Akwa GGZ zet zorgverlener(therapeut) bij ROM-data verzamelen steeds verder buiten spel

toestemming

Eerder, op 29 maart 2018, schreef ik al op deze website een artikel over welke gevaren het nieuwe privacyreglement van GGZ Nederland, als werkgeversorganisatie in de GGZ, met zich meebrengt. Een nieuw reglement was nodig vanwege het halverwege 2018 ingaan van de Algemene Verordening Gegevensbescherming(AVG). Het gaat daarbij om de ongewenste, zeer grote invloed die zorgbestuurders krijgen over het al dan niet opsturen van ROM-data naar de data-be-/verwerker. Dat was tot voor kort de Stichting Benchmark GGZ(SBG) en nu haar rechtsopvolger Akwa GGZ.  Akwa blijkt in haar werkwijze precies de lijn te volgen die uitgezet is door GGZ Nederland. Die komt erop neer dat de zorginstellingsbesturen als  verwerkings-verantwoordelijken worden beschouwd en niet de zorgverlener/therapeut. De instellingsbesturen beslissen dan over het doorsturen van ROM-data naar Akwa met De Nieuwe Entiteit als be-/verwerker. Voor dat doel heeft Akwa aansluitvoorwaarden voor de zorgaanbieder gemaakt. Let goed op: er staat niet zorgverlener, maar zorgaanbieder. Dat betekent dat men over het wel/niet en op welke manier aanleveren van ROM-data zaken doet met directie en bestuur van een zorginstelling. De zorgverlener/therapeut zelf staat buiten spel.

ROM

Routine Outcome Monitoring(ROM) is opgezet als methode om met het gebruik van scorende vragenlijsten (in te vullen door patiënt) de therapie(vorderingen) te evalueren in de relatie patiënt-therapeut en zo nodig bij te sturen. Dit concept is gekaapt door zorgbestuurders, zorgverzekeraars en overheid om er de kwaliteit van de zorg mee te meten. Iets waarvoor de ROM helemaal niet voor bedoeld was en ook niet voor geschikt is. Ik publiceerde hier op deze website al herhaaldelijk over.

Bizar

Akwa stelt zelf een toestemmingsverklaring op voor de patiënt waarin die gevraagd zal worden om toestemming te geven voor gebruik van informatie uitsluitend voor doeleinden van kwaliteitsverbetering. Dat Akwa die verklaring opstelt is bizar te noemen omdat die toestemmingskwestie om er buiten de patiënt/behandelaar relatie wat mee te doen iets is tussen patiënt en behandelaar. Het is een manier om geleidelijk aan het medisch beroepsgeheim te doen verdwijnen en bestuurders van zorginstellingen te laten beslissen over de data.

Consequentie van toestemmingsvraag

Akwa benadrukt dat het ontwikkelen van ROM voor de behandeling en ROM als leerinstrument het primaire doel is. Pas als dat stevig staat kan gekeken worden of dezelfde data zich ook lenen voor vergelijkingsinformatie en zorginkoop. Maar die laatste twee onderwerpen, die volgens Akwa vallen onder “transparantie van kwaliteit”,moeten nog met pilots op betrouwbaarheid en validiteit bekeken gaan worden. Uiteindelijk is het doel wat Akwa beoogt precies hetzelfde als wat SBG deed, namelijk aansturen op gebruik van ROM-data voor benchmarking en zorginkoop. Als men nu toestemming aan de patiënten gaat vragen om ROM-data te gebruiken dan is het eigenlijk alleen voor zaken rond de behandeling en als leerinstrument. Als in de toekomst de doelstelling van het ROM-gebruik opeens toch benchmarking en zorginkoop zal Akwa de patiënten opnieuw om toestemming dienen te vragen. Of men probeert weer eens uit te gaan van een “veronderstelde toestemming”.

Dwang/geen dwang

Op de website van Akwa GGZ staat een aparte passage over de vraag of het aanleveren van ROM-data verplicht is. Er staat:

Is het aanleveren van gegevens aan Akwa GGZ verplicht?

Nee. Akwa GGZ zal in de toekomst via GGZ Dataportaal gegevens ontvangen van zorgaanbieders over behandelingen ten behoeve van kwaliteitsverbetering. Vanuit Akwa GGZ is er geen verplichting om gegevens aan te leveren of een contract met ons af te sluiten.”

Strikt genomen liegt men niet omdat vanuit Akwa GGZ geen dwang uitgeoefend kan worden om verplicht data aan te leveren. Die verplichting is echter op een heel andere, veel subtielere wijze vormgegeven.

Via kwaliteitsstatuut en zorgverzekeraars

Die dwang zit in de contracten met zorgverzekeraars die gebaseerd zijn op de verplichting tot het hebben van een kwaliteitsstatuut door alle zorgaanbieders in de GGZ. Sinds de enorme commotie om de ROM-data in 2017 en 2018 hanteren de zorgverzekeraars een coulance regeling. Daarin tolereren ze  vooralsnog dat zorgverleners/zorgaanbieders tijdelijk geen ROM-data aanleveren. Dat kunnen ze op elk moment herroepen.

Liegen over status data

Op haar website spreekt Akwa evident niet de waarheid als het gaan om de vraag in welke toestand de ROM-data verwerkt worden. Men schrijft op de website:

“Deze patiëntgegevens worden gewoonlijk anoniem verwerkt. Als dat niet mogelijk is, nemen wij maatregelen om de privacy te waarborgen, bijvoorbeeld door gegevens te anonimiseren. Dit betekent dat die gegevens onder een code worden verwerkt; zo kunnen wij de gegevens niet meer herleiden tot een patiënt.”

 Dit is op zich al een rare en intrinsiek onlogische alinea. Als je data anoniem zegt te verwerken kan je niet zeggen dat als dat niet lukt je ze gaat anonimiseren. Het verhaal over die verwerking is ook ten enenmale onjuist. Het gaat helemaal niet om geanonimiseerde data die aangeleverd worden, maar om gepseudonimiseerde. Die dienen als (bijzondere) persoonsgegevens beschouwd te worden. Dat vond zelfs de voormalig minister van VWS Edith Schippers. Men wil juist de data in gepseudonimiseerde vorm hebben om bij een volgende ziekte(periode) die data bij een patiënt  te kunnen koppelen  aan wat er al van bekend is van die persoon.

Akwa GGZ bezondigt zich hiermee aan dezelfde discutabele zaken als voorheen SBG.

W.J. Jongejan, 3 mei 2019

 




Parallel NHS-data-deal met Google en de “brede” toestemming van Schippers

No

Een brief van Dame Fiona Caldicott, National Data Guardian in het Verenigd Koninkrijk, aan de leiding van de drie Royal Free ziekenhuizen in Londen, lekte gisteren uit. In die brief geeft ze een vernietigend oordeel over het beschikbaar stellen van medische dossiers aan derden. Het gaat om de geruchtmakende deal, die deze ziekenhuizen afsloten met DeepMind, een onderdeel van Google. DeepMind is van origine een Britse start-up die zich bezighoudt met kunstmatige intelligentie en die gebruikt om medische expert-programma’s en apps te ontwikkelen. Door genoemde deal kreeg Google’s DeepMind de beschikking over 1,6 miljoen patiëntendossiers. In de brief van de National Data Guardian, die fungeert als de belangrijkste adviseur voor de National Health Service op het gebied van data-protectie, stelt deze dat de onderafdeling van Google de beschikking kreeg over deze tot persoon herleidbare medische dossiers op een ”inappropiate legal basis”. Over de nogal vreemde deal schreef ik al eerder op 6 mei 2016 en 8 juli 2016.

Impliciete toestemming

Dame Fiona Caldicott is zeer duidelijk in haar drie pagina’s tellen(A, B, C) de brief aan de leiding de ziekenhuizen van de Royal Free Trust van de NHS. Zij wijst er op dat zij al in 2016 aangegeven had, dat wanneer nieuwe technologie ontwikkeld wordt zoiets op zich niet beschouwd kan worden als directe zorg, zelfs als het beoogde eindresultaat, als men die nieuwe technologie gaat toepassen, ingezet wordt als directe zorg. Ze breekt vervolgens de redenatie af die de leiding van de Royal Free ziekenhuisorganisatie hanteerde als basis waarop de data met Google gedeeld konden worden. Die leiding stelde dat impliciete toestemming(“implied consent”) van de patiënt voor directe zorg opgevat kon worden als een wettelijke basis om data te delen( met Google). Juridisch gezien is de behandelrelatie die een arts en patiënt aangaan een in de wet verankerde behandelingsovereenkomst.  In Nederland is dit geregeld in de Wet op de geneeskundige behandelingsovereenkomst(Wgbo)

Antwoord Caldicott

De National Data Guardian zegt in de brief dat zij het in december 2016 al niet eens was met de redenatie van de leiding van de Royal Free Hospitals.

Implied consent is only an appropiate legal basis for the disclosure of identifiable data for the purpose of direct care if it aligns with peoples reasonable expectations, i.e. in a legitimate relationship. When I wrote to you in December, I said that I did not believe that when patient data is shared with Google Deepmind, implied consent for direct care was an appropiate legal basis”

Het is duidelijk dat zij de toestemming die de patiënt impliciet geeft bij het ondergaan van medische zorg niet ongeclausuleerd opgerekt wil zien richting naar een toestemming om er andere dingen mee doen die niets met directe zorg te maken heeft.

Antwoord ziekenhuizen

De ziekenhuizen verdedigden zich met de argumentatie dat DeepMind een app, Streams genaamd, aan het ontwikkelen was met “artificiële data” en dat de data in de 1,6 miljoen patiëntendossiers alleen gebruikt werden om deze app met een beperkt aantal clinici uit te testen en te valideren. Caldicott stelt hierop dat de data dus voor het valideren van de app gebruikt zijn en niet voor directe zorg. Zij geeft haar bevindingen behalve aan de leiding van de ziekenhuizen en de leiding van DeepMind ook door aan de Information Commissioner, Elizabeth Denham. Deze hoogste “privacywaakhond” in het Verenigd Koninkrijk bestudeert de zaak al en komt binnenkort met haar conclusie of de dataoverdracht wel legaal was. Zij kan ook nadere maatregelen treffen en sancties opleggen.

Brede toestemming

Terwijl in het Verenigd Koninkrijk bestuurders van ziekenhuizen bezig zijn met het oprekken van het toestemmingsprincipe bij het gebruik van patiëntdata, is het in Nederland juist de, nu demissionaire, minister van VWS, Edith Schippers die dit voor de tweede keer probeert met opnieuw een consultatieronde over het ontwerp van Wet zeggenschap lichaamsmateriaal. In de memorie van toelichting in hoofdstuk 5.1.1 geeft de minister namelijk aan dat het wetsvoorstel het mogelijk moet maken dat de patiënt bij het afnemen van lichaamsmateriaal een “brede” toestemming geeft. Dit houdt in de ogen van de minister ten eerste in dat de toestemming niet alleen beperkt blijft tot lichaamsmateriaal dat op het moment van vragen al vrij is gekomen of vlak daarna zal vrijkomen, maar ook op in de verdere toekomst (eventueel elders, en mogelijk zelfs na overlijden) beschikbaar komend lichaamsmateriaal. Daarnaast houdt ‘breed’ in dat toestemming die nodig is voor speciaal afnemen ook betrekking kan hebben op meerdere afnames. Ik beargumenteerde in mijn artikel op 2 mei 2017 dat zoiets onbestaanbaar is, omdat het begrip doelbinding bij dataverzamelingen met dit wetsontwerp volledig overboord wordt gegooid. Bij een “brede” toestemming introduceert een bewindspersoon een eenmalige volmacht voor een niet of nauwelijks omschreven doel. In het Verenigd Koninkrijk beschouwde men de toestemming die de patiënt geeft om behandeld te worden als zo’n volmacht.

Gevaarlijk

Het oprekken van het toestemmingsprincipe, omdat dat lastig zou zijn om nieuwe dingen in de zorg te ontwikkelen en te introduceren, is een hellend vlak. Denken dat zoiets alleen in het buitenland gebeurt, is een vorm van het hoofd in het zand steken. Zeker als in ons eigen land de minister van VWS hetzelfde probeert te doen. Privacy en patiëntenrechten vereisen continu aandacht. Wat technisch kan en aanlokkelijk lijkt, moet niet klakkeloos toegepast worden, maar verdient ruime overdenking. Hierdoor wordt voorkomen, dat achteraf, zoals in het Verenigd Koninkrijk, men met de scherven zit.

W.J. Jongejan

 

 

 

 




Voorzitter Federatie Medisch Specialisten slaat plank flink mis over EPD

spijker

“De politiek moet landelijke uitwisseling van medische gegevens eindelijk gaan regelen in een elektronisch patiëntendossier (EPD). Dat zou de zorg zo veel veiliger en doelmatiger maken” Dat zegt Marcel Daniëls, de kersverse voorzitter van de Federatie Medisch Specialisten, vandaag in een vooraankondiging van een interview op de website Zorgvisie. Het volledige interview verschijnt overigens vrijdag 24 februari in Zorgvisie Magazine. Deze en andere opmerkingen geven aan dat hij blijkbaar totaal geen weet heeft van de ontstaansgeschiedenis van de huidige gegevensuitwisseling via het Landelijk SchakelPunt(LSP) en de politieke besluitvorming die voorafging aan de overgang van het LSP van publieke in private handen in 2011. Het is saillant dat hij spreekt over een landelijk EPD omdat die terminologie al in 2011 ten grave is gedragen. Hij lijkt ook niet te beseffen dat er bij het toestemming geven door de burger om de medische gegevens voor inzage beschikbaar te stellen geen opt-out-systeem meer van toepassing is. Met het sinds 2012 vigerende opt-in-systeem blijkt maar één derde van de Nederlanders de huisartsgegevens te willen delen. Voor specialistendossiers zal dat niet veel anders zijn. Medicatiegegevens lijkt de gemiddelde Nederlander wel via het LSP te willen delen.

Politiek

Marcel Daniëls lijkt niet te beseffen dat het de politiek zelve was die de regering, in casu de minister van VWS, verbood om geen beleidsinhoudelijke, financiële en organisatorische bemoeienis meer te hebben met het LSP. Dat is vastgelegd in de motie X van het Eerste Kamerlid mevrouw Tan. De minister van VWS, Edith Schippers, heeft daarna  in een Kamerbrief van 23 mei 2012 aangegeven dat zij zich aan die motie zou houden. De politiek is sinds de overgang van het LSP van publieke in private handen officieel uitgespeeld ten aanzien van het LSP. Dat de minister aan de rafelranden van het zeer beperkt functionerende LSP heimelijk het gebruik beleidsinhoudelijk, financieel en organisatorisch probeert te stimuleren stipte ik recent aan in een artikel. Binnenkort zal ik op een andere vorm van heimelijk ondersteuning publiceren.

Napraten

Op Zorgvisie laat Daniëls weten dat het zo handig zou zijn als de medische gegevens die bij andere zorgverleners zijn vastgelegd rap via de computer aan de behandelaar kunnen worden voorgeschoteld. Dat is iets wat het ministerie van VWS in haar propaganda voor het LSP jarenlang verkondigd heeft zonder dat het daadwerkelijk plaatsvond. Sommige burgers geloven dat dat zo maar mogelijk is, maar de praktijk blijkt weerbarstiger dan de verhalen van VWS. Ziekenhuizen kunnen op dit moment alleen op de spoedeisende hulp-afdelingen medicatiegegevens via het LSP opvragen, verder niets. Data uit zorgdossiers in ziekenhuizen kunnen niet door zorgverleners buiten het ziekenhuis opgevraagd worden. Bovendien wil een groot deel van de Nederlanders niet zo maar medische gegevens delen.

Veiligheid en privacy

Wat betreft de veiligheid van het gebruik van ICT in de zorg tegenover de papieren zorgadministratie van vroeger laat Daniëls toch ook een steek vallen. Hij laat optekenen dar de zorg regelmatig wordt opgeschrikt door meldingen van datalekken of een gestolen laptop waardoor medische gegevens op straat liggen. Hij vindt de zorgen terecht, maar zegt gelijk dat het vroeger niet anders was. Toen zouden volgens hem in het tijdperk van de papieren dossiers mens ook zonder toestemming dossiers doorbladeren. Met de overgang naar elektronische dossiers komt het nog steeds voor dat mensen die niet bij de behandeling betrokken zijn medische dossiers inzien. Hij vergaloppeert zich als hij het onterecht inzien afzet tegen datalekken, diefstal van laptop, of verzending van gegevensdragers naar verkeerde geadresseerden. De schaal waarop het dan misgaat is zeer vele malen groter dan bij verlies, diefstal enz. van papieren dossiers.

Hij stelt ook dat ICT-deskundigen de privacy goed moeten regelen en dat er altijd wel risico’s zullen zijn. Daniëls gaat daarbij volledig voorbij aan het feit dat het LSP op dit moment al een legacy-systeem is dat niet ontworpen is volgens het principe “privacy-by design”. De centralistische opzet van het LSP en het korte tijd onversleuteld zijn van berichten in de LSP-server tijdens het vervoer van de data uit het brondossier naar de aanvragende behandelaar zijn daar voorbeelden van.

Plank

In de korte vooraankondiging van het interview met de nieuwe  voorzitter van de Federatie Medisch Specialisten blijkt al dat deze de plank flink mis te slaan met zijn opmerkingen over het LSP. Wat door specialisten wenselijk wordt geacht, is niet noodzakelijkerwijs iets wat door het merendeel van de bevolking zo ervaren wordt. Het geringe aantal burgers dat tot op heden opt-in-toestemming gaf om de professionele samenvatting van de huisartsgegevens te delen wijst daar duidelijk op. Hij praat voor eigen parochie zonder zich goed te oriënteren op de maatschappelijke acceptatie van het LSP.

W.J. Jongejan