Waakhond Autoriteit Persoonsgegevens vertoont extreem egelgedrag

egelherder

Wat doet een egel als er gevaar dreigt? Hij zet zijn stekels op en rolt zich op als bescherming tegen de boze buitenwereld. Precies dat gedrag vertoont de Autoriteit Persoonsgegevens(AP) met heikele kwesties zoals de verwerking van medische gegevens. Op 8 januari 2019 ontving de ex-patiënte uit de geestelijke gezondheidszorg(GGZ) die 93 weken voordien een handhavingsverzoek deed bij de AP, het bericht dat haar handhavingsverzoek was afgewezen. De AP gaf, na in gebreke stelling door de verzoekster om binnen een redelijke termijn tot een beslissing te komen, aan dat het onderzoek nog niet afgerond was en daarom het handhavingsverzoek afwees.  Het verzoek betrof de vraag om handhavend op te treden tegen het onrechtmatig verzamelen en verwerken van (medische en bijzondere) persoonsgegevens door de Stichting Benchmark GGZ(SBG) aangezien die gegevens in hoofdzaak verwerkt worden zonder toestemming van de patiënt. Meer in het bijzonder was gevraagd de verwerking van de gegevens op te schorten en toe te zien op directe vernietiging van de gegevens die opgeslagen zijn in de databank van SBG. Voor degenen die het nog niet begrepen hadden vertel ik hier dan maar dat het gaat om de Routine Outcome Monitoring(ROM) data. Even op deze website zoeken onder de categorie of de tag “ROM” laat meer dan zestig artikelen zien.

Rekken

Het is overduidelijk dat de AP vanaf het indienen van het handhavingsverzoek op 24 maart 2017 bezig geweest is tijd te rekken en geen beslissing wilde nemen. Het hoopte kennelijk dat het probleem op enigerlei wijze tussentijds door ingrijpen van de overheid, zorgverzekeraars en/of werkgevers in de GGZ zich zelf zou oplossen of tenminste kleiner worden. Een verwerpelijke tussenoplossing die bedacht werd, was de “veronderstelde toestemming” waarvan de werkgeversorganisatie in de GGZ, GGZ Nederland,  de initiatiefnemer was. Daarbij ging men er vanuit dat de patiënt als het om kwaliteitsdoeleinden gaat verondersteld werd het wel eens te zijn met het doorsturen van zijn ROM-data, ook al was het hem/haar niet gevraagd. Dat rammelde natuurlijk juridisch gezien flink.

Inzakken SBG

Door alle commotie die vanaf begin 2017 ontstaan is rond de betwiste verzameling en verwerking van ROM-data bij SBG zakte de aanlevering van die data fors in. Van de ongeveer 300 GGZ-instellingen leverden er op een bepaald moment nog maar 75 data aan. Dat was rond de tijd dat ook de toenmalige minister van VWS, Edith Schippers, openlijk moest toegeven dat aanlevering van ROM-data aan SBG een wettelijke basis ontbeerde. Gaandeweg raakte SBG een besmette instelling die met een honderd procent financiering door Zorgverzekeraars Nederland nooit kon leveren wat bij de oprichting beoogd was, namelijk benchmark- en zorginkoop-gegevens. In de loop van 2018 zien we dat de stichting Akwa opgetuigd worden. Het is de Alliantie kwaliteit in de GGZ. Als be-/verwerker van ROM-data wordt een nieuw bedrijf opgericht: De Nieuwe Entiteit.

Truc

De nieuwe truc die bij de overgang van SBG naar Akwa/De Nieuwe Entiteit wordt toegepast is dat SBG wel haar database inbrengt in voornoemde combinatie maar wel muteert. SBG heeft echter(zie pagina4/6 van AP–uitspraak) aangegeven dat zij de gegevens in de huidige database door aggregatie en verwijdering van variabelen zal terugbrengen tot een set statistische gegevens voordat ze de set overdraagt aan Akwa. Hiermee zegt SBG elk risico te willen uitsluiten dat Akwa belast wordt met dezelfde problematiek als zij in het verleden had.

AP gaat mee in truc

De AP stelt nu dat om de nieuwe feiten en omstandigheden te kunnen beoordelen genoodzaakt te zijn weer nader onderzoek in te stellen. Zij voelt zich hiertoe verplicht vanwege het zorgvuldigheidsbeginsel dat neergelegd is in de Algemene Wet Bestuursrecht. De uitkomst van dat nadere onderzoek kan eventueel invloed hebben op de besluitvorming van de AP op het handhavingsverzoek. Omdat klaagster na 93 weken wachten de AP in gebreke stelde zegt de AP niet handhavend te kunnen optreden omdat het onderzoek nog niet is afgerond. De AP wijst het handhavingsverzoek dan ook af. Als de AP niet eindeloos de zaak opgerekt had, was de situatie met een door SBG overgedragen en gedeeltelijk gemuteerde database niet hoeven te bestaan en had de AP wel kunnen en moeten handhaven ten aanzien van SBG.

Maar toch

Aan het einde van de brief laat de AP toch weten het onderzoek naar de rechtmatigheid van de onderhavige gegevensverwerkingen van SBG onverminderd(sic!!) voort te zetten. Als de uitkomsten van dat onderzoek daartoe aanleiding geven kan dat betekenen dat de AP alsnog besluit om handhavend op te treden jegens SBG. Echter, dat bedrijf is dan opgeheven.  Gaat de AP dan voormalige werknemers van SBG ter verantwoording roepen of beboeten? Gaat de AP handhavend optreden richting de rechtsopvolgers van SBG, zijnde Akwa en De Nieuwe Entiteit?

Wat als de AP wel grote bezwaren heeft tegen de verwerking in de ongemuteerde database van SBG, maar niet tegen verwerking van de data door de rechtsopvolgers?

Winst

Grote winst zit er wel in de mededeling dat SBG per brief aan de AP heeft laten weten dat Akwa patiënten voortaan om uitdrukkelijke toestemming zal vragen voor het gebruik van gegevens over behandeluitkomsten en ervaringen.

Grote belangen

Al eerder maakt ik duidelijk dat de zaak rond de ROM-data niet op zich staat. Er spelen hele grote belangen omdat dezelfde discussie als bij de ROM-data verzameling en be-/verwerking ook speelt ten aanzien van de DIS-database die de Nederlandse Zorgautoriteit(NZa) beheert. Daarin zitten (ook in gepseudonimiseerde vorm) data over Diagnose Behandel Combinaties in het DBC-Informatie-Systeem. Een al te ferme uitspraak in de ROM-zaak kan de hele DIS-dataverzameling gaan frustreren. Het is dus niet geheel toevallig dat de AP als waakhond zich gedraagt als een egel in het nauw.

W.J. Jongejan, 16 januari 2019

 

 

 




Webwinkel Vilans, kenniscentrum voor langdurende zorg, gehackt

hacked

Op donderdag 3 januari 2019 hebben klanten van de webshop van Vilans bericht gekregen dat de database van de webshop gehackt geweest is. Vilans is een vrij grote grotendeels gesubsidieerde organisatie die stelt  kenniscentrum te zijn voor de langdurende zorg en als doel heeft om deze zorg te vernieuwen en te verbeteren. Ze ondersteunt vooral zorgprofessionals die in de online-webshop rapporten en brochures kunnen bestellen. Ook particulieren kunnen er bestellingen doen. In het bericht dat klanten per email kregen is te lezen dat een hack heeft plaatsgevonden, ontdekt is en het gat gedicht is. Op de website van Vilans en op het Twitter-account is niets te lezen over de hack.  Persoonsgegevens zijn door de hacker buitgemaakt. Vilans waarschuwt dat die informatie gebruikt kan worden voor phishing mail en raadt aan om het wachtwoord voor de webshop te wijzigen. Zoals zo vaak met dit soort berichten is het interessant om niet alleen te kijken naar datgene wat men meldt staat maar ook naar wat er niet in staat

Wat is Vilans?

Vilans is zoals gezegd een ondersteunende organisatie voor de langdurige zorg. Ze houdt zich bezig met entameren en begeleiden van innovatie & onderzoek, kennisdeling en advies & Implementatie. Voor haar financiën is ze voor vrijwel geheel afhankelijk van subsidies. In 2017 was het personeelsbestand 167 FTE.  In 2017 ontving Vilans op een begroting van 38 miljoen euro  4,8 miljoen aan instellingssubsidie en 27,5 miljoen aan projectsubsidies. Aan niet projectgebonden activiteiten ging 116.000 euro om. Dat zullen waarschijnlijk de inkomsten uit de webshop zijn. De webshop verkoopt rapporten en brochures over langdurige zorg op veel terreinen, niet alleen aan zorgverleners, en zorgbestuurders, maar ook aan particulieren.

Hack

Duidelijk is dat er een hack door een persoon geweest is. Het is ontdekt en het lek is gedicht . Niet duidelijk is hoe het heeft kunnen gebeuren, hoe lang het datalek bestaan heeft en wanneer dat precies heeft plaatsgevonden. Heeft de hacker gedurende meerdere dagen rond kunnen neuzen in de database? Heeft de hacker malware in het systeem geïmplanteerd? Een aanwijzing in die richting kan zijn dat Vilans waarschuwt voor phishing-mail waarin om bitcoin-betaling wordt gevraagd. Men vraagt om dat soort mail bij aantreffen in de eigen mailbox te verwijderen.

Omvang buit

Vilans maakte bekend dat de hacker persoonsgegevens heeft kunnen inzien. Men mag gevoeglijk aannemen dat die ook gekopieerd zijn. Vilans maakte NIET bekend welke persoonsgegevens allemaal buitgemaakt zijn.  In een web-shop kunnen naast de adres- en emailgegevens ook betaalgegevens zoals creditkaart-data eventueel buitgemaakt zijn.

Melding aan AP?

Ook meldt Vilans niet aan haar klanten of er van het datalek melding gemaakt is bij de Autoriteit Persoonsgegevens. Dat dient binnen 72 uur na het ontdekken van het datalek te gebeuren. Het is niet aannemelijk dat Vilans de melding achterwege zal laten, maar richting klant is het wel zorgvuldiger dat de organisatie zoiets meldt.

Uitgebreidheid hack

Het is overduidelijk dat de webwinkel de toegangsweg voor de hacker geweest is. Doordat klantgegevens weglekten moet Vilans dat wel aan de betrokkenen melden. Het is echter de vraag of de hack beperkt is gebleven tot de webwinkel. Via de webwinkel zou in theorie bij onvoldoende compartimentering en onvoldoende beveiliging ook het achterliggende ICT-systeem van de Vilans-organisatie gecompromitteerd kunnen zijn.

Kwetsbaar

Het moge duidelijk zijn dat organisaties die direct of indirect bij de zorg betrokken zijn ook grote risico’s lopen om gehackt te kunnen worden. Deze hack bij Vilans is er een voorbeeld van. Door de melding aan de klanten is het in ieder geval naar buiten gekomen. Het blijft de vraag of er niet veel meer geslaagde hack-pogingen in de zorg zijn. Veelal wordt er bij computerstoringen in de zorg alleen melding gemaakt van de verstoring en niet van de oorzaak.

W.J. Jongejan, 3 januari 2019

 




Autoriteit Persoonsgegevens komt na 92 weken nog niet met besluit over ROM-data

besluiteloosheid AP

De Autoriteit Persoonsgegevens(AP) heeft een nieuw Nederlands record gevestigd. Het gaat om het niet beslissen op een handhavingsverzoek in een zeer principiële kwestie . Op 24 maart 2017 diende een ex-GGZ-patiënt een handhavingsverzoek bij de AP in. Nu, 92 weken later, heeft de AP daar nog steeds niet over beslist. Het ging om het verzoek om het verzamelen en verwerken van (medische en bijzondere) persoonsgegevens in de vorm van ROM-data in de databank van SBG, zo spoedig mogelijk op te schorten en toe te zien op de vernietiging per direct van de gegevens in de SBG-databank. Ook was het verzoek dat  toezicht dient plaats te vinden op hernieuwde wederrechtelijke vulling van die databank. Het gaat om Routine Outcome Monitoring vragenlijsten die veelal zonder toestemming van de patiënt in gepseudonimiseerde vorm naar de Stichting Benchmark GGZ(SBG) zijn gestuurd. Die beoogde met die data informatie over kwaliteit van zorg te genereren voor het vergelijken van zorgverleners en zorginstellingen in de GGZ(het benchmarken) en voor zorginkoop. Het probleem is echter dat met ROM-data geen kwaliteit gemeten wordt.  De tegenstanders van deze ROM-verzameling zijn hebben geen enkel probleem met het gebruik van ROM-gegevens binnen de therapeutische relatie. Het probleem zit ‘m erin dat die data voor een doel waarvoor ze nimmer bedoeld en geschikt zijn, grootschalig,  zonder toestemming verwerkt worden door een bedrijf buiten de instelling.

Hete brei

Overduidelijk is het dat de AP om de hete brei heen danst. Ik schreef het al op 18 mei 2017. Het gaat om een beslissing die ook op een ander terrein ook grote consequenties heeft. De landelijke verzameling van ziektegegevens,  de DIS(DBC-Informatie-Systeem)-database,  vindt  plaats met gegevens die, ook zonder toestemming van de patiënt, gepseudonimiseerd, aangeleverd zijn aan de Nederlandse Zorgautoriteit(NZa). Die beheert deze database. Het probleem is dat pseudonimiseren geen anonimiseringmethode is, maar een beveiligingsmaatregel om privacyrisico’s te verkleinen. Voor de verwerking van (dubbel) gepseudonimiseerde gegevens is een wettelijke grondslag nodig op basis van de Wet bescherming persoonsgegevens (Wbp).Dit waren zelfs de woorden van de voormalige minister van VWS, Edith Schippers, in 2017.

Verdenking

Met het zeer lang uitstellen van een beslissing is gaandeweg zeer duidelijk dat het niet een kwestie is van een moeilijk te onderzoeken probleem of te onderzoeken personen / instellingen die tegenstribbelen. Gaandeweg wordt duidelijk dat de AP lang wacht om de overheid in de gelegenheid te stellen iets te bedenken waardoor de gewraakte handelingen een min of meer wettelijke basis kunnen krijgen(reparatiewetje) of het verzamelen van de ROM-data in een minder kwaad daglicht komen te staan. Zo gaat per 1 januari 2019 de vervanger van SBG van start. Dat is Akwa: Alliantie Kwaliteit in de GGZ. Het accent lijkt daar anders te liggen ten aanzien van het verzamelen van ROM-data maar het blijft de facto toch oude wijn in nieuwe zakken.

Zelfde traagheid

Dezelfde traagheid bij het nemen van beslissingen is te zien bij het handelen van de AP ten aanzien van de NZa als het gaat om de DIS-database. Ik schreef op 11 december 2018 een artikel waarin ik  die laksheid mede aan de orde stelde.  Media 2017 diende een rechtszaak tegen de AP. De reden was de eis van de klagers tot handhaving door de AP tegen het verstrekken en verwerken van gegevens door de NZa via het  DIS. De meervoudige kamer van de rechtbank deed een tussenuitspraak waarin de AP en NZa de gelegenheid werd geboden om alsnog te voorzien in maatregelen waarmee de gevolgen van de onrechtmatige verwerking van medische persoonsgegevens door het DIS zonder toestemming van de patiënt teniet zouden worden gedaan. De AP deed geen serieuze poging om de rechtbank tegemoet te komen, waardoor de zaak alsnog voor de rechter gaat komen. In de tussentijd tikt de klok door.

Dienstbaar aan wetgever

Die indirecte dienstbaarheid aan de wetgever maakt de Autoriteit Persoonsgegevens tot een nauwelijks geloofwaardige controle-instantie. De AP dient zich onafhankelijk op te stellen, ook richting overheid. Overtredingen door overheden, zelfstandige bestuursorganen of andere instituties dienen door de AP op gelijke wijze behandeld te worden als bij de gewone burger.

W.J. Jongejan, 2 januari 2019




Rupsje Nooitgenoeg NZa gaat onder druk een blaadje minder eten

rupsje nooitgenoeg

Niet zo prominent was in de nieuwsbrief van de Nederlandse Zorgautoriteit(NZa) op 23 november 2018  te zien dat binnenkort een zeer belangrijke verandering doorgevoerd wordt. De NZa maakte kenbaar dat per 15 april 2019 een wijziging plaats vindt in de inhoud van de Minimale DataSet(MDS) die zorggaanbieders in de specialistische geestelijke gezondheidszorg(GGZ) moeten aanleveren aan het DIS. Dat staat voor het Diagnose Behandel Combinatie(DBC) Informatie Systeem. Daarin slaat de NZa op persoonsniveau gegevens op over medische diagnoses en de behandeling. Ze stelt nu dat na 15 april het aanleveren van de hoofddiagnose volstaat. De informatie over diepere niveaus vraagt men dan niet meer op. Tegelijk meldt de NZa dat informatie over die diepere niveaus die de afgelopen jaren aangeleverd is niet meer voor verdere verwerking beschikbaar zal zijn. Let wel: hier schrijft de NZA niet dat die dat vernietigd worden, maar dat ze niet meer beschikbaar zijn. Het is een zeer beperkte aanpassing . Maar deze stap moet wel gezet zijn onder druk van een rechtszaak. Die betreft een eerdere weigering van de Autoriteit Persoonsgegevens om handhavend op te treden tegen de NZa inzake aanlevering van (zeer gedetailleerde) behandelinformatie op persoonsniveau bij het DIS.

Rupsje nooitgenoeg

De NZa geeft met het DIS blijk van een enorme datahonger en is een echt Rupsje Nooitgenoeg. Het zijn data die verzameld worden om beleid te ontwikkelen en ondersteunen in de zorg. Het trieste is dat er bewust voor gekozen is om op persoonsniveau centraal persoonsgegevens te verzamelen. Ook al zijn die gegevens (dubbel) gepseudonimiseerd, het blijven persoonsgegevens. Dat inzicht is de laatste paar jaar steeds duidelijker uitgekristalliseerd en vormt de basis voor verzet tegen het DIS en de ROM-data-verzameling.  Voor beleidsontwikkeling en ondersteuning is het totaal onnodig om op persoonsniveau centraal data te verzamelen. Het College Bescherming Persoonsgegevens, de rechtsvoorganger van de Autoriteit Persoonsgegevens,  stelde in 2006 al dat een dergelijke dataverzameling tot de zeer risicovolle activiteiten behoort. De hoeveelheid data die de NZa verzameld, vooral in de MDS van de specialistische GGZ is schrikbarend groot. Onder dit artikel heb ik de hele set die de NZa na 15 april 2019 nog wil hebben tegen mijn gewoonte in om een artikel beperkt te houden toch eens afgedrukt. U krijgt dan ook een indruk van de enorme administratieve last die het aanleveren van deze data met zich meebrengt.

Beperking

Wat is nu die beperking die de NZa doorvoert. Binnen de MDS diende de volledige DSM-IV diagnose gespecificeerd te worden. Daarbij gaat het om een psychiatrische diagnose die verpakt is in 5 assen: primaire symptomatologie (de ‘psychische ziekte’), achterliggende persoonlijkheidsstoornissen, (bijkomende) somatische ziekten, psychosociale en uitlokkend factoren en het niveau van functioneren( geschat op een schaal van 1 tot 100).  Het behoeft geen betoog dat zoiets een enorm gedetailleerde informatie is over een persoon. Vanaf 15 april 2019 dient alleen de hoofddiagnose, maar niet die van de andere assen aangeleverd te worden.

Rechtszaak

In 2017 diende voor de Rechtbank Midden Nederland de zaak AWB-16_4199 die de burgerrechtenvereniging Vrijbit tegen de Autoriteit Persoonsgegevens(AP) had aangespannen. Als derde partij heeft de NZa ook aan de zitting deelgenomen. De reden was de eis tot handhaving door de AP tegen het verstrekken en verwerken van gegevens door de NZa via het  DIS. De meervoudige kamer van de rechtbank deed een tussenuitspraak waarin de AP en NZa de gelegenheid werd geboden om alsnog te voorzien in maatregelen waarmee de gevolgen van de onrechtmatige verwerking van medische persoonsgegevens door het DIS zonder toestemming van de patiënt teniet zouden worden gedaan. De rechtbank deed de uitspraak onder voorzitterschap van mr. Verburg die zich tijdens de zitting uiterst kritisch tegen de AP en de NZa toonde.

Traineren

Uit welingelichte bron vernam ik dat zowel de AP als de NZa er alles aan hebben gedaan om de mediatie te traineren en geen veranderingen in hun handelen aan te brengen. Over de voorzitter van de rechtbank, mr. Verburg, werd in de loop van 2017 bekend dat die benoemd zou worden bij de Raad van State. Het is zeer waarschijnlijk dat het traineren daar deels mee te maken had, omdat men na zijn overstap op een minder kritische rechter hoopt. Daarnaast is het zo dat het handelen van de AP in meer zaken zich kenmerkt door het traineren van beslissingen. Zo wacht een handhavingsverzoek over het door de Stichting Benchmark GGZ verzamelen van ROM-data al 89 weken op een beslissing van de AP. De burgerrechtenvereniging is inmiddels het traineren zat. Het gaat voor  Vrijbit nu al om 17 maanden na de uitspraak van de rechtbank midden juli 2017. Een nieuwe zitting staat voor februari 2019 op de rol bij de rechtbank.

Eerder vertoond

Al eerder is vertoond dat een data-verzamelende instelling vlak voor een rechtszitting een aanpassing doet aangaande de gewraakte materie. Zo veranderde de Stichting Benchmark GGZ(SBG) enkele weken voor een rechtszaak van twee patiënten op 13 juli 2017  tegen SBG over ROM-data de wijze waarop een aantal cruciale data aangeleverd dienden te worden. Ook kwam twee dagen voor die rechtszaak de mededeling dat SBG begin 2019 op zou houden te bestaan en op zou gaan in een nieuw op te richten kwaliteitsinstituut voor de GGZ, thans Akwa genaamd. Het is een beproefde tactiek om de beslissing van de rechter  te beïnvloeden.

De huidige aanpassing door de NZa past in zo’n rijtje, maar is beslist onvoldoende. Het hele systeem van het DIS waarin op persoonsniveau centraal zorgdata worden verzameld is onnodig voor het doel: beleidsontwikkeling en -ondersteuning in de zorg. Dat kan even goed op basis van geaggregeerde data verkregen met geautomatiseerde rapportages gemaakt op basis van gegevens die (decentraal) bij zorgverleners aanwezig zijn.

W.J. Jongejan, 11 december 2018

12 december: enkele kleine tekstuele aanpasssingen gemaakt in alinea Rechtszaak

—————————————————————————————–

 

Minimale dataset vanaf 15 april 2019:

Identificatie zorgaanbieder

Unieke identificatie zorgaanbieder (AGB-code) 1

Patiëntgegevens (gepseudonimiseerd):

-naam cliënt

-geboortedatum

-geslacht

-postcode

-Burgerservicenummer

-unieke identificatie zorgverzekeraar (conform UZOVI-register)

-eerste inschrijfdatum

-laatste uitschrijfdatum

Hoofdbehandelaar

  • AGB-code (op persoonsniveau) en diens beroep

Verwijzer

– Het type verwijzer:

  1. verwezen patiënt vanuit de eerste lijn (o.a. huisarts, bedrijfsarts)
  2. verwezen patiënt vanuit een (andere) ggz-instelling, instelling voor medisch specialistische zorg of ggz-praktijk
  3. verwezen patiënt vanuit de crisis zorg of seh.
  4. eigen patiënt
  5. verwezen patiënt, maar verwijzer heeft geen AGB-code (bijvoorbeeld in geval van een verwijzing naar de crisis zorg, buitenlandse zorgaanbieder, bureau Jeugdzorg)
  6. zelfverwijzer
  7. bemoeizorg
  • AGB-code verwijzer (op persoonsniveau), indien er sprake is van type verwijzer genoemd onder 1 tot en met 4

Productie per cliënt

  1. Dbc-trajecten

Dbc:

-zorgtrajectnummer

-begindatum zorgtraject

-einddatum zorgtraject

-circuit

-zorgtype

-DSM diagnoseprofiel op hoofdgroepniveau1

– aantal minuten directe en indirecte patiëntgebonden tijd van iedere hoofdbehandelaar en iedere medebehandelaar en diens beroep

-totaal bestede directe en indirecte patiëntgebonden tijd per dbc

-afspraaknummer/code

Behandeling:

-begindatum dbc-traject

-einddatum dbc-traject

-afsluitreden dbc

-Gedeclareerde prijs

-declaratiedatum

Geleverd zorgprofiel binnen het dbc-traject:

-activiteiten, verrichtingen, overige deelprestaties en producten, zoals gedefinieerd in de Nadere regel gespecialiseerde ggz

-datum + tijdsduur activiteiten/producten

-beroep behandelaar

-deelfactor groepscontacten

 




Autoriteit Persoonsgegevens ontloopt stelselmatig verantwoordelijkheid

right/wrong

Recent, op 6 september 2018, verscheen in het NRC-Handelsblad een artikel van Liza van Lonkhuyzen met als kop: “Raad van State: burger in de knel door digitale overheid”. Het betrof een ongevraagd advies van de Raad van State over hoe de overheid met de data van burgers omgaat. Op de wijze waarop de toezichthouder van diezelfde overheid op het uitwisselen van gegevens van burgers, de Autoriteit Persoonsgegevens(AP), opereert, is helaas ook het nodige aan te merken. Zij blijkt nogal eens haar verantwoordelijkheid te ontlopen. Medische gegevens zijn bijzondere persoonsgegevens waarmee men zeer zorgvuldig moet omgaan , zeker bij uitwisseling met behulp van een datanetwerk.  Het Landelijk SchakelPunt(LSP), waarmee medische gegevens opvraagbaar zijn bij de bron, is zo’n netwerk. Voor het opvraagbaar maken is een goed geïnformeerde toestemming van de burger noodzakelijk. Als die toestemming ten onrechte genoteerd is en door de burger gesignaleerd en ongedaan gemaakt is, dan doet de AP daar vervolgens na melding niets mee.

Onterechte toestemming

Als een burger zijn medische data  ter beschikking wil laten stellen  voor een elektronisch landelijk uitwisselingssysteem waarop iedere zorgverlener in Nederland zich kan aansluiten, moet hij of zij zich zelf daarvoor aanmelden of dit via een opt-in-toestemming via de zorgaanbieder(huisarts of apotheek) laten vastleggen waarna dit via het informatiesysteem van deze zorgaanbieder rechtstreeks als aanmelding in het LSP systeem wordt verwerkt.  Het LSP-systeem neemt meteen daarna die toestemming op haar computer over. Het is helaas niet zeldzaam dat een zorgaanbieder ten onrechte een opt-in-toestemming vastlegt. Mij overkwam dat bij herhaling. In totaal noteerden drie apotheken tegen mijn wil een opt-in-toestemming.

Omkering bewijslast

Of een onterechte opt-in-toestemming genoteerd is bij een zorgaanbieder is alleen maar te achterhalen, is alleen maar te achterhalen via iemands huisarts of apotheek of via de website van VZVZ De zorgaanbieder (apotheek in mijn geval) heeft, evenals VZVZ, geen verificatie- en notificatieplicht. Als de onterechte toestemming bij de zorgaanbieder op verzoek van de burger is gecorrigeerd, bestaat er geen logging van deze handeling bij zorgaanbieder of VZVZ. Bijgevolg kan niemand na verwijdering van de onterechte registratie van toestemming achteraf constateren dat er een toestemmingsregistratie heeft plaatsgevonden. Een zeer storende factor daarbij is dat de burger zelf bij de AP moet aantonen dat een onterechte, onvrijwillige, toestemming, vastgelegd is. Dat is alleen maar mogelijk door het maken van een schermafdruk van de webpagina bij VZVZ waarop de toestemming genoteerd staat. In feite is hier dan ook sprake van een stuitende omkering van de bewijslast.

Veronderstelling

Het lijkt logisch om te veronderstellen dat de AP als toezichthouder daar streng op toe zou moeten zien, maar niets is minder waar. Bij het aankaarten van het ten onrechte registreren van mijn toestemming met verwijzing naar andere onjuiste, laakbare “registratiepraktijken” van apotheken en apotheekgroepen in den lande blijkt de AP haar verantwoordelijkheid waar het gaat om het onrechtmatig uitwisselen van bijzondere/medische persoonsgegevens stelselmatig te ontlopen. Handhavingsverzoeken die men hetzij persoonlijk(A,B) hetzij collectief(C,D)bij de AP  neerlegt worden telkens vlakweg afgewezen.

AP schiet schromelijk tekort

Het ongedaan maken van de onterechte toestemming blijkt een onoverkomelijke hindernis te zijn voor actie door de AP. De gedachtegang die de AP hanteert bestaat er namelijk uit dat men stelt dat zodra de toestemming herroepen is door de burger(zie alinea Toelichting AVG en Toelichting Awb), er geen sprake meer is van een overtreding. De AP meent dat burgers/patiënten na het doen verwijderen van een ten onrechte verleende toestemming geen belang meer hebben bij handhavend, corrigerend optreden van de toezichthouder. De AP gaat daarmee totaal voorbij aan het datalek dat het gevolg is geweest van deze onterecht geregistreerde toestemming.  Om de AP tot actie te brengen zou  de burger de onterechte geregistreerde toestemming moeten laten bestaan tot de AP na verloop van tijd (enkele maanden meestal) een beslissing heeft genomen.

Datalek

Het optreden en sanctioneren bij onrechtmatige verwerking van persoonsgegevens (hier feitelijk als gevolg van een structureel probleem dat kan leiden tot niet controleerbare datalekken) door de AP wordt daarmee niet gezien als een taak van de toezichthouder. De oncontroleerbare dataverwerking in mijn casus toont aan dat de AP publiekelijk aangesproken dient te worden op haar verantwoordelijkheid om op te treden tegen deze gebrekkige, oncontroleerbare  verwerkingspraktijken van bijzondere/medische persoonsgegevens.

W.J. Jongejan, 9 oktober 2018

11 oktober 2108: enkele kleine tekstuele aanpassingen in alinea Onterechte toestemming en Omkering bewijslast.

 

 

 

 

 




Onnavolgbaar contractueel gedraai VGZ rond ROM-aanlever-verplichting

contract

Op 3 september 2018 besprak ik op deze website de contractuele verplichting in het contract van zorgverzekeraar VGZ voor vrijgevestigde zorgaanbieders in de GGZ om ROM-data aan te leveren. Mede naar aanleiding van deze berichtgeving kwam VGZ op 4 september met een persbericht  en een reactie op Twitter waarin het lijkt of  men een draai van 180 graden maakt. De formulering van dit bericht is zeer vreemd. Die verwijst naar een aanvullende bepaling in het contract die verwijst naar ‘vigerende wet- en regelgeving’, maar die niet meegestuurd is naar de zorgaanbieders. Het online magazine SKIPR maakt het daarna nog aparter door te stellen dat VGZ per ongeluk in de contracten voor vrijgevestigde ggz-aanbieders voor 2019 de verplichting opgenomen had om ROM-data van patiënten aan te leveren. Het lijkt er nu op dat VGZ niet het contract herziet, maar alleen een addendum met de verwijzing naar ‘vigerende en wet- en regelgeving’ alsnog via de website van VECOZO aan de desbetreffende zorgaanbieders ter beschikking gaat stellen.

Gedraai

In artikel 5 van het contract dat vrijgevestigde zorgaanbieders in de GGZ van VGZ aangeboden kregen staat klip en klaar(art. 5 lid 6) de verplichting ROM-data aan de Stichting Benchmark GGZ(SBG) aan te leveren. Na reuring door publiciteit over de verplichting in dit contract komt VGZ met genoemde draai in haar persbericht. Daarin zegt VGZ dat ze in afwachting van de landelijke discussie over ROM en privacy toch geen actief verzoek doen aan vrijgevestigde zorgaanbieders in de GGZ. Ze zegt geen consequenties te verbinden aan het niet-aanleveren zolang er geen landelijke afspraken overgemaakt zijn. De zorgaanbieder had hiernaar moeten raden want de clausule die niet meegestuurd was rept alleen over ‘vigerende wet- en regelgeving. Maar waar doelt VGZ hier eigenlijk op?

Autoriteit Persoonsgegevens

ROM-data dienen vooralsnog als bijzondere persoonsgegevens beschouwd te worden die ondanks pseudonimisatie toch als indirect herleidbaar dienen te worden beschouwd. Ondanks anderhalf jaar denkwerk na het stellen van ruim veertig vragen aan de ROM-data verwerkende instantie SBG heeft de Autoriteit Persoonsgegevens(AP) daar geen uitspraak over gedaan. Bij bijzondere persoonsgegevens is “informed consent” van de patiënt een vereiste, maar dat wordt door een aantal zorginstellingen niet nageleefd. GGZ Nederland heeft als werkgeversorganisatie in de GGZ met een aantal andere stakeholders  daar de juridische rammelende  en aanvechtbare constructie van de “veronderstelde toestemming” voor bedacht. Zolang de AP geen uitspraak heeft gedaan blijft er officieel onduidelijkheid.

Geïnstitutionaliseerde GGZ

Bij de zorgverleners die werkzaam zijn in de grote GGZ-instellingen ligt het probleem gecompliceerder. Daar heeft GGZ Nederland een Model Privacyreglement voor gemaakt waarin de bestuurders van zorginstellingen tot verwerkingsverantwoordelijke gemaakt worden die beslissen tot aanlevering en de zorgverlener buiten spel wordt gezet.

Slimmigheidje?

De verplichting in het contract zetten en toe te zeggen dat die verplichting hangende de landelijke discussie over ROM-data toch niet gehandhaafd wordt, lijkt op een “slimmigheidje” van VGZ. Zij kan als eind 2019 of later de AP een uitspraak doet over de indirecte herleidbaarheid van gepseudonimiseerde ROM-data en de verwerking door SBG alsnog met terugwerkende kracht tot begin 2019 die data opeisen bij de zorgaanbieder. Zolang de bepalingen van het contract niet zijn aangepast en VGZ op basis van een niet meegestuurde clausule nu een uitweg bedenkt is het aanleveren met terugwerkende kracht  mogelijk.

Downplaying

Het is aardig om de berichtgeving van en namens VGZ nauwkeurig te volgen. Op de website SKIPR heette op 5 september het artikel nog “VGZ verplicht zorgaanbieders per abuis om ROM-gegevens te leveren”(zie link in eerste alinea). Nu komt deze link uit op een licht aangepast artikel met als kop “VGZ maakt foutje in contract voor vrijgevestigde ggz-aanbieders”. Nu heet het in de eerste regels zo te zijn dat slechts in een klein deel van de naar zorgaanbieders gestuurde contracten de clausule die rept over ‘vigerende wet- en regelgeving’ ontbrak. Dat zorgaanbieders maar moesten raden wat VGZ daarmee bedoelde staat uiteraard niet vermeld.

Uiteindelijk denk ik dat VGZ gewoon geprobeerd heeft het hierboven beschreven contract te doen tekenen en niet ingecalculeerd heeft dat er wel eens uitgebreide reuring over kon gaan ontstaan.

W.J. Jongejan, 6 september 2018

 

 

 




Bij inzet wet dwangsom besluit trage Autoriteit Persoonsgegevens negatief

AP-slak met agent

Dat de Autoriteit Persoonsgegevens(AP) moeite heeft met het nemen van beslissingen over principiële zaken is voor insiders geen geheim. Door het verloop van enkele mij bekende zaken die bij de AP aanhangig zijn gemaakt, werd het mij recent duidelijk hoe de nieuwste verdedigingslinie van de AP eruit ziet bij lastige zaken. Het gaat daarbij om handhavingsverzoeken die ingediend zijn door burgers vanwege in hun ogen evidente overtredingen ten aanzien van de privacy. Helaas is het zo dat de AP bij dit soort handhavingsverzoeken buitengewoon traag reageert. Beslissingen blijven soms een half jaar, maar ook wel eens langer dan een jaar uit. Als dan na een ingebrekestelling de AP nog niet met een besluit komt, kan de burger met een beroep op de Wet dwangsom en beroep bij niet tijdige beslissingen(Wdbntb) een beslissing eisen of naar de bestuursrechter gaan. Als de burger die eis op basis van de Wdbntb daadwerkelijk neerlegt bij de AP, maakt deze in het gunstigste geval het de aanvrager duidelijk dat zij negatief zal gaan beslissen op het handhavingsverzoek als dat doorgezet wordt. Of de AP heeft inmiddels al negatief besloten. Het argument voor het negatief beslissen is dan dat de aanvrager de AP niet voldoende tijd gegund heeft om “fatsoenlijk” onderzoek te doen. het is te gênant voor woorden, maar het gebeurt.

Oud regime

De hierboven beschreven, mij bekende, gevallen vielen onder het oude regime, voor het  in gaan van de Algemene Verordening Gegevensbescherming(AVG). De termijn voor de AP om met een besluit te komen is in principe acht weken volgens de Algemene wet bestuursrecht(Awb) (art. 4:13) Vaak heeft de AP meer tijd nodig voor onderzoek. Zij kan dat de klager duidelijk maken. Deze kan bij het uitblijven van een beslissing naar de bestuursrechter stappen of een beroep doen op de Wdbntb. Wel moet eerst de AP schriftelijk officieel in gebreke gesteld zijn door de klager. Het lang uitblijven van beslissingen door langdurige onderzoeken heeft grotendeels te maken met de capaciteit van de AP. Zij is door de politiek bewust kort gehouden en is daardoor, ondanks recente uitbreiding, undermanned en understaffed. In de aanloop naar het ingaan van de AVG is ook goed gekwalificeerd personeel uit onvrede verdwenen richting bedrijfsleven. Eén van de diensthoofden werd Chief Privacy Officer bij de NS. Een andere senior adviseur bij BMC advies. Hun AVG-kennis is daar zeer welkom.

Nieuw regime

Na het ingaan van de AVG op 25 mei 2018 is er sprake van een ander regime. De AVG vermeldt namelijk geen termijn voor het nemen van een beslissing op een klacht. Artikel 57 lid 1 sub f van de AVG spreekt alleen over een “redelijke termijn” voor een toezichthouder om op een klacht te reageren. De vraag is uiteraard wat redelijk is. De toezichthouder dient wel  binnen drie maanden de klager op de hoogte gesteld te hebben van de voortgang of het resultaat van het onderzoek. De AP kan dat bijvoorbeeld doen door het verzenden van een automatisch gegenereerde brief. Ze kan de termijn alvorens ze met een definitief oordeel komt daarmee aardig oprekken. Vergeet de AP de klager na drie maanden te informeren dan kan de klager direct naar de bestuursrechter stappen om een beslissing te eisen. Bij onduldbaar lang oprekken kan men als eiser toch wel een beroep op de Wdbntb doen, uiteraard na eerst een schriftelijke ingebrekestelling.

Exit-strategie

Al eerder publiceerde ik over de laakbare traagheid van de AP bij principiële kwesties. Daarbij rekt de AP de grenzen ruim voorbij het onbetamelijke op om maar geen beslissing te hoeven nemen. Het lijkt er op dat de AP een nieuwe exit-strategie bedacht heeft, Als de vrager van een handhavingsverzoek het na ver overschrijden van de antwoordtermijnen zat is en na ingebrekestelling een beroep doet op de Wdbntb dan zal de AP negatief beslissen. Zoveel is zeker. De argumentatie is dan dat men de AP niet in staat heeft gesteld het onderzoek af te ronden waardoor ze wel gedwongen is negatief op het verzoek te besluiten.

Ik heb begrepen dat minimaal in één geval een functionaris van de AP gewezen heeft op dat risico. Toch blijft het zeer onbevredigend als de privacy-toezichthouder zich op een dergelijke manier af maakt van essentiële vragen. Het handelen is een privacy-toezichthouder onwaardig.

W.J. Jongejan, 1 juni 2018

In dit artikel is deels gebruik gemaakt van informatie op de website van Dirkzwager, Advocaten en Notarissen met als auteur Mark Jansen..

 

 

 

 




Laakbare traagheid handelsmerk Autoriteit Persoonsgegevens bij principiële kwesties

AP handelsmerk

Meerdere zeer principiële zaken, waarin van de Autoriteit Persoonsgegevens(AP) als toezichthouder een beslissend oordeel gevraagd wordt, slepen zich zeer lang voort. Daarbij lijkt het erop dat de AP alle, maar dan ook alle, mogelijkheden benut om geen oordeel te hoeven vellen over principiële zaken, dan wel probeert het oordeel over een bepaalde datum poogt te tillen. Daarbij doel ik specifiek op de ingangsdatum van de Algemene Gegevens Verordening(AVG): 25 mei.  Dat is over tien dagen. Ik doel daarbij op handhavingsverzoeken over de gedragscode zorgverzekeraars, ingediend  bij de rechtsvoorganger van het AP, het College Bescherming Persoonsgegevens(CBP) in maart 2015. Daarnaast die betreffende de verwerking van medische persoonsgegevens in het DIS( DBC Informatie Systeem), ingediend in mei 2015 , maar ook die over de onrechtmatige verzameling van Routine Outcome Monitoring(ROM) gegevens, ingediend in maart 2017.

KDVP

De stichting KDVP(zet zich in  voor behoud van vertrouwelijkheid en beroepsgeheim in de zorg) levert al meerdere jaren slag met de privacy-waakhond. Eerst met het CBP en sinds 1 januari 2016 de AP. Het gesteggel over de gedragscode zorgverzekeraars dateert al van even voor 2013. De gedragscode moest reguleren hoe zorgverzekeraars met medische gegevens van hun verzekerden dienden om te gaan.  Medische gegevens mogen slechts voor strikt afgebakende doelen worden verwerkt. Informatie opgevraagd om zorgdeclaraties te controleren, mag bijvoorbeeld niet worden ingezet voor de beoordeling voor een aanvullende verzekering, contractonderhandelingen met zorgverleners of marketingdoeleinden. In plaats van nauwkeurig te specificeren waarvoor patiëntgegevens wel en niet mogen worden verwerkt, creëerde de gedragscode door haar vage formulering juist ruimte om deze gegevens voor onrechtmatige doelen te verwerken. Volgens de rechter ontbrak het in de gedragscode aan waarborgen om het illegaal gebruik van persoonsgegevens tegen te gaan. De AP trok naar aanleiding van het vonnis haar goedkeuring in. Aldus het Platform Burggerechten op 13 september 2017. Daarna kwamen de gezamenlijke zorgverzekeraars niet met een nieuwe dan wel aangepaste gedragscode. Op het handhavingsverzoek van de stichting KDVP aan de AP om hier handhavend op te treden is nog steeds geendefinitief uitsluitsel verkregen.

Vrijbit

De burgerrechtenvereniging Vrijbit spande zich ook in voor de hierboven beschreven kwestie d.m.v. een rechtszaak die in 2017 diende voor de rechtbank Midden Nederland.  De AP was daar dan ook de gedaagde partij. Daarnaast daagde Vrijbit de AP ook vanwege het plichtsverzuim van de toezichthouder om op te treden tegen de wijze waarop de Nederlandse Zorgautoriteit ( NZa) medische diagnose- en behandelgegevens (DBC) van de gehele Nederlandse bevolking verzamelt, gebruikt en verstrekt aan derden. Het verzamelen van de diagnosegegevens doet de NZa in het DBC Informatie Systeem(DIS), waarvan het CBP elf jaar geleden al aangaf dat het  geen tot een persoon herleidbare persoonsgegevens zou mogen bevatten. Deze zaken slepen zich door trainerende handelingen van de kant van de AP nog steeds voort.

ROM-data-levering

In maart 2017 richtte een ex-cliënt uit de GGZ zich tot de AP met een handhavingsverzoek. Het betrof de onrechtmatige verzameling en verwerking van ROM-data van GGZ-cliënten zonder expliciete toestemming van hen. Het verzoek vroeg om het verzamelen en verwerken van (medische en bijzondere) persoonsgegevens in de databank van SBG, zo spoedig mogelijk op te schorten en toe te zien op de vernietiging per direct van de gegevens in de SBG-databank. Ook dient toezicht plaats te vinden op hernieuwde wederrechtelijke vulling van de databank. De wettelijke termijn om binnen acht weken na indiening een besluit genomen te hebben over het verzoek tot handhaving is ondanks aansporing van de AP thans meer dan betamelijk overschreden.

Belangen

Je zou kunnen zeggen: ach wat betekenen die paar handhavingsverzoeken bij de AP nu op het geheel. Het punt is echter dat alle drie de hierboven beschreven casussen gaan over het grootschalig onrechtmatig verzamelen van medische gegevens, zijnde bijzondere persoonsgegevens door instellingen / bedrijven. Het gaat om een van overheidswege gesanctioneerde vorm van data-grabbing. Ten eerste lijkt de AP geneigd te zijn om met wat voor middelen dan ook liever geen beslissing te willen nemen en ten tweede is er een tendens om besluiten over de ingangsdatum van de AVG op 25 mei 2018 heen te tillen. Eén en ander lijkt in samenspraak, of minimaal met stilzwijgende toestemming,  te geschieden met het ministerie van VWS en de Nederlandse Zorgautoriteit(NZa). Men denkt dat op basis van artikel 9 punt 2  lid h en i, van de AVG(blz L119/38) om redenen van “het  beheren van gezondheidszorgstelsels”(lid h), respectievelijk het “waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg” (lid i) de dataverzameling gewoon in volle omvang mag doorgaan.

Misvatting

Het met de AVG in de hand proberen onrechtmatig data-verzamelen te rechtvaardigen berust echter op een juridische misrekening. Ook al is er een wettelijke regeling(AVG) actief geworden, dan nog moet deze voldoen aan de beginselen vastgelegd in artikel 8 EVRM(Europees Verdrag Voor de Rechten van de Mens). Dit betekent dat de verwerking van medische persoonsgegevens zonder toestemming van de patiënt gebaseerd dient te zijn op een wettelijke grondslag voor verwerking voor een welbepaald doel en moet voldoen aan begrippen van proportionaliteit en subsidiariteit.

Zodra de AP met een beroep op de AVG denkt weg te komen met een negatieve beslissing op genoemde handhavingsverzoeken is te verwachten dat de rechter andermaal wordt ingeschakeld om de AP tot de orde te roepen.

W.J. Jongejan, 15 mei 2018

 




Tuchtzaken medisch tuchtcollege succesvol bij onbevoegde inzage

grens overschrijden

Het onbevoegd inzien van het medische dossier in de “Barbie”-kwestie binnen het Haga-Ziekenhuis in Den Haag door 85 medewerkers, die geen behandelrelatie met mevr. S.de J. hadden, heeft interessante tuchtrechtelijke kanten. Als onder deze medewerkers artsen en verpleegkundigen zijn, dan hebben deze zich schuldig gemaakt aan het schenden van het medisch beroepsgeheim en niet gehandeld zoals van hen verwacht mocht worden. De jurisprudentie laat zien dat medische beroepsbeoefenaren in dit soort gevallen het tuchtcollege de overtreders wel veroordeeld. Het is uitermate interessant hoe in deze kwestie met grootschalige onbevoegde inzage van een medisch dossier de bevoegde instanties gaan reageren. Daarbij doel ik niet alleen op de Autoriteit Persoonsgegevens, in kennis gesteld door de directie van het Haga-ziekenhuis, maar ook de Inspectie Gezondheidszorg en Jeugd. Deze laatste zou één van de partijen kunnen  zijn die tuchtzaken kan instellen tegen de  overtredende medewerkers die onder de Wet op de beroepen in de individuele gezondheidszorg(Wet BIG) vallen.

Jurisprudentie

Onder het tuchtrecht vallen krachtens artikel 3 van de Wet BIG  artsen, tandartsen, apothekers, gezondheidszorgpsychologen, psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen. Het zou in het kader van het aanspannen van tuchtzaken in het Haga-Ziekenhuisdossier interessant zijn welke typen beroepsbeoefenaren binnen het ziekenhuis zich onbevoegd toegang verschaften tot het dossier. Bij het nazoeken van jurisprudentie over onbevoegde inzage in medische dossiers valt op dat vrijwel altijd de daders tuchtrechtelijk veroordeel worden met de oplegging van een waarschuwing. Dat is te zien in een artikel in Medisch Contact uit 2011(alinea Misbruik van patiëntgegevens). Ook in een artikel uit 2013 in Medisch Contact blijkt hetzelfde.  In een tuchtzaak uit 2012 tegen een anesthesioloog, die zonder behandelrelatie een dossier inzag(Regionaal Tuchtcollege Groningen, zaaknummer: G2012/50) of één uit 2014 waarbij twee specialisten die hetzelfde deden bij het dossier van een ex-collega. (zaaknummer 13245; ECLI:NL:TGZREIN:2014:48) leidde het ook tot een tuchtrechtelijke waarschuwing.

Strafrecht

Het is ook mogelijk onbevoegde en dus onrechtmatige inzage voor de strafrechter te brengen. Artikel 272, onder Titel XVII Schending van geheimen, van het Wetboek van Strafrecht zegt:

  1. Hij die enig geheim waarvan hij weet of redelijkerwijs moet vermoeden dat hij uit hoofde van ambt, beroep of wettelijk voorschrift dan wel van vroeger ambt of beroep verplicht is het te bewaren, opzettelijk schendt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie.
  2. Indien dit misdrijf tegen een bepaald persoon gepleegd is, wordt het slechts vervolgd op diens klacht.

In een artikel in Medisch Contact uit 2011 van de hand van de beleidsmedewerker gezondheidsrecht van de Koninklijke Nederlandse Maatschappij ter bevordering van de Geneeskunst(KNMG), mr.dr. Sjaak Nouwt, is onder de alinea “Niet duidelijk” te lezen dat  strafrechtelijke handhaving wel degelijk nut kan hebben. Tegelijkertijd vereist, volgens hem, strafrechtelijke handhaving wel dat voldoende duidelijk is wat precies strafbaar is. De huidige omschrijving in het wetsvoorstel maakt voor artsen (en andere beroepsbeoefenaren) onvoldoende duidelijk wanneer sprake is van onrechtmatig opvragen, openbaar maken, verspreiden of verstrekken.

Ondanks die mogelijkheid in het strafrecht lijkt er geen of nauwelijks gebruik van te zijn gemaakt tot heden.

Aankaarten

Terwijl in het strafrecht de onbevoegde inzage in een medisch dossier alleen maar door de benadeelde persoon zelf kan worden gedaan, ligt dat voor het tuchtrecht anders.  Op de website van de KNMG is dat duidelijk aangegeven. De rechtstreeks belanghebbende kan op basis van art. 65 lid 1 Wet BIG dat doen, maar ook familieleden, kinderen van een patiënt of een wettelijk vertegenwoordiger. Ook een collega hulpverlener kan belanghebbende zijn als hij vindt dat door onzorgvuldig handelen van een collega het resultaat van zijn eigen werk in gevaar is gekomen. Verder kunnen bij het Tuchtcollege de werkgever of  het bestuur van een instelling waar een (vrijgevestigde) hulpverlener werkzaam is een klacht indienen. Ook degene die aan iemand die onder het tuchtrecht valt een opdracht heeft gegeven (bijv. een arts die aan een verpleegkundige de opdracht heeft gegeven een voorbehouden handeling uit te voeren) kan een klacht indienen. De (hoofd)inspecteur voor de Gezondheidszorg en Jeugd(IGJ), wie de aangelegenheid uit hoofde van de hem toevertrouwde belangen aangaat, kan ook een klacht indienen bij het tuchtcollege.

Opportunistisch handelen

Het is maar helemaal de vraag of, als de onderhavige patiënt in de “Barbie”-kwestie zelf of haar familie geen klacht indient bij de tuchtrechter de hierboven genoemde anderen een zaak bij de tuchtrechter aanhangig zullen maken. De argumentatie waarvan men zich zal bedienen zal deels te maken gaan hebben met capaciteitsproblemen. Het is ook maar de vraag of de Autoriteit Persoonsgegevens iets zal ondernemen. Vermoedelijk zal zij stellen dat de betrokken medewerkers door de publiciteit en door de waarschuwing van het Haga-Ziekenhuis al genoeg gestraft zijn.

Vermoedelijk zal het wel eindigen met wat in de volksmond “slappe hap” genoemd wordt.

W.J. Jongejan, 30 april 2018

 

 




Veelvuldige (85x) onrechtmatige inzage dossier Barbie noodt tot notificatieplicht

log-in

Begin april 2018 bleek dat bij de opname van de “reality tv-ster”Samantha de Jong alias Barbie in het Haga-Ziekenhuis in Den Haag begin dit jaar meerdere personen onrechtmatig het elektronische medische dossier  inkeken. Vijfentachtig bleken het te zijn. Die komen er allemaal met een waarschuwing van af. Het gaat om mensen, die geen medische behandelrelatie hadden met deze patiënt. Er is dan naast het onfatsoenlijk handelen sprake van het overtreden van gedragsregels, het privacyreglement van het ziekenhuis en de beroepsnormen die voor diverse soorten werkers gelden. Ik doel in dat kader op artsen en verpleegkundigen. De overtredingen in het Haga-Ziekenhuis kwamen naar buiten na het opvragen van logging-gegevens van het ZiekenhuisInformatieSysteem(ZIS). Ondanks eerdere incidenten en waarschuwingen van de Autoriteit Persoonsgegevens heeft dit zeer grootschalige incident kunnen plaatsvinden. Het is mijns inziend derhalve noodzakelijk om naast passende maatregelen voor de toegang tot de dossiers ook een notificatieplicht in te voeren richting patiënt en wel direct bij elke inzage in het dossier.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens(AP) heeft in 2016 klip en klaar aan Raden van Bestuur van alle zorginstellingen een waarschuwing doen uitgaan om dit soort incidenten door passende maatregelen in de  elektronische dossiervoering de wereld uit te helpen.  Als de zorginstellingen waarvoor de bestuurders verantwoordelijk zijn voornoemde zaken niet goed geregeld hebben, is er sprake van een overtreding van artikel 13 van de Wet bescherming persoonsgegevens. Blijkbaar heeft het Haga-Ziekenhuis niet afdoende maatregelen genomen om de onrechtmatige inzage te voorkomen en is daardoor mede verantwoordelijk voor het gebeuren..

Maatregelen

De maatregelen om inzage te voorkomen zijn soms boterzacht. In sommige ziekenhuizen kan men een zogenaamde VIP-status krijgen. In het dagblad Trouw staat dat sommige ziekenhuizen in zo’n geval een extra scherm doen zien bij poging tot inzage van het medisch dossier met een waarschuwing dat er wel een behandelrelatie moet zijn. Ik mag hopen dat ze daarnaast de patiënt in zo’n geval ook met een fictieve naam inschrijven.

Notificatieplicht

Het aanvragen van een VIP-status moet niet nodig zijn, want bij elke patiënt kan er wel iets zijn waar iemand om wat voor reden in geïnteresseerd kan zijn. Jurisprudentie daarover laat dat ook zien. Veel duidelijker en afschrikwekkender is het als er een momentane notificatieplicht komt voor zorginstellingen. Daarbij doel ik op het melden van iedere inzage in het dossier aan de patiënt op het moment dat die inzage plaatsvindt, gekoppeld aan de logging in het ZIS. Dat is op velerlei wijze te realiseren. Het kan uitgevoerd worden middels berichtgeving via het ziekenhuisportaal, waarmee de patiënt nu al vaak met het ziekenhuis elektronisch kan communiceren(afspraken, medicatie, inzage dossier) bijv.  op de smartphone of op de PC. Daarbij kan het zo ingesteld worden dat voor de patiënt herkenbaar bij de behandeling betrokkenen na goedkeuring uitgesloten kunnen worden. Het is bijv. door een simpele vraag aan de patiënt daarover en vastlegging in het ZIS te realiseren. De hoeveelheid notificaties kan zo beperkt worden. Eventueel  kan bij opname gevraagd worden aan de patiënt en zijn naasten of men wel prijs stelt op deze dienstverlening.

Afschrikwekkend

Naar mijn oordeel is een notificatieplicht meer afschrikwekkend dan allerlei gedragsregels, pop-up-schermen enzovoort. Iedere potentiële overtreder kan na invoering van een notificatieplicht weten dat real-time de patiënt in kennis wordt gesteld van die inzage. Het voorkomt ook een ander probleem. Dat is de onwil van sommige zorginstellingen om op aanvraag rap en zonder tegenstribbelend commentaar log-gegevens beschikbaar te stellen. Ook het tegenstribbelen ten aanzien van het aangeven bij de AP van een datalek indien onbevoegde inzage plaatsvond, is dan meteen uit de wereld.

Opportunistisch

Aannemende dat werknemers van het Haga-Ziekenhuis hadden kunnen weten dat onbevoegd inzien van medische gegevens norm overschrijdend is, is het geven van een waarschuwing aan de 85 overtreders nogal opportunistisch. Jurisprudentie laat zien dat ontslag zeer wel mogelijk is in dergelijke gevallen. Het ziekenhuis zou dan wel een probleem hebben met de personeelsbezetting!

Tuchtraad

Wel is het mogelijk dat verpleegkundigen en artsen op persoonlijke titel voor de tuchtrechter kunnen worden gebracht, hetzij door het bestuur van het ziekenhuis hetzij door de patiënt. Ook de Inspectie Gezondheidszorg en Jeugd(IGJ) zou dit kunnen doen om het maatschappelijk belang van het schenden van beroepsnormen in dezen voor de twee beroepsgroepen te onderstrepen.

W.J. Jongejan, 27 april 2018