Onbegrijpelijke gebeurtenis met geheime stukken in rechtszaak Vrijbit

geheim

Tijdens één van de zittingen van de rechtbank Midden-Nederland op vrijdag 15 februari 2019 in de zaken die de burgerrechtenvereniging Vrijbit tegen de Autoriteit Persoonsgegevens(AP) aanspande deed zich iets zeer opmerkelijks voor. Ik beschreef zeer recent(14 februari 2019) deze twee zaken op deze website. In dat artikel maakte ik al melding van het feit de AP na het verstrijken van elk redelijke termijn in september 2018 plotseling een flinke stapel papier  bij de rechtbank deponeerde. Daarbij de melding dat een aanzienlijk deel van deze stukken onder geheimhouding werd aangeleverd en dus niet aan de eisende partij, Vrijbit, geopenbaard mocht worden. De rechtbank blijkt deze gang van zaken geaccepteerd te hebben.  De jurist Ab van Eldijk die samen met Vrijbit voorzitter Miek Wijnberg, de eisende partij vertegenwoordigde was  echter volstrekt verbijsterd toen de AP ter zitting alsnog enige geheime stukken wilde inbrengen.

Gang van zaken

De geheime stukken bracht de AP in de zaak UTR 16/3326 WBP V97 in.  Bij deze zaak gaat om het afgewezen verzoek van Vrijbit op 3 mei 2015 aan de AP om een eind te maken aan de onrechtmatige verzameling en verwerking van medische gegevens door de zorgverzekeraars. Ter zitting meldde de voorzitter  van de rechtbank dat de onder geheimhouding door de AP ingebrachte stukken ter beoordeling waren voorgelegd aan een andere rechter in de rechtbank, belast met het beoordelen van geheime stukken. Die had geoordeeld dat het geheimhouden van deze stukken, die betrekking hadden op de kern van deze procedure, te weten de verwerking van medische persoonsgegevens bij zorgverzekeraars, gepermitteerd werd,  en niet ter beschikking gesteld behoefden te worden aan Vrijbit.

Loos gebaar

Ter zitting kreeg Vrijbit alsnog één A4-tje uitgereikt, met daarop de omschrijving van een tweetal stukken die de AP ter plekke nog aan het dossier wilde toevoegen.  Het is bevreemdend dat de rechtbank niet direct  bezwaar gemaakt heeft tegen het verzoek van de AP om op deze wijze ter zitting nieuwe stukken in te brengen. Overigens is het verzoek om geheimhouding afkomstig van  zorgverzekeraars die informatie met betrekking tot de verwerking van medische persoonsgegevens menen te kunnen aanmerken als geheime bedrijfsinformatie.

No fair trial

Op de hierboven beschreven wijze is er geen sprake van een “fair trial”. Een tegenpartij die nota bene toezichthouder is op privacy-zaken traineert gedurende enkele jaren een procedure over de systematische grootschalige verwerking van medische persoonsgegevens in strijd met de wet en verdrag. Zij meent dat in een dergelijke even gevoelige als belangrijke procedure stukken geheim gehouden kunnen worden die betrekking hebben op de (onrechtmatige) wijze waarop zorgverzekeraars medische persoonsgegevens verwerken die zijn verkregen met doorbreking van het medisch beroepsgeheim.  Van een gelijke informatiepositie van procespartijen is daarmee geen sprake meer. Als informatie over de wijze waarop medische persoonsgegevens worden verwerkt door zorgverzekeraars gemaakt wordt tot geheime bedrijfsinformatie dan wordt daarmee een vrijbrief afgegeven voor elk gebruik van beschikbare medische persoonsgegevens, omdat controle daarop tot een illusie is geworden.

Ingewikkeld

Eén van de punten die in deze zitting aan de orde kwam was de beperking in het onderzoek naar de zorgverzekeraars dat de AP zich zelf had opgelegd. De zaak ging erom dat er een einde wordt gemaakt aan de wijze waarop zorgverzekeraars in Nederland volgens procedures beschreven in de  Gedragscode  Zorgverzeke-raars (medische) persoonsgegevens verzamelen en verwerken op een wijze die strijdig is met nationale en internationale wetgeving ter bescherming van het recht op een privéleven en die tevens een inbreuk vormt op het medisch beroepsgeheim. Je zou dan ook verwachten dat de AP onderzoek gedaan had bij alle zorgverzekeraars en bij de overkoepelende organisatie Zorgverzekeraars Nederland. Dat was niet het geval. De AP beperkte zich tot vier zorgverzekeraars. In de rechtszaal was Zorgverzekeraars Nederland ook niet aanwezig. Wel had zorgverzekeraar Zilveren Kruis ter zitting een advocaat afgevaardigd. Hij sprak welgeteld drie korte zinnen tijdens de zitting.

Onbevredigend

De vertoonde procesgang maakte op mij een zeer onbevredigende indruk. Het beeld bleef hangen van een wegdraaiende en duikende AP, die door niet handhavend op te treden de belangen van zorgverzekeraars laat prevaleren boven de belangen van burgers, boven het belang van het medisch beroepsgeheim en het behoud van vertrouwelijkheid in de zorg.

De rechtbank probeert over zes weken de uitspraak te doen, maar de voorzitter liet weten dat gezien de ingewikkeldheid van de materie mogelijk de uitsteltermijn van nog eens zes weken in beeld komt.

W.J. Jongejan, 18 februari 2019

19 februari 2019:  wat tekstuele aanpassingen in meerdere alinea’s door informatie  verkregen van andere ter zitting aanwezigen.

 




Geheimzinnigheid Autoriteit Persoonsgegevens in principiële rechtszaken

geheime stukken

Aanstaande vrijdag 15 februari 2019 dienen in de ochtend twee zeer interessante zaken over het verzamelen en verwerken van medische gegevens bij de Rechtbank Midden-Nederland in Utrecht. Locatie: Vrouwe Justitiaplein 1. Het gaat om zeer principiële zaken bij de bestuursrechter. De burgerrechtenvereniging Vrijbit voert die al enige tijd. In beide zaken is de Autoriteit Persoonsgegevens(AP) de gedaagde partij. De procesgang duurt al vanaf 2015. De AP heeft op velerlei wijzen de procesgang ernstig vertraagd. Om 09.00u dient de zaak UTR 16/4199 WBP V93 en om 10.30u de zaak UTR 16/3326 WBP V97. Over dit onderwerp  schreef ik al eerder op 15 maart 2017. De komende zittingen zijn zeer interessant voor geïnteresseerden in de privacy van burgers en van patiënten in het bijzonder. De zaken zijn een voortzetting van de rechtszaken met dezelfde nummering die op 10 maart 2017 in Utrecht dienden. In dit artikel zal ik duidelijk maken dat het handelen van de AP een toezichthouder onwaardig is.

De zaak over het DIS

De zaak UTR 16/4199 WBP V93 gaat over de wijze waarop de Nederlandse Zorgautoriteit (NZa) de medische diagnose- en behandelgegevens (DBC’s) van de gehele Nederlandse bevolking periodiek opeist van de zorgverleners, deze zelf verwerkt in het DBC Informatie Systeem(DIS) en verstrekt aan derde partijen. Het DIS, waarvan het College Bescherming Persoonsgegevens(CBP), de rechtsvoorganger van de AP, elf jaar geleden al aangaf dat het geen tot de persoon herleidbare persoonsgegevens zou mogen bevatten. Toch grijpt de AP maar niet in, hoewel al jaren terug onomstotelijk is komen vast te staan dat het wel degelijk om persoonsgegevens gaat. Het handelt in deze kwestie om de behandeling van een beroepszaak die het gevolg is van een handhavingsverzoek dat al meer dan twee jaar geleden werd ingediend.

De zaak over de onrechtmatige gedragscode zorgverzekeraars

De zaak UTR 16/3326 WBP V97 gaat om het afgewezen verzoek van Vrijbit op 3 mei 2015 aan de AP om een eind te maken aan de onrechtmatige verzameling en verwerking van medische gegevens door de zorgverzekeraars. Die gaan tot op de dag van vandaag met de medische gegevens van hun klanten om volgens een gedragscode die strijdig is met de fundamentele rechten op bescherming van het privéleven van patiënten en medisch beroepsgeheim.

Enorme vertraging

Door toedoen van de AP hebben beide zaken een enorme vertraging opgelopen. Ook een verschoning van een rechter daags voor een zitting in december 2016 zorgde voor een uitstel van drie en een halve maand. De reden was niet direct duidelijk, maar nadien bleek dat de partner van één van de rechters een bedrijf had dat zich met de verwerking van medische data professioneel bezig hield.

Coulance rechtbank voor AP

De rechtbank gaf in haar voorlopige uitspraak van 21 augustus 2017 de AP acht weken de tijd om uitgebleven handelen(handhaven) richting NZa(zaak UTR 16/4199 WBP V93) en richting zorgverzekeraars(zaak UTR 16/3326 WBP V97) alsnog te herstellen. Na dit tijdsbestek gaf de AP aan nog 26 weken nodig te hebben voor wat de rechtbank vroeg. De rechtbank stond dit toe. Na die tijd bleek de AP nog steeds niet voldaan te hebben aan het verzoek van de rechtbank. De rechtbank bood ze een vinger, maar de AP nam meer dan een hele hand! Toen in de loop van 2018 door Vrijbit aan de rechtbank kenbaar was gemaakt dat elke redelijk termijn overschreden was, kwam de AP op 17 september 2018 opeens met een zeer uitzonderlijke actie.

Geheime stukken

De AP presenteert dan aan de rechtbank in beide dossiers(zaak UTR 16/4199 WBP V93 en zaak UTR 16/3326 WBP V97) een zes centimeters hoge stapel papieren met geheime informatie. Die stukken waren alleen ter inzage voor de rechtbank. In deze kwesties van zeer principiële aard is een dergelijke ontwikkeling toch wel erg vreemd. Blijkbaar zijn er zulke grote belangen bij de door Vrijbit gewraakte activiteiten waarop de AP zou moeten acteren dat men  voor deze werkwijze kiest.

Geen equality of arms

In de rechtsgang is het een buitengewoon groot goed dat beide partijen over dezelfde informatie beschikken en daarop hun handelen afstemmen. Als beide procespartijen niet over dezelfde documenten beschikken kan dat in strijd zijn met het recht op een eerlijk proces onder art. 6 van het Europese Verdrag van de Rechten van de mens(EVRM). Het is het principe van de “equality of arms”. Slecht s in een zeer beperkt aantal gevallen kan hier van af geweken worden als daar een omschreven wettelijke grondslag(uitspraak Raad van State) voor is.

Stuitend

Het is stuitend om te zien hoe een toezichthouder op de privacy, die de AP behoort te zijn, haar handhavende taak niet waarmaakt. Ook stuitend is de wijze waarop de procesgang eindeloos getraineerd is en de wijze waarop men uiteindelijk met processtukken aankomt die niet door de andere procespartij ingezien mogen worden.

Het is handelen dat een toezichthouder onwaardig is, slechts verklaarbaar door grote belangen die diverse partijen in de gegevensverzameling en -verwerking hebben.

W.J. Jongejan, 14 februari 2019




Schaamteloze juridische redenatie IGJ beperkt recht benadeelde burger

shame on you

Opt-in-toestemming voor het Landelijk SchakelPunt(LSP) is voor mij tot drie maal toe buiten mijn wil genoteerd.  Op deze website heb ik meerdere keren u op de hoogte gehouden over de pogingen om er voor te zorgen dat toezichthouders toezien op een correcte handelswijze en handhaven. Dat laatst gebeurt niet. Zowel de Autoriteit Persoonsgegevens(AP) als de Inspectie Gezondheidszorg en Jeugd(IGJ) hebben een broertje dood aan die activiteiten. Naar analogie van een handhavingsopdracht van de IGJ aan het Isala-ziekenhuis in Zwolle vroeg ik de IGJ om handhavend op te treden tegen apotheken die onterecht opt-in-toestemmingen van bezoekende patiënten noteren. Eerder deed ik dat bij de AP in samenspraak met de burgerrechtenvereniging Vrijbit. Bij de afhandeling van de verzoeken blijkt hoe beide controlerende instanties (waakhonden?) eigenlijk geen hand uitsteken. Ze doen zoveel mogelijk moeite om het verzoek van de burger af te wijzen en hem/haar te ontmoedigen. De wijze van handelen is op zijn zachtst gênant te noemen en beperken de burger in hoge mate zijn recht te halen. De controlerende instanties laten de verdenking dan ook op zich dat zij het wederrechtelijk handelen faciliteren dan wel sanctioneren.

IGJ

In eerste instantie vond de IGJ dat er wel sprake was van een eigen belang dat ik had bij mijn handhavingsverzoek maar wees men het af toch af. Dat was omdat een mondelinge toestemming(die ik niet gegeven had) ook een rechtsgeldige toestemming is voor het LSP. Hoewel (vermeende) toestemmingen moeilijk achteraf te controleren zijn vond men dat de apotheken geen overtreding hadden begaan. Vreemd was ook dat men sprak van “mijn (al dan niet gegeven) toestemming. Daarmee op zijn minst de indruk wekkend dat men mij maar half geloofde. Tegen deze beslissing ging ik in bezwaar bij de directie Wetgeving en Juridische zaken van het ministerie van VWS waaronder de IGJ ressorteert.

Ontvankelijkheid

De juridische afdeling van het ministerie van VWS komt op een merkwaardige en in mijn ogen schaamteloze wijze met een redenatie waardoor ik niet ontvankelijk wordt verklaard. Ik zou in de ogen van de juristen geen belanghebbende zijn. Volgens artikel 1: 2 van de Algemene wet bestuursrecht(Awb) is een belanghebbend degene wiens belang rechtstreeks betrokken is bij het bestreden besluit. Om als belanghebbende in de zin van de Awb te kunnen worden aangemerkt  dient een natuurlijk persoon een voldoende objectief bepaalbaar, actueel, eigen en persoonlijk belang te hebben dat hem in voldoende mate onderscheidt van anderen en dat rechtstreeks door het omstreden besluit wordt geraakt.

Vreemde redenering

Wat schrijft de hoofdinspecteur Eckhausen van de IGJ in het besluit op bezwaar:

Om te kunnen verzoeken om handhaving is vereist dat verzoeker is aan te merken als belanghebbende. Het is vaste jurisprudentie (zie bijvoorbeeld ECLI:NL:RVS:2011: BP4700) dat een verzoek tot handhaving dat is ingediend door een niet-belanghebbende, niet kan worden aangemerkt als een aanvraag in de zin van artikel 1:3, derde lid, van de Awb, waardoor de afwijzing van zo’n verzoek geen besluit is als bedoeld in artikel 1:3 lid l Awb.

U bent echter niet aan te merken als belanghebbende in de zin van artikel 1:2 Awb.

Een verzoeker moet namelijk volgens vaste jurisprudentie van de ABRvS een bijzonder individueel belang hebben dat hem daarin onderscheidt van willekeurige anderen. Gedacht kan dan bijvoorbeeld worden aan een directe concurrent van het bedrijf dat de regels overtreedt die door de overtreding In een nadeliger positie wordt gebracht dan de overtreder. Hieruit volgt dat het algemeen belang dat met handhavend optreden is gediend, niet (tevens) een persoonlijk belang van u kan vormen bij uw verzoek tot handhaven (zie hiervoor: uitspraak RvS van l6 februari 2011, nr. 201008062/1/H3 en 201008151/1/H3, ECLI:NL:RVS:2011:BP4700). Het betreft namelijk geen bijzonder individueel belang dat u onderscheidt van willekeurige andere klanten van de door u genoemde apotheken. Het feit dat u ook bij andere apotheken het theoretische risico van onterechte aanmelding zonder toestemming loopt en dat iedereen zou moeten worden behoed tegen dit risico maakt niet dat sprake is van een dergelijk bijzonder individueel belang.

 Aangezien u geen belanghebbende bent bij uw verzoek om handhavend op te treden tegen apotheken waar u geen klant bent, is uw verzoek geen aanvraag in de zin van artikel 1:3, derde lid Awb. De afwijzing van dergelijk verzoek is dan ook geen besluit in de zin van artikel 1:3, eerste lid noch tweede lid Awb.

ABRvS= Afdeling Bestuursrechtspraak van de Raad van State

Jurisprudentie

Waar gaat de genoemde jurisprudentie (ECLI:NL:RVS:2011:BP4700) over ? Bij nazoeken blijkt die uitspraak te gaan om een zaak van een beruchte Dordrechtse huisjesmelker en kamerverhuurder M.K. Omdat de gemeente probeerde deze activiteiten te beteugelen. Als represaille teisterde die persoon de gemeente met WOB-verzoeken en andere rechtszaken. Het geval dat de Raad van State behandelde ging om twee panden, het OSB-gebouw en het voormalige LTS-gebouw te Dordrecht. Die waren in het bezit van de gemeente en de gemeente wilde daar woonruimtes in laten maken en schakelde daar een niet aan M.K. gelieerd bedrijf, Camelot, voor in. M.K. bestreed de handelswijze van gemeente Dordrecht omdat de gemeente daarmee zich op zijn marktsegment begaf. Er was rechtens geen enkele relatie tussen hem, de eigenaar van het ontroerend goed(de gemeente) en de uitvoerder namens de gemeente. Tot aan de Raad van State is telkens bevestigd dat M.K. geen belanghebbende was, dus niet ontvankelijk was.

Kromme

Het kromme van het aanhalen van de aangehaalde jurisprudentie is dat de hoofdinspecteur thans stelt dat ik geen bijzonder individueel belang heb in de zin der wet. De onterechte notering van een opt-in-toestemming is mij als individu overkomen. Het is eigen en persoonlijk, onderscheidt mij van anderen, en objectief bepaalbaar(schermafdrukken in mijn bezit). Dat het niet meer actueel is ligt niet aan mij maar aan het trage handelen van de toezichthouder(s).  Los van mijn persoon zijn er meerdere personen die het overkomen is, zoals mijn echtgenote en op zijn minst twee andere artsen die mij met naam bekend zijn. De redenatie dat ik ook geen individueel belang heb als ik ook bij ander apotheken het theoretische  risico loop om onterecht aangemeld te worden is volkomen onjuist.  Immers, het gaat niet om een theoretisch risico. Het is realiteit, bewezen door mijn meldingen.  De IGJ gebruikt de uitspraak van de Raad van State volkomen ten onrechte als een stok om mee te slaan.

Tendens

Ook uit andere bron heb ik vernomen dat de overheid dezelfde weg probeert te bewandelen om klagende(in haar ogen lastige) burgers de pas af te snijden. Het trieste is dat daarmee een fundamenteel recht van de burger met de voeten getreden wordt, namelijk het recht om zich te verweren tegen onterechte handelingen.. Als een individueel persoon niet kan opkomen (door niet ontvankelijkheid) tegen inbreuken op fundamentele mensenrechten moet je dan direct door naar Straatsburg? Daar, bij het Europese hof Voor de Rechten van de Mens(EVRM) gaat het juist om belangen van individuele burgers.

W.J. Jongejan, 25 januari 2019

 

 

 




Waakhond Autoriteit Persoonsgegevens vertoont extreem egelgedrag

egelherder

Wat doet een egel als er gevaar dreigt? Hij zet zijn stekels op en rolt zich op als bescherming tegen de boze buitenwereld. Precies dat gedrag vertoont de Autoriteit Persoonsgegevens(AP) met heikele kwesties zoals de verwerking van medische gegevens. Op 8 januari 2019 ontving de ex-patiënte uit de geestelijke gezondheidszorg(GGZ) die 93 weken voordien een handhavingsverzoek deed bij de AP, het bericht dat haar handhavingsverzoek was afgewezen. De AP gaf, na in gebreke stelling door de verzoekster om binnen een redelijke termijn tot een beslissing te komen, aan dat het onderzoek nog niet afgerond was en daarom het handhavingsverzoek afwees.  Het verzoek betrof de vraag om handhavend op te treden tegen het onrechtmatig verzamelen en verwerken van (medische en bijzondere) persoonsgegevens door de Stichting Benchmark GGZ(SBG) aangezien die gegevens in hoofdzaak verwerkt worden zonder toestemming van de patiënt. Meer in het bijzonder was gevraagd de verwerking van de gegevens op te schorten en toe te zien op directe vernietiging van de gegevens die opgeslagen zijn in de databank van SBG. Voor degenen die het nog niet begrepen hadden vertel ik hier dan maar dat het gaat om de Routine Outcome Monitoring(ROM) data. Even op deze website zoeken onder de categorie of de tag “ROM” laat meer dan zestig artikelen zien.

Rekken

Het is overduidelijk dat de AP vanaf het indienen van het handhavingsverzoek op 24 maart 2017 bezig geweest is tijd te rekken en geen beslissing wilde nemen. Het hoopte kennelijk dat het probleem op enigerlei wijze tussentijds door ingrijpen van de overheid, zorgverzekeraars en/of werkgevers in de GGZ zich zelf zou oplossen of tenminste kleiner worden. Een verwerpelijke tussenoplossing die bedacht werd, was de “veronderstelde toestemming” waarvan de werkgeversorganisatie in de GGZ, GGZ Nederland,  de initiatiefnemer was. Daarbij ging men er vanuit dat de patiënt als het om kwaliteitsdoeleinden gaat verondersteld werd het wel eens te zijn met het doorsturen van zijn ROM-data, ook al was het hem/haar niet gevraagd. Dat rammelde natuurlijk juridisch gezien flink.

Inzakken SBG

Door alle commotie die vanaf begin 2017 ontstaan is rond de betwiste verzameling en verwerking van ROM-data bij SBG zakte de aanlevering van die data fors in. Van de ongeveer 300 GGZ-instellingen leverden er op een bepaald moment nog maar 75 data aan. Dat was rond de tijd dat ook de toenmalige minister van VWS, Edith Schippers, openlijk moest toegeven dat aanlevering van ROM-data aan SBG een wettelijke basis ontbeerde. Gaandeweg raakte SBG een besmette instelling die met een honderd procent financiering door Zorgverzekeraars Nederland nooit kon leveren wat bij de oprichting beoogd was, namelijk benchmark- en zorginkoop-gegevens. In de loop van 2018 zien we dat de stichting Akwa opgetuigd worden. Het is de Alliantie kwaliteit in de GGZ. Als be-/verwerker van ROM-data wordt een nieuw bedrijf opgericht: De Nieuwe Entiteit.

Truc

De nieuwe truc die bij de overgang van SBG naar Akwa/De Nieuwe Entiteit wordt toegepast is dat SBG wel haar database inbrengt in voornoemde combinatie maar wel muteert. SBG heeft echter(zie pagina4/6 van AP–uitspraak) aangegeven dat zij de gegevens in de huidige database door aggregatie en verwijdering van variabelen zal terugbrengen tot een set statistische gegevens voordat ze de set overdraagt aan Akwa. Hiermee zegt SBG elk risico te willen uitsluiten dat Akwa belast wordt met dezelfde problematiek als zij in het verleden had.

AP gaat mee in truc

De AP stelt nu dat om de nieuwe feiten en omstandigheden te kunnen beoordelen genoodzaakt te zijn weer nader onderzoek in te stellen. Zij voelt zich hiertoe verplicht vanwege het zorgvuldigheidsbeginsel dat neergelegd is in de Algemene Wet Bestuursrecht. De uitkomst van dat nadere onderzoek kan eventueel invloed hebben op de besluitvorming van de AP op het handhavingsverzoek. Omdat klaagster na 93 weken wachten de AP in gebreke stelde zegt de AP niet handhavend te kunnen optreden omdat het onderzoek nog niet is afgerond. De AP wijst het handhavingsverzoek dan ook af. Als de AP niet eindeloos de zaak opgerekt had, was de situatie met een door SBG overgedragen en gedeeltelijk gemuteerde database niet hoeven te bestaan en had de AP wel kunnen en moeten handhaven ten aanzien van SBG.

Maar toch

Aan het einde van de brief laat de AP toch weten het onderzoek naar de rechtmatigheid van de onderhavige gegevensverwerkingen van SBG onverminderd(sic!!) voort te zetten. Als de uitkomsten van dat onderzoek daartoe aanleiding geven kan dat betekenen dat de AP alsnog besluit om handhavend op te treden jegens SBG. Echter, dat bedrijf is dan opgeheven.  Gaat de AP dan voormalige werknemers van SBG ter verantwoording roepen of beboeten? Gaat de AP handhavend optreden richting de rechtsopvolgers van SBG, zijnde Akwa en De Nieuwe Entiteit?

Wat als de AP wel grote bezwaren heeft tegen de verwerking in de ongemuteerde database van SBG, maar niet tegen verwerking van de data door de rechtsopvolgers?

Winst

Grote winst zit er wel in de mededeling dat SBG per brief aan de AP heeft laten weten dat Akwa patiënten voortaan om uitdrukkelijke toestemming zal vragen voor het gebruik van gegevens over behandeluitkomsten en ervaringen.

Grote belangen

Al eerder maakt ik duidelijk dat de zaak rond de ROM-data niet op zich staat. Er spelen hele grote belangen omdat dezelfde discussie als bij de ROM-data verzameling en be-/verwerking ook speelt ten aanzien van de DIS-database die de Nederlandse Zorgautoriteit(NZa) beheert. Daarin zitten (ook in gepseudonimiseerde vorm) data over Diagnose Behandel Combinaties in het DBC-Informatie-Systeem. Een al te ferme uitspraak in de ROM-zaak kan de hele DIS-dataverzameling gaan frustreren. Het is dus niet geheel toevallig dat de AP als waakhond zich gedraagt als een egel in het nauw.

W.J. Jongejan, 16 januari 2019

 

 

 




Webwinkel Vilans, kenniscentrum voor langdurende zorg, gehackt

hacked

Op donderdag 3 januari 2019 hebben klanten van de webshop van Vilans bericht gekregen dat de database van de webshop gehackt geweest is. Vilans is een vrij grote grotendeels gesubsidieerde organisatie die stelt  kenniscentrum te zijn voor de langdurende zorg en als doel heeft om deze zorg te vernieuwen en te verbeteren. Ze ondersteunt vooral zorgprofessionals die in de online-webshop rapporten en brochures kunnen bestellen. Ook particulieren kunnen er bestellingen doen. In het bericht dat klanten per email kregen is te lezen dat een hack heeft plaatsgevonden, ontdekt is en het gat gedicht is. Op de website van Vilans en op het Twitter-account is niets te lezen over de hack.  Persoonsgegevens zijn door de hacker buitgemaakt. Vilans waarschuwt dat die informatie gebruikt kan worden voor phishing mail en raadt aan om het wachtwoord voor de webshop te wijzigen. Zoals zo vaak met dit soort berichten is het interessant om niet alleen te kijken naar datgene wat men meldt staat maar ook naar wat er niet in staat

Wat is Vilans?

Vilans is zoals gezegd een ondersteunende organisatie voor de langdurige zorg. Ze houdt zich bezig met entameren en begeleiden van innovatie & onderzoek, kennisdeling en advies & Implementatie. Voor haar financiën is ze voor vrijwel geheel afhankelijk van subsidies. In 2017 was het personeelsbestand 167 FTE.  In 2017 ontving Vilans op een begroting van 38 miljoen euro  4,8 miljoen aan instellingssubsidie en 27,5 miljoen aan projectsubsidies. Aan niet projectgebonden activiteiten ging 116.000 euro om. Dat zullen waarschijnlijk de inkomsten uit de webshop zijn. De webshop verkoopt rapporten en brochures over langdurige zorg op veel terreinen, niet alleen aan zorgverleners, en zorgbestuurders, maar ook aan particulieren.

Hack

Duidelijk is dat er een hack door een persoon geweest is. Het is ontdekt en het lek is gedicht . Niet duidelijk is hoe het heeft kunnen gebeuren, hoe lang het datalek bestaan heeft en wanneer dat precies heeft plaatsgevonden. Heeft de hacker gedurende meerdere dagen rond kunnen neuzen in de database? Heeft de hacker malware in het systeem geïmplanteerd? Een aanwijzing in die richting kan zijn dat Vilans waarschuwt voor phishing-mail waarin om bitcoin-betaling wordt gevraagd. Men vraagt om dat soort mail bij aantreffen in de eigen mailbox te verwijderen.

Omvang buit

Vilans maakte bekend dat de hacker persoonsgegevens heeft kunnen inzien. Men mag gevoeglijk aannemen dat die ook gekopieerd zijn. Vilans maakte NIET bekend welke persoonsgegevens allemaal buitgemaakt zijn.  In een web-shop kunnen naast de adres- en emailgegevens ook betaalgegevens zoals creditkaart-data eventueel buitgemaakt zijn.

Melding aan AP?

Ook meldt Vilans niet aan haar klanten of er van het datalek melding gemaakt is bij de Autoriteit Persoonsgegevens. Dat dient binnen 72 uur na het ontdekken van het datalek te gebeuren. Het is niet aannemelijk dat Vilans de melding achterwege zal laten, maar richting klant is het wel zorgvuldiger dat de organisatie zoiets meldt.

Uitgebreidheid hack

Het is overduidelijk dat de webwinkel de toegangsweg voor de hacker geweest is. Doordat klantgegevens weglekten moet Vilans dat wel aan de betrokkenen melden. Het is echter de vraag of de hack beperkt is gebleven tot de webwinkel. Via de webwinkel zou in theorie bij onvoldoende compartimentering en onvoldoende beveiliging ook het achterliggende ICT-systeem van de Vilans-organisatie gecompromitteerd kunnen zijn.

Kwetsbaar

Het moge duidelijk zijn dat organisaties die direct of indirect bij de zorg betrokken zijn ook grote risico’s lopen om gehackt te kunnen worden. Deze hack bij Vilans is er een voorbeeld van. Door de melding aan de klanten is het in ieder geval naar buiten gekomen. Het blijft de vraag of er niet veel meer geslaagde hack-pogingen in de zorg zijn. Veelal wordt er bij computerstoringen in de zorg alleen melding gemaakt van de verstoring en niet van de oorzaak.

W.J. Jongejan, 3 januari 2019

 




Autoriteit Persoonsgegevens komt na 92 weken nog niet met besluit over ROM-data

besluiteloosheid AP

De Autoriteit Persoonsgegevens(AP) heeft een nieuw Nederlands record gevestigd. Het gaat om het niet beslissen op een handhavingsverzoek in een zeer principiële kwestie . Op 24 maart 2017 diende een ex-GGZ-patiënt een handhavingsverzoek bij de AP in. Nu, 92 weken later, heeft de AP daar nog steeds niet over beslist. Het ging om het verzoek om het verzamelen en verwerken van (medische en bijzondere) persoonsgegevens in de vorm van ROM-data in de databank van SBG, zo spoedig mogelijk op te schorten en toe te zien op de vernietiging per direct van de gegevens in de SBG-databank. Ook was het verzoek dat  toezicht dient plaats te vinden op hernieuwde wederrechtelijke vulling van die databank. Het gaat om Routine Outcome Monitoring vragenlijsten die veelal zonder toestemming van de patiënt in gepseudonimiseerde vorm naar de Stichting Benchmark GGZ(SBG) zijn gestuurd. Die beoogde met die data informatie over kwaliteit van zorg te genereren voor het vergelijken van zorgverleners en zorginstellingen in de GGZ(het benchmarken) en voor zorginkoop. Het probleem is echter dat met ROM-data geen kwaliteit gemeten wordt.  De tegenstanders van deze ROM-verzameling zijn hebben geen enkel probleem met het gebruik van ROM-gegevens binnen de therapeutische relatie. Het probleem zit ‘m erin dat die data voor een doel waarvoor ze nimmer bedoeld en geschikt zijn, grootschalig,  zonder toestemming verwerkt worden door een bedrijf buiten de instelling.

Hete brei

Overduidelijk is het dat de AP om de hete brei heen danst. Ik schreef het al op 18 mei 2017. Het gaat om een beslissing die ook op een ander terrein ook grote consequenties heeft. De landelijke verzameling van ziektegegevens,  de DIS(DBC-Informatie-Systeem)-database,  vindt  plaats met gegevens die, ook zonder toestemming van de patiënt, gepseudonimiseerd, aangeleverd zijn aan de Nederlandse Zorgautoriteit(NZa). Die beheert deze database. Het probleem is dat pseudonimiseren geen anonimiseringmethode is, maar een beveiligingsmaatregel om privacyrisico’s te verkleinen. Voor de verwerking van (dubbel) gepseudonimiseerde gegevens is een wettelijke grondslag nodig op basis van de Wet bescherming persoonsgegevens (Wbp).Dit waren zelfs de woorden van de voormalige minister van VWS, Edith Schippers, in 2017.

Verdenking

Met het zeer lang uitstellen van een beslissing is gaandeweg zeer duidelijk dat het niet een kwestie is van een moeilijk te onderzoeken probleem of te onderzoeken personen / instellingen die tegenstribbelen. Gaandeweg wordt duidelijk dat de AP lang wacht om de overheid in de gelegenheid te stellen iets te bedenken waardoor de gewraakte handelingen een min of meer wettelijke basis kunnen krijgen(reparatiewetje) of het verzamelen van de ROM-data in een minder kwaad daglicht komen te staan. Zo gaat per 1 januari 2019 de vervanger van SBG van start. Dat is Akwa: Alliantie Kwaliteit in de GGZ. Het accent lijkt daar anders te liggen ten aanzien van het verzamelen van ROM-data maar het blijft de facto toch oude wijn in nieuwe zakken.

Zelfde traagheid

Dezelfde traagheid bij het nemen van beslissingen is te zien bij het handelen van de AP ten aanzien van de NZa als het gaat om de DIS-database. Ik schreef op 11 december 2018 een artikel waarin ik  die laksheid mede aan de orde stelde.  Media 2017 diende een rechtszaak tegen de AP. De reden was de eis van de klagers tot handhaving door de AP tegen het verstrekken en verwerken van gegevens door de NZa via het  DIS. De meervoudige kamer van de rechtbank deed een tussenuitspraak waarin de AP en NZa de gelegenheid werd geboden om alsnog te voorzien in maatregelen waarmee de gevolgen van de onrechtmatige verwerking van medische persoonsgegevens door het DIS zonder toestemming van de patiënt teniet zouden worden gedaan. De AP deed geen serieuze poging om de rechtbank tegemoet te komen, waardoor de zaak alsnog voor de rechter gaat komen. In de tussentijd tikt de klok door.

Dienstbaar aan wetgever

Die indirecte dienstbaarheid aan de wetgever maakt de Autoriteit Persoonsgegevens tot een nauwelijks geloofwaardige controle-instantie. De AP dient zich onafhankelijk op te stellen, ook richting overheid. Overtredingen door overheden, zelfstandige bestuursorganen of andere instituties dienen door de AP op gelijke wijze behandeld te worden als bij de gewone burger.

W.J. Jongejan, 2 januari 2019




Rupsje Nooitgenoeg NZa gaat onder druk een blaadje minder eten

rupsje nooitgenoeg

Niet zo prominent was in de nieuwsbrief van de Nederlandse Zorgautoriteit(NZa) op 23 november 2018  te zien dat binnenkort een zeer belangrijke verandering doorgevoerd wordt. De NZa maakte kenbaar dat per 15 april 2019 een wijziging plaats vindt in de inhoud van de Minimale DataSet(MDS) die zorggaanbieders in de specialistische geestelijke gezondheidszorg(GGZ) moeten aanleveren aan het DIS. Dat staat voor het Diagnose Behandel Combinatie(DBC) Informatie Systeem. Daarin slaat de NZa op persoonsniveau gegevens op over medische diagnoses en de behandeling. Ze stelt nu dat na 15 april het aanleveren van de hoofddiagnose volstaat. De informatie over diepere niveaus vraagt men dan niet meer op. Tegelijk meldt de NZa dat informatie over die diepere niveaus die de afgelopen jaren aangeleverd is niet meer voor verdere verwerking beschikbaar zal zijn. Let wel: hier schrijft de NZA niet dat die dat vernietigd worden, maar dat ze niet meer beschikbaar zijn. Het is een zeer beperkte aanpassing . Maar deze stap moet wel gezet zijn onder druk van een rechtszaak. Die betreft een eerdere weigering van de Autoriteit Persoonsgegevens om handhavend op te treden tegen de NZa inzake aanlevering van (zeer gedetailleerde) behandelinformatie op persoonsniveau bij het DIS.

Rupsje nooitgenoeg

De NZa geeft met het DIS blijk van een enorme datahonger en is een echt Rupsje Nooitgenoeg. Het zijn data die verzameld worden om beleid te ontwikkelen en ondersteunen in de zorg. Het trieste is dat er bewust voor gekozen is om op persoonsniveau centraal persoonsgegevens te verzamelen. Ook al zijn die gegevens (dubbel) gepseudonimiseerd, het blijven persoonsgegevens. Dat inzicht is de laatste paar jaar steeds duidelijker uitgekristalliseerd en vormt de basis voor verzet tegen het DIS en de ROM-data-verzameling.  Voor beleidsontwikkeling en ondersteuning is het totaal onnodig om op persoonsniveau centraal data te verzamelen. Het College Bescherming Persoonsgegevens, de rechtsvoorganger van de Autoriteit Persoonsgegevens,  stelde in 2006 al dat een dergelijke dataverzameling tot de zeer risicovolle activiteiten behoort. De hoeveelheid data die de NZa verzameld, vooral in de MDS van de specialistische GGZ is schrikbarend groot. Onder dit artikel heb ik de hele set die de NZa na 15 april 2019 nog wil hebben tegen mijn gewoonte in om een artikel beperkt te houden toch eens afgedrukt. U krijgt dan ook een indruk van de enorme administratieve last die het aanleveren van deze data met zich meebrengt.

Beperking

Wat is nu die beperking die de NZa doorvoert. Binnen de MDS diende de volledige DSM-IV diagnose gespecificeerd te worden. Daarbij gaat het om een psychiatrische diagnose die verpakt is in 5 assen: primaire symptomatologie (de ‘psychische ziekte’), achterliggende persoonlijkheidsstoornissen, (bijkomende) somatische ziekten, psychosociale en uitlokkend factoren en het niveau van functioneren( geschat op een schaal van 1 tot 100).  Het behoeft geen betoog dat zoiets een enorm gedetailleerde informatie is over een persoon. Vanaf 15 april 2019 dient alleen de hoofddiagnose, maar niet die van de andere assen aangeleverd te worden.

Rechtszaak

In 2017 diende voor de Rechtbank Midden Nederland de zaak AWB-16_4199 die de burgerrechtenvereniging Vrijbit tegen de Autoriteit Persoonsgegevens(AP) had aangespannen. Als derde partij heeft de NZa ook aan de zitting deelgenomen. De reden was de eis tot handhaving door de AP tegen het verstrekken en verwerken van gegevens door de NZa via het  DIS. De meervoudige kamer van de rechtbank deed een tussenuitspraak waarin de AP en NZa de gelegenheid werd geboden om alsnog te voorzien in maatregelen waarmee de gevolgen van de onrechtmatige verwerking van medische persoonsgegevens door het DIS zonder toestemming van de patiënt teniet zouden worden gedaan. De rechtbank deed de uitspraak onder voorzitterschap van mr. Verburg die zich tijdens de zitting uiterst kritisch tegen de AP en de NZa toonde.

Traineren

Uit welingelichte bron vernam ik dat zowel de AP als de NZa er alles aan hebben gedaan om de mediatie te traineren en geen veranderingen in hun handelen aan te brengen. Over de voorzitter van de rechtbank, mr. Verburg, werd in de loop van 2017 bekend dat die benoemd zou worden bij de Raad van State. Het is zeer waarschijnlijk dat het traineren daar deels mee te maken had, omdat men na zijn overstap op een minder kritische rechter hoopt. Daarnaast is het zo dat het handelen van de AP in meer zaken zich kenmerkt door het traineren van beslissingen. Zo wacht een handhavingsverzoek over het door de Stichting Benchmark GGZ verzamelen van ROM-data al 89 weken op een beslissing van de AP. De burgerrechtenvereniging is inmiddels het traineren zat. Het gaat voor  Vrijbit nu al om 17 maanden na de uitspraak van de rechtbank midden juli 2017. Een nieuwe zitting staat voor februari 2019 op de rol bij de rechtbank.

Eerder vertoond

Al eerder is vertoond dat een data-verzamelende instelling vlak voor een rechtszitting een aanpassing doet aangaande de gewraakte materie. Zo veranderde de Stichting Benchmark GGZ(SBG) enkele weken voor een rechtszaak van twee patiënten op 13 juli 2017  tegen SBG over ROM-data de wijze waarop een aantal cruciale data aangeleverd dienden te worden. Ook kwam twee dagen voor die rechtszaak de mededeling dat SBG begin 2019 op zou houden te bestaan en op zou gaan in een nieuw op te richten kwaliteitsinstituut voor de GGZ, thans Akwa genaamd. Het is een beproefde tactiek om de beslissing van de rechter  te beïnvloeden.

De huidige aanpassing door de NZa past in zo’n rijtje, maar is beslist onvoldoende. Het hele systeem van het DIS waarin op persoonsniveau centraal zorgdata worden verzameld is onnodig voor het doel: beleidsontwikkeling en -ondersteuning in de zorg. Dat kan even goed op basis van geaggregeerde data verkregen met geautomatiseerde rapportages gemaakt op basis van gegevens die (decentraal) bij zorgverleners aanwezig zijn.

W.J. Jongejan, 11 december 2018

12 december: enkele kleine tekstuele aanpasssingen gemaakt in alinea Rechtszaak

—————————————————————————————–

 

Minimale dataset vanaf 15 april 2019:

Identificatie zorgaanbieder

Unieke identificatie zorgaanbieder (AGB-code) 1

Patiëntgegevens (gepseudonimiseerd):

-naam cliënt

-geboortedatum

-geslacht

-postcode

-Burgerservicenummer

-unieke identificatie zorgverzekeraar (conform UZOVI-register)

-eerste inschrijfdatum

-laatste uitschrijfdatum

Hoofdbehandelaar

  • AGB-code (op persoonsniveau) en diens beroep

Verwijzer

– Het type verwijzer:

  1. verwezen patiënt vanuit de eerste lijn (o.a. huisarts, bedrijfsarts)
  2. verwezen patiënt vanuit een (andere) ggz-instelling, instelling voor medisch specialistische zorg of ggz-praktijk
  3. verwezen patiënt vanuit de crisis zorg of seh.
  4. eigen patiënt
  5. verwezen patiënt, maar verwijzer heeft geen AGB-code (bijvoorbeeld in geval van een verwijzing naar de crisis zorg, buitenlandse zorgaanbieder, bureau Jeugdzorg)
  6. zelfverwijzer
  7. bemoeizorg
  • AGB-code verwijzer (op persoonsniveau), indien er sprake is van type verwijzer genoemd onder 1 tot en met 4

Productie per cliënt

  1. Dbc-trajecten

Dbc:

-zorgtrajectnummer

-begindatum zorgtraject

-einddatum zorgtraject

-circuit

-zorgtype

-DSM diagnoseprofiel op hoofdgroepniveau1

– aantal minuten directe en indirecte patiëntgebonden tijd van iedere hoofdbehandelaar en iedere medebehandelaar en diens beroep

-totaal bestede directe en indirecte patiëntgebonden tijd per dbc

-afspraaknummer/code

Behandeling:

-begindatum dbc-traject

-einddatum dbc-traject

-afsluitreden dbc

-Gedeclareerde prijs

-declaratiedatum

Geleverd zorgprofiel binnen het dbc-traject:

-activiteiten, verrichtingen, overige deelprestaties en producten, zoals gedefinieerd in de Nadere regel gespecialiseerde ggz

-datum + tijdsduur activiteiten/producten

-beroep behandelaar

-deelfactor groepscontacten

 




Autoriteit Persoonsgegevens ontloopt stelselmatig verantwoordelijkheid

right/wrong

Recent, op 6 september 2018, verscheen in het NRC-Handelsblad een artikel van Liza van Lonkhuyzen met als kop: “Raad van State: burger in de knel door digitale overheid”. Het betrof een ongevraagd advies van de Raad van State over hoe de overheid met de data van burgers omgaat. Op de wijze waarop de toezichthouder van diezelfde overheid op het uitwisselen van gegevens van burgers, de Autoriteit Persoonsgegevens(AP), opereert, is helaas ook het nodige aan te merken. Zij blijkt nogal eens haar verantwoordelijkheid te ontlopen. Medische gegevens zijn bijzondere persoonsgegevens waarmee men zeer zorgvuldig moet omgaan , zeker bij uitwisseling met behulp van een datanetwerk.  Het Landelijk SchakelPunt(LSP), waarmee medische gegevens opvraagbaar zijn bij de bron, is zo’n netwerk. Voor het opvraagbaar maken is een goed geïnformeerde toestemming van de burger noodzakelijk. Als die toestemming ten onrechte genoteerd is en door de burger gesignaleerd en ongedaan gemaakt is, dan doet de AP daar vervolgens na melding niets mee.

Onterechte toestemming

Als een burger zijn medische data  ter beschikking wil laten stellen  voor een elektronisch landelijk uitwisselingssysteem waarop iedere zorgverlener in Nederland zich kan aansluiten, moet hij of zij zich zelf daarvoor aanmelden of dit via een opt-in-toestemming via de zorgaanbieder(huisarts of apotheek) laten vastleggen waarna dit via het informatiesysteem van deze zorgaanbieder rechtstreeks als aanmelding in het LSP systeem wordt verwerkt.  Het LSP-systeem neemt meteen daarna die toestemming op haar computer over. Het is helaas niet zeldzaam dat een zorgaanbieder ten onrechte een opt-in-toestemming vastlegt. Mij overkwam dat bij herhaling. In totaal noteerden drie apotheken tegen mijn wil een opt-in-toestemming.

Omkering bewijslast

Of een onterechte opt-in-toestemming genoteerd is bij een zorgaanbieder is alleen maar te achterhalen, is alleen maar te achterhalen via iemands huisarts of apotheek of via de website van VZVZ De zorgaanbieder (apotheek in mijn geval) heeft, evenals VZVZ, geen verificatie- en notificatieplicht. Als de onterechte toestemming bij de zorgaanbieder op verzoek van de burger is gecorrigeerd, bestaat er geen logging van deze handeling bij zorgaanbieder of VZVZ. Bijgevolg kan niemand na verwijdering van de onterechte registratie van toestemming achteraf constateren dat er een toestemmingsregistratie heeft plaatsgevonden. Een zeer storende factor daarbij is dat de burger zelf bij de AP moet aantonen dat een onterechte, onvrijwillige, toestemming, vastgelegd is. Dat is alleen maar mogelijk door het maken van een schermafdruk van de webpagina bij VZVZ waarop de toestemming genoteerd staat. In feite is hier dan ook sprake van een stuitende omkering van de bewijslast.

Veronderstelling

Het lijkt logisch om te veronderstellen dat de AP als toezichthouder daar streng op toe zou moeten zien, maar niets is minder waar. Bij het aankaarten van het ten onrechte registreren van mijn toestemming met verwijzing naar andere onjuiste, laakbare “registratiepraktijken” van apotheken en apotheekgroepen in den lande blijkt de AP haar verantwoordelijkheid waar het gaat om het onrechtmatig uitwisselen van bijzondere/medische persoonsgegevens stelselmatig te ontlopen. Handhavingsverzoeken die men hetzij persoonlijk(A,B) hetzij collectief(C,D)bij de AP  neerlegt worden telkens vlakweg afgewezen.

AP schiet schromelijk tekort

Het ongedaan maken van de onterechte toestemming blijkt een onoverkomelijke hindernis te zijn voor actie door de AP. De gedachtegang die de AP hanteert bestaat er namelijk uit dat men stelt dat zodra de toestemming herroepen is door de burger(zie alinea Toelichting AVG en Toelichting Awb), er geen sprake meer is van een overtreding. De AP meent dat burgers/patiënten na het doen verwijderen van een ten onrechte verleende toestemming geen belang meer hebben bij handhavend, corrigerend optreden van de toezichthouder. De AP gaat daarmee totaal voorbij aan het datalek dat het gevolg is geweest van deze onterecht geregistreerde toestemming.  Om de AP tot actie te brengen zou  de burger de onterechte geregistreerde toestemming moeten laten bestaan tot de AP na verloop van tijd (enkele maanden meestal) een beslissing heeft genomen.

Datalek

Het optreden en sanctioneren bij onrechtmatige verwerking van persoonsgegevens (hier feitelijk als gevolg van een structureel probleem dat kan leiden tot niet controleerbare datalekken) door de AP wordt daarmee niet gezien als een taak van de toezichthouder. De oncontroleerbare dataverwerking in mijn casus toont aan dat de AP publiekelijk aangesproken dient te worden op haar verantwoordelijkheid om op te treden tegen deze gebrekkige, oncontroleerbare  verwerkingspraktijken van bijzondere/medische persoonsgegevens.

W.J. Jongejan, 9 oktober 2018

11 oktober 2108: enkele kleine tekstuele aanpassingen in alinea Onterechte toestemming en Omkering bewijslast.

 

 

 

 

 




Onnavolgbaar contractueel gedraai VGZ rond ROM-aanlever-verplichting

contract

Op 3 september 2018 besprak ik op deze website de contractuele verplichting in het contract van zorgverzekeraar VGZ voor vrijgevestigde zorgaanbieders in de GGZ om ROM-data aan te leveren. Mede naar aanleiding van deze berichtgeving kwam VGZ op 4 september met een persbericht  en een reactie op Twitter waarin het lijkt of  men een draai van 180 graden maakt. De formulering van dit bericht is zeer vreemd. Die verwijst naar een aanvullende bepaling in het contract die verwijst naar ‘vigerende wet- en regelgeving’, maar die niet meegestuurd is naar de zorgaanbieders. Het online magazine SKIPR maakt het daarna nog aparter door te stellen dat VGZ per ongeluk in de contracten voor vrijgevestigde ggz-aanbieders voor 2019 de verplichting opgenomen had om ROM-data van patiënten aan te leveren. Het lijkt er nu op dat VGZ niet het contract herziet, maar alleen een addendum met de verwijzing naar ‘vigerende en wet- en regelgeving’ alsnog via de website van VECOZO aan de desbetreffende zorgaanbieders ter beschikking gaat stellen.

Gedraai

In artikel 5 van het contract dat vrijgevestigde zorgaanbieders in de GGZ van VGZ aangeboden kregen staat klip en klaar(art. 5 lid 6) de verplichting ROM-data aan de Stichting Benchmark GGZ(SBG) aan te leveren. Na reuring door publiciteit over de verplichting in dit contract komt VGZ met genoemde draai in haar persbericht. Daarin zegt VGZ dat ze in afwachting van de landelijke discussie over ROM en privacy toch geen actief verzoek doen aan vrijgevestigde zorgaanbieders in de GGZ. Ze zegt geen consequenties te verbinden aan het niet-aanleveren zolang er geen landelijke afspraken overgemaakt zijn. De zorgaanbieder had hiernaar moeten raden want de clausule die niet meegestuurd was rept alleen over ‘vigerende wet- en regelgeving. Maar waar doelt VGZ hier eigenlijk op?

Autoriteit Persoonsgegevens

ROM-data dienen vooralsnog als bijzondere persoonsgegevens beschouwd te worden die ondanks pseudonimisatie toch als indirect herleidbaar dienen te worden beschouwd. Ondanks anderhalf jaar denkwerk na het stellen van ruim veertig vragen aan de ROM-data verwerkende instantie SBG heeft de Autoriteit Persoonsgegevens(AP) daar geen uitspraak over gedaan. Bij bijzondere persoonsgegevens is “informed consent” van de patiënt een vereiste, maar dat wordt door een aantal zorginstellingen niet nageleefd. GGZ Nederland heeft als werkgeversorganisatie in de GGZ met een aantal andere stakeholders  daar de juridische rammelende  en aanvechtbare constructie van de “veronderstelde toestemming” voor bedacht. Zolang de AP geen uitspraak heeft gedaan blijft er officieel onduidelijkheid.

Geïnstitutionaliseerde GGZ

Bij de zorgverleners die werkzaam zijn in de grote GGZ-instellingen ligt het probleem gecompliceerder. Daar heeft GGZ Nederland een Model Privacyreglement voor gemaakt waarin de bestuurders van zorginstellingen tot verwerkingsverantwoordelijke gemaakt worden die beslissen tot aanlevering en de zorgverlener buiten spel wordt gezet.

Slimmigheidje?

De verplichting in het contract zetten en toe te zeggen dat die verplichting hangende de landelijke discussie over ROM-data toch niet gehandhaafd wordt, lijkt op een “slimmigheidje” van VGZ. Zij kan als eind 2019 of later de AP een uitspraak doet over de indirecte herleidbaarheid van gepseudonimiseerde ROM-data en de verwerking door SBG alsnog met terugwerkende kracht tot begin 2019 die data opeisen bij de zorgaanbieder. Zolang de bepalingen van het contract niet zijn aangepast en VGZ op basis van een niet meegestuurde clausule nu een uitweg bedenkt is het aanleveren met terugwerkende kracht  mogelijk.

Downplaying

Het is aardig om de berichtgeving van en namens VGZ nauwkeurig te volgen. Op de website SKIPR heette op 5 september het artikel nog “VGZ verplicht zorgaanbieders per abuis om ROM-gegevens te leveren”(zie link in eerste alinea). Nu komt deze link uit op een licht aangepast artikel met als kop “VGZ maakt foutje in contract voor vrijgevestigde ggz-aanbieders”. Nu heet het in de eerste regels zo te zijn dat slechts in een klein deel van de naar zorgaanbieders gestuurde contracten de clausule die rept over ‘vigerende wet- en regelgeving’ ontbrak. Dat zorgaanbieders maar moesten raden wat VGZ daarmee bedoelde staat uiteraard niet vermeld.

Uiteindelijk denk ik dat VGZ gewoon geprobeerd heeft het hierboven beschreven contract te doen tekenen en niet ingecalculeerd heeft dat er wel eens uitgebreide reuring over kon gaan ontstaan.

W.J. Jongejan, 6 september 2018

 

 

 




Bij inzet wet dwangsom besluit trage Autoriteit Persoonsgegevens negatief

AP-slak met agent

Dat de Autoriteit Persoonsgegevens(AP) moeite heeft met het nemen van beslissingen over principiële zaken is voor insiders geen geheim. Door het verloop van enkele mij bekende zaken die bij de AP aanhangig zijn gemaakt, werd het mij recent duidelijk hoe de nieuwste verdedigingslinie van de AP eruit ziet bij lastige zaken. Het gaat daarbij om handhavingsverzoeken die ingediend zijn door burgers vanwege in hun ogen evidente overtredingen ten aanzien van de privacy. Helaas is het zo dat de AP bij dit soort handhavingsverzoeken buitengewoon traag reageert. Beslissingen blijven soms een half jaar, maar ook wel eens langer dan een jaar uit. Als dan na een ingebrekestelling de AP nog niet met een besluit komt, kan de burger met een beroep op de Wet dwangsom en beroep bij niet tijdige beslissingen(Wdbntb) een beslissing eisen of naar de bestuursrechter gaan. Als de burger die eis op basis van de Wdbntb daadwerkelijk neerlegt bij de AP, maakt deze in het gunstigste geval het de aanvrager duidelijk dat zij negatief zal gaan beslissen op het handhavingsverzoek als dat doorgezet wordt. Of de AP heeft inmiddels al negatief besloten. Het argument voor het negatief beslissen is dan dat de aanvrager de AP niet voldoende tijd gegund heeft om “fatsoenlijk” onderzoek te doen. het is te gênant voor woorden, maar het gebeurt.

Oud regime

De hierboven beschreven, mij bekende, gevallen vielen onder het oude regime, voor het  in gaan van de Algemene Verordening Gegevensbescherming(AVG). De termijn voor de AP om met een besluit te komen is in principe acht weken volgens de Algemene wet bestuursrecht(Awb) (art. 4:13) Vaak heeft de AP meer tijd nodig voor onderzoek. Zij kan dat de klager duidelijk maken. Deze kan bij het uitblijven van een beslissing naar de bestuursrechter stappen of een beroep doen op de Wdbntb. Wel moet eerst de AP schriftelijk officieel in gebreke gesteld zijn door de klager. Het lang uitblijven van beslissingen door langdurige onderzoeken heeft grotendeels te maken met de capaciteit van de AP. Zij is door de politiek bewust kort gehouden en is daardoor, ondanks recente uitbreiding, undermanned en understaffed. In de aanloop naar het ingaan van de AVG is ook goed gekwalificeerd personeel uit onvrede verdwenen richting bedrijfsleven. Eén van de diensthoofden werd Chief Privacy Officer bij de NS. Een andere senior adviseur bij BMC advies. Hun AVG-kennis is daar zeer welkom.

Nieuw regime

Na het ingaan van de AVG op 25 mei 2018 is er sprake van een ander regime. De AVG vermeldt namelijk geen termijn voor het nemen van een beslissing op een klacht. Artikel 57 lid 1 sub f van de AVG spreekt alleen over een “redelijke termijn” voor een toezichthouder om op een klacht te reageren. De vraag is uiteraard wat redelijk is. De toezichthouder dient wel  binnen drie maanden de klager op de hoogte gesteld te hebben van de voortgang of het resultaat van het onderzoek. De AP kan dat bijvoorbeeld doen door het verzenden van een automatisch gegenereerde brief. Ze kan de termijn alvorens ze met een definitief oordeel komt daarmee aardig oprekken. Vergeet de AP de klager na drie maanden te informeren dan kan de klager direct naar de bestuursrechter stappen om een beslissing te eisen. Bij onduldbaar lang oprekken kan men als eiser toch wel een beroep op de Wdbntb doen, uiteraard na eerst een schriftelijke ingebrekestelling.

Exit-strategie

Al eerder publiceerde ik over de laakbare traagheid van de AP bij principiële kwesties. Daarbij rekt de AP de grenzen ruim voorbij het onbetamelijke op om maar geen beslissing te hoeven nemen. Het lijkt er op dat de AP een nieuwe exit-strategie bedacht heeft, Als de vrager van een handhavingsverzoek het na ver overschrijden van de antwoordtermijnen zat is en na ingebrekestelling een beroep doet op de Wdbntb dan zal de AP negatief beslissen. Zoveel is zeker. De argumentatie is dan dat men de AP niet in staat heeft gesteld het onderzoek af te ronden waardoor ze wel gedwongen is negatief op het verzoek te besluiten.

Ik heb begrepen dat minimaal in één geval een functionaris van de AP gewezen heeft op dat risico. Toch blijft het zeer onbevredigend als de privacy-toezichthouder zich op een dergelijke manier af maakt van essentiële vragen. Het handelen is een privacy-toezichthouder onwaardig.

W.J. Jongejan, 1 juni 2018

In dit artikel is deels gebruik gemaakt van informatie op de website van Dirkzwager, Advocaten en Notarissen met als auteur Mark Jansen..