Bizar conflict LUMC-Chipsoft toont wurggreep door zorg-ICT-leverancier

wurggreep

Op de website van het online magazine Zorgvisie stond op 25 september 2018 een opmerkelijk artikel: “LUMC beklaagt zich bij Inspectie over Chipsoft” . Daarin vertelt de bestuursvoorzitter, Willy Spaan, van het Leids Universitair Medisch Centrum(LUMC) over de klacht die door het bestuur ingediend is bij de Inspectie Gezondheidszorg en Jeugd(IGJ). Die gaat over een in de ogen van het LUMC onveilige update van het ziekenhuisinformatiesysteem(ZIS) van Chipsoft. Volgens het LUMC maakt Chipsoft gebruik van een dominante marktpositie om een update af te dwingen. Die leidt in de ogen van de veiligheidsexperts en specialisten van het LUMC tot onveilige zorg. Het bestuur vindt dit onacceptabel. Het LUMC stelt dat het ministerie van VWS en de IGJ hun verantwoordelijkheid moeten nemen. De discussie met de IGJ loopt nog steeds en heeft blijkbaar nog geen definitieve stellingname van de IGJ opgeleverd. Het is een probleem dat eigenlijk alle ziekenhuizen met Chipsoft als ZIS raakt. Uit het artikel blijkt dat andere ziekenhuizen schoorvoetend overstag zijn gegaan, maar dat het LUMC de poot stijf hield. Wel ging het LUMC onder tijdsdruk akkoord met een aangepaste update. Dit roept toch wel veel vragen op over de veiligheid van zorg-ICT-systemen, in het bijzonder die in ziekenhuizen en de druk die een leverancier blijkbaar kan uitoefenen.

Probleem

Blijkens het Zorgvisie-artikel dateert het conflict vanaf 2017. Chipsoft heeft laten weten thans in 2018 haar oude software van 2017 niet meer te ondersteunen. Ze kwam met de nu betwiste software- update. Het ZIS Chipsoft verzorgt niet alleen het vastleggen en in het ziekenhuis transporteren van data maar ook de koppeling van medische onderzoeksystemen in het ziekenhuis aan het ZIS. Daarbij doel ik op laboratoriumcomputers, computers die gekoppeld zijn aan beeldvormende appratuur, zoals MRI-, CT-scan etc. Die hebben vaak ook hun eigen besturingssysteem en dienen ook de laatste updates daarvan te hebben, die dan ook dienen samen te werken met het ziekenhuis-brede ZIS. Mogelijk zit in die koppeling de grootste bottleneck.

Geen bewerkersovereenkomst

Waarschijnlijkheid speelt daarnaast ook een rol dat CHIPSOFT als leverancier weigert bewerkersovereenkomsten te tekenen. Dat is in januari 2018 al door Mark van Houdenhoven CEO van de Maartenskliniek  in Nijmegen aangekaart in het magazine Medisch Contact. Ook die deed een oproep aan het ministerie van VWS om in te grijpen. Chipsoft weigert namelijk een bewerkersovereenkomst te tekenen. Voor bedrijven die programma’s leveren waarin data worden verwerkt geldt een namelijk een bewerkersovereenkomst waarin is vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. Dataverwerkers zijn bijvoorbeeld websitebouwers, ontwikkelaars van laboratoriumsystemen, leveranciers van personeelsadministratiesystemen, maar ook leveranciers van elektronische patiënten dossiers zoals Chipsoft. Dit is dan wel geen softwareupdate-probleem, maar is geen goede zaak in de relatie klant-leverancier.

Wurggreep

Het probleem maakt duidelijk dat in een markt waar eigenlijk maar twee grote ZIS-sen actief zijn, Chipsoft en EPIC, er naast een “vendor lockin”(onmogelijkheid om makkelijk van andere leverancier te wisselen) ook zonder plan om van ZIS te veranderen een enorme afhankelijkheid van de leverancier bestaat. Uit eigen ervaring als lid van de raad van advies van een gebruikersvereniging van een huisartsinformatiesysteem(HIS) weet ik dat een leverancier soms een heel ander ontwikkelingspad voor ogen heeft dan de gebruikers(vereniging).

Onveilige ZIS-sen

Zoals in de eerste alinea al gezegd zijn andere ziekenhuizen dan het LUMC met tegenzin akkoord gegaan met een update die veiligheidsexperts en specialisten binnen het LUMC vinden leiden tot onveilige zorg. De LUMC-bestuursvoorzitter Willy Spaan, zegt ook dat de andere ziekenhuizen het met het LUMC eens waren. Blijkbaar is de schaalgrootte van het LUMC de enige machtsfactor geweest die het mogelijk heeft gemaakt een tussen-release van de software af te dwingen. Op zich is dat al triest. Heel triest is het om te constateren dat er nu blijkbaar tientallen ziekenhuizen met onveilige CHIPSOFT-software werken, omdat zij hetzij per ziekenhuis, hetzij collectief juridisch gezien geen brede borst hebben kunnen of willen maken richting CHIPSOFT. Het kan en mag nooit zo zijn dat de onmogelijkheid van klanten om een vuist te maken richting hun leverancier leidt tot onveilige zorg.

ACM?

Het bestuur van het LUMC heeft zich nu gewend tot de IGJ en daarmee ook tot het ministerie van VWS waaronder de IGJ ressorteert. Het is daarnaast de vraag of de beschreven problematiek ook niet het gevolg is van een te machtige marktpositie van de twee ZIS-sen, Chipsoft en EPIC. Daarmee komen we dan automatisch uit bij een eventuele mede-beoordeling van deze kwestie door de Autoriteit Consument en Markt(ACM). Het is te hopen dat de IGJ uit praktische overwegingen de ACM ingelicht heeft over het onderzoek dat het LUMC-bestuur de IGJ vroeg te doen.

Bizar

Het hierboven beschreven probleem is eigenlijk een tamelijk bizarre situatie. Ik mag aannemen dat CHIPSOFT geen onveilige software wil leveren en dat het LUMC op zich geen enkel belang erbij heeft om iets nodeloos op de spits te drijven. Het is dan ook tamelijk bizar dat betrokkenen niet tot een onderling vergelijk konden komen en de situatie geëscaleerd is tot wat er nu speelt.

Triest is het om te constateren dat blijkbaar alleen een grote omvang van een organisatie die ook één van de grootste spelers binnen de universitaire medische wereld is, een bepalende machtsfactor is om in ieder geval een tussen-release van software te bewerkstelligen.

Helemaal triest is dat kleinere ziekenhuizen door akkoord te gaan met de 2018 release van de Chipsoft-software nu opgescheept zitten met software die binnen het LUMC als onveilig wordt beschouwd.

W.J. Jongejan, 27 september 2018

Aanvulling 4 oktober 2018: Op Twitter doet Marc van der Gracht‏ @MarcGr8  de volgende suggestie over de aard van het probleem:  Het artikel lijkt te suggereren dat zorgaanbieders met wel geüpdatete EPD een veiligheidsrisico zouden lopen. Ik denk dat dit risico enkel is voor de oude EZIS-dossiers die niet meer op veiligheid gemonitord worden, net als destijds met systemen die nog op Windows XP draaiden.




Een betrouwbare basisvoorziening is het LSP absoluut niet

onbetrouwbaar LSP

Na een publicatie van de NOS op 16 september 2018 over het niet naadloos op elkaar aangesloten zijn van elektronische uitwisselsystemen voor medische gegevens was VZVZ er op 18 september als de kippen bij om te stellen dat het LSP voorziet in een basisbehoefte op dat gebied. Ik schreef er zeer recent over.  De Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) is verantwoordelijk voor en beheert het Landelijk SchakelPunt(LSP). Zoals zo vaak in het verleden doet  VZVZ hier aan grootspraak, want er zitten behoorlijke beperkingen in het gebruik van het LSP. Daardoor is het niet altijd duidelijk is of de opgevraagde gegevens wel betrouwbaar genoeg en volledig zijn. In het recente verleden betoogde ik meermalen op deze website dat het LSP slechts een beperkte functionaliteit heeft en dat hetgeen wat getoond wordt bij opvraag van gegevens niet volledig en betrouwbaar genoeg is om volledig op te varen. Zo wil nog steeds slechts één derde van de Nederlanders de gegevens die opgeslagen zijn bij de huisarts via het LSP doen delen. Twee derde van de Nederlanders wil de data van de apotheek, de medicatie data wel delen via het LSP, maar die zijn ook niet volledig .

LMP

Het aardige in het persbericht en in de melding op de website van VZVZ is dat zij in hun boodschap het ook grotendeels hebben over de medicatieoverdracht. Dat is iets wat ik al in 2016 constateerde. Door het gebrek aan transport van huisartsendata is het LSP dan ook niet veel meer dan wat ik gekscherend in 2016 een Landelijk MedicatiePunt(LMP) noemde. Via het LSP kunnen aangesloten zorgaanbieders indien er een behandelrelatie is die medicatiedata opvragen, maar de betrouwbaarheid en volledigheid is beperkt.

Flinke beperkingen

De medicatieoverzichten opgevraagd via het LSP zijn in eerste instantie onbetrouwbaar, omdat nooit zeker is of de patiënt de opt-in-toestemming wel verleend heeft bij alle apotheken waar die de medicatie betrekt. Je weet wat je krijgt, maar niet wat je mist. Daarnaast geeft het verkregen overzicht alleen de medicatieverstrekkingen weer en niet per se alle medicatievoorschriften. Patiënten kunnen de apotheek namelijk altijd vragen bepaalde medicatie niet af te leveren.  Dat kan om financiële maar ook persoonlijke, principiële redenen zijn, die men niet tegen de voorschrijver zegt.  Daarnaast is het zo dat stopberichten(bericht van de huisarts dat een medicijn gestopt wordt) en wijzigingen in de dosering niet doorkomen via het LSP. Ook noteert de apotheek zelfmedicatie, die bij de patiënt bij de apotheek betrekt, niet altijd in het medicatiedossier van de patiënt.  Aangezien onder de zelfmedicatie ook medicatie zit die in hogere dosering alleen op doktersvoorschrift verkregen kan worden is dit een duidelijk manco.

Waarneming/weekend-/avonddiensten

Hoewel het LSP constant gepropageerd is voor gebruik tijdens waarneming en (weekend-/avond-) diensten blijkt het zo te zijn dat recepten die in deze vervanging van de eigen huisarts voorgeschreven worden NIET uitgewisseld kunnen worden via het LSP. Dat is een zeer grote beperking van de volledigheid van het systeem. Qua medicatieoverzichten is het verkeer tussen ziekenhuizen enerzijds en apotheek-/huisarts-infomatie-systemen ook nog steeds één richting op. In ziekenhuizen kan, als het ziekenhuissysteem überhaupt aan te sluiten is op het LSP, alleen een medicatieoverzicht van buiten opgevraagd worden. Omgekeerd kan dat vooralsnog helemaal niet.

ICA

Bij het voorschrijven van medicatie is het altijd van belang om informatie te hebben over interacties(strijdige werking van geneesmiddelen onderling), contra-indicaties(redenen waarom bepaalde medicatie niet geslikt moet/kan worden) en allergieën. Afgekort met de voorletters van deze drie redenen heten dat de ICA’s.

Nu zijn er echter flinke problemen met die ICA’s bij LSP-gebruik:

  • Op zorgverlener niveau is het mogelijk dat de patiënt kan weigeren om ICA-informatie beschikbaar te stellen. Dat kan door het afschermen van die regels voor bevraging op verzoek van de patiënt in het zorgverlenersysteem.
  • Alleen als voor de systemen waar eventueel ICA’s genoteerd staan een opt-in-toestemming gegeven wordt zijn deze zichtbaar bij bevraging.
  • In ziekenhuizen is het niet altijd mogelijk de ICA’s zichtbaar te maken/ op te vragen.

HIS-sen

Uit het veld vernam ik ook signalen van diverse kanten dat het bepaalde huisartsinformatiesystemen en apotheeksystemen onderling niet lukt om medicatie van elkaar te bevragen via het LSP. Die onzekerheid maakt dat er weer een factor extra is die veroorzaakt dat de medicatieoverzichten die een zorgaanbieder via het LSP opvraagt niet volledig en dus niet betrouwbaar zijn.

Voorstanders zullen zeggen dat iets beter is dan niets, maar omdat men er niet op kan varen zal het ouderwetse vragen aan de patiënt wat die slikt nog steeds doorgang moeten vinden. Tel uit je winst dus.

Het honderden miljoenen euro’s verslindende LSP  is dus zeker niet die betrouwbare basisvoorziening die VZVZ voorstelt.

W.J. Jongejan, 25 september 2018.

 

 

 

 

 

 

 

 

 

 

 

 




VBHC-evangelie gepredikt op een door zorgverzekeraars gekochte leerstoel

preekstoel

NRC-Handelsblad plaatste op 5 september 2018 een bijdrage van prof. dr. Edwin de Beurs in haar Opinie-katern.  De kop van het stuk was: “Succes bij depressie is wel meetbaar”. Hij is hoogleraar Routine Outcome Monitoring(ROM) en benchmarken, aan de Universiteit Leiden. Hij schreef het artikel vanwege de ophef die ontstaan is doordat zorgverzekeraar Menzis een vorm van prestatiebekostiging wil invoeren bij de behandeling van depressie en angststoornissen.  De Stichting Benchmark GGZ(SBG) betaalt de 0,4 fte leerstoel, die de Beurs sinds eind 2015 in Leiden bezet, zo meldt NRC. Weinigen realiseren zich dat SBG volledig gefinancierd wordt door de zorgverzekeraars, verenigd in Zorgverzekeraars Nederland. Het gaat met deze leerstoel om het onderzoeken en propageren van een thans duidelijk omstreden methodiek van “kwaliteitsbeoordeling”, die ROM-data gebruikt voor benchmarking en zorginkoop. Sinds het in de mode raken van de Value Based Health Care(VBHC), een managementfilosofie gebaseerd op het gedachtengoed van de Amerikaan Michael Porter maken, is deze filosofie ook bij SBG en haar leerstoel in Leiden duidelijk in beeld. Deze VBHC leunt volledig op het met data uit de zorg meten van resultaten om daarmee  bereikte “waarde” te kwantificeren.

Ontstaan leerstoel

Volgens informatie op de website van SBG is in 2015 besloten om een parttime leerstoel aan de universiteit Leiden te sponsoren. Met als één van de hoofddoelen onderzoek naar het effect van benutting van ROM en Benchmarkgegevens (procesonderzoek). Bij het aangaan van die verplichting door SBG of beter gezegd de zorgverzekeraars ging men er vanuit dat verzamelen en verwerken van ROM-data een onomstreden zaak was. In het structuurrapport bij de leerstoel staat: “Gezien de vlucht die ROM nu maakt in de GGZ zal er al op korte termijn behoefte ontstaan aan psychologen die kennis hebben van ROM-methodiek, meetinstrumenten en geaggregeerde therapie-uitkomst gegevens (benchmarken).”.

Niet onomstreden

Hoewel acht hoogleraren psychiatrie al in 2012 al op niet mis te verstane wijze kenbaar maakten dat benchmarken op basis van ROM-data in Nederland, zoals voorgesteld door SBG en zorgverzekeraars, noch wetenschappelijke noch medisch-ethische toetsing kan doorstaan, nam SBG het verzamelen en verwerken van ROM-data SBG krachtig te hand genomen. In 2017 kreeg de tegenstand tegen het gebruik van ROM-data voor benchmarking en zorginkoop een forse boost toen de Algemene Rekenkamer het gebruik van ROM-data voor de financiering van de GGZ in het huidige, maar ook beoogde nieuwe stelsel ongeschikt achtte als basis.

Hele keten in bezit

Met de leerstoel in Leiden hebben de zorgverzekeraars de hele keten om ROM als vermeend instrument om kwaliteit in de GGZ te meten in handen. In de contracten van de zorgverzekeraars met zorgaanbieders is het aanleveren van deze data verplicht en kunnen deze financieel gekort worden bij onvoldoende aanlevering. Dat de zorgverzekeraars vanwege de ROM-discussie en hangende een uitspraak van de Autoriteit Persoonsgegevens over de vraag of de aangeleverde ROM-data als bijzondere persoonsgegevens beschouwd dienen te worden uit coulance de zojuist genoemde contractuele dwang niet uitoefenen (Zie alinea Haarkloverij in de link), doet niets af aan de inhoud van de contracten.

Daarnaast stuurt Zorgverzekeraars Nederland met de volledige financiering van SBG de verwerking van de ROM-data en met de leerstoel krijgt de wetenschappelijke raad van SBG nog een extra kleurtje. Tenslotte propageren SBG en hoogleraar de Beurs VBHC, waarbij men met de ROM-data kwaliteit van zorg wil meten, kwantificeren en  aldus de gecreëerde waarde in kaart brengen. Overigens is Edwin de Beurs geen onbekende bij SBG omdat hij voor het betrekken van de SBG-leerstoel al jaren deel uitmaakte van de wetenschappelijke raad van SBG en na het betrekken van de leerstoel in Leiden nog steeds..

VBHC en hechte connecties

Waarde-gedreven zorg zoals men de VBHC thans noemt, houdt een flink aantal zorgaanbieders in de somatische zorg en de GGZ bezig. Het ene na het andere artikel of symposium er over ziet het licht.  Zorgbestuurders van diverse grote GGZ-instellingen voeren daar uitgebreid het woord. Zorgverzekeraars en werkgevers in de GGZ in de GGZ hebben wel zeker iets gemeenschappelijks. We moeten namelijk niet uit het oog verliezen dat SBG in 2011 door omzetting van een stichting( opgericht in 2010) in een B.V. ontstaan is (zie feiten 1 en 2 in deze link) waarbij de twee deelnemende partijen de brancheorganisatie van werkgevers in de GGZ, GGZ Nederland,  en de brancheorganisatie van de zorgverzekeraars(Zorgverzekeraars Nederland) waren.

Drijfzand

Het lijkt er nog steeds op dat diverse partijen in en rond de GGZ blijven doorbouwen aan een bouwwerk met gebruik van ROM-data, terwijl gaandeweg het steeds duidelijker wordt dat het fundament op drijfzand berust.

W.J. Jongejan, 21 september 2018

Wilt u meer artikelen lezen over de ROM-problematiek? Klik dan in de rechter kolom bij categorie op ROM of gebruik ROM als zoekterm in het zoekvenster rechtsboven.




NOS toont weerbarstigheid van elkaar breien van zorg-ICT-systemen

breien

De NOS publiceerde op 16 september 2018 een nieuwsitem met de kop “Verpleegkundigen zijn faxen en overtikken van patiëntgegevens zat”. De strekking van het artikel is dat door gebrekkige elektronische berichtgeving tussen zorg-ICT-systemen het vaak onnodig veel tijd en moeite kost om allerlei patiëntgegevens over te typen vanuit fax, post etc.  Daarbij gaat men er klakkeloos vanuit dat het relatief eenvoudig is om zorg-ICT-systemen aan elkaar te breien en met elkaar te laten communiceren. Helaas is die kritiek op de gebrekkige elektronische berichtgeving gebaseerd op jarenlange overdreven en voorbarige publiciteit vanuit het ministerie van VWS en haar aanhangers. Daardoor heeft zich bij de bevolking en bij werkers in het veld die niet op de hoogte zijn van de weerbarstigheid van de materie de mening postgevat dat alles wat men met zorgcommunicatie maar zou willen, ook uitvoerbaar is. Men moet echter bedenken, dat de beperkte mogelijkheden thans, niet zozeer te wijten zijn aan “triviale” kwesties als privacy, of aan onwil van groepen zorgaanbieders of leveranciers, maar aan  hardnekkige automatiseringsproblemen. Problemen die het gevolg zijn van het koppelen van zeer diverse systemen. De onwil-/privacy-ondertoon was helaas in het item van de NOS zeer duidelijk terug te vinden.

Verwachtingsmanagement VWS

Het ministerie van VWS heeft vanaf 2006 in de aanloop naar de eerste stappen van  elektronische data-uitwisseling in het kader van het Landelijk Elektronisch Patiënten Dossier(L-EPD) een niet aflatende stroom folders op A5-formaat naar medici en apothekers gezonden. De boodschap was onveranderlijk hoe goed de berichtenuitwisseling werkte / zou gaan werken. Ze werden meegestuurd met medische tijdschriften. Destijds was ik betrokken bij het lokaal en regionaal op poten zetten van het berichtenverkeer tussen een ziekenhuislaboratorium en huisartsen. Wetende wat er zoal kon en niet kon op dat gebied begreep ik totaal niet wat het ministerie aan het verkondigen was. Die boodschap  was niet gestoeld op resultaten maar op verwachtingen. Men was bezig met verwachtingsmanagement. Door de jaren heen zijn VWS en haar adepten er mee door blijven gaan. Zowel de burger als grote aantallen zorgaanbieders en hulppersoneel zijn gaan geloven dat het aan elkaar koppelen van zorg-ICT-systemen een relatief simpele zaak is en uitwisseling van patiëntdata dus ook.

Desillusie

Niets blijkt minder waar te zijn. Het aardige is dat in het bericht van de NOS weer verwezen wordt naar het gebruik van het Landelijk SchakelPunt)LSP) dat na het mislukken van het L-EPD-plan een private herstart kreeg onder regie van het ministerie van VWS. Het LSP is qua mogelijkheden en omvang van het berichtenverkeer een desillusie. Het kan bij lange na niet wat zorgverleners(verpleegkundigen, apotheker, cardioloog) wenselijk achten om het overtypen van data te voorkomen. In ziekenhuizen kan men op dit moment slechts medicatiegegevens opvragen die bij huisartsen en apothekers geregistreerd staan. Het is echter zo fout-gevoelig en traag dat men zich bezig houdt met “prefetching”. Dat is het voor de specialist een dag tevoren door de apotheker in bulk opvragen van die data via het LSP, ongeacht of die opvraag wel nodig is bij het polikliniekbezoek. De in het NOS-artikel gewenste snelle uitwisseling bestaat vooralsnog niet.

Privacy belemmering?

Zeer vaak en ook nu voert men aan dat privacy een belangrijk item is. Zo stond ook recent in het online-magazine Zorgvisie een stuk van de voorzitter van de Federatie van Medisch Specialisten(FMS),  Marcel Daniëls, met de kop dat privacy de artsen frustreert en de zorg onveilig maakt. Zij die wijzen op privacyaspecten van data-uitwisseling in de zorg zijn niet tegen data-uitwisseling op zich maar willen dat men zorgvuldig omgaat  met gevoelige persoonsgegevens. Medische  data zijn dat nu eenmaal. Het uitwisselen van die gevoelige data vereist een legitieme toestemming van de patiënt. Zorgverleners dienen er niet van uit te gaan dat het vragen van die toestemming een hinderpaal is.

Problemen

Een kind kan bedenken dat als men ICT-systemen van verschillende zorgaanbieders en dan ook nog van verschillende typen zorgaanbieders aan elkaar gaat knopen daar hele grote problemen spelen. Met het aanleggen van een infrastructuur om data uit te wisselen en het uitwisselformaat te standaardiseren ben je er niet. Binnen één type zorgverlener zijn namelijk verschillende systemen in gebruik die allemaal hetzelfde doen, maar op een andere manier. Een aardig voorbeeld daarvan is de huisartsgeneeskunde. Daar zijn al jaren acht Huisarts Informatie Systemen(HIS-sen) actief die allemaal hetzelfde op een andere manier doen. Het gevolg daarvan is helaas onder andere dat al lange tijd het niet vlekkeloos lukt om medische dossiers bij een verandering van huisarts in een ander HIS in te laden.

Laat de markt zijn werk doen??!!

Diverse bestuurders van HIS-gebruikersverenigingen en van de Landelijke Huisartsen Vereniging(LHV) zagen al jaren terug dat het gebrek aan uniformiteit een belemmering was voor een adequate berichtenuitwisseling. Aan drie opeenvolgende ministers van VWS is door deze bestuurders  de vraag gesteld aan VWS om het komen tot één HIS, gekscherend een keer “het Oranje HIS” genoemd, te faciliteren. Dat is door die drie bewindslieden elke keer afgedaan met de opmerking:  “Laat de markt zijn werk doen”. De HIS-markt is echter geen echte  markt. Na al die jaren zijn er nog steeds  hetzelfde aantal HIS-sen. Hetzelfde verhaal is op te hangen over ziekenhuis- en apotheeksystemen.

Down to earth

Het eerste dat zal moeten gebeuren is dat de ballon van de overdreven verwachtingen van de mogelijkheden van zorgcommunicatie een keer doorgeprikt wordt. De NOS deed dat al deels voor ons, maar daar hangt toch de sfeer omheen dat partijen binnen de zorg er belang bij hebben om zaken te traineren. Het is niet dienstig om continu hard te roepen dat van alles mogelijk is terwijl het tegendeel het geval is.

W.J. Jongejan, 18 september 2018

 

 

 

 

 




Kabinet presenteert wetsontwerpen die strijdig zijn met Grondwet

grondwetIn de zomer van 2018 heeft het kabinet een tweetal wetsontwerpen gelanceerd die strijdig zijn met de grondwettelijke rechten. Het gaat om de Wet Gegevensverwerking door Samenwerkingsverbanden(WGS)  en  de Wet bevorderen samenwerking en rechtmatige zorg(Wbsrz). Deze wetsontwerpen grijpen evenals de in  2014 door de overheid ingevoerde Systeem Risico Indexatie(Syri) door een wijziging van de wet SUWI(Wet structuur uitvoeringsorganisatie werk en inkomen) diep in het bestaan van de burger in.  Als grote gemene deler hebben de drie genoemde wetten gemeen dat zij zeer ver doordringen in de persoonlijke levenssfeer van burgers door het opzetten van, het onderling vergelijken en bewerken van databases met behulp van big-data-analyse-technieken. Dat alles met het doel om tot profilering over te gaan. De wetten hebben ook gemeen dat er geen notificatieplicht  in opgenomen is om geïncludeerde burgers in kennis te stellen van het delen van bronbestanden, de verwerking van hun gegevens en opname in enig profileringsbestand. Ook  ontbreekt een afdoend correctierecht van de burger. Het gaat in dezen om digitale burgerrechten die de overheid schendt. Daarmee zet het kabinet de verhouding staat-burger op scherp. 

 Grondwet

Wat zegt de Grondwet over de persoonlijke levenssfeer en de regels over het kennisnemen van het vastleggen van gegevens van de burger? Artikel 10 lid1 schept een algemeen kader. Lid 2 gaat over de regels die bij de drie genoemde wetten duidelijk insufficiënt zijn, terwijl lid 3 van toepassing is op notificatie en correctie.Met genoemde wetten wordt de Grondwet geweld aangedaan.

 Artikel 10

  1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
  2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
  3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

 Grote zorgen

Bij de WGS is een punt van grote zorg dat er niet alleen uitwisseling plaats zou gaan vinden tussen overheidsorganen maar ook tussen overheidsorganen en private partijen. Daarbij laat men de specifieke doelbinding bij de dataverzameling van deelnemende overheidsorganen volkomen los en vervangt die door iets als een “zwaarwegend algemeen belang”.  Ook een beroep op artikel 6 lid 3 van de Algemene Verordening Gegevensbescherming om de dataverzameling, verwerking, profilering mogelijk te maken als zijnde noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, is uiterst dubieus.  De samenwerking tussen de overheid en private partijen wil men volledig vorm geven bij Algemene Maatregel van Bestuur(AMvB). De AMvB’s vormen geen afdoende wettelijke grondslag voor het doorbreken van de burgerrechten.  Het is echter zeer de vraag of dit staatrechtelijk wel mag. Het wetsontwerp praat verder over een Privacy Impact Assessment(PIA), maar pas in het stadium van de afzonderlijke AMvB’s. Dat moet echter juist op het niveau van de kaderwet zelve gebeuren en niet in een later stadium.

 Waarschuwingen

Zeer recent waarschuwde de Raad van State het kabinet, ongevraagd,  op niet mis te verstane wijze over de wijze waarop de overheid zicht gedraagt ten opzichte van de burger op het digitale vlak. Daarbij wijst ze meer dan eens op de gevaren van big-data-analyse met gebruik van niet-transparante algoritmen en de gevolgen daarvan voor de burger. Daarnaast publiceerde het Montaigne Centrum voor Rechtsstaat en Rechtspleging van de Universiteit Utrecht een lijvig rapport van 172 pagina’s, genaamd “Algoritmes en Grondrechten”. Het waarschuwt op indringende wijze voor het gebruik van big-data(analysen) met gebruik van algoritmen, het Internet of Things en kunstmatige intelligentie.  Het rapport is geschreven in opdracht van het ministerie van Binnenlandse zaken en Koninkrijksrelaties en er mede door gefinancierd. Desondanks is het bij lezing duidelijk dat de schrijvers de overheid niet sparen. Zonder medefinanciering door het ministerie was de toonzetting zeer waarschijnlijk nog scherper geweest.

Grote rechtsgevolgen

Vooral met de WGS zijn een fors  aantal rechten in het gedrangte weten:  privacy-, gelijkheids-, vrijheids-, procedurele en grondrechten.  Die worden in het onderzoeksrapport in de conclusie afzonderlijk benoemd en inhoudelijk besproken. In het rapport wordt het hierboven genoemde artikel 10 van de Grondwet uitgebreid besproken vanaf pagina 60.

Van meerdere kanten heeft het kabinet nu gevraagd en ongevraagd een negatief oordeel gekregen over de genoemde wetten die gebaseerd zijn op big-data-analyse en profiling. Het is te verwachten dat ook van maatschappelijke organisaties binnenkort het nodige te horen zal zijn over dit onderwerp.

W.J. Jongejan, 14 september 2018

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 




Elkerliek ziekenhuis heeft geen kaas gegeten van opt-in-toestemmingen vragen

kaas eten

Het Elkerliek-ziekenhuis, gevestigd in Deurne, Gemert en Helmond, maakt een potje op haar website van het vragen van toestemming aan patiënten om medische informatie elektronisch te doen delen. In eerste instantie licht men de patiënten voor dat er met toestemming data uitgewisseld kunnen worden, maar niet dat het over twee verschillende systemen gaat. Via een elektronische folder, aanklikbaar op die website, blijkt dan dat er sprake is van uitwisseling via het LSP en een XDS-structuur. LSP staat voor het Landelijk SchakelPunt en XDS staat voor Cross-Platform Document Sharing). Op een webpagina met veel gestelde vragen gaat men nog een keer in op het toestemming vragen. En daar wordt het er niet duidelijker op.  Complicerend daarbij is ook dat de reikwijdte van  het LSP en XDS ook sterk verschillen.

Uitwisselingssystemen

De uitwisseling via het LSP en via het XDS-systeem zijn twee verschillende zaken, waarvoor apart toestemming moet worden gevraagd. De patiënt dient dan duidelijk te weten waarvoor expliciet toestemming wordt gevraagd en dat kan nooit in één vraag die resulteert in twee vinkjes voor verschillende systemen. De uitleg op de website van het Elkerliekziekenhuis is erg onduidelijk. Deze website suggereert namelijk één toestemming voor beide systemen en is zeer onduidelijk wat met welke toestemming mag worden opgevraagd.  Overigens zijn er aanvechtbare pogingen landelijk om te proberen meerdere toestemmingen in één centraal systeem vast te doen leggen. Gespecificeerde ToestemmingsStructuur(GTS) is een door Nictiz gestart project om de geregistreerde toestemming te laten verwerken en forceren in de systemen die elektronisch gegevens uitwisselen.

Ziekenhuis

Als men in het ziekenhuis, bij een duidelijk vraag dat het om het LSP gaat, toestemming geeft voor het delen van informatie,  dan zal dat gaan om behandelinformatie,  medische beelden, medicijnen en allergieën, lab gegevens en brieven plus verslagen. Aangezien de ziekenhuis-ICT-systemen en het LSP nog niet zover zijn dat al die informatie via het LSP gedeeld kan worden staat er op de website tot vier keer toe een sterretje achter die info-mogelijkheden. Het LSP maakt thans  alleen bevraging van medicatiegegevens mogelijk.  Men vraagt dus al toestemming voor iets wat nu technisch nog steeds niet kan en voorlopig nog niet geïmplementeerd kan worden.

“Welke gegevens kunnen zorgverleners inzien?
Afhankelijk van waar u toestemming voor geeft, kunnen de volgende gegevens worden ingezien:

medische beelden zoals röntgenfoto’s, MRI-scans en bijbehorende verslagen;

medicijnen en allergieën die bij het Elkerliek bekend zijn;*

metingen en uitslagen van laboratoriumonderzoek (labgegevens);*

uw huidige gezondheidsproblemen;*

brieven en verslagen;*

* Deze gegevens kunnen nog niet of maar gedeeltelijk worden uitgewisseld. Er wordt hard gewerkt om dit in de toekomst mogelijk te maken. “

XDS

Voor het XDS-systeem zal men apart toestemming moeten vragen. Het gaat om uitwisseling van laboratoriumgegevens en medisch beeldmateriaal met een viertal ziekenhuizen. Dat zijn het Maxima Medisch Centrum, het Catharina ziekenhuis, het Sint Anna ziekenhuis en het Maastricht Universitair Medisch Centrum . Zeer onduidelijk is men over het  met XDS delen van medisch materiaal.  In de eerder genoemde folder spreekt men over lab-gegevens en medische beelden, terwijl elders op de website alleen gesproken wordt  over medische beeld, zoals Röngenfoto’s, MRI etc.  Ook zegt men aan de ene kant  dat er bij het ontbreken van toestemming andere zorgverleners de data niet kunnen  inzien,  uitgezonderd medische radiologische beelden.  Alinea: Wat gebeurt er als ik toestemming heb gegeven. Aan de andere kant staat er in de alinea “Welke gegevens kunnen zorgverleners inzien” op dezelfde webpagina dat er met toestemming medische beelden kunnen worden ingezien. Hetgeen inhoudt dat bij niet verleende toestemming het beeldmateriaal niet kan worden ingezien. Zie daar een vreemde tegenstrijdigheid.

Toestemming per berichtensoort?

Er is nog iets aparts aan de hand omdat het Elkerliek-ziekenhuis de op-in-toestemming per berichtensoort vastlegt en niet per uitwisselsysteemsysteem. Dus vraagt men aan de patiënt separaat of er toestemming wordt gegeven voor medicatie, voor lab-gegevens, voor dossierregistraties, voor medische beelden en voor het zorgverlenersportaal. Dat is tamelijk vreemd te noemen, omdat zoals ik eerder betoogde er per uitwisselingssysteem toestemmingen dienen te worden vastgelegd. Dus één voor het LSP, één voor het zorgverlenersportaal. Bij de laatste doet de patiënt dat door zich te registreren bij het portaal, waarna hij met inlognaam en wachtwoord zelf inlogt en per sessie een sessiecode krijgt toegestuurd per SMS of email. Hier opereert het Elkerliek-ziekenhuis dus ook weer anders dan landelijk gebeurt.

W.J. Jongejan, 12 september 2018

 

 

 

 

 

 

 

 

 

 

 

 

 

 




Raad van State verkoopt digitale overheid ongevraagd forse dreun

forse dreun

Op 31 augustus 2018 kwam de Afdeling Advisering van de Raad van State(RvS) ongevraagd met dertig pagina’s groot advies aan het kabinet over de effecten van de digitalisering voor de rechtsstatelijke verhoudingen. Zo vaak geeft de RvS geen ongevraagde adviezen, want het laatste dateert uit 2015. Ze wijst in het advies op bestaande knelpunten bij digitale overheidscommunicatie en bij wetgeving en geeft zij een aantal adviezen om die te verbeteren. Zij doet dat op een beschaafde wijze, die echter niets aan de verbeelding overlaat. De knelpunten die beschreven worden betreffen vaak zeer burger-onvriendelijke situaties die door de overheid in een poging om in het digitale tijdperk bij te blijven nogal mank zijn ingevoerd. In de adviezen die de RvS geeft zij meteen een opsomming van wetsontwerpen op landelijk en Europees die thans onder handen zijn, waar de adviezen al in ten uitvoer zouden moeten worden gebracht. Eén daarvan is het wetsontwerp Gegevensverwerking door Samenwerkingsverbanden, dat ik twee keer hier besprak. Voor degenen die geen trek hebben om het hele rapport te lezen is er ook een persbericht van de RvS. De NRC berichtte er op 6 september over.

Constateringen

De RvS ziet dat de overheid zich probeert in te stellen op een wereld met digitale communicatie en gegevensverwerking( de iSamenleving) en daarbij de ambitie heeft een iOverheid worden. Meteen constateert de RvS dat vooral het gemak voor de overheid en niet voor de burger voorop staat. Bij de implicaties voor de verhouding overheid en burger wordt onvoldoende stil gestaan. De RvS vreest dan ook dat de burger opgezadeld dreigt te worden met de risico’s , het ongemak en de nadelen van het gebruik van nieuwe technieken.

Omgekeerde bewijslast

De burger dreigt ook geconfronteerd te worden met besluiten die genomen zijn op basis van gegevens die van verschillende bestuursorganen( bijv. bij samenwerkingsverbanden daarvan). Het valt dan niet meer na te gaan of de besluiten op basis van de correcte gegevens genomen zijn. Algoritmen, gebruikt bij big-data-analyse, doen niets anders dan statistische verbanden zoeken, Het statistische verband of correlatie wijst op een verhoogde waarschijnlijkheid dat er een verband is. maar daarmee staat niet vast dat er een verband is en hoe het verband eruit ziet. Een verband wil ook geenszins zeggen dat er een causale relatie is. Het is evident dat er sprake kan zijn van flinke “collateral damage”, waarbij de burger  de  eigen “onschuld”  geacht wordt te bewijzen.  De Wetenschappelijke Raad voor het Regeringsbeleid wijst daarbij op het verdwijnen van de onschuldpresumptie.

Adviezen

De Rvs geeft de overheid drie adviezen die inhoudelijk op niet mis te verstane wijze aangeven dat de digitale overheid ernstig te kort schiet in de relatie met haar burgers. Dat de overheid onbehoorlijk handelt.

  1. Ze adviseert de beginselen van behoorlijk bestuur, in het bijzonder het motiverings- en het zorgvuldigheidsbeginsel verscherpt te interpreteren in de context van digitalisering. Ze zegt daarmee dat de overheid thans onbehoorlijk handelt. Dat betekent onder meer dat in een besluit moet worden toegelicht welke beslisregels(algoritmen) zijn gebruikt en welke gegevens zijn overgenomen van andere bestuursorganen. Dit is een onverholen waarschuwing aan de overheid bij het wetsontwerp Gegevensverwerking door Samenwerkingsverbanden.
  2. Ze adviseert een nieuw beginsel van behoorlijk bestuur nader te ontwikkelen en te operationaliseren: het recht op toegang tot een zinvol contact met de overheid .
  3. Ze adviseert in algemene zin terughoudend te zijn met zogenaamd techniekonafhankelijk wetgeven. Ze vraagt ook om ICT en uitvoering vanaf het begin onderdeel te laten zijn van wet- en regelgeving en daar het wetgevingsproces op in te richten.

Rechtsbescherming

De RvS licht in het rapport de besproken punten toe met voorbeelden waarbij het grandioos mis ging bij de iOverheid. Ze wijst dan ook op het grote belang van een effectieve rechtsbescherming van de burger. Daarbij geeft ze aan dat de Algemene wet bestuursrecht is opgehangen aan het individuele besluitbegrip. Daarmee werd oorspronkelijk bedoeld dat per individueel geval een afweging wordt gemaakt en aan de hand daarvan een besluit wordt genomen. Door de digitalisering en koppelingen tussen databases van diensten komt echter ruim de helft van de beschikkingen zo niet meer tot stand. Ze constateert ook dat de Algemene Verordening Gegevensbescherming(AVG) ook geen of weinig effectieve rechtsbescherming biedt aan de burger

Foutcorrectie

De RvS hecht ook bijzonder veel waarde aan een effectieve mogelijkheid dat fouten in de opgeslagen gegevens effectief kunnen worden gecorrigeerd op aanwijzing van de burger. Om te voorkomen dat zoals nu overheidsdiensten naar elkaar wijzen. De RvS geeft een duidelijk signaal aan de overheid dat die met de digitalisering een andere,  meer burger-vriendelijke en staatrechtelijk juistere koers moet varen.

Ze verkoopt met het rapport de iOverheid een forse dreun.

W.J. Jongejan, 10 september 2018

 




Onnavolgbaar contractueel gedraai VGZ rond ROM-aanlever-verplichting

contract

Op 3 september 2018 besprak ik op deze website de contractuele verplichting in het contract van zorgverzekeraar VGZ voor vrijgevestigde zorgaanbieders in de GGZ om ROM-data aan te leveren. Mede naar aanleiding van deze berichtgeving kwam VGZ op 4 september met een persbericht  en een reactie op Twitter waarin het lijkt of  men een draai van 180 graden maakt. De formulering van dit bericht is zeer vreemd. Die verwijst naar een aanvullende bepaling in het contract die verwijst naar ‘vigerende wet- en regelgeving’, maar die niet meegestuurd is naar de zorgaanbieders. Het online magazine SKIPR maakt het daarna nog aparter door te stellen dat VGZ per ongeluk in de contracten voor vrijgevestigde ggz-aanbieders voor 2019 de verplichting opgenomen had om ROM-data van patiënten aan te leveren. Het lijkt er nu op dat VGZ niet het contract herziet, maar alleen een addendum met de verwijzing naar ‘vigerende en wet- en regelgeving’ alsnog via de website van VECOZO aan de desbetreffende zorgaanbieders ter beschikking gaat stellen.

Gedraai

In artikel 5 van het contract dat vrijgevestigde zorgaanbieders in de GGZ van VGZ aangeboden kregen staat klip en klaar(art. 5 lid 6) de verplichting ROM-data aan de Stichting Benchmark GGZ(SBG) aan te leveren. Na reuring door publiciteit over de verplichting in dit contract komt VGZ met genoemde draai in haar persbericht. Daarin zegt VGZ dat ze in afwachting van de landelijke discussie over ROM en privacy toch geen actief verzoek doen aan vrijgevestigde zorgaanbieders in de GGZ. Ze zegt geen consequenties te verbinden aan het niet-aanleveren zolang er geen landelijke afspraken overgemaakt zijn. De zorgaanbieder had hiernaar moeten raden want de clausule die niet meegestuurd was rept alleen over ‘vigerende wet- en regelgeving. Maar waar doelt VGZ hier eigenlijk op?

Autoriteit Persoonsgegevens

ROM-data dienen vooralsnog als bijzondere persoonsgegevens beschouwd te worden die ondanks pseudonimisatie toch als indirect herleidbaar dienen te worden beschouwd. Ondanks anderhalf jaar denkwerk na het stellen van ruim veertig vragen aan de ROM-data verwerkende instantie SBG heeft de Autoriteit Persoonsgegevens(AP) daar geen uitspraak over gedaan. Bij bijzondere persoonsgegevens is “informed consent” van de patiënt een vereiste, maar dat wordt door een aantal zorginstellingen niet nageleefd. GGZ Nederland heeft als werkgeversorganisatie in de GGZ met een aantal andere stakeholders  daar de juridische rammelende  en aanvechtbare constructie van de “veronderstelde toestemming” voor bedacht. Zolang de AP geen uitspraak heeft gedaan blijft er officieel onduidelijkheid.

Geïnstitutionaliseerde GGZ

Bij de zorgverleners die werkzaam zijn in de grote GGZ-instellingen ligt het probleem gecompliceerder. Daar heeft GGZ Nederland een Model Privacyreglement voor gemaakt waarin de bestuurders van zorginstellingen tot verwerkingsverantwoordelijke gemaakt worden die beslissen tot aanlevering en de zorgverlener buiten spel wordt gezet.

Slimmigheidje?

De verplichting in het contract zetten en toe te zeggen dat die verplichting hangende de landelijke discussie over ROM-data toch niet gehandhaafd wordt, lijkt op een “slimmigheidje” van VGZ. Zij kan als eind 2019 of later de AP een uitspraak doet over de indirecte herleidbaarheid van gepseudonimiseerde ROM-data en de verwerking door SBG alsnog met terugwerkende kracht tot begin 2019 die data opeisen bij de zorgaanbieder. Zolang de bepalingen van het contract niet zijn aangepast en VGZ op basis van een niet meegestuurde clausule nu een uitweg bedenkt is het aanleveren met terugwerkende kracht  mogelijk.

Downplaying

Het is aardig om de berichtgeving van en namens VGZ nauwkeurig te volgen. Op de website SKIPR heette op 5 september het artikel nog “VGZ verplicht zorgaanbieders per abuis om ROM-gegevens te leveren”(zie link in eerste alinea). Nu komt deze link uit op een licht aangepast artikel met als kop “VGZ maakt foutje in contract voor vrijgevestigde ggz-aanbieders”. Nu heet het in de eerste regels zo te zijn dat slechts in een klein deel van de naar zorgaanbieders gestuurde contracten de clausule die rept over ‘vigerende wet- en regelgeving’ ontbrak. Dat zorgaanbieders maar moesten raden wat VGZ daarmee bedoelde staat uiteraard niet vermeld.

Uiteindelijk denk ik dat VGZ gewoon geprobeerd heeft het hierboven beschreven contract te doen tekenen en niet ingecalculeerd heeft dat er wel eens uitgebreide reuring over kon gaan ontstaan.

W.J. Jongejan, 6 september 2018

 

 

 




Cumulatief nadeel voor groepen in maatschappij door beoogde big-data-wet(WGS)

boos gezicht

Op 31 augustus 2018 schreef ik op deze website een artikel over het wetsontwerp Gegevensuitwisseling door Samenwerkingsverbanden, kortweg WGS. Hiermee wil de overheid een juridische basis creëren voor het grootschalig uitwisselen van data betreffende burgers tussen overheidsinstituties en private partijen. Met de bedoeling deze uitgewisselde data met artificial intelligence(AI) te verwerken en zo (risico)profielen te maken. Door het grootschalig en eigenlijk ongericht gebruiken van deze computertechnologie zal de overheid een sterke toename veroorzaken van sociale stratificatie met een ongelijke verhouding tussen maatschappelijke groepen als gevolg. De Wetenschappelijke Raad voor het Regeringsbeleid(WRR) waarschuwde in april 2016 in de nota “Big data in een vrije en veilige samenleving” voor de grote nadelen en gevaren die verbonden zijn aan het gebruik van big-data-analyse in het publieke domein.

Argumenten

Terwijl de WRR in 2016  goed beargumenteerd waarschuwde zet de overheid thans vol in op big-data-analyse en profiling. Als beslissingen over (groepen van) burgers op basis daarvan genomen worden kan gemakkelijk een cumulatief nadeel (discriminatie en oneerlijke behandeling) ontstaan voor bepaalde groepen uit de maatschappij. Dat kan doordat op basis van de analyseresultaten burgers uitgesloten kunnen worden van voorzieningen of ontplooiingsmogelijkheden( bijv. onderwijs of baan) zonder dat de burger zicht heeft op het waarom ervan.

Oordeel WRR

De WRR doet in haar rapport een aantal uitspraken die volledig van toepassing zijn op de bevoegdheden die de overheid met de WGS wil verkrijgen. Ze zegt:

Big Data-analyses kunnen leiden tot een toename van sociale stratificatie door de bias te reproduceren en te versterken die in elke dataset zit. Zonder correctie vertaalt zich dit op termijn in discriminatie en oneerlijke behandeling van bepaalde groepen in de maatschappij (Zarsky 2016: 126-127).

In het uiterste geval resulteren Big Data-methoden in datadeterminisme. Daarbij worden individuen beoordeeld op basis van probabilistische kennis (correlaties en inferenties) over wat ze misschien zullen doen, in plaats van wat ze daadwerkelijk hebben gedaan. Het zou ook afbreuk doen aan de idee van de mens als een autonoom moreel wezen dat in staat is te veranderen en andere keuzes te maken dan die in het verleden “Eens een dief, altijd een dief” is geen onderdeel van ons rechtsstelsel.

WRR vervolgt

Big Data staat op gespannen voet met individuele privacy. Daarnaast kan Big Data ook privacy als een collectieve invulling van vrijheid aantasten. Het gaat dan niet om de individuele schade van personen – volgens het principe van individual harm dat in het huidige recht voorop staat – maar om schade aan het fundamentele recht zelf, door de veelheid van individuele privacyschendingen.

Big Data-oplossingen zijn gevoelig voor function creep, oftewel gebruik van data anders dan het doel waarvoor die data zijn verzameld. Function creep is in het domein van het veiligheidsbeleid een punt van zorg vanwege (a) verschillen in bevoegdheid omtrent gegevensverzameling en (b) de ingrijpende gevolgen die aan Big Data-analyses verbonden kunnen worden.

Big Data-analyses bewerken  niet alleen persoonsgegevens, ze genereren ook nieuwe.

Geheimzinnig

De burger mag van de data-uitwisseling en –analyse maar weinig weten. In artikel 7 van het wetsontwerp staat dat de deelnemers aan een samenwerkingsverband jegens derden( dus ook de burgers waarvan data zijn vastgelegd en uitgewisseld) verplicht zijn tot geheimhouding over de gegevens die zij in het samenwerkingsverband verwerken en over de resultaten van de verwerking. Er is ook geen notificatieplicht om de burger te melden dat zijn data in enig samenwerkingsverband gebruikt is dan wel dat er een risicomelding over hem gedaan in een op te zetten register van risicomeldingen. De burger kan slechts als hij/zij er zelf om vraagt binnen de WGS wel vragen of een register van risicomeldingen(op basis van profiling) zijn/haar naam bevat, maar niet wat voor risicomelding over hem gedaan is.

Chilling effect

De grootschalige verzameling, opslag en analyse van data door overheden, waaronder inlichtingen- en veiligheidsdiensten, kunnen ertoe leiden dat mensen het gevoel krijgen dat hun privacy en vrije meningsuiting in gevaar zijn, waardoor zij hun gedrag daarop aanpassen. Dat wordt ook wel het “chilling effect” genoemd.

Panopticum

Het behoeft geen betoog dat de constructie die de overheid op wil zetten met de WGS en nieuwe vorm van een panopticum is. Jeremy Bentham(1748-1832) verwerkte in zijn filosofie over controle en macht het principe van permanente waakzaamheid en controle. Hij bedacht dat constante observatie van mensen kan helpen om het gedrag van die mensen te corrigeren en te reguleren. Bentham wilde dit idee graag in de praktijk verwezenlijken. Daarom ontwierp de filosoof samen met architect Willey Reveley in 1791 een model voor een gevangenis: het “panopticum”.

Om redenen die in de alinea’s hierboven uiteengezet zijn is ook in het licht van het WRR-rapport de opzet van wat de overheid als extra controlemogelijkheid wil creëren volledig af te wijzen.

W.J. Jongejan, 5 september 2018

Zarsky, T.Z. (2016) ‘The trouble with algorithmic decisions. An analytic road map to examine efficiency and fairness in automated and opaque decision making’, Science, Technology, & Human Values 41, 1: 118-132.

 

 

 




Zorgverzekeraar VGZ wil GGZ-zorgaanbieder per contract dwingen ROM-data aan SBG te leveren

contract

Zorgverzekeraars halen vreemde capriolen uit in hun contracteerbeleid. Voor het jaar 2019 biedt VGZ de zorgaanbieders in de generalistische basis GGZ een contract aan waarin deze verplicht worden Routine Outcome Monitoring(ROM)-gegevens aan te leveren aan SBG. Deze Stichting Benchmark GGZ wordt  volledig door de zorgverzekeraars betaald. Deze data  zijn ondanks pseudonimisatie te beschouwen als bijzondere persoonsgegevens. De enigen die echter toestemming kunnen geven om die data naar SBG, en na 2019 de rechtsopvolger AKWA, te doen zenden zijn de patiënten zelf. Die zijn het ook die samen met de zorgaanbieders ROM-lijsten invullen over het al dan niet vorderen van de therapie. Over het op grote schaal gebruik maken van ROM-data voor kwaliteitsvergelijking, benchmarking en zorginkoop bestaat al sinds begin 2017 grote beroering. In de eerste plaats gaf de Algemene Rekenkamer toen aan dat het middel ten enenmale ongeschikt was voor de hierboven beschreven doelen en tevens bleek toen dat de ROM-data als bijzondere persoonsgegevens beschouwd dienden te worden, waardoor toestemming van de patiënt vereist was. Toen de grond heel heet onder de voeten werd introduceerde de brancheorganisatie van werkgevers in de GGZ, GGZ Nederland, met wat organisaties uit de GGZ het juridisch rammelende en aanvechtbare begrip “veronderstelde toestemming”.

Contract 2019

In het “voorstel” van het contract 2019 staan onder artikel 5 de gewraakte passages. Daarbij moet men weten dat CQi staat voor Consumer Quality index. Dat zijn uitkomsten van vragenlijsten, ingevuld door de patiënt over hoe deze de kwaliteit van de geleverde zorg ervaren heeft.

 Artikel 5. Monitoring en effectmeting

  1. De zorgaanbieder zal de vragenlijsten CQi voor de GGZ gebruiken voor het meten van cliëntervaringen. De vragenlijst dient minimaal één keer per jaar afgenomen te worden.
  2. De zorgaanbieder laat de meting uitvoeren door een geaccrediteerde meetorganisatie. Mocht de CQI in de ROM meelopen dan dient de CQI aangeleverd te worden aan het SBG (Stichting Benchmark GGZ). De geaccrediteerde meetorganisaties zijn te vinden op www.ciio.nl/register. Op de website staat per meting aangegeven aan welke aspecten de geaccrediteerde meetorganisatie moet voldoen (A, B, B-online). De meetorganisatie dient zorg te dragen dat aan alle privacy eisen is voldaan.
  3. De zorgaanbieder geeft hierbij de zorgverzekeraar uitdrukkelijk toestemming voor het aanleveren van de data uit de cliëntervaringsmetingen conform de aanlever-specificaties, ten behoeve van een landelijke benchmarkrapportage via Zorgprisma. Dit geldt ook wanneer voldoende meetgegevens zijn gevalideerd in een voor de verzekerde toegankelijke vorm, gepubliceerd conform landelijke afspraken vastgelegd in een publicatieprotocol te vinden op www.patientervaringsmetingen.nl.
  4. De zorgaanbieder draagt in samenwerking met de meetorganisatie er zorg voor dat de patiënt op de hoogte is dat de resultaten van de metingen uit de ROM en CQi op geaggregeerd niveau door de zorgverzekeraar gebruikt kunnen worden voor verbeterinformatie, zorginkoop-informatie en keuze-informatie.
  5. De zorgaanbieder verstrekt op verzoek van de zorgverzekeraar de CQi data van de recente jaren 2014 t/m 2019 aan de zorgverzekeraar. De zorgaanbieder stemt er mee in dat de zorgverzekeraar deze data gebruikt voor de inkoop van zorg en voor de verstrekking van informatie aan verzekerden van de zorgverzekeraar.
  6. De zorgaanbieder zal de ROM informatie aanleveren aan een landelijke benchmarkorganisatie voor vergelijking van de eigen resultaten met de landelijke uitkomsten, zoals aangeboden wordt door bijvoorbeeld SBG, Reflectum of TelePsy. Hierbij dient de zorgaanbieder alle in- en uitgangsmetingen van de totale cliëntenpopulatie conform de voorwaarden en landelijke afspraken aan te leveren aan de benchmarkorganisatie.
  7. De zorgaanbieder geeft op verzoek van de zorgverzekeraar toestemming om in de benchmarkomgeving van SBG (BRaM) ROMbenchmarkgegevens op locatieniveau te bekijken met het oog op overleg tussen partijen over de mate van bespreken door zorgaanbieder van de ROMuitkomsten met de cliënt, de interpretatie van de behandeleffecten, kwaliteit van de ROM-metingen en de casemix-variabelen.

 Omgekeerde wereld

Blijkbaar vertrouwt VGZ niet al te zeer op de hierboven genoemde juridisch rammelende en aanvechtbare constructie van de “veronderstelde toestemming”. Ze probeert nu GGZ-zorgaanbieders, zoals psychologen en psychiaters probeert vast te pinnen op een contractuele verplichting tot aanlevering van ROM-data. Dat terwijl de enige die toestemming kan en mag geven de patiënt zelve is na goed voorgelicht te zijn over doel en verwerking: het “informed consent”. De contractverplichting is daarom ook als juridisch aanvechtbaar en onhoudbaar te beschouwen.

Door de mand vallen

In en poging de zaak minder brisant te maken zei GGZ Nederland bij het introduceren van de “ veronderstelde toestemming” dat men vooralsnog de ROM-data wilde gebruiken voor beoordelen van individuele therapie en kwaliteitsverbetering door onderlinge vergelijking op instellingsniveau en anderzijds op termijn – het gebruik voor keuze- en zorginkoop-informatie. Juist in het gebruik van de woorden “vooralsnog” en “op termijn” zat echter al het handhaven van de oorspronkelijke bedoelingen van de zorgverzekeraars en SBG besloten. In de hierboven afgedrukte passage uit het contract is te zien dat daar “verbeterinformatie, zorginkoop-informatie en keuze-informatie” prominent vermeld staan. Het betekent onomwonden dat de men niet af wil van het gebruik van de ROM data voor benchmarking en zorginkoop.

TROG-contracten

Scherpslijpers kunnen altijd zeggen dat het vermelde VGZ-contract 2019 slechts een voorstel is. Het staat ook in watermerk schuin door de tekst. Het probleem is echter dat contracten van zorgverzekeraars op papier onderhandelbaar heten te zijn, maar in de praktijk een onderhandelruime van nul hebben. Het is dan slikken of stikken. Wijlen Hans Nobel, huisarts en bestuurslid van de Vereniging Praktijkhoudende Huisartsartsen, noemde dat altijd TROG-contracten. TROG staat voor Teken Rechts Onder Graag. Zorgverzekeraars zoeken met dit soort contracten telkenmale de grenzen van het oorbare op en gaan eroverheen.

Helaas zijn er een aantal grote GGZ-instellingen die met alle winden meebuigen en hun hoofd laten hangen naar de zorgverzekeraars.

W.J. Jongejan, 3 september 2018.