Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

Hoe verhoudt de Wegiz zicht tot de Wabpvz?

Na mijn eerdere blog over de Wegiz en toestemming kreeg ik veel vragen over de verhouding van het wetsvoorstel tot de Wet aanvullende bepaling verwerking persoonsgegevens in de zorg (Wabvpz). Deze wet regelt onder meer het recht op digitaal afschrift van de eigen medische gegevens en de verplichting om aan normen ten aanzien van informatiebeveiliging te voldoen.

Er is echter nog iets dat de Wabvpz regelt, en dat geldt voor uitwisselingssystemen. Als daarvan gebruik wordt gemaakt dan is vanwege de bepalingen in de Wabvpz toestemming nodig voor het ongericht raadpleegbaar maken van medische informatie. Nu doet het woord “uitwisselingssystemen” denken dat het hierbij gaat om alle gegevensuitwisseling in de zorg. Maar dat is dus niet zo. Het gaat om een specifieke technische inrichting, waarbij informatie ongericht raadpleegbaar wordt gemaakt voor andere zorgverleners. Als de uitwisseling technisch zo werkt, dan is de extra toestemming nodig. Die moet ook specifiek zijn. Iets als “ik geef aan mijn huisarts toestemming om mijn samengevatte gegevens opvraagbaar te maken door de huisartsenpost voor waarneming”.

De Wegiz bepaalt dat normen voor gegevensuitwisseling er voor moeten zorgen dat niet alleen via uitwisselingssystemen kan worden uitgewisseld. Want anders is voor mensen die geen toestemming geven voor beschikbaarstelling van hun informatie geen gegevensuitwisseling mogelijk, ook als er volgens de WGBO geen uitdrukkelijke toestemming nodig is.

Een recent voorbeeld illustreert waarom dat belangrijk is.

Naast de GGD en allerlei zorginstellingen vaccineren ook huisartsen mensen tegen COVID-19. Volgens de Europese verordening die het Digitaal Corona Certificaat (DCC) regelt, mogen ze die gegevens verwerken voor zo'n DCC. Daar is geen aparte toestemming meer voor nodig.

Maar er is op dit moment geen manier om die gegevens vanuit de CoronaCheck-app op te halen uit de gebruikte huisartsinformatiesystemen, anders dan via een uitwisselingssysteem. En dat mag niet, omdat de toestemming die gegeven is door mensen voor het raadpleegbaar maken van hun gegevens niet is gegeven voor dit doel. Daarnaast zou langs deze route ook niet voor iedereen informatie beschikbaar zijn.

Precies dit is de reden waarom (aldus de Wegiz) ook op een andere manier dan via uitwisselingssystemen (zoals bedoeld in de Wabvpz) moet kunnen worden uitgewisseld.

In een brief aan de Tweede Kamer is dat als volgt opgeschreven:

Eerder heb ik uw Kamer gemeld dat mogelijk ook vaccinatieregistraties bij huisartsen direct via CoronaCheck opvraagbaar zullen worden. De technologie van de meeste huisartsinformatiesystemen maakt directe aansluiting echter niet mogelijk. Hiervoor is een tijdelijke route via het Landelijk Schakelpunt (LSP) onderzocht die niet haalbaar is gebleken. In dit geval is namelijk sprake van een uitwisselingssysteem dat gegevens ongericht raadpleegbaar maakt. De toestemming die mensen hebben gegeven voor die beschikbaarstelling ziet op huisartswaarneming en niet op CoronaCheck, waardoor de gegevens niet voor dit doel mogen worden gebruikt. Hoewel er een juridische grondslag is voor het leveren van vaccinatiegegevens door huisartsen aan CoronaCheck, staat hier de technische wijze waarop die uitwisseling via het LSP zou worden vormgegeven de koppeling in de weg. Mochten bepaalde huisartsinformatiesystemen wel direct benaderbaar zijn voor CoronaCheck zal getracht worden met deze systemen alsnog een koppeling te realiseren.

Tot slot: het technische alternatief is er al. De systemen van de GGD en het RIVM worden bijvoorbeeld direct (via Internet) vanuit CoronaCheck bevraagd. Vandaar de laatste zin: zodra het kan zullen ook huisartsinformatiesystemen worden aangesloten.

Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

De Wegiz, waarom bepaalt de overheid niet zelf de standaarden?
De Wegiz biedt de handvaten om stapsgewijs elektronische gegevensuitwisseling te verplichten. Die verplichting gebeurt via normen. Bij de opstelling van die normen zijn alle relevante partijen betrokken. Patiënten, zorgaanbieders, ICT-leveranciers, etc. Het is dus niet de overheid die zelf de standaarden bepaalt. Dat is zo vanwege de rol van de overheid in Nederland als het gaat om de gezondheidszorg.

Er zijn landen waar dat anders gaat. In die landen is vaak de overheid betrokken bij het leveren van zorg. Dat is bijvoorbeeld zo in de Verenigde Staten (denk aan de zorg aan veteranen) of in verschillende Europese landen (denk aan het Verenigd Koninkrijk). In dat geval kunnen voorwaarden ten aanzien van taal en techniek worden meegegeven bij inkooptrajecten omdat de overheid de inkopende partij is. Zo is bijvoorbeeld "Blue button" ontstaan in de Verenigde Staten waarmee veteranen toegang krijgen tot hun eigen gezondheidsgegevens.

Daarnaast zijn er landen waarin de overheid voorzieningen aanbiedt voor de uitwisseling van medische gegevens. Waar in Nederland sinds 2011 (na de afwijzing van de Wet EPD) de overheid geen betrokkenheid meer heeft bij specifieke infrastructuren voor uitwisseling is dat in andere landen wel het geval (zoals bijvoorbeeld in Denemarken, Estland, Portugal en Frankrijk). Door voorwaarden te stellen aan de verplichte aansluiting op nationale of regionale uitwisselingsinfrastructuren is dan een aparte wet minder nodig.

Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

De Wegiz, dat sluit toch niet aan op toestemming van patiënten?
Vaak wordt gedacht dat voor alle gegevensuitwisseling tussen zorgprofessionals apart toestemming nodig is. Dat is niet zo, er zijn veel meer grondslagen dan toestemming. De Wegiz biedt ook geen nieuwe grondslag voor gegevensuitwisseling tussen zorgaanbieders. Als er mag worden uitgewisseld, dan moet dat straks vanwege de wet stapsgewijs ook tenminste elektronisch. Als je een recept per fax naar de apotheek stuurt, dan moet je straks ook tenminste elektronisch het recept aan de apotheek doorgeven. De wet regelt daarvoor niet de grondslag, die moet er al zijn. Als die er niet is, dan hoeft er dus ook niet (digitaal) te worden uitgewisseld. De Wegiz dwingt zorgprofessionals niet hun beroepsgeheim te doorbreken maar geldt alleen als er al een grondslag is voor gegevensuitwisseling. De Wegiz dwingt ook niet om gegevens uit te wisselen die je niet wil uitwisselen. Als je nu gegevens niet op een doorverwijzing zet, bijvoorbeeld, hoeft dat onder de Wegiz ook niet. De zorgprofessional bepaalt wat nodig is om te melden. Maar als je iets uitwisselt, dan moet dat straks tenminste ook digitaal en zo dat de ontvanger het ook kan inlezen. De wet verandert niets aan de grondslagen voor uitwisseling en dus ook niet aan toestemming.

Ik schreef al eerder dat er veel verwarring is over toestemming voor gegevensuitwisseling. Veel gegevensuitwisseling is nu technisch zo ingericht dat gegevens al worden klaargezet voor nog onbekend later gebruik. Dan is inderdaad toestemming nodig. Terwijl in het zorgproces zelf die aanvullende toestemming heel vaak niet nodig is. Want toestemming is maar één van de grondslagen voor gegevensuitwisseling. En je komt pas bij toestemming, als die andere grondslagen er niet zijn. Als je een andere dokter consulteert, bijvoorbeeld, is extra toestemming om dan ook de gegevens uit te wisselen niet nodig. Dat geldt bijvoorbeeld ook bij doorverwijzing. Als een patiënt heeft ingestemd met de doorverwijzing, hoort daar ook de uitwisseling van de benodigde gegevens al bij. De Wegiz verandert daar niets aan. Maar wat wel waar is: er is veel onduidelijkheid over grondslagen voor gegevensuitwisseling. Of die nu op papier is, of digitaal.

Misverstanden over toestemming
Die onduidelijkheid komt als eerste, ik noemde het al, omdat veel gegevensuitwisseling nu zo is ingericht dat per definitie extra toestemming nodig is. Als je gegevens alvast elektronisch klaarzet, zonder te weten wie het gaat ophalen, dan is extra toestemming nodig. Want als je het zo doet, dan doorbreek je als zorgprofessional je beroepsgeheim. Toestemming is daarvoor de enige grondslag die er is (want je weet niet wie de gegevens ophaalt). Omdat veel gegevensuitwisseling zo werkt op dit moment, zijn veel mensen gaan denken dat altijd toestemming nodig is. Dat is niet zo. De Wegiz zegt daarom ook niets over toestemming, want gaat uit van een grondslag voor uitwisseling. Als je mag uitwisselen, dan moet het digitaal. Dat is de kern van de wet.

We zijn dus gaan denken dat toestemming altijd nodig is, terwijl dat niet zo is. Dat vergt vooral aandacht in opleiding, en veel communicatie en voorlichting. Niet over toestemming, maar over grondslagen voor gegevensuitwisseling. Waar toestemming er één van is, maar zeker niet de belangrijkste. Daarom gebruik ik zelf vaker het begrip "grondslag" dan het begrip "toestemming".

Beroepsgeheim strikt geregeld
Elke zorgprofessional heeft beroepsgeheim en voert een eigen dossier. Zodat mensen erop kunnen vertrouwen dat wat besproken wordt binnenskamers blijft. Als je als dokter gegevens uitwisselt, doorbreek je dat beroepsgeheim. Vaak mag dat (ik noemde al doorverwijzen of consulteren, maar medebehandeling is ook zo’n reden). En dat is ook logisch. Het zou toch gek zijn als de nachtverpleging je in het ziekenhuis wakker zou moeten maken om toestemming te vragen om je medicatie in te zien.

Op andere momenten mag dat niet. Zo mag de oncoloog niet zomaar jouw gegevens bij de cardioloog opvragen, die je voor een andere aandoening behandelt. Dat mag alleen met jouw toestemming. Dat is niet overal zo geregeld. Er zijn landen waarin dokters elkaar mogen inlichten als dat nodig is voor een behandeling. Maar in Nederland is daarvoor geen andere grondslag dan toestemming.

Er zijn ook momenten waarop goede zorg en beroepsgeheim in elkaars weg lijken te staan. Dat geldt bijvoorbeeld als een arts medicatie voorschrijft. Dan moet, volgens de richtlijnen die bepalen wat goede zorg is, eerst een medicatieoverzicht worden opgesteld. Dat is een overzicht waarin al jouw actuele medicatie is opgenomen. Daarvoor heb je de gegevens nodig van iedereen die jou op dat moment behandelt. Maar die mogen dat niet zonder jouw eigen toestemming doorgeven. Want door de voorgeschreven medicatie te melden aan iemand die je voor iets anders behandelt, doorbreken ze hun beroepsgeheim zonder dat ze daarvoor een andere grondslag dan jouw toestemming hebben.

De Wegiz brengt geen nieuwe grondslag aan voor gegevensuitwisseling. Daarvoor zou aanpassing nodig zijn van ons denken over beroepsgeheim en over de bijbehorende grondslagen voor gegevensuitwisseling.

Binnen zorgaanbieders gaat het anders
Ik schreef hiervoor al: het zou niet werken als de nachtverpleging je wakker zou moeten maken voor toestemming. Dat is ook niet zo. Binnen een zorgaanbieder is sprake van “high trust, high penalty”. Zorgaanbieders moeten loggen wie dossiers raadpleegt, en ingrijpen als mensen zonder reden gegevens inkijken. Er zijn veel voorbeelden van dat ingrijpen. Meerdere keren per jaar worden mensen die onbevoegd dossiers hebben ingezien berispt, of zelfs ontslagen. En ook zorgaanbieders die het te makkelijk maken om in dossiers te kijken worden aangesproken. Maar de hoofdbehandelaar, onder wiens verantwoordelijkheid het dossier wordt gevoerd, die is in dit geval niet verantwoordelijk.

Anders is het tussen zorgaanbieders. Als een zorgprofessional iets elektronisch klaar zet voor een collega bij een andere zorgaanbieder, zonder dat duidelijk is wie het gaat ophalen, dan mag dat alleen met toestemming. Binnen zorgaanbieders mag het wel, omdat er wordt gewerkt met één dossier waar iedereen toegang toe kan hebben. Tussen zorgaanbieders mag dat niet. Waar binnen de zorgaanbieder wordt gekeken naar de persoon die zich zonder reden toegang verschaft, ligt de verantwoordelijkheid tussen zorgaanbieders bij de zorgprofessional die de gegevens beschikbaar stelt.

De Wegiz verandert daar niets aan. Daarvoor zou aanpassing nodig zijn van ons denken over beroepsgeheim en grondslagen voor gegevensuitwisseling.

Toestemming geven is ingewikkeld
Als toestemming alsnog nodig is, dan is dat ingewikkeld geven. Dat is al zo in de papieren praktijk. Als een oncoloog iets nodig heeft van een cardioloog, het voorbeeld van hierboven, dan is dat soms veel gedoe. Jouw toestemming moet duidelijk zijn (een handtekening op een papier bijvoorbeeld), de arts die de gegevens verstrekt moet zich ervan vergewissen dat die toestemming echt van jou is, dat de oncoloog echt een dokter is, en moet het dan ook nog bij de oncoloog zien te krijgen. Er is geen simpele manier om dat elektronisch te doen. Er zijn landen die daarin iets verder zijn. In Oostenrijk, bijvoorbeeld, worden de elektronische toestemming van de patiënt en de vraag van de oncoloog gecombineerd tot één verzoek aan de cardioloog. Die kan dan, geautomatiseerd, de gegevens verstrekken omdat zeker is dat je toestemming hebt gegeven en dat het echt een dokter is aan wie de gegevens worden verzonden. In het huidige Internettijdperk zou je denken aan een pop-up bericht op je telefoon waarna je toestemming geeft en de informatie kan worden opgehaald. Maar zover zijn we nog niet.

De Wegiz verandert niets aan hoe we toestemming regelen. Maar het zou wel veel schelen als dat makkelijker werd.

Dit is een blog in een serie waarin ik vragen beantwoord over het wetsvoorstel “Wet elektronische gegevensuitwisseling in de zorg”. Een wetsvoorstel dat beoogt om stap voor stap de zorg te digitaliseren. Zodat faxen, brieven of DVD’s op de buik van een patiënt steeds minder voorkomen. Het is een wet waaronder gegevensuitwisselingen kunnen worden aangewezen die tenminste digitaal moeten verlopen. Dat kan op twee manieren. Door aan te wijzen dat ze elektronisch moeten verlopen (spoor 1 van de wet) of door ook aan te wijzen hoe, volgens welke norm, dat moet (spoor 2). Het is een wet waarover vragen zijn. In een serie blogs ga ik in op die vragen. Heb je ook een vraag? Laat deze gerust weten; via LinkedIn bijvoorbeeld.

De Wegiz, gaat dat niet eeuwig duren?
Normering kost tijd, soms zelfs veel tijd. Daarom kost een “Spoor 2 aanwijzing” onder de Wegiz tijd. Zorgprofessionals moeten allereerst bepalen welke informatie nodig is voor goede zorg, standaarden moeten worden ontwikkeld, er moet een NEN-norm komen, systemen moeten aangepast en dan pas kan de verplichting in gaan.

Voor een beetje ingewikkelde gegevensuitwisseling duurt dat zo een paar jaar. Als je verwacht dat de zorg pas echt digitaal uitwisselt als voor alles een norm bestaat, zou het inderdaad wel eens lang kunnen duren. Maar zo zal het niet gaan. Daar zijn meerdere redenen voor.

Niet alles wordt volledig genormeerd
Een van de redenen dat het niet zo lang hoeft te duren is dat de aanwijzing “Gij zult elektronisch uitwisselen” zonder een bijbehorende norm op te leggen snel kan gaan. Dan nog steeds zijn generieke normen van toepassing (zoals ten aanzien van informatiebeveiliging), maar in plaats van eerst te wachten op normering moet het tenminste digitaal verlopen. Remko Nienhuis schreef in zijn blog over de verborgen parels in de Wegiz hoe dit kan zorgen voor “bottom-up innovatie”. Zijn brede interpretatie van de Wegiz is correct. De wet zorgt voor beweging, zowel “top down” als “bottom-up”.

De Wegiz werpt zijn schaduw vooruit
Hoewel de Wegiz er nog niet is en niet direct alle elektronische gegevensuitwisseling zal verplichten, is die beweging al te zien. Niets staat het zorgveld in de weg om ook zelf, samen met alle betrokkenen, stappen te zetten. Laat dat precies zijn wat gebeurt.

Een mooi voorbeeld is de uitwisseling van de Basis Gegevensset Zorg. Dat is de samenvatting van medische gegevens die eigenlijk in elke behandeling nodig is en die bijvoorbeeld veel lijkt op de zogenaamde “International Patient Summary”. Geïnspireerd door de aanpak van de Wegiz zijn leveranciers bezig gegaan om voorstellen te doen voor een “technische afsprakenset” voor de uitwisseling van de Basisgegevensset Zorg (BGZ) . Precies zoals de Wegiz beoogt te gaan doen. Laat de BGZ nou ook één van de voorbeelden zijn die beoogt zijn te gaan verplichten. Voordat het wetsvoorstel behandeld is, worden dus al concrete stappen gezet die de zorg vooruit gaan helpen.

Alle begin is moeilijk
Bij de eerst verplicht elektronische gegevensuitwisselingen is veel nieuw. De standaarden voor de informatie die er in is opgenomen, de techniek van de uitwisseling, etc. Er is een eerste keer dat medicatie in een norm voorkomt, bijvoorbeeld, en ook dus een eerste keer dat wordt bepaald hoe moet worden uitgewisseld.

Maar de tweede keer, als medicatie in een andere uitwisseling nodig is, hoeft heel veel werk niet meer gedaan. Er is al een keer bepaald welke gegevens er worden uitgewisseld, en ook al hoe. Zie het als legoblokjes die opstapelen tot telkens een nieuwe gegevensuitwisseling. Na een tijdje zijn de meeste blokjes wel gemaakt, en is het een kwestie van een nieuwe stapel bouwen om een nieuwe gegevensuitwisseling te realiseren.

Normen die voor alle uitwisseling gelden hebben direct impact
Tot slot zullen er generieke normen ontstaan die altijd gelden. Die zijn er al, bijvoorbeeld, voor informatiebeveiliging in de zorg. Dergelijke generieke normen zullen er ook komen voor andere zaken die in elke gegevensuitwisseling nodig zijn. Zo is er nu NTA-7516, de norm voor veilig mailen in de zorg. Omdat dit soort normen gaat gelden voor alle uitwisseling, zullen deze sneller impact hebben dan de stapsgewijze aanwijzing van elektronische gegevensuitwisselingen.