18 jul

Een kort geding over een grote kwestie

rechter

Het is en blijft een even lastige als netelige kwestie: gegevensverwerking in de zorg met behoud van vertrouwelijkheid en met respect voor het medisch beroepsgeheim. Zo lijkt in de kwestie die op 13 juli 2017 in kort geding werd voorgelegd aan de rechter vrijwel door iedereen,  maar niet door de rechter,  een essentieel punt over het hoofd te worden gezien! Dit betreft het feit dat de uitkomsten van zogenaamde ROM(Routine Outcome monitoring)-vragenlijsten – op individueel niveau – naar Stichting Benchmark GGZ (SBG) worden verzonden SAMEN met de (alles behalve) minimale dataset (MDS) met gedetailleerde medische en sociaal economische informatie op individueel niveau. Dit is dezelfde MDS dataset die via de op computers van zorgverleners geïnstalleerde software eveneens automatisch en geruisloos vanuit patiëntdossiers naar het DBC-Informatie Systeem(DIS) wordt verzonden. Voor de ontvangst en verwerking van deze gegevens ontbreekt bij SBG, net als eerder is geconstateerd bij aanlevering aan het DIS, een wettelijke grondslag.

Lees verder

06 jul

Wanhoopsdaad directie SBGGZ in aanloop naar kort geding

Wanhoop

 

Op donderdag 13 juli 2017 om 09.00u dient voor de rechtbank Midden-Nederland het kort geding van de groep Stop benchmark met ROM tegen de Stichting Benchmark GGZ(SBG). De inzet ervan is om het verwerken door de SBG van patiëntgegevens(ROM-data) voor het benchmarken(vergelijken van zorgaanbieders) te doen stoppen. Reden voor dat laatste is het feit dat de gegevens veelal zonder toestemming van de patiënt verzameld zijn door de SBG. Zelfs de minister van VWS moest erkennen dat de data illegaal verzameld waren. Kort voor de aanvang van het geding kwam er op 3 juli een opvallende melding van de directeur van de SBG, Maarten Erenstein, aan zorgaanbieders in de GGZ, maar ook op de eigen website over de door de SBG verzamelde data. Gemeld wordt dat de Aansluitvoorwaarden aangepast worden en dat we wijzigingen in de Minimale Data Set aangebracht zijn. De mogelijkheid van het koppelen van data uit de SBG-database met andere databases wordt geschrapt. Daarnaast meldt Erenstein in de brief dat een aantal nummerreeksen die in de data die aangeleverd worden nu onomkeerbaar versleuteld en gerandomiseerd worden. Het gaat om cijferreeksen die eventueel het identificeren van individuele patiënten mogelijk zouden kunnen maken uit de dubbel gepseudonimiseerde data. Het zijn zuiver defensieve handelingen met het oog op het komende kort geding die de directeur nu aan werkveld kenbaar maakt. Hij geeft er echter wel zonneklaar mee aan dat hij tot nu toe wederrechtelijk data verzamelde die herleidbaar waren tot individuele personen en nu opeens de brave jongen wil uithangen. Ik denk dat de rechter deze move wel zal doorzien.

Lees verder

18 mei

Autoriteit Persoonsgegevens verre van waaks als privacy-waakhond

AP hondehok met klein hondje

Terwijl de Autoriteit Persoonsgegevens(AP) in haar jaarverslag over 2016 opgeeft over alles waar ze op toe zag o.a. in de zorg, is het goed op deze plaats eens stil te staan bij het aperte falen van de AP. Juist over zaken, waarvan de AP door deelname aan Europees overleg  weet van had, liet ze duidelijk steken vallen. In een aantal landelijke databases worden centraal medische gegevens van burgers opgeslagen. Voorbeelden zijn het DBC Informatie Systeem(DIS), de Argus-database en de ROM-database. Het toezicht daarop is een taak van de Autoriteit Persoonsgegevens.

Lees verder

12 apr

VWS, SBG, ROM en ARGUS. Het wordt steeds gekker

gek

In de geestelijke gezondheidszorg bestaat sinds januari 2017 rondom het verzamelen van ROM-data voor benchmarking en zorginkoop door  de Stichting Benchmark GGZ(SBG) veel onrust. ROM-gegevens zijn in essentie bedoeld voor het evalueren en bijsturen van therapie in de ggz op individueel niveau, maar worden ondanks fundamentele bezwaren uit het veld voor benchmarking en zorginkoop gebruikt. Deze gegevens zijn ondanks twee pseudonimiserings-slagen toch te beschouwen als bijzondere persoonsgegevens waarvoor uitdrukkelijke toestemming(informed consent) van de patiënt nodig is. Dat is de afgelopen jaren niet gebeurd. Ook  de minister van VWS, Edith Schippers, heeft in antwoord op Kamervragen  op 23 maart 2017 moeten erkennen dat de dataverzameling onwettig is om die reden. De aanlevering van ROM-data aan de SBG is om die reden dan ook inmiddels gestaakt. In haar antwoord doet de minister voorkomen alsof ze de regelgeving rond het gebruik van gepseudonimiseerde persoonsgegevens niet begrijpt door twee volledig tegenstrijdige uitspraken te doen. De SBG reageerde over de ophef over de ROM-data pas op 11 april 2017 met een bericht op de eigen website. Daaruit blijkt dat ook SBG doet alsof ze de regelgeving rond het verwerken van bijzondere persoonsgegevens niet begrijpt.

Lees verder

03 apr

Grote gelijkenis DIS- en ROM-database-problematiek

data

Rond grootschalige dataverzamelingen in de zorg doen zich  enorme problemen voor. Bij het DBC-informatiesysteem(DIS), dat in handen is van de Nederlandse Zorgautoriteit(NZa), speelt sinds vorig jaar hetzelfde als nu bij de database bij de Stichting Benchmark GGZ(SBG), waar de ROM-data verzameld worden voor benchmarking en zorginkoop. ROM staat voor Routine Outcome Monitoring. In beide databases zijn gedurende meerdere jaren bijzondere persoonsgegevens opgeslagen zonder noodzaak en zonder wettelijke grondslag. Bij beide systemen zitten de beheerders nu te wachten op reparatieregelgeving door de overheid. Dat zal echter niets oplossen aan de onderliggende problematiek. Om dat in te zien is het nodig om te kijken naar de noodzakelijkheid van de aanlevering van persoonsgegevens aan beide databases. Die is er namelijk niet. In de volgende alinea’s zal ik ingaan op dat gegeven en op de discussie over het toestemmingsprincipe(informed consent) dat nu veel stof doet opwaaien.

Lees verder

08 mrt

10 maart 2017 Utrecht: twee rechtszaken over beroepsgeheim en privacy

vrouwe justitia

Op 10 maart dienen voor de Rechtbank Midden Holland in Utrecht twee rechtszaken die aangespannen zijn door de burgerrechtenvereniging Vrijbit. Die stelt zich tot doel  zich grensoverschrijdend in te zetten voor het recht op privacy, vrije communicatie en toegang tot informatie. De twee zaken die aangespannen zijn tegen de Autoriteit Persoonsgegevens(AP) zouden al veel eerder dienen. Door een vertragingsactie van de AP(te late indiening van processtukken) werden de zittingen van september naar december 2016 opschoven. Door het verzoek tot verschoning door een rechter daags voor de eerder geplande zittingen op 2 december 2016 ontstond daarna  nogmaals onnodig tijdsverlies. De rechter kwam toen wel heel erg laat met dat verzoek omdat haar echtgenoot zich bezighield met de verwerking van medische persoonsgegevens. De zaak met zaaknummer UTR 16/3326 WBP V97 dient om 13.30u, waarna om 15:00 uur zaaknummer UTR 16/4199 WBP V93 volgt voor de meervoudige kamer.

Lees verder

02 dec

Plotse verschoning rechter daags voor rechtszaken aantasting beroepsgeheim en privacy

askulapstab-837309_640

Uit welingelichte bron vernam ik heden dat op donderdag 1 december 2016 één van de rechters van de rechtbank Midden-Nederland bij het bureau wrakingen en verschoningen een verzoek tot verschoning heeft ingediend. Het betreft de rechter mevr. R.J. Praamstra, die op vrijdag 2 december in een meervoudige kamer met collegae twee zaken zou behandelen.  Daardoor gaat de zitting niet  door en volgt uitstel. De vereniging Vrijbit spant deze zaken aan tegen de Autoriteit Persoonsgegevens(AP). Het gaat om de zaken met kenmerken UTR 16/3326 en UTR 16/4199. In beide zaken draait het in de kern om de aantasting van het medisch beroepsgeheim en het fundamentele recht van patiënten op bescherming van hun privéleven. Deze zaken hebben zeer duidelijke raakvlakken met het wetsontwerp 33980 dat thans in de Eerste Kamer behandeld wordt.  Waar gaat het om? Het gaat om een langlopende kwestie die gaat om de wijze waarop de AP, voorheen het College Bescherming Persoonsgegevens(CBP), haar rol vervult als toezichthouder, ten aanzien van handelen rond medische gegevens. Het lange beloop is voor een groot deel te wijten aan de weigerachtige houding van de AP om op te treden tegen de wijze van handelen van zorgverzekeraars bij het inzien van medische gegevens bij zorgaanbieders.

Lees verder

22 sep

Zo lopen de gootjes als het regent: longread over big-data en LSP

facade-258169_640Er bestaat een grote samenhang tussen elektronische  medische datacommunicatie, het LSP, de Persoonlijke GezondheidsDossiers (PGD’s), big-data en wetsontwerp 33509 dat op 27-09-2016 voorligt ter plenaire behandeling en stemming in de Eerste Kamer. Zorgdata houden de gemoederen al enige tijd bezig. Het elektronisch communiceren van zorgdata heeft voor de overheid de mogelijkheid geopend veel data te verzamelen. Dat is inmiddels al op vele manieren gebeurd, onder andere in het DBC-Informatie-Systeem(DIS). Dat daarbij function-creep op de loer ligt en ook plaats vindt hoef ik hier niet uit te leggen. Het ministerie van VWS poogde in en eerder stadium het Landelijk Elektronisch Patiëntendossier(L-EPD) van de grond te krijgen, maar die poging strandde in april 2011 in de Eerste Kamer. Daarna zorgde de minister ervoor dat het Landelijk SchakelPunt(LSP), de kern van het L-EPD, overging in private handen. Daartoe werd de Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) opgericht. Het gebruik van het LSP, dat alleen  goed van de grond kan komen als vrijwel alle burgers hun opt-in-toestemming geven bij de brondossierhouders(huisartsen en apothekers) kampt met forse problemen, omdat de burger wel massaal ja zegt tegen het delen van medicatiegegevens via de apotheken, maar bij huisartsen veel terughoudender is. Slecht één derde van de Nederlanders geeft de toestemming voor het delen van de samenvatting van het huisartsdossier. Door het voortsudderen van het LSP-gebruik en de wens van grote bedrijven big-data-analyses te doen zijn er allerlei bewegingen gaande van VWS en private partijen waarbij andere wegen gezocht worden om zorgdata uit te wisselen en te ontginnen voor exploitatie (resourcegrabbing). Zie: http://www.beroepseer.nl/nl/groepsblog/algemeen/itemlist/user/3492-abvaneldijk . Een centrale rol bij het dataverkeer van medische informatie speelt het wetsontwerp 33509.

Lees verder

08 aug

Autoriteit Persoonsgegevens ondergraaft stelselmatig eigen gezag

police-1058422_640

Het is opvallend hoe de Autoriteit Persoonsgegevens(AP), voorheen het College Bescherming Persoonsgegevens(CBP) al enige tijd opereert bij geconstateerde overtredingen. Ondanks het feit, dat die hebben plaatsgevonden is steevast het beleid om bij het beloven van beterschap geen sancties op te leggen. Volstaan wordt met de waarschuwing, dat het na beloofde verbeteringen niet weer mag gebeuren. Deze halfslachtige houding voedt de gedachte, dat de AP een toezichthouder is die de bij wet verkregen tanden(per 1 januari  2016 nog aangescherpt) niet wil laten zien door geen sancties op te leggen. Daardoor ontstaat het beeld, dat de AP een verlengstuk is van de wetgever en uitsluitend de implementatie van wetten met zachte hand corrigeert en helpt uitvoeren. Ze wordt het verlengstuk van de politiek en geen krachtige, onafhankelijke, toezichthouder. Het speelt eigenlijk bij alle zaken die de AP onderzoekt, maar twee onderzoeken die van groot belang zijn voor de privacy van de burger, licht ik er voor u uit.

Lees verder

31 mei

VWS faciliteert onaanvaardbare function-creep met zorgdata

stamp-143799_640

In de Volkskrant van vanmorgen openbaart de journalist Huib Modderkolk een memorandum van overeenkomst van VWS met vijf instituties in de zorg dat zeer grote gevolgen heeft voor de privacy van de burger en het medisch beroepsgeheim. Het memorandum is een overeenkomst tussen het ministerie van Volksgezondheid, Welzijn en Sport(VWS) en Zorgverzekeraars Nederland(ZN), Vektis, de Nederlandse Zorgautoriteit(NZa), de Inspectie(IGZ) en Zorginstituut Nederland. Via een “zorgmakelaar” kunnen gepseudonimiseerde zorgdata gedeeld worden door de betrokken partijen. De gegevens die bij bijv. zorgverzekeraars, Vektis en de Nza primair zijn vastgelegd hebben een duidelijke doelbinding. Het doel van de gegevensverzameling is voor elk van die instituties anders. Het onderling gaan delen van die informatie gaat voorbij aan die doelbinding. Het gaat uit van de gedachte dat de data er toch zijn en dat best wel handig lijkt die te koppelen. Het is echter een grove vorm van “function-creep” die grote consequenties heeft voor de privacy en het beroepsgeheim. Het feit dat VWS bij het tot stand komen van het memorandum een leidende en faciliterende rol heeft gespeeld geeft zeer te denken. Er lijkt niet sprake van enig moreel besef.

Lees verder