Op 6 maart 2025 heeft de Raad van State advies uitgebracht over de voorgestelde wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: “Wabvpz”). Dit in verband met het wetsvoorstel Digitale Identificatie in de zorg (hierna: “wet DIAZ”) dat eerder werd geïntroduceerd, op basis waarvan zorgmedewerkers verplicht worden op een veilige manier medische gegevens te raadplegen en/of uit te wisselen. De wet DIAZ vormt aanleiding om de Wabvpz aan te (moeten) passen. In dit artikel gaan wij in op de voorgestelde wijzigingen, het advies van de Raad van State en de zienswijze daarop van de Minister van Volksgezondheid, Welzijn en Sport (hierna: “minister van VWS”).
Waarom is voorgesteld de Wabvpz te wijzigen?
De Wabvpz moet – zo wordt voorgesteld – worden gewijzigd om een nieuw stelsel te introduceren dat in de gehele zorg wordt ingezet. Het gaat om het Dezi-register dat toegang geeft tot alle systemen waarbij persoons- en medische gegevens worden verwerkt. Dit register is in het leven geroepen om op en veilige manier medische gegevens te raadplegen en uit te wisselen. De identificatie en authenticatie wordt gebruiksvriendelijker, flexibeler en kostenefficiënter gemaakt. Tevens is de achterliggende gedachte dat hiermee de risico’s op datalekken en cyberaanvallen worden beperkt.
Om welke wijzigingen gaat het?
De wijzigingen luiden als volgt.
- Verplicht register: Er komt één centraal register (Dezi-register) voor onder meer zorgaanbieders, jeugdhulpverleners, zorgverzekeraars en hun medewerkers. Zij zijn verplicht zich in te schrijven in dit register en kunnen kiezen uit goedgekeurde inlogmiddelen met een hoog betrouwbaarheidsniveau. Deze middelen geven toegang tot zorginformatiesystemen.
- Goedkeuring van inlogmiddelen: De minister van VWS keurt inlogmiddelen goed die voldoen aan het hoogste betrouwbaarheidsniveau. Dit betekent dat zorgaanbieders en hun medewerkers alleen toegang krijgen tot cliëntgegevens als zij gebruikmaken van deze goedgekeurde inlogmiddelen.
- Toegang tot systemen: Als via het Dezi-register en een goedgekeurd inlogmiddel toegang is verleend tot zorginformatiesystemen, moet die toegang ook mogelijk zijn met ieder ander goedgekeurd inlogmiddel.
Het Dezi-register bouwt voort op het huidige UZI-register, waarmee zorgprofessionals zich kunnen identificeren. Zorgprofessionals verkrijgen een zogenoemde ‘UZI-pas’ om toegang te kunnen krijgen tot gegevens. Om deze pas te kunnen krijgen, moet onder meer het Burgerservicenummer (hierna: “bsn”) van de zorgprofessional worden gedeeld.
Wat heeft de Raad van State geadviseerd?
De Raad van State ziet (ook) het belang van uniforme, veilige en betrouwbare digitale toegang tot cliëntgegevens, naar verwacht dat de wet DIAZ daaraan beperkt bijdraagt. Daarbij benadrukt de Raad van State dat identificatie en authenticatie via het Dezi-register en het gebruik van een goedgekeurd inlogmiddel alleen verplicht zijn voor toegang tot specifieke voorzieningen, zoals de SBV-Z, ook wel de Sectorale Berichten Voorzieningen in de Zorg, die bsn’s doorlevert aan de zorgsector. Voor toegang tot zorginformatiesystemen en elektronische uitwisselingssystemen in de zorg is die verplichting er niet. Dit terwijl, zo geeft de Raad van State aan, ook voor toegang tot die systemen een hoog betrouwbaarheidsniveau wenselijk is. Daarom adviseert de Raad om te overwegen of aanvullende maatregelen nodig zijn om de hierboven genoemde doelen te bereiken.
Wat heeft de AP geadviseerd?
Goed om op te merken dat de Autoriteit Persoonsgegevens (hierna: “AP”), toezichthouder op het gebied van privacy, eerder advies uit heeft gebracht over de wijziging van de Wabvpz. Ook de AP juicht toe dat er maatregelen worden genomen om het betrouwbaarheidsniveau omhoog te brengen, maar gaf aan dat er in de praktijk nog onvoldoende geschikte inlogmiddelen beschikbaar zijn én dat de wet DIAZ het gebruik van het register niet voor alle systemen verplicht stelt, enkel voor toegang tot SBV-Z. De Raad van State sluit in zekere zin aan bij dit advies.
Ook het kabinet is van mening dat enkel tot een passend beveiligingsniveau gekomen kan worden als systemen, zoals het zorginformatiesysteem, worden geraadpleegd met een inlogmiddel met een hoog betrouwbaarheidsniveau. Er wordt door de minister van VWS aangegeven dat het advies van de Raad van State aanleiding is geweest de wet DIAZ aan te passen. Er is nu een bepaling toegevoegd aan de wet DIAZ die regelt dat bij algemene maatregel van bestuur een tijdstip kan worden vastgesteld waarop het gebruik van het Dezi-register en goedgekeurde inlogmiddelen verplicht wordt voor toegang tot andere zorginformatiesystemen.
Wat zijn nu de vervolgstappen?
Het is nu aan de Tweede Kamer de aangepaste versie van het wetsvoorstel DIAZ te behandelen. Na deze behandeling wordt gestemd over invoering van de wet. De verwachting is dat het wetsvoorstel in januari 2026 in werking zal treden.
Overigens is van belang om op te merken dat de wet DIAZ niets afdoet aan de verplichting die op grond van artikel 32 AVG geldt voor verwerkingsverantwoordelijken om passende technische en organisatorische maatregelen te nemen. Dit zodat de medische gegevens die worden verwerkt voldoende worden beveiligd. De wet DIAZ vormt een ‘nieuwe’ plicht die – tezamen met andere maatregelen – bijdraagt aan de verplichting tot het zorgdragen van een goede beveiliging. Het register op zichzelf is echter niet voldoende om te kunnen voldoen aan de verplichting die geldt op grond van artikel 32 van de AVG.
Het is belangrijk voor zorgaanbieders de ontwikkelingen omtrent de wet DIAZ en wijziging van de Wabvpz nauwlettend in de gaten te houden en tijdig de nodige aanpassingen te verrichten om te kunnen voldoen aan de nieuwe eisen. Mocht u hierover vragen hebben, neem dan gerust contact met ons op.
