Door Jan Christiaan Huijsman, strategisch adviseur bij Achmea Zilveren Kruis.

Dit artikel is geschreven op persoonlijke titel

Samenvatting: VWS zou met artikel 1.5 van de Wegiz nú het initiatief moeten nemen voor een gefaseerde verplichting tot openheid van zorginformatiesystemen in het belang van de patiëntveiligheid, zorgtransformatie en goed functioneren van de markt – complementair aan en vooruitlopend op de EHDS en DataAct.

Inleiding

De digitalisering van de zorg is de afgelopen jaren langzaam maar zeker toegenomen. Toch blijft een fundamentele voorwaarde voor goede digitale zorginfrastructuur hardnekkig achter: databeschikbaarheid en het structureel kunnen delen van gegevens tussen informatiesystemen. Elektronische patiëntendossiers (EPD’s) en veel andere zorgapplicaties zijn nog altijd onvoldoende interoperabel: systemen kunnen vaak niet of slechts beperkt met elkaar communiceren. Zorgverleners ervaren dagelijks de gevolgen van gebrekkige gegevensuitwisseling; patiënten hebben in veel gevallen nog steeds geen toegang tot hun eigen gegevens.

De Autoriteit Consument & Markt (ACM) stelt in een brief van januari dit jaar aan het ministerie van VWS dat hier sprake is van een marktfalen: zorgaanbieders zijn in veel gevallen afhankelijk van één leverancier, en concurrentie wordt bemoeilijkt doordat leveranciers hun systemen gesloten houden. Om dit te doorbreken roept de ACM het ministerie op om een bestaande wettelijke mogelijkheid te benutten: artikel 1.5 van de Wet elektronische gegevensuitwisseling in de zorg (Wegiz). Dit artikel biedt ruimte om bij algemene maatregel van bestuur technische eisen te stellen aan zorginformatiesystemen, waaronder eisen gericht op dataportabiliteit en interoperabiliteit.

In haar brief noemt de ACM als belangrijkste argument het bevorderen van de innovatie. Dat is begrijpelijk want de ACM is verantwoordelijk voor goed functionerende markten. Maar het belangrijkste argument zou moeten zijn de patiëntveiligheid. Een volgend argument is het faciliteren van zorgtransformatie, in het bijzonder de samenwerking tussen zorgverleners – mèt de patiënt – ten behoeve van vele vormen van netwerkzorg: wijkverpleging, actuele medicatie overzichten, proactieve zorgplanning, zorgcoördinatie, zorg voor kwetsbare ouderen, enzovoorts.

De brief had dus ook geschreven kunnen zijn door de Patiëntenfederatie, de Inspectie Gezondheidszorg & Jeugd of het Zorginstituut. Vanuit hun positie en belangen zouden ze in ieder geval het doel moeten omarmen en zich achter de brief moeten scharen.

In dit artikel wordt deze oproep van de ACM geplaatst in de bredere context van Europese regelgeving, buitenlandse voorbeelden en technische en juridische randvoorwaarden. De centrale vraag is: is het wenselijk, haalbaar en verantwoord om nu wettelijk te verplichten dat zorginformatiesystemen via open standaarden interoperabel worden?

De context: gesloten systemen, toenemende afhankelijkheid

Nederlandse zorginstellingen maken doorgaans gebruik van omvangrijke en geïntegreerde ICT-oplossingen, vaak geleverd door een handvol grote leveranciers. Deze oplossingen zijn functioneel rijk, maar in veel gevallen niet ontworpen om eenvoudig data te delen met externe systemen. Een huisarts die verwijst naar het ziekenhuis, of een wijkverpleegkundige die informatie wil uitwisselen met de apotheek, moet vaak terugvallen op handmatige overdracht of portalen zonder structurele integratie.

Voor patiënten is het beeld eveneens gemengd: hoewel persoonlijke gezondheidsomgevingen (PGO’s) in opkomst zijn en steeds meer toepassingen worden ontwikkeld, blijft het moeilijk om gegevens daadwerkelijk samenhangend en volledig beschikbaar te krijgen. De koppeling van apps met EPD’s verloopt vaak moeizaam of is gebonden aan restrictieve voorwaarden. Hierdoor worden innovatie, keuzevrijheid en regie op gegevens beperkt.

De ACM constateert dat leveranciers hiermee de concurrentiepositie van andere partijen belemmeren. Toepassingen van derden kunnen alleen aansluiten onder voorwaarden die de hoofdleverancier stelt. In sommige gevallen zijn er aanvullende licenties of langdurige technische trajecten nodig. De ACM wijst erop dat deze praktijk niet alleen innovatie in de weg staat, maar ook de keuzevrijheid van zorgaanbieders en de positie van patiënten ondermijnt.

Artikel 1.5 Wegiz: juridische ruimte benutten

Artikel 1.5 van de Wegiz biedt het ministerie van VWS de mogelijkheid om eisen te stellen aan ICT-producten voor zover die nodig zijn om gegevensuitwisseling mogelijk te maken. Daarbij kan ook worden geëist dat systemen zodanig zijn ontworpen dat gegevens tussen gelijksoortige systemen kunnen worden overgedragen. Daarmee biedt het artikel in potentie een wettelijke basis om openheid van zorginformatiesystemen verplicht te stellen.

Het ministerie heeft deze ruimte tot nu toe beperkt benut, maar de oproep van de ACM biedt aanleiding om deze mogelijkheid opnieuw te overwegen. Het gaat dan niet om een abstracte plicht tot ‘openheid’, maar om concrete eisen zoals het beschikbaar stellen van gedocumenteerde, open API’s die voldoen aan bepaalde kwaliteitsniveaus. Daarbij kan worden aangesloten bij de nationale API-strategie, die reeds is ontwikkeld door Nictiz en door VWS is overgenomen.

Binnen deze strategie wordt gewerkt met een groeimodel van drie treden:

1. Open API’s (documentatie en vindbaarheid) ¹,
2. Technisch gestandaardiseerde API’s, en
3. Volledig gestandaardiseerde API’s (inclusief inhoudelijke semantiek).

Het opnemen van eisen op het niveau van de eerste trede – documentatie en transparantie – kan al bijdragen aan betere interoperabiliteit zonder direct ingrijpende systeemaanpassingen te vergen.

Europese regelgeving als impuls

Een nationale verplichting tot openheid past bovendien in de ontwikkeling van het Europese regelgevingslandschap. De aanstaande European Health Data Space (EHDS) bevat voorschriften over de interoperabiliteit van EPD’s. Fabrikanten zullen in de toekomst alleen nog producten mogen aanbieden op de Europese markt als deze aan bepaalde openheidseisen voldoen, waaronder het kunnen ontsluiten van gegevens via een gestandaardiseerde set API’s. Zie ook dit artikel.

Daarnaast verplicht de Data Act ² aanbieders van digitale diensten – waaronder ook medische apparatuur en cloudservices – om data-uitwisseling mogelijk te maken en vendor lock-in tegen te gaan. Daarmee biedt de Europese wetgever een duidelijke richting: data moet beschikbaar zijn voor wie er recht op heeft, via duidelijke, toegankelijke en controleerbare technische standaarden.

Voor Nederland betekent dit dat nationale regelgeving die aansluit bij deze Europese lijnen niet alleen wenselijk maar ook noodzakelijk is om voorbereid te zijn op de komst van deze verordeningen.

Buitenlandse voorbeelden: België en de Verenigde Staten

Internationale voorbeelden bieden inspiratie én concrete lessen. In België is gekozen voor een wettelijke verankering van een nationaal eHealth-platform, waarin alle zorgpartijen en ICT-leveranciers participeren. Dit platform levert generieke voorzieningen voor identificatie, autorisatie, logging en messaging, en fungeert als neutrale infrastructuur voor gegevensuitwisseling. Softwareleveranciers moeten hun systemen laten aansluiten op dit platform en voldoen aan afgesproken standaarden.

De Belgische aanpak laat zien dat structurele interoperabiliteit kan worden gerealiseerd via wettelijke verankering van platformdiensten, mits er heldere governance en mandaten zijn. Daarbij worden centrale en decentrale elementen gecombineerd: zorgdata blijft decentraal opgeslagen, maar wordt via gedeelde koppelvlakken toegankelijk gemaakt voor andere zorgaanbieders of toepassingen. Zie ook alhier.

In de Verenigde Staten is de afgelopen jaren gewerkt met een andere aanpak. Onder de 21st Century Cures Act zijn leveranciers van EPD-systemen verplicht tot het aanbieden van open API’s op basis van de FHIR-standaard. Patiënten kunnen hun gegevens via apps van derden raadplegen, en zorgaanbieders mogen toegang tot gegevens niet onnodig beperken (information blocking is verboden).

De Amerikaanse casus laat zien dat een wettelijk verplichte open API-standardisation – mits gecombineerd met toezicht en duidelijke sancties – kan leiden tot een bredere beschikbaarheid van zorgdata en een bloeiend ecosysteem van apps en innovaties.

Technische uitvoerbaarheid en juridische borging

Een verplichting tot openheid is technisch haalbaar, mits deze stapsgewijs wordt ingevoerd en wordt ondersteund met richtlijnen en tooling. Veel systemen beschikken al over interne API’s. De stap naar externe openstelling met de juiste documentatie en beveiliging is in veel gevallen vooral een kwestie van prioriteit en governance.

De nationale API-strategie biedt een bruikbaar kader. Door in een eerste fase eisen te stellen op het niveau van transparantie en documentatie (trede 1), ontstaat snel meer zichtbaarheid en controle over welke systemen welke functionaliteiten bieden. Vanuit daar kan gericht worden gewerkt aan harmonisatie, standaardisatie en – waar nodig – certificering.

Wat betreft handhaafbaarheid is het van belang dat eisen toetsbaar zijn, dat toezicht wordt ingericht (bijvoorbeeld via Nictiz of een gespecialiseerde autoriteit), en dat er consequenties zijn bij niet-naleving. Certificering, dashboarding en publieke transparantie kunnen daaraan bijdragen. Het Nationale Test- en Validatiecentrum-in-wording kan hierbij een rol spelen

Beschouwing

De kern van het vraagstuk is niet langer alleen technisch of juridisch, maar ook bestuurlijk en strategisch. De instrumenten zijn aanwezig: er is een wettelijke grondslag, een uitgewerkte API-strategie, Europese steun en voorbeelden uit andere landen. De ACM heeft terecht gewezen op de urgentie: zolang de systemen gesloten blijven, blijven ook kansen op innovatie, betere samenwerking en vermindering van administratieve lasten onbenut.

Dat betekent dat het nu inderdaad aan het ministerie van VWS is om duidelijk richting te geven. Dat kan door een gefaseerde AMvB uit te vaardigen waarin eerst een plicht tot open documentatie en herbruikbare API’s wordt opgelegd, met een ontwikkelpad richting bredere openheid en standaardisatie. Tegelijkertijd is samenwerking nodig met zorgaanbieders, leveranciers en toezichthouders om dit traject uitvoerbaar en werkbaar te maken.

Conclusie

Een wettelijke plicht tot openheid is een noodzakelijke voorwaarde om de zorg-ICT te moderniseren en klaar te maken voor netwerkzorg, regie door patiënt en een digitale infrastructuur die aansluit bij de ambities van de EHDS en de Data Act. Het is tijd om de mogelijkheden die al in de wet bestaan ook daadwerkelijk te benutten.

Zoektermen voor internet

Jan Christiaan Huijsman, digitalisering, API’s, Wegiz, nationale API-strategie, ACM, VWS, interoperabiliteit

¹Application Programming Interface, is een reeks definities waarmee een computerprogramma kan communiceren met een ander computerprogramma of -onderdeel. Het is een standaardkoppeling tussen verschillende software en zorgt ervoor dat deze met elkaar kunnen communiceren en data kunnen uitwisselen. Denk aan een API als een soort “tussenpersoon” die softwareprogramma’s met elkaar verbindt, zoals een telefoonlijn tussen twee telefoons. (Wikipedia).

² De dataverordening is een wet die tot doel heeft de data-economie van de EU te verbeteren en een concurrerende datamarkt te bevorderen door gegevens (met name industriële gegevens) toegankelijker en bruikbaarder te maken, datagestuurde innovatie aan te moedigen en de beschikbaarheid van gegevens te vergroten (Europese Commissie)