Na het ROM-debacle nu op weg naar een NZa-privacy-debacle

ROMIn begin 2019 kreeg Akwa GGZ een berisping van de Autoriteit Persoonsgegevens na het overnemen een database met ROM-data. Men moest die database vernietigen. Deze data waren bijzondere persoonsgegevens die de stichting Benchmark GGZ zonder toestemming van de patiënt verzamelde. Het ging om gegevens afkomstig van Routine Outcome Monitoring(ROM). Daarbij vult een cliënt scoringslijsten in over het mentale welbevinden. Deze gebruikt men in de GGZ tussen zorgverlener en cliënt om de therapie te evalueren. Het ROM-debacle herhaalt zich nu vanaf 1 juli 2022 zorgaanbieders in de GGZ een grote hoeveelheid gegevens aan de Nederlandse Zorgautoriteit(NZa) moeten aanleveren, inclusief de volledig ingevulde HONOS+ lijst. Dat is een ROM-instrument. Het aanleveren ervan gebeurt zonder toestemming van de cliënt. Die kan alleen door gebruik te maken van de privacyverklaring zorgprestatiemodel  ervoor zorgen dat een door de zorgaanbieder met betrekking tot de patiënt gestelde diagnose en/of zorgvraagtypering, niet aan de NZa wordt aangeleverd.

Wet Marktordening Gezondheidzorg

De NZa voert als “zelfstandig” bestuursorgaan haar taken uit op basis van de Wet Marktordening Gezondheidszorg, kortweg WMG. Ik schreef zelfstandig tussen haakjes omdat in het verleden al duidelijk werd hoe de NZa aan de leiband van VWS loopt. Dat was bijvoorbeeld door de Gotlieb-affaire. Het zorgprestatiemodel kwam tot stand op aanwijzing van de minister van VWS. Op basis van de WMG heeft de NZa de bevoegdheid om tarieven vast te stellen voor prestaties van zorgaanbieders. Onder prestatie verstaat men dan het leveren van zorg. Door het invoeren van de Algemene Verordening Persoonsgegevens(AVG) op 25 mei 2018 veranderde het nodige ten aanzien van het mogen verzamelen van data van burgers zonder hun toestemming. Het ziet er naar uit dat er nooit een aanpassing heeft plaatsgevonden van de WMG na introductie van de AVG.

Toetsing WMG aan AVG

De aanpassing van de WMG na toetsing aan de AVG is nodig.  Met redenen moet omkleed zijn in hoeverre het delen van de zorgdata proportioneel is ten opzichte van het recht op privacy van patiënten en het medisch beroepsgeheim van de zorgverleners, zulks in het belang van de cliënt. Dat is vooral van belang omdat de NZa zich voor het verzamelen van de data beroept om twee artikelen uit de AVG waarin uitzonderingen staan waarom ze eventueel zonder toestemming data van personen mag verzamelen. De uitzonderingen staan in artikel 6 en 9 van de AVG.

Artikel 6 AVG  

Hierin staat dat de verwerking van data alleen rechtmatig is indien en voor zover aan ten minste één van een aantal voorwaarden is voldaan. Daarbij staat dan onder sub e) dat het wel mag indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

Uitzonderingsgronden in artikel 9 AVG

Dit artikel gaat over bijzondere categorieën van persoonsgegevens met o.a. de vermelding van gegevens over de gezondheid.

Met als uitzondering onder artikel 9 lid 2 sub i:

“de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;”

Uitzonderingsgrond artikel 9, lid 2 sub j

“de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.”

Toetsing WMG aan AVG

Sommigen interpreteren de AVG zo dat als men “onderzoek” of “statistiek” doet stelt dat het gaat over het waarborgen van hoge kwaliteit van de zorg, dan alle dataverwerking zou mogen. Maar dat is toch nog steeds aan regels gebonden. Men moet goed blijven nadenken over doelbinding, proportionaliteit, subsidiariteit, het algemeen belang en niet in delaatste plaats het belang van betrokkenen.

Singling out

De Nza beschikt als zorgaanbieders data moeten opsturen van cliënten over twee datastromen. In de eerste plaats krijgt ze een datastroom met o.a. de HONOS+-gegevens van de zorgaanbieders. Tegelijkertijd krijgt de NZA ook een datastroom vanuit het datacentrum van de gezamelijke zorgverzekeraars Vektis. Die datastroom bevat data op persoonsniveau en bevat geen geaggregeerde geggevens. Ook al krijgt de Nza van de zorgverleners niet de naam van de patiënt, ze krijgt wel de geboortedatum en een gepseudominiseerd burgerservicenummer. Ook krijgt ze het zorgtrajectnummer dat een administratief verband tussen de geleverde zorg en de cliënt aangeeft. Dat nummer zit ook het Vektis bestand. De NZa erkent dat herleiding tot een persoon, het zogenaamde singling out, mogelijk is door de koppelingen van haar bestand aan andere(bijv. van Vektis). Ze zegt die herleiding tot een persoon niet te zullen doen, maar het kan wel. Dat maakt waarborgen, vastgelegd in de WMG noodzakelijk.

Autoriteit Persoonsgegevens

De NZa zegt dat het de regeling tot twee keer voorgelegd heeft aan de AP. Deze heeft beide keren aangegeven geen opmerkingen te hebben bij het concept regelgeving. Om twee redenen is deze passage vreemd. In de eerste plaats kan je niet modus operandi tevoren aan de AP voorleggen met de vraag of deze het op voorhand er mee eens is. De AP zal zich bij zo’n vraag alleen maar in algemene bewoordingen uitlaten. Dat weet de gemeente Enschede inmiddels ook. Die kreeg in 2021 een boete van zes ton van de AP voor wifitracking van burgers. Dit was ondanks het bij de AP in 2017 peilen van de gemeente Enschede bij de AP of dit mocht. Ook het vermelden dat het allemaal wel mag van de eigen functionaris Nza-gegevensbescherming zegt niets. Dat heeft een hoog “Wij van WC-eend adviseren WC-eend-gehalte”.

Geen noodzakelijkheid

Er bestaat bij de overheid de onuitroeibare neiging om bij beleidsondersteuning te kiezen voor het aangeleverd krijgen van data op persoonsniveau. Dat gebeurt ook al bij het DBC-Informatie Systeem(DIS) dat ook onder het beheer van de Nza staat. Het aparte is dat voor beleidsondersteuning helemaal geen informatie op persoonsniveau noodzakelijk is. Aggregatie kan op een laag niveau, bijv. op het niveau van de zorgaanbieder al plaats vinden. Doorsturen van bijzondere persoonsgeggevens naar een een bestuursorgaan, zoals de Nza, is dan niet meer nooodzakelijk. De privacy en het medisch beroepsgeheim schendt men zo niet.

Het lijkt er nu op dat het ROM-debacle zich weer herhaalt, maar nu bij de Nza.

W.J. Jongejan, 24 juni 2022

Afbeelding van Wokandapix via Pixabay