijheid zijn beroofd maar vrijwillig zorg krijgen. Dit wetsvoorstel
voorziet in een optimalisatie en dat lijkt ons prima.

De PVV-fractie ondersteunt het voorstel van het kabinet om de bewaartermijn van de
gegevens van Wmo-cliënten, die momenteel vijftien jaar is, te verkorten naar zeven
jaar, zeker omdat zeven jaar de gebruikelijke bewaartermijn is voor financiële informatie,
zoals ook volgt uit de algemene wet met betrekking tot rijksbelastingen.

Tot slot, voorzitter. De onderdelen van het wetsvoorstel beogen grondslagen bij bestaande
taken aan te vullen of te verduidelijken. Er worden geen negatieve financiële gevolgen
verwacht. Kan dit met zekerheid gezegd worden en is dit onderzocht?

De voorzitter:

Dank u wel, meneer Claassen. Dan gaan we luisteren naar meneer Bushoff, die spreekt
namens de fractie van GroenLinks-PvdA. O nee, sorry. Eerst heeft mevrouw De Korte
een vraag voor meneer Claassen.

Mevrouw De Korte (NSC):

Ja, ik stel graag een vraag aan de heer Claassen. Het is me niet helemaal duidelijk
hoe u aankijkt tegen de veiligheid van de data bij Vektis. Enerzijds zegt u dat het
belangrijk is dat die data verzameld worden. Anderzijds zegt u dat het belangrijk
is dat ze veilig zijn. Vindt u dat Vektis door moet gaan met dataverzameling?

De heer Claassen (PVV):

Dan komen we op het punt waarop we bij Verzamelwet I ook uitkwamen, namelijk dat er
al een heleboel dingen gebeuren waar geen wettelijke grondslag voor is en dat dit
nu bij deze wet wordt geregeld. Net als bij de vorige verzamelwet hebben we er uiteindelijk
voor gekozen dat we die grondslag wel moeten laten continueren, omdat anders de procedures
die nu gaande zijn, niet door kunnen gaan. Maar we hebben daar wel onze punten van
zorg bij. Die zorg gaat over de beveiliging, zoals ik zonet heb gezegd, over cybercrime
en over hoe er met de AVG wordt omgegaan. Daarom heb ik die vragen ook voorgelegd
aan de Minister. Ik ben benieuwd welke antwoorden de Minister daarop heeft. Tot slot
heb ik in mijn betoog geprobeerd in te brengen dat het gaat over proportionaliteit
bij het delen van informatie van burgers. Het ministerie heeft het opgedeeld in drie
wetten, en ook de wet op de kwaliteitsgegevens komt er nog aan. Als ik die naast elkaar
leg, weegt die laatste voor ons nog veel zwaarder dan deze. Mijn antwoord is dus:
ja, ga door, maar we moeten op korte termijn wel grip krijgen op wat er precies gebeurt.
Is dat volgens de Kamer afdoende en kan dat niet beter? Daarin steun ik uw inbreng
ook.

De voorzitter:

Dan is nu toch het woord aan de heer Bushoff voor zijn bijdrage.

De heer Bushoff (GroenLinks-PvdA):

Dank u wel, voorzitter. Vandaag bespreken we de Verzamelwet gegevensverwerking II.a,
die toeziet op een vijftal wetswijzigingen. Ik heb daar een aantal specifieke vragen
en opmerkingen bij, maar eerst heb ik een aantal algemene opmerkingen en vragen.

Ten eerste. Er wordt een knip gemaakt, en vijf onderwerpen krijgen in deze verzamelwet
prioriteit. Bij twee daarvan is dat omdat ze spoed hebben. Dat zijn het inzagerecht
voor de comités en de verwerking van gegevens door Vektis. De andere onderwerpen worden
door het kabinet juridisch en politiek toch wat minder gevoelig geacht. Op zichzelf
snap ik dat, alleen ben ik wel benieuwd hoe de Minister dat onderscheid tussen gevoelige
en minder gevoelige onderwerpen maakt, alleen al gezien het feit dat dat toch niet
zo eenduidig lijkt. Zie ook de afgelopen debatten over de verzamelwetten. Ik ben dus
wel benieuwd hoe dat onderscheid wordt gemaakt.

Verder is er best scherpe kritiek geweest op een aantal onderdelen die nu verhuisd
zijn naar Verzamelwet II.b. Ik ben benieuwd of dat ook nog iets betekent voor het
participatietraject dat de Minister daarvoor voor ogen heeft als het gaat om het betrekken
van het zorgveld en de Kamer, om wellicht te voorkomen dat onderdelen waar scherpe
kritiek op was en die nu verplaatst zijn, onnodig sneuvelen, of om te zorgen dat ze
na een goed participatietraject beter gemaakt kunnen worden, wat je natuurlijk wilt.

Voorzitter. Dan nog een ander, wat algemener, punt. Een aantal keren lezen we in de
memorie van toelichting bij deze wet dat het kabinet aangeeft dat een bepaalde wijziging
noodzakelijk is vanwege het zwaarwegende algemeen belang. Op zich kan dat, maar tegelijkertijd
wijzen de Raad van State en de Autoriteit Persoonsgegevens erop dat je het aanhalen
van de argumentatie van een zwaarwegend algemeen belang best wel goed moet verantwoorden.
Je moet dan duiden waarom dat een zwaarwegend algemeen belang is. Ik ben benieuwd
of de Minister nog één keer kan aangeven wat volgens haar een zwaarwegend algemeen
belang is. Ook ben ik wel benieuwd of ze dat misschien nog wat kan verduidelijken
aan de hand van bijvoorbeeld een voorbeeld waarbij het individuele recht op privacy
moet wijken. Kan ze vooral ook aangeven wanneer bijvoorbeeld het individuele recht
op privacy juist zwaarder weegt dan het algemeen belang? Wellicht kan de Minister
het begrip nog wat beter duiden aan de hand van twee van dit soort voorbeelden. Ik
ben ook benieuwd of zij de bezwaren van de Raad van State en de Autoriteit Persoonsgegevens
omtrent het gebruik van dit begrip in deze verzamelwet, in ieder geval naar haar eigen
oordeel, heeft kunnen wegnemen.

Voorzitter. Ik heb nog één laatste opmerking. Ik denk dat gegevensuitwisseling in
de zorg ontzettend belangrijk kan zijn voor zowel de patiënt en de zorgverlener als
inderdaad soms ook het algemeen belang, hoewel dat goed onderbouwd moet zijn. Tegelijkertijd
heb je natuurlijk ook te maken met het feit dat dit gevoelige gegevens zijn, waarbij
het recht op privacy heel erg belangrijk is. Dat is een best lastige balans. Daar
staat best wel vaak spanning op. Deze spanning komt concreet terug bij bijvoorbeeld
de derde wijziging in deze Verzamelwet, waarbij het gaat om het inzagerecht van het
VN-Comité tegen Foltering en het Europese antifoltercomité. Aan de ene kant is het
daarbij natuurlijk essentieel dat mensen die van hun vrijheid zijn beroofd, beschermd
worden tegen foltering en onmenselijke praktijken. Aan de andere kant kun je je ook
voorstellen dat het inzage geven in sommige van deze medische gegevens dat hiervoor
noodzakelijk is, best wel privacygevoelig is. We snappen de afweging in deze verzamelwet
dus heel goed, maar tegelijkertijd geeft die ook best wel goed de spanning aan tussen
aan de ene kant gegevensdeling en aan de andere kant het recht op privacy.

Voorzitter. In dat licht ben ik eigenlijk wel benieuwd of er in de Verzamelwet II.b
straks ook nog een aantal aanvullende privacywaarborgen zouden kunnen worden opgenomen
in verband met gegevensdeling. Kunnen we met z'n allen nog een aantal opties verkennen
om gegevensdeling aan de ene kant wel mogelijk te maken, maar aan de andere kant het
belang van privacy hoog te houden. Dat is het eerste. Ten tweede heb ik met die bril
ook naar een aantal specifieke wijzigingen gekeken, waar ik nu nog op wil ingaan.

Het gaat dan in de eerste plaats over het eerste wijzigingsvoorstel van deze verzamelwet,
namelijk het toevoegen van een handhavingsmogelijkheid voor de IGJ in de Wet aanvullende
bepalingen verwerking persoonsgegevens in de zorg. In de eerste plaats wil ik even
duidelijk maken waarom dit op zich belangrijk is. Dit gaat erover dat de IGJ in een
vroegtijdig stadium handhavend kan optreden als de informatiebeveiliging bij zorgaanbieders
niet op orde is. Ik denk dat dat zeker in deze tijd ontzettend belangrijk is, omdat
we natuurlijk zien dat er een toenemende dreiging is van cybercrime en wellicht ook
van andere statelijke actoren die zich bezighouden met het voeren van een soort cyberoorlog.
Ik denk dat het heel erg belangrijk is dat we dit soort persoonsgegevens, zeker medische
gegevens, goed beschermen en dat we de IGJ dus ook de bevoegdheid geven om handhavend
te kunnen optreden nog voordat de kwaliteit van zorg daadwerkelijk in het gedrang
is. Dat kan de IGJ nu namelijk niet of alleen wanneer de kwaliteit van zorg in het
geding is.

In het verslag lezen we alleen dat de Minister verwacht dat er geen aanvullende lasten
in de uitvoering zullen zijn, hoewel de IGJ vaker handhavend zal gaan optreden, terwijl
we vervolgens in de beantwoording van de schriftelijke vragen lezen dat de IGJ eigenlijk
verwacht vanaf 2025 en 2026 wél extra personeel nodig te hebben. Ik ben benieuwd welke
van de twee smaken het nou is. Dat is één. Twee. Is het zo dat de extra personele
capaciteit die de IGJ verwacht nodig te hebben voor het uitvoeren van deze extra bevoegdheid,
die ik toch ook ergens lijk te lezen, binnen de lopende begroting van IGJ opgevangen
kan worden? Ja of nee? Welke van die smaken is het nou?

Voorzitter. Ik wil op dit punt nog eventjes doorgaan. Naast het creëren van een bevoegdheid
voor de IGJ om handhavend op te treden tegen zorgaanbieders die de beveiliging van
gegevens niet op orde hebben, wat ik heel belangrijk vind en wat heel goed is, zeker
omdat we lezen dat dat nog lang niet altijd op orde is, denk ik dat het ook belangrijk
is dat je zorgaanbieders in staat stelt om die beveiliging op orde te krijgen. We
lezen namelijk ook dat het niet op orde hebben van die beveiliging door zorgaanbieders
soms komt door te weinig bewustzijn. Ik ben benieuwd wat de Minister daar verder nog
aan kan gaan doen. We lezen tegelijkertijd ook dat er soms onvoldoende middelen, dus
tijd, geld en expertise, zijn om dit goed te regelen. Dan begint bij mij wel de zorg
te spelen over hoe we er dan voor zorgen dat er wel voldoende tijd, geld en expertise
is voor die zorgaanbieders om dit goed te regelen. Want ik denk dat alleen met de
stok gaan slaan dan onvoldoende is, ook als ik lees wat de Minister daar zelf over
opschrijft. Dus wat kunnen we nog meer doen om het zorgveld te helpen die gegevensbeveiliging
op orde te krijgen? Ik ben ook benieuwd welke eventuele aanvullende eisen de Minister
in de toekomst denkt te willen gaan stellen aan die beveiliging van gegevens, gelet
op de toenemende dreiging. Is daar aanleiding voor volgens de Minister, ja of nee?

Voorzitter. Ik laat het erbij zitten wat betreft de tweede wijziging. Ik heb al iets
gezegd over de derde wijziging. Ik wil nog wel even stilstaan bij de vierde, want
die gaat over de gegevensverwerking door Vektis. Ik ben in de eerste plaats benieuwd
of de Minister nog even heel duidelijk voor de Kamer kan aangeven of het klopt dat
er nu al sprake is van gegevensverwerking door Vektis. Is het inderdaad zo dat in
artikel 3 en artikel 7 uit deze verzamelwet alleen de grondslag geregeld wordt waardoor
die gegevensverwerking door Vektis nog steeds plaats kan vinden, maar waardoor het
Ministerie van VWS ook daadwerkelijk iets met die gegevens kan doen voor beleidsdoeleinden?
Klopt het dat het verwijderen van die grondslagen niets verandert aan het feit dat
er nog gegevensverwerking plaatsvindt door Vektis? Kan de Minister nog bevestigen
dat ik het dan goed heb begrepen, en als ik het niet goed heb begrepen, zou ze dat
dan nog nader kunnen toelichten? Ten tweede. Klopt het dat hierbij de wetgeving dusdanig
wordt aangepast aan de huidige praktijk? Ik hoop dat ik daar nog de bevestigende reactie
op krijg dat ik dat goed heb begrepen.

Voorzitter. Tot slot op dit punt. Ik heb toch ook een zorg hierbij. Kan het zo zijn
dat de anonieme gegevens in het geval van een zeer specifieke medische aandoening
met een heel klein aantal patiënten alsnog herleidbaar zijn? Is dat een risico? Ik
denk dat het redelijk goed geborgd is dat die gegevens gepseudonimiseerd zijn, maar
ik heb daar een zorg bij en daar gaat mijn vraag over. Zijn bij een heel klein patiëntenaantal
met heel specifieke aandoeningen dit soort gegevens niet alsnog herleidbaar? Kan de
Minister hier nader op ingaan?

Tot zover, voorzitter.

De voorzitter:

Dank u wel, meneer Bushoff. U was zelf iets te optimistisch bij het inschrijven, zie
ik. Mevrouw De Korte heeft een vraag voor u.

Mevrouw De Korte (NSC):

Dank u wel voor uw betoog, meneer Bushoff. U gaf aan dat er bij Vektis anoniem gegevens
verwerkt worden. Dat zou natuurlijk heel mooi zijn. Maar voor zover wij hebben kunnen
achterhalen, zijn er ook bronbestanden met bsn-nummers van patiënten, van declaratiegegevens.
Wat vindt u ervan dat dat daar plaatsvindt, dat er een bronbestand is? Vindt u ook
niet, zoals wij, dat we hier dan toch een stop op moeten zetten totdat we precies
weten hoe de beveiliging geregeld is?

De voorzitter:

«Wat vindt meneer Bushoff daarvan?»

Mevrouw De Korte (NSC):

O ja, sorry, voorzitter.

De heer Bushoff (GroenLinks-PvdA):

Kort, drie dingen. Eén. Dat er een bronbestand is, daar kan ik technisch gezien wellicht
nog wel inkomen. Ik ben niet helemaal een expert als het gaat om ICT, hoor. Ik ben
nog jong en enigszins technisch begaafd, maar niet zo verregaand dat ik daar heel
diep in zit. Ik kan mij voorstellen dat er ergens een bronbestand beschikbaar moet
zijn. Vervolgens is het belangrijk – dat is mijn tweede punt – dat gegevens heel goed
beveiligd worden; dat deel ik helemaal met Nieuw Sociaal Contract. Tot slot mijn derde
punt. Deze verzamelwet gaat niet over het überhaupt wel of niet verzamelen van gegevens
door Vektis. Zo probeert NSC de discussie wel een beetje te voeren, lijkt het. Deze
verzamelwet regelt volgens mij alleen een grondslag voor het delen van gepseudonimiseerde
gegevens met het Ministerie van VWS voor beleidsdoeleinden. Het starten van de discussie
over de vraag of dit überhaupt wel wenselijk is of niet, gaat mij bij deze verzamelwet
veel te ver. Als dat de discussie is die volgens NSC gevoerd moet worden, dan zou
NSC daar volgens mij een ander moment en een andere wet voor moeten vinden, want ik
denk dat die niet past bij deze verzamelwet.

De voorzitter:

Mevrouw De Korte, tweede instantie.

Mevrouw De Korte (NSC):

De heer Bushoff zegt over Vektis: we moeten hier maar mee doorgaan; we doen het al.
Vindt hij het niet gek dat dit al op deze manier plaatsvindt, terwijl we niet zeker
weten hoe de beveiliging geregeld is? Vindt hij niet dat we dit daarom nu moeten stopzetten,
ook omdat hierover nog meer wetten komen ten aanzien van landelijke databases? Moeten
we daar dus niet alleen bij deze wet, maar ook bij de volgende wetten over praten,
dus vóórdat wij in dezen echt stappen zetten, zo vraag ik aan de heer Bushoff via
de voorzitter.

De heer Bushoff (GroenLinks-PvdA):

Ik kan er op zichzelf best goed inkomen dat gegevens verzameld worden om de reden
waarom ze verzameld worden. Ik zie daar het nut echt wel van in. Moet die beveiliging
op orde zijn? Absoluut. Dat is cruciaal. Naar ik begrijp, is die beveiliging volgens
zorgverzekeraars ook goed geregeld. Ik hoor graag van de Minister of die beveiliging
ook naar haar inschatting inderdaad goed genoeg geregeld is. Als dat niet zo zou zijn,
als de Minister, de partijen die hiermee van doen hebben of de IGJ zouden aangeven
dat die beveiliging echt niet op orde is, dan vind ik dat heel zorgwekkend. Dan zou
ik de Minister er ook toe aansporen om te zorgen dat die beveiliging in orde wordt
gemaakt. Maar tot nog toe heb ik geen aanleiding om te denken dat dit niet zo is.
Ik ga er dus van uit dat die wel op orde is. Maar zoals gezegd: het is ontzettend
belangrijk dat die beveiliging op orde is. Ik neem ook aan dat de Minister daarbij
de vinger aan de pols houdt. We creëren nu ook een bevoegdheid voor de IGJ om al in
een vroeg stadium te checken of de gegevensbeveiliging in orde is. Laten we daarbij
inderdaad de vinger aan de pols houden. Dat vind ik cruciaal.

Tot slot. Wederom wordt gezegd: we moeten hier maar helemaal mee stoppen. Als dat
is wat NSC vindt, moet ik zeggen dat ik daar nog geen voorstel voor heb gezien. Op
dit moment ligt daarvoor in dit debat geen enkel voorstel voor, en op deze wet is
geen amendement ingediend dat regelt dat helemaal wordt gestopt met het verzamelen
van gegevens door Vektis. Als de zorgen inderdaad zo groot zijn als NSC nu schetst
en daarvan de consequentie moet zijn dat alles rondom gegevensverzameling door Vektis
nu maar moet stoppen – zo beluister ik NSC – dan kijk ik uit naar dat voorstel, maar
ik twijfel er dan sterk over of ik dat zal gaan steunen.

De voorzitter:

Meneer Claassen heeft ook een vraag voor u.

De heer Claassen (PVV):

Ja, ik heb nog een vraag aan de heer Bushoff. We hebben het nu heel veel over de beveiliging.
Daar heb ik ook een punt van gemaakt, maar in mijn inbreng had ik het ook over de
proportionaliteit: moeten gegevens van mensen zomaar gedeeld kunnen worden, of zouden
mensen het recht moeten hebben daarvan kennis te hebben en daar niet aan deel te hoeven
nemen? Ik ben benieuwd naar de visie van GroenLinks-PvdA daarop.

De heer Bushoff (GroenLinks-PvdA):

Een terechte vraag. Het punt van proportionaliteit wordt ook meermaals aangehaald
door de Raad van State. Het belang van gegevensverwerking is soms heel duidelijk,
maar het levert altijd spanning op met het recht op privacy. Dat spanningsveld heb
ik ook zelf in mijn inbreng proberen te schetsen. Ik zie die spanning dus ook. Ik
voorzie ook dat die spanning door een toenemende digitalisering en wellicht omdat
de Minister heel graag werk wil maken van die digitalisering, steeds vaker naar boven
zal komen. GroenLinks-PvdA zal dan per keer de afweging maken: slaat de balans door,
hoe valt dit uit? Zien we dat het belang van gegevensdeling inderdaad prevaleert boven
het belang van in dit geval privacy? En is de privacy dan nog steeds goed geborgd?
Want dat kan ook samengaan met gegevensdeling. Wat ik zei: die spanning is er als
het gaat om gegevensdeling. Ik denk dat die de komende tijd nog vaker naar voren zal
komen, omdat de digitalisering nou eenmaal steeds verder zal gaan. Dan maken we die
afweging elke keer opnieuw.

De heer Claassen (PVV):

Wat wordt de afweging in dit voorstel? Of wilt u nog wachten op de antwoorden van
de Minister? Ik heb in mijn inbreng gezegd dat ik bij I, bij II, bij II.b en bij de
Wet kwaliteitsregistraties zorg die afweging ook probeer te maken. Ik ben gewoon nog
op zoek – daar ben ik heel eerlijk over – waar de afweging ligt bij deze wet. Ik ben
ook wel benieuwd hoe mijn collega's dat zien. Daarom stel ik deze vraag aan de heer
Bushoff.

De heer Bushoff (GroenLinks-PvdA):

Op de vraag hoe de balans uitslaat bij deze wet, zeg ik dat ik een aantal vragen heb
gesteld waarop ik graag nog een verduidelijkend antwoord wil en dat ik een aantal
zorgen heb geuit, maar dat in dit geval de balans op zichzelf zo uitslaat dat wij
deze wet in principe kunnen steunen. Maar ik stel niet voor niets een aantal vragen
en zorgen aan de kaak. Daar hoop ik uiteraard een goed antwoord op te krijgen van
de Minister.

De voorzitter:

Dank u wel. Dat brengt ons bij de inbreng van mevrouw Rikkers namens de fractie van
BBB.

Mevrouw Rikkers-Oosterkamp (BBB):

Dank u wel, voorzitter. Vandaag bespreken we een belangrijk wetsonderdeel, namelijk
het recht van internationale comités om medische dossiers in te zien. Het doel is
duidelijk: het voorkómen van foltering en onmenselijke behandeling van mensen die
door de overheid hun vrijheid zijn verloren. Ik begrijp het belang van de taak en
de noodzaak om de internationale verplichtingen na te komen die Nederland is aangegaan.
Toch hebben wij zorgen over het doorbreken van het medisch beroepsgeheim, ook al is
het doel nodig. Het beschermen van de vertrouwelijkheid van medische gegevens is een
belangrijk recht. Dit moeten wij als Kamer goed overwegen. De balans tussen het toezicht
en de privacy is van groot belang.

Daarom willen wij graag meer weten over de bevoegdheden in de praktijk. Hoe worden
die uitgevoerd? Welke waarborgen zijn er om ervoor te zorgen dat het recht op privacy
niet wordt geschonden? Voor ons is duidelijk dat de Minister het toezicht op de naleving
van de verdragen tegen foltering en onmenselijke behandeling serieus neemt. Dat vinden
wij ook goed. Toch roept de reactie van de Minister wat zorgen bij ons op. De Minister
stelt namelijk dat de inbreuk van het medisch beroepsgeheim gerechtvaardigd is door
de gevoeligheden van het werk van het comité en de noodzaak om de verdragsverplichtingen
na te komen.

Wij begrijpen dat deze bevoegdheid belangrijk is om de bescherming te waarborgen van
mensen die gedwongen zijn opgenomen. Tegelijkertijd willen wij benadrukken dat het
doorbreken van het medisch beroepsgeheim niet zomaar mag gebeuren. Het beroepsgeheim
is niet zonder reden in onze wet vastgelegd. Het beschermt het vertrouwen tussen de
zorgverleners en de patiënten, een fundamenteel recht dat niet lichtvaardig mag worden
aangetast. De Minister zegt dat inzage van de medische dossiers nodig is voor toezicht,
maar ik vraag me af hoe de regering ervoor zorgt dat deze inzage niet verdergaat dan
strikt noodzakelijk. Een vraag voor de Minister: is er in de wetgeving een systeem
van waarborgen opgenomen dat de privacy van de betrokkenen beschermt? Waarom kan deze
inzage niet via een andere weg? Welke informatie wordt gedeeld als het comité hierom
vraagt? Is dat het volledige medische dossier of is het alleen de medische informatie
die de zorgverlener noodzakelijk acht?

Daarnaast maken we ons zorgen over het toezicht op de comités zelf. Zo hebben wij
vernomen dat de Autoriteit Persoonsgegevens met een groot personeelstekort kampt.
Hoe wordt gecontroleerd wat de comités doen, ondanks het personeelstekort van de Autoriteit
Persoonsgegevens? Wie zorgt ervoor dat de comités geen misbruik maken van hun toegang
tot de medische dossiers? Het is namelijk wel belangrijk dat er mechanismen zijn die
ervoor zorgen dat de zorgvuldigheid en de proportionaliteit altijd gewaarborgd zijn
bij het inzien van zulke gevoelige gegevens. Ik wil hierom graag weten wat de regering
doet om dit te controleren.

Het is belangrijk dat we duidelijke richtlijnen en criteria vaststellen voor de comités
voor het bepalen van de noodzaak tot inzage. Ik heb gelezen dat de comités zelf besluiten
wanneer redelijkerwijs inzage noodzakelijk is. Per comité is de grondslag daarvoor
verschillend. Dit stelt de BBB echter niet gerust. Kan de Minister aangeven welke
richtlijnen de comités moeten volgen, en hoe gewaarborgd wordt dat het proportionaliteitsprincipe
altijd wordt gerespecteerd en dat de comités niet onterecht verregaande inzage krijgen
in medische dossiers?

Daarnaast wil ik graag mijn complimenten uiten over het feit dat we de gegevensdeling
ten behoeve van het beleid nu goed gaan regelen. In mijn tijd als wethouder heb ik
gezien hoe onmogelijk het is om goede data te verzamelen om te kunnen monitoren en
sturen. Het was vaak alsof je in de woestijn reed zonder navigatie en zonder enig
idee of je wel de goede kant op stuurde. Je kon immers heel weinig toetsen en monitoren.
Wel vinden we het heel erg belangrijk dat dit zorgvuldig gebeurt en dat we zelf ook
de privacywet volgen. Het verkorten van de bewaartermijn is wat onze fractie betreft
ook logisch, want een bewaartermijn van vijftien jaar is veel te lang voor financiële
gegevens.

Tot slot vindt mijn fractie dat de bescherming van de fundamentele rechten, zoals
het vertrouwen in de medische informatie, nooit ter discussie mag staan. Het vertrouwen
van mensen in ons zorgsysteem en het rechtssysteem hangt af van de zorgvuldigheid
waarmee we ons medisch beroepsgeheim benaderen.

Dank u wel.

De voorzitter:

Dank u, mevrouw Rikkers. Mevrouw De Korte heeft een vraag voor u. Kunt u de microfoon
uitzetten, mevrouw Rikkers?

Mevrouw De Korte (NSC):

Ook van u, mevrouw Rikkers, wil ik graag het volgende weten. U heeft niet zo veel
gezegd over de gegevens die Vektis verzamelt. U zegt wel dat bescherming van medische
gegevens een belangrijk recht is. Dit gaat om het delen van declaratiegegevens en
enkele medische gegevens die gedeeld worden. Wat vindt u van dergelijke landelijke
databases? Moeten die meer beschermd worden, en moeten we op dit moment een stop zetten
om goed na te denken of we dit wel op deze manier moeten doen?

Mevrouw Rikkers-Oosterkamp (BBB):

Dank u wel voor de vraag. Volgens ons worden deze gegevens op dit moment al verzameld.
Deze gegevens zijn nodig om de declaraties te doen, dus daar zijn inderdaad ook bsn-nummers
voor nodig. We willen namelijk wel graag dat de declaraties ook over de juiste patiënten
gaan. Daarnaast is de AVG bij mijn weten heel duidelijk over de manier waarop gegevens
gedeeld mogen worden. Die wetgeving is er dus al. Voor ons is het juist belangrijk
om te kijken hoe die wetgeving wordt nageleefd, dus of de Autoriteit Persoonsgegevens
daar controles op doet en dat de IGJ die controles straks ook mag doen. Dat vinden
wij dus heel belangrijk, want sec het verzamelen van gegevens gebeurt al. Daar veranderen
wij met deze wet dus niks aan.

De voorzitter:

U heeft nog één interruptie, mevrouw De Korte.

Mevrouw De Korte (NSC):

Toch nog even de vraag: vindt u niet dat Vektis de aller-, allerbeste gegevensbeveiliging
moet hebben en dat wij daar op dit moment geen inzicht in hebben? Ik heb begrepen
dat bijvoorbeeld de nationale politie veel strengere dataeisen heeft. Vindt u ook
dat dat bekeken moet worden voordat Vektis verdergaat met de dataverzameling?

Mevrouw Rikkers-Oosterkamp (BBB):

Het is uiteraard heel erg belangrijk om die dataverzameling zorgvuldig te doen, maar
volgens ons kan dat nu al volgens de wetgeving. Daar veranderen we met deze verzamelwet
dus niks aan. Dit gaat dus echt alleen over het stukje waarbij wat Vektis al verzameld
heeft, door wordt gestuurd naar het ministerie, zodat wij de vragen beantwoord kunnen
krijgen die wij hier in de Kamer hebben. Dat vinden wij echt heel belangrijk. Op dit
moment zitten wij er dus op deze manier in.

De voorzitter:

Dank u wel. Dan geef ik het voorzitterschap even aan de heer Bushoff.

Voorzitter: Bushoff

De voorzitter:

Dan krijgt mevrouw Tielen, van de VVD-fractie, het woord voor haar inbreng.

Mevrouw Tielen (VVD):

Dank u wel, voorzitter. Weet u het? Weet u hoe vaak de Kamer vraagt om informatie
over percentages, aantallen en ratio's, hoe vaak de Kamer graag wil weten of incidenten
misschien een structureel karakter hebben, en hoe vaak de Kamer graag wil weten of
beleid wel effect heeft, of hoe groot de kans is dat beleidsvoorstellen doelmatig
zijn? Ik weet niet hoe vaak, maar mijn indruk is: heel vaak. Gegevens van patiënten
zijn niet alleen nodig om de wetenschappelijke kwaliteit van zorg te beoordelen en
te toetsen, maar ook voor de beleidsmatige kwaliteit van zorg. De zorg in Nederland
behoort tot de beste ter wereld. Dat komt door de op wetenschap gefundeerde diagnostiek
en behandeling door professionals, maar ook door ons stelsel en het beleid eromheen.
Dat is geen gokje; dat is getoetst, met gegevens.

Voorzitter. Die gegevens zijn dus van groot belang om de beste zorg te behouden. De
gegevens zelf en de verwerking en de uitwisseling ervan zijn zaken waar we regels
en wetten voor hebben. Nu ligt het tweede deel voor van een wet omtrent de verwerking
van gegevens. In het debat over deel één vroeg ik de Minister al of zij ook vindt
dat de kwaliteit van zorg vergroot wordt door eenvoudigere gegevensuitwisseling, of
de administratieve last daardoor vermindert, of de beleving van de patiënt daardoor
verbetert en of de kennis die nodig is voor bijvoorbeeld zorg met kunstmatige intelligentie,
wordt vergroot door eenvoudigere gegevensverwerking en -uitwisseling. Op al die vragen
kreeg ik in september een bevestigend antwoord. Dat is goed, want we hebben als Kamer
en kabinet echt de gezamenlijke opdracht om wetten goed te maken, waardoor alle professionals
in de praktijk wettig, eenvoudig en zorgzaam met gegevens om kunnen gaan.

Helaas zie en hoor ik, ook vandaag, partijen in deze Kamer die dat anders zien en
op zoek gaan naar ingewikkelde complotten – sorry dat ik het zeg – over of de veiligheid
van de gegevens wel genoeg is. Mevrouw De Korte heeft geen interrupties meer, dus
ik pak het moment maar eventjes om erop te reageren. Ze verwees al naar statussen
die vroeger in het ziekenhuis verzameld werden in de kelder. Ik heb zelf nog stage
gelopen in die tijd. U ziet het niet aan me, maar dat was in de vorige eeuw. Daar
waren hele kasten vol met statussen – die hoorden daar te zijn – met daarin alle medische
gegevens, alle gespreksverslagen, behandelingen enzovoort. Maar heel vaak lagen die
statussen op de verplegerspost, omdat ze nodig waren, omdat die gegevens nodig waren
voor de behandeling van de patiënt en voor afstemming met de dokter en met de collega's
van een andere afdeling. Je kon gewoon gaan zitten met zo'n status en die dan helemaal
doorlezen, en niemand die het wist. Je wist wel wie die patiënt was. Het gevaar van
die gegevens was wellicht minder groots en werelds, maar het gevaar was eigenlijk
veel groter, want je kon gewoon precies lezen waarom je buurvrouw eigenlijk in het
ziekenhuis lag of was geweest.

Een aantal voorgangers zei het al: omdat het hierbij over grote datasets gaat, is
het bewustzijn rondom die veiligheid alleen maar groter. We hebben allerlei wetten,
regels, compliance officers en een organisatie als Z-CERT, die echt heel erg actief
en heel effectief omgaat met de veiligheid van die gegevens. Het klopt dat het belangrijk
is, maar volgens mij moeten we hier niet de suggestie wekken dat die data zomaar in
de lucht komen en overal gedeeld worden. Heel eerlijk heb ik daar weinig gegevens
van gezien. Als er een dergelijke ddos-aanval is – zorginstellingen hebben daar last
van – is er altijd een systeem om die heel snel de kop in te drukken.

De voorzitter:

U heeft een interruptie van de heer Claassen.

Mevrouw Tielen (VVD):

Dat dacht ik al.

De heer Claassen (PVV):

Ik zag voor me hoe ik ooit op een zusterspost – later heette het «verplegerspost» –
zat. Daar stonden dossiers in karren. Ik heb nooit een zorgverzekeraar, de IGJ of
de buurvrouw uit de andere straat erop kunnen betrappen dat die de post op liep om
een dossier eruit te halen om dat te lezen. Ik denk dat dat nu fundamenteel anders
is dan toen. Dat wil ik wel even opmerken.

Twee. Ik had het in mijn betoog over proportionaliteit. Misschien heb ik het onjuist,
maar zoals ik mevrouw Tielen heb beluisterd, speelt dat niet voor de VVD. Ik ben eigenlijk
benieuwd of er volgens de VVD een moment is waarop die proportionaliteit niet aanwezig
is. Of zegt de VVD: het maakt niet uit; alle gegevens, van iedereen, coûte que coûte,
want dat is het allerbeste voor de zorg?

Mevrouw Tielen (VVD):

Ik hoor twee vragen. De eerste gaat erover dat de heer Claassen niemand heeft kunnen
betrappen. Misschien herkende u diegene niet. Misschien was er geen groot bordje met
«ik ben de zorgverzekeraar». Doordat we heel veel digitalisering hebben, is dat veel
beter zichtbaar en kun je het veel eerder herkennen dan vroeger. Die ene stagiair
was misschien toch ... Dat zeg ik niet om flauw te doen, maar je weet het gewoon niet.
Nu kun je het veel beter zien.

Uiteraard is proportionaliteit ook voor ons een heel groot en belangrijk gegeven.
Ik heb ook het advies van de Raad van State gelezen. Ik denk dat we er altijd heel
scherp op moeten zijn. Het recht om niet gezien te worden – ik heb het over dingen
waarvan je niet wil dat anderen die zien – is wat mij betreft heel belangrijk. Alleen,
in de weging daarvan denk ik dat we in de Kamer af en toe wat doorslaan naar de andere
kant. Juist voor het grondrecht om gezond te zijn en goede zorg te krijgen, heb je
die gegevens soms echt gewoon nodig. Dus meneer Claassen maakt er, terecht, een karikatuurtje
van. Maar die zorg neem ik weg. Volgens mij is die proportionaliteit namelijk heel
belangrijk. Die moet je elke keer goed wegen. Wij hebben die in dit wetsvoorstel deze
kant op laten wegen.

Voorzitter. Ik wil graag in mijn verdere betoog stilstaan bij regeldruk, administratieve
lasten en bureaucratie. Gegevensverwerking en -uitwisseling zijn cruciaal voor het
voorkomen van administratie en dubbel werken. Dit wetsvoorstel is daar niet voor bedoeld,
en doet dit ook maar matig. Dat blijkt uit de woorden van het Adviescollege toetsing
regeldruk in de memorie van toelichting. De Minister reageert daarop, maar ik kan
nog niet goed vatten wat zij bedoelt met haar reactie op die uitspraak van het ATR.
Kan de Minister een wat bredere visie delen wat betreft het voorkomen van administratie
en dubbel werk? Kan zij aangeven in hoeverre dit soort wetten daaraan bijdragen? We
hebben het best vaak over kunstmatige intelligentie gehad, maar daarvoor zijn er echt
wel dingen nodig. Wat gaat de Minister daar na dit wetsvoorstel aan doen? Wat is haar
ambitie als het gaat om het verlagen van die regeldruk met behulp van gegevensuitwisseling?
Hoe gaat dit wetsvoorstel daaraan bijdragen? Hoe gaat de Verzamelwet gegevensverwerking
VWS II.b hier ook aan bijdragen? Wellicht komt er daarna nog iets. Ik vraag de Minister
wat zij in werking gaat stellen om er daadwerkelijk voor te zorgen dat die gegevens
dit soort effecten gaan hebben.

Tijdens werkbezoeken hoor ik van veel zorgprofessionals en onderzoekers dat de gegevens
voor zowel wetenschappelijk onderzoek alsook voor patiëntgerichte diagnostiek en behandeling
makkelijker beschikbaar zouden moeten zijn. Met de huidige wetten die er zijn – dat
zijn er volgens mij meer dan drie – moet elke compliance officer van zorgverzekeraars
op dit moment toestemming geven aan alle betrokken onderzoekers en professionals om
gegevens te kunnen gebruiken. Dat levert enorme bureaucratie en vertragingen op. Op
het moment dat je spiegelinformatie nodig hebt om te bekijken of behandelstappen ook
daadwerkelijk het juiste effect hebben, heb je gewoon meer dan alleen maar de cijfers
van de patiënt nodig. Die patiëntinformatie moet je wel kunnen verwerken in een tabel
in Excel of zoiets. Nu hoorde ik van een geval – en dat is het geval omdat die regels
er zijn – van een verpleegkundig specialist die al die gegevens moet invoeren en zelf
grafiekjes moet maken, terwijl hij beter is in het werk met patiënten. Maar hij mag
het niet vragen aan de doktersassistente die beter is in het maken van Excelletjes
en tabelletjes. Dan zou hij namelijk heel vaak de toestemming moeten krijgen om dit
over te dragen aan die doktersassistente. Natuurlijk zit die verpleegkundig specialist
liever met de patiënt te bespreken wat die data en die spiegelinformatie bijvoorbeeld
zeggen over de voortgang van een antikankerbehandeling. Die patiënt verwacht ook dat
het team bezig is om hem beter te maken en dat dit team daarvoor alle benodigde gegevens
heeft. Kan de Minister eens in kaart brengen hoe we, met inachtneming van de bescherming
van gegevens, dit soort regeltjes, die toch wat onnodig zijn, weg kunnen halen? Je
wil dat de mensen die uiteindelijk met patiënten die behandeling moeten uitvoeren,
dat ook daadwerkelijk kunnen doen, mét de gegevens, en dat ze niet bezig hoeven te
zijn met computerprogramma's.

Ik zat zelf te denken – maar dit was echt nog een brainstorm – aan een soort teamlicentie.
Die zou dan verder gaan dan alleen maar de BIG-geregistreerde behandelteams, zodat
iemand die onderdeel is van een behandelteam ook daadwerkelijk met data aan de gang
kan gaan. Zoals ik al zei, was dit nog een brainstorm.

De Minister verwijst in antwoord op mijn schriftelijke inbreng naar de European Health
Data Space en naar de nog op te richten Health Data Access Body als oplossingen voor
dit soort vraagstukken. Maar mijn vraag is of dit daadwerkelijk zo werkt. Kan de Minister
ook wat meer vertellen over wat die Health Data Access Body daadwerkelijk gaat opleveren
qua oplossingen voor onnodige bureaucratie? Wat verwacht de Minister daarvan? Kunnen
we nog meer versies van wetten verwachten die gegevensuitwisseling stimuleren? Kan
de Minister daar een toelichting op geven?

Voorzitter, dat was mijn inbreng.

De voorzitter:

Dank u wel, mevrouw Tielen, voor uw inbreng namens de VVD-fractie. Dan geef ik het
voorzitterschap weer over aan u.

Voorzitter: Tielen

De voorzitter:

Aan mij de heldere taak om te zeggen dat de eerste termijn van de zijde van de Kamer
is afgesloten. Ik ga nu van de Minister horen hoelang zij graag wil schorsen. De mensen
boven kijken mee, hoor ik. We gaan een halfuur schorsen, zodat de Minister goed voorbereid
haar eerste termijn kan doen. Dat zal dan om 11.30 uur zijn. Tot straks.

De vergadering wordt van 11.01 uur tot 11.30 uur geschorst.

De voorzitter:

Welkom terug allemaal. Ik hervat het wetgevingsoverleg over de Verzamelwet gegevensverwerking
VWS II.a. We zijn toegekomen aan de eerste termijn van de zijde van het kabinet. Ik
zie dat de Minister vier mapjes heeft. Ze gaat ons zo vast vertellen hoe ze haar eerste
termijn gaat invullen. Het lijkt me goed dat de Kamerleden wederom vijf interrupties
ter beschikking hebben. De Minister.

Minister Agema:

Dank u wel, voorzitter. Ik heb de mapjes inderdaad ingedeeld naar aanleiding van de
wetswijzigingen. Ik denk dat dat logisch is. Als het gaat om gegevensuitwisseling,
snap ik het op zich wel dat leden dat soms wat spannend vinden. Ik heb dat zelf ook.
In 2012 werd bekend dat ik MS heb. Wat mij betreft had niet heel Nederland dat hoeven
weten. Ik vind het altijd heel fijn als mensen bezorgd zijn of er eens naar vragen,
maar ik had dat niet gewild. Toch weet heel Nederland dat. Ik ben er dus heel alert
op dat we dit dus heel zorgvuldig doen op dit spannende terrein waarop we ons begeven.

Juist om die zorgvuldigheid met elkaar te kunnen bereiken, denk ik dat we de volgende
stappen moeten zetten. Ik heb de Kamer ook vijf brieven gestuurd over hoe we de volgende
stappen kunnen gaan zetten. Die komen er natuurlijk ook allemaal aan met de Wegiz
en de EHDS. Dat gaat ook over hoe we de gegevensuitwisseling naar een hoger plan kunnen
brengen, waarbij we ook een toekomstbeeld hebben waarin gegevens bij de bron blijven
en wij vooral de snelwegen daaromheen gaan organiseren. Maar dat hebben we nu nog
niet. We zijn nog niet zover.

We hebben nu bijvoorbeeld de organisatie Vektis, die dat al 30 jaar doet voor ons,
of eigenlijk niet voor ons maar voor de verzekeraars. Op basis daarvan kunnen we ook
beleid bepalen en conclusies trekken. Wij maken hier met z'n allen beleid. Ik denk
dat het heel erg belangrijk is om ons goed te realiseren hoe ongelofelijk belangrijk
het is dat we die gegevens hebben, niet alleen zodat een Minister of Staatssecretaris
vragen kan beantwoorden, maar ook omdat we verschillen zien tussen regio's en aanbieders,
waar we soms nieuw beleid op willen maken. Ook als we bijvoorbeeld vragen hebben of
mee- of tegenvallers hebben op het kader bij de medisch-specialistische zorg, de ggz
of de Wlz, dan kunnen we uitzoeken hoe dat nou komt. Daar hebben we Vektis dus heel
erg hard bij nodig. Zo direct ga ik ook in op de vragen die hieromtrent zijn gesteld.
Maar als het gaat om gegevensuitwisseling, dan is het voor de praktijk, voor het land,
heel erg belangrijk om dat beter te maken. We horen ook veel over dingen die dubbel
gedaan worden omdat ICT-systemen niet op elkaar aansluiten. Het is dus een belangrijke
volgende stap die we moeten gaan zetten. Wat we hier vandaag voor ons hebben liggen,
zijn verbeteringen van wetswijzigingen, zoals we die ook bij de wet gegevensuitwisseling
I hebben gehad, waarbij we de wet willen laten aansluiten op de praktijk.

Over onderwerp één, de IGJ en de Wet aanvullende bepalingen, zijn een aantal vragen
gesteld.

De voorzitter:

Vindt u het oké om even te zeggen welke blokjes er komen? Dan weten de leden of ze
al wel of niet moeten interrumperen.

Minister Agema:

Er zijn niet over alle blokjes vragen gesteld.

De voorzitter:

Oké.

Minister Agema:

Ik heb hier één, twee, vier en zes. O nee, ik heb één, drie en vier, en dan het blokje
overig.

De voorzitter:

Dat zijn de wetsonderdelen?

Minister Agema:

Ja. Twee en vijf heb ik niet.

De voorzitter:

Hartstikke goed. Dan beginnen we gewoon met één.

Minister Agema:

Het eerste blokje gaat over toezicht van de IGJ op de wet algemene bepalingen. Daarover
heeft het lid Claassen de volgende vraag gesteld. Waarom krijgt de inspectie handhavingstaken
in de Wet aanvullende bepalingen? Dat is nodig omdat we ervoor zorgen dat de inspectie
preventief kan ingrijpen en niet hoeft te wachten tot de kwaliteit van zorg in het
geding komt.

De heer Bushoff vraagt naar de verbeteringen van de informatiebeveiliging. Als de
beveiliging bij zorgaanbieders niet altijd op orde is, wat kan de Minister hier dan
aan doen? Het klopt dat de beveiliging niet altijd op orde is. Er zijn diverse onderzoeken
geweest waaruit bleek dat bijvoorbeeld twee derde van de ziekenhuizen dit niet op
orde had. We willen natuurlijk dat de informatie juist daar het beste beschermd is,
zodat als er pogingen worden gedaan om informatie te stelen, die worden gedwarsboomd.
Zorgaanbieders zijn dus in de eerste plaats zelf verantwoordelijk voor het aantoonbaar
voldoen aan de NEN-normen. Ik ondersteun zorgaanbieders bij de informatiebeveiliging.
Ik werk aan het uitbreiden en verstevigen van Z-CERT. Mevrouw Tielen noemde dat al.
Dat is de digitale brandweer waar zo'n 300 zorginstellingen op aangesloten zijn en
waar ze met al hun vragen terechtkunnen. Daarnaast zet ik in op het stimuleren van
informatieveilig gedrag bij zorgprofessionals. Daarvoor hebben we samen met het veld
het actieplan informatieveilig gedrag ontwikkeld. Tot slot zorg ik voor de doorontwikkeling
van de wettelijk verplichte beveiligingsnormen.

De voorzitter:

Meneer Claassen heeft daar een vraag over.

De heer Claassen (PVV):

In de regio Zuid-Limburg is een heel groot podologisch centrum. Dat heeft in meerdere
gemeentes een praktijk. Twee, drie weken geleden was daar een datalek. Dat trof echt
honderden mensen die in die praktijk geregistreerd waren, onder wie ikzelf – ik leef
niet op grote voet, maar ik heb ze wel. Die mensen kregen een mail dat er een hack
is geweest en dat er data naar buiten zijn gekomen. Daarbij werd expliciet gezegd
dat het niet ging om de medische gegevens, want die zaten in een iets ander systeem,
die waren redundant en weet ik wat allemaal. Maar de naw-gegevens, bsn, verzekerdengegevens
et cetera waren wel naar buiten gekomen. In de mail die ik kreeg, stond: excuses,
en let op of er valse declaraties voorbijkomen. Daarmee wordt het probleem bij de
consument gelegd. Is dat het voorland, of wordt dat gewoon beter geregeld, zodat ik
als consument niet ineens heel erg alert moet zijn omdat de systemen niet kloppen?

Minister Agema:

Deze vraag overvalt mij een beetje. Daar kan ik niet zomaar op reageren. Het is natuurlijk
wel zo dat we ervoor gaan zorgen dat de inspectie in ieder geval controleert of er
voldaan wordt aan de beveiligingsnormen. In de situatie zoals die nu nog steeds is,
moet ook de kwaliteit in het geding zijn. Dat tweede deel laten we los. Nu kan de
inspectie gewoon kijken of er voldaan wordt aan de normen. Dat beleid wordt dus eigenlijk
veel strenger. De inspectie kan er ook meteen op handhaven. Dat kan allereerst via
een waarschuwing, een brief, maar er kan ook een boete worden opgelegd. Ik denk dat
we dan komen tot een situatie waarin het niet te gemakkelijk bij u wordt neergelegd,
maar een instelling ook zelf de eigen verantwoordelijkheid moet zien en moet nemen.

De voorzitter:

Gaat u verder.

Minister Agema:

Dan een vraag van de heer Bushoff. In het verslag lezen we dat de Minister verwacht
dat de inspectie vaker handhavend zal optreden maar er geen aanvullende lasten in
de uitvoering zijn, maar de inspectie verwacht wel dat er extra personeel nodig is.
Wat klopt hiervan, vraagt hij, en is er extra personele capaciteit opgenomen in de
lopende begroting? Ja, de inspectie heeft extra capaciteit gekregen in verband met
de toekomstige Cyberbeveiligingswet, de Cbw. In dat kader is er ook extra personeel
toegekend. Het toezicht op de toekomstige Cyberbeveiligingswet ligt in het verlengde
van het huidige toezicht op de Wabvpz.

Dan ga ik naar het derde onderwerp, de comités tegen foltering.

De voorzitter:

Maar voordat u dat doet, heeft meneer Bushoff toch nog een vraag.

De heer Bushoff (GroenLinks-PvdA):

Ja, toch nog even over het eerste punt, dus het helpen van het zorgveld om de beveiliging
op orde te krijgen. Ik begrijp dat er gewerkt wordt aan een soort digitale brandweer,
een soort vraagbaak waar zorgaanbieders terechtkunnen met al hun vragen, en dat er
een actieplan komt, of er al is, voor die bewustwording. Maar ik lees ook dat de IGJ
schrijft dat er soms gewoon onvoldoende middelen zijn. Dan gaat het over tijd, geld
en expertise. Hoe groot is dat probleem? En wordt dat opgelost met de acties die de
Minister zonet noemde?

Minister Agema:

Ja, dat moet natuurlijk wel, want ik heb geld gegeven voor extra capaciteit voor die
Cyberbeveiligingswet. We hebben dat probleem dus gezien en er ook op gehandeld.

De voorzitter:

Meneer Bushoff in tweede instantie.

De heer Bushoff (GroenLinks-PvdA):

Misschien heb ik het fout, hoor, maar volgens mij gaan die extra middelen naar de
IGJ om inderdaad te kunnen voldoen aan de extra taken die de IGJ krijgt rond de cyberveiligheid.
Mijn punt gaat erover dat er volgens de IGJ bij zorgaanbieders aantoonbaar onvoldoende
middelen zijn. Daarbij worden genoemd: tijd, geld en expertise. De vraag is of de
acties die de Minister zojuist opnoemde, dat probleem ook in voldoende mate tackelen.

Minister Agema:

Bij de zorgaanbieders dus. De zorgaanbieders hebben hun verantwoordelijkheid voor
de eigen bedrijfsvoering. Ze moeten hun bedrijfsvoering op orde hebben. Binnen de
vergoedingen die ze krijgen, zijn dit de eisen die we stellen. Ik heb geen signalen
gekregen dat dat op dit moment niet voldoende is. We zullen er met z'n allen ook meer
alert op moeten worden dat dit de toekomst is waar we naartoe moeten werken, en dat
we grote slagen moeten maken. Die gaan ook veel geld schelen, omdat we geen dingen
meer dubbel gaan doen. De eenheid van taal gaat veel dubbele administratie schelen.
Uiteindelijk werken we dus toe naar een situatie, niet morgen maar in de komende jaren,
waarin dit allemaal beter georganiseerd wordt.

De voorzitter:

Dan gaan we naar onderdeel drie.

Minister Agema:

Daarin zijn vragen gesteld door mevrouw Rikkers van BBB. Wie zorgt ervoor dat de comités
geen misbruik maken van hun toegang tot medische dossiers? Hoe wordt gewaarborgd dat
het principe van proportionaliteit altijd wordt gerespecteerd en comités niet onterecht
vergaande inzage krijgen in medische dossiers? Dit wordt gewaarborgd in de verdragen
zelf, dus in het Europees verdrag tegen foltering en in het antifolteringsverdrag
van de Verenigde Naties. In die verdragen staan eisen ten aanzien van de leden van
de comités, die onafhankelijk en onpartijdig moeten zijn en van het hoogst mogelijke
zedelijke aanzien, de strikte afbakening van het mandaat van de bezoekende delegatie
en de geheimhouding over en de vertrouwelijkheid van de ingewonnen informatie. In
de verdragen is ook geregeld dat toegang alleen wordt verleend ter uitvoering van
het mandaat, en dat de toegang tot informatie duidelijk van groot belang is voor het
uitoefenen van het mandaat. Het comité tegen foltering is bovendien verplicht om bij
het inwinnen van informatie bij een partij rekening te houden met nationaal recht,
zoals het Nederlandse medisch beroepsgeheim. De Raad van Europa en de VN houden ieder
toezicht op het eigen comité.

Kan de Minister aangeven welke richtlijnen de comités moeten volgen? Het Europees
comité tegen foltering moet zich houden aan het Europees verdrag tegen foltering,
de rules of procedure die gebaseerd zijn op dat verdrag, en het gegevensbeschermingsreglement
van de Raad van Europa. Het subcomité tegen foltering moet zich houden aan het VN-antifolteringsverdrag,
de rules of procedure en de working methods die gebaseerd zijn op het verdrag en aan
het Handvest van de Verenigde Naties. Hoe wordt gecontroleerd wat de comités doen,
ondanks het personeelstekort bij de Autoriteit Persoonsgegevens? De comités vallen
onder de paraplu van de Raad van Europa en de VN. Deze houden toezicht op de werkwijze
van de comités. De Autoriteit Persoonsgegevens houdt geen toezicht op het werk van
de comités.

Welke informatie wordt er gedeeld, als het comité hierom vraagt? Is dat het volledige
medisch dossier of alleen de medische informatie die de zorgverlener noodzakelijk
acht? Het inzagerecht van de comités zal worden uitgebreid ten behoeve van personen
van wie de vrijheid door de overheid is ontnomen en die vrijwillige zorg krijgen of
hebben gekregen. Er mogen echter geen kopieën gemaakt worden van de dossiers. Bovendien
mogen de comités het volledige dossier alleen inzien voor zover dat redelijkerwijs
nodig is voor hun taak. Aanwijzingen van foltering, vernederende behandeling of bestraffing
kunnen aanwezig zijn in de medische dossiers van cliënten die van hun vrijheid zijn
beroofd en vrijwillige zorg hebben gekregen. Denk hierbij bijvoorbeeld aan zorg na
een gebroken arm in de gevangenis.

Waarom kan de inzage niet via een andere weg, zoals bij mentorschap? Nederland heeft
de verdragen getekend en daarmee beloofd om de verplichtingen uit de verdragen na
te leven, zoals we hebben beschreven in de rechtsstaatverklaring. In deze verdragen
is geregeld dat de comités rechtstreeks toegang moeten krijgen tot alle informatie
die van belang is bij hun werk. Daaronder valt ook inzage in de medische dossiers.
Ze zien deze dossiers in om personen te beschermen tegen toekomstige slechte behandeling.
Niet iedereen die door de overheid is vastgezet, heeft een mentor. Voor degenen die
wel een mentor hebben, is inzage via de mentor geen vorm van volledige toegang en
daarom is die niet in overeenstemming met internationale verdragen.

Is er in de wetgeving een systeem van waarborging opgenomen dat de privacy van de
betrokkenen beschermt? De comités zijn opgericht om foltering of onmenselijke behandeling
van personen die vastzitten, te voorkomen. Dit beschermt een zwaarwegend belang van
de gevangenen. Om hun werk te kunnen doen, hebben ze inzage in medische dossiers nodig.
Ze hebben alleen inzagerecht. Ze kunnen dus geen kopieën maken. De comités rapporteren
alleen anoniem en citeren dus nooit uit medische dossiers. De comités worden benoemd
door de VN en de Raad van Europa. Om benoemd te kunnen worden in een comité, moet
een persoon voldoen aan de zware eisen die ik zojuist al opnoemde.

De voorzitter:

Dan gaan we door naar de vragen die gesteld zijn over onderdeel IV van de wet.

Minister Agema:

Dat is ons favoriete onderdeel, namelijk Vektis. Eerst zeg ik iets in z'n algemeenheid.
De zorgverzekeraars en de zorgkantoren beschikken als gevolg van hun wettelijke taken
over declaratiedata van verzekerden. Vektis beheert de database plus, door de samenvoeging
van de data, de statische analyses die we kunnen krijgen over zorggebruik in den brede,
maar dan gepseudonimiseerd.

Klopt het dat bronbestanden via Vektis gepseudonimiseerde data bevatten? Nee, de bronbestanden
liggen bij de zorgverzekeraars en de Wlz-uitvoerders. Vektis slaat deze bestanden
op om ze te verwerken. Zodra de gegevens worden verstrekt aan Vektis, verwerkt dat
deze gegevens, bijvoorbeeld om aan het CAK gegevens te verstrekken over de uitvoering
van de taken van Vektis. Deze gegevens zijn niet gepseudonimiseerd. Daarnaast versleutelt
Vektis de gegevens en slaat deze op. Dan zijn de gegevens gepseudonimiseerd. Die gegevens
worden gebruikt voor beleidsdoeleinden. VWS gebruikt die dan vervolgens weer geanonimiseerd.

Mevrouw De Korte (NSC):

Om het goed te begrijpen, wil ik toch nog even herhalen hoe het gaat. Het is namelijk
een ingewikkeld proces. Vektis krijgt als eerste de gegevens van patiënten met bsn-nummers
en dus niet gepseudonimiseerd. Daarmee is de identiteit van patiënten te herleiden,
omdat die staat in de brongegevens. Klopt dat?

Minister Agema:

Ja, en dat moet ook, want Vektis moet deze gegevens bijvoorbeeld overdragen aan het
CAK. Op basis van deze gegevens wordt berekend of iemand een zorgtoeslag krijgt en
hoe hoog die is en ook hoe hoog iemands inkomensafhankelijke eigen bijdrage voor de
Wmo moet zijn. Het kan niet anders.

Mevrouw De Korte (NSC):

U gaat straks vast wel in op de beveiliging ...

De voorzitter:

Nee, mevrouw Agema; mevrouw De Korte is aan de beurt.

Mevrouw De Korte (NSC):

Ik denk dat u straks ingaat op de manier van beveiligen. Het zijn namelijk cruciale
patiëntgegevens die bij Vektis liggen. Die zijn gevoelig voor hacken of lekken. We
horen graag hoe dat nou precies beveiligd is, want tot nu toe zijn we daar niet helemaal
uit gekomen.

Minister Agema:

Kijk, Vektis doet dit al 30 jaar. Er zijn geen lekken. Diefstal van data is er niet
geweest. Van mij mag mevrouw De Korte de vrees hebben dat dat wel gebeurt, maar we
moeten het ook wel in proportie zien. Het is nog steeds mogelijk dat wat al 30 jaar
door Vektis zonder problemen wordt uitgevoerd, op enig moment wel een probleem is.
Dat kun je nooit uitsluiten. Het is wel zo dat dit met de hoogst mogelijke vorm van
prudentie en beveiliging gebeurt. Het is dus ook nodig om deze gegevens niet-gepseudonimiseerd
over te dragen aan het CAK, simpelweg omdat deze gegevens nodig zijn voor de hoogte
van je zorgtoeslag of de hoogte van je eigen bijdrage; dat kán niet anders. Maar hiervoor
gelden de hoogst mogelijke beveiligingsnormen.

Het onderzoeken van de statistische gegevens gebeurt met gepseudonimiseerde gegevens.
Beleid kunnen maken, wat VWS graag wil, gebeurt met volledig geanonimiseerde en niet
herleidbare gegevens.

De voorzitter:

Mevrouw De Korte, in derde en laatste instantie.

Mevrouw De Korte (NSC):

Wij zijn niet heel erg gerust over de beveiliging en de manier van beveiliging. Kijk,
u zegt inderdaad dat dit al 30 jaar gebeurt, maar steeds meer hebben we te maken met
hackers, op welke manier dan ook, zelfs bij banken of waar dan ook; dat zijn echt
hele risicovolle situaties. Wat dat betreft denken we dat we de hoogst mogelijke vorm
van beveiliging moeten inzetten. Maar er zijn dus meer beveiligingstechnieken. Nu
worden bijvoorbeeld alleen de bsn-nummers beveiligd. Het Nationaal Cyber Security
Centrum heeft specifieke beveiliging. De nationale politie heeft een beveiliging waarmee
de data per onderdeel is beveiligd. TNO is daar ook mee bezig geweest en heeft geïnvesteerd
in privacy-enhancing technologies in het publieke domein. Wij hebben begrepen dat
Vektis op die manier nog niet de gegevens beveiligt. Het is misschien technisch. Ik
ben ook inderdaad geen ICT-deskundige, maar als ik dit zo hoor, denk ik: het kan echt
nog beter. Is de Minister bereid om hier nog verdere stappen in te zetten?

Minister Agema:

Weet u wat nou zo lastig is? Mevrouw De Korte citeert uit iets wat wij niet kunnen
meelezen. Ze is heel stellig over dat de politie beter beveiligd zou zijn dan Vektis,
maar er is geen rapport waar zij dat uit haalt. Het is hearsay. We kunnen niet met
haar meelezen. We kunnen niet meelezen in een bron die aangeeft wat zij bedoelt. Het
is wel zo dat je ook bij de politie een getrapte mate van beveiliging hebt. Zo heb
je dat natuurlijk ook bij organisaties die veel data verwerken. Het is ook zo dat
Vektis valt onder het toezicht van De Nederlandsche Bank. Dit is dus zeer zware beveiliging,
van het niveau dat wij bijvoorbeeld ook hebben bij digitaal bankieren. Het is van
een zeer hoog niveau. Ik denk dat dat ook de reden is waarom er nog nooit iets mee
is misgegaan. Als je absolutie eist, dan kunnen we alles wel gaan opheffen. Ik hoor
ook niet een oplossing van mevrouw De Korte voor hoe zij dan de zorgtoeslag of de
hoogte van de eigen bijdrages gaat regelen. Het is dus ook een wedervraag, mevrouw
De Korte. Hoe gaan wij de zorg voor mensen en de betaling regelen als ze een meerderheid
krijgt voor het idee dat dit stelsel helemaal niet meer mag? Hoe gaat ze het dan organiseren
en regelen?

Dan de beveiliging. Mevrouw De Korte heeft grote zorgen over de beveiliging, maar
wil ook weten hoe het precies geregeld is. Maar stel dat je het fysiek voor je ziet,
met De Nederlandsche Bank en een stel goudstaven. Mevrouw De Korte wil eigenlijk weten:
hoe ziet het gebouw eruit en hoe ga je naar binnen? Dan wil ze weten: «Daarna moet
je zoveel verdiepingen naar beneden, dan neem je een afslag en kom je bij een hek.
Daar hangt de sleutel van het hek. Daarna komen we bij de kluis, waar die code voor
geldt. Daar liggen dan de goudstaven.» Ik hoop dat u begrijpt dat u dan informatie
wil die u niet zou moeten willen als u zich zo veel zorgen maakt over mogelijke diefstal
van informatie. Ik denk dat het goed is dat we aan De Nederlandsche Bank laten hoe
de spullen precies beveiligd zijn.

De voorzitter:

Meneer Claassen heeft ook een vraag.

De heer Claassen (PVV):

De Minister had het erover dat de zorgaanbieders nog niet voldoen aan de NEN-norm,
terwijl dat eigenlijk een vereiste zou moeten zijn om op het beste niveau van veiligheid
te komen. Mijn vraag is: geldt dat ook voor de zorgverzekeraars, of voldoen die wel
aan de NEN-norm? Wat moet er nog gebeuren om daar te komen en welke termijn geldt
daar dan nog voor? Als er een langdurig hiaat is tussen de kwaliteitseis voor beveiliging
en de toename van de data en de kans op cybercrime, dan moet er ergens wel een korte
gap, en het liefst geen gap ... Er moet wel een visie zijn, een plan. Wanneer sluiten
deze dan wel op elkaar aan?

Minister Agema:

De zorgverzekeraars hebben de meeste informatie over de patiënten. Juist ook zij moeten
voldoen aan de allerhoogste beveiligingseisen. Dat is natuurlijk volkomen logisch.
Wat was uw vraag?

De heer Claassen (PVV):

Mijn vraag was de volgende. Volgens mij heb ik de Minister horen zeggen dat nog niet
iedereen voldoet aan de NEN-norm. Als dat zo is, wanneer voldoet men daar dan wel
aan? Hoelang gaat dat duren en wat is ervoor nodig om zorgaanbieders en zorgverzekeraars
te laten voldoen aan die NEN-norm? En wordt de termijn tussen de inwerkingtreding
van de wet en het moment waarop wordt voldaan aan die kwaliteitseis op het gebied
van de veiligheid, dan niet te groot?

Minister Agema:

Uiteraard voldoen de zorgverzekeraars wel aan de normen. Natuurlijk, op het lagere
vlak hebben we gezien dat best wel veel zorgaanbieders daar nog niet aan voldoen.
Een van de wijzigingen hebben we dan ook aangebracht om ervoor te zorgen dat de inspectie
mag handhaven en dat ook mag doen zonder dat de kwaliteit van de zorg in het geding
is, dus zonder die tweede bewijslast. Wij denken daarin een versnelling te kunnen
maken. Onder de Cyberbeveiligingswet gaan we ook voor een intensivering van alle inspanningen.
Zorgaanbieders moeten aan de bak, en de inspectie gaat met voldoende personeel intensiveren.
Ik geloof dat het bij 55 op 77 ziekenhuizen niet op orde was. Ik wil natuurlijk dat
die getallen fors gaan dalen. Daar richten we onze inspanningen op.

De voorzitter:

Meneer Claassen, in derde en laatste instantie op dit punt.

De heer Claassen (PVV):

Daarbij voorzie ik toch wel enige spanning, want die 75 moeten daar ooit aan gaan
voldoen. Als dat niet lukt, gaat de toko dicht. Als dat wel lukt, dan is dat prima,
maar op welke termijn is dat? Want handhaven is uiteindelijk niet alleen «foei» zeggen,
maar misschien ook het daadwerkelijk sluiten van de toko. Ik houd daar dan wel graag
zicht op: hoe ziet dat er dan uit en wat is daarbij dan de termijn?

Minister Agema:

De Cyberbeveiligingswet is in oktober ingegaan. Ik hoop natuurlijk dat we dit wetstraject
als het gaat om punt één, IGJ en de Wab, zo snel mogelijk kunnen afronden. Dan kan
de inspectie gaan handhaven. Handhaven is wat je doet om de cijfers naar beneden te
halen. Je ultimatum is dat het geregeld is, dat we de regels hebben gewijzigd, op
het moment dat wij gaan handhaven. Het is net als bij de maximumsnelheid op de snelweg.
Is die 100 km/u en gaat die in, dat geldt die ook, en dan ga je handhaven met boetes.
Zo gaat de inspectie dat ook organiseren. Ik hoop dus dat wij deze wetgeving zo snel
mogelijk door beide Kamers krijgen en kunnen publiceren in het Staatsblad. En dan
gaat de wijziging in. De Cyberbeveiligingswet is op 1 oktober ingegaan.

De voorzitter:

Gaat u verder.

Minister Agema:

Voorzitter, ik kijk even wat ik al met mevrouw De Korte heb besproken. Ik doe eerst
even de vragen van mevrouw De Korte.

Hoe voorkomt de Minister dat zelfs gepseudonimiseerde gegevens herleidbaar zijn naar
individuen? Het is niet aan mij, maar aan de organisaties die werken met gepseudonimiseerde
data om deze adequaat te beveiligen. Daartoe bestaan al de nodige eisen op grond van
de AVG en de beveiligingseisen voortvloeiend uit de regels van DNB. De reden waarom
het voor de statistische analyses die Vektis doet nodig is dat het is gepseudonimiseerd
en niet geanonimiseerd, is dat ze er ook dubbelingen of multimorbiditeit uit moeten
kunnen halen. Daarom moet het bij de statistische analyses van Vektis gepseudonimiseerd
zijn met een pseudo-bsn.

Dan de vraag van meneer Bushoff of de Minister kan aangeven wat volgens haar een zwaarwegend
algemeen belang is bij de verwerking door Vektis. Een zwaarwegend algemeen belang
voor de samenleving is voor de samenleving van meer dan gewone betekenis. Daar is
bijvoorbeeld sprake van als de verwerking van persoonsgegevens voor de overheid noodzakelijk
is om een in de wet opgenomen taak uit te oefenen. Op grond van de Grondwet is de
Nederlandse Staat verplicht om de volksgezondheid te bevorderen. Om dat doel te bereiken
zijn data nodig, zodat er door het Ministerie van VWS beleid kan worden gemaakt. Om
die reden geldt bijvoorbeeld de verwerkingsgrondslag «zwaarwegend algemeen belang»
bij het onderwerp dat toeziet op gegevensuitwisseling door Vektis aan VWS. Op basis
van die statistische analyses moeten we dus kunnen zien wat opvalt, wat verandert
en wat de wijzigingen zijn. Dan kunnen we ook bijsturen. Dat zal onze zorg beter maken.

Zijn er nog vragen over dit onderwerp?

De voorzitter:

Ik denk dat u door kan. Nee, meneer Bushoff wil wel een vraag stellen.

De heer Bushoff (GroenLinks-PvdA):

Het ging er al een klein beetje over, maar misschien heb ik het antwoord gemist. Ik
had gezegd dat ik mij kan voorstellen – maar dat is gewoon mijn onwetendheid – dat
bij heel specifieke medische aandoeningen met een heel klein aantal patiënten, gepseudonimiseerde
data alsnog herleidbaar zouden kunnen zijn. Is dat inderdaad een risico? Hoe is dit
eventueel ondervangen?

De voorzitter:

Het antwoord kwam net binnen, geloof ik.

Minister Agema:

Ja, dit was even een zoekplaatje. Vektis gaat herleidbaarheid vanwege een kleine groep
van betrokken patiënten tegen door in de beleidsinformatie geen informatie op te nemen
over groepen van minder dan tien patiënten.

De voorzitter:

Dan zijn we toegekomen aan het mapje waarin antwoorden staan op de overige vragen.

Minister Agema:

De heer Bushoff vroeg wanneer privacy moet wijken voor zwaarwegend algemeen belang.
Heeft de Minister daar een voorbeeld van? Een zwaarwegend algemeen belang is voor
de samenleving van meer dan gewone betekenis. Daar is bijvoorbeeld sprake van als
de verwerking van persoonsgegevens voor de overheid noodzakelijk is om een in de wet
opgenomen taak uit te oefenen. In zo'n situatie is het niet wenselijk dat burgers
of organisaties hun gegevens onttrekken aan de essentiële taak van de overheid. Het
controleren of er sprake is van foltering of dwang binnen een zorgbehandeling is zo'n
zwaarwegend algemeen belang. Je wilt voorkomen dat zorgverleners hun cliënten onder
druk zetten om geen toestemming te geven voor het openbaren van hun patiëntgegevens.
Een zwaarwegend algemeen belang mag alleen als verwerkingsgrondslag als er voor de
burger voldoende waarborgen zijn dat zijn data op een goede wijze worden beschermd.
Dit wetsvoorstel voorziet daarin.

Waarom is de knip gemaakt in de verzamelwet? De knip in de Verzamelwet II is zorgvuldig
tot stand gekomen. Zoals gezegd zijn er in dit wetsvoorstel twee onderdelen met een
dringend karakter. Dat gaat om het wetsonderdeel over de comités tegen foltering,
omdat daar sprake is van een verdragsverplichting waaraan Nederland nu niet voldoet.
Het gaat ook om het wetsonderdeel Vektis, dat mogelijk maakt dat VWS noodzakelijke
anonieme beleidsinformatie ontvangt. Deze wetsonderdelen zijn aangevuld met de meest
apolitieke wetsonderdelen van de Verzamelwet II.

Er is kritiek geweest op onderdelen die zijn verhuisd naar de Verzamelwet II.b. Betekent
dat iets voor het participatietraject dat de Minister voor ogen heeft voor het zorgveld
en de betrekking van de Kamer? Ik heb de Verzamelwet II opgeknipt om twee wetsonderdelen
met een dringend karakter voorspoedig te behandelen. Verder heb ik met de knip ook
gezorgd voor meer tijd voor uw Kamer om zich te verdiepen in de Verzamelwet II.b.
De participatie in deze wetstrajecten vind ik waardevol en belangrijk.

De relatie tussen gegevensdeling en het recht op privacy bevat een spanningsveld.
Kunnen in de Verzamelwet II.b een aantal aanvullende privacywaarborgen voor gegevensdeling
worden opgenomen, vraagt de heer Bushoff. Ieder onderdeel van het wetsvoorstel II.b
voorziet daar al in. Verdere privacywaarborgen zijn op dit moment niet nodig.

Hoe borgt de Minister dat de Kamer te allen tijde goed geïnformeerd blijft? Hoe gaat
de Minister ervoor zorgen dat de AVG wordt nageleefd? Dit waren vragen van de heer
Claassen. De monitoring vereist uitsplitsing naar ongecontracteerde zorg en gecontracteerde
zorg. Hiervoor is de verwerking van declaraties nodig, omdat daaruit blijkt of het
om ongecontracteerde of om gecontracteerde zorg gaat. De zorgverzekeraars en de zorgkantoren
contracteren Vektis, die namens hen persoonsgegevens verwerkt. Zij moeten er als verwerkingsverantwoordelijke
voor zorgen dat zij daarop door de toezichthouders aanspreekbaar zijn en dat de verwerking
door Vektis conform de AVG plaatsvindt.

Dan nog een vraag van de heer Claassen. Het is onduidelijk hoe een bezwaarsysteem
in de praktijk wordt geëffectueerd. Gaat de Minister dit regelen, en hoe wordt voorzien
in een opt-outregeling met duidelijke voorlichting aan burgers? Zoals bij u bekend,
is onlangs de Europese verordening EHDS vastgesteld. De EHDS biedt verschillende mogelijkheden
om de burger regie te geven over diens eigen gezondheidsdata. Daaronder vallen onder
andere het inzagerecht, het correctierecht en de mogelijke opt-out. Ik ben mij nu
aan het verdiepen in de EHDS, en hoe deze verordening juridisch moet worden geïmplementeerd.
In het voorjaar kom ik met een Kamerbrief waarin ik hier verder op inga.

Kan er met zekerheid worden gezegd dat er geen financiële gevolgen aan het wetsvoorstel
zitten? Ja, dat kan. De onderwerpen in dit wetsvoorstel voorzien alleen in juridische
grondslagen. Dit wetsvoorstel regelt geen verplichtingen die zullen leiden tot extra
kosten. De aanvullende personele taken die de IGJ krijgt voor de uitvoering van het
toezicht op grond van de Wabvpz worden uit een potje betaald, de NIS2-gelden, die
reeds zijn begroot.

De voorzitter:

Voor u verdergaat, heeft de heer Claassen nog een vraag. Dat is zijn laatste.

De heer Claassen (PVV):

Ja, nou goed, het is wat het is. Het is goed om te horen dat dat opt-outverhaal in
de voorjaarsbrief terug gaat komen. Mijn vraag is: wat komt daar dan uit? Onze grote
wens zou zijn dat dat een opt-outregeling is. Dat geldt voor II.b en ook voor de wetswijziging
over kwaliteitsregistratie. Heeft wat daar uitkomt nog een retrograad effect als deze
wetten worden aangenomen? Met andere woorden: moet er dan een nieuwe wetswijziging
komen of geldt die uitkomst dan ook voor de wetten die wij wel of niet gaan aannemen?

Minister Agema:

Uiteindelijk is de EHDS natuurlijk een overkoepelende wet, maar er is natuurlijk wel
een verschil tussen declaratiedata en medische dossiers. De EHDS – ik zeg dit even
uit mijn hoofd; als het niet klopt word ik gecorrigeerd – ziet vooral op medische
dossiers. Ik werk op dit moment uit waar we die opt-out gaan plaatsen. Je hebt mijnpensioenoverzicht.nl,
maar je krijgt straks ook mijnmedischoverzicht.nl of mijnmedicatieoverzicht.nl; je
krijgt straks een eigen website waar je naartoe kan. De vraag is even of we de opt-out
daar kunnen vormgeven of dat we iets anders moeten vormgeven. Anders ben je namelijk
verplicht die website over medische gegevens te gaan gebruiken, terwijl ik meer mensen
zou willen bereiken voor de opt-out. We geven het zo vorm dat het meer getrapt is.
Ik zou het namelijk erg jammer vinden als we mensen gaan missen die bijvoorbeeld zeggen:
ik wil beheren welke zorgaanbieder toegang krijgt tot mijn medische gegevens, wat
ook geregeld wordt met de EHDS, maar op het moment dat ik binnengereden word op de
eerste hulp, mag het wel overruled worden. We krijgen in de uitwerking van de opt-out
meer mogelijkheden dan nu. Daarom ben ik bezig met de plek waarop we dat moeten gaan
vormgeven. Ik probeer nog voor het debat een brief over de gegevensuitwisseling naar
uw Kamer te sturen. Maar ik kan u dat nog niet toezeggen, omdat we de juiste plek
gevonden moeten hebben. Dat is dus even een slag om de arm, vandaar dat dit nog niet
bij die vijf brieven zit. Ik heb daarbij gezegd dat ik nog op zoek ben naar de juiste
plek.

Mevrouw Tielen zegt dat het wetsvoorstel volgens het ATR weinig doet op het gebied
van het verminderen van administratieve lasten en dat de VVD de reactie van de Minister
daarop niet begrijpt. Ze vraagt: kan de Minister een bredere visie delen als het gaat
om het voorkomen van administratie en dubbel werk? Het klopt dat het ATR stelt dat
dit wetsvoorstel niet direct leidt tot een grote vermindering van administratieve
lasten. Dit wetsvoorstel heeft dat ook niet tot doel; dit wetsvoorstel voorziet primair
in het regelen van juridische grondslagen voor gegevensuitwisseling. Onlangs is met
de Europese EHDS-verordening ingestemd. We hadden het daar zojuist al over. Deze verordening
geeft mij handvaten om de regeldruk en administratieve lasten voor zorgaanbieders
te verminderen. Ik doe nu nader onderzoek naar de manier waarop we de EHDS kunnen
implementeren in Nederland. In het voorjaar kom ik met een Kamerbrief die daar verder
op ingaat.

Mevrouw Tielen vroeg: kan de Minister meer vertellen over het voordeel van een Health
Data Access Body, wat dit gaat opleveren in het tegengaan van onnodige bureaucratie,
en wat de Minister hiervan verwacht? Via een HDAB kunnen onderzoekers met één nationale
catalogus beter inzicht krijgen in welke gegevens beschikbaar zijn. Bij een HDAB kunnen
ze één vergunning aanvragen voor toegang tot gegevens uit meerdere bronnen. Er komt
één punt vanwaaruit aanvragen kunnen worden ingediend voor secundair gebruik. Een
HDAB zal door middel van een helder toetsingskader objectief toetsen of het secundaire
gebruik mag. Secundair gebruik via een HDAB wordt transparanter dan nu het geval is.
Er zal altijd toezicht worden gehouden op het secundair gebruik door een HDAB. Burgers
krijgen bij een HDAB meer inzicht in het secundaire gebruik van gegevens over hen.

Ten slotte de heer Claassen. Met het oog op het amendement van NSC vroeg hij hoe wij
ons weren tegen cybercrime. Dat is natuurlijk een voortdurend proces. Wij weren ons
door een verwerking conform de geldende beveiligingsstandaarden en de DNB-voorschriften
voor informatiebeveiliging. Zorgverzekeraars en Vektis voldoen hieraan omdat een datalek
of een andere cyberdreiging leidt tot een forse reputatieschade, hoge kosten voor
reparatie en schadevergoedingen en maatregelen van toezichthouders. Vektis treedt
al geruime tijd, namelijk 30 jaar, op als verwerker en heeft een goed trackrecord
voor informatiebeveiliging.

Zijn er nog vragen blijven liggen?

De voorzitter:

Ik had er zelf nog eentje. Ik had nog een brainstormidee over een soort behandelteamlicentie.
Dat staat nog even los van BIG-registraties enzovoort. Het gaat erom dat een team
dat bezig is met het behandelen van een patiënt, sowieso de gegevens kan gebruiken.
Ik wil nog wel een reactie op die brainstorm. En we zijn natuurlijk ook nog wel nieuwsgierig
naar uw appreciatie van het amendement op stuk nr. 9. Meneer Bushoff, had u ook nog
een openstaande vraag? Ja.

De heer Bushoff (GroenLinks-PvdA):

Ik had dat misschien beter net kunnen doen, bij het antwoord op mijn vraag over een
hele kleine groep mensen met een heel specifieke medische klacht. De Minister zei
dat dit niet wordt geregistreerd bij een groep onder de tien personen. Dat klinkt
op zich goed, maar de grens van tien is voor mij heel arbitrair. Ik heb geen idee
wat een goede grens is: tien, vijftien? Ik ga er dus van uit dat de tien die de Minister
noemt, goed is. Ik zou het prettig vinden om in ieder geval wel de vinger aan de pols
te houden: werkt dit in de praktijk daadwerkelijk uit zoals beoogd of moeten we die
grens toch oprekken of kan die omlaag? Wellicht kan de Minister dat toezeggen.

Minister Agema:

Ja, ik kan het ook niet goed overzien. Soms heb je een hele kleine patiëntengroep
die heel beroemd is. En dan kennen we ze eigenlijk allemaal wel. Dan is het inderdaad
zoals u zegt. Ik zal er eens navraag naar doen. Voor het debat over de gegevensverwerking
kom ik met een brief. Ik wil u toezeggen uw hersenspinsel daarin mee te nemen.

Dan kom ik op het amendement. Ik weet niet of het wel vaker voorkomt, maar hier staat
in kapitalen: met klem ontraden. Het voorgestelde amendement schrapt de grondslag.
Wat de heer Bushoff hierover zei en vroeg, klopt. Het voorgestelde amendement schrapt
de grondslag voor verzekeraars en Wlz-uitvoerders om de reeds bij hen beschikbare
declaratiedata te verwerken om te komen tot anonieme beleidsinformatie voor VWS. Uit
de toelichting op het amendement blijkt dat de indiener vanwege veiligheidsrisico's
moeite heeft met het bestaan van grote bestanden met gepseudonimiseerde data. De indiener
wil dit met het amendement tegengaan. Met de indiener deel ik het belang van dataveiligheid.
Persoonsgegevens en zeker medische gegevens dienen veilig te zijn. Echter, wat de
indiener beoogt, wordt met dit amendement niet bereikt. De heer Bushoff zei het al.
Het gepseudonimiseerde databestand bestaat al. De voorgestelde grondslag verandert
daar niets aan.

Bovendien hecht ik groot belang aan het kunnen ontvangen van beleidsinformatie. Dat
helpt bij de onderbouwing van en verantwoording over beleid. Zonder deze informatie
varen we blind of komen we tot stilstand. Ook kan ik dan niet voorzien in de informatiebehoefte
van uw Kamer, bijvoorbeeld als zij om cijfers vraagt. Ik noem een heel concreet voorbeeld
waar ik op dit moment tegen aanloop. Deze week nog ben ik op zoek naar een alternatieve
dekking voor de 165 miljoen – het ongelukje van vlak voor de kerst. Ik heb een extra
opgave inzake de weerbare zorg van 480 miljoen. Ik denk dat de Kamer ook wil dat ik
een dekking vind voor de 20 miljoen extra om 500 kinderen extra uit het ziekenhuis
te houden met het RS-vaccin, maar ik moet dat wel allemaal deugdelijk dekken. Ik kan
deze 500 à 600 miljoen niet zomaar even ergens uit de kast pakken. Ik moet dat verantwoorden
tegenover uw Kamer. U moet het eens zijn met de alternatieven waar ik mee kom. Als
ik bezig ben met te bekijken of we de post die al op de lijst staat, niet kunnen verbreden
of vergroten en mijn mensen tegen mij zeggen «dat kunnen we niet, want we kunnen de
data niet opzoeken», kan ik dus niet het werk doen dat nodig is om dekkingen te vinden
voor alternatieven voor dingen die ook de Kamer niet wil.

Ik zeg dit ook tegen mevrouw De Korte. Ik snap haar vrees. Ik denk dat ik goed heb
toegelicht dat de beveiligingsnormen bij Vektis erg hoog zijn, dat er in de afgelopen
30 jaar geen problemen met Vektis zijn geweest en dat dit heel erg belangrijk is,
bijvoorbeeld ook voor het CAK om de betaling van de zorgtoeslag en de eigen bijdrage
mogelijk te maken. Uiteindelijk heeft VWS helemaal aan het einde van de rit geanonimiseerde
informatie nodig voor het kunnen voeren van beleid. Ik hoop dat ik mevrouw De Korte
heb overtuigd zodat zij het amendement intrekt.

Mevrouw De Korte (NSC):

Wij zijn toch nog niet overtuigd van de manier van beveiligen. Wij vinden het jammer
dat de Minister zich echt niet heeft verdiept in de nadere beveiligingsmogelijkheden
die TNO voorstelt of die de politie al gebruikt. Wij denken echt dat er ook andere
mogelijkheden zijn dan alleen het beveiligen van de bsn-nummers. Op die manier wordt
het nog veiliger om met deze data te werken. Natuurlijk snappen we dat we beleidsgegevens
nodig hebben, maar wij denken echt dat het beter kan. Ik heb inderdaad nog een vraag
aan de Minister. Er komt een brief. Kan de Minister in die brief toch nog wat specifieker
ingaan op de manier van beveiliging, dus niet alleen bij Vektis, maar ook inzake de
Wet kwaliteitsregistraties zorg? Is daar een soort beleid voor? Wij vinden het essentieel
dat daar een discussie over gevoerd wordt. Misschien kan de Minister daar in die brief
toch nog antwoord op geven.

Minister Agema:

Daar ben ik zeker toe bereid, maar ik heb haast met deze wet. Ik wil de wet dus wel
graag door laten gaan. Als u niet bereid bent om dit amendement in te trekken, zou
ik de stemmingen toch heel graag laten doorgaan. Ik vind het ook heel erg lastig dat
u steeds weer terugkomt op dingen die wij niet samen met u kunnen lezen, omdat we
niet weten waar u die vandaan heeft. Dat is een heel vreemde vorm van debatteren met
elkaar. Normaal gesproken zegt u: «Hier heb ik een rapport. Op die en die pagina staat
dat en dat. Daar stel ik u een vraag over.» Dan kunnen wij allemaal meedoen. Maar
nu zegt u dingen die ik niet kan verifiëren.

Twee. Natuurlijk, TNO heeft een visie, een concept waaruit blijkt waar ze naartoe
willen. Dat gaat niet over de huidige situatie. Wij hebben op VWS ook concepten waaruit
blijkt waar we naartoe willen. Daar gaan we over een paar weken met u over praten.
We hebben een toekomstbeeld en daar werken we naartoe. En als we vaart maken, gaat
het over tien jaar anders. Dan blijven brongegevens altijd bij de bron en dan hebben
we prachtige snelwegen gecreëerd. Maar dat is niet de situatie van nu. Ook TNO heeft
dromen en visies over waar het naartoe zou moeten kunnen gaan. Dat is niet de situatie
van nu. Toch zien we dat Vektis nú een organisaties is die zich al 30 jaar aanpast
en dat DNB de eisen stelt voor de beveiliging. We zien dat dat goed gaat. Is dat een
garantie voor altijd en eeuwig? Nee. Maar dit soort beveiligingssystemen is voortdurend
in beweging. Het is aan mij als Minister van VWS om alles mogelijk te maken, om de
wetgeving daaromheen mogelijk te maken en om ons met z'n allen op te tillen naar een
nieuwe tijd.

De voorzitter:

Mevrouw De Korte nog?

Mevrouw De Korte (NSC):

Nou ja, goed. Wij hebben natuurlijk al sinds de feitelijke vragen gevraagd naar specifieke
beveiligingstechnieken. Daar is gewoon steeds niet op ingegaan. Het zijn specifiek
technische technieken. Wij hadden daar wel graag antwoord op gekregen. Ik heb al aangegeven
dat het mooi zou zijn als de commissie zich daar beter over zou laten informeren.
Ik wil in de procedurevergadering voorstellen om daarover een rondetafelgesprek te
voeren. Want het is inderdaad heel technisch, maar wij verwachten ook van het ministerie
dat daar een verdiepingsslag in wordt gemaakt.

De voorzitter:

Wat is uw vraag aan de Minister dan nu?

Mevrouw De Korte (NSC):

Het is meer een soort beantwoording. Ik bedoel dat aan NSC en mijzelf wordt aangegeven:
we komen niet met rapporten, maar we hebben wel een aantal begrippen gebruikt om uit
te leggen wat we bedoelen ten aanzien van beveiliging.

De voorzitter:

Als de Minister wil reageren kan dat, maar er is geen vraag gesteld.

Minister Agema:

Ik heb mevrouw De Korte uitgebreid uitgelegd dat de ontwikkeling in beveiliging een
ongoing process is, dat het uiteraard op het netvlies staat bij het ministerie, bij
mijn team, bij mijn afdeling. We zijn ermee bezig. Dat is de reden waarom we een tandje
bijzetten met betrekking tot de gegevensuitwisseling en waarom ik vijf brieven naar
de Kamer heb gestuurd, waar we het over een aantal weken met elkaar over gaan hebben.
Het is jammer dat mevrouw De Korte denkt dat zij de enige is die daarmee bezig is,
want ik heb hele afdelingen die daarmee bezig zijn. Het is natuurlijk heel normaal
om te kijken waar we over tien jaar naartoe gaan, hoe het zit met de beveiliging,
wat er nodig is en wat er extra bij komt qua beveiliging. Het is volkomen logisch
dat daar overal in Nederland en de wereld op doorgegaan wordt. Het is gelukkig een
zorg van ons allemaal, niet alleen van NSC.

De voorzitter:

Ik kijk rond of er nog vergeten vragen zijn. Dat is niet het geval. Dat betekent dat
we aan het einde zijn gekomen van de eerste termijn. Dan gaan wij soepel en vriendelijk
door naar de tweede termijn. Het woord is aan mevrouw De Korte. Dit is overigens een
wetgevingsoverleg, dus als leden dat zouden willen, kunnen zij moties indienen.

Mevrouw De Korte (NSC):

Dank u wel, voorzitter. Het zal duidelijk zijn: wij blijven ons zorgen maken over
de beveiliging van de gegevens bij Vektis, dat onder andere gegevens heeft van patiënten
die gedeclareerd hebben bij de zorgverzekeraar. Op basis van hun bsn-nummer zijn zij
te achterhalen. Wij zijn onvoldoende overtuigd van de manier van beveiliging. We hebben
genoemd dat de nationale politie en het Nationaal Cyber Security Centrum technieken
gebruiken die veel verder gaan dan dat. Daar was de Minister ook van op de hoogte.
Ze zei: we gaan steeds betere technieken toepassen. Maar er zijn technieken die echt
beter kunnen.

De voorzitter:

Voor u verdergaat – ik hoorde een ademhaling, dus het leek op een punt – heeft meneer
Bushoff een vraag voor u.

De heer Bushoff (GroenLinks-PvdA):

Ik heb hier toch wel een vraag over. Even los van of wij de zorg delen over de beveiliging
bij Vektis, denk ik in ieder geval dat het een gedeelde wens is dat die beveiliging
op orde is. Als die zorg er is, kan ik mij voorstellen – dat is ook mijn vraag aan
NSC – dat je een voorstel of een motie indient om te inventariseren of die beveiliging
op orde is en waar die verbeterd kan worden. Bent u voornemens om zo meteen, over
een minuut ofzo, een dergelijke motie voor te lezen?

Mevrouw De Korte (NSC):

Op dit moment hebben we daar geen motie voor. Daarom geef ik aan dat het belangrijk
is dat wij hier als Kamer en als commissieleden meer van weten, zodat ik u en alle
andere partijen ervan kan overtuigen hoe het eventueel beter kan, of zodat deskundigen
ons ervan kunnen overtuigen dat het misschien al heel erg goed gaat. Daarvoor is echt
nog meer discussie nodig. Als ik nu iets voorleg, is de achtergrond onvoldoende duidelijk,
denk ik. Daarom gaan we nu geen motie indienen. We laten wel het amendement staan,
omdat we zelf vinden dat er een signaal gegeven moet worden dat dit onderdeel op dit
moment uit de wet zou moeten. Dat wil niet zeggen ... Er zijn ook andere onderdelen
van de wet. Die laten we graag staan. Dat vinden we zelf ook belangrijk. Dit onderdeel
kan altijd nog op een ander moment bij een verzamelwet opgenomen worden, als dat nodig
is.

De heer Bushoff (GroenLinks-PvdA):

De fractie van NSC geeft aan dat er onvoldoende kennis is om een motie in te kunnen
dienen over de beveiliging bij Vektis. Daar is onvoldoende over bekend bij NSC, dus
daarom dienen ze daar nu geen motie voor in. Maar ze willen wel een wetswijziging
aanbrengen. Het wijzigen van een wet! Met onvoldoende kennis om een motie in te dienen,
willen ze dus wel een wet wijzigen als signaalfunctie. Dan is mijn vraag: is dat een
onderdeel van een goed wetgevingstraject en goed bestuur?

Mevrouw De Korte (NSC):

Nu wordt de boel omgedraaid door de heer Bushoff. Wij hebben informatie over dat er
bij Vektis beter beveiligd kan worden. Maar we vinden dat de hele commissie daarmee
aan de slag moet. Die kennis moet niet alleen bij NSC liggen. Daarom vinden we dat
op dit moment dit onderdeel uit de wet zou moeten. We moeten met elkaar de discussie
aangaan om daar verdere stappen in te nemen.

De heer Bushoff (GroenLinks-PvdA):

Het punt van NSC is dus dat er de overtuiging is dat de beveiliging bij Vektis beter
kan. Dan is mijn vraag als volgt. Dit amendement voorziet daar op geen enkele manier
in. Op geen enkele manier! Waarom dient mevrouw De Korte dan dit amendement in? In
plaats daarvan kan ze dit amendement intrekken en een motie indienen om precies te
doen wat NSC beoogt en wat ze beargumenteert graag te willen. Of kan NSC mij nog overtuigen
door uit te leggen hoe dit amendement gaat doen wat ze hier de hele tijd bepleit,
namelijk de beveiliging bij Vektis verbeteren? Want dat is tot nog toe op geen enkele
wijze duidelijk geworden.

Mevrouw De Korte (NSC):

Het is jammer dat ik niet heb kunnen overtuigen dat het toch op dit moment nodig is.
We gaan een grondslag voor Vektis vastleggen. Wij willen die grondslag nu niet vastleggen.
Dat kan altijd nog, als we de beveiliging echt goed geregeld hebben.

De voorzitter:

Mevrouw Rikkers heeft ook een vraag voor u.

Mevrouw Rikkers-Oosterkamp (BBB):

Mevrouw De Korte, het verbaast mij een beetje. Ik wil het graag duidelijk hebben.
Zit de zorg van NSC ’m in de data, dus de bronbestanden, die Vektis heeft? Of zit
de zorg ’m erin dat die bronbestanden anoniem gemaakt worden en naar het ministerie
gestuurd worden? Waar zit de zorg?

Mevrouw De Korte (NSC):

Dank u wel, mevrouw Rikkers, voor deze vraag. Ik kan dat uitleggen. Als gegevens geanonimiseerd
zijn, is het helemaal prima om daarmee analyses uit te voeren. Maar op dit moment
zijn er bronbestanden met bsn-nummers bij Vektis. Daar zijn we ongerust over. Het
kan, denken wij als NSC, veiliger. Die bronbestanden kunnen beter beveiligd. Daarom
willen we op dit moment geen grondslag geven voor Vektis.

Mevrouw Rikkers-Oosterkamp (BBB):

Dan denk ik dat ik begrijp waar het bij NSC zit. Maar wat BBB betreft gaat die grondslag
expliciet over het delen door Vektis met VWS van de gegevens die het al heeft. Wij
gaan met deze wet dus niet zeggen dat Vektis geen bronbestanden meer mag hebben. Dat
zit namelijk niet in deze wet. Dat is allang geregeld. Dat heeft Vektis ook nodig.
Volgens ons gaat het stukje waar uw zorg zit, niet over de wet die we vandaag behandelen.

De voorzitter:

En uw vraag is of mevrouw De Korte daar een reactie op wil geven?

Mevrouw Rikkers-Oosterkamp (BBB):

Mijn vraag is of mevrouw De Korte ook inziet dat dat een ander deel van de gegevensbescherming
is.

Mevrouw De Korte (NSC):

Ik heb daarom in mijn inbreng proberen uit te leggen welke stappen er gezet worden
om naar anonimiseren te gaan. Wij menen dat alle stappen in deze wet bevat zijn. Het
betreft de stap van zorgverzekeraars naar Vektis – daar zitten de bsn-nummers – dan
de stap naar pseudonimiseren en vervolgens anonimiseren. Die stappen worden genomen.
Daar zitten kritische punten in. Daar blijven wij kritisch over.

De voorzitter:

Gaat u verder met uw tweede termijn.

Mevrouw De Korte (NSC):

Voorzitter. Volgens mij heb ik al uitgelegd dat we dit amendement ingediend willen
hebben. Laat daarbij nogmaals gezegd zijn: de rest van de wet willen we laten staan.
Er kan dus zeker gestemd worden over deze wet.

Mevrouw Rikkers-Oosterkamp (BBB):

Dan heb ik nog wel een vraagje daarover. Stel nu dat dit amendement niet aangenomen
wordt. Gaat NSC dan tegen de wet stemmen?

Mevrouw De Korte (NSC):

Voor deze wet stemmen wordt dan inderdaad een hele lastige. Dat is gewoon ontzettend
jammer. We hadden er eigenlijk liever nog een stukje uit geknipt. We gaan dit dus
bespreken in onze fractie.

De voorzitter:

We gaan door naar de tweede termijn van de heer Claassen namens de PVV.

De heer Claassen (PVV):

Dank u wel, voorzitter. We proberen duidelijk te maken dat we als fractie kijken naar
de proportionaliteit en het recht van een burger om wel of niet iets met zijn data
te laten doen. We hechten belang aan het medisch beroepsgeheim. Ik denk dat de Minister
dit onderwerp best goed heeft toegelicht. Ik ben ook blij dat we vooruit kunnen zien
naar interventies – laat ik het zo zeggen – die effect gaan hebben op de zeggenschap
van de burger over zijn data. Daar kijken we naar uit.

Ik wil mijn tweede termijn toch even kort gebruiken voor iets wat misschien nog onderbelicht
is gebleven. Dat gaat over het doorbreken van het medisch beroepsgeheim. Misschien
kan de Minister daar nog iets over zeggen. Even heel specifiek: ik heb hier de stafnotitie.
Op pagina 5 staat dat de Afdeling concludeert dat in de toelichting de noodzaak en
de proportionaliteit van de gegevensverwerking aan het RIVM onvoldoende is gemotiveerd,
mede in het licht van het medisch beroepsgeheim. Mijn vraag is: wat gebeurt daar dan
nu op een bepaalde manier dat door deze wet niet meer gebeurt en wat zijn de risico's
daarvan? Zij koppelt dat aan het bezwaarsysteem. Hoe zou zo'n bezwaarsysteem eruit
moeten zien in de praktijk? Volgens mij heeft de Minister daar al iets over gezegd,
maar ik bedoel dit in het licht van dit specifieke stuk over het RIVM. Volgens mij
zijn de belangrijkste vragen wat onze fractie betreft dan beantwoord.

De voorzitter:

Meneer Bushoff.

De heer Bushoff (GroenLinks-PvdA):

Dank u wel, voorzitter. Ik heb drie punten. Eén. Eigenlijk mijn hele inbreng was doorweven
van het feit dat er een spanningsveld zit tussen aan de ene kant de noodzaak die wij
zien voor gegevensuitwisseling en aan de andere kant de spanning die dat soms met
zich meebrengt als het gaat om privacy en informatiebeveiliging. Die twee zaken, privacy
en informatiebeveiliging, moeten gewoon heel goed geregeld zijn. Dat moet telkens
opnieuw in balans zijn en dat is per keer een weging. Is die gegevensuitwisseling,
die soms echt noodzakelijk is, in die mate noodzakelijk dat het belang van privacy
of wat dan ook daar onderschikt aan is? Het liefst heb je natuurlijk dat de gegevensuitwisseling,
die noodzakelijk is, hand in hand kan gaan met voldoende borgen voor de privacy en
de informatiebeveiliging. In dit geval, als het gaat over dit debat en deze wet, denk
ik dat de Minister dat goed heeft aangegeven en goed duidelijk heeft kunnen maken.

Ik ben ook blij met de snelle en heldere antwoorden, met name op het punt dat ik had
over de kleine groep mensen met een hele specifieke medische aandoening en of daarvan
bij gepseudonimiseerde data niet herleidbaar is wie dat zijn. Volgens mij heeft de
Minister aangegeven hoe dat ondervangen wordt en heeft ze ook toegezegd een vinger
aan de pols te houden of dat met de grens van tien inderdaad ook werkt in de praktijk.
De eventuele motie die ik daarvoor had uitgeschreven, laat ik dus achterwege.

Voorzitter. Tot slot heb ik nog één punt.

De voorzitter:

Voor u daartoe komt, heeft mevrouw De Korte nog een vraag voor u.

Mevrouw De Korte (NSC):

Ik was juist benieuwd naar de motie van de heer Bushoff. Het gaat namelijk niet om
die tien personen. Het is eigenlijk een combinatie van gegevens over waar iemand behandeld
is en hoe vaak iemand behandeld is. Daardoor is de identiteit van mensen echt terug
te halen. Ik vind het jammer dat u zegt: nou ja, als het om tien personen gaat, dan
laat ik het maar zitten. Ook dit soort combinaties van gegevens in datasets zijn dus
een heel erg risico. Wat vindt de heer Bushoff daarvan?

De heer Bushoff (GroenLinks-PvdA):

Op het moment dat het bijvoorbeeld gaat om een hele kleine groep, een hele specifieke
aandoening of een combinatie van een hele set van behandelingen en aandoeningen, dan
is er natuurlijk een risico dat er bij gepseudonimiseerde data het een en ander te
achterhalen is dat je niet zou willen. Vandaar ook mijn vraag daarover aan de Minister.
Volgens mij geeft de Minister vrij duidelijk aan dat zij het risico ook ziet en dat
ze dat probeert te ondervangen. Vervolgens houdt ze ook nog een vinger aan de pols
om te zien of wat zij doet, er in de praktijk daadwerkelijk voor zorgt dat het risico
niet geëffectueerd wordt. De Minister zal ons daarover ook nog informeren in een brief.
Voor mij is dat op een gegeven moment afdoende. Ik zou niet weten wat je nog meer
zou moeten vragen en willen dan dit. In die zin ben ik op dat punt wel degelijk op
mijn wenken bediend.

Voorzitter. Dan heb ik nog één punt. Dat gaat over het feit dat de IGJ aangeeft dat
er soms onvoldoende middelen, tijd, geld en expertise zijn bij zorgaanbieders om de
informatiebeveiliging op orde te krijgen. De Minister gaf in de schriftelijke beantwoording
ter voorbereiding op het debat over deze wet al aan dat het op zichzelf primair aan
de zorgaanbieders is om dit op orde te brengen. Tegelijkertijd zien we dat door de
toenemende dreiging, de toenemende digitalisering en de toenemende eisen die we aan
zorgaanbieders stellen, wel de kans aanwezig is dat het nog slechter zal gaan met
de nu reeds onvoldoende middelen. Die zullen nog meer onvoldoende worden. Ik twijfel
even of ik daar een motie over indien. Wellicht kan de Minister aan mij toezeggen
dat ze hierover met het veld en experts in gesprek gaat en de Kamer informeert of
de middelen voldoende zijn, ja of nee?

De voorzitter:

Zo werkt het debat niet meneer Bushoff. U kunt nu een motie indienen. Als de Minister
straks op de een of andere manier een toezegging doet waar u genoeg aan heeft, dan
kunt u de motie altijd intrekken.

De heer Bushoff (GroenLinks-PvdA):

Dat klopt.

De voorzitter:

U kunt het ook laten, maar om nu een reactie te ontlokken ...

De heer Bushoff (GroenLinks-PvdA):

Ik ga de motie indienen. Ik twijfelde even en praatte een tijdje door, omdat ik zag
dat de Minister ook in gesprek was. Ik wist niet zeker of de Minister mijn punt helemaal
meekreeg. Ik dien de motie dus in met dien verstande dat dit deels wellicht toegezegd
kan worden. Wellicht luisteren er mensen mee die dat kunnen overbrengen.

Motie

De Kamer,

gehoord de beraadslaging,

constaterende dat informatiebeveiliging bij zorgaanbieders volgens de IGJ aantoonbaar
tekortschiet door onvoldoende bewustzijn op het onderwerp informatiebeveiliging, doordat
er onvoldoende middelen (tijd, geld, expertise) voor het onderwerp beschikbaar zijn
en er soms onvoldoende aandacht is voor borging van het onderwerp binnen de organisatie;

overwegende dat er een toenemende dreiging is van cyberaanvallen en deze dreiging
door toenemende digitalisering in de zorg groter wordt;

verzoekt de regering naast het uitbreiden van de handhavingsmogelijkheden van de IGJ
aangaande informatiebeveiliging bij zorgaanbieders hen ook hierin te helpen en na
overleg met het veld en experts de Kamer te informeren over welke ondersteuning nodig
is,

en gaat over tot de orde van de dag.

De voorzitter:

Deze motie is voorgesteld door het lid Bushoff.

Zij krijgt nr. 10 (36 579).

De heer Bushoff (GroenLinks-PvdA):

Tot zover, dan.

De voorzitter:

Dank u wel. Als u de motie meegeeft aan de bode, dan kan de griffier daar een nummer
op zetten en kan de motie het systeem in. Dan zien we straks wat daar verder mee gebeurt.
Als dat uw tweede termijn was, vraag ik u om uw microfoon uit te zetten. Ik geef mevrouw
Rikkers het woord voor haar tweede termijn.

Mevrouw Rikkers-Oosterkamp (BBB):

Dank u wel, voorzitter. Allereerst wil ik graag de Minister bedanken voor de beantwoording
van de vele vragen die wij hadden over de comités. Wat ons betreft zijn die voldoende
beantwoord, dus de motie die ik klaar had liggen, ga ik niet indienen. We hebben er
voldoende vertrouwen in dat de Minister onze zorg ziet.

Ik had nog wel een kleine vraag over de proporties, die ik net vergeten ben te stellen.
Hoe vaak doet zo'n comité onderzoek in Nederland? Hoe vaak gebeurt dat eigenlijk?
Is dat één keer per jaar of iedere week? Daar was ik nog even nieuwsgierig naar. Hoe
vaak komt het voor dat de comités de uitvoering van het onderzoek niet kunnen doen,
omdat wij die grondslag nog niet hebben? Daar was ik nog even nieuwsgierig naar.

Voor de rest: dank u wel!

De voorzitter:

Dank u wel. Dan geef ik het voorzitterschap over aan de heer Bushoff voor mijn tweede
termijn.

Voorzitter: Bushoff

De voorzitter:

Dan de tweede termijn van mevrouw Tielen namens de VVD-fractie.

Mevrouw Tielen (VVD):

Dank u wel, voorzitter. Dank aan de Minister voor haar antwoorden en voor het debat
hier in de Kamer. Ik had ook een motie klaarliggen over «mijn hersenspinsel», zoals
de Minister het noemt. Ik zie in de brief die in het voorjaar komt, vast wel terug
hoe we er echt voor zorgen dat de gegevensdeling en de gegevensverwerking op een manier
gebeurt die dubbel en onnodig werk voorkomt.

Het moet me toch even van het hart dat ik het best lastig vind hoe er nu in deze Kamer
over het amendement is gesproken en hoe halsstarrig de NSC-fractie blijft hangen op
dit punt. Het voelt bijna alsof de NSC-fractie zegt dat de andere Kamerleden zich
er allemaal niet genoeg in verdiept hebben en dat we het dus maar zo moeten doen.
Als ik luister naar dit Kamerdebat, merk ik dat iedereen zich er behoorlijk in heeft
verdiept, ieder vanuit zijn eigen inzicht. We hebben horen spreken over NEN-normen,
over toezicht door DNB en over de handhaving door de Inspectie Gezondheidszorg en
Jeugd, die we zelfs met deze wet gaan vastleggen. Mevrouw De Korte zegt echter: als
het amendement niet wordt aangenomen, wil ik misschien de wet helemaal niet steunen.
Dat zegt ze terwijl wat ze zo belangrijk vindt, voor een deel met deze wet geregeld
wordt. We hebben gehoord over Z-CERT, et cetera et cetera. We hebben de Minister horen
zeggen: we moeten de dingen wettelijk wel goed regelen. Dat doen we hiermee. Ik vind
het echt lastig dat het lijkt alsof de NSC erlangs praat, denkend vanuit risico's
en een beeld dat, denk ik, gewoon niet helemaal rechtdoet aan al die mensen, al die
compliance officers, al die IT-beveiligers en al die wetten die we hier al met elkaar
hebben gemaakt om inderdaad de veiligheid van data te garanderen. Daar wordt eigenlijk
een beetje aan voorbij gegaan. Ik vind dat echt wel lastig. Dat wilde ik gezegd hebben.

De voorzitter:

Dat roept een vraag op bij de NSC-fractie.

Mevrouw De Korte (NSC):

Ja, voorzitter. Met «we hebben ons er niet in verdiept» wordt er nu wel heel erg gericht
op NSC. Natuurlijk gebeurt er echt heel veel goeds. Dat moet ik zeggen. U kent ons,
NSC, als kritisch. We zeggen dat we echt goed moeten kijken naar die grote databases.
Wij denken dat het beter kan. We willen daar niet mee zeggen: u heeft zich er onvoldoende
in verdiept. Integendeel. Wij vinden toch dat daar een stap in gezet moet worden omdat
we ook in andere wetten naar hele grote databases gaan. Dat is anders dan voorheen.
Daar moeten we echt goed naar kijken. Wij vinden dat dus consistent met wat we eerder
hebben gezegd over grote databases.

De voorzitter:

Ik beschouw dit even als een reactie op de woorden van mevrouw Tielen van de VVD-fractie.
Ik hoorde niet echt een vraag, maar wellicht wil mevrouw Tielen nog reageren.

Mevrouw Tielen (VVD):

Zorgvuldige wetsbehandeling is onderdeel van goed bestuur. Dat betekent dat je de
goeie voorstellen doet bij de passende wetten. Laten we gewoon constateren dat dat
nu niet geval is. Er is alleen maar verwarring. Het doel van de NSC-fractie delen
we allemaal. Volgens mij is dat ook duidelijk naar voren gekomen in deze wetsbehandeling,
maar laten we het dan regelen op een manier die navolgbaar is en die ook past bij
de voorliggende wetten. Daar roep ik ons als Kamer gewoon toe op. Ik kan zeggen dat
ik niet zozeer behoefte heb aan nog een rondetafelgesprek, want dat hebben we laatst
al een keer gehad. Ik denk echter wel dat we bij de volgende wetten die er komen,
II.b en III, en ook bij de brieven van de Minister zeker allemaal zullen kijken naar
de veiligheid van data, omdat het heel belangrijk is. We zullen dat wel doen op een
manier die past bij de doelen die we als beleidscontroleurs hebben.

Dank u wel.

De voorzitter:

Ik zie nog één vervolgvraag. Ik zeg erbij: dat moet dan echt een vraag zijn en geen
opmerking.

Mevrouw Rikkers-Oosterkamp (BBB):

Oké, ik had wel een opmerking.

De voorzitter:

Nee, het gaat er echt even om dat je nog een vraag stelt. Anders laten we het hierbij.
Was dat uw tweede termijn, mevrouw Tielen? Oké, dit was de tweede termijn van mevrouw
Tielen namens de VVD-fractie. Dan geef ik dus het voorzitterschap weer over.

Voorzitter: Tielen

De voorzitter:

Dank u wel, meneer Bushoff. Dat betekent dat we toe zijn gekomen aan de tweede termijn
van de zijde van de Minister. Zij gaf aan dat ze die meteen kon gaan vervolgen. Ondertussen
wordt de kopie van de motie rondgedeeld. Ik geef het woord aan de Minister voor nog
wat resterende vragen en de appreciatie van de motie.

Minister Agema:

Dank u wel, voorzitter. Ik had, met het oog op goed bestuur, gedacht dat NSC juist
heel blij zou zijn met deze verzamelwet. We gaan grondslagen netjes organiseren, zodat
wetgeving uiteindelijk zorgvuldig tot stand komt en de praktijk en de wetten op elkaar
aansluiten. Ik kan moeilijk begrijpen dat een partij die goed bestuur zo hoog in het
vaandel heeft staan, gewoon de wet kapot wil maken omdat ze iets wil bereiken op een
terrein dat daar geen betrekking op heeft. De heer Bushoff en mevrouw Tielen spraken
er ook over. Mevrouw De Korte zegt dat ze een signaal wil afgeven, maar je gaat toch
niet een wet kapotmaken om een signaal af te geven? Ik vind wat mevrouw De Korte hier
doet heel erg lastig. Het doel dat zij heeft, vanuit haar aversie tegen grote databestanden,
bereikt ze niet met dit amendement. Vektis blijft gewoon doen wat het doet, maar mijn
verzamelwet wordt wel kapotgemaakt als het amendement aangenomen zou worden. Dat begrijp
ik niet van een partij die goed bestuur zo hoog in het vaandel heeft staan. Sorry
voor deze hartenkreet.

De voorzitter:

Mevrouw De Korte heeft daar een vraag over.

Mevrouw De Korte (NSC):

Ja, toch nog een reactie, want dit is een overdrijving van wat we bedoelen. Een aantal
onderdelen van deze wet vinden wij heel erg goed. We willen alleen maar het stukje
over Vektis eruit halen en we zouden de rest graag willen laten doorgaan. Met dit
amendement halen we dat kleine stukje eruit en ...

De voorzitter:

Wilt u een vraag stellen aan de Minister?

Mevrouw De Korte (NSC):

Vindt u niet dat we, als hier discussie over is, dat kleine stukje eruit hadden kunnen
halen en de rest hadden kunnen laten doorgaan?

Minister Agema:

Dat kleine stuk wordt er dus niet uit gehaald met dit amendement. De heer Bushoff
heeft dat al onder de aandacht gebracht en mevrouw Tielen heeft het ook al gezegd.
Het doel van NSC wordt niet bereikt met dit amendement, en Vektis gaat gewoon door
met het verwerken van gegevens van zorgverzekeraars en Wlz-uitvoerders. Het indienen
van een amendement is een grote verantwoordelijkheid. Dat wil ik mevrouw De Korte
ten slotte meegeven. De wet wordt ermee gewijzigd. Zorg er dus voor dat als je een
amendement indient, in ieder geval de bedoeling die je hebt wordt bewerkstelligd met
dat amendement. Dan kun je als Kamer nog steeds voor of tegen zijn of een verschil
van mening hebben, maar zorg ervoor dat het amendement de bedoeling heeft van wat
je beoogt.

De voorzitter:

Zag ik ook de vinger van meneer Bushoff? Of niet?

Minister Agema:

Ik vrees dat wij er niet meer met elkaar uit gaan komen, voorzitter.

De voorzitter:

Sorry, ik dacht dat ik nog een interruptie of vraag zag, maar dat was niet zo. Gaat
u verder, Minister.

Minister Agema:

De vraag van meneer Claassen heb ik gehoord. Wij komen binnen enkele weken met de
nota naar aanleiding van het verslag II.b. Die heeft betrekking op het RIVM. Dan komen
we hier dus op terug.

Dan de heer Bushoff en zijn motie. Ik heb hem al geantwoord wat we allemaal aan het
doen zijn met Z-CERT en het actieplan voor informatieveilig gedrag, maar ik heb dat
nog niet in een brief aan de Kamer geschreven. Ik zou dus willen toezeggen dat ik
in de brief die ik heb toegezegd voor het debat dat we gaan hebben over gegevensbeveiliging,
nog eens onder elkaar zet wat we aan het doen zijn.

De heer Bushoff (GroenLinks-PvdA):

Op zich is dat volgens mij een hele goede stap in de goede richting. Ik zou daar nog
iets aan willen toevoegen. De Minister benoemde volgens mij in haar beantwoording
in het interruptiedebat dat wij hadden, dat bij haar niet bekend is of dit allemaal
gaat lukken voor het veld, hoewel het natuurlijk primair bij het veld ligt. Zou zij
dit dus in ieder geval, voor zover mogelijk, kunnen inventariseren in de daarvoor
bestaande overlegstructuren met het veld? Zou zij daar kunnen inventariseren in hoeverre
het gaat lukken voor het veld ten aanzien van dit punt van toenemende cyberdreiging
en de toenemende eisen die wij stellen aan informatiebeveiliging? En kan zij dat dan
ook aan de Kamer zenden?

Minister Agema:

Ja, en ik ga u ook uitleggen hoe intensief wij hiermee bezig zijn. Enkele jaren geleden
is er namelijk bij het Integraal Zorgakkoord 1,5 miljard euro beschikbaar gesteld
voor digitalisering in de zorg. Ik kan er een update van geven hoe belangrijk we dit
vinden en hoe hands-on we hierin zijn. Dat betekent niet dat het in de praktijk allemaal
meteen lukt, maar daarvoor zaten we ook vandaag weer bij elkaar.

Mevrouw Rikkers had nog een vraag over het comité tegen foltering. Dat bezoekt het
Koninkrijk der Nederlanden periodiek, om de vier jaar, en brengt daarnaast ook met
enige regelmaat een ad-hocbezoek aan onderdelen van het Koninkrijk. Het comité tegen
foltering heeft in oktober 2024 voor het laatst een bezoek aan Nederland gebracht.
Dit betrof een ad-hocbezoek aan een gesloten jeugdzorginstelling in Europees Nederland.
Het laatste periodieke bezoek heeft in 2022 plaatsgevonden. In totaal heeft het CPT
het Koninkrijk veertien keer bezocht. Het VN-Comité heeft Nederland voor het laatst
in juli 2015 bezocht. Dit is tot op heden ook het enige bezoek van het CPT aan Nederland
geweest.

De voorzitter:

En de motie? O, meneer Bushoff heeft daar een vraag over.

De heer Bushoff (GroenLinks-PvdA):

Misschien kan ik erbij helpen. Het is zo meteen aan u, voorzitter, om de toezeggingen
te noteren, maar ik hoorde de toezegging om in een brief aan te geven wat er al gebeurt,
om een update te geven van eerdere beschikbare middelen, om met het veld hierover
in gesprek te gaan binnen de daarvoor bestaande overlegstructuren, en om de Kamer
per brief te informeren. Als dat de toezegging is, is mijn motie daarmee toegezegd.
Dan hoef ik die niet in te dienen. Dan trek ik ’m in.

De voorzitter:

Dan hoeft de Minister die ook niet te appreciëren.

Aangezien de motie-Bushoff (36 579, nr. 10) is ingetrokken, maakt zij geen onderwerp van beraadslaging meer uit.

Daarmee zijn we aan het einde gekomen van dit wetgevingsoverleg. Stelt u er prijs
op als ik nog een poging doe om de toezeggingen te benoemen? Ik ga het gewoon proberen.

– De Minister probeert om voor het debat Gegevensverwerking, dat gepland staat op 10 april,
een brief te sturen, waarin zij onder meer ingaat op de opt-outregeling en de relatie
met de EHDS, de European Health Data Space. Zij gaat daarin ook in op de ondergrens
van tien patiënten en cliënten, en hoe daarmee om te gaan. Iedereen die daar het fijne
van wil weten, verwijs ik door naar de Handelingen hierover. Zij gaat ook in op de
beveiligingsontwikkelingen in het kader van verwerking van patiëntengegevens en andere
medische gegevens. Zij vertelt ook meer over de achtergrond van wat in de motie van
de heer Bushoff, die inmiddels is ingetrokken, staat. Zij zal ook ingaan op mijn hersenspinsel.

Voor de Handelingen laat ik het aan de notulist om daar een goed ... Ik heb het erover
hoe behandelteams met zo min mogelijk drempels gegevens kunnen gebruiken in hun behandelingen.

– De Minister heeft ook gezegd dat zij de nota naar aanleiding van het verslag over
de Verzamelwet gegevensverwerking II.b binnen enkele weken naar ons toe zal sturen.

– Daar was ik inderdaad ook al nieuwsgierig naar.

Dat is, denk ik, de uitkomst van dit debat. Ik kijk even rond. Ik zie non-verbale
signalen die bevestigen dat ik niks heb gemist. Dank aan de Minister en haar ondersteuning,
die op de derde verdieping zit. Dank aan de Kamerleden en hun ondersteuning, verdeeld
over het pand. Over de wet en het ingediende amendement wordt volgende week dinsdag,
4 februari, gestemd. Ik wens u allen een plezierige voortzetting van deze dag. Tot
ziens.

Sluiting 12.52 uur.