Algemene Rekenkamer: essentieel onderdeel wet tegen zorgfraude onrechtmatig gefinancierd

onrechtmatigOp 3 juli 2020 stuurde minister de Jonge(VWS) het ontwerp Wet bevordering samenwerking en rechtmatige zorg(Wabrz) naar de Tweede Kamer(TK). De behandeling ervan zal pas na het Kamerreces, op 9 september aanvangen. Op de website van de Tweede Kamer verschijnen naast de wetstekst, de memorie van toelichting en het advies van de Raad van State nu ook andere stukken over dit wetsontwerp. Zo ook twee stukken(A, B ) van de Algemene Rekenkamer(AR) over onderdelen van het wetsontwerp Wbsrz, wetsnummer 35515. Men zou kunnen zeggen dat de AR alleen financiële interesse heeft, maar niets is minder waar. Ook bestuursrechtelijke en inhoudelijk controle beschouwt ze als haar taak. Dat bleek o.a. toen de AR gehakt maakte van het gebruik van Routine Outcome Monitoring (ROM)data als basis van zorgbekostiging in de GGZ. Ik schreef daar op 27 november 2017 over. Nu stelt de AR dat de financiering van het Inlichtingenbureau onrechtmatig is.

 Hoe zit Wbsrz in elkaar?

Eigenlijk begon het wetsontwerp met een valse start in juli 2018 toen bij de internetconsultatie bleek dat VWS uit was op een grootschalige doorbreking van het medisch beroepsgeheim. Het wetsontwerp werd daarna herzien. Men wil met de Wbsrz een Waarschuwingsregister zorgfraude aanleggen. Het is bedoeld om zowel natuurlijke personen als rechtspersonen te registreren waarvan de gerechtvaardigde overtuiging bestaat dat zij fraude hebben gepleegd, om andere instanties voor deze partijen te waarschuwen.  Verder wil VWS een stichting Informatie Knooppunt Zorgfraude(IKZ) oprichten. Daarbinnen moet dan informatie afkomstig van CIZ, de colleges van B&W van gemeenten, de IGJ, inspectie SZW, de rijksbelastingdienst, waaronder de FIOD, de zorgautoriteit en zorgverzekeraars verzameld en verrijkt worden. Er bestaat nu al een IKZ, maar als een samenwerkingsverband van de hierboven genoemde veldpartijen. Een organisatie om die data te kunnen verzamelen binnen het IKZ is het Inlichtingenbureau(IB), of beter gezegd de Stichting Inlichtingenbureau.

Het Inlichtingenbureau(IB)

Dat is een private onderneming die 2000 opgericht is door het ministerie van Sociale Zaken en Werkgelegenheid en de Vereniging Nederlandse Gemeenten(VNG). Het is onder meer opgericht voor de coördinatie en dienstverlening ten behoeve van gemeenten bij de verwerking van (persoons) gegevens, voor zover noodzakelijk voor de uitvoering van gemeentelijke taken in de sociale zekerheid. Het IB vervult in dat domein sinds 2000 een knooppuntfunctie voor de gegevensuitwisseling tussen gemeenten onderling. Hierbij is het IB de koppeling tussen enerzijds gemeenten en anderzijds het IKZ. Het IB verricht geen inhoudelijke verwerkingen van gegevens zoals verrijking van de data.

Gevoelige persoonsgegevens passeren het IB. Het is niet geheel toevallig dat er een stichting van gemaakt is. Door die constructie zijn de bezigheden van het IB niet naderhand voor WOB-verzoeken benaderbaar. Zie hiervoor ook.

IB onrechtmatig gefinancierd

In haar opmerkingen op 18 december 2019 over het wetsvoorstel maakt de AR een frappante opmerking over het IB.

Daar staat:

Tot slot merken wij nog het volgende op. Volgens de memorie van toelichting bij het ontvangen wetsvoorstel wordt het Inlichtingenbureau voor een deel gefinancierd vanuit het Gemeentefonds. Dit vinden wij opmerkelijk. Op basis van de Financiële-verhoudingswet moeten de uitgaven uit het Gemeentefonds ten goede komen aan de gemeenten; betalingen vanuit het Gemeentefonds aan organisaties merkt de Algemene Rekenkamer aan als onrechtmatig.”

De AR heeft als kerntaak te bezien of uitgaven van de overheid doelmatig en rechtmatig zijn.   Rechtmatig omdat het in overeenstemming met de genomen regels en besluiten moet zijn, doelmatig om na te gaan of de bestede uitgaven ook daadwerkelijk het gewenste effect hebben gehad.

In de strijd tegen zorgfraude maakt de overheid volgens de AR gebruik van een organisatie  onrechtmatig gefinancierd is, dus onrechtmatig bestaat.

Onrechtmatige constructie

Het is niet zo dat de AR op eigen initiatief het wetsontwerp van commentaar voorziet. VWS moet wel om advies vragen. Dat heeft te maken met de Comptabiliteitswet. Daarin staat in artikel 4.7.lid 4 dat de minister bij het willen uitvoeren van een privaatrechtelijke rechtshandeling advies MOET vragen aan de AR. Die privaatrechtelijke handeling is het oprichten van de Stichting IKZ. De AR laat nu in het advies weten dat de overheid zelf gebruik wil maken van een onrechtmatig gefinancierde privaatrechtelijke organisatie, zijnde het Inlichtingenbureau, om onrechtmatig besteed zorggeld op te sporen. Hoe gek kan je het hebben.

De overheid dient geen onrechtmatig gefinancierde organisaties op te richten en in haar beleid te incorporeren.

Het moge duidelijk zijn dat de Tweede kamer van deze laakbare constructie goede notitie dient te nemen en corrigerend dient te handelen.

W.J. Jongejan, 27 juli 2020

 Afbeelding van DoomSlayer via Pixabay, aangepast door W.J. Jongejan

 




Patiënten vragen rechter om stop op verwerking patiëntgegevens

vrouwe justitia

Onderstaand druk ik integraal het persbericht af dat de groep Stop Benchmark ROM heden uitgaf. In inhoud spreekt voor zich.

Stop Benchmark ROM is een initiatief van mensen en organisaties uit de geestelijke gezondheidszorg, die willen dat de Stichting Benchmark GGZ (“SBG”) ophoudt met het verwerken van gegevens van patiënten in de geestelijke gezondheidzorg. De reden hiertoe is dat SBG de patiëntgegevens in strijd met de wet verwerkt. Omdat SBG weigert de gegevensverwerking te staken zal aan de kort geding rechter 13 juli 2017 bij de Rechtbank Utrecht worden gevraagd om SBG hiertoe te bevelen. Er zijn meer dan een miljoen patiënten in de geestelijke gezondheidszorg.

Zorgverzekeraars en zorgaanbieders hebben een akkoord gesloten waarbij ze als uitgangspunt hebben genomen dat de kwaliteit van de zorg transparant en onderling vergelijkbaar kan worden gemaakt. SBG is opgericht om hiervoor diensten te leveren. Een behandelaar, zoals een psychiater of een psycholoog, stuurt gegevens  over de patiënt en de behandeling naar SBG.  SBG biedt vervolgens rapportages aan zorgaanbieders, zorgverzekeraars en derden, waarmee onder meer de prestaties tussen behandelaars vergeleken kunnen worden. De gegevens die SBG ontvangt zijn zeer gevoelige gegevens: een diagnose zoals alcoholverslaving, erectiestoornis, pedofilie etc., maar ook antwoorden op zeer intieme vragen zoals of iemand zelfmoordneigingen heeft, hoe men familie waardeert etc.

SBG meent dat de gegevens die zij ontvangt geen persoonsgegevens zijn en dat daarom de Wet bescherming persoonsgegevens niet van toepassing is. Dit zou het geval zijn omdat de gegevens gepseudonimiseerd worden aangeleverd. Pseudonimiseren betekent dat in de door SBG ontvangen gegevens geen naam, adres of andere direct identificerende gegevens meer aanwezig zouden zijn. Wat SBG hier echter allereerst over het hoofd ziet is dat er voldoende andere – zogenaamd indirect identificerende – gegevens worden ontvangen door SBG. Met deze gegevens kunnen patiënten ook worden geïdentificeerd. Zo kunnen veel mensen reeds met gegevens als postcodegebied, geboortejaar, geboorteland, geboorteland moeder en geboorteland vader worden geïdentificeerd, dan wel worden teruggebracht tot een klein groepje gegadigden. Daarnaast ontvangt en bewaart SBG ook uniek codes, waarmee zorgaanbieders, zorgverzekeraars of derden, wanneer ze de beschikking zouden krijgen over de gegevens, een patiënt ook direct kunnen identificeren. De wet sluit niet uit dat SBG de gegevens ter beschikking stelt aan derden zoals verzekeraars.  Pseudonimiseren zorgt er dus niet voor dat de gegevens niet zijn te herleiden tot een individuele persoon. Dit hadden overigens de Europese privacy toezichthouders ook reeds geoordeeld in een gezamenlijke opinie in 2014.

Omdat het om persoonsgegevens betreffende iemands gezondheid gaat, mogen deze gegevens in beginsel niet verwerkt worden, behoudens als er in de wet een uitzondering hiervoor is voorzien. Voor SBG komt echter geen uitzondering op het verwerkingsverbod in aanmerking, behoudens dat de patiënt zelf uitdrukkelijk toestemming geeft aan SBG om de gegevens over hem of haar te verwerken. Patiënten hebben echter SBG geen uitdrukkelijke toestemming verleend. Maar zelfs als zou een patiënt toestemming hebben verleend – wat niet het geval is – dan is de verwerking van de patiëntgegevens nog steeds in strijd met de Wet bescherming persoonsgegevens. Ten eerste, omdat de verwerking van patiëntgegevens niet bijdraagt aan het doel van de verwerking, blijkens een analyse van de Algemene Rekenkamer, te weten het vergelijken (benchmarken) van de (resultaten van) behandelingen van patiënten. En daarnaast omdat er methoden zijn om behandelingen van patiënten te vergelijken die veel minder belastend zijn voor de privacy van patiënten. De Wet bescherming persoonsgegevens bevat ook verplichtingen dat de personen wiens persoonsgegevens worden verwerkt, adequaat worden geïnformeerd over wat er met hun persoonsgegevens gebeurt. SBG heeft de patiënten echter niet geïnformeerd over de verwerking van hun gegevens.

Op 13 juli 2017 om 9.00 hr zal er een kort geding plaatsvinden bij de Rechtbank Midden-Nederland te  Utrecht, waarin wordt gevorderd dat SBG de verwerking van persoonsgegevens van patiënten zal staken, omdat deze verwerking in strijd is met de wet.

Tot zover de inhoud van het persbericht van Stop Benchmark ROM




Pseudowetenschappelijke mumbo-jumbo met illegaal verkregen ROM-data

Irubbishn het Engels bestaan soms fraaie uitdrukkingen. Voor betekenisloze nonsens is dat bijvoorbeeld mumbo-jumbo. Het is van toepassing op een recente publicatie van de Stichting Benchmark GGZ(SBG), dat, volledig betaald door de zorgverzekeraars, ROM-gegevens verwerkt die naar de huidige inzichten zeker vanaf 2014 illegaal verkregen zijn. De publicatie, die op 30 mei 2017 verscheen heet: “Langer dan een jaar behandelen. Wat levert het op? Een verkenning van gepast gebruik bij stemmingsstoornissen(Volwassenen Cure)” . Je zou verwachten dat in een periode nu ook de Autoriteit Persoonsgegevens onderzoek doet naar het handelen van de SBG de laatste terughoudend zou zijn met het publiceren van rapporten die op illegaal verkregen data berusten. Niets is minder waar. Het lijkt of SBG met het toch publiceren haar bestaansrecht wil onderstrepen.

Gepast gebruik

In de eerste plaats verraadt de titel ( “gepast gebruik”) al wat met het rapport beoogd wordt, namelijk het aantonen dat er blijkbaar teveel aan zorggelden uitgegeven zou worden aan de behandeling van stemmingsstoornissen. De conclusies, waar ik hierna op terug zal komen verraden, ademen dezelfde teneur. Het  rapport dat door Marko Barendregt  van de SBG geschreven is onderzoekt het effect van therapie na één jaar en van het vervolg ervan na één jaar.

Ongeschikt

Sinds de Algemene Rekenkamer in januari 2017 in een rapport over de bekostiging van de GGZ gehakt maakte van de ROM-systematiek als basis voor zorginkoop, is er grote onrust ontstaan in de GGZ over dit onderwerp. Acht kernpsychiaters schreven al in 2012 hetzelfde en benadrukken dat nu weer. De Random Outcome Monitoring die bedoeld is voor het evalueren en bijsturen van individuele behandelingen wordt door de SBG gebruikt om zorgaanbieders te benchmarken en zorginkoop te sturen. Bij de SBG weet men dat het middel niet erg ideaal is voor dat doel, maar men zegt dat door bijsturen en finetuning het wel te vervolmaken is. Wat gebeurt,  is met de afkorting GIGA te beschrijven. Dat betekent Garbage In, Garbage Out. Ongeschikte data bewerken maken die nooit beter.

Getallen(met domme rekenfout)

Wat zegt SBG in dit rapport dat gebaseerd is op gegevens van ruim 12000 zorgpaden(bijna evenveel patiënten). Bij 78% van de mensen met een stemmingsstoornis was de behandeling binnen een jaar beëindigd. Gemiddeld duurde de therapie 6,6 maanden, met een gemiddelde Delta-T van 10,5. De laatste eenheid is de maat die de SBG hanteert voor de verbetering van de patiënt, gemeten door het verschil tussen de ROM-score voor en na de behandeling te vergelijken. 22% kreeg een vervolgbehandeling na een jaar. Die duurde dan gemiddeld 20 maanden en leidde tot een gemiddelde Delta-T van 11,1 (5,4 voor het eerste jaar en 4,7 voor het vervolg). Met mijn rekenkennis is de som van die twee nog steeds 10,1 en niet 11,1.

Doorbehandelen

Als mensen na een jaar doorbehandeld worden zegt SBG het volgende:

  • Indien verslechterd na eerste jaar. Deze patiënten compenseren in de vervolgbehandeling veel van de verslechtering uit het eerste jaar, maar behouden aan het eind van de behandeling meestal evenveel klachten als aan het begin. Netto behandelresultaat is dus nihil.
  • Indien stabiel na eerste jaar. De behandeling bij deze patiënten komt wat traag op gang, maar lijkt effectiever in het vervolgtraject. Toch is er maar een geringe kans op herstel
  • Indien verbeterd na eerste jaar. Patiënten die in het eerste jaar al veel verbeteren, zetten dit in de vervolgbehandeling doorgaans voort, zij het niet zo hard als in het eerste jaar. Toch herstelt slechts een derde van hen van hun klachten.
  • Indien hersteld na eerste jaar. Deze patiënten waren al hersteld. Toch is besloten tot een vervolgbehandeling. Veel ruimte voor verdere verbetering is er echter niet meer, waardoor de behandelresultaten uiteindelijk tegenvallen.

 Pseudowetenschap

Het gaat nogal ver als op basis van illegaal verkregen data, die bovendien ongeschikt zijn voor het doel waarvoor ze hier gebruikt worden met een vorm van hocuspocus(mumbo-jumbo) getallen gecreëerd worden, die de suggestie wekken dat doorbehandelen na een jaar niet bepaald zinvol zou zijn. Mogelijk dat men ook gehinderd wordt door enig gebrek aan medische, c.q. psychiatrische kennis. Stemmingsstoornissen beslaan een namelijk een groep ziektebeelden die in de DSM IV en ICD 10 hoofdstuk 5 beschreven staan en die voor een deel beslist niet kortdurend zijn. Zo zijn de bipolaire stoornis, de chronische depressie, de recidiverende korte depressie en de dysthyme stoornis ziektebeelden die niet bepaald korter dan een jaar duren en  een leven lang kunnen voorkomen. Bovendien kan het na een jaar behandelen van een stemmingsstoornis nog te kort zijn om vast te stellen of sprake is van een recidiverend probleem.

Het is dus een gemankeerd onderzoeksrapport dat beter niet had kunnen verschijnen in het licht van recente gebeurtenissen. Het etaleert een vorm van pseudowetenschap waarbij uiteindelijk de patiënt de dupe is. Als de zorgverzekeraars op basis van dit soort nonsens-data een dichotomie in de tijdsduur en betaling van behandelingen gaan invoeren is de patiënt uiteindelijk de dupe.

WJ. Jongejan




Autoriteit Persoonsgegevens verre van waaks als privacy-waakhond

AP hondehok met klein hondje

Terwijl de Autoriteit Persoonsgegevens(AP) in haar jaarverslag over 2016 opgeeft over alles waar ze op toe zag o.a. in de zorg, is het goed op deze plaats eens stil te staan bij het aperte falen van de AP. Juist over zaken, waarvan de AP door deelname aan Europees overleg  weet van had, liet ze duidelijk steken vallen. In een aantal landelijke databases worden centraal medische gegevens van burgers opgeslagen. Voorbeelden zijn het DBC Informatie Systeem(DIS), de Argus-database en de ROM-database. Het toezicht daarop is een taak van de Autoriteit Persoonsgegevens.

DIS

In de DIS-database, sinds mei 2015 bij de Nederlandse Zorgautoriteit(NZa) ondergebracht, slaat men diagnoses behorende bij door zorginstellingen gedeclareerde behandelingen  op in de vorm van Diagnose BehandelCombinaties(DBC’s). De persoonsgegevens waaraan die DBC’s gekoppeld zijn worden dubbel gepseudonimiseerd. Lang dachten dataverzamelaars dat die zo bewerkte medische data niet tot een persoon herleidbaar waren en dus geen (bijzondere) persoonsgegevens waren. Als er sprake is van persoonsgegevens moet de patiënt toestemming geven na adequate voorlichting (informed consent) alvorens men die data op mag slaan.

In april 2014 bracht de artikel 29 werkgroep van de Europese toezichthouders een rapport uit waarin gesteld werd dat dubbel gepseudonimiseerde persoonsgegevens toch te beschouwen zijn als persoonsgegevens. Aan die werkgroep nam de rechtsvoorganger van de Autoriteit Persoonsgegevens, het College Bescherming Persoonsgegevens deel. Door tegenstanders van de ongebreidelde dataverzameling in het DIS was al langer betoogd dat de data in het DIS  te beschouwen zijn als (bijzondere) persoonsgegevens.

Toen de Open State Foundation openheid vroeg over de transparantie van zorgkosten aan de beheerders van de DIS-database weigerden deze die gegevens te verstrekken. Daartoe werd zelfs de landsadvocaat ingezet.  Wakker geworden door zoveel rumoer ging de Autoriteit Persoonsgegevens zich eind 2015 hiermee bemoeien en liet in april 2016 weten dat het DIS ondanks de dubbele pseudonimisering toch persoonsgegevens bevat. Door het ontbreken van een toestemming gaat het dus om niet legaal verkregen gegevens. De Autoriteit Persoonsgegevens treedt vervolgens niet handhavend op en staat toe dat deze dataverzameling tot op de dag van vandaag doorgaat. Schrijnend is dat men weet hebbend van de besluiten van de artikel 29 werkgroep in 2014 niet zelf proactief optrad.

Argus

Ditzelfde patroon doet zich voor bij de Argus-database, die de Stichting Benchmark Geestelijke GezondheidsZorg(SBG) beheert. Daarin verzamelt men de informatie over alle vrijheid beperkende maatregelen in de GGZ op persoonsniveau. Die data zijn ook dubbel gepseudonimiseerd alvorens ze opgenomen zijn in de database. Op 9 november 2016 adviseert de brancheorganisatie van werkgevers in de geestelijke gezondheidszorg, GGZ Nederland, haar leden dringend om de data-levering aan het Argus InformatieCentrum bij de SBG te staken. Precies om dezelfde reden als bij het DIS, wat GGZ Nederland in de verklaring overigens ook  benadrukt. Het gaat namelijk om gegevens die ondanks dubbele pseudonimisering toch te beschouwen zijn als (bijzondere) persoonsgegevens. GGZ Nederland rept van een uitspraak van de AP, maar die is op dat moment al een half jaar oud.

ROM

In januari 2017 komt na een rapport van de Algemene Rekenkamer over de bekostiging van de curatieve GGZ een felle discussie op gang over het verzamelen van ROM-data bij de SBG. ROM staat voor Routine Outcome Monitoring en is een methode voor de therapeut en een individuele patiënt om de voorgang van therapie te volgen en bij te sturen. De verplichte centrale verzameling van de ROM-data heeft echter als doel kwaliteitsbeheer, benchmarking van zorgverleners en zorginkoop. De financiers van de SBG zijn overigens de zorgverzekeraars. Tegenstanders verenigd in de werkgroep Stop benchmark met ROM achten het middel totaal ongeschikt voor het doel dat beoogd wordt en laken de wijze van opslag van de data. Omdat het in deze database ook weer gaat om dubbel gepseudonimiseerde gegevens  moeten ze conform de uitspraak van de artikel 29 werkgroep beschouwd worden als persoonsgegevens. Na Kamervragen door Renske Leijten(SP) moest de minister van VWS, Edith Schippers, dat ook erkennen.  Op 11 april 2017 volgt dan een oproep van de SBG aan zorgaanbieders om de aanlevering van ROM-data vooralsnog te stoppen. Ook hier is geen spoor te zien van bemoeienis van de AP. Inmiddels is wel duidelijk dat achter de schermen  GGZ Nederland en de SBG al enige tijd in overleg zijn met de AP over hoe ze zouden moeten handelen, maar dat die discussie niet bepaald vlotte. Het is dan ook een raadsel waarom de AP niet eigenstandig na het publiceren van het rapport van de artikel 29 werkgroep, waaraan ze zelf deelnam, in 2014 een officieel bericht heeft doen uitgaan. Daarin had zij alle organisaties en instanties die centraal opgeslagen (medische) data met persoonsgegevens beheren, kunnen waarschuwen over de consequenties van de uitspraak van die werkgroep. Het lijkt er nu op dat men liever afwachtte tot er ergens problemen ontstonden. Daarmee faciliteert zij echter het wederrechtelijk opslaan van zorgdata en wekt de indruk dat oogluikend toe te staan.

Waakhondje

De Autoriteit Persoonsgegevens(AP)  lijkt daarmee op een te kleine waakhond, die liggend achter in een te groot hok , geen zicht heeft  op, of wil zien,  wat er buiten zijn hok gebeurt. Soms wordt hij aan zijn lijn naar buiten wordt gesleurd en blaft hij soms, maar bijt nooit.

W.J. Jongejan




Voorstanders SBG-ROM-database roeren zich. Verdraaiing en juridische misvatting

football

Het zal zorgaanbieders in de Geestelijke Gezondheidszorg(GGZ), maar ook mensen daar buiten, de afgelopen weken niet ontgaan zijn dat thans een enorme discussie woedt over het gebruik van ROM-data voor benchmarking en zorginkoop. ROM staat voor Routine Outcome Monitoring en heeft als doel het invullen van scoringslijsten voor, tijdens en na de een GGZ-behandeling om het verloop ervan te evalueren en eventueel bij te sturen. Ondanks de inspanningen van zorgaanbieders om aan te tonen dat ROM ten enen male ongeschikt is voor benchmarking en zorginkoop, zijn ROM-data (verplicht)  vanaf 2008 in de database van de Stichting Benchmark GGZ  terechtgekomen. Zelfs de minister heeft recent moeten erkennen dat zulks onwettig is, omdat er geen informed consent van de patiënt aan ten grondslag ligt. Dat, terwijl het wel om een verzameling van bijzondere persoonsgegevens gaat. Langzamerhand beginnen voorstanders van het systeem zich ook te roeren. Zorgverzekeraars Nederland, de financier van de SBG, deed dat vrij snel na het verschijnen van het voor ROM-gebruik vernietigende rapport van de Algemene Rekenkamer over de bekostiging van de GGZ. De directeur van zorgverzekeraar DSW, Chris Oomen, deed op 5 april 2017 ook identieke duit in het zakje in een interview met het online-magazine www.zorgvisie.nl. Op 3 april reageerde de jurist E.B. van Veen van MedLaw Consult via een reactie op een blog-artikel van de psychiater Menno Oosterhoff op de website van Medisch Contact. Opvallend is de SBG-leiding zich niet roert, blijkbaar onder het motto: “Wie geschoren wordt, moet stil zitten”.    

 Zorgverzekeraars

ZN en Chris Oomen van DSW gooien het over de boeg van minimaliseren van de betekenis van het rapport van de Algemene Rekenkamer. Zij stellen dat het rapport schrijft dat gebruik van ROM voor benchmarking en zorginkoop niet helemaal voldoet. Het is echter een omdraaiing van de inhoud van het rapport dat duidelijk maakt dat ROM helemaal niet voldoet voor die doelen. Het is een schaamteloze verdraaiing van zaken in een poging tot “downplaying”. De GGZ-sector verwijt men een gebrek aan transparantie, maar hoe kan je transparant zijn met een ongeschikt middel.

MedLawconsult

Dit bedrijf adviseert overheden, zorginstellingen en koepelorganisaties. In een tamelijk hautain blog-artikel, getiteld “Gerommel rond de ROM’s”  toont de jurist van Veen zich een fervent voorstander van de SBG-ROM-database. Niet verrassend gezien zijn clientèle.  Hij wil dat er een grondslag komt om kwaliteitsregistraties te maken zonder dat organisatoren zich al dan niet met anonimisering in allerlei bochten moeten wringen. Ook zonder dat voor gegevensverwerking ten behoeve van kwaliteitsverbetering toestemming van de patiënt nodig is. Aardig is dat hij de recente opstelling van de minister van VWS dat voor het verzamelen van de ROM-data geen wettelijke basis bestaat een enorme misslag noemt. Hij wil eigenlijk niet praten over de “toestemming of anonimisering”-benadering, maar over de vraag of de gegevens veilig zijn. In zijn optiek zijn ze dat als ze niet buiten de context van de verzameling verwerkt kunnen worden. Hij doelt daarbij op benchmarking en het vrijgeven van op patiëntniveau anonieme overzichten over de performance van GGZ-instellingen. Hij huldigt hiermee een standpunt dat in strijd is met bestaande wet en regelgeving, die juist uitgaat van expliciete toestemming, maar wijst op een achterdeur.

Achterdeur?

Dat is in zijn ogen de Algemene Verordening Gegevensbescherming die op 25-05-2018 de Wbp gaat vervangen. Hij doelt op artikel 9 lid 2 onder i, waar gesproken wordt over toestaan van verwerking om redenen van algemeen belang, zoals het waarborgen van hoge normen inzake kwaliteit en veiligheid van de zorg.

“i) de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim.”

Geen achterdeur

Dit is echter geen achterdeur. Omdat ROM-data voor benchmarking en zorginkoop niet geschikt zijn, ook volgens de gezaghebbende Algemene Rekenkamer, kan er ook geen hoge norm inzake kwaliteit mee gewaarborgd worden. De verwijzing naar bovengenoemd artikel is niets anders dan een misplaatste poging om af te komen van het uitgangspunt, dat gegevens als genoemd in lid 1 van artikel 9 AVG (bijzondere persoonsgegevens) niet mogen worden verwerkt indien deze te herleide zijn tot personen tenzij de expliciet betrokkene toestemming heeft gegeven voor een specifieke verwerking van deze gegevens (specifieke, geïnformeerde toestemming). Van Veen probeert met zijn betoog te beredeneren dat de AVG met betrekking tot de verwerking van bijzondere persoonsgegevens een nieuwe norm zou introduceren. Daarbij zou het zonder specifieke, geïnformeerde toestemming verwerken van herleidbare bijzondere persoonsgegevens dan nu ook mogelijk zijn indien “passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim“.

Onjuist

Dat standpunt is onjuist omdat het hier gaat om een welbepaalde uitzondering die slechts van toepassing is als de voorgenomen verwerking de toetsing aan kernwaarden (doelbinding in relatie tot voorzienbaarheid, noodzakelijkheid, proportionaliteit en subsidiariteit) van het Europees Verdrag voor de Rechten van de Mens(EVRM)(rechten en vrijheden van betrokkene overeenkomstig jurisprudentie art 8 EVRM) kan doorstaan. In zijn redenatie gaat van Veen van MedLawsconsult voorbij aan twee essentiële zaken. Ten eerste het ten enen male ongeschikt zijn van ROM voor benchmarking en zorginkoop. Hij creëert een juridisch bouwsel op evident drijfzand.  En ten tweede dat er geen enkele noodzaak is om voor beleidsondersteuning een systeem te maken met een centrale database waarin medische gegevens op persoonsniveau vastgelegd worden in gepseudonimiseerde vorm.

W.J. Jongejan,

Bij het tot stand komen van dit artikel is dankbaar en met toestemming gebruik gemaakt van passages uit de discussie die ik per email had met de jurist Ab van Eldijk. Hij is voorzitter van de Koepel van DBC-vrije Psychotherapeuten(KDVP) en ook tegenstander van het huidige gebruik van ROM-data voor benchmarking en zorginkoop.




Reactie ZN op ROM-rapport Rekenkamer organisatie onwaardig

drijfzand

Zoals te verwachten was, gaven Zorgverzekeraars Nederland(ZN) en de Stichting Benchmark GGZ (SBG) beide een reactie op het vorige week verschenen rapport van de Algemene Rekenkamer. Dat rapport ging over de bekostigingssystematiek van de Geestelijke GezondheidsZorg(GGZ), maar was te lezen als één lange afkeuring van het gebruik van de Random Outcome Monitoring(ROM)-vragenlijsten bij het benchmarken in de GGZ en de zorginkoop door zorgverzekeraars. In hun reacties ontkennen ZN en SBG de problematiek. ZN gaat daarbij het verste door het ROM-men bij de ontwikkeling van een nieuw bekostigingsmodel voor de GGZ, volgens het “Engelse model”, volledig buiten beeld te laten. En dat terwijl de Algemene Rekenkamer(AR) stelt dat het belang van ROM in 2019 als het nieuwe bekostigingsmodel moet ingaan juist groter wordt. Het is een vorm van bewust onjuist samenvatten van een gedegen rapport van een alom gerespecteerde en kritische instantie. Het is weer eens een uiting van de manipulatie van berichtgeving met PR-technieken om er eigen voordeel mee te bereiken. Dat is een grote organisatie als ZN onwaardig.

 

Containment

Zowel ZN als SBG proberen de geest weer in de fles, die ontkurkt is door de Algemene Rekenkamer, te krijgen; de schade te beperken dus. ZN kwam op 31 januari met een persbericht. In de eerste zinnen trekt ZN de zaak breed door te stellen dat  partijen in de GGZ daarover afspraken hebben gemaakt voor gepast gebruik en transparantie. Het is een manier om te zeggen: “Ja, maar de sector wil het zelf ook”.  Men vermeldt niet dat de medewerking van zeer veel werkers aan het ROM-men afgedwongen is. ZN stelt dat het rapport geen recht doet aan de inspanningen van betrokken partijen die hard werken aan de verbetering van de kwaliteit en doelmatigheid in de GGZ. ZN beweert dat volgens de AR de kwaliteitsgegevens op basis van ROM nog van onvoldoende kwalitatief niveau zijn om te gebruiken voor uitkomstenbekostiging in de GGZ.  Het is heel subtiel, maar dat woordje nog is helemaal niet gebruikt door de AR. Die stelt dat de ROM-systematiek uitsluitend iets zegt over het verloop van een individuele behandeling, maar absoluut onbruikbaar, dus onvoldoende, is voor benchmarking(vergelijken op gemiddelde behandeluitkomst)  en zorginkoop(vergelijken op kwaliteit).De uitkomsten van ROM zijn namelijk per definitie subjectief. Het betreft immers zelfrapportages door de patiënt. In het rapport van de Rekenkamer staat dit klip en klaar verwoord op de pagina’s 20 tot en met 23.

Onwaardig

In de laatste alinea van het persbericht gaat ZN op de ontwikkeling van een nieuwe productstructuur volgens het “Engelse model”(pagina 28 t/m 31). ZN doet in haar tekst voorkomen dat in de tekst van de AR niets staat vermeld over het gebruik van ROM in die nieuwe systematiek die per 1 januari 2019 zou moeten gaan werken. De AR geeft op pagina 29 aan dat voor het vaststellen van de zorgvraagzwaarte van ROM gebruik wordt gemaakt. Ook bij evaluaties die in de nieuwe structuur voorzien zijn, wil men ROM gebruiken.  Aan het einde van het betoog geeft de AR op pagina 31 aan dat het belang van ROM zelfs groter wordt in het voor 2019 beoogde nieuwe bekostigingsmodel. ROM wordt, zo zegt de AR, gebruikt voor het vaststellen van het passende zorgcluster voor patiënten in de productstructuur en ROM moet een rol gaan spelen bij het evalueren van het op- en afschalen van de zorg.

Het op deze wijze onjuist samenvatten van het AR-rapport is een poging het eigen gelijk te bevestigen en is een serieuze organisatie, die ZN zegt te zijn, onwaardig.

SBG

Deze stichting gaat er iets minder met een gestrekt been in door in een artikel op het online magazine Zorgvisie te stellen dat het allemaal wat genuanceerder ligt. De directeur Maarten Erenstein stelt dat ROM, mits goed toegepast juist kan helpen om de kwaliteit in de GGZ te verbeteren. Hij gaat daarbij bewust volledig voorbij aan wat de AR zegt over het gebruik van ROM buiten de beoordeling van een individuele behandeling. De AR geeft aan dat ten aanzien van benchmarking en zorginkoop de ROM-systematiek gewoon drijfzand is. De SBG heeft op dat drijfzand een fors bouwsel neergezet en weigert in te zien dat men verkeerd bezig is.

KDVP

Inmiddels is de laatste paar dagen door een aantal kritische werkers en ervaringsdeskundigen uit de psychiatrie/psychotherapie de groep StopROM.com opgericht. Op die website trekt de voorzitter van de Koepel van DBC-Vrije Psychotherapeuten(KDVP), mr. A. van Eldijk, een ragfijne conclusie. Hij geeft aan dat de conclusie van de Algemene Rekenkamer dat de verzamelde gegevens niet geschikt zijn om gebruikt te worden voor benchmarking, tot gevolg heeft dat de SBG met niet noodzakelijke doorbreking van privacy en beroepsgeheim onrechtmatig gegevens verwerkt. Daar doet de regeling over verplichte aanlevering van gegevens aan SBG niets aan af. Ook die onderliggende regelgeving moet voldoen aan kernwaarden van het privacyrecht zoals vastgelegd in het Europees Verdrag voor de Rechten van de Mens (EVRM).

Kleren van de keizer

Wat we nu zien is precies wat er in het sprookje van de nieuwe kleren van de keizer zich afspeelt. Terwijl door een (buitenstaander) kind geroepen is dat de keizer naakt rondloopt durven allerlei hoogwaardigheidsbekleders nog te roepen dat de keizer nog kleren aan heeft. Het volk (het GGZ-werkveld) heeft al lang door dat het niet zo is.  Hier wreekt zich dat beleidsmakers de grondslag voor het opbouwen van een abstract stelsel verkeerd gekozen hebben. Men koos voor ROM met de gedachte dat iets, hoe onvolkomen ook, beter was dan niets. Waarschuwing van werkers om niet op een dergelijke basis te aan werken zijn in de wind geslagen.

We staan nu op een omslagpunt ten aanzien van het denken over het werken met de ROM-systematiek. Het is zaak dat de werkers nu de rug recht houden en zich niet andermaal laten overrulen door managers en consultants.

W.J. Jongejan

 




Algemene Rekenkamer maakt gehakt van ROM in curatieve GGZ-financiering

De Algemene Rekenkamer(AR) heeft op 26 januari 2017 een rapport gepubliceerd over de bekostiging van de curatieve geestelijke gezondheidszorg(GGZ). Daarin komt het begrip ROM veelvuldig voor met zeer negatieve opmerkingen over het huidige gebruik ervan. ROM staat voor Routine Outcome Monitoring. Het is een methode om eventuele vooruitgang bij therapie in curatieve GGZ te trachten vast te leggen. De patiënt dient daarbij voor, tijdens en na de therapie vragenlijsten in te vullen over zijn/haar geestelijke gezondheid. Het ROM-men is verplicht gesteld. Voor het verzamelen en beheren is een hele organisatie opgetuigd, de Stichting Benchmark GGZ. De Algemene Rekenkamer betoogt in haar rapport dat de ROM-systematiek ongeschikt is voor het vergelijken op de gemiddelde behandeluitkomst(benchmarking) en voor het vergelijken op kwaliteit bij de zorginkoop. Het trieste bij deze constatering is dat psychiaters van naam, zoals Jim van Os en vele anderen die werkzaam zijn in de GGZ uitgebreid hiervoor gewaarschuwd hebben.

Depreciatie

De afkeuring van het ROM-men in de huidige vorm is niet direct in de titel van het rapport te lezen. Ook op de webpagina waar men het rapport kan downloaden is geen verwijzing naar ROM-men te vinden. Bij lezing van het 58 pagina’s tellende rapport valt het wel zeer duidelijk op.

Naast de opmerkingen die de AR over ROM maakt legt ze ook zeer duidelijk het verschil in onderhandelingspositie van zorgaanbieders in de GGZ bloot. Op blz. 17(hoofdstuk 2.2) onderaan maakt de AR uidelijk waarin de onderhandelingspositie  van grote GGZ-instellingen en de duizenden vrijgevestigde behandelaren(en instellingen met een relatief kleine omzet)  verschillen . De eersten hebben een aanzienlijke informatievoorsprong en de laatsten niet. Daardoor krijgen de laatsten standaardcontracten met een TROG-toelichting (Teken Rechts Onder Graag)

ROM

Vanaf hoofdstuk 2.3(blz. 18) wordt het vanwege de ROM zeer interessant.

De AR constateert dat de ROM gebruikt wordt voor :

  1. het volgen van het verloop van de individuele behandeling
  2. het benchmarken: de vergelijking op gemiddelde behandelovereenkomst
  3. zorginkoop: vergelijken op kwaliteit.

Voor het volgen van een individuele behandeling kan ROM misschien iets zeggen. Het doel is bij de individuele patiënt dat de behandelaar informatie krijgt over het verloop van de behandeling en op basis daarvan zelf beslissingen kan nemen. In een nadere uitwerking laat de AR zien dat de ROM bij  de laatste twee punten, op geaggregeerd niveau, niet bepaald betrouwbaar en ronduit slecht te gebruiken is. Als belangrijkste bezwaren geeft de AR het  per definitie subjectieve karakter van de ROM-score aan naast de onvolledigheid van de gegevensverzameling.(blz 21.) Ook de zorgvraagzwaarteindicator, iets waaraan sinds 2013 gewerkt wordt, is niet zo geschikt, omdat de zeggingskracht van die indicator op patiëntniveau, zeer beperkt is volgens de AR, nl 6,5 %!!!

Kritiek gaat verder

Op blz. 22 stelt de AR dat er geen methodologische basis is voor het baseren van de kwaliteit van de zorg op de behandeluitkomsten van individuele behandeltrajecten. Op blz. 23 gaat men bij de onderhandelingen over de zorginkoop  nog iets verder

“In het bestuurlijk akkoord van 2010 is ook afgesproken dat zorgverzekeraars toegang hebben tot de benchmarkinformatie bij SBG. Zorgverzekeraars willen hiermee inzicht krijgen in kwaliteitsverschillen tussen zorgaanbieders en ze willen deze informatie gebruiken bij de onderhandelingen over de zorginkoop. In de context van deze onderhandelingen wegen alle hiervoor genoemde beperkingen van het gebruik van ROM – subjectiviteit, onvolledigheid en onvergelijkbaarheid van de scores – extra zwaar door in de bruikbaar­heid van de informatie. Er moet voldaan worden aan hoge eisen van betrouwbaarheid, volledigheid en vergelijkbaarheid van de uitkomsten als zorgverzekeraars hieraan conclu­sies kunnen en willen verbinden over de kwaliteit van zorgaanbieders, en als deze informa­tie consequenties kan hebben voor de zorginkoop. Bovendien is het een reëel gevaar dat als zorgverzekeraars gaan handelen op basis van informatie van slechte kwaliteit, dit strategisch gedrag bij zorgaanbieders uitlokt. Uiteindelijk kunnen door het strategisch gedrag de ROM-scores vervuild raken en daardoor ook niet meer bruikbaar zijn in de behandelsetting en voor de benchmark.”

Daarna gaat de kritiek op het ROM-men nog even door, ook in de beschrijving en behandeling van de nieuwe productstructuur waar de NZa aan werkt en die een relatie legt tussen diagnose, zorgvraag en behandeling(blz.29).

Conclusie Rekenkamer

In de Conclusie en aanbevelingen stelt de AR in hoofdstuk 4.1(blz. 33) nogmaals vast dat de ROM-metingen subjectief en onvolledig zijn, en dat zorgaanbieders aan de hand van de uitkomsten niet te vergelijken zijn. In hoofdstuk 4.2(blz. 34) zegt de AR dat haar uitkomsten in lijn zijn met een internationale studie van(Moynihan & Beazley, 2016). Dez studie geeft aan dat er een gat is tussen de wens om kwaliteitsindicatoren te gebruiken in de bekostiging en de problemen die er zijn bij het objectief en betrouwbaar vaststellen van deze indicatoren. In aanbeveling 4(blz. 36) waarschuwt de AR de minister van VWS dat voorkomen moet worden dat de sector tijd gaat steken in het verzamelen van gegevens die uiteindelijk onvoldoende bruikbaar blijken te zijn in de bekostiging.

Minister

De minister antwoordt in hoofdstuk 5(blz. 38) en komt in conclusie 3 aan de ROM toe. Enerzijds zwakt ze betekenis ervan af anderzijds houdt ze er toch stevig aan vast. Er is ook een zeer subtiel verschil in de uitleg van de afkorting. De AR heeft het net als de zorgaanbieders over Routine Outcome Monitoring, terwijl de minister spreekt over Routine Outcome Measurement. In de repliek van de AR op de minister stelt de AR fijntjes vast dat er momenteel in het openbare kwaliteitsregister kwaliteitsindicatoren zijn opgenomen op basis van ROM terwijl de gebruiksmogelijkheden door de beperkingen van het ROM-men volgens de AR evident zijn.

Kinderliedje

In het licht van het huidige winterseizoen kan het verhaal van de minister en de Algemene rekenkamer  gezien worden als een moderne variant van het liedje van het mannetje dat een huisje op het ijs bouwde en gewaarschuwd werd dat niet te doen.

We kennen de afloop. De moderne variant:

Daar was eens een ministerie, dat was niet wijs,

Dat bouwde een ROM-huis al op ’t ijs;

’t Begon te dooien, maar niet te vriezen,

Toen moest dat ministerie het ROM-huis verliezen.

 W.J. Jongejan

 




Tweede Kamer commissie wil niet eID-uitrol ingerommeld worden

globe-205189_640

Om het DigiD-stelsel te kunnen vervangen werkt het ministerie van Binnenlandse Zaken al enige tijd aan het eID, het elektronisch identificatiemiddel. Op 28 september was er een algemeen overleg van de vaste Tweede Kamercommissie voor Binnenlandse Zaken over de uitwerking van de plannen voor de opvolging van de DigiD. Die wordt als te kwetsbaar ervaren en vormt door de eenzame plaats, die het nu inneemt, een zogenaamd “single point of failure”. In het overleg vorige maand werd minister Plasterk van Binnenlandse Zaken zeer kritisch bevraagd door de commissieleden. Daarbij ventileerden de commissieleden de angst dat er sluipenderwijs zonder duidelijk beslismoment een systeem geïntroduceerd wordt door de minister. Langs de weg van allerlei pilots in het veld lijkt men naar een soort fait accompli toe te werken zonder expliciet “go/no go-moment”. Kritische input kwam voor deze vergadering kwam van de Algemene Rekenkamer(onverwacht), de Autoriteit Persoonsgegevens, het Bureau ICT Toetsing(BIT), en de commissie Kuipers. Het BIT is als tijdelijke organisatie recent opgericht door de overheid om risicovolle ICT-projecten bij de overheid vooraf te toetsen. Minister Plasterk stelde de commissie Kuipers in om de mogelijkheden en de wenselijkheid van de diverse identificatie- en authenticatiemiddelen te evalueren die in pilots worden getest. 

Kritiek

De kritiek van de Algemene Rekenkamer bestond uit meerdere organisatorische, financiële en praktische bezwaren die de minister in een repliek er op naar het oordeel van de Rekenkamer niet afdoende kon ontzenuwen. Het gebrek aan eenduidige leiding en onduidelijke financiële onderbouwing vond de Rekenkamer met name zeer moeizame issues. De Autoriteit Persoonsgegevens liet weten dat er geen sprake was van privacy-by-design, geen goede incidentbeheersing en toezicht, en ook het beveiligingsniveau van het DigiD dat tijdens de ontwikkeling van het eID nog gebruikt wordt onvoldoende is. Het BIT vond dat hoewel er gewerkt was aan het verminderen van de complexiteit van het nieuwe systeem het gevaar van een te grote complexiteit nog steeds niet geweken is. Tenslotte gaf de commissie Kuipers aan dat ondanks datgene wat bereikt was in de pilotprojecten nog veel gedaan moest worden. Bovendien blijft de bekostiging van het nieuwe identificatiemiddel nog een open zaak. Het is dus niet niks wat deze instanties te berde brachten voor de start van het algemeen overleg in de Tweede Kamer. Het gaat om fundamentele kritiek.

 eHealth

Tijdens de bespreking met de minister komt herhaaldelijk het belang van het nieuwe eID ter sprake ten aanzien van de zorg. Met het nieuwe elektronische identificatiemiddel zou de burger zich moeten kunnen identificeren bij het inloggen in systemen of apps. De bespreking laat dus duidelijk zien dat de Tweede Kamerleden zich realiseren welke plaats het beoogde eID inneemt in de zorg. Vertraging in de eID-ontwikkelingen betekenen ook hetzelfde voor initiatieven om bijvoorbeeld de patiënt inzage te geven in zijn/haar zorgdata via portalen. Een link met het recent in de Eerste Kamer aangenomen wetsvoorstel 33509 is dan ook snel gelegd.

Zorgen

Ondanks alle zorgen van de leden van de vaste Tweede Kamercommissie voor Binnenlandse Zaken lijkt de minister onverdroten door te blijven gaan op het huidige pad. De Kamerleden zaten de minister strak achter de broek om nu eindelijk een business case te maken over het EID. Iets waar de Algemene Rekenkamer ook fors op aangedrongen had. De proces rond de invoering van het eID heeft veel weg van andere grote ICT-projecten bij de overheid. Het ministerie bereidt initiatieven voor, doet pilotprojecten en creëert een situatie waarin geen weg terug lijkt te zijn. Het lijkt weer op een olietanker die na het van stapel lopen vaart gegeven wordt en dan niet te stoppen lijkt. Het meest zorgelijke aan het geheel is dat een instantie als het Bureau ICT Toetsing, in het leven geroepen door de overheid, na  een parlementair onderzoek vanwege veel mislukte overheids-ICT projecten, waarschuwt voor een te grote complexiteit en alles toch doorgaat.

 Vraag

Terwijl SP-Kamerlid van Raak in de commissievergadering duidelijk zijn zorg uitspreekt in de uitrol van een ter discussie staand systeem te rommelen, geeft VVD-fractielid mevrouw de Caluwé aan deze gevoelens zeer wel te begrijpen en dringt bij de minister aan op een aantal heldere beslismomenten. Gezien het belang van een goed elektronisch identificatiemiddel voor de burger, het bedrijfsleven en de overheid zullen we gezien de huidige stand van zaken beslist nog veel van gaan horen over de opvolging van de DigiD.

W.J. Jongejan




Verrassend kritisch onderzoek Rekenkamer over eID-stelsel

font-373710_640

De Algemene Rekenkamer(AR) publiceerde op 8 september 2016 een zeer kritisch rapport over de vernieuwing van het stelsel voor digitale identificatie en authenticatie, het zogenaamde eID-stelsel. Het rapport is bedoeld voor gebruik door de Tweede Kamer om die in staat te stellen gefundeerde keuzes te maken over de definitieve inrichting van het eID-stelsel. De bedoeling van het rapport is dat het kabinet richting Tweede Kamer duidelijkheid schept over de randvoorwaarden van het eID-stelsel. Op de website van de AR is een korte samenvatting te vinden. Het rapport is kritisch over de bezigheden van de overheid, met name van het ministerie van Binnenlandse Zaken. Verrassend is het, omdat de AR nu eens niet achteraf begrotingen en budgetten onder de loep neemt, maar proactief in het ontwikkelstadium al luid aan de bel trekt. Naast waarschuwingen over de financiële kant van de stelselvernieuwing, geeft de AR ook aan dat het niet duidelijk is wie welke verantwoordelijkheden draagt, dat de “governance” niet ondubbelzinnig geregeld is. De AR mengt zich in dit geval op heel terechte gronden in het ontwikkelingsproces van een zeer privacygevoelig onderwerp in plaats van een boekhoudkundige controle achteraf. Het bijzondere aan het rapport is ook dat het de reactie erop bevat van de verantwoordelijke minister van Binnenlandse Zaken, Ronald Plasterk, plus de repliek van de AR.

eID

Al enige tijd wordt er gewerkt aan de opvolger van de DigiD. Die opvolger werd lange tijd het eID genoemd, het elektronisch identificatiemiddel. Het is een identificatie- en authenticatiemiddel voor burgers om digitaal te communiceren met de overheid. Om burgers en bedrijven in staat te stellen veilig online (overheids)diensten af te nemen of hun zaken met de overheid digitaal te regelen, moeten zij hun identiteit kunnen aantonen door gebruik van een zogeheten authenticatiemiddel, zoals nu DigiD voor burgers of eHerkenning voor bedrijven. DigiD met daarbij SMS-notificatie is niet afdoend, zodat mede in het licht van de toekomstige digitale mogelijkheden de noodzaak ging ontstaan voor andere en ook meer zekere inlogmogelijkheden. Het DigiD vormde ook een “single point of failure”. Als  er iets mee mis gaat dan zou er geen uitwijkmogelijkheid zijn.

Middelen

Er komen nu verschillende authenticatiemiddelen

  • De overheid zelf ontwikkelt enkele, die worden aangeduid als publieke eID-middelen. Het gaat daarbij bijv. om moderne officiële overheids-identiteitsmiddelen(paspoort, rijbewijs, ID-kaart), die voorzien zijn van een chip en door smartphones met een Near Field Chip(NFC) uit te lezen zijn. Ik berichtte er al eerder over. Het principe heet Remote Document Authentication. Voor dit type middelen is de minister van Binnenlandse zaken verantwoordelijk.
  • De tweede categorie zijn de authenticatiemiddelen, onder de merknaam eHerkenning en Idensys, die gebaseerd zijn op publiek/private samenwerkingsverbanden. Het gaat hierbij om het afsprakenstelsel elektronische toegangsdiensten(ETD-stelsel). Hiervoor is de minister van Economische Zaken verantwoordelijk.
  • De derde categorie is de inzet van bankmiddelen(bankpas en kaartlezer) in het publieke domein. Het omvat de toepassing van authenticatiemiddelen van banken (merknaam: iDIN). Met deze inlogmiddelen van banken wordt het straks mogelijk om elektronisch belastingaangifte te doen. De werking is vergelijkbaar met het gebruik van iDeal voor betalingen. De staatssecretaris van Financiën is hiervoor verantwoordelijk.

U ziet dat het om een verscheidenheid aan middelen gaat met wel drie verantwoordelijke ministeries.

Conclusies rekenkamer

Samenvattend is het beeld van de Algemene Rekenkamer, dat tot en met het voorjaar van 2016 nog niet is voldaan aan een aantal onderzochte belangrijke randvoorwaarden.

  • De verantwoordelijkheden voor het eID-stelsel zijn niet eenduidig belegd en de governancestructuur is nodeloos ingewikkeld.
  • Op wezenlijke onderdelen van het eID-stelsel moeten nog besluiten worden genomen of uitgewerkt, bijvoorbeeld over de eisen waaraan nieuwe middelen moeten voldoen, over de privacybescherming en het toezicht.
  • Een actuele integrale business case en alternatievenafweging ontbreken vooralsnog, waardoor niet duidelijk is wat de totale kosten zullen zijn (voor 2016 en 2017 heeft de minister € 23 miljoen extra aan ontwikkelingskosten uitgetrokken). Er is evenmin een duidelijk antwoord op de vraag wat de nieuwe digitale identificatiemiddelen de individuele burger gaan kosten.
  • Een integrale visie op de inrichting van het toezicht voor het eID-stelsel ontbreekt.

De minister van Binnenlandse Zaken probeerde de AR gerust te stellen over deze kritiek. Daarover heen stelt de AR dan weer, dat de minister haar met het gegeven commentaar absoluut niet gerust stelt.

Privacybescherming?

Wat betreft de privacybescherming merkt de AR nog iets opmerkelijks op. In de pilotfase van de het eID-stelsel is er bijv. geen ”end-to-end encryptie”. Dit wil zeggen dat er geen versleuteling van gegevens is vanaf het begin( gebruiker) tot het einde(de dienstverlener). Om de privacy optimaal te beschermen is ”end-to-end encryptie” gewenst. Het is nog onduidelijk of dit voor het uiteindelijke stelsel het geval is. Ditzelfde probleem van onvolledige end-to-end encryptie speelt ook bij het Landelijk SchakelPunt(LSP) voor de uitwisseling van medische data tussen zorgaanbieders. Daar zijn de gegevens binnen de centrale computer van het LSP kortdurend onversleuteld aanwezig als een zorgaanbieder gegevens opvraagt bij een andere zorgaanbieder.

 Verantwoordelijkheid nemen

Het is uitzonderlijk, maar wel zeer terecht, dat de Algemene Rekenkamer wat betreft de voorgenomen inrichting van het eID-stelsel haar maatschappelijke verantwoordelijkheid neemt ten aanzien van overheidsbeslissingen. Het doel van dit rapport is om ervoor te zorgen dat het kabinet duidelijkheid schept over de randvoorwaarden van de definitieve inrichting van het eID-stelsel. De AR biedt de Tweede Kamerleden op deze wijze extra informatie, die een tegenwicht kan vormen voor wat de bewindslieden inbrengen.

W.J. Jongejan