Advies Afdeling advisering Raad van State en Nader rapport : Advies Afdeling advisering Raad van State en Nader rapport
36 702 Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorg
Nr. 4
ADVIES AFDELING ADVISERING RAAD VAN STATE EN NADER RAPPORT1
Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State
d.d. 24 juli 2024 en het nader rapport d.d. 4 maart 2025, aangeboden aan de Koning
door de Minister van Volksgezondheid, Welzijn en Sport. Het advies van de Afdeling
advisering van de Raad van State is cursief afgedrukt.
Blijkens de mededeling van de Directeur van Uw Kabinet van 21 mei 2024, no. 2024001228,
machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake
het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies,
gedateerd 24 juli 2024, no. W13.24.00112/III, bied ik U hierbij aan.
De tekst van het advies treft u hieronder cursief aan, voorzien van mijn reactie.
Bij Kabinetsmissive van 21 mei 2024, no. 2024001228, heeft Uwe Majesteit, op voordracht
van de Minister van Volksgezondheid, Welzijn en Sport, bij de Afdeling advisering
van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende
wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorg,
met memorie van toelichting.
Het wetsvoorstel voorziet in de instelling van één register voor zorgaanbieders, zorgmedewerkers,
indicatieorganen, zorgverzekeraars, jeugdhulpverleners, jeugdhulpaanbieders en hun
medewerkers: het zogeheten Dezi-register.
Via dit register kunnen ingeschrevenen hun identiteit bekendmaken (identificatie)
en bewijzen (authenticatie) voor toegang tot de Sectorale Berichtenvoorziening in
de zorg (SBV-Z) en (onder meer) zorginformatiesystemen en elektronische uitwisselingssystemen.
Daarbij moet gebruik worden gemaakt van een door de Minister van Volksgezondheid,
Welzijn en Sport (hierna: Minister) goedgekeurd inlogmiddel. De Minister keurt een
inlogmiddel goed als deze voldoet aan het hoogste betrouwbaarheidsniveau.
De Afdeling advisering van de Raad van State onderschrijft het grote en toenemende
belang van een uniforme, veilige en hoog betrouwbare (digitale) toegang tot cliëntgegevens.
De Afdeling verwacht echter dat dit wetsvoorstel hieraan beperkt zal bijdragen. Inschrijving
in het Dezi-register wordt alleen vereist voor het krijgen van toegang tot de SBV-Z.
Voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen in
de zorg is die verplichting er niet. Dit terwijl ook voor toegang tot die systemen
een betrouwbaarheidsniveau «hoog» vereist is.
De Afdeling adviseert de regering daarom om ten minste een uiterste termijn op te
nemen vanaf wanneer identificatie en authenticatie via het Dezi-register en het gebruik
van een goedgekeurd inlogmiddel ook verplicht is voor het krijgen van toegang tot
zorginformatiesystemen en elektronische uitwisselingsystemen.
In verband hiermee is aanpassing van het wetsvoorstel en de toelichting wenselijk.
1. Achtergrond en inhoud van het wetsvoorstel
a. Huidige situatie
Momenteel bestaan er afzonderlijke (door het CIBG beheerde) registers waarin zorg-
en jeugdhulpaanbieders, indicatieorganen en zorgverzekeraars op verzoek kunnen worden
ingeschreven.2 Dit om toegang te krijgen tot de SBV-Z. Via deze voorziening kan onder meer het BSN-nummer
van een cliënt worden achterhaald of gecontroleerd en de geldigheid van een identiteitsbewijs
worden geverifieerd.
Zorg- en jeugdhulpaanbieders, indicatieorganen en zorgverzekeraars moeten zich op
dit moment identificeren en authenticeren, voordat zij door het CIBG worden ingeschreven.
Ook controleert het CIBG of van de SBV-Z gebruik gemaakt mag worden.3 Na inschrijving kunnen zorgverzekeraars een zogeheten ZOVAR-servercertificaat aanvragen.4 Dit certificaat waarborgt een betrouwbare uitwisseling van informatie tussen de SBV-Z
en het betreffende informatiesysteem van de zorgverzekeraar.
Ingeschreven zorg- en jeugdhulpaanbieders en indicatieorganen kunnen op hun beurt
een soortgelijk certificaat aanvragen: het UZI-servercertificaat.5 Daarnaast kunnen laatstgenoemden (voor medewerkers die toegang moeten hebben tot
de SBV-Z) een UZI-pas aanvragen. Met een UZI-pas kan de houder daarvan zich identificeren
en authenticeren om toegang tot de SBV-Z te krijgen. De UZI-pas en het UZI-servercertificaat
worden tezamen UZI-middelen genoemd.6
Deze wijze van identificatie en authenticatie voldoet aan het betrouwbaarheidsniveau
«hoog». In de zogeheten eIDAS-verordening wordt beschreven wat dit hoogste niveau
van betrouwbaarheid inhoudt.7 Maar de UZI-middelen en het daaraan gekoppelde register worden niet omarmd door zorg-
en jeugdhulpaanbieders (en hun medewerkers). De UZI-middelen worden als duur, inflexibel
en gebruiksonvriendelijk ervaren.8 Bovendien kunnen die middelen en het bijbehorende register, overeenkomstig de huidige
wet- en regelgeving, alleen worden ingezet voor het krijgen van toegang tot de SBV-Z.
Dit heeft ertoe geleid dat de zorg- en jeugdhulpsector de UZI-middelen en het bijbehorende
register (vooral) gebruikt voor het krijgen van toegang tot de SBV-Z.9 Voor toegang tot zorginformatiesystemen en elektronische uitwisselingsystemen, maakt
deze sector gebruik van verschillende inlogmiddelen. Deze verscheidenheid aan inlogmiddelen
beperkt het vermogen van de zorg- en jeugdhulpsector om effectief en efficiënt cliëntgegevens
met elkaar uit te wisselen (interoperabiliteit). Bovendien voldoen die inlogmiddelen
niet aan het betrouwbaarheidsniveau «hoog».10
b. Inhoud
Een uniforme, veilige en hoog betrouwbare digitale toegang tot cliëntgegevens is,
zeker gezien de digitalisering en de opkomst van netwerkzorg, van groot belang. De
regering ziet daarom in de huidige situatie aanleiding voor wettelijk ingrijpen.11
Het wetsvoorstel voorziet daartoe in de instelling van één register voor zorgaanbieders,
zorgmedewerkers, indicatieorganen, zorgverzekeraars, jeugdhulpverleners, jeugdhulpaanbieders
en hun medewerkers: het Dezi-register.12
Voor toegang tot de SBV-Z is inschrijving in dit register vereist. Aan de hand van
dit register kan een ingeschrevene zich identificeren en authenticeren voor toegang
tot de voormelde voorziening. Hij moet daarbij gebruikmaken van een door de Minister
goedgekeurd inlogmiddel. De Minister keurt een inlogmiddel goed als deze voldoet aan
het betrouwbaarheidsniveau «hoog».13 Bij of krachtens algemene maatregel van bestuur worden (onder meer) regels gesteld
over de wijze waarop aangetoond kan worden dat een inlogmiddel aan dat betrouwbaarheidsniveau
voldoet.14 De beheerder van de SBV-Z zorgt ervoor dat een ingeschrevene met ieder goedgekeurd
inlogmiddel toegang heeft tot de SBV-Z.15
Voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen is
inschrijving in het Dezi-register niet vereist. Het is aan de zorg- of jeugdhulpaanbieder
om te bepalen of hij zich inschrijft en voor toegang tot zijn zorginformatiesystemen
en elektronische uitwisselingsystemen gebruik wil maken van het register en een door
de Minister goedgekeurd inlogmiddel.16 Ook is het aan de zorg- of jeugdhulpaanbieder om te bepalen of bepaalde andere ingeschrevenen
via het register en een goedgekeurd inlogmiddel toegang krijgen tot zijn systemen.17 Indien de mogelijkheid is geboden om via het register en een goedgekeurd inlogmiddel
toegang tot die systemen te krijgen, dan moet die toegang ook mogelijk gemaakt worden
met ieder ander goedgekeurd inlogmiddel.
2. Beoordeling
De Afdeling onderschrijft het grote en toenemende belang van een uniforme, veilige
en hoog betrouwbare (digitale) toegang tot cliëntgegevens. Het gaat immers om bijzondere
persoonsgegevens over de gezondheid. De Afdeling verwacht echter dat de effectiviteit
van het wetsvoorstel in dit verband beperkt zal zijn. Inschrijving in het Dezi-register
is alleen vereist voor het krijgen van toegang tot de SBV-Z. Dit brengt met zich dat
identificatie en authenticatie via het Dezi-register en het gebruik van een goedgekeurd
inlogmiddel alleen verplicht is voor het krijgen van toegang tot die voorziening.
De Afdeling merkt op dat het aan zorg- en jeugdhulpaanbieders wordt overgelaten om
te bezien of zij voor de toegang tot hun zorginformatiesystemen en elektronische uitwisselingssystemen
gebruik willen maken van het Dezi-register en een door de Minister goedgekeurd inlogmiddel.
Ook is het aan hen om te bepalen of zij bepaalde andere ingeschrevenen in staat willen
stellen om via dit register en een goedgekeurd inlogmiddel toegang tot die systemen
te krijgen. Uit de toelichting blijkt dat de voornaamste reden hiervoor is dat het
aan de zorg- en jeugdhulpaanbieder is om te bepalen hoe hij zijn organisatie vormgeeft
en op welke wijze hij ervoor zorgt dat de (digitale) toegang tot cliëntgegevens verloopt
via het vereiste betrouwbaarheidsniveau.18
Daarnaast zou een verplichting tot het gebruik van het Dezi-register en een goedgekeurd
inlogmiddel in dit verband resulteren in grote lasten voor zorg- en jeugdhulpaanbieders.
Zij zouden hun systemen immers moeten aanpassen voor gebruik met goedgekeurde inlogmiddelen.
In voorkomend geval betekent dit dat zij moeten overstappen op andere systemen.19 De regering acht het onverplichte karakter van de bepalingen van dit wetsvoorstel
op zichzelf een voldoende stimulans om het vereiste betrouwbaarheidsniveau te bereiken.
De Afdeling begrijpt dat het primair de verantwoordelijkheid is van zorg- en jeugdhulpaanbieders
om ervoor te zorgen dat de (digitale) toegang tot cliëntgegevens verloopt via het
vereiste betrouwbaarheidsniveau. Dat is hier het betrouwbaarheidsniveau «hoog». Het
gaat immers om toegang tot bijzondere persoonsgegevens over de gezondheid, die ook
(kunnen) vallen onder het medisch beroepsgeheim.20 Uit de toelichting blijkt echter dat voor toegang tot zorginformatiesystemen en elektronische
uitwisselingssystemen vaak geen gebruik wordt gemaakt van inlogmiddelen op dit vereiste
betrouwbaarheidsniveau.21
Het belang van de bescherming van bijzondere persoonsgegevens is zo groot dat zij
de stimulans die van dit wetsvoorstel op zichzelf zou moeten uitgaan onvoldoende acht
om op een redelijke termijn te bereiken dat de toegang tot en uitwisseling van bijzondere
persoonsgegevens voldoet aan het hoogste betrouwbaarheidsniveau. De Afdeling adviseert
daarom om ten minste een uiterste termijn in het wetsvoorstel op te nemen vanaf wanneer
identificatie en authenticatie via het Dezi-register en een door de Minister goedgekeurd
inlogmiddel verplicht zijn voor het kunnen krijgen van toegang tot zorginformatiesystemen
en elektronische uitwisselingssystemen.
De Afdeling adviseert het wetsvoorstel en de toelichting in die zin aan te passen.
Het kabinet deelt de visie van de Afdeling dat het belang van uniforme, veilige en
hoog betrouwbare (digitale) toegang tot cliëntgegevens groot is en steeds belangrijker
zal worden. Het inloggen met inlogmiddelen met het betrouwbaarheidsniveau hoog is
dan ook een onmisbare schakel in het veilig digitaal verwerken van patiëntgegevens.
Uit artikel 32 van de AVG vloeit immers voort dat verwerkers passende technische en
organisatorische maatregelen moeten nemen om een op het risico afgestemd beveiligingsniveau
te waarborgen.
In aansluiting op het advies van de Autoriteit Persoonsgegevens is het kabinet van
mening dat, als het gaat om gegevens waar het medisch beroepsgeheim op rust, enkel
tot een passend beveiligingsniveau gekomen kan worden als de betreffende systemen
worden geraadpleegd met een inlogmiddel met het betrouwbaarheidsniveau hoog. De plicht
om dit passende beveiligingsniveau te borgen rust primair op de zorg- en jeugdhulpaanbieder,
als verwerker van deze gegevens.
Het kabinet volgt het advies van de Afdeling om authenticatie via het Dezi-register
en een goedgekeurd inlogmiddel verplicht te stellen in de Wet aanvullende bepalingen
verwerking persoonsgegevens in de zorg (Wabvpz) en in de Jeugdwet voor toegang tot
zorginformatiesystemen en elektronische uitwisselingssystemen. Hiermee wordt verzekerd
dat interoperabiliteit tussen de verschillende systemen op termijn tot stand komt.
Het wetsvoorstel en de toelichting zijn op dit punt aangepast.
Inlogmiddelen met het betrouwbaarheidsniveau hoog worden nu nog niet gebruikt omdat
die middelen niet beschikbaar zijn. Dat probleem wordt met dit wetsvoorstel opgelost;
zorgaanbieders moeten ingevolge dit wetsvoorstel voor het gebruik van SBV-Z een goedgekeurd
inlogmiddel met het betrouwbaarheidsniveau hoog gaan gebruiken. Daardoor is het aantrekkelijk
om deze inlogmiddelen te ontwikkelen. Als deze inlogmiddelen ontwikkeld zijn, volgt
de verplichting om een inlogmiddel met betrouwbaarheidsmiddel hoog breed in te zetten
om patiëntgegevens te beveiligen. Voor de verschillende sectoren wordt bezien wat
een haalbare termijn is voor implementatie. Dit zal afhangen van de inlogmiddelen
die op de markt komen, de diversiteit aan systemen die aangepast of vervangen moeten
worden en de last die dit met zich brengt voor zorg- en jeugdhulpaanbieders. Daarom
is in artikel 15, vierde lid, Wapvpz en artikel 7.2.8, zesde lid, Jeugdwet de mogelijkheid
opgenomen om bij of krachtens algemene maatregel van bestuur te bepalen op welk moment
de verplichtstelling aanvangt per afzonderlijk elektronisch uitwisselingssysteem of
zorginformatiesysteem of categorieën daarvan. Ook paragraaf 2.3 van de toelichting
is daarop aangepast.
Volledigheidshalve wordt opgemerkt dat dit niets afdoet aan de verplichtingen die
voortvloeien uit artikel 32 van de AVG; zorg- en jeugdhulpaanbieders moeten hun patiëntgegevens
afdoende beveiligen. Zij zijn op grond van dit artikel dan ook reeds verplicht om
over te stappen naar inlogmiddelen met het betrouwbaarheidsniveau hoog, waar het gaat
om het raadplegen van patiëntgegevens waar het medisch beroepsgeheim op rust. Dit
kunnen zij doen met de nieuw goed te keuren inlogmiddelen of met andere inlogmiddelen
op het betrouwbaarheidsniveau hoog.
De Afdeling advisering van de Raad van State heeft een opmerking bij het voorstel
en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der
Staten-Generaal wordt ingediend.
Van de gelegenheid is gebruik gemaakt om het overgangsrecht aan te passen. Er is voorzien
in een overgangsperiode waarin de bestaande UZI-middelen en het nieuwe Dezi-register
naast elkaar bestaan. Het bestaande regime blijft op de UZI-middelen van toepassing
tot 1 januari 2028. Hiermee wordt voorkomen dat gedurende bepaalde tijd een situatie
ontstaat waarbij geen UZI-middelen meer uitgegeven kunnen worden, maar er ook nog
niet voldoende goedgekeurde inlogmiddelen voor het Dezi-register beschikbaar zijn.
Omwille van een rustige en zorgvuldige implementatie van de nieuwe inlogmiddelen wordt
er dan ook voor gekozen om tijdelijk nog UZI-middelen te blijven uitgeven. Ook paragraaf 2.3
van de toelichting is hierop aangepast.
De waarnemend vice-president van de Raad van State,
L.F.M. Verhey
Tot slot zijn enkele wijzigingen van technische aard in het wetsvoorstel en de memorie
van toelichting aangebracht.
Ik verzoek U het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie
van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.
De Minister van Volksgezondheid, Welzijn en Sport, M-F. Agema
Ondertekenaars
-
Eerste ondertekenaar
Th.C. de Graaf, vicepresident van de Raad van State -
Mede ondertekenaar
M. Agema, minister van Volksgezondheid, Welzijn en Sport
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.