Voorlopige beslissing AP over oude SBG-database bij AKWA raakt veel databases

slotOp 21 april 2019 maakte ik op deze website melding van het feit dat AkWA GGZ ROM-data, verkregen van de opgeheven Stichting Benchmark GGZ, opnieuw raadpleegbaar had gemaakt. Dat was met ingang van 15 maart 2019. Daarbij wees ik op het laakbare van deze openstelling, omdat het om veelal zonder toestemming verkregen bijzondere persoonsgegevens ging. 29 mei 2019 maakte AKWA GGZ bekend dat zij met onmiddellijke ingang de toegang tot die data op slot gedaan heeft. Dat doet AKWA op last van de Autoriteit Persoonsgegevens(AP).  Men laat weten dat dit gebeurt naar aanleiding van een voorlopig standpunt van AP over de status van deze informatie. De AP beschouwt een deel van de verarmde dataset vooralsnog als persoonsgegevens. Blijkbaar heeft de AP dus kort geleden contact gezocht met AKWA GGZ over deze materie. Dat is zeer opvallend te noemen, omdat de AP al ruim twee jaar bezig is onderzoek te doen over de status van door derden geaggregeerde gepseudonimiseerde zorgdata. De demarche van de AP richting AKWA is van grote betekenis voor andere grote verzamelingen van zorgdata. Niet alleen in de sector van de GGZ maar ook in de somatiek. Overigens rept  de AP op de eigen website met geen woord over deze stap richting AKWA.

Dataverzamelingen

Op meerdere plaatsen verzamelt men zorgdata waarbij de medische gegevens gepseudonimiseerd verzonden en opgeslagen worden. Zo is er in de GGZ de ARGUS-database met daarin alle mensen waarbij vrijheidsbeperkende interventies in de GGZ spelen. De vulling daarvan is overigens al eind 2016 gestokt vanwege het vermoeden dat aangeleverde data als bijzondere persoonsgegevens beschouwd konden worden. Daarnaast is er het DBC-Informatie-Systeem(DIS) waarin diagnose-informatie op basis van dbc’s opgeslagen wordt. Ziekenhuizen laten zorgdata evalueren via DICA , het Dutch institue of Clinical  Auditing  zie hiervoor ook een artikel van mij hierover van 2 februari 2018. Daarnaast is er het bedrijf Medical Research Data Management(MRDM)  dat op grote schaal zorgdata verzamelt en ver-/bewerkt met om er big-data-analyse op uit te voeren.

AKWA

De plotselinge activiteit van de AP is in het licht van haar handelen de afgelopen twee jaar ongewoon en tegenover AKWA inconsequent te noemen. AKWA GGZ had duidelijk kenbaar gemaakt de data, afkomstig van SBGGZ, haar rechtsvoorganger, per 15 maart open te gaan stellen. Het is vreemd dat de AP niet voorkomen heeft dat die openstelling plaats ging vinden. Men wist van de gevoeligheid van de materie. Men doet er bijna twee jaar onderzoek. Bovendien ligt er al twee jaar een handhavingsverzoek om gebruik van die database te beëindigen en nieuwe vulling te voorkomen.

Druk vanwege rechtszaak

De AP zal ook de hete adem van de Rechtbank Midden-Nederland in de nek voelen. Deze zal over een beperkt aantal weken een uitspraak zal doen in een vier jaar slepende rechtszaak. Het is de zaak UTR 16/4199 WBP V93. Die gaat over de wijze waarop de Nederlandse Zorgautoriteit (NZa) de medische diagnose- en behandelgegevens (DBC’s) van de gehele Nederlandse bevolking periodiek opeist van de zorgverleners, deze zelf verwerkt in het DBC Informatie Systeem(DIS) en verstrekt aan derde partijen. De zaak is aangespannen door de burgerrechtenvereniging Vrijbit met hulp van de stichting KDVP. Deze verwijt de AP nalatig te zijn door niet handhavend op te treden in de wetenschap dat het om bijzondere persoonsgegevens gaat.

Na A ook B zeggen

Nu de AP bij AKWA opeens een brede borst gemaakt heeft en daadkracht  toont, zal men er niet aan kunnen ontkomen om ook bij andere databases in de zorg op te treden, waarbij dezelfde wijze van verzamelen en be-/verwerken plaats vindt. De AP zal het niet kunnen maken door bij de ene database flink te doen en bij de andere de zaak op zijn beloop te laten.

Opsteker

Voor tegenstanders van de niet correcte dataverzamelingen is het besluit van de AP een opsteker. Een niet aflatende aandacht voor de materie heeft de AP gedwongen bij de les te blijven en zich niet te verschuilen. Triest blijft wel dat de AP na bijna twee jaar nog steeds niet klaar zegt te zijn met het onderzoek voor haar definitieve oordeel over het gebruik van gepseudonimiseerde  zorgdata door derden. Daardoor is tot nu toe een definitief oordeel uitgebleven. Het verbod om de database van SBG door AKWA opnieuw open te stellen geeft wel een indruk van wat het definitieve oordeel van de AP zal kunnen gaan zijn.

Tot nu toe heeft men de hete aardappel continu voor zich uit geschoven. Nu lijkt de AP een klein stukje daarvan genuttigd te hebben.

W.J. Jongejan, 31 mei 2019

 

 

 




Stoppen Microsoft HealthVault toont dat PGO geen levenslang hulpmiddel is

levenslang PGOBegin april 2019 liet software-gigant Microsoft weten te stoppen met de online persoonlijke gezondheids-omgeving(PGO) Microsoft HealthVault. Per 20 november 2019 gaat de stekker er definitief uit. Microsoft vraagt dan ook aan gebruikers om de data er uit te exporteren en elders op te slaan. Gelanceerd in 2007 in beta-versie en in 2009 officieel in gebruik genomen was HealthVault een PGO avant la lettre. Lang voordat via stimuleringsregelingen van het ministerie van VWS PGO’s geforceerd in ontwikkeling kwamen, was Microsoft al met zoiets begonnen. Het stoppen van HealthVault is een teken aan de wand. Ook anderszins was er over PGO-misère recent een artikel te lezen bij het online magazine Skipr : “ Meeste PGO-leveranciers over twee jaar verdwenen”. DIrecteur Mohammad Al-Ubaydli van het van oorsprong Britse PGO Patients Know Best (PKB) komt daarin met deze boude uitspraak over het Nederlandse PGO-landschap. Het aparte is dat zowel het ministerie van VWS als veldorganisaties stellen dat de PGO’s een levenslang hulpmiddel zijn voor de patiënt om er zorgdata in op te slaan. Uit het bovenstaande moge duidelijk zijn dat er geenszins sprake is van een levenslang bestaan van een PGO. Ik berichtte eerder over drie(A, B, C) omvallende PGO’s in 2018.

Grote woorden

Zoals ik hierboven aangaf heeft het ministerie van VWS grote woorden in de mond genomen over het PGO. Minister Bruins sprak op 29 mei 2018 in een brief aan de Tweede Kamer van een levenslang hupmiddel toen hij het over de PGO’s had. In die brief legde hij het verschil uit tussen een elektronisch patiëntdossier(EPD) en de MedMij-protocollen Letterlijk scheef hij:

“Een dergelijk “PGO” is een digitaal hulpmiddel dat – levenslang – te gebruiken is en waarmee de burger kan beschikken over zijn eigen gegevens.“

In zijn kielzog schreven onder andere de Patiëntenfederatie Nederland, het Koninklijk Nederlands  Genootschap voor Fysiotherapie(KNGF) en vele online ICT-magazines over de levenslange bijstand van de patiënt door de PGO’s.

Kaalslag in PGO-landschap

De eerder genoemde directeur van het Engels PGO Patients Know Best(PNB), dat ook in Nederland op de markt is, stelt dat de Algemene Verordening Gegevensbescherming(AVG) veel vraagt van de PGO-ontwikkelaars. Er zijn grote investeringen voor nodig die niet alleen door overheidssubsidie op te vangen zijn. Hij stelt dat de meeste PGO-makers een IT-achtergrond hebben, maar dat je vooral kennis nodig hebt over de omgang met medische data. Hij denkt dat zorginstellingen dat risico niet zullen durven te nemen en de voorkeur zullen geven aan grote PGO-leveranciers.

Consolidatie

De veelheid aan PGO’s, op dit moment rond de 72, is vooral ontstaan door het aanjagen van de ontwikkeling door subsidie door VWS. Een goed verdienmodel ontbreekt, waardoor VWS zich ook genoodzaakt zag het daadwerkelijk gebruik van PGO’s te gaan betalen met publiek geld. Hierdoor is te verwachten dat vanaf begin 2020, wanneer de PGO’s met een wettelijke grondslag gevuld kunnen worden, er een overnamegolf van PGO’s zal gaan ontstaan. Grote spelers, zoals PNB en bijv. ook Philips met VitalHealth, zullen dan waarschijnlijk overeind blijven in de consolidatiegolf.

Waterhoofd   

Ook de tussenstap van het vullen van PGO’s vanuit huisarts-EPD’s is met subsidiegeld omkleed. Om de huisartsen mentaal en financieel voor te bereiden is het OPEN-programma opgetuigd met geld van VWS. OPEN staat voor Ontsluiten van Patiëntengegevens uit de Eerstelijnszorg in Nederland. Onder veel voorwaarden wordt vanuit de subsidiepot uiteindelijk 3 euro per ingeschreven patiënt betaald aan huisartspraktijken bij deelname aan PGO-afspraken. Om te zorgen dat op ICT-gebied de huisarts-informatie-systemen gaan doen wat voor dat doel nodig is  heeft men weer een andere organisatie opgericht, genaamd “LEGIO”. Met subsidiegeld is op deze wijze een waterhoofd opgetuigd, want de te verwachte deelname aan PGO’s door patiënten schat menigeen niet hoog in.

 Geld   

Om zorgorganisaties te stimuleren om zorgdata geschikt te laten maken voor PGO’s is al 225 miljoen euro publiek geld gaan zitten. Het VIPP-1 programma voor de somatische zorg omvatte 105 miljoen euro. Het VIPP-2 programma voor de GGZ 45 miljoen euro en het OPEN-programma 75 miljoen euro.

Levenslang

De garantie van een levenslang bestaand PGO is boter-, maar dan ook boterzacht. Het is een voorspelling die niet waar te maken als je kijkt naar de levensduur van ICT-programma’s. Dat zelfs een  zeer grote speler op wereldniveau als Microsoft na 10 jaar de pijp aan Maarten geeft, moet te denken geven.

Als je een beetje cynisch bent, kan je levenslang misschien zo opvatten dat het gaat om de tijd dat een PGO in leven is, en niet de patiënt.

W.J. Jongejan, 30 mei 2019

 




Presentatie zorgprestatiemodel voor GGZ. Het roer kan nog andermaal om

roer

Afgelopen week, op 20 mei 2019, kondigde de Nederlandse Zorgautoriteit(NZa) mede namens twaalf veldpartijen een nieuw bekostigingsmodel voor de geestelijke gezondheidszorg(GGZ) aan. Het nieuwe model heet het zorgprestatiemodel.  Tot voor heel kort, namelijk tot in maart 2019 hield de NZa zich, tenminste voor de buitenwereld, bezig met dat zorgclustermodel naar Engels voorbeeld. Uit een brief van minister Bruins aan de Tweede Kamer op 19 maart j.l. blijkt dat de NZa tot dat moment bezig is met de ontwikkeling van het zorgclustermodel. De minister spreekt daarin over verbeteringen een gefaseerd implementatie-pad. De aankondiging van het zorgprestatiemodel is dan wel gepresenteerd op 20 mei 2019, maar draagt als datum (op de tweede pagina) 30 april. In een maand tijd lijkt het oude plan verlaten en een nieuw plan opgetuigd. Dat wijst erop dat veel, zo niet bijna alles, wat in de publicatie van de NZa staat, nog in de steigers staat en uitgewerkt moet worden. Het is dan ook reëel om te veronderstellen dat de grootste problemen met het vers beoogde model nog moeten komen. Even reëel is het om te veronderstellen dat het nu gelanceerde model ook weer niet het definitieve zal zijn.

Zorgclustermodel

De ontwikkeling van dat model naar Engels voorbeeld verliep niet onder een erg gunstig gesternte. Het was dan wel in het Verenigd Koninkrijk bedacht maar echter nimmer in de praktijk gebracht(2017). De Algemene Rekenkamer maakte in het tweede half jaar van 2017 ook gehakt van het zorgclustermodel. Vooral omdat dat erg sterk leunde op het gebruik van ROM(Routine Outcome Monitoring)-data. De Algemene Rekenkamer vond dat het meetinstrument dat men koos (de ROM-data) om de verschillen in kwaliteit inzichtelijk te maken daarvoor ongeschikt was.

De knoet erover

Om het zorgclustermodel in de praktijk te testen waren pilot-testen nodig. Daar vond de NZa te weinig vrijwilligers onder de GGZ-instellingen en zelfstandige zorgverleners. Men dreigde met dwang en paste die uiteindelijk ook toe. Wat zich wreekte, was dat men pas in een zeer laat stadium oog had voor privacy en de uitvoerbaarheid van het model.

Zorgprestatiemodel

In grote lijnen geldt dat er binnen het zorgprestatiemodel vier typen prestaties zijn: consulten, verblijfsprestaties, toeslagen en overige prestaties. Binnen de consulten wordt onderscheid gemaakt tussen diagnostiek en behandeling. Er zijn vijf tijdseenheden van 15 minuten tot 75 minuten. Ook geldt er een tarief voor groepsbehandelingen. De hoogte daarvan is afhankelijk is van het aantal cliënten in de groep. Voor elk van de acht BIG-beroepen gaan aparte tarieven gelden. Voor de niet BIG-beroepen wordt één (gemiddeld) tarief bepaald. Indirecte tijd zit in principe in het tarief inbegrepen, dus geen eindeloze tijdsregistratie meer van allerlei activiteiten buiten het cliëntcontact om. Ook wordt het strategisch declareren daardoor moeilijker.

Terug bij af

Ooit, voor het invoeren van de Diagnose Behandel Combinaties(DBC’s) in 2008 als basis voor de rekeningen, declareerde men binnen de GGZ op basis van verrichtingen en ligdagen. Met het nieuw aangekondigde model zien dat nu weer terugkeren maar in een ander jasje. De NZa spreekt dan weer mooie woorden dat eenvoud en transparantie de basis vormen voor het zorgprestatiemodel. Om nog iets van het zorgclustermodel-fiasco te redden vertelt de NZa dat de input van de (afgedwongen) pilots van het zorgclustermodel gebruikt worden voor het nieuwe model.

Problemen

Met het nieuwe model zijn de problemen echt nog niet over.  Eén van de grote veldpartijen GGZ Nederland laat half april 2019 al weten wat ze als problemen zien. De DBC’s verlaat men, maar komt nu met de DSM-diagnosen(op hoofdgroepniveau) als ziektedefinitie bij het declareren. De financiering mag niet een open-eind-constructie worden. Het mag niet leiden tot een stijging van de zorguitgaven en moet passen in het huidige Budgettair Kader Zorg. Een financiële impactanalyse kan pas worden uitgevoerd als de herijkte tarieven bekend zijn. Binnen het systeem met declaraties op DBC-basis, gebruikte men de zogenaamde zorgvraagtypering. Die moet voor het nieuwe systeem verbeterd worden. Zorgvraagzwaarte-indexatie(Zvzi) en patiënt-profielen die gebruikt werden in het zorgclustermodel moeten in het nieuwe model behouden en uitgebouwd worden. Er is niet voorzien in een wetenschappelijke evaluatie over de gevolgen voor de kwaliteit en de populatie van de GGZ.

Even een wettelijke grondslag maken

Om een medisch persoonsgegeven als de DSM-diagnose te mogen verwerken is er een grondslag nodig. Die bestaat nu nog niet en wil men alsnog creëren door het ministerie van VWS te verzoeken dit expliciet te construeren in de Regeling Zorgverzekering(artikel 7.2). Op grond van die regeling kan de NZa dan een informatieverplichting creëren voor zorgaanbieders om die diagnose-informatie aan te leveren aan zorgverzekeraars. Naar verwachting zal men een dergelijk regeling ook moeten optuigen voor de toekomstige doorontwikkelde zorgvraagtypering.(zie pagina 39 NZa-advies).

Het roer kan nog andermaal om

Uit het bovenstaande moge blijken dat het denken over en bedenken van bekostigingsmodellen constant in beweging is. Bij elke bedachte “oplossing” blijken naderhand weer even grote, zo niet grotere problemen te ontstaan. Het lijkt mooi dat er een consensus is met 12 veldpartijen, maar de vraag is of ieder van die partijen zich realiseert waarvoor men het commitment heeft afgegeven. Veel van de bedachte zaken zijn nog in ontwikkeling. Het zorgclustermodel zou in 2020 gaan komen, maar werd het niet. Het zorgprestatiemodel moet vanaf 2022 gaan werken. Het is net als bij het zojuist verlaten model zeer ambitieus en tegelijk onzeker.

Het roer kan dus best nog andermaal om.

W.J. Jongejan, 28 mei 2019

Voor de alinea “Zorgprestatiemodel” werd gebruik gemaakt van een stuk tekst van Marco Essed op Linked in.

 




Huisartsdossiers in kader project inzien met opt-out-toestemming ontoelaatbaar

ontoelaatbaar

In Noord-Holland is de huisartsenpost van de HONK in Alkmaar gevestigd. HONK staat voor Huisartsenorganisatie Noord-Kennemerland. In verband met een flink aantal, achteraf onnodig beschouwde, spoedritten van de ambulance vindt daar een onderzoek plaats. In het kader van dit onderzoek proberen externe onderzoekers bij huisartsen van deze patiënten naderhand de huisartsdossiers in te zien. Dat doen ze met een opt-out-constructie. Daarbij krijgt de patiënt dertig dagen de tijd krijgt om bezwaar te maken. Reageert de patiënt niet binnen die termijn, dan gaat men uit van een gegeven toestemming. Dat is een ontoelaatbare gang van zaken. Indien er sprake is van het inzien of een afschrift krijgen van een medisch dossier dient de patiënt daar ondubbelzinnig en vrijwillig toestemming toe te geven na uitgebreide voorlichting. Dat heet een “informed consent”. Het gebruik van een opt-out-constructie daarentegen is daarbij uit den boze.

HONK

De organisatie met deze naam is een coöperatie van ongeveer 120 huisartsen en runt onder andere de huisartsenpost Alkmaar. De populatie waarvoor men werkt is 280.000 mensen groot. De ambulancediensten constateerden de laatste jaren een forse toename van het aantal spoedritten(A1-classificatie). Ambulancemedewerkers klaagden over de toename van “onzinritten”. Bij de klacht pijn op de borst bleek achteraf in meer dan de helft van de gevallen een A1-rit ingezet te zijn. Men vermoedt dat dit het gevolg kon zijn van het huidige(ongevalideerde) triagesysteem met bijbehorende protocollen. Op basis daarvan vinden de aanvragen voor het doen uitrukken van een ambulance plaats.

TRACE

Om achtergrondinformatie te krijgen en het zorgtraject te analyseren en mogelijk bij te sturen bij de triage werkt een groep onderzoekers, afkomstig van het Academisch Medisch Centrum Amsterdam, hieraan. Een lijst van mensen, waarbij de ingangsklacht pijn op de borst was, is in de administratie van de huisartsenpost opgezocht. Die mensen benadert men voor toestemming, waarna de onderzoekers bij praktijken van die patiënten de elektronische huisartsdossiers doornemen. Bij de toestemmingsvraag echter gaat het fout.

Opt-out

Men stuurt de patiënten die geselecteerd zijn naar eigen zeggen een toestemmingsformulier. Dat lijkt in de brief aan huisartsen op het eerste gezicht een “ïnformed consent”  te zijn. Bij zorgvuldig lezen zien we echter dit:

Patiënten die een contact met HAP hadden waarbij de ingangsklacht pijn op de borst was krijgen een toestemmingsformulier toegestuurd, waarbij ze kunnen aangeven bezwaar te hebben tegen de gegevensverzameling. De patiënt heeft 30 dagen de tijd om bezwaar te maken tegen de gegevensverzameling.

Een opt-out-constructie is het dus.

Illegaal

Men geeft de patiënt een maand de tijd in deze opt-out-constructie om bezwaar te maken. Blijkbaar wordt daarna de toestemming verondersteld. En dat kan gewoonweg niet. Voor het inzien van huisartsdossiers door een onderzoeksgroep van buiten de praktijken en de huisartsenpost is een “informed consent” noodzakelijk.

Overwegingen

Tussen huisartsenpraktijken en huisartsenpost(HAP) kan medische informatie uitgewisseld worden als een patiënt de HAP bezoekt. Voor de overdracht van gerichte medische gegevens in deze behandelrelatie speelt een vanzelfsprekende toestemming. De HAP wordt gezien als waarnemer van de eigen huisarts, waar de patiënt vrijwillig hulp zoekt. Bij het inschakelen van derden, in dit geval de projectgroep TRACE, is een apart gevraagde, opt-in-toestemming noodzakelijk.

AVG

Er kan ook geen beroep worden gedaan op de Algemene Verordening Gegevensbescherming(AVG) artikel 9 lid 2 onder punt  i. Daarin staat dat  dataverwerking wel zou mogen om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg. Van een dergelijk zwaarwegend algemeen belang is hier geen sprake.

Hakken in het zand

Het is mijns inziens terecht dat enkele huisartsen die benaderd zijn de hakken in het zand gezet hebben en niet mee willen werken aan een dergelijke wijze van onderzoeksgegevens verzamelen. Het gericht vragen om toestemming, de “informed consent”, moge dan bewerkelijk en voor de onderzoekers lastig zijn, maar kan en mag niet  omzeild worden.

Wat ik niet begrijp is dat noch de directeur acute zorg van HONK, noch de kaderarts acute zorg van HONK, noch de onderzoekers ingezien hebben dat een opt-out-constructie voor het doorzoeken van medische dossiers bij de huisarts geen juridisch juiste manier is.

W.J. Jongejan, 24 mei 2019

 

 

 

 

 

 

 

 




Crimineel verkregen elektronisch medisch dossier tussen 250 tot 1000 dollar waard

crimineelOp 11 april 2019 publiceerde het Department of Health and Human Services (HHS) een kennisgeving over cybersecurity in de zorg. Dit departement van de V.S. is de tegenhanger van ons ministerie van VWS. De publicatie, bestaande uit 13 sheets, is een briefing met als titel “Dark Web PHI Marketplace”. PHI staat voor Protected Health Information. In de publicatie wijst het ministerie op de enorme consequenties van het illegaal verwerven en verhandelen van crimineel verkregen zorgdata op het schimmige deel van het internet, het Dark Web. Daarop is het mogelijk dat kwaadwillende personen/organisaties illegaal verkregen zorgdata kopen en verkopen die afkomstig zijn van datalekken. Dat soort marktplaatsen stimuleren cybercriminelen om zorgorganisaties elektronisch aan te vallen en de buit te gelde te maken. Zorgdata zijn volgens het ministerie op dit moment één van de meest winstgevende data op het Dark Web. Criminelen kunnen daar anoniem acteren zonder angst voor repercussies.

 Waar is het om te doen?

Het gaat criminelen om het verkrijgen van tot een persoon herleidbare informatie (Personally Identifying Information (PII). Niet alleen zorgdata staan in de belangstelling maar ook social media accounts, onderwijsbestanden en bestanden uit gemeentelijke administraties. Zorgdata staan speciaal in de belangstelling, omdat daar een scala van criminele activiteiten mee uit te voeren zijn. Dat met een lager risico dan als het gaat om financiële data. Fraude met zorgdata is moeilijker te achterhalen dan financiële fraude bijv.  met creditkaarten. Met informatie uit zorgdossiers zijn meerdere typen fraude uitvoerbaar.

Wat gebeurt ermee?

Grofweg kan men het misbruik in vier categorieën indelen.

  1. Diefstal van de medische identiteit. Met iemands medische gegevens probeert men medische diensten te verkrijgen: voorschriften voor medicatie(opiaten bijv.), medische ingrepen, valse verzekeringsclaims
  2. Financiële fraude met gebruikmaking van tot een persoon herleidbare informatie bij banken en creditcard-maatschappijen. Medische dossiers bevatten namelijk vaak informatie over betaalwijze, bankgegevens etc.
  3. Gebruik maken van gevoelige zorgdata om individuen te bedreigen, af te persen of te beïnvloeden. Daarbij kan het om echte buitgemaakte data zijn, maar ook gemanipuleerde data. VIP’s en bekende publieke personen zijn extra kwetsbaar.
  4. Buitgemaakte data kunnen gebruikt worden bij verder gaande cyberaanvallen, bijv. met behulp van phishing mail en vormen van oplichting. Ook kan informatie gebruikt worden om nieuwe aanvallen uit te voeren met buitgemaakte toegangs-/authenticatie-informatie.

 Waarde

Het Department of HHS schat de waarde van zorgdossiers op het Dark Web op 250 tot 1000 dollar per dossier. De waarde is zo hoog omdat zorgdossiers vaak persoonsgegevens, financiële gegevens en medische data in een compacte vorm bevatten. In de zorg gebruiken we in Nederland het BurgerServiceNummer(BSN), waarmee ook identiteitsfraude uitgevoerd kan worden.

Kwetsbare groepen

In de publicatie noemt het departement drie specifieke groepen, waarvan de gegevens extra interessant zijn voor de criminelen.

  • Jonge kinderen. Bij data, afkomstig van hacks, is op het Dark Web vooral de “versheid” van belang, d.w.z. dat de data niet eerder gebruikt zijn voor fraude. Data van jonge kinderen zijn dan ook “vers” te noemen. Ze kunnen gebruikt worden voor kredietaanvragen, grote aankopen, zonder dat het slachtoffer er erg in heeft. In de V.S. zijn er onvoldoende controlemechanismen om misbruik van de identiteit van een kind bij kredietfraude op te sporen.
  • Ouderen. Daarbij speelt financiële kwetsbaarheid die geassocieerd is met de leeftijd. De Federal Trade Commission, een onafhankelijk agentschap van de Amerikaanse federale overheid, schat dat 35% van de klachten over fraude en 19% van de identiteitsdiefstal bij 65 plussers zich voordoet.
  • Overledenen. Het is gebleken dat criminelen de gegevens van overledenen als “veiliger” zijn gaan beschouwen naarmate de bewustwording van fraude bij de burger stijgt. De identiteit van overledenen blijkt gebruikt te worden bij creditcard-fraude, belastingfraude en de aankoop van dure artikelen.

 Bewustwording

Het Department of Health and Human services beoogt met de publicatie een grotere bewustwording voor de problematiek bij zorgorganisaties,zorgverleners en bij burgers. Cybersecurity is van groot belang bij zorgverleners en in zorginstellingen. Veel meer dan voorheen zal men zich bewust moeten zijn van de manier waarop bedreigingen zich voordoen. Net zoals bij steriliteit is het bij het gebruik van digitale middelen een goede “hygiene” van groot belang. Niet alleen van de ICT-ers die in de zorg werkzaam zijn, maar vooral van de werkers zelf. Een goed voorbeeld van alerte werknemers  is bijvoorbeeld de  community “Women in Cybersecurity”.

W.J. Jongejan, 21 mei 2019

 

 




Voor burgemeesters is Raad van State blok aan been bij datahonger

datahongerDe afgelopen anderhalf jaar heeft een interessante uitwisseling van standpunten plaats gevonden tussen enerzijds de minister van Justitie en Veiligheid, het Nederlands Genootschap van Burgemeesters(NGB), regioburgemeesters en de Raad van State(RvS). Het betreft standpunten over het intensiveren van informatieuitwisseling bij de bestuurlijke en integrale aanpak van ondermijning. Opzet van de burgemeesters was de slagkracht van de gemeenten daarmee te vergroten. De Raad van State gaf daar op 2 april 2019 een zeer genuanceerd, terughoudend oordeel over.  Reden om er hier over te schrijven is dat het niet alleen om politionele informatie gaat, maar over data betreffende zorg en veiligheid. De burgemeesters betoogden het intensiveren van uitwisselen van informatie nodig te hebben , niet alleen ter opsporing en voorkomen van criminele zaken maar ook voor problemen rond ernstig gestoorde personen en zedendelinquenten. Door de invoering van de Wet maatschappelijke ondersteuning(Wmo) beschikken gemeenten echter ook over veel andere zorggegevens.

Voorzet

De eerste stap in deze uitwisseling van standpunten is in 2017 gezet. Toen boden tien regioburgemeesters een rapport  met de titel “Proeve van wetgeving: Voorkomen en Aanpakken Ondermijning” aan de minister van Veiligheid en Justitie aan. De relatie van de regioburgemeesters met het ministerie is nogal hecht. Ze komen geregeld samen in het Landelijk Overleg Veiligheid en Politie (LOVP). Daar spreken de regioburgemeesters, de voorzitter van het College van procureurs-generaal en de minister van Veiligheid en Justitie periodiek, in aanwezigheid van de korpschef van de Nationale politie, over het beheer van en de taakuitvoering door de nationale politie.

RVS

De RvS is om haar oordeel gevraagd door de minister van Justitie en Veiligheid Ferdinand Grapperhaus. De afdeling Advisering van de RvS stelt zich op het standpunt dat het voorstel om de omschrijving van de openbare-ordetaak van de burgemeester uit te breiden met “het voorkomen en bestrijden van criminele activiteiten”, niet moet worden gevolgd. De Afdeling constateert dat op dit moment nog onvoldoende is aangetoond of nieuwe wetgeving voor een adequate binnengemeentelijke gegevensuitwisseling nodig is. Wetgeving is niet nodig; de praktijk kan binnen de bestaande wetgeving (Algemene Verordening Gegevensverwerking(AVG) en sectorale wetten) worden verbeterd, bijvoorbeeld door te voorzien in duidelijker werkwijzen en de ontwikkeling van de noodzakelijke expertise. De NGB reageerde daar op 6 mei 2019  teleurgesteld en nogal gepikeerd op.

Overwegingen RvS

Die stelt :

“Ook als zou worden besloten tot nieuwe wetgeving om gegevensverwerking te vergemakkelijken, blijft het toepassen van het gegevensbeschermingsrecht complex. De AVG en andere gegevensbeschermingsregels zullen altijd in concrete gevallen interpretatie, nadere afweging en toetsing aan beginselen van noodzaak, proportionaliteit en subsidiariteit blijven vergen.

Professionele gegevensverwerking vereist daarom juridische expertise en een goede inbedding van de kennis van gegevensbescherming binnen de gemeentelijke organisatie. Belangrijk is dat gemeenten er niet alleen voor staan en niet ieder voor zich het wiel moeten uitvinden. Ondersteuning kan komen vanuit bijvoorbeeld het Ministerie van Justitie en Veiligheid, de Regionaal Informatie en Expertise Centra(RIEC) en het Landelijk Informatie- en Expertise Centrum (LIEC) of de Vereniging van Nederlandse Gemeenten. Ook de Autoriteit Persoonsgegevens (AP) speelt een belangrijke rol. Van de AP mag een constructieve en zo nodig proactieve rol worden verwacht.

Veeg uit de pan

Aan het eind komt de RvS nog met een duidelijk veeg uit de pan. Men zegt:

Tot slot. Gegevensuitwisseling is geen panacee voor een effectieve aanpak van ondermijnende criminaliteit. Zij moet leiden tot concrete vervolgacties waarmee zichtbare resultaten kunnen worden geboekt. Problemen bij het uitwisselen van informatie mogen niet worden aangegrepen om zich ontslagen te voelen van de verplichting om op te treden.(vet door WJJ).”

NGB

De burgemeesters, verenigd in het NGB, reageren hier nogal gepikeerd op. Ze adviseren de minister om het advies van de RvS ten aanzien van nader onderzoek ter harte te nemen en daarin de route te kiezen door in de wet met inachtneming van de AVG een algemene grondslag op te nemen voor het uitwisselen van bij een gemeente aanwezige persoonsgegevens. Wat men daarbij niet vermeld is dat de RvS nadrukkelijk meldt dat daarvoor enkele strikte randvoorwaarden zullen moeten gelden.. Problematisch bij een algemene grondslag is ook het doelbindingsbeginsel. Die doelbinding werkt de RvS dan ook uitgebreid uit in hoofdstuk 4.3.4. Dat doel moet op grond van de AVG welbepaald en uitdrukkelijk omschreven zijn. Dat laatste houdt in dat de doelstelling niet zo vaag of ruim mag zijn geformuleerd dat zij geen duidelijk kader kan bieden voor de vraag in hoeverre de verwerking in een concreet geval nodig is voor het omschreven doel. De door de minister gevraagde doelen zijn daarvoor te ruim.

Datahonger

Uit dit alles blijkt dat naast de centrale overheid met de wet SyRI(Systeem Risico Indexatie) ook de lokale overheden een zeer grote datahonger hebben. Men wil het liefst alle beschikbare databases aan elkaar koppelen. Het is goed om te zien dat de RvS niet meegaat in dat hijgerige gedrag maar verstandige woorden spreekt.

W.J. Jongejan, 16 mei 2019

 

 




Minister Bruin gebruikt brief ZN als vijgenblad in Eerste Kamer bij behandeling zorgfraudewetsontwerp

vijgenbladLaatste nieuws 12 mei 2019. Info uit Eerste Kamer: minister Bruins trekt wetsontwerp 33980 terug!

Zeer verbazingwekkend is de manier waarop minister Bruins van VWS de leden van de Eerste Kamer(EK) antwoord op kritische vragen. Die vragen betroffen de laatste fase van voorbespreking van het beruchte wetsontwerp 33980, nu wetsontwerp VTOWMG(VerbeterenToezicht Opsporing Wet marktordening Gezondheidszorg) genoemd . De minister kreeg in de laatste fase van behandeling door de EK te horen dat de fracties erg ongelukkig waren met de inhoud en de uitleg van de minister. De minister kreeg als huiswerk vijf nieuwe vragen en de opdracht twee toezeggingen na te komen. Het gaat om de toezeggingen T02675 (Beraad wetsvoorstel) en T02676 (Dossiercontrole).  Bruins heeft er niet voor gekozen die vragen zelf te beantwoorden maar komt met een brief van Zorgverzekeraars Nederland(ZN).  Daarvan zet hij  de inhoud in zijn antwoord aan de EK. Heel fijntjes laat de vaste commissie voor VWS van de EK nu weten wel die brief ontvangen te hebben, maar niet de invulling van de toezeggingen die de minister deed. De inhoud van de brief van ZN is op zijn zachtst gezegd geen reëel antwoord op wat de EK wil horen en bevat toezeggingen waarvan maar afgewacht moet worden of die nagekomen worden.

33980

Het wetsontwerp kent een zeer bewogen voorgeschiedenis en dateert al van juni 2014. De behandeling in de EK sleept zich voort vanaf de tweede helft van 2016. In het kader van fraudebestrijding faciliteert 33980 de zogenaamde materiële controle door de medisch adviseur van de zorgverzekeraar. De problemen die de EK signaleerde gingen over de proportionaliteit van het wetsontwerp, de doorbreking van het medisch beroepsgeheim, het informeren voor/ achteraf van de patiënt.

Medisch beroepsgeheim

Zeer veel aandacht besteedden alle fracties aan de doorbreking van het medisch beroepsgeheim. Dat gebeurt als bij de materiele controle in het kader van fraudebestrijding de medisch adviseur van de zorgverzekeraar zonder het vragen van toestemming vooraf aan de patiënt medische dossiers inziet. De VVD-fractie vroeg zich hardop af waarom de minister in het licht van de proportionaliteitseis het advies van de Raad van State niet volgde. Dat advies houdt in dat de verwerking van gezondheidsgegevens in die zin beperkt wordt dat uitsluitend de conclusie van de medisch adviseur aan de zorgverzekering wordt verstrekt.

Behandeling stokt

De toenmalige minister, Edith Schippers, zag er voor de verkiezingen in maart 2017 geen brood in om de EK te beantwoorden. 33980 kwam op de plank te liggen tot de huidige bewindsman Hugo de Jonge in 2018 de zaak weer afstofte en minister Bruins er weer mee naar de EK stuurde. De hervatte behandeling leverde zoals in de aanhef gezegd weer veel vragen op, met name over de schending van het beroepsgeheim door inzage van dossiers door de medisch adviseur van de zorgverzekeraar, in het geval van een verdenking op zorgfraude. De EK vroeg met name om een wettelijk borging van de onafhankelijke positie van de medisch adviseur en vroeg om het voor- dan wel achteraf inlichten van de patiënt.

Beraad minister

In eerste termijn(behandeling EK)  heeft Bruins aangegeven zichj te willen beraden op enkele onderdelen, te weten de wettelijke borging van: –de onafhankelijke positie van de medisch adviseur; –de inzage in het medisch dossier door de medisch adviseur zelf; –het zo vroeg mogelijk informeren van de verzekerde over inzage in het dossier; en –het vastleggen van waaruit de informatie aan de verzekerde ten minste uit moet bestaan.

Copy/Paste

De minister komt nu in een finale beantwoording van de EK-vragen niet met een eigen exercitie maar zeer armoedig met het standpunt van Zorgverzekeraars Nederland(ZN). Hij vroeg die om advies na de EK-vragen. In feite is zijn beantwoording aan de EK gewoon een copy-paste-actie. Wat hem zeer kwalijk te nemen is dat hij niet komt met een wettelijke borging van de positie van de medische adviseur, wat hem expliciet gevraagd is.. Uiteindelijk komt hij met het ZN-verhaal  dat de medische adviseur dezelfde ontslagbescherming moet krijgen als een functionaris gegevensbescherming. Ook voor de andere punten komt hij niet met een wettelijke borging.

Boterzachte garanties

De minister stelt dat als de wet van kracht zou worden, hij de Nederlandse Zorgautoriteit(NZa) zal vragen  of de maatregelen nageleefd worden. Wanneer die maatregelen onvoldoende nageleefd zouden worden, wil hij in deze kabinetsperiode nog overgaan tot het wettelijk verplichtend worden van de maatregelen. Dit is het paard achter de wagen spannen. De EK-leden vragen een goede wettelijke regeling. Niet een soort zelfregulering, die via een stroperig mechanisme via NZa en  Staten Generaal moet gaan plaatsvinden.

Gedragscode: een gotspe

In de brief van ZN refereert die organisatie aan de gedragscode(Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars) waar men zich aan zegt te houden en die momenteel herzien wordt. Men kennis van zaken rond die gedragscode kan ik alleen maar zeggen dat zulks een gotspe is. Die gedragscode dateert al van voor 2011. In dat jaar stuurde ZN de vernieuwde gedragscode naar het College Bescherming Persoonsgegevens(CBP), de rechtsvoorganger van de Autoriteit Persoonsgegevens. Die keurde die goed. De goedkeuring werd in 2012 aangevochten bij de rechtbank Amsterdam door de Stichting KDVP. Die stelde dat de vernieuwde gedragscode o.a. strijdig was met artikel 8 van het Europees Verdrag voor de rechten van de Mens(EVRM) en dat het CBP in redelijkheid niet tot goedkeuring had mogen komen. Eind 2013, na het nodige gedraal,  trok het CBP de goedkeuring in.  ZN heeft daarna nimmer opnieuw een herziening van de gedragscode neergelegd.

Nog een rechtszaak

Over de gedragscode die dus niet herzien is, sleept zich nog een andere rechtszaak voort,. Dat is de zaak UTR 16/3326 WBP V97 van de burgerrechtenvereniging Vrijbit. Die gaat om het afgewezen verzoek van Vrijbit op 3 mei 2015 aan AP ( toen nog CBP) om een eind te maken aan de onrechtmatige verzameling en verwerking van medische gegevens door de Zorgverzekeraars op basis van de oude gedragscode. Die zaak is door de AP eindeloos gerekt en kent mogelijk in de loop van deze of volgende maand een uitspraak.

Vijgenblad

Het moge uit het voorgaande duidelijk zijn dat waar minister Bruins nu mee komt geen eigenstandige afweging of beleidswijziging betekent. Hij besteedde het uit aan Zorgverzekeraars Nederland en vult de brief aan de Eerste kamer met de copy-past-methodiek. Een dergelijke manier van beantwoording van de Eerste Kamer is een absoluut zwaktebod. Ik kan het niets anders zien als een vijgenblad waarmee de minister het vege lijf poogt te redden in deze kwestie.

W.J. Jongejan, 13 mei 2019

 




Frankrijk koppelt onvrijwillige opname-database aan terrorisme-database

Frankrijk anti-terreur Per decreet heeft de Franse regering op 6 mei 2019 geregeld dat per 7 mei 2019 een nogal ingrijpende  koppeling in werking gezet tussen twee databases. Het gaat om de database van onvrijwillig opgenomen psychiatrische patiënten en een terroristen-database van de veiligheidsdiensten. De databases hebben de namen HOPSYWEB en FSPRTHet doel is, zoals gesteld in de aanhef van het decreet, om radicalisering te voorkomen. Het is voorstelbaar dat de staat pogingen doet radicalisering van personen in een vroeg stadium op het spoor te komen. Wat hier echter gebeurt is dat een medische registratie als verlengstuk gaat dienen van opsporingsinstanties en als zodanig  een onderdeel is van politionele en justitiële activiteiten. Uit het decreet blijkt dat het om persoonsgegevens van individuen gaat, namelijk de achternaam,  de voornamen en de geboortedatum. Bij een match van personen die in beide databases voorkomen voert men dan nader onderzoeks- / opsporingswerk uit. Een dergelijke koppeling van databases kennen we, zover we weten in Nederland (nog) niet. Het is echter wel bekend dat opsporings- en veiligheidsdiensten in Nederland  zoiets best wel zouden willen. Het is daarom goed om in de gaten te houden wat er in het buitenland gebeurt

FSPRT

De Fichier des Signalements pour la Prévention de la Radicalisation à caractère Terroriste (FSPRT) is een database die in maart 2015 per decreet tot stand is gekomen, enkele maanden na de aanslag op de redactie van het blad Charlie Hebdo. Het doel is daarmee op een centraal niveau te volgen welke personen die radicaliseren, gaan neigen tot terroristische activiteiten. Men zoekt daarbij dan bewust binnen het psychiatrische domein.

HOPSYWEB

Dit is een database van alle personen in Frankrijk die tegen hun wil opgenomen zijn in psychiatrische instellingen en daar behandeld worden. Per decreet stelde de regering in 2018 deze database in. Het doel ervan is om personen die tegen hun wil psychiatrische zorg krijgen te kunnen traceren. Deze database is in te zien door préfecturen, de politie, de leiding van de departementen en de rechterlijke macht. In Frankrijk is in 2018 vanuit kringen van patiënten fel geageerd tegen dit voornemen. Zo is er een website van patiënten die hiertegen protesteren. Op Twitter bestaat een actief account genaamd StopHOPSYWEB.

Stigmatiserend

Terecht betoogt men dat de staat met HOPSYWEB de psychiatrische instellingen gebruikt als instrument voor de veiligheidsdiensten. Door koppeling van HOPSYWEB aan de FSPRT-database is dat argument alleen maar in kracht toegenomen. Het averechtse effect van al dit overheidsingrijpen is dat het mensen met grote psychische problemen kan afhouden van het zoeken van hulp. Zorgmijden dus.

ARGUS

Hoe zit het in Nederland ook al weer? Een landelijke registratie van vrijheid beperkende maatregel in de geestelijke gezondheidszorg(GGZ) vindt plaats in de ARGUS-database. Die was als ARGUS Informatie Centrum(AIC) ondergebracht bij de Stichting Benchmark GGZ(SBG) die eind 2018 ophield te bestaan. Vermoedelijk is die nu ondergebracht bij de rechtsopvolger Akwa GGZ, maar daar valt op het internet geen bevestiging over te vinden. De vulling van de ARGUS-database stokte eind 2016/begin 2017, toen duidelijk werd dat de gepseudonimiseerde persoonsgegevens waarmee die gevuld werd als bijzondere persoonsgegevens dienden te worden. Dat, omdat gepseudonimiseerde data in principe tot een persoon herleidbaar zijn. Naar mijn weten heeft nog geen signaal geklonken dat die database weer gevuld mocht worden.

Interesse

Ondanks dat de ARGUS-database nu niet gevuld wordt blijft overeind staan dat we in Nederland in principe ook een centraal gesitueerde database hebben van mensen waarbij  sprake is van vrijheid beperkende interventies in het kader van psychiatrische zorg.  Het gaat dan o.a.  om middelen en maatregelen. Daar is van overheidswege van meerdere kanten interesse in. De voormalig directeur van de Militaire Inlichtingen en VeiligheidsDienst(MIVD), Peter Cobelens, liet zich enkele dagen na tragische aanslagen in Parijs in november 2015 in het programma Pauw op televisie nogal fel daarover uit. Hij liet weten dat alle databases, ook elektronische patiëntdossiers, ten dienste van die diensten horen te staan. De gedachte om massaal data te koppelen is in Nederland ook zeker aanwezig.

Frankrijk gaat te ver

In een poging informatie te krijgen over radicalisering en grip op terrorisme gaat de Franse overheid met de in het recente decreet vastgelegde koppeling van databases wel heel erg ver. Te ver, naar mijn oordeel. Er zijn nu grote stappen gezet op een hellend vlak.  Het is onduidelijk waar de bemoeienis van de staat met medische informatie eindigt. Het criminaliseren en juridiseren van databases met in principe medische informatie is een verkeerde weg en kan contraproductief gaan werken. Het is een speciale vorm van schending van het medisch beroepsgeheim.  Het aparte is ook dat de veiligheidsdiensten in Frankrijk bij diverse aanslagen de daders wel al in beeld hadden, maar met de beschikbare informatie niets deden.

Het blijft verstandig om deze ontwikkelingen in het buitenland te volgen. Ontwikkelingen in ons land in een dergelijke richting worden dan eerder opgemerkt en de pas afgesneden.

W.J. Jongejan, 10 mei 2019

 

 

 




GP at Hand voldoet niet aan eisen van Primary Care Network voor financiering

NHS-mokEnkele malen(A, B, C en D)  eerder berichtte ik over een controversiële wijze van huisartspraktijkvoering in het Verenigd Koninkrijk. Het gaat om GP At Hand. Dat is een kleine groep huisartsen die met gebruik van de app Babylon, huisartsgeneeskunde aanbiedt met triagering met een chatbot(Babylon) en snelle video-consulten. Het grote probleem met dit initiatief is dat men evident doet aan cherry-picking waarbij men geen lastige, complexe patiënten wil aannemen. De praktijken kennen daardoor een groot aantal relatief gezonde mensen tussen de 20 en 40 jaar. Het is een mobiele populatie die dikwijls niet vlak bij de praktijken woont. Deze wijze van praktijkvoering sluit totaal niet aan bij het streven van de National Health Service(NHS) om praktijken te laten samenwerken in zogenaamde Primary Care Networks(PCN). Voor die PCN’s is geld uitgetrokken om die te laten functioneren. Het gaat om 1,8 miljard Pond  in totaal met gemiddeld 180.000 Pond per PCN. Aan de vorming van PCN’s zijn voorwaarden verbonden. In GPOnline op 2 mei 2019 is te lezen dat binnen de huisartsenwereld grote zorgen bestaan over het disruptieve effect op de financiering van huisartsenzorg als GP At Hand de status van een Primary Care Netwerk zou krijgen. Zonder aan de regels voor die organisatievorm te voldoen.

GP At Hand/Babylon

Van die zijde is te lezen dat men met de 50.000 ingeschrevenen  in Londen en Birmingham  zegt zich goed te positioneren als een PCN. Men zou op schema liggen om het registratieproces om een PCN te worden, met als deadline 15 mei 2019. GP At Hand zou ook andere praktijken uitgenodigd hebben zich bij hen te voegen.

GPC/BMA

Het General Practioners Committee(GPC) van de British Medical Association(BMA) laat bij monde van haar voorzitter Richard Vautrey weten dat men niet  begrijpt hoe GP At hand überhaupt zou kunnen voldoen aan de eisen die aan PCN’s gesteld worden door de NHS. Hij zei dat het idee dat een digitale zorgprovider, met grote aantallen patiënten woonachtig ver van waar ze geregistreerd staan, een PCN zouden kunnen vormen, volkomen in tegenspraak  is met wat de NHS elders aan het promoten is.

De kern van de PCN-gedachte is namelijk dat het om netwerken van praktijken gaat waar de mensen bij in de buurt wonen. Bij GP At Hand wringt dat al in London, maar temeer omdat men ook in Birmingham werkt.

Bezwaar uit andere hoek

Vanuit de Londonwide Local Medical Comittee laat de leiding weten dat de plannen van GP At Hand om een PCN te vormen het hele zorgsysteem uit elkaar kunnen rukken met als consequentie dat alle lopende dienstverlening van de NHS in Londen gedestabiliseerd wordt. Dat komt omdat de financiering van huisartsen, de gemeenschap en de ziekenhuizen in de richting beweegt van conglomeraten van mensen die in duidelijk gedefinieerde geografische gebieden wonen.

Voorwaarden

Waar men aan moet voldoen is vastgelegd in de Network Contract Directed Enhanced Service( Network DES). Dat zijn voorwaarden die uit onderhandeld zijn tussen enerzijds het General Practioners Committee(GPC) van de British Medical Association(BMA) en anderzijds NHS England.

Betrokkenen hebben daarin voor de huisartspraktijken vastgelegd dat de te vormen netwerken moeten bestaan binnen aangrenzende  gebieden. Vanuit de Londonwide LMC Vraagt men dan ook aan de NHS om alle praktijken en te vormen netwerken te beoordelen volgens dezelfde regels. Regels waaraan GP At Hand niet voldoet.

Ontregeling financiën

Het probleem dat GP AT Hand heeft gegenereerd bestaat hieruit dat een relatief gezonde populatie wegtrekt naar hun praktijk met de daarbij horende financiële middelen afkomstig van de NHS. De overige praktijken blijven zitten met een bewerkelijke populatie waarvoor de bekostiging afgenomen is.

Ook in Nederland vindt financiering plaats op basis van een gemiddelde mix van patiënten waarbij voor achterstandsgebieden een extra toeslag geldt. Bij het vormen van cherry-pickende praktijken voor zeer mobiele jonge mensen zou ook hier het systeem ernstig van slag raken.

Het is dan ook zinnig de ontwikkelingen in het Verenigd koninkrijk te blijven volgen.

Wordt ongetwijfeld vervolgd.

W.J. Jongejan, 7 mei 2019

 

 




Akwa GGZ zet zorgverlener(therapeut) bij ROM-data verzamelen steeds verder buiten spel

toestemming

Eerder, op 29 maart 2018, schreef ik al op deze website een artikel over welke gevaren het nieuwe privacyreglement van GGZ Nederland, als werkgeversorganisatie in de GGZ, met zich meebrengt. Een nieuw reglement was nodig vanwege het halverwege 2018 ingaan van de Algemene Verordening Gegevensbescherming(AVG). Het gaat daarbij om de ongewenste, zeer grote invloed die zorgbestuurders krijgen over het al dan niet opsturen van ROM-data naar de data-be-/verwerker. Dat was tot voor kort de Stichting Benchmark GGZ(SBG) en nu haar rechtsopvolger Akwa GGZ.  Akwa blijkt in haar werkwijze precies de lijn te volgen die uitgezet is door GGZ Nederland. Die komt erop neer dat de zorginstellingsbesturen als  verwerkings-verantwoordelijken worden beschouwd en niet de zorgverlener/therapeut. De instellingsbesturen beslissen dan over het doorsturen van ROM-data naar Akwa met De Nieuwe Entiteit als be-/verwerker. Voor dat doel heeft Akwa aansluitvoorwaarden voor de zorgaanbieder gemaakt. Let goed op: er staat niet zorgverlener, maar zorgaanbieder. Dat betekent dat men over het wel/niet en op welke manier aanleveren van ROM-data zaken doet met directie en bestuur van een zorginstelling. De zorgverlener/therapeut zelf staat buiten spel.

ROM

Routine Outcome Monitoring(ROM) is opgezet als methode om met het gebruik van scorende vragenlijsten (in te vullen door patiënt) de therapie(vorderingen) te evalueren in de relatie patiënt-therapeut en zo nodig bij te sturen. Dit concept is gekaapt door zorgbestuurders, zorgverzekeraars en overheid om er de kwaliteit van de zorg mee te meten. Iets waarvoor de ROM helemaal niet voor bedoeld was en ook niet voor geschikt is. Ik publiceerde hier op deze website al herhaaldelijk over.

Bizar

Akwa stelt zelf een toestemmingsverklaring op voor de patiënt waarin die gevraagd zal worden om toestemming te geven voor gebruik van informatie uitsluitend voor doeleinden van kwaliteitsverbetering. Dat Akwa die verklaring opstelt is bizar te noemen omdat die toestemmingskwestie om er buiten de patiënt/behandelaar relatie wat mee te doen iets is tussen patiënt en behandelaar. Het is een manier om geleidelijk aan het medisch beroepsgeheim te doen verdwijnen en bestuurders van zorginstellingen te laten beslissen over de data.

Consequentie van toestemmingsvraag

Akwa benadrukt dat het ontwikkelen van ROM voor de behandeling en ROM als leerinstrument het primaire doel is. Pas als dat stevig staat kan gekeken worden of dezelfde data zich ook lenen voor vergelijkingsinformatie en zorginkoop. Maar die laatste twee onderwerpen, die volgens Akwa vallen onder “transparantie van kwaliteit”,moeten nog met pilots op betrouwbaarheid en validiteit bekeken gaan worden. Uiteindelijk is het doel wat Akwa beoogt precies hetzelfde als wat SBG deed, namelijk aansturen op gebruik van ROM-data voor benchmarking en zorginkoop. Als men nu toestemming aan de patiënten gaat vragen om ROM-data te gebruiken dan is het eigenlijk alleen voor zaken rond de behandeling en als leerinstrument. Als in de toekomst de doelstelling van het ROM-gebruik opeens toch benchmarking en zorginkoop zal Akwa de patiënten opnieuw om toestemming dienen te vragen. Of men probeert weer eens uit te gaan van een “veronderstelde toestemming”.

Dwang/geen dwang

Op de website van Akwa GGZ staat een aparte passage over de vraag of het aanleveren van ROM-data verplicht is. Er staat:

Is het aanleveren van gegevens aan Akwa GGZ verplicht?

Nee. Akwa GGZ zal in de toekomst via GGZ Dataportaal gegevens ontvangen van zorgaanbieders over behandelingen ten behoeve van kwaliteitsverbetering. Vanuit Akwa GGZ is er geen verplichting om gegevens aan te leveren of een contract met ons af te sluiten.”

Strikt genomen liegt men niet omdat vanuit Akwa GGZ geen dwang uitgeoefend kan worden om verplicht data aan te leveren. Die verplichting is echter op een heel andere, veel subtielere wijze vormgegeven.

Via kwaliteitsstatuut en zorgverzekeraars

Die dwang zit in de contracten met zorgverzekeraars die gebaseerd zijn op de verplichting tot het hebben van een kwaliteitsstatuut door alle zorgaanbieders in de GGZ. Sinds de enorme commotie om de ROM-data in 2017 en 2018 hanteren de zorgverzekeraars een coulance regeling. Daarin tolereren ze  vooralsnog dat zorgverleners/zorgaanbieders tijdelijk geen ROM-data aanleveren. Dat kunnen ze op elk moment herroepen.

Liegen over status data

Op haar website spreekt Akwa evident niet de waarheid als het gaan om de vraag in welke toestand de ROM-data verwerkt worden. Men schrijft op de website:

“Deze patiëntgegevens worden gewoonlijk anoniem verwerkt. Als dat niet mogelijk is, nemen wij maatregelen om de privacy te waarborgen, bijvoorbeeld door gegevens te anonimiseren. Dit betekent dat die gegevens onder een code worden verwerkt; zo kunnen wij de gegevens niet meer herleiden tot een patiënt.”

 Dit is op zich al een rare en intrinsiek onlogische alinea. Als je data anoniem zegt te verwerken kan je niet zeggen dat als dat niet lukt je ze gaat anonimiseren. Het verhaal over die verwerking is ook ten enenmale onjuist. Het gaat helemaal niet om geanonimiseerde data die aangeleverd worden, maar om gepseudonimiseerde. Die dienen als (bijzondere) persoonsgegevens beschouwd te worden. Dat vond zelfs de voormalig minister van VWS Edith Schippers. Men wil juist de data in gepseudonimiseerde vorm hebben om bij een volgende ziekte(periode) die data bij een patiënt  te kunnen koppelen  aan wat er al van bekend is van die persoon.

Akwa GGZ bezondigt zich hiermee aan dezelfde discutabele zaken als voorheen SBG.

W.J. Jongejan, 3 mei 2019